OPNsense 18.7.7 und 17.7.7_1 Bugfix und Security Update

Die Open-Source Firewall, OPNsense, wurde auf Version 17.7.8 aktualisiert. Neben dem Update von Suricata auf Version 4.0.6 das den SMTP Crash CVE-2018-18956 behebt, wurde auch eine Rechteausweitung im CVE-2018-18958 dokumentiert.

CVE-2018-18958 ermöglicht es unter bestimmten, “deny config write” Rechten in Kombination mit admin oder user Gruppe Rechten, Rechte auf Systemeigenschaften zu erlangen. Diese untypische Vergabe von Rechten über das Role-Based System in OPNsense, welche normalerweise für nicht systembasierte Services wie z.B. dem Captive Portal verwendet wird, wird vom Team näher betrachtet und in Zukunft geändert. Daher empfiehlt das Team vorerst keine Systemrechte an diese Gruppen zu vergeben.

OPNsense 18.7.7 Release Notes

  • system: CVE-2018-18958 prevent restore of configuration of read-only user[1] (reported by brainrecursion)
  • system: prevent related read-only user configuration manipulation for history and defaults pages
  • system: prevent several creative ways to strip read-only privileges in the user and group manager
  • system: allow wildcards in certificate subject alternative name
  • system: avoid direct $global access in routing setup
  • system: do not offer root-only opnsense-shell to non-root users
  • system: remove FreeBSD 10 password workaround
  • interfaces: use pure jquery to avoid browser-specific behaviour
  • interfaces: nonfunctional cleanups in backend and interface GUI configuration
  • interfaces: clear the correct files IPv6 state files on interface down
  • interfaces: wait for PPPoE to fully exit on interface down
  • firewall: fix port alias conversion under new API
  • firewall: missing filter reload for port alias types
  • firewall: missing “other” type in VIP network expand
  • firewall: disabled alias should leave us with an empty one
  • firewall: category for “United States” moves from Pacific to America
  • firewall: resolve outbound NAT interface address in kernel
  • dhcp: only map enabled interfaces in IPv4 leases
  • dhcp: interface iteration code cleanups
  • dhcp: do not hand out IPv6 system DNS servers when Unbound or Dnsmasq are used
  • dhcp: IPv6 PD in manual DHCPv6 case (contributed by Team Rebellion)
  • dhcp: correctly merge prefix for IPv6 static leases in manual DHCPv6 case (contributed by Raimar Sandner)
  • firmware: add log file for package manager output
  • monit: use theme override for widget CSS (contributed by Fabian Franz)
  • ntp: internal cleanup of function argument order
  • rc: improvements in service startup scripting
  • rc: print date and time after successful boot
  • unbound: disable redirect type until fixed
  • web proxy: fix typo in description of upload caps (contributed by Juan Manuel Carrillo Moreno)
  • shell: stop router advertisement daemon too on console port reassign
  • mvc: remove errors in cron and monit API
  • plugins: os-freeradius 1.8.2 (contributed by Michael Muenz and Reza Ebrahimi)
  • plugins: os-nut 1.3 apcsmart and blazer_usb driver, reworked UI (contributed by Michael Muenz)
  • plugins: os-telegraf 1.7.1 adds ZFS input (contributed by Michael Muenz)
  • plugins: os-tinc now sets all defined subnets (contributed by QDaniel)
  • plugins: os-theme-cicada 1.8 (contributed by Team Rebellion)
  • plugins: os-theme-tukan 1.8 (contributed by Team Rebellion)
  • plugins: os-smart 1.5 standard widget coloring (contributed by Fabian Franz)
  • plugins: os-rspamd now uses scan_mime_parts (contributed by Michael Muenz)
  • ports: curl 7.62.0[2]
  • ports: krb5 1.16.2[3]
  • ports: strongswan 5.7.1[4]
  • ports: suricata 4.0.6[5]

Quelle: https://opnsense.org/opnsense-18-7-7-released/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.