Die Open-Source Firewall OPNsense erhielt vor wenigen Tagen ein Security und Bugfix Release. Das Update 22.7.5 behebt Sicherheitsprobleme beim “installer” User und behebt Fehler mit Kernel-based TCP Panics die einige seit FreeBSD 13 hatten.
Das Sicherheitsproblem bestand im OPNsense 22.7 Zweig und nur während der Optimierung in der Bootzeit von Useraccounts die es eseit OPNsense Version 22.1.8 gibt. Seit dem werden die User nicht bei jedem Boot resettet, was die Boot Zeit mti vielen Benutzern verbessert, jedoch behielt der “installer” User das Default Passwort. Somit war ein physischer Zugang per Konsole durch diesen User sogar bei Neuinstallation und Updates möglich. Ebenso war ein SSH Zugang möglich, sofern dieser nicht per Keys und manuellem root Login, eingeschränkt war.
Mit diesem Update 22.7.5 und einem nachfolgenden Neustart, wird dieser Sicherheitsfehler behoben. Bei einer Default Installation von OPNsense kann der manuelle Konsolenzugang exploited werden. Daher empfehlen die Entwickler den Shell und Konsolen Zugang generell nicht für Non-Admin Accounts zu vergeben und den physischen Zugang, wenn umsetzbar, einzuschränken. Weiterhin wird empfohlen den SSH Zugang per WAN nur per VPN zu konfigurieren.
OPNsense 22.7.5 Release Notes
- system: remove stray installer account from fresh 22.7 installations
- system: only use withPadding() for RSA based public keys in CRL code
- system: remove unnecessary crl_update() calls in CRL code
- system: extend pool options support in gateway groups
- system: move get_searchdomains() to ifctl use and allow FQDN
- system: add replacement hook for rc.resolv_conf_generate script
- system: replace “dns reload” backend call with portable alternative
- system: remove obsolete rc.resolv_conf_generate script
- system: bring back the buttons action in OpenVPN dashboard widget (contributed by kulikov-a)
- system: assorted cleanups for IXR library used for XMLRPC
- system: catch errors in RSS dashboard widget
- system: stop reading product info from global $g variable in system information dashboard widget
- system: structurally improve boot sequence with regard to hosts/resolv.conf generation
- system: add keyUsage extension and follow RFC on basicConstraints in CA config (contributed by kulikov-a)
- interfaces: migrate wireless creation to legacy_interface_listget()
- firewall: support TOS/DSCP matching in firewall rules
- firewall: add os-firewall alias paths in getAliasSource() to prevent removal when being used
- firewall: get lockout interface from get_primary_interface_from_list()
- firewall: fix PHP 8 error in port forwarding page
- firewall: fix PHP 8 error in aliases (contributed by kulikov-a)
- firewall: parse pftop internal data conversion (contributed by kulikov-a)
- firmware: opnsense-update: return subscription key via -K if it exists
- ipsec: allow to set rightca in mobile phase 1 with EAP-TLS
- ipsec: fix multiple phase 2 IP addresses on the same interface (contributed by Wagner Sartori Junior)
- unbound: account for hostname during PTR creation
- unbound: maintain a consistent dnsbl cache state
- unbound: reduce blocklist read timeout (contributed by kulikov-a)
- web proxy: update pattern to zst for the Arch packages (contributed by gacekjk)
- plugins: os-crowdsec 1.0.1[1]
- plugins: os-ddclient 1.9[2]
- plugins: os-freeradius 1.9.21[3]
- plugins: os-nginx 1.30[4]
- src: ifconfig: print interface name on SIOCIFCREATE2 error
- src: igc: do not start in promiscuous mode by default
- src: tcp: correctly compute the retransmit length for all 64-bit platforms
- src: tcp: fix cwnd restricted SACK retransmission loop
- src: tcp: fix computation of offset
- src: tcp: send ACKs when requested
- ports: dnsmasq 2.87[5]
- ports: expat 2.4.9[6]
- ports: lighttpd 1.4.67[7]
- ports: nss 3.83[8]
- ports: phalcon 5.0.2[9]
- ports: php 8.0.23[10]
- ports: phpseclib 3.0.16[11]
- ports: python 3.9.14[12]
- ports: sqlite 3.39.3[13]
- ports: squid 5.7[14]
- ports: suricata 6.0.8[15]
- ports: unbound 1.16.3[16]
Quelle: OPNsense 22.7.5 released
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.