JARVIS
Die Open-Source Firewall OPNsense erhielt das Update 23.7.7 und kurz danach den Hotfix 23.7.7_1. Das Update verbessert die Benutzbarkeit vieler Seiten. Weiterhin werden viele Änderungen seitens FreeBSD, als auch Änderungen am Core, die durch das Forum auf Github angeregt wurden, durchgeführt. Das Update benötigt einen Neustart der Firewall.
Aktuell gibt es viele Änderungen bei FreeBSD. Zu denen zählen die Nutzung von openssl111, statt openssl, da dieses Paket auf der Version 3 basiert. Dies hat zur Folge, dass 3. Hersteller Probleme mit dem Paket erhalten, da sie diese Änderung nicht berücksichtigt haben. Eine weitere wesentliche Änderung in FreeBSD ist der Stop der Portweiterleitung des on ca_root_nss Paketes Trust Store der von Mozilla gestellt wird. Dieser wird von unserem Store selbst genutzt. Dieses Update ändert curl, sodass nicht das alte Cert Bundle verwendet wird. Es stellt zudem sicher das dass Base System alle CA Zertifikate im Store registriert. Das größte Problem dabei ist, dass der Prozess langsamer als vorher abläuft. Dies kann dazu führen, dass User Zertifikate als nicht vertrauenswürdig gekennzeichnet werden. Whärend des Upgrades wird dies neben Fehlern angezeigt
OPNsense 23.7.7 Release Notes
- system: rewrite trust integration for certctl use
- system: improve UX on new configuration history page
- system: update recovery pattern for /etc/ttys
- system: improve service sync UX on high availability settings page
- system: migrate gateways to model representation
- system: detect a on/off password shift when syncing user accounts
- system: improve backup restore area selection
- system: keep polling if watcher cannot load a class to fetch status
- system: add “Constraint groups” option to LDAP authentication
- reporting: refactor RRD data retrieval and simplify health page UX
- interfaces: make link-local VIPs unique per interface
- interfaces: make VIPs sortable and searchable
- interfaces: improve assignments page UX and simplify its bridge validation
- interfaces: allow multiple IP addresses in DHCP reject clause (contributed by Csaba Kos)
- interfaces: enable IPv6 early on trackers
- interfaces: do not reload filter in rc.linkup
- interfaces: add input validations to VXLAN model (contributed by Monviech)
- interfaces: add NO_DAD flag to static IPv6 configurations
- interfaces: fix config locking when deleting a VIP node
- firewall: sort auto-generated rules by priority set
- firewall: fix regression in BaseContentParser throwing an error
- firmware: stop using the “pkg+http(s)” scheme which breaks using newer pkg 1.20
- ipsec: count user in “Overview” tab and improve “Mobile Users” tab (contributed by Monviech)
- ipsec: make description in connections required (contributed by Michael Muenz)
- ipsec: connection proposal sorting and additions
- lang: assorted updates and completed French translation
- openvpn: change verify-client-cert to a server only setting and fix validation
- openvpn: do not flush state table on linkdown
- unbound: avoid dynamic reloads when possible
- unbound: add support for wildcard domain lists
- unbound: improved UX of the overrides page
- backend: pluginctl: improve listing plugins of selected type
- mvc: add hasChanged() to detect changes to the config file
- mvc: allow empty value in UniqueConstraint if not required by field
- mvc: improve field validation message handling
- mvc: fix regression in PortField with setEnableAlias() that would lowercase alias names
- mvc: style update in diagnostics, firewall, intrusion detection and ipsec models
- ui: fix the styling of the base form button when overriding the label
- ui: trigger change message on toggle and delete
- plugins: os-nginx 1.32.2[1]
- plugins: os-radsecproxy fixes for stale rc script / pidfile issues
- plugins: os-rspamd 1.13[2]
- plugins: os-theme-ciada fix for previous regression
- plugins: os-wireguard 2.4[3]
- src: pf: enable the syncookie feature for IPv6
- src: pflog: log packet dropped by default rule with drop
- src: re: add Realtek Killer Ethernet E2600 IDs
- src: libnetmap: fix interface name parsing restriction
- src: tun/tap: correct ref count on cloned cdevs
- src: bpf: fix writing of buffer bigger than PAGESIZE
- src: net: check per-flow priority code point for untagged traffic
- src: libpfctl: implement status counter accessor functions
- src: pf: expose syncookie active/inactive status
- src: iavf: add explicit ifdi_needs_reset for VLAN changes
- src: vmxnet3: do restart on VLAN changes
- src: iflib: invert default restart on VLAN changes
- src: pf: fix state leak
- ports: curl 8.4.0[4]
- ports: lighttpd 1.4.72[5]
- ports: nss 3.94[6]
- ports: openssl111 supersedes openssl package
- ports: perl 5.36.1[7]
- ports: suricata 6.0.15[8]
Opnsense Hotfix 23.7.7_1 Release Notes
- firmware: speed up saving the firmware settings by avoiding the newly extended trust store rewrite
- firmware: opnsense-update: fix mirror replacement broken by pkg 1.20 compatibility effort
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.