Software-update - IPFire 2.29 - Core Update 202

In dit artikel:

IPFire 2.29 Core Update 202 is vrijgegeven: een security- en onderhoudsupdate voor de opensource-firewall (i586, x86_64, ARM) die onder andere IDS/IPS, zone-segmentatie, stateful packet inspection en vpn-functionaliteit biedt. De ontwikkelaars adviseren om de update zo snel mogelijk te installeren en het systeem daarna te herstarten.

Wat is er aangepast en waarom
- Kernel: IPFire is nu gebaseerd op Linux 6.18.32 om twee ernstige recent ontdekte kernelzwaktes te dichten: "Dirty Frag" (CVE-2026-43284), een lokale privilege-escalatie in de ESP/IPsec-module, en "Copy Fail" (CVE-2026-31431), een fout in de cryptografische AF_ALG-interface waarmee een lokale gebruiker root kan worden. Beide problemen vereisen echter lokale shelltoegang — iets wat een standaard IPFire-installatie normaal niet aanbiedt — maar toch wordt patchen om redenen van defence-in-depth sterk aangeraden.
- OpenVPN: de ingebouwde OpenVPN is bijgewerkt naar versie 2.7 (pakket 2.7.3). De belangrijkste verbeteringen zijn Data Channel Offloading (DCO) naar de kernel, wat encryptie/decryptie op kernelniveau mogelijk maakt en daardoor doorvoersnelheid en efficiëntie sterk kan verhogen (in tests van ~1 Gbps naar ~10 Gbps per tunnel).
- Overige fixes: diverse functionele en loggingsproblemen zijn opgelost, zoals juiste toepassing van meerdere poorten in firewallregels, het opruimen en frequenter roteren van IPS-logbestanden (om schijfruimte te besparen), permissies voor uitgaande DNS-proxyverbindingen en het wegwerken van overbodige IPsec-firewallregels veroorzaakt door een scriptfout.
- glibc-issue: een fout in glibc kan een out-of-bounds read veroorzaken bij reverse DNS-queries (GLIBC-SA-2026-0005); dat is gevaarlijk voor systemen die reverse DNS gebruiken in logging of toegangsbeslissingen.
- Add-ons: kritieke kwetsbaarheden in de Samba-add-on (gemeld door onderzoeker "valent1") zijn gepatcht; deze betroffen onvoldoende inputvalidatie bij join-operaties en onjuiste escaping die tot root-toegang kon leiden. Ook een XSS in "Who Is Online?" is opgelost.

Pakketten en updates
De release bevat een brede reeks bijgewerkte componenten, waaronder kernel 6.18.32, OpenSSL 3.6.2, OpenSSH 10.3p1, systemd 260.1, Suricata 8.0.5, GnuTLS, BIND, WireGuard-tools en vele andere libraries en tools. Daarnaast zijn IP blocklist-links geactualiseerd.

Aanbeveling
Installeer Core Update 202 zo snel mogelijk en voer daarna een reboot uit om de kernel- en gebruikersruimtereparaties volledig te activeren. Hoewel sommige kwetsbaarheden lokale toegang vereisen en IPFire daar beperkt door blootstaat, blijft updaten essentieel voor veiligheid en stabiliteit.