Software-update - OPNsense 26.1.3

In dit artikel:

OPNsense, de FreeBSD-gebaseerde firewall (oorspronkelijk een fork van m0n0wall en pfSense) waarvan de configuratie via een webinterface gebeurt en die functies als MFA, OpenVPN, IPsec, CARP, captive portal, packetfiltering en traffic shaping biedt, heeft een nieuwe patch uitgebracht: versie 26.1.3 van de 26.1-reeks.

Belangrijkste punten
- Doel van de update: veiligheids- en stabiliteitsverbeteringen, plus herstel van meerdere bugs in de nieuwe regels‑GUI en andere onderdelen van de codebasis. Twee FreeBSD‑securityadviezen zijn verwerkt. Na installatie is een herstart vereist.
- Python-upgrade: de distributie bevat nu Python 3.13 (na eerdere problemen met 3.11 en ontbrekende security patches).
- Fix voor upgradeproblemen: aanpassingen in de firmware-scripts volgen op een correctie in 26.1.2 die vermoedelijk de sinds ongeveer twee jaar gerapporteerde gedeeltelijke upgrade-fouten verhelpt. Oorzaak bleek een opruimroutine in het core‑pakket die tijdelijke bestanden verwijderde terwijl de pakketbeheerder nog bezig was met installeren.

Hoofdverbeteringen en wijzigingen (samengevat per thema)
- Systeem: toevoeging van een notitieveld bij snapshots, configuratie-aanpassingen voor LDAP (memberOf configureerbaar), betere backup-behandeling (negeert toekomstige backups zodat nieuwe veilig worden opgeslagen) en automatische backup bij factory reset. Diverse GUI- en logfixes en aanpassingen in how certificates en poortinstellingen worden beheerd.
- Firewall en regels-GUI: meerdere bruikbaarheid- en validatieverbeteringen (import/export van regels, validatoren om conflicterende gateway/reply-to te voorkomen, ICMP‑types toegevoegd aan nieuwe GUI, live log-knop met voorgevulde regel-ID, fixes voor NAT‑weergave en zoek-/selectiegedrag).
- Netwerk/DHCP/DNS: Dnsmasq krijgt extra IP-validaties voor DHCPv4/IPv6-opties; DHCPv6 scripts en radvd-configuratie robuuster gemaakt; Unbound onthoudt PTR-override-instellingen en laat gebruikers die uitschakelen.
- Firmware en installatie: updates voor opnsense-update (ondersteuning voor aux-repositories), automatische toggles en rebootmeldingen aangepast; installer negeert bepaalde UFS flush-errors.
- Beveiliging en detectie: ET Open ruleset van Intrusion Detection geüpdatet naar versie 8.0.
- OpenVPN: opties toegevoegd voor legacy ciphers.
- Backend/MVC/UI: verwijdering van verouderde mwexec-functies, nieuwe helperfuncties voor config-arrays, herstructurering van MVC‑menu’s en verschillende UI‑fijnslijningen (bootgrid, command-binding).
- Plugins en ports: meerdere plugins kregen updates (o.a. os-acme-client, os-haproxy, os-tailscale, os-netbird, os-nextcloud-backup, os-upnp en thema’s). Ports bevatten bijgewerkte libraries waaronder libucl 0.9.4, nss 3.121 en python 3.13.12.
- FreeBSD-bronfixes: diverse fixes in netwerkdrivers en kernelonderdelen (o.a. IGMP, e1000, vtnet, ifconfig, pfctl, sctp, rtsock), plus aanpassingen rond bestandshandling en capabilties.

Waarom dit relevant is
De release richt zich op het dichten van beveiligingslekken, het stabiliseren van het updateproces (een veelgehoorde pijnpunt) en het verbeteren van de nieuwe regels‑GUI en netwerkfunctionaliteit. De Python‑upgrade en de FreeBSD‑securitypatches verminderen kwetsbaarheden; de firmware‑scriptwijzigingen moeten betrouwbaardere upgrades opleveren voor beheerders.

Aanbeveling
Beheerders wordt aangeraden de update te installeren en het systeem te herstarten om alle wijzigingen volledig door te voeren. Controleer na update plugins en aangepaste configuraties op eventuele compatibiliteitsverschillen.