Firewall-Distribution: pfSense 23.01 schließt Sicherheitslücken

Die auf FreeBSD basierende Firewall-Distribution pfSense liegt in Version pfSense Plus 23.01 vor. Die neue Fassung ergänzt neue Funktionen, verbessert die Hardware-Unterstützung und enthält Bugfixes. Zudem schließt sie einige Sicherheitslücken.

pfSense: Geschlossene Sicherheitslücken

In den Release-Notes zu pfSense 23.01 schreiben die pfSense-Maintainer, dass sie fünf Sicherheitslücken in der neuen Version geschlossen haben. Vier davon betreffen die Web-GUI und ermöglichten Cross-Site-Scripting-Angriffe, das Erstellen beliebiger Dateien oder gar das Ausführen beliebiger Befehle auf dem Server. Eine weitere Sicherheitslücke betrifft den SSH-Guard, dessen Brute-Force-Schutz sich bei GUI-Authentifizierungsanfragen mittels bestimmter Proxy-Header umgehen ließ.

Die Sicherheitsupdates können auch Administratoren von pfSense Plus 22.05.x sowie der pfSense Community Edition (CE) 2.6.0 über die "Recommended Patches"-Zone des System-Patches-Paket erhalten.

Weitere Highlights, die die pfSense-Entwickler hervorheben, umfassen die Akualisierung auf PHP 8.1 und FreeBSD 14-CURRENT; zuvor kam PHP 7.4 mit, das an seinem End-of-Lifecycle angelangt ist und der Unterbau setzte auf FreeBSD 12-STABLE, wie die Firma Netgate, die pfSense betreut, in einem Blog-Beitrag zum Release schreibt. Dadurch verbessert sich die Hardware-Unterstützung und pfSense erhält Zugriff auf aktuelle Treiber für eine größere Bandbreite an Hardware. Durch die Nutzung des Entwicklerzweigs CURRENT sinke der Aufwand, der bei einem neuen Release durch Anpassungen an den FreeBSD-Unterbau anfalle.

Firewall-Update: IPsec-Algorithmen ausgemistet

Ebenfalls im Kontext mit dem FreeBSD-Upgrade steht der Wegfall veralteter IPsec-Algorithmen, namentlich 3DES-, Blowfish und CAST128-Cipher sowie MD5-HMAC-Authentifizierung. "Um einen reibungslosen Übergang zu gewährleisten, konfigurieren Sie die Tunnel mit einer besseren Verschlüsselung neu und testen Sie sie, bevor Sie das Upgrade durchführen. Beim Upgrade werden IPsec-Tunnel aktualisiert, um alle veralteten Algorithmen aus ihrer Konfiguration zu entfernen", erklärt Netgate in der Release-Ankündigung.Es sei lediglich IPsec betroffen. BGP könne weiterhin TCP-MD5-Authentifizerung nutzen.

Im Gegenzug haben die Entwickler neue Verschlüsselung etwa mit ChaCha20-Poly1305 zu IPsec und OpenVPN DCO ergänzt; letzteres kann jetzt auch AES-128-GCM nutzen. Das pfBlockerNG-Paket wurde auf den Stand von pfBlockerNG-devel gehoben; letzteres Paket können Administratoren nun sicher entfernen – wobei die Einstellungen behalten werden sollten – und durch pfBlockerNG ersetzen.

Die oben verlinkten Release-Notes und der Blog-Beitrag von Netgate beleuchten weitere Änderungen im Detail. Sie liefern auch Anleitungen mit, wie die Aktualisierung auf pfSense 23.01 gelingt. Nutzer der pfSense Community Edition weit Netgate darauf hin, dass die Migration auf pfSense Plus ohne Kosten möglich sei.

Auch mit der Aktualisierung auf pfSense 22.01 respektive CE 2.6.0 im vergangenen Jahr hatten die Maintainer einige Sicherheitslücken geschlossen. Administratoren sollten die Updates zügig installieren, damit Angreifer die Sicherheitslücken nicht missbrauchen können.

(dmk)