AccueilActualités informatiqueDistribution de pare-feu : sortie de pfSense CE 2.6.0 et Plus 22.01

Distribution de pare-feu : sortie de pfSense CE 2.6.0 et Plus 22.01

La branche commerciale de pfSense, pfSense Plus, et l’édition communautaire CE de pfSense sont toutes deux disponibles dans une version mise à jour. La distribution de pare-feu basée sur FreeBSD a subi des mises à jour générales et des corrections de bugs. Cependant, les développeurs ont également corrigé des failles de sécurité.

Sommaire

Les vulnérabilités concernent toutes l’interface web, appelée GUI web. Lors de la collecte des données pour l’affichage des itinéraires réseau dans la page de configuration diag_routes.php il y avait plusieurs problèmes ; par exemple l’utilisation de sed a permis à des utilisateurs connectés d’écraser n’importe quel fichier avec n’importe quel contenu, ce qui leur aurait permis de prendre le contrôle (CVE-2021-41282, CVSS 7.9, risque élevé).

L’une des failles de sécurité colmatées permettait aux utilisateurs connectés d’utiliser un paramètre mal vérifié lors de l’authentification. ntpd-permettait d’écraser n’importe quel fichier avec son propre contenu. Lors de la configuration d’OpenVPN, les chiffreurs n’étaient pas vérifiés si OpenVPN fonctionnait en mode clé partagée. Les utilisateurs ayant accès à la page de configuration auraient ainsi pu écrire des directives non souhaitées dans la configuration.

La dernière vulnérabilité comblée par les nouvelles versions était une faille de cross-site scripting dans la pkg.php-sur le site web. Cela provenait du fait que le pkg_filter-n’était pas codé avant d’être transmis à l’utilisateur.

Les mainteneurs ont intégré de nombreux changements dans les distributions mises à jour. Ils attirent toutefois l’attention sur le fait que les administrateurs doivent prêter une attention particulière aux ajustements concernant IPsec. Sur les plates-formes qui supportent le système de fichiers ZFS, celui-ci est désormais utilisé par défaut. Il n’est pas possible de passer d’UFS à ZFS, une nouvelle installation est nécessaire.

Aufmacher pfSense CE 2.6.0 und pfSense Plus 22.01 mit Sicherheitsupdates

(Image : Capture d’écran)

Comme ZFS apporte sa propre compression, pfSense désactive maintenant la compression des logs. Le format de hachage par défaut des mots de passe passe passe de bcrypt à SHA-512. Lors du prochain changement de mot de passe ou de la création d’un nouveau compte utilisateur, les mots de passe des utilisateurs seront modifiés en conséquence.

Une autre nouveauté concerne le réglage de l’heure du système. Lors du processus de démarrage, pfSense se synchronise d’abord avec les adresses statiques des serveurs NTP de Google. Ceci est nécessaire afin de contourner le problème de l’œuf et de la poule pour l’utilisation de DNSSEC ; la résolution de nom des serveurs NTP ne fonctionne pas si l’horloge est erronée.

Les notes de version de Netgate énumèrent de nombreux autres changements mineurs. Les utilisateurs de pfSense devraient prévoir d’installer les paquets mis à jour rapidement en raison des failles de sécurité ainsi comblées. Les paquets d’installation sont disponibles sur la page de téléchargement.

Lire aussi

Plus d'articles