概要：OPNsenseファイアウォール、セキュリティとパフォーマンスを向上

OPNsenseプロジェクトは、バージョン25.7.7をリリースし、エンタープライズファイアウォールの展開を強化するための重要なセキュリティ改善とパフォーマンス強化を提供しました。このアップデートは、インフラストラクチャの脆弱性に対処し、ネットワーク管理者に直接利益をもたらすユーザーからの要望に応じた運用強化を導入する上で、大きな進歩を意味します。

セキュリティ脆弱性の排除

このリリースで最も注目すべき進展は、OPNsenseバックエンドから安全でないシェル実行パターンが体系的に排除されたことです。これにより、これまでプロジェクト内で複数のセキュリティインシデントの原因となってきた根本的なアーキテクチャ上の脆弱性に対処しています。開発チームは、コードベース全体でexec()関数の使用を排除することで、コマンドインジェクションの脆弱性を悪用しようとする潜在的な脅威アクターに対する攻撃対象領域を大幅に削減しました。

このアップデートでは、セキュリティ研究者であるPellera TechnologiesのAlex Williams氏とTrend Zero Day Initiativeが協力して特定した、RRDバックアップコードのこれまで知られていなかった脆弱性に特に対処しました。この共同開示プロセスは、OPNsenseがセキュリティ研究者との透明な関係を維持し、発見された脆弱性に対して迅速に対応するというコミットメントを示しています。

追加のセキュリティ強化策として、ゲートウェイモニターウォッチャーやOpenVPN証明書失効リストファイルの書き込みメカニズムを含む重要なコンポーネント全体にfile_safe()関数が適用されました。これらの的を絞った改善により、ファイアウォールの整合性を損なう可能性のあるパス・トラバーサル攻撃やファイル操作攻撃が防止されます。

ファイアウォールライブロギング機能の強化

バージョン25.7.7では、以前の25.7.6リリースからのユーザーフィードバックに直接応え、ファイアウォールのライブロギング機能が大幅に改善されました。開発チームは、ライブログレンダリングエンジンを最適化し、処理中のホスト解決要求の不要な再解決を防ぐことで、大量のトラフィック分析シナリオでのパフォーマンスを大幅に向上させました。

このアップデートには、インテリジェントなデータ順序付けメカニズムと、構成可能なテーブルおよび履歴制限オプションが導入されており、管理者は特定の組織要件に基づいてロギング動作をカスタマイズできます。これらの強化は、インシデント対応手順中に数千のファイアウォールイベントを分析する本番環境で発生する一般的なパフォーマンスのボトルネックに対処します。

重要なセキュリティコンポーネントの更新

このリリースには、重要なセキュリティコンポーネントの更新バージョンが含まれています。

• 侵入検知用のSuricata 8.0.2
• VPNインフラストラクチャセキュリティ用のStrongSwan 6.0.3
• DNSセキュリティ強化用のUnbound 1.24.1
• 必須のアプリケーションセキュリティアップデートを提供するPHP 8.3.27
• 設定処理に影響を与える可能性のあるXML解析の脆弱性に対処するlibxml 2.14.6

これらの累積的なサードパーティアップデートにより、OPNsenseの展開は進化する脅威の状況に対する現在の保護を維持し、セキュリティチームはSuricataの検知エンジンで最新の脅威インテリジェンス統合機能を活用できます。

今後の追加機能

OPNsense開発チームは、25.7.xリリースブランチへの今後の追加機能として、IPv6ネットワーク監視用の新しいネイバーウォッチデーモン、強化されたネットワークトラフィック制御用のNDPプロキシプラグイン、およびコミュニティが貢献したテーマオプションを発表しました。これらの今後の機能は、現代のネットワークセキュリティ要件を満たすためにOPNsenseの機能を拡大し続けるでしょう。

推奨事項

OPNsenseを展開している組織は、これらのセキュリティ改善の恩恵を受けるために、バージョン25.7.7へのアップデートを優先すべきです。初期展開テスト中に発見された高可用性同期の回帰に対処するために、ホットフィックスリリース25.7.7_2がすでに発行されており、管理者は本番環境でこのアップデートを自信を持って実装できます。

---

元記事: https://gbhackers.com/opnsense-firewall-update-addresses-multiple-security-issues/