A equipe do IPFire anunciou a publicação do IPFire 2.29 – Core Update 202, contendo correções de vulnerabilidades críticas no kernel Linux e a atualização do OpenVPN para a versão 2.7. A recomendação é instalar o update imediatamente e reiniciar o firewall para garantir a proteção contra as falhas recentemente descobertas.
Principais correções de segurança do kernel
O kernel foi rebased para Linux 6.18.32, trazendo a mitigação de duas falhas de alta gravidade:
| Vulnerabilidade | CVE | Impacto |
|---|---|---|
| Dirty Frag – ESP/IPsec | CVE‑2026‑43284 | Escalada local de privilégios via módulo ESP do IPsec. |
| Copy Fail | CVE‑2026‑31431 | Falha lógica no subsistema criptográfico (algif_aead) que permite elevação a root em qualquer distribuição com kernels a partir de 2017. |
Embora o IPFire não ofereça contas de usuário não privilegiadas por padrão, a prática de “defesa em profundidade” recomenda a atualização imediata, pois novas vulnerabilidades podem explorar vetores diferentes.
OpenVPN 2.7 com Data Channel Offloading (DCO)
A nova versão OpenVPN 2.7.3 inclui suporte a Data Channel Offloading, que delega a criptografia/descriptografia ao kernel. Os testes indicam aumento de throughput de 1 Gbps para até 10 Gbps por túnel, com menor jitter e consumo de CPU graças ao uso da aceleração de hardware.
Outras melhorias e correções
- Firewall: Listas de portas separadas por vírgula são aplicadas corretamente.
- IPS: Logs volumosos foram removidos automaticamente e a rotação passou a ser diária.
- DNS Proxy: Permissão de acesso outbound sem necessidade de regras adicionais.
- IPsec: Correção de script que deixava regras redundantes após o encerramento de túneis.
- glibc: Correção de vulnerabilidade que permitia leitura fora dos limites em respostas DNS manipuladas (GLIBC‑SA‑2026‑0005).
Pacotes atualizados
A atualização inclui versões recentes de mais de 80 pacotes, entre eles:
abseil-cpp 20260107.1, Apache2 2.4.67, BIND 9.20.22, cURL 8.20.0, OpenSSH 10.3p1, OpenSSL 3.6.2, OpenVPN 2.7.3, systemd 260.1, Suricata 8.0.5, WireGuard‑tools 1.0.20260223 e muitos outros. A lista completa está disponível na página de release.
Atualizações nos Add‑Ons
- Samba: Foram corrigidas duas vulnerabilidades críticas relatadas pelo pesquisador valent1 (validação de entrada e escape de comandos).
- Who Is Online?: Corrigida vulnerabilidade XSS para usuários autenticados.
Os add‑ons receberam ainda atualizações de pacotes como ffmpeg 8.1, FRR 10.6.0, HAProxy 3.2.15, Samba 4.24.1, Tor 0.4.9.7 e outros.
Recomendações
- Instalar o Core Update 202 o quanto antes.
- Reiniciar o sistema após a atualização para aplicar o novo kernel.
- Verificar logs e garantir que a rotação diária esteja em vigor.
A equipe agradece as contribuições da comunidade via Bugzilla e incentiva doações para manter o ritmo acelerado de desenvolvimento.
Link oficial de download: IPFire 2.29 – Core Update 202
Documentação completa e notas de release: IPFire Blog – Release Announcement