Software-update: IPFire 2.27 - Core Update 175

IPFire logo (79 pix) IPFire is een opensourcefirewall voor i586-, x86_64- en ARM-systemen. Het bevat onder andere een intrusion detection/prevention system, deelt het netwerk op in zones, doet stateful packet inspection en biedt vpn-mogelijkheden. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben versie 2.27 Core Update 175 uitgebracht, een stabiele uitgave voor productiesystemen. De bijbehorende aantekeningen zien er als volgt uit:

IPFire 2.27 - Core Update 175 released

Finally, the next update, IPFire 2.27 - Core Update 175, has been released! It updates OpenSSL to the 3.1 branch, features a kernel update as well as a large number of package updates and a variety of bug fixes.

Before we start talking about the changes in detail, we would like to ask for your support. This update has taken a lot of effort to put together and we can't do it without you. So please, if you can, donate to the project helping us to put more resources to bring you more and better updates. It is very much appreciated by all of us here!

OpenSSL 3.1.1

IPFire heavily relies on cryptography which is being implemented by OpenSSL - a library that brings lots of cryptographic primitives and so on. Keeping it up to date is essential for the development team. Since this release is bringing a major update to OpenSSL 3.1.1 with lots of API changes, a lot of work was necessary under the hood. I would like to highlight that Adolf from our team has been working a lot of overtime to finally get lots of problems especially with OpenVPN resolved (#13137, #13138).

To avoid breaking any custom software IPFire users may run on their installations, OpenSSL 1.1.1's files remain untouched on existing installations until the release of Core Update 176. However, please note that OpenSSL 1.1.1 is scheduled for end of life on September 11, 2023, and ensure any custom changes are made compatible to OpenSSL 3.1.x as soon as possible.

Linux 6.1.30

This Core Update features an update of the Linux kernel. Aside from the usual heap of hardware support improvements, bug fixes, and other improvements, this fixes CVE-2023-32233, a flaw in Linux' Netfilter subsystem permitting local privilege escalation; IPFire installations properly kept up-to-date are thus not considered to be affected. Nevertheless, IPFire users are advised to install Core Update 175 as soon as possible once released, and reboot their systems afterwards.

The kernel now also supports the Armada 38X RTC (#12856) and Intel's XHCI USB Role Switch feature. In addition, IPFire now supports both the OrangePi R1 Plus LTS and NanoPi R2C (plus) SoC.

Miscellaneous
  • The hostapd add-on now enables QCA vendor extensions to nl80211, improving performance and stability of WiFi networks provided by an IPFire system with Qualcomm and Atheros cards considerably.
  • Legacy firewall rules for PPPoE/PPTP have been dropped, since they are no longer needed, and pose a security risk to IPFire installations with QMI enabled.
  • In addition, any bogon filtering has been adjusted to no longer interfere with 224.0.0.0/4, used for multicasting services, such as IPTV.
  • rsnapshot has been contributed by Gerd Hoerst and Jon Murphy as a new add-on.
  • Downloading large backup files will no longer trigger the OOM killer (#13096).
  • The size of the boot partition has been extended to 512 MBytes, which is XFS' minimum requirement.
  • Firmware files for APU1 boards are now provided again, to ensure firmware-update can update even very outdated APU boards properly.
  • The powertop add-on has been removed, since it requires kernel functionalities which have been disabled due to security concerns in Core Update 171.
  • CUPS' HTTPS websites are now properly accessible again (#12924).
  • The dbus add-on is now properly terminated after uninstallation (#13094).
  • Robin Roevens contributed a patch for displaying the logs crated by Zabbix Agent in IPFire's web interface.
  • Installation and removal procedure of the alsa add-on have seen notable improvements (#13087).
  • FUSE mounts in BorgBackup are now working properly again (#13076).
  • Updated packages: acpid 2.0.34, apache 2.4.57, apr 1.7.4, aprutil 1.6.3, arping 2.23, automake 1.16.5, bash 5.2 (with patches 1 to 15), bind 9.16.39, grep 3.10, harfbuzz 7.2.0, iproute2 6.3.0, libcap 2.67, libgcrypt 1.10.2, libgpg-error 1.47, libhtp 0.5.43, libpcap 1.10.4, libxml2 2.11.1, linux-firmware 20230404, lvm2 2.03.21, memtest86+ 6.10, newt 0.52.23, OpenSSH 9.3p1, parted 3.6, pciutils 3.9.0, slang 2.3.3, sqlite 3410200, Squid 5.9, Suricata 6.0.12, tzdata 2023b, unbound 1.17.1, xfsprogs 6.2.0, zstd 1.5.5
  • Updated add-ons: 7zip 17.05, alsa 1.2.9, amazon-ssm-agent 3.2.582.0, aws-cli 1.27.100, bird 2.0.12, ClamAV 1.1.0, dnsdist 1.8.0, elfutils 0.189, ffmpeg 6.0, freeradius 3.0.26, ghostscript 10.01.1, nfs 2.6.3, opus 1.4, pmacct 1.7.8, Postfix 3.8.0, rng-tools 2.16, samba 4.18.1, sdl2 2.26.5, tcpdump 4.99.4, zabbix_agentd 6.0.16 (LTS)

Versienummer 2.27 - Core Update 175
Releasestatus Final
Besturingssystemen Linux
Website IPFire
Download https://www.ipfire.org/download/ipfire-2.27-core175
Licentietype GPL

Reacties (8)

8
8
5
0
0
1
Wijzig sortering
Staat ondertussen IPv6 al op de roadmap?

[Reactie gewijzigd door The Zep Man op 24 juli 2024 02:41]

Die pagina omschrijft documentatie over protocollen in het algemeen. Dat houdt niet in dat IPv6 ondersteund wordt door IPFire.

IPv6 wordt niet ondersteund door IPFire 2.x. Men is al sinds jaren bezig met 3.x, maar tot zover komt er niets stabiels uit. Daarom vroeg ik ook over een roadmap (waarin ook datums genoemd worden).

Degenen die hard afhankelijk zijn van IPv6 kunnen uitwijken naar OpenWRT (werkt ook op x64) en OPNsense/pfSense.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 02:41]

Verzoeken voor IPv6 worden al ruim 10 jaar genegeerd, heb ooit (2013-ish) wel een howto geschreven om IPv6 (+ip6tables+radvd) aan de gang te krijgen maar die is met het oude IPFire-forum ge-devnulled en daarnaast ook van wiki verwijdert omdat de makers ineens niet meer willen dat je met commando's aan de gang gaat om functionaliteit toe te voegen...

Via webarchive zijn wel stukken van de howto te vinden: https://web.archive.org/w...rg/en/add-ipv6/ipv6/start
Ctrl+F naar "activate ipv6 at kernel level", "configure router announcements for ipv6 SLAAC" en "ipv6 firewall" voor het geval je dat zou willen proberen ;)
Het is echt onbeschrijfelijk merkwaardig dat een firewall anno 2023 geen IPv6 ondersteuning biedt. En eigenlijk is "ondersteuning" al een heel raar woord hier, alsof het en feature is - iets extra's. Het staat al vele jaren standaard aan in alle besturingssystemen en het is uitgebreid en tientallen jaren bekend dat IPv4 uiteindelijk onvoldoende is. Alsof je een auto aanbiedt zonder gordels, want dat was in 1970 ook niet nodig.

Weird.
Als ik het mij goed herinner, was het smoesje dat de code van de webinterface een zodanig grote puinzooi was dat ze het niet aandurfden iets er aan toe te voegen.
Nee, bedankt. Zoals genoemd zijn er alternatieven die wel native IPv6-ondersteuning hebben.
en daarnaast ook van wiki verwijdert omdat de makers ineens niet meer willen dat je met commando's aan de gang gaat om functionaliteit toe te voegen...
Iets als OPNsense/pfSense heeft gewoon ingebouwde IPv6-ondersteuning, en ook daar hoeft een gebruiker niet gebruik te maken van die enge zwarte vierkant met grijze blokletters...
* Raven gebruikt zelf Debian voor dit doeleinde :)
Was de beperkingen (niet alleen IPv6) van IPFire helemaal zat, bij Debian kan ik gewoon alles doen wat ik wil :D

Op dit item kan niet meer gereageerd worden.