OPNsense 25.7.11: Cập nhật Bản Vá Khẩn Cấp, Chặn Lỗ Hổng CVE

Nền tảng tường lửa và định tuyến mã nguồn mở OPNsense, phát triển trên FreeBSD, đã phát hành phiên bản 25.7.11 vào ngày 15 tháng 01 năm 2026. Bản cập nhật bản vá này mang đến nhiều cải tiến đáng kể, bao gồm một dịch vụ khám phá host mới được thiết kế để nâng cao khả năng quản lý mạng.

Phiên bản này là một bản cập nhật tăng cường quan trọng, không chỉ củng cố chức năng cho cả IPv4 và IPv6 mà còn chuẩn bị cơ sở hạ tầng cho phiên bản chính 26.1 sắp tới. Các cải tiến tập trung vào tính ổn định, hiệu suất và bảo mật, đáp ứng nhu cầu của các môi trường mạng phức tạp.

Nội dung

Dịch vụ Khám phá Host Mới: Tăng cường Quản lý và An ninh Mạng

Cải thiện Giao thức IPv6: Tăng cường Ổn định và Hiệu suất Mạng

Các Sửa lỗi Kernel Đáng chú ý

Củng cố Bảo mật: Giảm thiểu Rủi ro Lỗ hổng CVE và Tấn công Injection

Chuyển đổi DHCP và Các Sửa lỗi Khẩn cấp

Triển vọng và Cập nhật Tương lai

Dịch vụ Khám phá Host Mới: Tăng cường Quản lý và An ninh Mạng

Điểm nổi bật nhất của bản phát hành này là sự ra mắt dịch vụ khám phá host mới, được cung cấp bởi thành phần hostwatch phiên bản 1.0.4. Dịch vụ này hiện được bật mặc định trên tất cả các cài đặt OPNsense, mang lại khả năng tự động hóa vượt trội trong việc theo dõi và quản lý thiết bị.

Dịch vụ này tự động duy trì một cơ sở dữ liệu động các địa chỉ MAC cho các host IPv4 và IPv6 kết nối với các phân đoạn mạng của tường lửa. Việc này loại bỏ nhu cầu cấu hình thủ công phức tạp, giúp quản trị viên dễ dàng hơn trong việc theo dõi và kiểm soát các thiết bị trong mạng.

Sự triển khai này tích hợp liền mạch với các tính năng OPNsense hiện có. Dữ liệu host được cung cấp trực tiếp cho các alias tường lửa loại MAC và các máy khách captive portal. Điều này cho phép áp dụng các chính sách bảo mật dựa trên danh tính thiết bị một cách hiệu quả hơn.

Chức năng mới giải quyết một thách thức lâu dài trong quản trị mạng: duy trì bản đồ chính xác giữa thiết bị và địa chỉ MAC trong các môi trường phức tạp. Trong những môi trường này, các thiết bị thường xuyên kết nối và ngắt kết nối, gây khó khăn cho việc quản lý thủ công.

Các tổ chức hiện có thể triển khai các chính sách tường lửa chi tiết hơn dựa trên định danh thiết bị. Thay vì chỉ dựa vào cấu hình IP tĩnh, việc sử dụng địa chỉ MAC động cho phép linh hoạt và bảo mật cao hơn. Dịch vụ này cũng duy trì khả năng tương thích ngược, cho phép quản trị viên tùy chọn tắt tính năng khám phá tự động thông qua cài đặt nếu cần.

Cải thiện Giao thức IPv6: Tăng cường Ổn định và Hiệu suất Mạng

Trong giai đoạn vừa qua, các nhà phát triển đã đầu tư đáng kể vào việc cải thiện giao thức IPv6. Các vấn đề cấp giao thức được người dùng báo cáo từ nhiều triển khai mạng khác nhau đã được khắc phục, đảm bảo tính ổn định và hiệu suất cao hơn cho mạng.

Các Sửa lỗi Kernel Đáng chú ý

Một số sửa lỗi kernel quan trọng đã được áp dụng. Điều này bao gồm việc hiệu chỉnh các tính toán thời gian tồn tại tiền tố địa chỉ. Các lỗi lệch một đơn vị trong kiểm tra thời gian tồn tại tiền tố (pltime) và thời gian tồn tại hợp lệ (vltime) đã được loại bỏ, đảm bảo các địa chỉ IPv6 được quản lý chính xác hơn.

Việc cải thiện xử lý tiền tố DHCPv6 cũng là một điểm nhấn. Điều này giúp hệ thống hoạt động ổn định hơn khi phân phối và quản lý địa chỉ IPv6 trong môi trường động. Daemon rtsold hiện đã xác thực đúng thời gian tồn tại quảng cáo router (RA) trước khi kích hoạt các script cấu hình, ngăn chặn các lỗi xảy ra trong các môi trường IPv6 phức tạp.

Ngoài ra, việc xử lý gói divert IPv6 đã nhận được các chỉnh sửa ở cấp pf. Điều này giúp cải thiện độ chính xác của việc lọc gói cho các tổ chức đang chạy các chính sách thao tác lưu lượng nâng cao. Bản cập nhật bản vá này cũng đảm bảo rằng các host có độ dài tiền tố 128 không còn kích hoạt các cảnh báo sai trong quá trình xóa địa chỉ.

Củng cố Bảo mật: Giảm thiểu Rủi ro Lỗ hổng CVE và Tấn công Injection

Bản phát hành này tiếp tục nỗ lực trong nhiều phiên bản nhằm loại bỏ các lệnh gọi hàm exec() trực tiếp trong toàn bộ mã nguồn. Đây là một quá trình tái cấu trúc tập trung vào bảo mật, giúp giảm thiểu bề mặt tấn công command-injection. Các lệnh gọi exec() có thể bị lạm dụng để thực thi mã tùy ý, do đó việc loại bỏ chúng là một bước quan trọng để tăng cường an toàn thông tin.

Những thay đổi này trải rộng trên các script xác thực, các tiện ích cấu hình hệ thống và quản lý dịch vụ backend. Bằng cách thay thế các lệnh gọi exec() bằng các phương pháp an toàn hơn, OPNsense giảm đáng kể nguy cơ bị khai thác thông qua các lỗ hổng tiêm lệnh. Đây là một nỗ lực liên tục để bảo vệ người dùng khỏi các mối đe dọa tiềm tàng.

Hệ thống phát hiện xâm nhập (IDS) cũng đã nhận được các bản cập nhật. Các cập nhật này nhằm tinh chỉnh cơ chế lựa chọn cảnh báo và cung cấp gợi ý hữu ích hơn cho việc chỉnh sửa quy tắc. Điều này giúp quản trị viên dễ dàng hơn trong việc cấu hình và quản lý IDS, từ đó cải thiện khả năng phát hiện và phản ứng trước các cuộc tấn công.

Chuyển đổi DHCP và Các Sửa lỗi Khẩn cấp

Tích hợp ISC-DHCP đã nhận được các biện pháp bảo vệ bổ sung cho việc truy cập thuộc tính DHCPv6. Đây là một bước quan trọng trong quá trình OPNsense chuyển đổi sang việc thay thế ISC-DHCP bằng Kea trong phiên bản 26.1. Việc chuẩn bị sớm này giúp đảm bảo quá trình chuyển đổi diễn ra suôn sẻ và an toàn.

Hai bản vá khẩn cấp (hotfix) đã được phát hành sau bản chính thức ban đầu. Phiên bản 25.7.11_1 đã sửa một lỗ hổng CVE phân tích vsprintf() liên quan đến các ký tự phần trăm lạc chỗ. Lỗ hổng này, mặc dù nhỏ, có thể dẫn đến các hành vi không mong muốn hoặc sự cố trong các tình huống nhất định, do đó việc khắc phục là cần thiết để duy trì tính ổn định của hệ thống.

Phiên bản 25.7.11_2 đã giải quyết logic đặt lại các tunable trong các trường hợp cạnh và loại bỏ các thông báo ghi log quá mức từ hostwatch. Việc này giúp giảm đáng kể lượng log hệ thống không cần thiết, giúp quản trị viên dễ dàng hơn trong việc phân tích các log quan trọng và giám sát hiệu suất hệ thống. Bản cập nhật bản vá này đảm bảo trải nghiệm người dùng tối ưu hơn.

Triển vọng và Cập nhật Tương lai

Chu kỳ phát hành ổn định của OPNsense vẫn đang đi đúng tiến độ. Phiên bản 26.1-RC1 dự kiến sẽ ra mắt vào đầu tuần sau ngày phát hành của 25.7.11, với phiên bản cuối cùng nhắm đến ngày 28 tháng 01 năm 2026. Chi tiết về lộ trình phát triển có thể được tìm thấy trên diễn đàn OPNsense.

Bản cập nhật bản vá này duy trì sự ổn định cho các triển khai sản xuất, đồng thời định vị các tổ chức để chuẩn bị cho những thay đổi kiến trúc quan trọng sẽ xuất hiện trong phiên bản chính tiếp theo. Việc theo dõi và áp dụng kịp thời các bản cập nhật này là rất quan trọng để đảm bảo an ninh mạng và hiệu suất tối ưu cho hệ thống.

Để biết thêm thông tin chi tiết về các thay đổi kỹ thuật và khắc phục sự cố, bạn có thể tham khảo ghi chú phát hành chính thức của OPNsense 25.7.11.