IPFire 2.29 Core Update 200: Linux 6.18 LTS und DBL-Preview

Die Entwickler der freien Firewall-Distribution IPFire haben Core Update 200 für Version 2.29 veröffentlicht. Das Update bringt Linux 6.18.7 LTS sowie eine Vorabversion des eigenen Domain-Blocklist-Systems DBL. Außerdem enthält es wichtige Sicherheitskorrekturen für OpenSSL und Performance-Optimierungen für den DNS-Proxy Unbound.

Der neue Kernel 6.18.7 LTS verbessert laut IPFire die Netzwerk-Performance durch den optimierten Durchsatz und geringere Latenzen. Zudem erweitert er die Packet-Filtering-Fähigkeiten und integriert aktuelle Hardware-Sicherheitsmechanismen. Für Nutzer bedeutet dies stabilere Verbindungen bei hoher Last und schnellere Paketverarbeitung.

Eine kritische Änderung betrifft ReiserFS-Nutzer: Der Kernel hat das Dateisystem als veraltet markiert. Betroffene IPFire-Installationen können das Update nicht einspielen. Nutzer müssen ihre Daten sichern, das System neu mit einem modernen Dateisystem wie ext4 oder Btrfs aufsetzen und die Daten anschließend wiederherstellen. IPFire hatte bereits über die Web-Oberfläche gewarnt, eine Migration erfordert jedoch Planung.

DBL als Shalla-List-Nachfolger

Mit DBL (Domain Blocklist) stellt IPFire ein eigenes kategorisiertes Blocklist-System vor, das als Reaktion auf das Auslaufen der Shalla-List im Januar 2022 entwickelt wurde. Die Beta-Version ermöglicht das Blockieren von Malware, Phishing, Werbung, Pornografie, Glücksspiel, Gaming-Seiten und DoH-Servern. Die Community kuratiert die Liste und aktualisiert sie stündlich.

DBL lässt sich über den URL-Filter für Proxy-Blocking oder via Suricata für Deep Packet Inspection nutzen. Letzteres ermöglicht eine umfassendere Kontrolle über DNS, TLS, HTTP und QUIC mit detaillierten Alert-Informationen. Die Community kann über ein Online-Reporting falsche Einträge melden oder neue Bedrohungen ergänzen.

DBL steht unter offenen Lizenzen: Der Code ist unter GPLv3+ verfügbar, die Daten unter CC BY-SA 4.0. Das System ist kompatibel mit Pi-hole, BIND, Unbound, pfSense, SquidGuard und Adblock-Plus. IPFire hat DBL bereits Anfang des Jahres vorgestellt.

Performance-Verbesserungen und Sicherheitsfixes

Der DNS-Proxy Unbound nutzt nun Multi-Threading mit einem Thread pro CPU-Kern statt Single-Threading. Dies parallelisiert DNS-Abfragen und führt zu schnelleren Response-Zeiten, besonders bei Multi-Core-Systemen mit vielen Clients. PPP sendet LCP-Keepalives nur noch bei Inaktivität, um Overhead auf DSL-, 4G- und 5G-Verbindungen zu sparen.

OpenSSL 3.6.1 behebt mehrere Sicherheitslücken. Die schwerwiegendste ist CVE-2025-15467: ein Stack-Overflow in CMS/AEAD mit potenziellem Remote Code Execution (hoher Schweregrad). Weitere Fixes: CVE-2025-11187 (PKCS#12 Buffer-Overflow, CVSS 6.1, mittel) und CVE-2025-66199 (TLS-1.3-DoS durch große Memory-Allokationen pro Verbindung). Auch glibc erhielt Korrekturen für mehrere CVEs (CVE-2026-0861, CVE-2026-0915, CVE-2025-15281).

Bei OpenVPN wurden Änderungen an der Konfiguration vorgenommen: MTU-, OTP- und CA-Parameter werden nicht mehr in Client-Configs gespeichert, sondern zentral vom Server gepusht. Dies erhöht die Flexibilität und Kompatibilität, etwa beim Import in NetworkManager. Ältere Clients könnten dadurch allerdings Probleme bekommen. Die zentrale Kontrolle soll Config-Fehler und Fragmentierungsprobleme minimieren.

DBL bildet die Grundlage für eine geplante DNS-Firewall in IPFire, die natives Content-Filtering auf DNS-Ebene gegen Werbung und Malware ermöglichen soll, unabhängig von Proxys. Die IPFire-Entwickler dankten der Community für die Unterstützung via Feedback und Spenden. Details zu Core Update 200 finden sich in den Release Notes.

Siehe auch:

• IPFire: Download schnell und sicher von heise.de

(fo)