Update für IPFire: Schnelleres VPN dank OpenVPN 2.7

Mit IPFire 2.29 – Core Update 202 schließt das Team der freien Firewall-Distribution mehrere Sicherheitslücken im Linux-Kernel, aktualisiert OpenVPN auf Version 2.7 und liefert zahlreiche weitere Sicherheits- und Paketupdates.

Kernel-Lücken Dirty Frag und Copy Fail

Im Zentrum steht ein Rebase auf Linux 6.18.32. Damit behebt IPFire unter anderem die kürzlich bekannt gewordenen Lücken Dirty Frag (CVE-2026-43284) und Copy Fail (CVE-2026-31431). Beide erlauben lokalen Nutzern eine Rechteausweitung bis hin zu root. Dirty Frag steckt im ESP/IPsec-Code des Kernels. Encapsulating Security Payload (ESP) ist ein zentraler Baustein vieler IPsec-VPNs. Über die Lücke können sich unprivilegierte lokale Nutzer unter bestimmten Bedingungen höhere Rechte verschaffen.

Copy Fail betrifft das Krypto-Subsystem rund um AF_ALG und das Modul algif_aead. AF_ALG bietet Anwendungen direkten Zugriff auf kryptografische Funktionen des Kernels. Verwundbar sind potenziell alle Linux-Distributionen mit Kerneln seit 2017.

Das Projekt ordnet die praktische Angriffsfläche auf typischen IPFire-Systemen allerdings als gering ein: Beide Lücken setzen lokalen Zugriff mit einem unprivilegierten Konto voraus, und IPFire richtet standardmäßig keine regulären Shell-Zugänge für normale Nutzer ein. Dennoch verweisen die Entwickler auf das Prinzip „Defence in Depth“ und raten unabhängig von der konkreten Ausnutzbarkeit zum Update.

OpenVPN 2.7 beschleunigt VPN-Tunnel

Die wichtigste funktionale Neuerung ist OpenVPN 2.7 mit Unterstützung für Data Channel Offloading (DCO) – dank besserer Nutzung der Hardware-Kryptobeschleunigung sinkt dabei auch die CPU-Last. Dabei wandert die Ver- und Entschlüsselung des Nutzdatenverkehrs vom Userspace in den Kernel. Bisher musste der OpenVPN-Daemon jedes Paket selbst verarbeiten. Durch die Kernel-Integration soll DCO den VPN-Durchsatz deutlich erhöhen und gleichzeitig CPU-Last und Jitter senken. In eigenen Tests stieg der Durchsatz pro Tunnel laut IPFire von rund 1 GBit/s auf bis zu 10 GBit/s.

Außerdem behebt das Update eine Schwachstelle in glibc bei der Verarbeitung manipulierter DNS-Antworten. Betroffen sind die Funktionen gethostbyaddr und gethostbyaddr_r für Reverse-DNS-Abfragen. Angreifer könnten darüber gefälschte Hostnamen einschleusen (GLIBC-SA-2026-0005). Aktualisiert haben die Entwickler darüber hinaus zentrale Komponenten wie OpenSSL 3.6.2, OpenSSH 10.3p1, Suricata 8.0.5, strongSwan 6.0.6, BIND 9.20.22 und Unbound 1.25.1. Alle Details zum Core Update 202 stehen in den Release Notes auf der Projektwebseite.

(fo)