Hallo zusammen,
mein CMK meckert schon seit einigen Wochen das Paket Pkg: libxslt vulnerable an.
Ich war der Hoffnung, dass sich das mit einem Update irgendwann erledigt, aber da mittlerweile schon zwei Releasezyklen drübergelaufen sind, wollte ich mal nachfragen ob da noch was kommt?
Gruß
Es würde einen Maintainer für den Port brauchen:
https://www.freshports.org/textproc/libxslt/
Und irgendjemanden, der sich Upstream um das Projekt kümmert - scheint tot zu sein, jedenfalls gab es seit 5 Monaten keine neue Release:
https://gitlab.gnome.org/GNOME/libxslt/-/tags
Der FreeBSD-Port ist auf Stand. Mehr kann man nicht tun.
Hab das gleiche Problem. Witzig ist, dass 2/3 meiner Opnsense Instanzen dieses Problem nicht in CheckMK melden.
Weiß jemand wofür dieses Paket gebraucht wird, oder ist das nur auf dem System weil die Ports evtl. genutzt wurden?
Vielen Dank
Das ist als Abhängigkeit in vielen PHP PECL-Modulen drin. Kann man dann halt schlecht was tun. Man kann ja nicht jedes verwaiste Projekt übernehmen.
Ich würd mal anylsieren, was davon wirklich gebraucht wird, und es wenn möglich rauswerfen.
Apple hat diese Probleme mit Unterstützung durch Sergei Glazunov und Ivan Fratric (beide vom Google Project Zero) immerhin schon am 29. / 30. Juli 2025 gefixt, also sowohl in libxml2 als auch libxslt (CVE-2025-7425 sowie CVE-2025-7424), siehe dazu:
https://support.apple.com/de-de/124152 bzw. auch https://support.apple.com/en-us/124149
Eventuell macht es ja Sinn, das entsprechend erfahrene OPNsense-Entwickler Kontakt mit Sergei und/oder Ivan aufnehmen, um einen Fix für FreeBSD und letztlich auch OPNsense entwickeln zu können?
Man will doch ganz sicher nicht damit leben, dass diese CVEs jetzt "für immer" als Warnung in der OPNsense angezeigt werden, sobald man den Security Audit laufen lässt?
Sprich, da sollte doch ein Patch möglich sein, insbesondere bei einem so sicherheits-sensiblen Projekt wie OPNsense?
Ich fände es auch cool, wenn sich da was ergeben würde. Auf Dauer ist das vermutlich kein wünschenswerter Zustand aus Security-Sicht.
Das Problem ist, dass die libxslt vom Gnome Projekt komplett aufgegeben wurde und nicht mehr aktualisiert werden wird. Es ist m.E. sinnvoller, zu versuchen, die Library loszuwerden, als sie selbst zu patchen.
Kurze Frage: Ist dieses "Loswerden" im Zuständingskeitsbereich von OPNsense? Es wird doch dort benutzt, wenn ich es richtig verstanden habe, oder?
"Loswerden" - ja, das muss aber das OPNsense-Team recherchieren und entscheiden, ob man das Paket braucht oder Dinge anders implementieren kann.
Also wäre das etwas, was sich ggf. @franco anschauen müsste, korrekt?
Ja? Vielleicht? Oder ein anderer Kollege? Franco ist ja nicht allein. OPNsense wird von der Firma Deciso mit Sitz in den Niederlanden hergestellt. Die haben ein Team, das sich hauptberuflich um das Produkt kümmert. Alle Architektur-Entscheidungen fallen dort.
Ok und wie bekommen die zuständigen Personen das mit? Lesen die hier aktiv mit?
Du glaubst doch nicht, dass die Entwicklungsabteilung nicht weiß, dass da ein CVE offen ist?
Also ...
root@opnsense:~ # pkg info -r libxslt
libxslt-1.1.43_1:
py311-lxml5-5.4.0_2
Das bedeutet, libxslt wird benutzt von der Python-Library, die nötig ist, um zum Beispiel die Konfiguration der OPNsense einzulesen, zu modifizieren, und wieder raus zu schreiben.
Mit "loswerden" meinte ich, dass es prinzipiell möglich ist, auf diese Library zu verzichten und den ganzen Kram mit einer anderen Library oder komplett in Eigenarbeit zu implementieren. Evtl. ändert man ja auch beim Python-Projekt den XLM-Teil so, dass libxslt nicht mehr benötigt wird.
Das ist aber eine größere Änderung an der grundlegenden Architektur - das wird nicht "mal eben so" passieren. Es werden bei Deciso in Meetings zur Roadmap sicher Diskussionen zu dem Problem stattfinden und bis eine Lösung angekündigt wird, ist die Situation so wie sie ist.
Selbst mit diesem CVE - was passiert? Liest die OPNsense irgendwo XML von nicht vertrauenswürdigen Quellen ein, die den Bug triggern könnten? Nein. Also - kein Sicherheitsproblem.