Hallo,
wie ist den das Vorgehen von OPNSense bei Updates?
Verstehe ich es richtig, dass Sicherheitsupdates immer gebündelt herausgegeben werden für die einzelnen Programmen (z.B. OpenVPN) und nicht sofort als einzelne Pakete, wenn diese verfügbar sind?
Beispielsweise wurden in der OpenVPN Version 2.4.3 mehrere Sicherheitslücken behoben.
FreeBSD hat am 21.06.2017 das OpenVPN Update 2.4.3 in der Paketverwaltung veröffentlicht ( https://svnweb.freebsd.org/ports?view=revision&revision=444043).
Die OpenVPN Version 2.4.3 wurde am 05.07.2017 in OPNSense aktualisiert (https://opnsense.org/opnsense-17-1-9-released/).
Bedeutet dies also, dass OpenVPN in diesem Zeitraum von 14 Tagen unnötig unsicher war?
Nunja, das kommt auf den Schweregrad drauf an. Grundsätzlich werden alle Updates auf einmal herausgebeben - dafür in der Regel auch regelmäßig.
Wenn ein Programm ein schweres Sicherheitsproblem aufweist, kann es sein, dass mal entweder ein einzeles Update herausgegeben wird oder das Release von der nächsten Version vorgezogen wird.
Eine Einheit unsicherer, ja. Was das messbar bedeutet ist für jede CVE einzeln zu bewerten. :)
Es passiert schon, dass durch die 150 Komponenten mit losgelösten Release-Zyklen und unterschiedlich schnellen FreeBSD Maintainern und auch diversen Upstream-Problemen (Build-Issues, BSD Bugs) Sicherheitsupdates sich auch um mehrere Wochen verschieben können.
Grüsse
Franco