IPFire 2.29 Core Update 202: sicurezza rafforzata, OpenVPN 2.7 e performance fino a 10 Gbit/s

La nuova release IPFire 2.29 Core Update 202 segna uno degli aggiornamenti più significativi degli ultimi mesi per la celebre distribuzione firewall open source.

Questa versione non si limita a introdurre patch di routine: rappresenta un intervento strutturale focalizzato su sicurezza avanzata, hardening del kernel Linux e ottimizzazione radicale delle prestazioni VPN.

Il team di sviluppo ha integrato le più recenti correzioni per vulnerabilità critiche del kernel Linux, aggiornato l’intero stack crittografico e introdotto il supporto a OpenVPN 2.7 con Data Channel Offloading (DCO), una tecnologia destinata a cambiare concretamente il throughput dei tunnel VPN.

L’aggiornamento è fortemente raccomandato per tutti gli ambienti produttivi, soprattutto alla luce dell’elevato numero di vulnerabilità pubblicate nelle ultime settimane.

Kernel Linux 6.18.32: focus sulla mitigazione delle minacce critiche

Uno degli elementi centrali della release è il passaggio al nuovo kernel Linux 6.18.32, progettato per correggere diverse vulnerabilità ad alto impatto recentemente divulgate.

Tra le più rilevanti troviamo:

Dirty Frag – ESP/IPsec (CVE-2026-43284)

Scoperta il 7 maggio 2026, questa vulnerabilità interessa il modulo ESP utilizzato da IPsec e consente un’escalation locale dei privilegi fino ai permessi root. In scenari Linux tradizionali, un utente non privilegiato potrebbe sfruttare il difetto per compromettere completamente il sistema.

Copy Fail (CVE-2026-31431)

Pubblicata il 29 aprile 2026, questa falla coinvolge il sottosistema crittografico del kernel Linux.

Il problema consente a utenti locali non privilegiati di ottenere privilegi elevati attraverso exploit estremamente compatti e facilmente integrabili.

Secondo gli sviluppatori, la vulnerabilità interessa praticamente tutte le distribuzioni Linux che utilizzano kernel compilati dal 2017 in avanti.

Perché IPFire resta meno esposto

Nonostante la gravità delle vulnerabilità, IPFire mantiene un profilo di rischio inferiore rispetto a molte distribuzioni general purpose grazie alla sua architettura fortemente orientata alla sicurezza.

Le vulnerabilità richiedono infatti:

• accesso locale al sistema;
• una shell non privilegiata;
• la possibilità di eseguire codice sul firewall.

IPFire, per design, non espone account shell non privilegiati: l’accesso console resta limitato esclusivamente all’amministratore.

Tuttavia, il team sottolinea un principio fondamentale della cybersecurity moderna: la difesa multilivello.

Anche quando un sistema non appare direttamente vulnerabile, mantenere costantemente aggiornato il software rappresenta una misura essenziale per prevenire futuri vettori di attacco.

OpenVPN 2.7: arriva il Data Channel Offloading

Uno degli aggiornamenti tecnologicamente più interessanti di questa release è senza dubbio l’introduzione di OpenVPN 2.7.

La novità principale è il supporto al Data Channel Offloading (DCO), una funzionalità che trasferisce la gestione della cifratura direttamente al kernel Linux.

Tradizionalmente, il traffico VPN veniva elaborato dal demone OpenVPN in userspace, introducendo overhead CPU e latenza. Con DCO, invece:

• la cifratura avviene direttamente nel kernel;
• diminuisce drasticamente il context switching;
• viene sfruttata in modo più efficiente l’accelerazione hardware crittografica.

Il risultato è impressionante:

• throughput aumentato da circa 1 Gbit/s fino a 10 Gbit/s per tunnel;
• riduzione sensibile del jitter;
• minore utilizzo della CPU;
• maggiore stabilità sotto carico elevato.

Per infrastrutture enterprise, datacenter e ambienti ad alta densità di traffico, questo rappresenta un salto generazionale nelle performance VPN.

Firewall, IPS e DNS: ottimizzazioni operative

Core Update 202 introduce anche una lunga serie di miglioramenti operativi e correzioni infrastrutturali.

Tra i più importanti:

• corretta la gestione delle porte multiple nelle regole firewall separate da virgole;
• ottimizzato il sistema IPS, che ora elimina automaticamente log e statistiche eccessivamente voluminosi;
• rotazione giornaliera dei log per ridurre il consumo disco;
• migliorata la gestione del proxy DNS, che ora consente traffico in uscita senza regole firewall aggiuntive;
• corretto un bug in IPsec che lasciava regole firewall ridondanti dopo la chiusura dei tunnel.

Particolare attenzione anche a una vulnerabilità rilevata in glibc relativa alla gestione delle risposte DNS inverse, potenzialmente sfruttabile per manipolare hostname restituiti ai processi applicativi e alterare sistemi di logging o controllo accessi.

Ecosistema software aggiornato

La release aggiorna un numero estremamente elevato di componenti strategici del sistema, tra cui:

• Apache 2.4.67
• OpenSSL 3.6.2
• OpenSSH 10.3p1
• Suricata 8.0.5
• StrongSwan 6.0.6
• systemd 260.1
• WireGuard Tools
• SQLite 3.53.0
• BIND 9.20.22
• cURL 8.20.0

L’aggiornamento esteso dell’intera toolchain rafforza ulteriormente il profilo di sicurezza della piattaforma.

Add-on sotto osservazione: corrette vulnerabilità in Samba e moduli web

Anche i componenti aggiuntivi ricevono importanti correzioni di sicurezza.

Il ricercatore noto come valent1 ha segnalato due vulnerabilità in Samba:

• una falla nella validazione degli input durante il join di dominio;
• un problema nell’escape dei comandi shell che poteva consentire escalation di privilegi fino a root.

Entrambe risultano corrette in questa release.

Corretta inoltre una vulnerabilità XSS nel modulo “Chi è online?”, sfruttabile da utenti autenticati.

Aggiornamento fortemente consigliato

Con l’emergere di vulnerabilità come Dirty Frag, Copy Fail e Fragnesia, il panorama Linux continua a dimostrare quanto la superficie d’attacco dei sistemi moderni sia in continua evoluzione.

IPFire 2.29 Core Update 202 non rappresenta soltanto un aggiornamento di manutenzione, ma un importante passo avanti in termini di:

• resilienza;
• prestazioni;
• sicurezza infrastrutturale;
• modernizzazione dello stack VPN.

Gli amministratori di sistema sono invitati ad aggiornare i propri firewall il prima possibile e a riavviare il sistema al termine dell’installazione per applicare completamente le nuove mitigazioni del kernel.

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Ehi, appassionato di tecnologia!  Sei pronto a dare una svolta alla tua carriera con la certificazione IPFire?

È un’opportunità imperdibile! Se sei interessato, contatta il fantastico staff di IPFire Italia.

Per ottenere la certificazione, dovrai sostenere un esame online, e una volta superato, riceverai il tuo attestato direttamente da noi.

Certificazione IPFire

Vuoi unirti alla nostra squadra? Non essere timido! Scrivici attraverso il modulo che trovi qui e assicurati di lasciare un recapito telefonico per poterti ricontattare.

E non dimenticare: puoi anche supportare il progetto IPFire Italia con un piccolo contributo economico tramite PayPal. Ogni aiuto conta!

Sostieni IPFire Italia

Merchandising di IPFire Italia