Hallo zusammen,

da ich selbst kein Entwickler bin hoffe ich hier ein paar Antworten finden zu können.

Mir geht es um folgendes Problem: OPNsense ist eine auf FreeBSD aufbauende Firewall-Lösung, bei der im Security Audit seit einigen Wochen auf die CVEs 2025-7425 sowie 2025-7424 hingewiesen wird:


Leider ist nach wie vor kein Fix in Aussicht (aus Gründen, die sich mir im Detail nicht erschließen).

Apple hat diese Sicherheits-Probleme mit Unterstützung durch Sergei Glazunov und Ivan Fratric (beide vom Google Project Zero) immerhin schon am 29. / 30. Juli 2025 gefixt, also sowohl in libxml2 als auch libxslt (CVE-2025-7425 sowie CVE-2025-7424), siehe dazu:

bzw. auch

Meine Frage wäre nun folgende: Da es sich bei libxml2 wie auch libxslt um Open Source Bestandteile von Darwin handeln dürfte und macOS in vielen Bereichen FreeBSD recht nahe ist, sollte es doch möglich sein, diese Fixes auch von den Darwin-Quellen auf FreeBSD zu übertragen?

Die derzeit aktuelle OPNsense Version 25.7.2 basiert auf FreeBSD 14.3-RELEASE-p2.

Danke für Eure Einschätzung und hilfreiche Hinweise.

Klar wäre das möglich, sofern Apple nicht stark abweicht. Schaue dir einfach Apples letzte Änderungen an und übertrage sie. Da das aber noch niemand gemacht hat, deutet es darauf hin, dass es so einfach dann wohl doch nicht ist.

Nebula: Danke für den Link.

Wie gesagt bin ich selbst ja kein Programmierer, aber was ich zumindest sehen kann ist, das beim von Dir verlinkten Bereich die letzten Änderungen von vor einem Jahr oder älter sind.

Da wurden die aktuellen Patches also noch nicht eingepflegt wie es aussieht (was ja auch immer wieder ein Vorwurf aus der Open Source Community in Richtung Apple ist, also auch viele andere Bereiche betreffend wie z.B. CUPS).

Die Änderungen stehen noch nicht im Main Branch. Für macOS 15.6 sind Patches von vor zwei Wochen unter diesem Tag drin:

Hier verlinkt Apple immer alle Änderungen, aber meist verzögert:

Danke Nebula

Das wäre dann also genau genommen hier zu prüfen und gegebenenfalls mit FreeBSD abzugleichen?

Seit gestern (08.10.2025( ist der Patch-Stand:


Aber der Security-Check weißt immer noch auf dieses Problem hin:


Ich werde nachher mal prüfen, ob sich das bei der Business-Variante von OPNsense ebenso verhält, aber schön ist das natürlich nicht.

PS: Und libxslt-1.1.43_1 einfach deinstallieren ist leider auch keine Option, da u.a. der os-acme-client darauf angewiesen ist:

Und das ist nun mal ein essentieller Bestandteil der ganzen OPNsense-Firewall, denn der os-acme-client dient dazu, SSL/TLS-Zertifikate automatisiert anzufordern, zu installieren und zu erneuern, insbesondere von öffentlichen Zertifizierungsstellen wie z.B. Let's Encrypt.

Sprich, damit ruft man per ACME-Protokoll ("Automatic Certificate Management Environment") kontinuierlich gültige und vertrauenswürdige Zertifikate für diverse Webdienste wie z.B. das OPNsense-WebGUI, VPN-Endpunkte, HAProxy oder auch Nginx ab, also inklusive automatischer Verlängerung, sodass kein manuelles Eingreifen mehr nötig ist.

Umso erstaunlicher, um nicht zu sagen ärgerlicher, dass das Problem seitens OPNsense nicht intensiver geprüft wird…

Bei der Business-Variante ist es auch nicht behoben, und zusätzlich hängt da sogar noch OpenSSL hinterher:


Da kommt man dann natürlich schon ins grübeln ob pfSense+ eventuell doch die bessere Alternative wäre…


Aber bei denen sind die Patch-Stände teilweise noch übler soweit ich weiß. Naja, was solls… gibt schlimmeres.

ich bin schon vor jahren weg von OPN- bzw pfSense und habe zu VyOS gewechselt. ja, ziemlich sehr steile lernkurve da kein GUI. jedoch wuerde ich nicht mehr zurueckwechseln wollen.

mikeboss: Herzlichen Dank für den Tipp, kannte ich bisher noch gar nicht.



Allerdings würde das dann mit ziemlicher Sicherheit recht schnell meine technischen Fähigkeiten übersteigen (befürchte ich).

Oder man bräuchte einen erfahrenen Netzwerk-Administrator, der schon viele Jahre mit VyOS arbeitet und bekommt von dem dann ein "Grund-Setup" inkl. ein paar "Tutorials" für zusätzliche "nice to have"-Features.

Vermutlich ist für VyOS auch kein GUI geplant, da das dann doch eine ganz andere Zielgruppe ist?

Ich habe grundsätzlich keine Angst vorm Terminal, aber eine komplette Firewall darüber administrieren und vor allem auch warten (Fehler finden und beseitigen bei Problemen)?

Klingt spannend, aber macht mir ehrlich gesagt auch etwas Angst.

ich bin via UBIQUITI EdgeRouter / EdgeOS bei VyOS gelandet. beides ist ein fork von Vyatta welches leider closed-source wurde. EdgeRouter ER-4 oder ER-X setze ich nach wie vor sehr gerne ein und die kann man mittels GUI und/oder kommandozeile einrichten bzw. administrieren. allerdings geht im GUI nicht alles was ich machen moechte. als dann mal in einem release kurz "nach-hause-telefonieren" per default aktiviert war, habe ich mich sofort nach alternativen umgeschaut. und bin dann eben bei VyOS gelandet. frueher konnte man die releases fuer kleines geld bekommen (jaehrlicher dreistelliger betrag). inzwischen viel zu teuer oder man ist "contributor". oder man lebt mit den frei zugaenglichen rolling releases (wozu ich nun partout keine lust verspuere). oder man beschafft sich die ISOs irgendwie anderweitig (bekommen sie jetzt halt gar kein geld mehr von mir).

EdgeOS und VyOS sind sehr aehnlich auf der kommandozeile. kennt man das eine, kommt man mit dem anderen auch zurecht. sind bloss wie zwei dialekte der gleichen sprache. mit der zeit hat man natuerlich seine standard-configs zusammen und muss diese jeweils bloss noch anpassen.

so wie es aussieht, arbeitest du ja in etwa das gleiche wie ich . falls interesse: du waerst nicht der erste welchem ich meine grundkonfigurationen und einstiegshilfe (gegen entgeld) anbiete. allwissend bin ich aber dann auch nicht

ein ER-X kostet ja keine 100 taler. vielleicht auch einfach mal einen besorgen und damit rumspielen..?