IPFire 2.29 Core Update 202 Parches críticos de kernel y aceleración masiva para OpenVPN

  • 27 May 2026 03:40 AM

El proyecto IPFire ha lanzado Core Update 202 para su versión 2.29, una actualización que prioriza la seguridad y el rendimiento. Disponible desde el 25 de mayo de 2026, esta versión parchea las vulnerabilidades críticas del kernel "Dirty Frag" y "Copy Fail" que permitían la escalada de privilegios a root, actualiza OpenVPN a la versión 2.7 con Data Channel Offloading (DCO) para multiplicar el rendimiento de los túneles, y corrige múltiples fallos en el cortafuegos y el sistema de prevención de intrusiones, consolidando la fiabilidad de los equipos de cómputo en entornos de red seguros.

Parches críticos de seguridad del kernel

Core Update 202 se basa en el kernel Linux 6.18.32, que incluye parches para dos vulnerabilidades graves de escalada de privilegios locales:

  • Dirty Frag (CVE-2026-43284): Un fallo en el módulo ESP del kernel (utilizado por IPsec) que permite a un usuario local sin privilegios escalar a root.

  • Copy Fail (CVE-2026-31431): Un error lógico en el subsistema criptográfico del kernel (AF_ALG) que, con un pequeño exploit, otorga acceso root a cualquier usuario local.

El equipo de IPFire insta a actualizar lo antes posible para proteger los sistemas contra estas amenazas.

OpenVPN 2.7: El salto de rendimiento con Data Channel Offloading

La actualización a OpenVPN 2.7 es la gran protagonista en términos de rendimiento, introduciendo soporte para Data Channel Offloading (DCO).

Esta funcionalidad mueve los procesos de cifrado y descifrado de paquetes del espacio de usuario al kernel, lo que se traduce en:

  • Mayor rendimiento: Saltos en la velocidad de los túneles, pasando de 1 Gbit/s a hasta 10 Gbit/s por conexión.

  • Menor latencia: Reducción del jitter para una transmisión más estable.

  • Menor consumo de CPU: Aprovechamiento eficiente de la aceleración criptográfica por hardware.

Mejoras en estabilidad y correcciones generales

El Core Update 202 incluye una serie de ajustes que mejoran la estabilidad y usabilidad diaria:

  • Cortafuegos: Las reglas que utilizan listas de puertos separadas por comas ahora se aplican correctamente.

  • DNS Proxy: Ahora tiene acceso de salida directo sin necesidad de reglas adicionales.

  • IPsec: Corrección de un error tipográfico que dejaba reglas obsoletas tras cerrar un túnel.

  • Sistema de Prevención de Intrusiones (IPS): Limpieza de logs antiguos para liberar espacio en disco, con rotación de archivos cambiada de semanal a diaria.

  • glibc: Parche para evitar que respuestas DNS maliciosas devuelvan nombres de host falsos (CVE).

Además, se han actualizado decenas de paquetes y componentes, incluyendo OpenSSL 3.6.2, OpenSSH 10.3p1, Suricata 8.0.5, strongSwan 6.0.6 y systemd 260.1.

El complemento Samba ha recibido parches urgentes para dos vulnerabilidades de inyección de comandos que permitían la ejecución de comandos arbitrarios.

Disponibilidad y cómo actualizar

Core Update 202 ya está disponible:

Los usuarios existentes de IPFire pueden instalar la actualización inmediatamente a través de la herramienta Pakfire en el panel de control web.

El proyecto recomienda encarecidamente instalar este parche lo antes posible y reiniciar el sistema después de la actualización.

Para nuevas instalaciones o despliegues en equipos de cómputo, las imágenes ISO están disponibles en el sitio web oficial.