Turris Security report 2022/12

Router Turris jsme koncipovali nejen jako výkonné síťové zařízení, ale také jako otevřenou platformu, která bude poskytovat možnost dalších rozšíření a vylepšení. A právě na tuto oblast projektu je zaměřená aktuální soutěž pro inovativní uživatele routeru Turris.

Do soutěže je možné přihlásit jak softwarová, tak hardwarová vylepšení. Z nejlepších nápadů vybere odborná porota tři vítěze a připraveno je také hlasování hlasování samotných uživatelů o jejich favorita. Vítězné projekty zveřejníme na stránkách www.turris.cz a uvidíte je na konferenci Internet a Technologie 14.2 (29. listopadu 2014, Praha), jejíž program bude zveřejněn na internetových stránkách CZ.NIC na začátku listopadu.

Více informací o soutěži najdete na uživatelském fóru projektu Turris.

• Celkem pozvánek: 1382
• Přijatých pozvánek: 1005
• Odmítnutých pozvánek: 78
• Expirovaných pozvánek: 298
• Nevyřízených pozvánek: 7
• Aktivovaných routerů: 977

Dnes jsme vydali další aktualizaci operačního systému routerů Turris s označením Turris OS 1.5

Seznam změn:

• Opravena chyba při ukládání formuláře "Údržba" v rozhraní Foris.
• Uživatel může ve firewallu aktivovat ukládání .pcap souborů pro další analýzu.
• Přidán detektor NATu do ucollectu.
• Přidána chybějící volba "bind" pro p910nd.
• Autoritativní server Knot povýšen na verzi 1.5.1.

Dnes vyexpirovalo 8 objednávek a dalších 8 jsme rozeslali.

• Celkem pozvánek: 1379
• Přijatých pozvánek: 998
• Odmítnutých pozvánek: 78
• Expirovaných pozvánek: 297
• Nevyřízených pozvánek: 7
• Aktivovaných routerů: 967

Po středečním rozesílání uvolněných pozvánek přinášíme aktuální počty registrací.

• Celkem pozvánek: 1367
• Přijatých pozvánek: 986
• Odmítnutých pozvánek: 77
• Expirovaných pozvánek: 289
• Nevyřízených pozvánek: 15
• Aktivovaných routerů: 944

Dnes jsme vydali další aktualizaci operačního systému routerů Turris s označením Turris OS 1.4

Seznam změn:

• Spojení ucollectu se serverem je nyní komprimované.
• Přidán plugin "flow" určený ke sledování délek a velikostí podezřelých spojení.
• Přidána možnost použít SMTP server CZ.NICu k odesílání novinek - nastavuje se v konfiguračním rozhraní Foris. Výhodou této možnosti je jednodušší konfigurace.
• Aktualizace balíků Samba a OpenSSL ošetřující zranitelnosti předchozích verzí.
• Optimalizace posílání záznamů z firewallu.
• Podpora aktualizací vyžadující restart v průběhu instalace.
• Přidána podpora pro SATA multiplikátory.
• Povolen prefetch v Unboundu, občas snižující latenci.
• Možnost nainstalovat si DNS server Knot 1.5.

• Celkem pozvánek: 1313
• Přijatých pozvánek: 959
• Odmítnutých pozvánek: 72
• Expirovaných pozvánek: 282
• Nevyřízených pozvánek: 0
• Aktivovaných routerů: 932

• Celkem pozvánek: 1313
• Přijatých pozvánek: 990
• Odmítnutých pozvánek: 72
• Expirovaných pozvánek: 251
• Nevyřízených pozvánek: 0
• Aktivovaných routerů: 921

Dnes jsme rozeslali 16 pozvánek, abychom doplnili uvolněná místa.

• Celkem pozvánek: 1278
• Přijatých pozvánek: 980
• Odmítnutých pozvánek: 73
• Expirovaných pozvánek: 208
• Nevyřízených pozvánek: 20
• Aktivovaných routerů: 841

Při pohledu na dnešní data o pozvánkách zjistíte, že se počet přijatých pozvánek od minula snížil. Je to tím, že expirujeme i pozvánky, které byly přijaté, ale neaktivní. Funguje to tak, že v případě, že lidé pozvánku přijmou, ale poté dlouhou dobu nepokročí s objednávkou routeru, posíláme jim upozornění. Pokud se ani poté ve stanovené době (5 nebo 10 dní) situace neposune a uživatel nám nedá vědět emailem, provedeme deaktivaci jeho účtu a pozvánku označíme jako expirovanou.

Celkově lze říci, že se nám postupně daří redukovat počet nevyřízených pozvánek a posouvat se k aktivovaným routerům. Tento týden expirovalo 15 "rozpracovaných" objednávek a 13 pozvánek. V obou případech jsme rozeslali pozvánky dalším zájemcům.

• Celkem pozvánek: 1262
• Přijatých pozvánek: 970
• Odmítnutých pozvánek: 70
• Expirovaných pozvánek: 201
• Nevyřízených pozvánek: 23
• Aktivovaných routerů: 791

V následující hodině bude na routery Turris nainstalována nová aktualizace systému. Kromě opravy knihovny OpenSSL, kterou jsme avizovali včera, obsahuje ještě několik oprav, novou verzi knihovny libnetconf, která by měla přispět ke zrychlení uživatelského rozhraní Foris, a vylepšení detekce použitelnosti DNS resolveru pro forwarding.

V knihovně OpenSSL byla objevena nová závažná zranitelnost označovaná jako CCS injection vulnerability (CVE-2014-0224). Tato zranitelnost umožňuje odposlouchávání šifrované komunikace a pozměnění přenášených dat.

V rámci projektu Turris jsme již aktualizovali software na všech serverech, což je nejvýznamnější z pohledu ochrany našich uživatelů, a připravujeme opravu pro klientské routery, která bude k dispozici v průběhu zítřka. Vzhledem k tomu, že v OpenWrt není aktualizace balíčku doposud zahrnuta, odeslali jsme odpovídající opravu také tam.