Kürzlich wurden gleich mehrere kritische Sicherheitslücken für die Firewall-Instanz IPFire veröffentlicht, die man selbst beheben muss.
IPFire ist eigentlich dafür bekannt, sehr stabil und zuverlässig zu laufen. Genau deshalb setzen viele Admins diese Open Source Software als zentrale Firewall-Instanz ein. Doch aktuell hat das System mehrere gespeicherte XSS-Lücken (Stored XSS) sowie einzelne Command-Injection-Schwachstellen, die in den letzten Tagen veröffentlicht wurden.
Betroffen sind mehrere Bereiche der Weboberfläche. Das Brisante daran, wer noch eine ältere Version von IPFire nutzt, hat diese Sicherheitslücken nach wie vor offen, da das Tool nicht automatisch aktualisiert wird.
Worin besteht das Problem im Detail?
XSS in einer Administrationsoberfläche ist kein Schönheitsfehler. Es ist ein ernstes Einfallstor. Ein Angreifer, der Zugriff auf die Weboberfläche hat, kann über manipulierte Eingaben dauerhaft schadhaften JavaScript-Code hinterlegen. Dieser Code wird nicht nur gespeichert, sondern bei jedem Aufruf der Seite aktiv.
Öffnet ein Administrator die Seite danach, lädt die Software den Payload mit der Schadsoftware automatisch herunter. Damit können Hacker Sitzungen übernehmen, Regeln verändern oder unbemerkt Hintertüren einbauen. Genau das macht solche Lücken in Firewalls so gefährlich.
Welche CVEs sind betroffen?
Aktuell wurden mehrere CVEs veröffentlicht, die genau dieses Problem beschreiben:
– CVE-2025-34308: XSS über die Zeit-Synchronisierung
– CVE-2025-34309: XSS über Dynamic DNS.
– CVE-2025-34310: XSS über QoS-Einstellungen. Die Abkürzung QoS steht für Quality of Service. Das sind Netzwerk-Konfigurationen, die den Datenverkehr priorisieren.
– CVE-2025-34311 und CVE-2025-34312: dies sind weitere Input-Fehler.
– CVE-2025-34313 bis CVE-2025-34318: zusätzliche XSS-Funde in URL-Filter, DNS-Whitelist, Zeitregeln und anderen Modulen.
In den Listen tauchen zusätzlich noch Einträge mit Command Injections und teilweise SQL Injections auf. Das Risiko ist also real und kein theoretisches Problem.
Core Update 198 von IPFire behebt alle Sicherheitslücken
Es gibt dazu eine gute Nachricht. Mit Version 2.29 (Core Update 198) hat der Hersteller alle bekannten Lücken geschlossen. Wer diese Version installiert hat, ist auf dem aktuellsten Stand. Wer noch die Version 2.28 oder eine ältere Version nutzt, hat die bekannten Schwachstellen noch offen.
Wichtig ist aber, IPFire aktualisiert sich leider nicht automatisch. Es reicht also nicht, sich darauf zu verlassen, dass sich die Firewall „irgendwann mal patched“. Das passiert nicht.
Es gibt kein Auto-Update, du musst selbst ran!
IPFire lädt Updates zwar im Hintergrund herunter, aber nichts wird automatisch installiert. Wer ein Update durchführen möchte, muss es selbst anstoßen. Das geht mit folgenden Schritten:
– über die Weboberfläche („System → Pakete → Core Update“)
– oder per SSH mit:
pakfire upgrade
Optional können eigene Skripte geschrieben werden, um Updates automatisiert einzuspielen. Standardmäßig ist diese Funktion jedoch nicht aktiviert. Wer IPFire produktiv nutzt, sollte regelmäßig aktiv prüfen, ob neue Updates anstehen.
Regeln und Einstellungen bleiben erhalten
Beim Update bleiben Firewall-Regeln, Netzwerkeinstellungen, VPN-Profile, Benutzerkonten und Zertifikate bestehen. Trotzdem sollte man vor dem Update immer ein Backup erstellen. Dies ist direkt über die Weboberfläche unter dem Menüpunkt „System → Sicherung“ möglich. Damit ist man auf der sicheren Seite, falls beim Update etwas schiefgeht.
Wenn ein Update von IPFire nicht sofort möglich ist
Natürlich kann es Fälle geben, in denen ein Update nicht sofort möglich ist. Dann sollte man die Angriffsfläche so klein wie möglich halten.
– Zugriff auf die Weboberfläche auf interne Netze oder das VPN beschränken.
– keinen Zugriff aus dem Internet zulassen.
– eine IP-Whitelist setzen.
– alle Admin-Konten überprüfen und Passwörter ändern.
– Logs kontrollieren und verdächtige Einträge entfernen.
– Betroffene Bereiche wie Zeit-Sync, Dynamic DNS oder QoS manuell prüfen.
Wenn nötig, kann man die Weboberfläche auch vorübergehend komplett abschalten oder per Firewall-Regel blockieren.
Fazit zum Thema IPFire
Diese Lücken sind kein theoretisches Problem. Stored XSS in einer Firewall-Oberfläche ist brandgefährlich. Wer IPFire noch auf einer älteren Version betreibt, sollte sofort auf Core Update 198 wechseln.
Wie gesagt, ein automatisches Update gibt es nicht, die Regeln bleiben aber erhalten. Ein Backup vorher jedem Update der Software ist Pflicht. Wer nicht sofort aktualisieren kann, sollte zumindest die Angriffsfläche minimieren und Admin-Zugänge absichern.
