pfSense & reg; je volně distribuovaný a otevřený zdrojový BSD operační systém odvozený z dobře známého projektu m0n0wall, ale s radikálně odlišnými cíli, jako je použití paketového filtru a nejnovějších technologií FreeBSD.
Projekt lze použít jak jako router, tak jako firewall. Obsahuje systém balíčků, který umožňuje správcům systému jednoduše rozšířit produkt bez přidání potenciálních bezpečnostních zranitelností a šíření na základní distribuci.
Funkce na první pohled
Klíčové funkce zahrnují nejmodernější bránu firewall, vyvažování zátěže pro příchozí a odchozí přenosy, stavovou tabulku, NAT (síťovou překladatelskou adresu), vysokou dostupnost, VPN (virtuální privátní síť) s podporou IPsec, PPTP a OpenVPN, PPPoE server, dynamický DNS, portál, reportování a monitoring.
Jedná se o aktivně vyvinutý firewallový operační systém, distribuovaný jako gz archivovaný Live CD a instalační obrazy ISO, instalátory USB stick a NanoBSD / embedded media. V současné době jsou podporovány hardwarové platformy 64bitové (amd64) i 32bitové (i386).
Během procesu zavádění je k dispozici několik předdefinovaných možností zavádění, například zavádění operačního systému s výchozím nastavením, zakázáno ACPI pomocí zařízení USB, v nouzovém režimu, v režimu jednoho uživatele s podrobným protokolem, stejně jako otevřete výzvu shellu nebo restartujte počítač.
Začínáme s aplikací pfSense & reg;
Zatímco distribuce požádá uživatele o nastavení VLAN (Virtual LANs) z get-go, bude vyžadovat, aby fungovalo alespoň jedno přiřazené síťové rozhraní. To znamená, že pokud nemáte / nastavíte alespoň jedno rozhraní, pfSense & reg; nebude dokonce začít.
Používá se jako brána firewall pro malé domácí sítě, univerzity, velké korporace nebo jakoukoli jinou organizaci, kde je potřeba chránit tisíce síťových zařízení, je pfSense & reg; bylo staženo více než milionem uživatelů z celého světa od svého založení.
Dolní řádek
Jedná se o jeden z nejlepších projektů brány firewall s otevřeným zdrojovým kódem, které jsou navrženy tak, aby poskytovaly uživatelům veškeré funkce, s nimiž přicházejí komerční brány firewall. Dnes, pfSense & reg; je používán v řadě hardwarových firewallových řešení, včetně Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall nebo Watchguard.
pfense & reg; je registrovaná ochranná známka a servisní značka společnosti Electric Sheep Fencing LLC. Viz www.electricsheepfencing.com.
Co je nového v této verzi:
- Bezpečnost / Errata li>
- Aktualizováno na OpenSSL 1.0.2m pro adresy CVE-2017-3736 a CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Opravený potenciální vektor XSS v status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Opravený potenciální vektor XSS v souboru diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Opravena potenciální vektor XSS na index.php pomocí parametrů sekvence widgetu # 8000 pfSense-SA-17_09.webgui.asc
- Opravena potenciální hodnota XSS v parametru widget key widgetů multi-instance palubní desky # 7998 pfSense-SA-17_09.webgui.asc
- Opraven problém problému s kliknutím na stránce chyby CSRF
- Rozhraní
- Pevné rozhraní PPP s nadřazeným VLAN při použití nových názvů VLAN # 7981
- Opravené problémy s rozhraním QinQ, které se nezobrazí jako aktivní # 7942
- Při vypnutí rozhraní LAGG # 7940 byla opravena panika / selhání
- Opravené problémy s rozhraním LAGG, které ztrácejí MAC adresu # 7928
- Opravena havárie v radvd na SG-3100 (ARM) # 8022
- Opraven problém s pády paketů UDP na SG-1000 # 7426
- Přidáno rozhraní pro správu vestavěného přepínače SG-3100
- Odstraňuje více znaků z popisu rozhraní, aby se zabránilo zabalení výstupní čáry menu konzoly na konzoli VGA
- Pevná manipulace s parametrem VIP uniqueid při změně typů VIP
- Pokud je zvoleno nadřazené rozhraní VLAN # 8098 , zobrazí se pole parametrů pevného PPP odkazu
- Operační systém
- Opravené problémy vyplývající z ručně nakonfigurovaného uspořádání souborového systému se samostatným / usr řezem # 8065
- Opravena potíže při aktualizaci systémů ZFS vytvořených pomocí ZFS schématu oddílů (prázdný / bootovací kvůli bootpoolu není importován) # 8063
- Opraveny problémy s relacemi BGP s použitím podpisů MD5 TCP v balíčcích démonů směrování # 7969
- Aktualizováno na 3.0
- Vylepšené možnosti a metody výběru úložiště aktualizace
- Aktualizovali systémové ladění, které informují operační systém, že data o sklizni nejsou přerušena, rozhraní typu point-to-point a ethernetová zařízení odrážejí nový název / formát pro FreeBSD 11
- Zpracování sady změn bylo provedeno tak, aby se opakovalo, pokud je jiný proces uprostřed aktualizace, než aby uživateli došlo k chybě
- Opraveny některé bootovací problémy UEFI na různých platformách
- Certifikáty
- Opravené neplatné položky v souboru /etc/ssl/openssl.cnf (ovlivnilo pouze nestandardní použití openssl v klientském souboru / shell) # 8059
- Opraveno ověření LDAP, pokud server používá globálně důvěryhodnou kořenovou certifikační autoritu (nový CA výběr pro "Global Root CA List") # 8044
- Opraveny problémy s vytvořením certifikátu s zástupným znakem CN / SAN # 7994
- Přidáno ověření Správce certifikátů, aby se zabránilo importu certifikátu jiného než certifikátu do karty CA # 7885
- IPsec
- Opraven problém s použitím certifikátů certifikační autority IPsec, pokud předmět obsahuje více RDN stejného typu # 7929
- Opraven problém s povolením podpory mobilního klienta IPsec v přeložených jazycích # 8043
- Opravené problémy s zobrazením / výstupem stavu IPsec, včetně více záznamů (jeden odpojený, jeden připojen) # 8003
- Pevné zobrazení více připojených mobilních klientů IPsec # 7856
- Pevné zobrazení podřízených záznamů SA # 7856
- OpenVPN
- Přidána možnost pro servery OpenVPN pro využití "redirect-gateway ipv6" aby sloužil jako výchozí brána pro připojení VPN klientů s protokolem IPv6, podobně jako "přesměrování gateway def1" pro IPv4. # 8082
- Opravena volba # 8088 seznamu zrušení certifikátu klienta OpenVPN # / li>
- Traffic Shaping
- Opravena chyba při konfiguraci omezovače nad 2Gb / s (nová max je 4Gb / s) # 7979
- Opraveny potíže s rozhraním sítě, které nepodporují ALTQ # 7936
- Opravené problémy s síťovými rozhraními vtnet, které nepodporují ALTQ # 7594
- Opraven problém se stavem & gt; Fronty nezobrazují statistiky pro VLAN rozhraní # 8007
- Opraven problém s frontami tvarování provozu, které neumožňují, aby celkový počet všech front pro děti byl 100% # 7786
- Opraven problém s limitery, které mají neplatné částečné / neurčité hodnoty z položek omezovače nebo jsou předány do portálu Captive Portal z RADIUS # 8097
- Pravidla / NAT
- Pevný výběr brány IPv6 při vytváření nového pravidla brány firewall # 8053
- Opravené chyby na konfigurační stránce Port Forward v důsledku statických dat / cookie / dotazů pfSense # 8039
- Pevné nastavení Priorita VLAN pomocí pravidel brány firewall # 7973
- XMLRPC
- Opraven problém se synchronizací XMLRPC, když uživatel synchronizace obsahuje heslo obsahující mezery # 8032
- Opraveny chyby XMLRPC s poukazy Captive Portal # 8079
- WebGUI
- Přidána možnost zakázat HSTS pro webový server GUI # 6650
- Změnila webovou službu grafického rozhraní k zablokování přímého stahování souborů .inc # 8005
- Pevné třídění služeb na widgetu ovládacího panelu a na stránce Stav služby # 8069
- Opraven problém s přístupem, kde statické položky protokolu IPv6 umožnily neplatný vstup pro pole adresy # 8024
- Opravena chyba syntaxe JavaScript v grafech provozu, když se vyskytují neplatná data (např. uživatel byl odhlášen nebo relace vymazána) # 7990
- Opraveny chyby vzorkování v grafech Traffic Graphs # 7966
- Opravena chyba JavaScript ve stavu & gt; Monitorování # 7961
- Opraven problém s zobrazením s prázdnými tabulkami v aplikaci Internet Explorer 11 # 7978
- Změněno zpracování konfigurace pro použití výjimky spíše než zemřít (), když detekuje poškozenou konfiguraci
- Přidáno filtrování na stránku pfTop
- Přidány prostředky pro zobrazování modálů pro uživatele (např. nutné restartování před použitím balíčku)
- Dashboard
- Pevný displej dostupných aktualizací v widgetu # 8035 nainstalovaného balíčku Dashboard
- Opravena chyba písma v widgetu # 7980 podpory Dashboard
- Pevné formátování diskových řezů / diskových oddílů v widgetu Systémová informační tabulka
- Opraven problém s widgetem Obrázky, pokud není uložen žádný platný obrázek # 7896
- Balíky
- Pevné zobrazení balíků, které byly z úložiště odstraněny v balíčku Správce balíčků # 7946
- Opraven problém při zobrazování lokálně nainstalovaných balíků při nedostupném úložišti vzdáleného balíčku # 7917
- Různé
- Pevná vazba rozhraní v ntpd tak, aby se nesprávně naslouchala na všech rozhraních # 8046
- Opraven problém, při kterém restartování služby syslogd způsobí, že sshlockout_pf zpracuje siroty # 7984
- Přidána podpora dynamického poskytovatele DNS CloudNS # 7823
- Opraven problém na stránkách Správce uživatelů a skupin, když pracujete na položkách bezprostředně po odstranění položky # 7733
- Změnil Průvodce nastavením tak, že přeskočí konfiguraci rozhraní při spuštění na AWS EC2 Instance # 6459
- Opraven problém s protokolem IGMP s režimem All-multicast na SG-1000 # 7710
Co je nového ve verzi:
- Aktualizace panelu:
- Na panelu 2.3.4-RELEASE naleznete další informace: Dodavatel BIOSu, verze a datum vydání - pokud je firewall může určit - a jedinečné ID Netgate. Netgate Unique ID je podobné sériovému číslu, slouží k jedinečné identifikaci instance softwaru pfSense pro zákazníky, kteří chtějí zakoupit podpůrné služby. Pro hardware prodaný v našem obchodě nám také umožňuje spojit jednotky s výrobními záznamy. Toto ID je konzistentní ve všech platformách (holý kov, virtuální stroje a instance hostované / cloudové jako AWS / Azure). Původně jsme zamýšleli použít hardwarové sériové číslo nebo UUID vygenerované operačním systémem, zjistili jsme však, že tyto jsou nespolehlivé, nekonzistentní a mohly se neočekávaně změnit při opětovném instalaci operačního systému.
- Stejně jako u sériového čísla je tento identifikátor zobrazen pouze na informačním panelu pro informační účely a ve výchozím nastavení se nikam nepřenáší automaticky. V budoucnu mohou zákazníci tento identifikátor používat při vyžádání informací o podpoře od našich zaměstnanců nebo systémů.
- Pokud jste ještě nezachytili změny ve verzi 2.3.x, podívejte se na video Funkce a nejdůležitější videa. Minulé příspěvky v blogu se zabývaly některými změnami, jako jsou například zlepšení výkonu od společnosti tryforward a aktualizace webGUI.
- Certifikáty GUI firewallu:
- Uživatelé prohlížeče Chrome 58 a novější a v některých případech Firefoxu 48 a novější mohou mít problémy s pfSense Web GUI, pokud používají standardní certifikát s vlastním podpisem automaticky vygenerovaný firewallem spuštěným pfSense verze 2.3.3-p1 nebo dříve. Je to proto, že Chrome 58 striktně vynucuje RFC 2818, který volá pouze odpovídající názvy hostitelů pomocí položek Alternativní název subjektu (SAN) a nikoli pole Obecné jméno certifikátu a výchozí certifikát s vlastním podpisem nenaplňoval pole SAN.
- Opravili jsme kód certifikátu, aby správně sledoval RFC 2818 uživatelsky přívětivým způsobem tím, že automaticky přidá hodnotu Common Name jako prvního záznamu SAN.
- Administrátoři brány firewall budou muset generovat nový certifikát pro použití grafickým uživatelským rozhraním za účelem využití nového formátu. Existuje několik způsobů, jak vygenerovat kompatibilní certifikát, včetně:
- Generujte a aktivujte nový certifikát GUI automaticky z konzoly nebo ssh shell pomocí jednoho z našich skriptů přehrávání:
- Přehrávání pfSsh.php generateguicert
- Využijte balíček ACME k vytvoření důvěryhodného certifikátu pro grafické uživatelské rozhraní pomocí šifrování Let's, které je již správně formátováno.
- Ručně vytvořte nový certifikační úřad s vlastním podpisem (CA) a certifikační certifikát serveru, který podepsal daný certifikační úřad, a použijte jej pro grafické uživatelské rozhraní.
- Aktivujte místní prohlížeč & quot; EnableCommonNameFallbackForLocalAnchors & quot; v Chromu 58. Toto nastavení bude Chrome Chrome nakonec odstraněno, takže je to jen dočasná oprava.
- Někteří uživatelé si mohou zapamatovat, že to není poprvé, kdy byl výchozí formát certifikátu z důvodu změn prohlížeče problematický. Před několika lety společnost Firefox změnila způsob, jakým počítají řetězce důvěryhodných certifikátů, což může způsobit, že prohlížeč se zdá, že zamrzne nebo visí při pokusu o přístup k více firewallům s certifikáty s vlastním podpisem, které obsahují společné výchozí údaje, což vedlo k tomu, že všechny tyto certifikáty obsahují stejný předmět. Oprava byla mnohem náročnější, ale vyústila v mnohem lepší zkušenost koncového uživatele.
Co je nového ve verzi 2.3.4:
- Aktualizace panelu:
- Na panelu 2.3.4-RELEASE naleznete další informace: Dodavatel BIOSu, verze a datum vydání - pokud je firewall může určit - a jedinečné ID Netgate. Netgate Unique ID je podobné sériovému číslu, slouží k jedinečné identifikaci instance softwaru pfSense pro zákazníky, kteří chtějí zakoupit podpůrné služby. Pro hardware prodaný v našem obchodě nám také umožňuje spojit jednotky s výrobními záznamy. Toto ID je konzistentní ve všech platformách (holý kov, virtuální stroje a instance hostované / cloudové jako AWS / Azure). Původně jsme zamýšleli použít hardwarové sériové číslo nebo UUID vygenerované operačním systémem, zjistili jsme však, že tyto jsou nespolehlivé, nekonzistentní a mohly se neočekávaně změnit při opětovném instalaci operačního systému.
- Stejně jako u sériového čísla je tento identifikátor zobrazen pouze na informačním panelu pro informační účely a ve výchozím nastavení se nikam nepřenáší automaticky. V budoucnu mohou zákazníci tento identifikátor používat při vyžádání informací o podpoře od našich zaměstnanců nebo systémů.
- Pokud jste ještě nezachytili změny ve verzi 2.3.x, podívejte se na video Funkce a nejdůležitější videa. Minulé příspěvky v blogu se zabývaly některými změnami, jako jsou například zlepšení výkonu od společnosti tryforward a aktualizace webGUI.
- Certifikáty GUI firewallu:
- Uživatelé prohlížeče Chrome 58 a novější a v některých případech Firefoxu 48 a novější mohou mít problémy s pfSense Web GUI, pokud používají standardní certifikát s vlastním podpisem automaticky vygenerovaný firewallem spuštěným pfSense verze 2.3.3-p1 nebo dříve. Je to proto, že Chrome 58 striktně vynucuje RFC 2818, který volá pouze odpovídající názvy hostitelů pomocí položek Alternativní název subjektu (SAN) a nikoli pole Obecné jméno certifikátu a výchozí certifikát s vlastním podpisem nenaplňoval pole SAN.
- Opravili jsme kód certifikátu, aby správně sledoval RFC 2818 uživatelsky přívětivým způsobem tím, že automaticky přidá hodnotu Common Name jako prvního záznamu SAN.
- Administrátoři brány firewall budou muset generovat nový certifikát pro použití grafickým uživatelským rozhraním za účelem využití nového formátu. Existuje několik způsobů, jak vygenerovat kompatibilní certifikát, včetně:
- Generujte a aktivujte nový certifikát GUI automaticky z konzoly nebo ssh shell pomocí jednoho z našich skriptů přehrávání:
- Přehrávání pfSsh.php generateguicert
- Využijte balíček ACME k vytvoření důvěryhodného certifikátu pro grafické uživatelské rozhraní pomocí šifrování Let's, které je již správně formátováno.
- Ručně vytvořte nový certifikační úřad s vlastním podpisem (CA) a certifikační certifikát serveru, který podepsal daný certifikační úřad, a použijte jej pro grafické uživatelské rozhraní.
- Aktivujte místní prohlížeč & quot; EnableCommonNameFallbackForLocalAnchors & quot; v Chromu 58. Toto nastavení bude Chrome Chrome nakonec odstraněno, takže je to jen dočasná oprava.
- Někteří uživatelé si mohou zapamatovat, že to není poprvé, kdy byl výchozí formát certifikátu z důvodu změn prohlížeče problematický. Před několika lety společnost Firefox změnila způsob, jakým počítají řetězce důvěryhodných certifikátů, což může způsobit, že prohlížeč se zdá, že zamrzne nebo visí při pokusu o přístup k více firewallům s certifikáty s vlastním podpisem, které obsahují společné výchozí údaje, což vedlo k tomu, že všechny tyto certifikáty obsahují stejný předmět. Oprava byla mnohem náročnější, ale vyústila v mnohem lepší zkušenost koncového uživatele.
Co je nového ve verzi 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Více zranitelností v OpenSSL. Jediný významný dopad na pfSense je OCSP pro HAproxy a FreeRADIUS.
- Několik Errata souvisejících s HyperV ve FreeBSD 10.3, FreeBSD-CS-16: 10 až 16:16. Více informací naleznete na adrese https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Byly aktualizovány některé zabudované balíčky a knihovny, včetně:
- PHP na 5.6.26
- libidn na 1,33
- křivka na 7.50.3
- libxml2 na 2.9.4
- Přidáno kódování na parametr 'zone' na stránkách Captive Portal.
- Přidáno kódování výstupu do diag_dns.php pro výsledky vrácené z DNS. # 6737
- Pracoval kolem chyby v prohlížeči Chrome s regulárním výrazem při analýze uniklých znaků v sadách znaků. Opravy "Odpovídejte prosím požadovanému formátu" v posledních verzích prohlížeče Chrome. # 6762
- Volba formátu časového serveru serveru DHCPv6 # 6640
- Opravena / usr / bin / install chybí z nových instalací. # 6643
- Zvýšená mez konce filtru pro protokolování tak, aby vyhledávaly dostatečné záznamy. # 6652
- Ujistěte se, že jste nainstalovali widget a HTML. # 6601
- Při vytváření nových nastavení došlo k poškození nastavení widgetu. # 6669
- Opraveny různé chyby v popisu a psaní.
- Odstraněny zaniklé odkazy na stránku devwiki. Vše je nyní na adrese https://doc.pfsense.org.
- Přidáno pole pro stránky CA / Cert pro OU, které vyžadují některé externí certifikační autority a uživatelé. # 6672
- Opraveno redundantní HTTP "User-Agent" řetězec v aktualizacích DynDNS.
- Opraveno písmo pro tabulky s tabulkami.
- Před aktualizací dynamického DNS byla přidána kontrola, zda je rozhraní aktivní v rámci skupiny brány.
- Pevné znění výrazu "Odmítnout pronájmy z" možnost pro rozhraní DHCP (může přijímat pouze adresy, nikoliv podsítě.) # 6646
- Opraveno hlášení chyb pro test nastavení SMTP.
- Pevná ukládání země, poskytovatele a plánů pro rozhraní PPP
- Pevná kontrola neplatného výrazu "Go To Line" čísla na diag_edit.php. # 6704
- Opravena chyba "off-by-one" v části "Řádky k zobrazení" na diag_routes.php. # 6705
- Opravený popis filtrovacího pole na diag_routes.php, který odráží, že všechna pole jsou prohledávatelná. # 6706
- Opravený popis pole pro soubor, který má být upraven na diag_edit.php. # 6703
- Opravený popis hlavního panelu na diag_resetstate.php. # 6709
- Opraveno varovné dialogové okno, pokud není zaškrtnuto políčko diag_resetstate.php. # 6710
- Opravena zkratka protokolu pro oblasti DHCP6. # 6700
- Opraveno tlačítko pro síťové odstranění, když se na serverech services_unbound_acls.php # 6716 objevil pouze jeden řádek
- Opravený zmizení textu nápovědy na opakovatelných řádcích při vymazání posledního řádku. # 6716
- Opravena dynamická doména DNS pro položky statické mapy DHCP
- Přidáno řízení pro nastavení obnovovací doby widgetu palubní desky
- Přidáno "C / dev / null" na parametry příkazového řádku dnsmasq, aby nedošlo k vylepšení nesprávné výchozí konfigurace, která by přešla na naše možnosti. # 6730
- Přidáno "-l" na traceroute6 pro zobrazení adres IP a názvů hostitelů při řešení chmelu na diag_traceroute.php. # 6715
- Přidána poznámka o max. limitu ttl / hop v zdrojovém komentáři na diag_traceroute.php.
- Upřesnit jazyk na diag_tables.php. # 6713
- Očistěte text na diag_sockets.php. # 6708
- Pevné zobrazení názvů rozhraní VLAN při přiřazení konzoly. # 6724
- Volba pevné domény-server-servery, která se při ruční konfiguraci zobrazuje dvakrát v souborech.
- Pevná manipulace s volbami DHCP v jiných skupinách, než je hlavní rozsah. # 6720
- Opraveny chybějící názvy hostitelů v některých případech s dhcpdv6. # 6589
- Vylepšená obsluha pidfile pro dhcpleases.
- Přidány kontroly, které zabraňují přístupu k nedefinovanému posunu v IPv6.inc.
- Opravena zobrazení popiskových a upravovaných voleb aliasu na zdroji a cíli adresy i portu v odchozí NAT.
- Pevná manipulace s počtem konfigurací záloh. # 6771
- Odstraněny některé odkazy PPTP, které již nejsou relevantní.
- Opraveny / zachyceny vzdálené oblasti syslog. Přidány "směrování", "ntpd", "ppp", "resolver", pevné "vpn" zahrnout všechny oblasti VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Opraveny chybějící políčka v některých případech při přidávání řádků na službu services_ntpd.php. # 6788
- Revidované ikony spuštěné / zastavené služby.
- Přidána kontrola správy CRL k odebrání certifikátů z rozevíracího seznamu, které jsou již obsaženy v editované CRL.
- Oddělovače pevných pravidel se pohybují, když jsou současně odstraněny více pravidel brány firewall. # 6801
Co je nového ve verzi 2.3.3:
- FreeBSD-SA-16: 26.openssl - Více zranitelností v OpenSSL. Jediný významný dopad na pfSense je OCSP pro HAproxy a FreeRADIUS.
- Několik Errata souvisejících s HyperV ve FreeBSD 10.3, FreeBSD-CS-16: 10 až 16:16. Více informací naleznete na adrese https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Byly aktualizovány některé zabudované balíčky a knihovny, včetně:
- PHP na 5.6.26
- libidn na 1,33
- křivka na 7.50.3
- libxml2 na 2.9.4
- Přidáno kódování na parametr 'zone' na stránkách Captive Portal.
- Přidáno kódování výstupu do diag_dns.php pro výsledky vrácené z DNS. # 6737
- Pracoval kolem chyby v prohlížeči Chrome s regulárním výrazem při analýze uniklých znaků v sadách znaků. Opravy "V souladu s požadovaným formátem" v posledních verzích prohlížeče Chrome. # 6762
- Volba formátu časového serveru serveru DHCPv6 # 6640
- Opravena / usr / bin / install chybí z nových instalací. # 6643
- Zvýšená mez konce filtru pro protokolování tak, aby vyhledávaly dostatečné záznamy. # 6652
- Ujistěte se, že jste nainstalovali widget a HTML. # 6601
- Při vytváření nových nastavení došlo k poškození nastavení widgetu. # 6669
- Opravena různá chybová slova a slova.
- Odstraněny zaniklé odkazy na stránku devwiki. Vše je nyní na adrese https://doc.pfsense.org.
- Přidáno pole pro stránky CA / Cert pro OU, které vyžadují některé externí certifikační autority a uživatelé. # 6672
- Opravena redundantní řetězec HTTP "User-Agent" v aktualizacích DynDNS.
- Opraveno písmo pro tabulky s tabulkami.
- Před aktualizací dynamického DNS byla přidána kontrola, zda je rozhraní aktivní v rámci skupiny brány.
- Opraveno znění volby "Odmítnout zapůjčení z" pro rozhraní DHCP (může přijímat pouze adresy, nikoliv podsítě.) # 6646
- Opraveno hlášení chyb pro test nastavení SMTP.
- Pevná ukládání země, poskytovatele a plánů pro rozhraní PPP
- Opravena kontrola neplatných čísel "Go To Line" na diag_edit.php. # 6704
- Opravena chyba vypnutá jednou pomocí příkazu "Řádky k zobrazení" na diag_routes.php. # 6705
- Opravený popis filtrovacího pole na diag_routes.php, který odráží, že všechna pole jsou prohledávatelná. # 6706
- Opravený popis pole pro soubor, který má být upraven na diag_edit.php. # 6703
- Opravený popis hlavního panelu na diag_resetstate.php. # 6709
- Opraveno varovné dialogové okno, pokud není zaškrtnuto políčko diag_resetstate.php. # 6710
- Opravena zkratka protokolu pro oblasti DHCP6. # 6700
- Opraveno tlačítko pro síťové odstranění, když se na serverech services_unbound_acls.php # 6716 objevil pouze jeden řádek
- Opravený zmizení textu nápovědy na opakovatelných řádcích při vymazání posledního řádku. # 6716
- Opravena dynamická doména DNS pro položky statické mapy DHCP
- Přidáno řízení pro nastavení obnovovací doby widgetu palubní desky
- Do parametrů příkazového řádku dnsmasq byl přidán parametr -C-dev / null ", aby se zabránilo tomu, že by se vybralo nesprávná výchozí konfigurace, která by přešla na naše možnosti. # 6730
- Přidáno "-l" do traceroute6 pro zobrazení adres IP a názvů hostitelů při vyřešení chmelu na diag_traceroute.php. # 6715
- Přidána poznámka o max. limitu ttl / hop v zdrojovém komentáři na diag_traceroute.php.
- Upřesnit jazyk na diag_tables.php. # 6713
- Očistěte text na diag_sockets.php. # 6708
- Pevné zobrazení názvů rozhraní VLAN při přiřazení konzoly. # 6724
- Volba pevné domény-server-servery, která se při ruční konfiguraci zobrazuje dvakrát v souborech.
- Pevná manipulace s volbami DHCP v jiných skupinách, než je hlavní rozsah. # 6720
- Opraveny chybějící názvy hostitelů v některých případech s dhcpdv6. # 6589
- Vylepšená obsluha pidfile pro dhcpleases.
- Přidány kontroly, které zabraňují přístupu k nedefinovanému posunu v IPv6.inc.
- Opravena zobrazení popiskových a upravovaných voleb aliasu na zdroji a cíli adresy i portu v odchozí NAT.
- Pevná manipulace s počtem konfigurací záloh. # 6771
- Odstraněny některé odkazy PPTP, které již nejsou relevantní.
- Opraveny / zachyceny vzdálené oblasti syslog. Přidány "routing", "ntpd", "ppp", "resolver", opravené "vpn" pro zahrnutí všech oblastí VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Opraveny chybějící políčka v některých případech při přidávání řádků na službu services_ntpd.php. # 6788
- Revidované ikony spuštěné / zastavené služby.
- Přidána kontrola správy CRL k odebrání certifikátů z rozevíracího seznamu, které jsou již obsaženy v editované CRL.
- Oddělovače pevných pravidel se pohybují, když jsou současně odstraněny více pravidel brány firewall. # 6801
Co je nového ve verzi 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Více zranitelností v OpenSSL. Jediný významný dopad na pfSense je OCSP pro HAproxy a FreeRADIUS.
- Několik Errata souvisejících s HyperV ve FreeBSD 10.3, FreeBSD-CS-16: 10 až 16:16. Více informací naleznete na adrese https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Byly aktualizovány některé zabudované balíčky a knihovny, včetně:
- PHP na 5.6.26
- libidn na 1,33
- křivka na 7.50.3
- libxml2 na 2.9.4
- Přidáno kódování na parametr 'zone' na stránkách Captive Portal.
- Přidáno kódování výstupu do diag_dns.php pro výsledky vrácené z DNS. # 6737
- Pracoval kolem chyby v prohlížeči Chrome s regulárním výrazem při analýze uniklých znaků v sadách znaků. Opravy "V souladu s požadovaným formátem" v posledních verzích prohlížeče Chrome. # 6762
- Volba formátu časového serveru serveru DHCPv6 # 6640
- Opravena / usr / bin / install chybí z nových instalací. # 6643
- Zvýšená mez konce filtru pro protokolování tak, aby vyhledávaly dostatečné záznamy. # 6652
- Ujistěte se, že jste nainstalovali widget a HTML. # 6601
- Při vytváření nových nastavení došlo k poškození nastavení widgetu. # 6669
- Opravena různá chybová slova a slova.
- Odstraněny zaniklé odkazy na stránku devwiki. Vše je nyní na adrese https://doc.pfsense.org.
- Přidáno pole pro stránky CA / Cert pro OU, které vyžadují některé externí certifikační autority a uživatelé. # 6672
- Opravena redundantní řetězec HTTP "User-Agent" v aktualizacích DynDNS.
- Opraveno písmo pro tabulky s tabulkami.
- Před aktualizací dynamického DNS byla přidána kontrola, zda je rozhraní aktivní v rámci skupiny brány.
- Opraveno znění volby "Odmítnout zapůjčení z" pro rozhraní DHCP (může přijímat pouze adresy, nikoliv podsítě.) # 6646
- Opraveno hlášení chyb pro test nastavení SMTP.
- Pevná ukládání země, poskytovatele a plánů pro rozhraní PPP
- Opravena kontrola neplatných čísel "Go To Line" na diag_edit.php. # 6704
- Opravena chyba vypnutá jednou pomocí příkazu "Řádky k zobrazení" na diag_routes.php. # 6705
- Opravený popis filtrovacího pole na diag_routes.php, který odráží, že všechna pole jsou prohledávatelná. # 6706
- Opravený popis pole pro soubor, který má být upraven na diag_edit.php. # 6703
- Opravený popis hlavního panelu na diag_resetstate.php. # 6709
- Opraveno varovné dialogové okno, pokud není zaškrtnuto políčko diag_resetstate.php. # 6710
- Opravena zkratka protokolu pro oblasti DHCP6. # 6700
- Opraveno tlačítko pro síťové odstranění, když se na serverech services_unbound_acls.php # 6716 objevil pouze jeden řádek
- Opravený zmizení textu nápovědy na opakovatelných řádcích při vymazání posledního řádku. # 6716
- Opravena dynamická doména DNS pro položky statické mapy DHCP
- Přidáno řízení pro nastavení obnovovací doby widgetu palubní desky
- Do parametrů příkazového řádku dnsmasq byl přidán parametr -C-dev / null ", aby se zabránilo tomu, že by se vybralo nesprávná výchozí konfigurace, která by přešla na naše možnosti. # 6730
- Přidáno "-l" do traceroute6 pro zobrazení adres IP a názvů hostitelů při vyřešení chmelu na diag_traceroute.php. # 6715
- Přidána poznámka o max. limitu ttl / hop v zdrojovém komentáři na diag_traceroute.php.
- Upřesnit jazyk na diag_tables.php. # 6713
- Očistěte text na diag_sockets.php. # 6708
- Pevné zobrazení názvů rozhraní VLAN při přiřazení konzoly. # 6724
- Volba pevné domény-server-servery, která se při ruční konfiguraci zobrazuje dvakrát v souborech.
- Pevná manipulace s volbami DHCP v jiných skupinách, než je hlavní rozsah. # 6720
- Opraveny chybějící názvy hostitelů v některých případech s dhcpdv6. # 6589
- Vylepšená obsluha pidfile pro dhcpleases.
- Přidány kontroly, které zabraňují přístupu k nedefinovanému posunu v IPv6.inc.
- Opravena zobrazení popiskových a upravovaných voleb aliasu na zdroji a cíli adresy i portu v odchozí NAT.
- Pevná manipulace s počtem konfigurací záloh. # 6771
- Odstraněny některé odkazy PPTP, které již nejsou relevantní.
- Opraveny / zachyceny vzdálené oblasti syslog. Přidány "routing", "ntpd", "ppp", "resolver", opravené "vpn" pro zahrnutí všech oblastí VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Opraveny chybějící políčka v některých případech při přidávání řádků na službu services_ntpd.php. # 6788
- Revidované ikony spuštěné / zastavené služby.
- Přidána kontrola správy CRL k odebrání certifikátů z rozevíracího seznamu, které jsou již obsaženy v editované CRL.
- Oddělovače pevných pravidel se pohybují, když jsou současně odstraněny více pravidel brány firewall. # 6801
Co je nového ve verzi 2.3.2:
- Zálohování / obnovení:
- Nedovolte, aby se změny v konfiguraci po konfiguracním rozhraní nezměnila, dokud nebude uloženo nové přiřazení. # 6613
- Dashboard:
- Dashboard má nyní možnosti konfigurace pro uživatele, zdokumentované ve Správci uživatelů. # 6388
- Server DHCP:
- Zakázat dhcp-cache-threshold, aby nedošlo k chybě v ISC dhcpd 4.3.x vynechání klient-hostname z pronájmu souboru, což znemožňuje registraci dynamického hostitele v některých okrajových případech. # 6589
- Pamatujte, že klíč DDNS musí být HMAC-MD5. # 6622
- DHCP relé:
- Importovaná oprava pro dhcrelayové požadavky na přenos na rozhraní, kde je umístěn cílový server DHCP. # 6355
- Dynamický DNS:
- Povolit * pro název hostitele s názvem Namecheap. # 6260
- Rozhraní:
- Oprava "nemůže přiřadit požadovanou adresu" během spouštění s rozhraním track6. # 6317
- Odstraňte zastaralé možnosti odkazů z GRE a gif. # 6586, # 6587
- Je-li zaškrtnuto políčko "Odmítnout pronájmy od", dodržujte příkaz "Rozšířené možnosti DHCP". # 6595
- Chraňte uzavřené oddělovače v rozšířené konfiguraci klienta DHCP, takže tam můžete použít čárky. # 6548
- Opravit výchozí trasu na rozhraní PPPoE, které chybí v některých okrajových případech. # 6495
- IPsec:
- strongSwan upgrade na 5.5.0.
- V nástroji ipsec.conf vyberte agresivní režim, ve kterém je vybrán automatický režim IKE. # 6513
- Monitorování brány:
- Opraveno "příliš velké jméno soketu", které brání monitorování brány na dlouhých názvech rozhraní a adresách IPv6. # 6505
- Omezovače:
- Nastavte parametr pipe_slot_limit automaticky na maximální konfigurovanou hodnotu qlimit. # 6553
- Monitorování:
- Opraveno žádné datové období jsou hlášeny jako 0, průměrování. # 6334
- Ujistěte se, že některá hodnota je jako "žádný". # 6044
- Oprava uložení některých výchozích možností konfigurace. # 6402
- Oprava klonů osy X nereaguje na rozlišení pro vlastní časové období. # 6464
- OpenVPN:
- Po uložení instancí serveru OpenVPN znovu synchronizujte konfigurace klienta, abyste zajistili, že jejich nastavení budou odrážet aktuální konfiguraci serveru. # 6139
- Operační systém:
- Opraveny fragmenty fragmentu pf nebyly vyčištěny, což způsobilo "dosažení limitu vstupů PF frag". # 6499
- Nastavte umístění jádra, aby nemohlo skončit v / var / run a vyčerpat jeho dostupné místo. # 6510
- Opravený protokol "runtime went backwards" zaznamenal spam v Hyper-V. # 6446
- Pevná traceroute6 visí s nezodpovědným hopem v cestě. # 3069
- Přidána symlink /var/run/dmesg.boot pro vm-bhyve. # 6573
- Nastavte net.isr.dispatch = přímo na 32bitových systémech s povoleným protokolem IPsec, aby se zabránilo selhání při přístupu k službám na hostiteli prostřednictvím VPN. # 4754
- Inzerce směrovačů:
- Přidány konfigurační pole pro minimální a maximální intervaly inzerce směrovače a životnost routeru. # 6533
- Směrování:
- Pevné statické cesty s lokálním směrovým směrovačem na propojení protokolu IPv6 zahrnují rozsah rozhraní. # 6506
- Pravidla / NAT:
- Opravený "klientem PPPoE klientů" v pravidlech a NAT a chyba pravidlo ruletu při použití plovoucích pravidel určujících server PPPoE. # 6597
- Opraveno selhání načítání souboru pravidel s aliasem tabulky URL, kde byl zadán prázdný soubor. # 6181
- Pevný TFTP proxy s xinetd. # 6315
- Upgrade:
- Fixované selhání upgradu nanobsd, kde DNS Forwarder / Resolver není vázán na localhost. # 6557
- Virtuální adresy IP:
- Opraveny problémy s výkonem s velkým počtem virtuálních adres IP. # 6515
- Opravena vyčerpání paměti PHP na stránce stavu CARP s velkými stavovými tabulkami. # 6364
- Webové rozhraní:
- Přidáno třídění do tabulky statických mapování DHCP. # 6504
- Nahrávání pevných souborů NTP skokových sekund. # 6590
- Přidána podpora protokolu IPv6 diag_dns.php. # 6561
- Přidána podpora protokolu IPv6 pro filtrování protokolů zpětného vyhledávání. # 6585
- Balíkový systém - uchovává pole data o chybě vstupu. # 6577
- Opraveny více problémů s ověřením vstupu IPv6, které umožňují neplatné IPv6 IP adresy. # 6551, # 6552
- Opravena některá pronájmy DHCPv6 chybějící v zobrazení GUI leases. # 6543
- Pevný stav zabíjení pro směr "in" a stavy s přeloženým cílem. # 6530, # 6531
- Obnovte ověření vstupů názvů zón v portfoliu, aby se zabránilo neplatnému XML. # 6514
- Nahradil kalendář pro výběr kalendáře v manažerovi uživatele, který funguje v prohlížečích jiných než Chrome a Opera. # 6516
- Obnovené pole serveru proxy do klienta OpenVPN. # 6372
- Upřesněte popis aliasů portů. # 6523
- Opravený překladový výstup, kde gettext prošel prázdným řetězcem. # 6394
- Volba pevné rychlosti pro 9600 v konfiguraci NTP GPS. # 6416
- Použijte IPv6 IPs na obrazovce NPT. # 6498
- Přidání podpory importu aliasů pro sítě a porty. # 6582
- Opravena zarovnání záhlaví záhlaví tabulky. # 6074
- Vyčistěte část Network Booting na obrazovce serveru DHCP. # 6050
- Opravte odkazy "UNKNOWN" v správci balíčků. # 6617
- Opravte pole Chybějící šířka pásma pro fronty shody CBQ. # 6437
- UPnP:
- UPnP prezentační URL a číslo modelu je nyní konfigurovatelné. # 6002
- Správce uživatelů:
- Zakázat správcům smazat vlastní účty v správci uživatelů. # 6450
- Ostatní:
- Přidány relace PHP shellu umožňující a zakázat trvalý režim údržby CARP. "přehrávání enablecarpmaint" a "playback disablecarpmaint". # 6560
- Konfigurace sériové konzoly pro nanobsd VGA. # 6291
Co je nového ve verzi 2.3.1 Aktualizace 5:
- Nejvýznamnějšími změnami v této verzi jsou přepisy webGUI využívající Bootstrap a základní systém včetně základního systému a jádra, který je převeden zcela na FreeBSD pkg. Konverze pkg nám umožňuje aktualizovat kusy systému jednotlivě vpřed, spíše než monolitické aktualizace minulosti. Přepis webGUI přináší nový vzhled a pocit, že pfSense vyžaduje minimální změnu velikosti nebo rolování na široké škále zařízení od stolního počítače po mobilní telefony.
Co je nového ve verzi 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Chyba zabezpečení zahrnutí lokálního souboru do pfSense WebGUI
- pfSense-SA-15_10.captiveportal: Chyba zabezpečení vstupem SQL v odhlášení portálu pfSense
- pfSense-SA-15_11.webgui: Více chyb zabezpečení XSS a CSRF v pfSense WebGUI
- Aktualizováno na FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Více zranitelností v OpenSSL
- Aktualizováno strongSwan na 5.3.5_2
- Zahrnuje opravu chyby zabezpečení bytu CVE-2015-8023 v pluginu eap-mschapv2.
Co je nového ve verzi 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Chyby zabezpečení XSS ve více uložených verzích v pfSense WebGUI
- Aktualizováno na FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Vícenásobná zranitelnost v NTP [REVISED]
- FreeBSD-SA-15: 14.bsdpatch: Vzhledem k nedostatečné dezinfekci toku vstupních patchů je možné, že patch soubor způsobí opravu (1) spuštění příkazů kromě požadovaných příkazů SCCS nebo RCS.
- FreeBSD-SA-15: 16.openssh: Klient OpenSSH správně neověřuje záznamy DNS SSHFP, pokud server nabízí certifikát. CVE-2014-2653 OpenSSH servery, které jsou nakonfigurovány tak, aby umožňovaly ověřování heslem pomocí PAM (výchozí), by umožňovaly mnoho pokusů o heslo.
- FreeBSD-SA-15: 18.bsdpatch: Vzhledem k nedostatečné dezinfekci toku vstupních patchů je možné, že soubor patch způsobí opravu (1) předávání určitých ed (1) skriptů ed (1) editor, který by spustil příkazy.
- FreeBSD-SA-15: 20.expat: Ve funkci XML_GetBuffer () v expatové knihovně byly objeveny vícečetné přetečení.
- FreeBSD-SA-15: 21.amd64: Pokud příkaz IRET v režimu jádra vygeneruje výjimku #SS nebo #NP, ale obslužný program výjimek správně nezaručuje opětovné načtení správné základny registru GS pro jádro , může segment segmentu userland GS být použit v kontextu obslužného programu výjimek jádra.
- FreeBSD-SA-15: 22.openssh: Chyba programování v procesu privilegovaného monitorování služby sshd (8) může povolit přepsání uživatelského jména již ověřeného uživatele nepodporovaným podřízeným procesem. Chyba po použití v privilegovaném procesu monitorování služby sshd (8) může být deterministicky spuštěna akcími ohroženého neoprávněného podřízeného procesu. Chyba po použití v kódu multiplexování relace v službě sshd (8) může mít za následek neúmyslné ukončení připojení.
Co je nového ve verzi 2.2.4:
- pfSense-SA-15_07.webgui: Chyby zabezpečení XSS ve více uložených formátech v aplikaci pfSense WebGUI
- Úplný seznam ovlivněných stránek a polí je uveden v propojené SA.
- FreeBSD-SA-15: 13.tcp: Vyčerpání prostředků způsobené relacemi přetrvávajícími ve stavu LAST_ACK. Všimněte si, že to platí pouze pro scénáře, kde porty poslouchající samotný pfSense (nikoli věci procházející přes NAT, směrování nebo přemostění) jsou otevřeny do nedůvěryhodných sítí. To se netýká výchozí konfigurace.
- Poznámka: FreeBSD-SA-15: 13.openssl se nevztahuje na pfSense. pfSense nezahrnuje zranitelnou verzi OpenSSL a nebyla tak zranitelná.
- Další opravy pro poškození souborů v různých případech během nečistého vypnutí (selhání, ztráta výkonu atd.). # 4523
- Opraveno pw ve FreeBSD k vyřešení korupce passwd / group
- Opraveno nastavení config.xml pro správné použití fsync, aby se zabránilo případům, kdy by mohlo skončit prázdné. # 4803
- Odstraňte možnost "synchronizace" z souborových systémů pro nové úplné instalace a úplné aktualizace, když je skutečná oprava zavedena.
- Odstraněny softupdates a žurnálování (AKA SU + J) od NanoBSD, zůstanou na plných instalacích. # 4822
- Náplast forcesync pro # 2401 je stále považována za škodlivou pro souborový systém a byla zachována. Jako takový může být NanoBSD u některých pomalejších disků, zejména u CF karet a v menší míře SD karet, poměrně pomalá. Pokud se jedná o problém, souborový systém může být permanentně čten a zapisován pomocí možnosti Diagnostika & gt; NanoBSD. U ostatních výše uvedených změn je riziko minimální. Doporučujeme nahradit zasažené médium CF / SD novou, rychlejší kartou co nejdříve. # 4822
- Aktualizováno PHP na 5.5.27 na adresu CVE-2015-3152 # 4832
- Snížil SSH LoginGraceTime od 2 minut na 30 sekund, aby zmírnil dopad chyby bypassu MaxAuthTries. Poznámka: Sshlockout zablokuje neoprávněné IP adresy ve všech minulých, současných i budoucích verzích. # 4875
Co je nového ve verzi 2.2.3:
- pfSense-SA-15_06.webgui: Více chyb zabezpečení XSS v pfSense WebGUI
- Úplný seznam ovlivněných stránek a polí je velký a všechny jsou uvedeny v propojené SA
- FreeBSD-SA-15: 10.openssl: Více zranitelností OpenSSL (včetně logjamu): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Co je nového ve verzi 2.2.2:
- Toto vydání obsahuje dvě bezpečnostní aktualizace s nízkým rizikem:
- FreeBSD-SA-15: 09.ipv6: Odmítnutí služby s reklamami směrovače IPv6. Pokud systém používá typ DHCPv6 WAN, zařízení ve stejné vysílací doméně jako WAN mohou posílat crafted pakety způsobující ztrátu připojení k Internetu IPv6.
- FreeBSD-SA-15: 06.openssl: Více zranitelností OpenSSL. Většina není použitelná a nejhorší dopad je odepření služby.
Co je nového ve verzi 2.2.1:
- Opravy zabezpečení:
- pfSense-SA-15_02.igmp: Přetečení celých čísel v protokolu IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: Více chyb zabezpečení XSS v nástroji pfSense WebGUI
- pfSense-SA-15_04.webgui: Chyba při libovolném smazání souboru v pfSense WebGUI
- FreeBSD-CS-15: 01.vt: vt (4) selhání s nesprávnými parametry ioctl
- FreeBSD-CS-15: 02.openssl: Aktualizace zahrnující opravy spolehlivosti z OpenSSL
- Poznámka k chybě OpenSSL "FREAK":
- Neovlivňuje konfiguraci webového serveru v bráně firewall, protože nemá povolené šifry pro export.
- PfSense 2.2 již zahrnoval OpenSSL 1.0.1k, který se týkal zranitelnosti na straně klienta.
- Pokud balíčky obsahují webový server nebo podobnou součást, například proxy, může být ovlivněna nesprávná konfigurace uživatele. Podrobné informace najdete v dokumentaci nebo fóru balíčku.
Co je nového ve verzi 2.2:
- Tato verze přináší vylepšení výkonu a hardwarové podpory ze základny FreeBSD 10.1, stejně jako vylepšení, které jsme přidali, jako například AES-GCM s akcelerací AES-NI, mezi řadou dalších nových funkcí a oprav chyb.
- V procesu dosažení propuštění jsme uzavřeli 392 celkových lístků (toto číslo zahrnuje 55 funkcí nebo úkolů), opraveno 135 chyb, které ovlivnily 2.1.5 a předchozí verze, opraveno dalších 202 chyb zavedených v 2.2 posunem základny OS verze od FreeBSD 8.3 až 10.1, změna démonů pro klíčování IPsec z racoon na strongSwan, upgradu PHP backendu na verzi 5.5 a přepnutí z FastCGI na PHP-FPM a přidání nezávazného resolveru DNS a mnoha menších změn.
- Toto vydání obsahuje čtyři opravy zabezpečení s malým dopadem:
- Aktualizace openssl pro FreeBSD-SA-15: 01.openssl
- Více zranitelností XSS ve webovém rozhraní. pfSense-SA-15_01
- Aktualizace OpenVPN pro verzi CVE-2014-8104
- Aktualizace NTP FreeBSD-SA-14: 31.ntp - i když se zdá, že tyto okolnosti neovlivňují pfSense.
Co je nového ve verzi 2.1.4:
- Opravy zabezpečení:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- Balíky měly také své vlastní nezávislé opravy a potřebují aktualizaci. Během procesu aktualizace firmwaru budou balíčky správně přeinstalovány. V opačném případě odinstalujte a znovu nainstalujte balíčky, abyste se ujistili, že se používá nejnovější verze binárních souborů.
- Jiné opravy:
- Patch pro potíže s kapilovaným portálem, které vedou k dosažení maximálního přihlašování na Captive Portal. # 3062
- Odstraňte text, který není relevantní pro povolené adresy IP na portálu Captive. # 3594
- Odstraňte jednotky z burstu, jak je vždy uvedeno v bajtech. (Podle ipfw (8)).
- Přidejte sloupec pro vnitřní port na stránce stavu UPnP.
- Pro UPnP je volitelná volba rozhraní, spíše než IP.
- Opravte zvýraznění vybraných pravidel. # 3646
- Přidejte guiconfig do widgetů, které ho nezahrnují. # 3498
- / etc / version_kernel a / etc / version_base již neexistují, použijte php_uname, abyste získali verzi XMLRPC.
- Opravte proměnnou typografii. # 3669
- Pokud je rozhraní zakázáno, odstraňte všechny aliasy IP. # 3650
- Správně zpracujte RRD archiv přejmenujte během upgradu a squelch chyby, pokud selže.
- Při vytváření záhlaví HTTP pro XMLRPC převeďte protokol ssl: // na https: //
- Zobrazte zakázaná rozhraní, pokud byly již součástí skupiny rozhraní. Tím se zabrání zobrazování náhodného rozhraní a nechá-li jej uživatel omylem přidat. # 3680
- Příkaz client-config-dir pro OpenVPN je také užitečný při použití interního DHCP OpenVPN při přemostění, takže jej v tom případě také přidejte.
- Chcete-li stahovat soubory s aktualizací, použijte knoflík namísto načtení. # 3691
- Před procházením shell z stop_service () vypínejte proměnnou Escape.
- Přidejte ochranu do parametrů, které prochází službou _GET ve správě služeb.
- Příkaz Escape při volání is_process_running také odstraní některé nevyžádané volání mwexec ().
- Nepovolejte, aby název skupiny rozhraní byl větší než 15 znaků. # 3208
- Přesněji, aby odpovídal členům mostního rozhraní, mělo by to opravit # 3637
- Nevyhazujte již zakázané uživatele, opravuje # 3644
- Ověřte formát startup a stoptime na firewall_schedule_edit.php
- Buďte opatrnější s hostitelským parametrem na diagnos_dns.php a ujistěte se, že při funkcí shell volání uniká
- Parametry escape byly předány shell_exec () v diag_smart.php a jinde
- Ujistěte se, že proměnné unikly / dezinfikovaly na status_rrd_graph_img.php
- Nahraďte příkazy exec k spuštění rm pomocí unlink_if_exists () na stav_rrd_graph_img.php
- Nahraďte všechny volání hostname pomocí php_uname (& lsquo; n ') na status_rrd_graph_img.php
- Nahraďte všechna data "data" od strftime () na status_rrd_graph_img.php
- Přidejte $ _gb pro shromažďování případných odpadků z příkazu return na status_rrd_graph_img.php
- Při čtení souborů balíčků xml se vyhněte překročení adresáře v souboru pkg_edit.php, zkontrolujte také, zda existuje soubor předtím, než ho chcete přečíst
- Odstranit id = 0 z nabídky miniupnpd a zástupce
- Odstranit. a / z názvu pkg, aby se zabránilo překročení adresáře v souboru pkg_mgr_install.php
- Upravit výpis jádra při prohlížení neplatného protokolu balíků
- Vyhýbejte se překročení adresáře na system_firmware_restorefullbackup.php
- Znovu generujte ID relace při úspěšném přihlášení, abyste se vyhnuli fixaci relace
- Chraňte parametry rssfeed pomocí htmlspecialchars () v rss.widget.php
- Chraňte parametr servicestatusfilter pomocí htmlspecialchars () v službách service_status.widget.php
- Vždy nastavte atribut httponly na soubory cookie
- Nastavit & lsquo; Zakázat autokompletní přihlašování webConfigurator 'jako výchozí pro nové instalace
- Zjednodušte logiku, přidejte ochranu na vstupní parametry uživatele na log.widget.php
- Ujistěte se, že jednotlivé úvodní hesla jsou zakódovány a vyhnout se injekci javascript na exec.php
- Přidejte chybějící NAT protokoly na firewall_nat_edit.php
- Odstraňte další údaje za mezery v DSCP a opravte syntaxi pravidlo pf. # 3688
- Plánované pravidlo zahrňte pouze tehdy, pokud je přísně před koncem. # 3558
Co je nového ve verzi 2.1.1:
- Největší změnou je uzavření následujících bezpečnostních problémů / CVE:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Jiná než tato, ovladače em / igb / ixgb / ixgbe byly upgradovány, aby se přidala podpora pro NICy i210 a i354. Některé síťové čipy Intel 10Gb Ethernet také budou mít lepší výkon.
Komentáře nebyl nalezen