pfSense & reg; è un sistema operativo BSD liberamente distribuito e open source derivato dal ben noto progetto m0n0wall, ma con obiettivi radicalmente diversi come l'uso di Packet Filter e le ultime tecnologie FreeBSD.
Il progetto può essere utilizzato sia come router sia come firewall. Include un sistema di pacchetti che consente agli amministratori di sistema di estendere facilmente il prodotto senza aggiungere potenziali vulnerabilità di sicurezza e ingigantire la distribuzione di base.
Caratteristiche a colpo d'occhio
Le funzionalità principali includono firewall all'avanguardia, bilanciamento del carico in entrata / in uscita, tabella di stato, NAT (Network Address Translation), alta disponibilità, VPN (Virtual Private Network) con supporto per IPsec, PPTP e OpenVPN, PPPoE server, DNS dinamico, captive portal, reporting e monitoraggio.
È un sistema operativo firewall sviluppato attivamente, distribuito come Live CD archiviato con gz e immagini ISO di sola installazione, installer di chiavette USB e NanoBSD / supporti integrati. Al momento sono supportate entrambe le piattaforme hardware a 64 bit (amd64) e 32 bit (i386).
Diverse opzioni di avvio predefinite sono disponibili durante il processo di avvio, come l'avvio del sistema operativo con le impostazioni predefinite, con ACPI disabilitato, utilizzando dispositivi USB, in modalità provvisoria, in modalità utente singolo, con registrazione dettagliata, così come accedere a un prompt della shell o riavviare il computer.
Iniziare con pfSense & reg;
Mentre la distribuzione chiederà agli utenti se desiderano configurare le VLAN (Virtual LAN) dall'inizio, richiederà almeno un'interfaccia di rete assegnata per funzionare. Ciò significa che se non si ha / non si imposta almeno un'interfaccia, pfSense e reg; ha vinto anche l'inizio.
Essere utilizzato come firewall per reti domestiche di piccole dimensioni, università, grandi aziende o qualsiasi altra organizzazione in cui la necessità di proteggere migliaia di dispositivi di rete è estremamente importante, pfSense & reg; è stato scaricato da oltre un milione di utenti da tutto il mondo, sin dal suo inizio.
Linea di fondo
È uno dei migliori progetti di firewall open source progettato per fornire agli utenti tutte le funzionalità con cui vengono prodotti i firewall commerciali. Oggi, pfSense & reg; è utilizzato in numerose soluzioni firewall hardware, tra cui Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall o Watchguard.
pfSense & reg; è un marchio registrato e un marchio di servizio di proprietà di Electric Sheep Fencing LLC. Vedi www.electricsheepfencing.com.
Novità in questa versione:
- Sicurezza / Errata li>
- Aggiornato a OpenSSL 1.0.2m per indirizzare CVE-2017-3736 e CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Risolto un potenziale vettore XSS in status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Risolto un potenziale vettore XSS in diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Risolto un potenziale vettore XSS su index.php tramite i parametri della sequenza del widget # 8000 pfSense-SA-17_09.webgui.asc
- Corretto un potenziale XSS nel parametro widgetkey di widget cruscotto multi-istanza # 7998 pfSense-SA-17_09.webgui.asc
- Risolto un potenziale problema di clickjacking nella pagina degli errori CSRF
- Interfacce
- Corrette le interfacce PPP con un genitore VLAN quando si usano i nuovi nomi VLAN # 7981
- Risolti i problemi con le interfacce QinQ che non venivano visualizzate come attive # 7942
- Risolto un problema di panico / arresto anomalo quando si disabilitava un'interfaccia LAGG # 7940
- Risolti i problemi con le interfacce LAGG che perdevano il loro indirizzo MAC # 7928
- Risolto un crash in radvd su SG-3100 (ARM) # 8022
- Risolto un problema con il pacchetto UDP che cade su SG-1000 # 7426
- Aggiunta un'interfaccia per gestire lo switch integrato su SG-3100
- Tagliati più caratteri dalla descrizione dell'interfaccia per evitare il wrapping della riga di output del menu della console su una console VGA
- Corretto il trattamento del parametro uniqueid VIP durante la modifica dei tipi VIP
- Visualizzazione del campo dei parametri del collegamento PPP fisso quando è stata selezionata un'interfaccia genitore VLAN # 8098
- Sistema operativo
- Risolti i problemi derivanti dall'avere un layout del filesystem configurato manualmente con una slice / usr separata # 8065
- Problemi risolti che aggiornavano i sistemi ZFS creati ZFS usando uno schema di partizione MBR (vuoto / avvio dovuto al fatto che il bootpool non è stato importato) # 8063
- Risolti i problemi relativi alle sessioni BGP che utilizzavano firme MD5 TCP nei pacchetti daemon di routing # 7969
- Dpinger aggiornato a 3.0
- Miglioramento delle scelte e dei metodi di selezione del repository di aggiornamento
- Aggiornati i parametri sintonizzabili del sistema che indicano al sistema operativo di non raccogliere dati da interrupt, interfacce point-to-point e dispositivi Ethernet per riflettere il nuovo nome / formato per FreeBSD 11
- Elaborazione del set di regole modificato in modo che torni se un altro processo è nel mezzo di un aggiornamento, piuttosto che presentare un errore all'utente
- Risolti alcuni problemi di avvio di UEFI su varie piattaforme
- Certificati
- Risolto il problema con le voci non valide in /etc/ssl/openssl.cnf (solo l'utilizzo non standard di openssl nella cli / shell) # 8059
- Risolto l'autenticazione LDAP quando il server utilizza una CA radice globalmente affidabile (nuova selezione CA per & quot; Elenco CA globale radice & quot;) # 8044
- Risolti i problemi relativi alla creazione di un certificato con un carattere jolly CN / SAN # 7994
- Aggiunta la convalida a Certificate Manager per impedire l'importazione di un certificato di autorità non certificata nella scheda CA n. 7885
- IPsec
- Risolto un problema con i certificati CA IPsec quando l'oggetto contiene più RDN dello stesso tipo # 7929
- Risolto un problema con l'abilitazione del supporto client mobile IPsec nelle lingue tradotte # 8043
- Risolti problemi con visualizzazione / output dello stato IPsec, incluse più voci (una disconnessa, una connessa) # 8003
- Corretta la visualizzazione di più client IPsec mobili connessi # 7856
- Corretta la visualizzazione delle voci child SA # 7856
- OpenVPN
- Aggiunta un'opzione per i server OpenVPN per l'utilizzo di & quot; redirect-gateway ipv6 & quot; per fungere da gateway predefinito per la connessione di client VPN con IPv6, simile a & quot; redirect-gateway def1 & quot; per IPv4. # 8082
- Risolto il problema dell'opzione di revoca dei certificati del client OpenVPN # 8088
- Traffic Shaping
- Risolto un errore durante la configurazione di un limitatore su 2 Gb / s (nuovo massimo è 4 Gb / s) # 7979
- Risolti i problemi con le interfacce di rete bridge che non supportavano ALTQ # 7936
- Risolti problemi con le interfacce di rete vtnet che non supportano ALTQ # 7594
- Risolto un problema con Status & gt; Code che non riescono a visualizzare le statistiche per le interfacce VLAN # 8007
- Risolto un problema con le code di traffic shaping che non permettevano il totale di tutte le code child al 100% # 7786
- Risolto un problema con i limiter dati valori non frazionari / non interi non validi dalle voci del limitatore o passati a Captive Portal da RADIUS # 8097
- Regole / NAT
- Corretta la selezione dei gateway IPv6 durante la creazione di una nuova regola del firewall # 8053
- Corretti errori nella pagina di configurazione Port Forward risultanti da cookie / dati non query / non-pfSense # 8039
- Impostazione fissa Priorità VLAN tramite regole firewall # 7973
- XMLRPC
- Corretto un problema con la sincronizzazione XMLRPC quando l'utente di sincronizzazione ha una password contenente spazi # 8032
- Risolti i problemi relativi a XMLRPC con i buoni Captive Portal # 8079
- WebGUI
- Aggiunta un'opzione per disabilitare HSTS per il server Web della GUI n. 6650
- Modificato il servizio Web della GUI per bloccare il download diretto di file .inc # 8005
- Corretto l'ordinamento dei servizi nel widget dashboard e nella pagina dello stato dei servizi # 8069
- Risolto un problema di input in cui le voci statiche IPv6 consentivano un input non valido per i campi indirizzo # 8024
- Corretto un errore di sintassi JavaScript nei grafici del traffico quando si incontravano dati non validi (ad esempio, l'utente era disconnesso o la sessione cancellata) # 7990
- Corretti errori di campionamento nei grafici di traffico # 7966
- Risolto un errore JavaScript su Stato & gt; Monitoraggio # 7961
- Risolto un problema di visualizzazione con tabelle vuote su Internet Explorer 11 # 7978
- Elaborazione della configurazione modificata per utilizzare un'eccezione anziché die () quando rileva una configurazione danneggiata li>
- Aggiunto il filtro alla pagina pfTop
- Aggiunto un mezzo per i pacchetti per visualizzare un modale per l'utente (ad es. riavvio richiesto prima che il pacchetto possa essere usato)
- Dashboard
- Corretta la visualizzazione degli aggiornamenti disponibili nel widget Dashboard pacchetti installati # 8035
- Corretto un problema di carattere nel widget Dashboard di supporto # 7980
- Corretta la formattazione delle sezioni / partizioni del disco nel widget Dashboard delle informazioni di sistema
- Risolto un problema con il widget Immagini quando non è stata salvata un'immagine valida # 7896
- pacchetti
- Corretta la visualizzazione dei pacchetti che sono stati rimossi dal repository nel Gestore pacchetti # 7946
- Risolto un problema che mostrava pacchetti installati localmente quando il repository di pacchetti remoto non era disponibile # 7917
- Varie
- Corretto il binding dell'interfaccia in ntpd in modo che non ascolti erroneamente su tutte le interfacce # 8046
- Risolto un problema per cui il riavvio del servizio syslogd avrebbe reso sshlockout_pf process orphans # 7984
- Aggiunto il supporto per il provider DNS dinamico ClouDNS # 7823
- Risolto un problema nelle pagine User e Group Manager quando si eseguivano le voci subito dopo aver eliminato una voce # 7733
- Modificata la procedura guidata di installazione in modo che salti la configurazione dell'interfaccia quando viene eseguita su un'istanza AWS EC2 n. 6459
- Risolto un problema con il proxy IGMP con la modalità Tutto multicast su SG-1000 # 7710
Novità della versione nella versione:
- Aggiornamenti del cruscotto:
- Nella Dashboard 2.3.4-RELEASE troverai alcune informazioni aggiuntive: il produttore del BIOS, la versione e la data di rilascio, se il firewall può determinarli, e un ID univoco di Netgate. L'ID univoco di Netgate è simile a un numero seriale, viene utilizzato per identificare in modo univoco un'istanza del software pfSense per i clienti che desiderano acquistare servizi di supporto. Per l'hardware venduto nel nostro negozio, ci consente anche di legare le unità ai nostri record di produzione. Questo ID è coerente su tutte le piattaforme (bare metal, macchine virtuali e istanze ospitate / cloud come AWS / Azure). Inizialmente avevamo intenzione di utilizzare il numero di serie dell'hardware o l'UUID generato dal sistema operativo, ma abbiamo scoperto che questi erano inaffidabili, incoerenti e potevano cambiare in modo imprevisto quando il sistema operativo è stato reinstallato.
- Come per il numero di serie, questo identificatore viene visualizzato solo sulla Dashboard a scopo informativo e non viene automaticamente trasmesso automaticamente per impostazione predefinita. In futuro, i clienti possono utilizzare questo identificativo quando richiedono informazioni di supporto dal nostro personale o dai nostri sistemi.
- Se non hai ancora capito le modifiche in 2.3.x, guarda il video Funzionalità e In evidenza. I post precedenti del blog hanno coperto alcune delle modifiche, ad esempio i miglioramenti delle prestazioni da tryforward e l'aggiornamento webGUI.
- Certificati della GUI del firewall:
- Gli utenti di Chrome 58 e versioni successive, e in alcuni casi Firefox 48 e versioni successive, potrebbero avere problemi ad accedere alla GUI Web di pfSense se utilizza un certificato autofirmato predefinito generato automaticamente da un firewall che esegue pfSense versione 2.3.3-p1 o in precedenza. Questo perché Chrome 58 applica rigorosamente RFC 2818 che richiede solo nomi host corrispondenti che utilizzano voci Nome alternativo soggetto (SAN) anziché il campo Nome comune di un certificato e il certificato autofirmato predefinito non ha compilato il campo SAN.
- Abbiamo corretto il codice del certificato per seguire correttamente l'RFC 2818 in modo user-friendly aggiungendo automaticamente il valore Common Name del certificato come prima voce SAN.
- Gli amministratori di firewall dovranno generare un nuovo certificato da utilizzare dalla GUI per utilizzare il nuovo formato. Esistono diversi modi per generare un certificato compatibile, tra cui:
- Genera e attiva automaticamente un nuovo certificato GUI dalla console o dalla shell ssh utilizzando uno dei nostri script di riproduzione:
- riproduzione di pfSsh.php generateguicert
- Utilizza il pacchetto ACME per generare un certificato attendibile per la GUI tramite Let's Encrypt, che è già formattato correttamente.
- Creare manualmente una nuova Autorità di certificazione (CA) autofirmata e un certificato server firmato da tale CA, quindi utilizzarlo per la GUI.
- Attiva il browser locale & quot; EnableCommonNameFallbackForLocalAnchors & quot; opzione in Chrome 58. Questa impostazione verrà rimossa da Chrome, quindi questa è solo una soluzione temporanea.
- Alcuni utenti potrebbero ricordare che non è la prima volta che il formato del certificato predefinito è stato problematico a causa delle modifiche del browser. Diversi anni fa, Firefox ha cambiato il modo in cui calcola le catene di certificati attendibili, il che potrebbe far bloccare o bloccare un browser quando si tenta di accedere a più firewall con certificati autofirmati contenenti dati predefiniti comuni che hanno dato origine a tutti i certificati contenenti lo stesso oggetto. La riparazione è stata più di una sfida, ma ha avuto come risultato un'esperienza utente molto migliore.
Novità in nella versione 2.3.4:
- Aggiornamenti del cruscotto:
- Nella Dashboard 2.3.4-RELEASE troverai alcune informazioni aggiuntive: il produttore del BIOS, la versione e la data di rilascio, se il firewall può determinarli, e un ID univoco di Netgate. L'ID univoco di Netgate è simile a un numero seriale, viene utilizzato per identificare in modo univoco un'istanza del software pfSense per i clienti che desiderano acquistare servizi di supporto. Per l'hardware venduto nel nostro negozio, ci consente anche di legare le unità ai nostri record di produzione. Questo ID è coerente su tutte le piattaforme (bare metal, macchine virtuali e istanze ospitate / cloud come AWS / Azure). Inizialmente avevamo intenzione di utilizzare il numero di serie dell'hardware o l'UUID generato dal sistema operativo, ma abbiamo scoperto che questi erano inaffidabili, incoerenti e potevano cambiare in modo imprevisto quando il sistema operativo è stato reinstallato.
- Come per il numero di serie, questo identificatore viene visualizzato solo sulla Dashboard a scopo informativo e non viene automaticamente trasmesso automaticamente per impostazione predefinita. In futuro, i clienti possono utilizzare questo identificativo quando richiedono informazioni di supporto dal nostro personale o dai nostri sistemi.
- Se non hai ancora capito le modifiche in 2.3.x, guarda il video Funzionalità e In evidenza. I post precedenti del blog hanno coperto alcune delle modifiche, ad esempio i miglioramenti delle prestazioni da tryforward e l'aggiornamento webGUI.
- Certificati della GUI del firewall:
- Gli utenti di Chrome 58 e versioni successive, e in alcuni casi Firefox 48 e versioni successive, potrebbero avere problemi ad accedere alla GUI Web di pfSense se utilizza un certificato autofirmato predefinito generato automaticamente da un firewall che esegue pfSense versione 2.3.3-p1 o in precedenza. Questo perché Chrome 58 applica rigorosamente RFC 2818 che richiede solo nomi host corrispondenti che utilizzano voci Nome alternativo soggetto (SAN) anziché il campo Nome comune di un certificato e il certificato autofirmato predefinito non ha compilato il campo SAN.
- Abbiamo corretto il codice del certificato per seguire correttamente l'RFC 2818 in modo user-friendly aggiungendo automaticamente il valore Common Name del certificato come prima voce SAN.
- Gli amministratori di firewall dovranno generare un nuovo certificato da utilizzare dalla GUI per utilizzare il nuovo formato. Esistono diversi modi per generare un certificato compatibile, tra cui:
- Genera e attiva automaticamente un nuovo certificato GUI dalla console o dalla shell ssh utilizzando uno dei nostri script di riproduzione:
- riproduzione di pfSsh.php generateguicert
- Utilizza il pacchetto ACME per generare un certificato attendibile per la GUI tramite Let's Encrypt, che è già formattato correttamente.
- Creare manualmente una nuova Autorità di certificazione (CA) autofirmata e un certificato server firmato da tale CA, quindi utilizzarlo per la GUI.
- Attiva il browser locale & quot; EnableCommonNameFallbackForLocalAnchors & quot; opzione in Chrome 58. Questa impostazione verrà rimossa da Chrome, quindi questa è solo una soluzione temporanea.
- Alcuni utenti potrebbero ricordare che non è la prima volta che il formato del certificato predefinito è stato problematico a causa delle modifiche del browser. Diversi anni fa, Firefox ha cambiato il modo in cui calcola le catene di certificati attendibili, il che potrebbe far bloccare o bloccare un browser quando si tenta di accedere a più firewall con certificati autofirmati contenenti dati predefiniti comuni che hanno dato origine a tutti i certificati contenenti lo stesso oggetto. La riparazione è stata più di una sfida, ma ha avuto come risultato un'esperienza utente molto migliore.
Novità nella versione 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Vulnerabilità multiple in OpenSSL. L'unico impatto significativo su pfSense è OCSP per HAproxy e FreeRADIUS.
- Diversi Errata correlati a HyperV in FreeBSD 10.3, FreeBSD-IT-16: dalle 10 alle 16:16. Vedi https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html per i dettagli.
- Sono stati aggiornati numerosi pacchetti e librerie incorporate, tra cui:
- Da PHP a 5.6.26
- libidn a 1.33
- arriccia a 7.50.3
- da libxml2 a 2.9.4
- Aggiunta della codifica al parametro "zone" nelle pagine di Captive Portal.
- Aggiunta della codifica di output a diag_dns.php per i risultati restituiti da DNS. # 6737
- Ha funzionato attorno a un bug di Chrome con l'analisi regolare dell'espressione dei caratteri di escape all'interno dei set di caratteri. Correzioni & quot; Si prega di abbinare il formato richiesto & quot; sulle ultime versioni di Chrome. # 6762
- Risolto l'opzione di formato orario server DHCPv6 # 6640
- Risolto / usr / bin / install mancante nelle nuove installazioni. # 6643
- Aumentato il limite di coda di filtraggio per la registrazione, in modo che la ricerca possa individuare voci sufficienti. # 6652
- Pulito widget e HTML dei pacchetti installati. # 6601
- Corretto il danneggiamento delle impostazioni del widget durante la creazione di nuove impostazioni. # 6669
- Corretti vari errori di battitura e di testo.
- Rimossi i link defunti al sito di devwiki. Tutto è su https://doc.pfsense.org ora.
- Aggiunto un campo alle pagine CA / Cert per OU, richiesto da alcune CA e utenti esterni. # 6672
- Corretto un HTTP ridondante & quot; User-Agent & quot; stringa negli aggiornamenti DynDNS.
- Corretto il carattere per le tabelle ordinabili.
- Aggiunto un controllo per verificare se un'interfaccia è attiva in un gruppo di gateway prima di aggiornare il DNS dinamico.
- Corretto il testo del & quot; Rifiuta i leasing da & quot; opzione per un'interfaccia DHCP (può prendere solo indirizzi, non sottoreti). # 6646
- Corretta la segnalazione degli errori per il test delle impostazioni SMTP.
- Risolto il problema relativo al salvataggio di paesi, fornitori e piani vali per le interfacce PPP
- Verifica fissa di & quot; Vai alla riga & quot; numeri su diag_edit.php. # 6704
- Corretto errore fuori dalla virgola con & quot; Righe da visualizzare & quot; su diag_routes.php. # 6705
- Corretta la descrizione della casella filtro su diag_routes.php per riflettere che tutti i campi sono ricercabili. # 6706
- Corretta la descrizione della casella per il file da modificare su diag_edit.php. # 6703
- Corretta la descrizione del pannello principale su diag_resetstate.php. # 6709
- Corretto il messaggio di avviso quando una casella è deselezionata su diag_resetstate.php. # 6710
- Corretto collegamento al registro per le aree DHCP6. # 6700
- Corretto il pulsante di eliminazione della rete che mostrava quando era presente solo una riga su services_unbound_acls.php # 6716
- Risolto il problema con cui scompariva il testo della guida su righe ripetibili quando viene cancellata l'ultima riga. # 6716
- Risolto il dominio DNS dinamico per le voci DHCP della mappa statica
- Aggiunto controllo per impostare il periodo di aggiornamento del widget dashboard
- Aggiunto & quot; -C / dev / null & quot; ai parametri della riga di comando dnsmasq per evitare che raccolga una configurazione predefinita errata che sostituisca le nostre opzioni. # 6730
- Aggiunto & quot; -l & quot; per traceroute6 per mostrare sia gli indirizzi IP che i nomi host quando si risolvono gli hop su diag_traceroute.php. # 6715
- Aggiunta nota sul limite massimo ttl / hop nel commento sorgente su diag_traceroute.php.
- Lingua chiarita su diag_tables.php. # 6713
- Pulito il testo su diag_sockets.php. # 6708
- Corretta la visualizzazione dei nomi di interfacce VLAN durante l'assegnazione della console. # 6724
- L'opzione Fixed domain-name-servers è stata mostrata due volte nei pool quando è stata impostata manualmente.
- Corretta la gestione delle opzioni DHCP nei pool diversi dall'intervallo principale. # 6720
- Corretti i nomi host mancanti in alcuni casi con dhcpdv6. # 6589
- Migliore gestione dei file Pid per i dhplease.
- Aggiunti i controlli per impedire l'accesso a un offset non definito in IPv6.inc.
- Corretta la visualizzazione del popup alias e modifica le opzioni sull'origine e sulla destinazione sia per l'indirizzo che per la porta sul NAT in uscita.
- Corretta gestione del conteggio delle configurazioni di backup. # 6771
- Rimossi alcuni riferimenti PPTP pendenti che non sono più pertinenti.
- Risolto / catturato aree di syslog remote. Aggiunti & quot; routing & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; resolver & quot ;, fixed & quot; vpn & quot; per includere tutte le aree VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Corrette le caselle mancanti in alcuni casi durante l'aggiunta di righe su services_ntpd.php. # 6788
- Icone di esecuzione / arresto revisionate del servizio.
- Aggiunto un controllo alla gestione CRL per rimuovere i certificati dall'elenco a discesa che sono già contenuti nel CRL in fase di modifica.
- Corretti i separatori delle regole che si spostano quando più regole firewall vengono eliminate contemporaneamente. # 6801
Novità in nella versione 2.3.3:
- FreeBSD-SA-16: 26.openssl - Vulnerabilità multiple in OpenSSL. L'unico impatto significativo su pfSense è OCSP per HAproxy e FreeRADIUS.
- Diversi Errata correlati a HyperV in FreeBSD 10.3, FreeBSD-IT-16: dalle 10 alle 16:16. Vedi https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html per i dettagli.
- Sono stati aggiornati numerosi pacchetti e librerie incorporate, tra cui:
- Da PHP a 5.6.26
- libidn a 1.33
- arriccia a 7.50.3
- da libxml2 a 2.9.4
- Aggiunta della codifica al parametro "zone" nelle pagine di Captive Portal.
- Aggiunta della codifica di output a diag_dns.php per i risultati restituiti da DNS. # 6737
- Ha funzionato attorno a un bug di Chrome con l'analisi regolare dell'espressione dei caratteri di escape all'interno dei set di caratteri. Correzioni "Si prega di abbinare il formato richiesto" sulle ultime versioni di Chrome. # 6762
- Risolto l'opzione di formato orario server DHCPv6 # 6640
- Risolto / usr / bin / install mancante nelle nuove installazioni. # 6643
- Aumentato il limite di coda di filtraggio per la registrazione, in modo che la ricerca possa individuare voci sufficienti. # 6652
- Pulito widget e HTML dei pacchetti installati. # 6601
- Corretto il danneggiamento delle impostazioni del widget durante la creazione di nuove impostazioni. # 6669
- Corretti vari errori di battitura e di testo.
- Rimossi i link defunti al sito di devwiki. Tutto è su https://doc.pfsense.org ora.
- Aggiunto un campo alle pagine CA / Cert per OU, richiesto da alcune CA e utenti esterni. # 6672
- Corretto una stringa "User-Agent" HTTP ridondante negli aggiornamenti DynDNS.
- Corretto il carattere per le tabelle ordinabili.
- Aggiunto un controllo per verificare se un'interfaccia è attiva in un gruppo di gateway prima di aggiornare il DNS dinamico.
- Corretto il testo dell'opzione "Rifiuta leasing da" per un'interfaccia DHCP (può prendere solo indirizzi, non sottoreti). # 6646
- Corretta la segnalazione degli errori per il test delle impostazioni SMTP.
- Risolto il problema relativo al salvataggio di paesi, fornitori e piani vali per le interfacce PPP
- Corretto il controllo dei numeri "Go To Line" non validi su diag_edit.php. # 6704
- Corretto errore "uno per uno" con "Righe da visualizzare" su diag_routes.php. # 6705
- Corretta la descrizione della casella filtro su diag_routes.php per riflettere che tutti i campi sono ricercabili. # 6706
- Corretta la descrizione della casella per il file da modificare su diag_edit.php. # 6703
- Corretta la descrizione del pannello principale su diag_resetstate.php. # 6709
- Corretto il messaggio di avviso quando una casella è deselezionata su diag_resetstate.php. # 6710
- Corretto collegamento al registro per le aree DHCP6. # 6700
- Corretto il pulsante di eliminazione della rete che mostrava quando era presente solo una riga su services_unbound_acls.php # 6716
- Risolto il problema con cui scompariva il testo della guida su righe ripetibili quando viene cancellata l'ultima riga. # 6716
- Risolto il dominio DNS dinamico per le voci DHCP della mappa statica
- Aggiunto controllo per impostare il periodo di aggiornamento del widget dashboard
- Aggiunto "-C / dev / null" ai parametri della riga di comando dnsmasq per evitare che raccolga una configurazione predefinita errata che sostituisca le nostre opzioni. # 6730
- Aggiunto "-l" a traceroute6 per mostrare sia gli indirizzi IP che i nomi host durante la risoluzione degli hop su diag_traceroute.php. # 6715
- Aggiunta nota sul limite massimo ttl / hop nel commento sorgente su diag_traceroute.php.
- Lingua chiarita su diag_tables.php. # 6713
- Pulito il testo su diag_sockets.php. # 6708
- Corretta la visualizzazione dei nomi di interfacce VLAN durante l'assegnazione della console. # 6724
- L'opzione Fixed domain-name-servers è stata mostrata due volte nei pool quando è stata impostata manualmente.
- Corretta la gestione delle opzioni DHCP nei pool diversi dall'intervallo principale. # 6720
- Corretti i nomi host mancanti in alcuni casi con dhcpdv6. # 6589
- Migliore gestione dei file Pid per i dhplease.
- Aggiunti i controlli per impedire l'accesso a un offset non definito in IPv6.inc.
- Corretta la visualizzazione del popup alias e modifica le opzioni sull'origine e sulla destinazione sia per l'indirizzo che per la porta sul NAT in uscita.
- Corretta gestione del conteggio delle configurazioni di backup. # 6771
- Rimossi alcuni riferimenti PPTP pendenti che non sono più pertinenti.
- Risolto / catturato aree di syslog remote. Aggiunto "routing", "ntpd", "ppp", "resolver", corretto "vpn" per includere tutte le aree VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Corrette le caselle mancanti in alcuni casi durante l'aggiunta di righe su services_ntpd.php. # 6788
- Icone di esecuzione / arresto revisionate del servizio.
- Aggiunto un controllo alla gestione CRL per rimuovere i certificati dall'elenco a discesa che sono già contenuti nel CRL in fase di modifica.
- Corretti i separatori delle regole che si spostano quando più regole firewall vengono eliminate contemporaneamente. # 6801
Novità nella versione 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Vulnerabilità multiple in OpenSSL. L'unico impatto significativo su pfSense è OCSP per HAproxy e FreeRADIUS.
- Diversi Errata correlati a HyperV in FreeBSD 10.3, FreeBSD-IT-16: dalle 10 alle 16:16. Vedi https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html per i dettagli.
- Sono stati aggiornati numerosi pacchetti e librerie incorporate, tra cui:
- Da PHP a 5.6.26
- libidn a 1.33
- arriccia a 7.50.3
- da libxml2 a 2.9.4
- Aggiunta della codifica al parametro "zone" nelle pagine di Captive Portal.
- Aggiunta della codifica di output a diag_dns.php per i risultati restituiti da DNS. # 6737
- Ha funzionato attorno a un bug di Chrome con l'analisi regolare dell'espressione dei caratteri di escape all'interno dei set di caratteri. Correzioni "Si prega di abbinare il formato richiesto" sulle ultime versioni di Chrome. # 6762
- Risolto l'opzione di formato orario server DHCPv6 # 6640
- Risolto / usr / bin / install mancante nelle nuove installazioni. # 6643
- Aumentato il limite di coda di filtraggio per la registrazione, in modo che la ricerca possa individuare voci sufficienti. # 6652
- Pulito widget e HTML dei pacchetti installati. # 6601
- Corretto il danneggiamento delle impostazioni del widget durante la creazione di nuove impostazioni. # 6669
- Corretti vari errori di battitura e di testo.
- Rimossi i link defunti al sito di devwiki. Tutto è su https://doc.pfsense.org ora.
- Aggiunto un campo alle pagine CA / Cert per OU, richiesto da alcune CA e utenti esterni. # 6672
- Corretto una stringa "User-Agent" HTTP ridondante negli aggiornamenti DynDNS.
- Corretto il carattere per le tabelle ordinabili.
- Aggiunto un controllo per verificare se un'interfaccia è attiva in un gruppo di gateway prima di aggiornare il DNS dinamico.
- Corretto il testo dell'opzione "Rifiuta leasing da" per un'interfaccia DHCP (può prendere solo indirizzi, non sottoreti). # 6646
- Corretta la segnalazione degli errori per il test delle impostazioni SMTP.
- Risolto il problema relativo al salvataggio di paesi, fornitori e piani vali per le interfacce PPP
- Corretto il controllo dei numeri "Go To Line" non validi su diag_edit.php. # 6704
- Corretto errore "uno per uno" con "Righe da visualizzare" su diag_routes.php. # 6705
- Corretta la descrizione della casella filtro su diag_routes.php per riflettere che tutti i campi sono ricercabili. # 6706
- Corretta la descrizione della casella per il file da modificare su diag_edit.php. # 6703
- Corretta la descrizione del pannello principale su diag_resetstate.php. # 6709
- Corretto il messaggio di avviso quando una casella è deselezionata su diag_resetstate.php. # 6710
- Corretto collegamento al registro per le aree DHCP6. # 6700
- Corretto il pulsante di eliminazione della rete che mostrava quando era presente solo una riga su services_unbound_acls.php # 6716
- Risolto il problema con cui scompariva il testo della guida su righe ripetibili quando viene cancellata l'ultima riga. # 6716
- Risolto il dominio DNS dinamico per le voci DHCP della mappa statica
- Aggiunto controllo per impostare il periodo di aggiornamento del widget dashboard
- Aggiunto "-C / dev / null" ai parametri della riga di comando dnsmasq per evitare che raccolga una configurazione predefinita errata che sostituisca le nostre opzioni. # 6730
- Aggiunto "-l" a traceroute6 per mostrare sia gli indirizzi IP che i nomi host durante la risoluzione degli hop su diag_traceroute.php. # 6715
- Aggiunta nota sul limite massimo ttl / hop nel commento sorgente su diag_traceroute.php.
- Lingua chiarita su diag_tables.php. # 6713
- Pulito il testo su diag_sockets.php. # 6708
- Corretta la visualizzazione dei nomi di interfacce VLAN durante l'assegnazione della console. # 6724
- L'opzione Fixed domain-name-servers è stata mostrata due volte nei pool quando è stata impostata manualmente.
- Corretta la gestione delle opzioni DHCP nei pool diversi dall'intervallo principale. # 6720
- Corretti i nomi host mancanti in alcuni casi con dhcpdv6. # 6589
- Migliore gestione dei file Pid per i dhplease.
- Aggiunti i controlli per impedire l'accesso a un offset non definito in IPv6.inc.
- Corretta la visualizzazione del popup alias e modifica le opzioni sull'origine e sulla destinazione sia per l'indirizzo che per la porta sul NAT in uscita.
- Corretta gestione del conteggio delle configurazioni di backup. # 6771
- Rimossi alcuni riferimenti PPTP pendenti che non sono più pertinenti.
- Risolto / catturato aree di syslog remote. Aggiunto "routing", "ntpd", "ppp", "resolver", corretto "vpn" per includere tutte le aree VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Corrette le caselle mancanti in alcuni casi durante l'aggiunta di righe su services_ntpd.php. # 6788
- Icone di esecuzione / arresto revisionate del servizio.
- Aggiunto un controllo alla gestione CRL per rimuovere i certificati dall'elenco a discesa che sono già contenuti nel CRL in fase di modifica.
- Corretti i separatori delle regole che si spostano quando più regole firewall vengono eliminate contemporaneamente. # 6801
Novità in nella versione 2.3.2:
- Backup / Restore:
- Non consentire l'applicazione delle modifiche al ripristino post-config di disallineamento dell'interfaccia finché non viene salvata la riassegnazione. # 6613
- Dashboard:
- Dashboard ora dispone di opzioni di configurazione per utente, documentate in User Manager. # 6388
- Server DHCP:
- Disabilitato dhcp-cache-threshold per evitare errori in ISC dhcpd 4.3.x omettendo client-hostname dal file di leasing, il che rende la registrazione dinamica del nome host non riuscita in alcuni casi limite. # 6589
- Si noti che la chiave DDNS deve essere HMAC-MD5. # 6622
- Relè DHCP:
- Correzione importata per le richieste di inoltro di dhcrelay sull'interfaccia in cui risiede il server DHCP di destinazione. # 6355
- DNS dinamico:
- Permetti * per nomehost con Namecheap. # 6260
- Interfacce:
- Correzione "impossibile assegnare l'indirizzo richiesto" durante l'avvio con le interfacce track6. # 6317
- Rimuovi le opzioni di collegamento deprecate da GRE e gif. # 6586, # 6587
- Rispetta "Rifiuta i lease da" quando è selezionato il DHCP "Opzioni avanzate". # 6595
- Proteggi i delimitatori racchiusi nella configurazione avanzata del client DHCP, così le virgole possono essere utilizzate lì. # 6548
- Correggere il percorso predefinito su interfacce PPPoE mancanti in alcuni casi limite. # 6495
- IPsec:
- strongSwan aggiornato alla 5.5.0.
- Includi l'aggressività in ipsec.conf in cui è selezionata la modalità IKE automatica. # 6513
- Monitoraggio gateway:
- Risolto il problema con il "nome socket troppo grande" che impedisce il monitoraggio del gateway su nomi di interfaccia lunghi e indirizzi IPv6. # 6505
- limitatori:
- Imposta pipe_slot_limit automaticamente sul valore qlimit massimo configurato. # 6553
- Monitoraggio:
- Corretto nessun periodo di dati che veniva segnalato come 0, media di disallineamento. # 6334
- Correzione del tooltip come "nessuno" per alcuni valori. # 6044
- Risolto il problema con il salvataggio di alcune opzioni di configurazione predefinite. # 6402
- Correggi i ticks dell'asse X che non rispondono alla risoluzione per periodi di tempo personalizzati. # 6464
- OpenVPN:
- Risincronizza le configurazioni specifiche del client dopo il salvataggio delle istanze del server OpenVPN per verificare che le relative impostazioni riflettano la configurazione corrente del server. # 6139
- Sistema operativo:
- Sono stati risolti gli stati dei frammenti di pf non eliminati, attivando il "limite di voci PF frag raggiunto". # 6499
- Imposta la posizione del file principale in modo che non possano finire in / var / run ed esaurire lo spazio disponibile. # 6510
- Risolto il problema dello spam nei log di "runtime retrocesso" in Hyper-V. # 6446
- Risolto il problema di traceroute6 con hop non risposta nel percorso. # 3069
- Aggiunto symlink /var/run/dmesg.boot per vm-bhyve. # 6573
- Imposta net.isr.dispatch = diretto su sistemi a 32 bit con IPsec abilitato per evitare arresti anomali durante l'accesso ai servizi sull'host stesso tramite VPN. # 4754
- Pubblicità router:
- Aggiunti i campi di configurazione per gli intervalli di annuncio del router minimi e massimi e la durata del router. # 6533
- Routing:
- Corretti i percorsi statici con il router di destinazione locale del collegamento IPv6 per includere l'ambito dell'interfaccia. # 6506
- Regole / NAT:
- Risolto il segnaposto "Client PPPoE" in regole e NAT e l'errore del set di regole durante l'utilizzo di regole mobili che specificavano il server PPPoE. # 6597
- Corretto il fallimento nel caricare il set di regole con gli alias di Tabella URL in cui era specificato il file vuoto. # 6181
- Risolto il proxy TFTP con xinetd. # 6315
- Aggiornamento:
- Risolti gli errori di aggiornamento nanobsd in cui DNS Forwarder / Resolver non era associato a localhost. # 6557
- IP virtuali:
- Risolti problemi di prestazioni con un gran numero di IP virtuali. # 6515
- Risolto esaurimento della memoria PHP sulla pagina di stato CARP con tabelle di stato grandi. # 6364
- Interfaccia Web:
- Aggiunto l'ordinamento alla tabella dei mapping statici DHCP. # 6504
- Corretto il caricamento del file dei secondi NTP bisestili. # 6590
- Aggiunto il supporto IPv6 a diag_dns.php. # 6561
- Aggiunto il supporto IPv6 per filtrare la ricerca inversa dei registri. # 6585
- Sistema di pacchetti: conserva i dati di campo in caso di errore di input. # 6577
- Risolti vari problemi di convalida dell'input IPv6 che consentivano IPv6 IP non validi. # 6551, # 6552
- Risolti alcuni lease DHCPv6 mancanti dalla visualizzazione dei lease della GUI. # 6543
- Fixed state killing per "in" direzione e stati con destinazione tradotta. # 6530, # 6531
- Ripristina la convalida dell'input dei nomi delle zone del captive portal per impedire l'XML non valido. # 6514
- Sostituito il selettore di date del calendario nel gestore utenti con uno che funziona in browser diversi da Chrome e Opera. # 6516
- Campo porta proxy ripristinato su client OpenVPN. # 6372
- Chiarifica la descrizione degli alias di porte. # 6523
- Corretto output di traduzione dove gettext ha passato una stringa vuota. # 6394
- Selezione della velocità fissa per 9600 nella configurazione GPS NTP. # 6416
- Consenti solo IPv6 IP sullo schermo NPT. # 6498
- Aggiungi supporto di importazione alias per reti e porte. # 6582
- Risolto il problema delle stranezze del wrap di intestazione della tabella. # 6074
- Pulizia della sezione Avvio rete della schermata Server DHCP. # 6050
- Correggi i link "SCONOSCIUTO" nel gestore pacchetti. # 6617
- Correzione del campo di larghezza di banda mancante per le code CBQ del traffic shaper. # 6437
- UPnP:
- URL di presentazione UPnP e numero di modello ora configurabili. # 6002
- User Manager:
- Vieta agli amministratori di eliminare i propri account nel gestore utenti. # 6450
- Altro:
- Aggiunte sessioni di shell PHP per abilitare e disabilitare la modalità di manutenzione CARP persistente. "playback enablecarpmaint" e "playback disablecarpmaint". # 6560
- Configurazione console seriale esposta per VGA nanobsd. # 6291
Novità nella versione 2.3.1 Aggiornamento 5:
- Le modifiche più significative in questa versione sono una riscrittura della webGUI che utilizza Bootstrap, e il sistema sottostante, incluso il sistema di base e il kernel, viene convertito interamente in pkg di FreeBSD. La conversione pkg ci consente di aggiornare individualmente i pezzi del sistema, piuttosto che gli aggiornamenti monolitici del passato. La riscrittura webGUI offre un nuovo aspetto reattivo a pfSense che richiede un minimo di ridimensionamento o scorrimento su una vasta gamma di dispositivi, dal desktop ai telefoni cellulari.
Novità nella versione 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Vulnerabilità legata all'inserimento di file locali nel WebGUI pfSense
- pfSense-SA-15_10.captiveportal: Vulnerabilità dell'iniezione SQL nel logout del captive portal pfSense
- pfSense-SA-15_11.webgui: più vulnerabilità XSS e CSRF nel WebGUI pfSense
- Aggiornato su FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Vulnerabilità multiple in OpenSSL
- Aggiornamento di strongSwan a 5.3.5_2
- Include la correzione per la vulnerabilità di bypass di autenticazione CVE-2015-8023 nel plug-in eap-mschapv2.
Novità nella versione 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: più vulnerabilità XSS memorizzate in pfSense WebGUI
- Aggiornato su FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Vulnerabilità multiple in NTP [REVISED]
- FreeBSD-SA-15: 14.bsdpatch: a causa della scarsa sanitizzazione del flusso di patch di input, è possibile che patch (1) esegua comandi in aggiunta ai comandi SCCS o RCS desiderati.
- FreeBSD-SA-15: 16.openssh: il client OpenSSH non verifica correttamente i record SSHFP DNS quando un server offre un certificato. CVE-2014-2653 I server OpenSSH che sono configurati per consentire l'autenticazione della password utilizzando PAM (impostazione predefinita) consentirebbero molti tentativi di password.
- FreeBSD-SA-15: 18.bsdpatch: a causa della scarsa sanitizzazione del flusso di patch di input, è possibile che un patch file causi patch (1) per passare determinati script ed (1) a ed (1) editor, che eseguirà i comandi.
- FreeBSD-SA-15: 20.expat: sono stati scoperti overflow multipli multipli nella funzione XML_GetBuffer () nella libreria expat.
- FreeBSD-SA-15: 21.amd64: se l'istruzione IRET in modalità kernel genera un'eccezione #SS o #NP, ma il gestore delle eccezioni non garantisce che la base del registro GS corretta per il kernel sia ricaricata , il segmento GS userland può essere utilizzato nel contesto del gestore eccezioni kernel.
- FreeBSD-SA-15: 22.openssh: un errore di programmazione nel processo di monitoraggio privilegiato del servizio sshd (8) può consentire che il nome utente di un utente già autenticato venga sovrascritto dal processo secondario non privilegiato. Un errore use-after-free nel processo di monitoraggio privilegiato del servizio sshd (8) può essere determinato in modo deterministico dalle azioni di un processo figlio non privilegiato compromesso. Un errore use-after-free nel codice multiplexing della sessione nel servizio sshd (8) può causare la chiusura involontaria della connessione.
Novità nella versione 2.2.4:
- pfSense-SA-15_07.webgui: più vulnerabilità XSS memorizzate in pfSense WebGUI
- L'elenco completo delle pagine e dei campi interessati è elencato nella SA collegata.
- FreeBSD-SA-15: 13.tcp: esaurimento delle risorse a causa di sessioni bloccate nello stato LAST_ACK. Nota: ciò si applica solo agli scenari in cui le porte in ascolto su pfSense stesso (non le cose passate attraverso NAT, routing o bridging) sono aperte a reti non attendibili. Questo non si applica alla configurazione predefinita.
- Nota: FreeBSD-SA-15: 13.openssl non si applica a pfSense. pfSense non includeva una versione vulnerabile di OpenSSL e quindi non era vulnerabile.
- Ulteriori correzioni per la corruzione dei file in vari casi durante uno spegnimento non pulito (arresto anomalo, perdita di alimentazione, ecc.). # 4523
- Corretto il file pw in FreeBSD per risolvere i problemi di corruzione di passwd / gruppo
- Risolto il problema con la scrittura di config.xml per usare correttamente fsync per evitare casi in cui poteva finire vuoto. # 4803
- Rimossa l'opzione & lsquo; sync dai filesystem per nuove installazioni complete e aggiornamenti completi ora che la soluzione reale è a posto.
- Rimossi i softover e il journaling (AKA SU + J) di NanoBSD, rimangono su installazioni complete. # 4822
- La patch ForceSync per # 2401 è ancora considerata dannosa per il filesystem ed è stata tenuta fuori. Pertanto, potrebbe verificarsi una notevole lentezza con NanoBSD su determinati dischi più lenti, in particolare le schede CF e, in misura minore, le schede SD. Se questo è un problema, il filesystem può essere mantenuto in lettura / scrittura su base permanente usando l'opzione su Diagnostics & gt; NanoBSD. Con le altre modifiche precedenti, il rischio è minimo. Si consiglia di sostituire i supporti CF / SD interessati con una nuova scheda più veloce il prima possibile. # 4822
- PHP aggiornato a 5.5.27 per indirizzare CVE-2015-3152 # 4832
- Abbassato SSH LoginGraceTime da 2 minuti a 30 secondi per mitigare l'impatto del bug di bypass di MaxAuthTries. Nota Sshlockout bloccherà gli IP offensivi in tutte le versioni passate, attuali e future. # 4875
Novità nella versione 2.2.3:
- pfSense-SA-15_06.webgui: più vulnerabilità XSS nel WebGUI pfSense
- L'elenco completo delle pagine e dei campi interessati è ampio e tutti sono elencati nella SA collegata.
- FreeBSD-SA-15: 10.openssl: diverse vulnerabilità OpenSSL (incluso Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Novità nella versione 2.2.2:
- Questa versione include due aggiornamenti di sicurezza a basso rischio:
- FreeBSD-SA-15: 09.ipv6: Denial of Service con annunci router IPv6. Laddove un sistema utilizza il tipo WAN DHCPv6, i dispositivi nello stesso dominio di trasmissione di quella WAN possono inviare pacchetti predisposti che causano la perdita della connettività Internet IPv6 del sistema.
- FreeBSD-SA-15: 06.openssl: diverse vulnerabilità OpenSSL. La maggior parte non è applicabile e l'impatto peggiore è il rifiuto del servizio.
Novità della versione 2.2.1:
- Correzioni per la sicurezza:
- pfSense-SA-15_02.igmp: overflow intero nel protocollo IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: più vulnerabilità XSS nel WebGUI pfSense
- pfSense-SA-15_04.webgui: Vulnerabilità di eliminazione arbitraria di file in WebGU pfSense
- FreeBSD-IT-15: 01.vt: vt (4) crash con parametri ioctl impropri
- FreeBSD-IT-15: 02.openssl: aggiornamento per includere correzioni di affidabilità da OpenSSL
- Una nota sulla vulnerabilità OpenSSL "FREAK":
- Non influisce sulla configurazione del server Web sul firewall in quanto non ha abilitato le crittografie di esportazione.
- pfSense 2.2 includeva già OpenSSL 1.0.1k che indirizzava la vulnerabilità lato client.
- Se i pacchetti includono un server Web o un componente simile, ad esempio un proxy, una configurazione utente errata potrebbe essere interessata. Consulta la documentazione del pacchetto o il forum per i dettagli.
Novità della versione nella versione 2.2:
- Questa versione apporta miglioramenti in termini di prestazioni e supporto hardware dalla base di FreeBSD 10.1, oltre a miglioramenti che abbiamo aggiunto come AES-GCM con accelerazione AES-NI, tra una serie di altre nuove funzionalità e correzioni di bug.
- Nel processo di raggiungimento del rilascio, abbiamo chiuso 392 ticket totali (questo numero include 55 funzioni o attività), risolti 135 bug relativi a 2.1.5 e versioni precedenti, risolti altri 202 bug introdotti nel 2.2 avanzando la base Versione del sistema operativo da FreeBSD 8.3 a 10.1, modifica dei daemon di keying IPsec da racoon a strongSwan, aggiornamento del backend PHP alla versione 5.5 e passaggio da FastCGI a PHP-FPM e aggiunta del Resolver DNS non associato e molte modifiche minori.
- Questa versione contiene quattro correzioni per la sicurezza a basso impatto:
- aggiornamento openssl per FreeBSD-SA-15: 01.openssl
- Vulnerabilità XSS multiple nell'interfaccia web. pfSense-SA-15_01
- Aggiornamento OpenVPN per CVE-2014-8104
- Aggiornamento NTP FreeBSD-SA-14: 31.ntp - anche se queste circostanze non sembrano avere un impatto su pfSense.
Novità della versione 2.1.4:
- Correzioni per la sicurezza:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- I pacchetti hanno anche le loro correzioni indipendenti e devono essere aggiornati. Durante il processo di aggiornamento del firmware, i pacchetti verranno reinstallati correttamente. Altrimenti, disinstallare e quindi reinstallare i pacchetti per assicurarsi che sia in uso la versione più recente dei file binari.
- Altre correzioni:
- Patch per Captive Portal che genera un problema di pipenaggio che porta al & lsquo; accesso massimo raggiunto su Captive Portal. # 3062
- Rimuovi il testo non pertinente agli IP consentiti sul Captive Portal. # 3594
- Rimuovi unità da burst come è sempre specificato in byte. (Per ipfw (8)).
- Aggiungi colonna per la porta interna nella pagina di stato UPnP.
- Rendi l'ascolto sull'interfaccia anziché su IP opzionale per UPnP.
- Correggi l'evidenziazione delle regole selezionate. # 3646
- Aggiungi guiconfig ai widget che non lo includono. # 3498
- / etc / version_kernel e / etc / version_base non esistono più, usa php_uname per ottenere la versione per il controllo XMLRPC.
- Correggere errore di battitura. # 3669
- Elimina tutti gli alias IP quando un'interfaccia è disabilitata. # 3650
- Gestire correttamente la rinomina dell'archivio RRD durante l'aggiornamento e squelch gli errori se fallisce.
- Converti protocollo ssl: // in https: // durante la creazione di intestazioni HTTP per XMLRPC.
- Mostra le interfacce disabilitate quando erano già parte di un gruppo di interfacce. Questo evita di mostrare un'interfaccia casuale e di lasciare che l'utente lo aggiunga per sbaglio. # 3680
- La direttiva client-config-dir per OpenVPN è utile anche quando si utilizza il DHCP interno di OpenVPN durante il bridging, quindi aggiungilo anche in questo caso.
- Usa il ricciolo invece del recupero per scaricare i file di aggiornamento. # 3691
- Esci dalla variabile prima di passare alla shell da stop_service ().
- Aggiungi un po 'di protezione ai parametri che arrivano attraverso _GET nella gestione dei servizi.
- L'argomento di fuga durante la chiamata a is_process_running, rimuove anche alcune chiamate mwexec () non necessarie.
- Non consentire al nome del gruppo di interfacce di essere più grande di 15 caratteri. # 3208
- Sii più preciso per abbinare i membri di un'interfaccia bridge, dovrebbe risolvere # 3637
- Non scadono gli utenti già disabilitati, corregge # 3644
- Convalida il formato starttime e stoptime su firewall_schedule_edit.php
- Fai più attenzione con il parametro host su diag_dns.php e assicurati che sia sfuggito quando le funzioni della shell di chiamata li>
- Parametri di escape passati a shell_exec () in diag_smart.php e altrove
- Assicurati che le variabili siano scappate / disinfettate su status_rrd_graph_img.php
- Sostituisci le chiamate exec per eseguire rm di unlink_if_exists () su status_rrd_graph_img.php
- Sostituisci tutte le chiamate di `hostname` da php_uname (& lsquo; n ') su status_rrd_graph_img.php
- Sostituisci tutte le chiamate `date` da strftime () su status_rrd_graph_img.php
- Aggiungi $ _gb per raccogliere possibili rifiuti da exec return su status_rrd_graph_img.php
- Evita l'attraversamento di directory in pkg_edit.php quando leggi i file xml del pacchetto, controlla anche se il file esiste prima di provare a leggerlo
- Rimuovi id = 0 dal menu miniupnpd e scorciatoia
- Rimuovi. e / dal nome pkg per evitare l'attraversamento della directory in pkg_mgr_install.php
- Correggi core dump nella visualizzazione del log dei pacchetti non validi
- Evita l'attraversamento di directory su system_firmware_restorefullbackup.php
- Ri-generare l'ID di sessione su un accesso riuscito per evitare la fissazione della sessione
- Proteggi i parametri rssfeed con htmlspecialchars () in rss.widget.php
- Proteggi il parametro servicestatusfilter con htmlspecialchars () in services_status.widget.php
- Imposta sempre l'attributo httponly sui cookie
- Imposta "Disabilita completamento automatico accesso webConfigurator" come di default per le nuove installazioni
- Semplifica la logica, aggiungi una certa protezione ai parametri di input dell'utente su log.widget.php
- Assicurati che le virgolette singole siano codificate ed eviti l'iniezione javascript su exec.php
- Aggiungi i protocolli NAT mancanti su firewall_nat_edit.php
- Rimuovi ulteriori dati dopo lo spazio in DSCP e correggi la sintassi della regola pf. # 3688
- Includere solo una regola programmata se è rigorosamente prima dell'ora di fine. # 3558
Novità della versione 2.1.1:
- Il più grande cambiamento è chiudere i seguenti problemi di sicurezza / CVE:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Oltre a questi, i driver em / igb / ixgb / ixgbe sono stati aggiornati per aggiungere supporto per i NIC i210 e i354. Alcune schede NIC Intel 10Gb Ethernet vedranno anche prestazioni migliorate.
I commenti non trovato