pfSense ® is 'n vrye verspreide en oopbron BSD-bedryfstelsel afgelei van die bekende m0n0wall-projek, maar met radikaal verskillende doelwitte soos die gebruik van Packet Filter en die nuutste FreeBSD-tegnologie.
Die projek kan as router en firewall gebruik word. Dit sluit 'n pakketstelsel in waarmee stelseladministrateurs die produk maklik kan uitbrei sonder om potensiële sekuriteitsprobleme te voeg en op te blaas na die basisverspreiding.
Funksies in 'n oogopslag
Belangrike kenmerke sluit in die nuutste firewall, inkomende / uitgaande laai balansering, staatstafel, NAT (Network Address Translation), hoë beskikbaarheid, VPN (Virtual Private Network) met ondersteuning vir IPsec, PPTP en OpenVPN, PPPoE bediener, dinamiese DNS, gevange portaal, verslagdoening en monitering.
Dit is 'n aktief ontwikkelde firewall bedryfstelsel, versprei as gz-argief Live CD en slegs ISO-beelde, USB-stalle installeerders, sowel as NanoBSD / embedded media. Beide 64-bis (amd64) en 32-bis (i386) hardewareplatforms word tans ondersteun.
Verskeie voorafbepaalde opstartopsies is beskikbaar tydens die opstartproses, soos om die bedryfstelsel met verstekinstellings te begin, met ACPI gedeaktiveer, met behulp van USB-toestelle, in veilige modus, in enkelgebruikermodus, met uitgebreide aanmelding, sowel as toegang tot 'n dopspoed of herlaai die masjien.
Aan die begin met pfSense & reg;
Terwyl die verspreiding gebruikers sal vra of hulle VLAN's (Virtual LANs) wil opstel, sal dit vereis dat ten minste een toegewysde netwerkkoppelvlak funksioneer. Dit beteken dat as jy nie ten minste een koppelvlak het nie, pfSense & reg; het nie eens begin nie.
As 'n firewall vir klein huisnetwerke, universiteite, groot maatskappye of enige ander organisasie waar die behoefte om duisende netwerk toestelle te beskerm, is uiters belangrik, pfSense & reg; is sedert meer as 'n miljoen gebruikers van regoor die wêreld afgelaai.
Bottom line
Dit is een van die beste open source firewall projekte wat ontwerp is om gebruikers te voorsien van al die funksies wat kommersiële firewall produkte kom. Vandag, pfSense & reg; word gebruik in verskeie hardeware firewall oplossings, insluitend Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall of Watch Guard.
pfSense ® is 'n geregistreerde handelsmerk en diensmerk wat deur Electric Sheep Fencing LLC besit word. Sien www.electricsheepfencing.com.
Wat is nuut in hierdie weergawe:
- Sekuriteit / Errata li>
- Opgedateer na OpenSSL 1.0.2m om CVE-2017-3736 en CVE-2017-3735 aan te spreek
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Vaste 'n potensiële XSS-vektor in status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Vaste 'n potensiële XSS-vektor in diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Vaste 'n potensiële XSS-vektor op index.php via widget volgorde parameters # 8000 pfSense-SA-17_09.webgui.asc
- Vaste 'n potensiële XSS in die widget-sleutelparameter van multi-instantie dashboard widgets # 7998 pfSense-SA-17_09.webgui.asc
- 'n potensiële clickjacking-probleem in die CSRF-foutbladsy opgelos
- Interfaces
- Vaste PPP-koppelvlakke met 'n VLAN-ouer wanneer die nuwe VLAN-name gebruik word # 7981
- Vaste kwessies met QinQ-koppelvlakke wat nie as aktief vertoon word nie # 7942
- Bevestig 'n paniek / ongeluk wanneer 'n LAGG-koppelvlak # 7940 gedeaktiveer word
- Vaste probleme met LAGG-koppelvlakke wat hul MAC-adres # 7928 verloor
- 'n ongeluk in radvd op SG-3100 (ARM) # 8022 vasgestel
- Daar is 'n probleem opgelos met UDP-pakketdruppels op SG-1000 # 7426
- Het 'n koppelvlak bygevoeg om die ingeboude skakelaar op die SG-3100 te bestuur.
- Meer karakters uit die koppelvlakbeskrywing geknip om konsolleutuittreksellyne op 'n VGA-konsole te vermy.
- Vaste hantering van die VIP uniqueid-parameter wanneer die VIP-tipes verander word
- Vaste PPP skakel parameter veld vertoon wanneer 'n VLAN ouer koppelvlak gekies is # 8098
- Bedryfstelsel
- Vaste probleme as gevolg van 'n handmatig gekonfigureerde lêerstelsel uitleg met 'n aparte / usr sny # 8065
- Vaste probleme wat ZFS-stelsels opdateer, het ZFS geskep met behulp van 'n MBR-partisiekema (leeg / opstart as gevolg van bootpool wat nie ingevoer word nie) # 8063
- Vaste kwessies met BGP-sessies wat MD5 TCP-handtekeninge gebruik in routerende daemon pakkette # 7969
- Opgedateerde dpinger na 3.0
- Verbeter die keuses en metodes van die opdatering repository
- Opdateer die stelselstellings wat die OS vertel, nie data oordra van onderbrekings, punt-tot-punt-koppelvlakke en Ethernet-toestelle om die nuwe naam / formaat vir FreeBSD 11 te weerspieël nie.
- Verandering van reëls se verwerking sodat dit herprobeer as 'n ander proses in die middel van 'n opdatering is, eerder as om 'n fout aan die gebruiker voor te stel.
- Sommige UEFI-opstartprobleme op verskeie platforms opgelos
- Sertifikate
- Vaste ongeldige inskrywings in /etc/ssl/openssl.cnf (slegs nie-standaardgebruik van openssl in die cli / dop geraak) # 8059
- Vaste LDAP-verifikasie wanneer die bediener 'n globaal vertroude wortel-CA gebruik (nuwe CA-seleksie vir "Global Wot CA List") # 8044
- Vaste kwessies skep 'n sertifikaat met 'n wildcard CN / SAN # 7994
- Toegevoegde validering aan die Sertifikaatbestuurder om te verhoed dat 'n nie-sertifikaatowerheidsertifikaat in die CA-oortjie # 7885 ingevoer word
- IPsec
- 'n probleem opgelos met behulp van IPsec CA-sertifikate wanneer die onderwerp verskeie RDN's van dieselfde tipe bevat # 7929
- Het 'n probleem opgelos met die moontlikheid om IPsec-kliëntondersteuning in vertaalde tale # 8043 te aktiveer
- Vaste probleme met IPsec status vertoon / uitvoer, insluitend verskeie inskrywings (een afgesluit, een gekoppel) # 8003
- Vaste vertoning van verskeie gekoppelde mobiele IPsec-kliënte # 7856
- Vaste vertoning van kinders SA-inskrywings # 7856
- OpenVPN
- Het 'n opsie vir OpenVPN-bedieners bygevoeg om 'redirect-gateway ipv6' te gebruik om as die standaard gateway op te tree vir die koppeling van Skynprivaatnetwerk-kliënte met IPv6, soortgelyk aan "redirect-gateway def1" vir IPv4. # 8082
- Vaste die opsie OpenVPN Client Certificate Revocation List # 8088
- Verkeervorming
- 'n fout opgelos wanneer u 'n limiter oor 2Gb / s instel (nuwe maksimum is 4Gb / s) # 7979
- Vaste probleme met die brug netwerk interfaces ondersteun nie ALTQ # 7936
- Vaste probleme met vtnet netwerk interfaces ondersteun nie ALTQ # 7594
- Het 'n probleem opgelos met Status> Wagwoorde versuim om statistieke vir VLAN-koppelvlakke # 8007 te vertoon
- Daar is 'n probleem opgelos met die vorming van verkeervorms wat nie toelaat dat die totaal van alle kindertoestande 100% is nie. # 7786
- Bevestig 'n probleem met beperkings wat ongeldige breuke / nie-heelgetalwaardes van beperkte inskrywings gegee het of oorgedra word na Captive Portal van RADIUS # 8097
- Reëls / NAT
- Vaste keuse van IPv6-gateways by die skep van 'n nuwe firewallreël # 8053
- Vaste foute op die Konfigurasie-bladsy vir Port forward-oorsig wat voortspruit uit ou / nie-pfSense-koekie- / navraagdata # 8039
- Vaste instelling VLAN Priority via firewall reëls # 7973
- XMLRPC
- 'n probleem met XMLRPC-sinkronisasie opgelos wanneer die sinkronisasie gebruiker 'n wagwoord bevat met spasies # 8032
- Vaste XMLRPC probleme met Captive Portal vouchers # 8079
- WebGUI
- Het 'n opsie bygevoeg om HSTS vir die GUI-webbediener # 6650 te skakel
- Die GUI-webdiens verander om direkte aflaai van .inc-lêers # 8005 te sluit.
- Vaste sortering van Dienste in die dashboard-wizard en Dienstestatusbladsy # 8069
- 'n Invoerprobleem opgelos waar statiese IPv6-inskrywings ongeldige invoer vir adresvelde # 8024 toegelaat het.
- 'n JavaScript-sintaksfout in verkeersgrafieke vasgestel wanneer ongeldige data aangetref word (bv. gebruiker is aangemeld of sessie skoongemaak) # 7990
- Vaste steekproef foute in Traffic Graphs # 7966
- 'n JavaScript-fout op Status> Monitering # 7961
- 'n vertoningsprobleem met leë tabelle op Internet Explorer 11 # 7978 opgelos.
- Verander konfigurasie verwerking om 'n uitsondering eerder as om te gebruik () wanneer dit 'n beskadigde konfigurasie opspoor
- Bygevoeg filter na die pfTop bladsy
- Toegevoegde middele vir pakkette om 'n modal vir die gebruiker te vertoon (bv. herlaai nodig voordat pakket kan gebruik word)
- Dashboard
- Vaste vertoning van beskikbare opdaterings op die Dashboard-widget van geïnstalleerde pakkette # 8035
- Vaste 'n font probleem in die Support Dashboard widget # 7980
- Vaste formatering van skyfskyfies / partisies in die Stelselinligting Dashboard-widget
- Het 'n probleem opgelos met die prente widget wanneer daar geen geldige foto gestoor is nie # 7896
- pakkette
- Vaste vertoning van pakkette wat uit die bewaarplek verwyder is in die Pakketbestuurder # 7946
- Daar is 'n probleem opgelos met plaaslik geïnstalleerde pakkette wanneer die eksterne pakketbewaarplek nie beskikbaar is nie. # 7917
- Misc
- Vaste koppelvlak binding in ntpd sodat dit nie foutief op alle koppelvlakke luister nie # 8046
- 'n probleem opgelos met die herstart van die syslogd-diens, sal sshlockout_pf-proses weeskinders maak # 7984
- Bygevoeg ondersteuning vir die ClouDNS dinamiese DNS-verskaffer # 7823
- 'n probleem opgelos in die Gebruikers- en Groepbestuurder-bladsye wanneer dit direk op inskrywings gebruik word nadat 'n inskrywing verwyder is # 7733
- Verander die instellingswizard sodat dit koppelvlakkonfigurasie oorskiet wanneer dit uitgevoer word op 'n AWS EC2 Instance # 6459
- Vaste 'n IGMP Proxy-probleem met die All-multicast-modus op SG-1000 # 7710
Wat is nuut in weergawe:
- Dashboard-bywerkings:
- In die 2.3.4-RELEASE Dashboard sal u 'n paar addisionele stukke inligting vind: Die BIOS-verskaffer, weergawe en vrylating datum - as die firewall hulle kan bepaal - en 'n Netgate Unique ID. Die Netgate Unique ID is soortgelyk aan 'n reeksnommer. Dit word gebruik om 'n voorbeeld van pfSense-sagteware uniek te identifiseer vir kliënte wat ondersteuningsdienste wil aankoop. Vir hardeware wat in ons winkel verkoop word, kan ons ook eenhede aan ons vervaardigingsrekords bind. Hierdie ID is konsekwent op alle platforms (blote metaal, virtuele masjiene, en gasheer / wolkinstansies soos AWS / Azure). Ons het oorspronklik beoog om die hardewarereeksnommer of die UUID wat deur die bedryfstelsel gegenereer is, te gebruik, maar ons het bevind dat dit onbetroubaar, teenstrydig was en dit onverwags kon verander as die bedryfstelsel weer geïnstalleer is.
- Soos met die serienommer, word hierdie identifiseerder slegs vir inligtingdoeleindes op die Dashboard vertoon en word dit nie outomaties outomaties oorskakel nie. In die toekoms kan kliënte hierdie identifiseerder gebruik wanneer hulle ondersteuninginligting van ons personeel of stelsels aanvra.
- As u nog nie die veranderinge in 2.3.x aangegryp het nie, kyk na die Eienskappe en Hoogtepunte-video. Vorige blogposte het sommige van die veranderinge onder die knie, soos die prestasieverbeterings van voorspoed en die webGUI-opdatering.
- GUI-certificaten van die firewall:
- Gebruikers van Chrome 58 en later, en in sommige gevalle Firefox 48 en later, kan probleme ondervind met die pfSense Web GUI as dit 'n standaard self-onderteken sertifikaat gebruik wat outomaties deur 'n firewall uitgevoer word wat pfSense weergawe 2.3.3-p1 of vroeër. Dit is omdat Chrome 58 RFC 2818 streng streef, wat slegs vir die ooreenstemmende gasheername vereis, met die gebruik van vak-alternatiewe naam (SAN) inskrywings eerder as die gemeenskaplike naam-veld van 'n sertifikaat, en die standaard self-ondertekende sertifikaat het nie die SAN-veld gevul nie.
- Ons het die sertifikaatkode reggestel om RFC 2818 op 'n gebruikersvriendelike manier korrek te volg deur outomaties die Sertifikaat Gewone Naam-waarde as die eerste SAN-inskrywing by te voeg.
- Firewall administrateurs moet 'n nuwe sertifikaat genereer vir gebruik deur die GUI om die nuwe formaat te gebruik. Daar is verskeie maniere om 'n verenigbare sertifikaat te genereer, insluitend:
- Genereer en aktiveer 'n nuwe GUI-sertifikaat outomaties vanaf die konsole of ssh-skerm met een van ons terugspeelskrifte:
- pfSsh.php afspeel generateguicert
- Gebruik die ACME-pakket om 'n betroubare sertifikaat vir die GUI te genereer via Let's Encrypt, wat reeds behoorlik geformateer is.
- Teken 'n nuwe self-ondertekende Sertifiseringsowerheid (CA) en 'n Serwesertifikaat onderteken deur daardie CA, en gebruik dit vir die GUI.
- Aktiveer die plaaslike blaaier "EnableCommonNameFallbackForLocalAnchors" opsie in Chrome 58. Hierdie instelling sal uiteindelik deur Chrome verwyder word, dus dit is slegs 'n tydelike oplossing.
- Sommige gebruikers kan onthou dit is nie die eerste keer dat die standaard sertifikaatformaat problematies is as gevolg van blaaierveranderinge. 'N Paar jaar gelede het Firefox die manier waarop hulle sertifikaat-trustkettings bereken, verander. Dit kan 'n blaaier laat vries of hang wanneer dit probeer om toegang tot verskeie firewalls met self-ondertekende sertifikate met algemene standaarddata wat tot gevolg gehad het dat al sodanige sertifikate dieselfde onderwerp bevat. Dit was 'n groter uitdaging, maar dit het tot 'n baie beter eindgebruiker-ervaring gelei.
Wat is nuut in weergawe 2.3.4:
- Dashboard-bywerkings:
- In die 2.3.4-RELEASE Dashboard sal u 'n paar addisionele stukke inligting vind: Die BIOS-verskaffer, weergawe en vrylating datum - as die firewall hulle kan bepaal - en 'n Netgate Unique ID. Die Netgate Unique ID is soortgelyk aan 'n reeksnommer. Dit word gebruik om 'n voorbeeld van pfSense-sagteware uniek te identifiseer vir kliënte wat ondersteuningsdienste wil aankoop. Vir hardeware wat in ons winkel verkoop word, kan ons ook eenhede aan ons vervaardigingsrekords bind. Hierdie ID is konsekwent op alle platforms (blote metaal, virtuele masjiene, en gasheer / wolkinstansies soos AWS / Azure). Ons het oorspronklik beoog om die hardewarereeksnommer of die UUID wat deur die bedryfstelsel gegenereer is, te gebruik, maar ons het bevind dat dit onbetroubaar, teenstrydig was en dit onverwags kon verander as die bedryfstelsel weer geïnstalleer is.
- Soos met die serienommer, word hierdie identifiseerder slegs vir inligtingdoeleindes op die Dashboard vertoon en word dit nie outomaties outomaties oorskakel nie. In die toekoms kan kliënte hierdie identifiseerder gebruik wanneer hulle ondersteuninginligting van ons personeel of stelsels aanvra.
- As u nog nie die veranderinge in 2.3.x aangegryp het nie, kyk na die Eienskappe en Hoogtepunte-video. Vorige blogposte het sommige van die veranderinge onder die knie, soos die prestasieverbeterings van voorspoed en die webGUI-opdatering.
- GUI-certificaten van die firewall:
- Gebruikers van Chrome 58 en later, en in sommige gevalle Firefox 48 en later, kan probleme ondervind met die pfSense Web GUI as dit 'n standaard self-onderteken sertifikaat gebruik wat outomaties deur 'n firewall uitgevoer word wat pfSense weergawe 2.3.3-p1 of vroeër. Dit is omdat Chrome 58 RFC 2818 streng streef, wat slegs vir die ooreenstemmende gasheername vereis, met die gebruik van vak-alternatiewe naam (SAN) inskrywings eerder as die gemeenskaplike naam-veld van 'n sertifikaat, en die standaard self-ondertekende sertifikaat het nie die SAN-veld gevul nie.
- Ons het die sertifikaatkode reggestel om RFC 2818 op 'n gebruikersvriendelike manier korrek te volg deur outomaties die Sertifikaat Gewone Naam-waarde as die eerste SAN-inskrywing by te voeg.
- Firewall administrateurs moet 'n nuwe sertifikaat genereer vir gebruik deur die GUI om die nuwe formaat te gebruik. Daar is verskeie maniere om 'n verenigbare sertifikaat te genereer, insluitend:
- Genereer en aktiveer 'n nuwe GUI-sertifikaat outomaties vanaf die konsole of ssh-skerm met een van ons terugspeelskrifte:
- pfSsh.php afspeel generateguicert
- Gebruik die ACME-pakket om 'n betroubare sertifikaat vir die GUI te genereer via Let's Encrypt, wat reeds behoorlik geformateer is.
- Teken 'n nuwe self-ondertekende Sertifiseringsowerheid (CA) en 'n Serwesertifikaat onderteken deur daardie CA, en gebruik dit vir die GUI.
- Aktiveer die plaaslike blaaier "EnableCommonNameFallbackForLocalAnchors" opsie in Chrome 58. Hierdie instelling sal uiteindelik deur Chrome verwyder word, dus dit is slegs 'n tydelike oplossing.
- Sommige gebruikers kan onthou dit is nie die eerste keer dat die standaard sertifikaatformaat problematies is as gevolg van blaaierveranderinge. 'N Paar jaar gelede het Firefox die manier waarop hulle sertifikaat-trustkettings bereken, verander. Dit kan 'n blaaier laat vries of hang wanneer dit probeer om toegang tot verskeie firewalls met self-ondertekende sertifikate met algemene standaarddata wat tot gevolg gehad het dat al sodanige sertifikate dieselfde onderwerp bevat. Dit was 'n groter uitdaging, maar dit het tot 'n baie beter eindgebruiker-ervaring gelei.
Wat is nuut in weergawe 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Veelvuldige kwesbaarhede in OpenSSL. Die enigste beduidende impak op pfSense is OCSP vir HAproxy en FreeRADIUS.
- Verskeie HyperV-verwante Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 tot 16:16. Sien https: / / www.freebsd.org/relnotes/10-STABLE/errata/errata.html vir meer besonderhede.
- Verskeie ingeboude pakkette en biblioteke is opgedateer, insluitend:
- PHP tot 5.6.26
- libidn na 1.33
- krul tot 7.50.3
- libxml2 tot 2.9.4
- Toegevoegde kodering na die 'zone'-parameter op Captive Portal-bladsye.
- Toegevoegde uitvoerkodering na diag_dns.php vir resultate wat van DNS afkomstig is. # 6737
- Werk rondom 'n Chrome-fout met gereelde uitdrukking parsering van ontsnapte karakters binne karakters. Regstellings ", pas asseblief die verlangde formaat aan" op onlangse Chrome-weergawes. # 6762
- Vaste DHCPv6-bediener tyd formaat opsie # 6640
- Vaste / usr / bin / installeer ontbreek van nuwe installasies. # 6643
- Verhoogde filterstertlimiet vir logging so soek, sal voldoende inskrywings vind. # 6652
- Opgehef geïnstalleerde pakkette en HTML. # 6601
- Vaste widget-instellings korrupsie wanneer nuwe instellings geskep word. # 6669
- Vaste verskillende tipes en bewoordingsfoute.
- Verwyder onvoltooide skakels na die devwiki-werf. Alles is op https://doc.pfsense.org nou.
- Bygevoeg 'n veld op CA / Cert bladsye vir OU, wat deur sommige eksterne CA's en gebruikers vereis word. # 6672
- 'n oortollige HTTP "Gebruiker-Agent" vasgestel. string in DynDNS-bywerkings.
- Vaste die font vir sorteerbare tabelle.
- Het 'n tjek bygevoeg om te kontroleer of 'n koppelvlak in 'n gateway-groep aktief is voordat jy dinamiese DNS bywerk.
- Vaste bewoording van die "Verwys huurkontrakte uit" opsie vir 'n DHCP-koppelvlak (dit kan slegs adresse, nie subnets nie.) # 6646
- Vaste foutrapportage vir SMTP-instellings toets.
- Vaste spaar van land, verskaffer en planvalue vir PPP-koppelvlakke
- Vaste kontrole van ongeldige "Gaan na reël" nommers op diag_edit.php. # 6704
- Vaste fout vir die een met 'Rye om te vertoon' op diag_routes.php. # 6705
- Vaste beskrywing van die filterkas op diag_routes.php om te besin dat alle velde soekbaar is. # 6706
- Vaste beskrywing van die blokkie vir die lêer om te wysig op diag_edit.php. # 6703
- Vaste beskrywing van die hoofpaneel op diag_resetstate.php. # 6709
- Vaste waarskuwingsdialoog wanneer 'n boks ongemerk is op diag_resetstate.php. # 6710
- Vaste logkortpaaie vir DHCP6-areas. # 6700
- Vaste die netwerk verwyder knoppie wat wys wanneer slegs een ry teen services_unbound_acls.php # 6716 teenwoordig was
- Vaste verdwyn help teks op herhaalbare rye wanneer die laaste ry verwyder word. # 6716
- Vaste dinamiese DNS-domein vir DHCP-inskrywings vir statiese kaarte
- Bygevoeg beheer om die verversingsperiode van die dashboard widget te stel
- Bygevoeg 'C / dev / null' na die dnsmasq-bevellynparameters om te verhoed dat dit 'n verkeerde verstekkonfigurasie opneem wat ons opsies sou ignoreer. # 6730
- Bygevoeg '-l' na traceroute6 om beide IP-adresse en host name te wys wanneer hops opgelos word op diag_traceroute.php. # 6715
- Bygevoeg nota oor maksimum ttl / hop limiet in bron kommentaar op diag_traceroute.php.
- Geselekteerde taal op diag_tables.php. # 6713
- Skoon die teks op diag_sockets.php. # 6708
- Vaste vertoning van VLAN-koppelvlakname tydens konsole-opdrag. # 6724
- Opsies vir vaste domeinnaam-bedieners wat twee keer in poele vertoon wanneer dit handmatig gestel word.
- Vaste hantering van DHCP opsies in ander poele as die hoofreeks. # 6720
- Vaste vermiste host name in sommige gevalle met dhcpdv6. # 6589
- Verbeterde pidfile hantering vir dhcpleases.
- Bygevoeg tjeks om te verhoed dat 'n ongedefinieerde offset in IPv6.inc verkry word.
- Bevestig die vertoning van die alias popup en wysig opsies op die bron en bestemming vir beide die adres en poort op uitgaande NAT.
- Vaste hantering van rugsteunkonfigurasie telling. # 6771
- Verwyder sommige verwarrende PPTP verwysings wat nie meer relevant is nie.
- Bevestig / gevang remote syslog areas. Bygevoeg "roete", "ntpd", "ppp", "resolver", vaste "vpn" Om alle Skynprivaatnetwerk-areas (IPsec, OpenVPN, L2TP, PPPoE-bediener) in te sluit. # 6780
- Vaste ontbrekende blokkies in sommige gevalle wanneer rye bygevoeg word op services_ntpd.php. # 6788
- Herziene ikone vir die uitvoer van bedieners / gestop.
- Het 'n tjek by CRL-bestuur bygevoeg om sertifikate uit die keuselys te verwyder wat reeds in die CRL behou is.
- Vaste reël skeiers beweeg wanneer verskeie reëls van die firewall gelyktydig verwyder word. # 6801
Wat is nuut in weergawe 2.3.3:
- FreeBSD-SA-16: 26.openssl - Veelvuldige kwesbaarhede in OpenSSL. Die enigste beduidende impak op pfSense is OCSP vir HAproxy en FreeRADIUS.
- Verskeie HyperV-verwante Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 tot 16:16. Sien https: / / www.freebsd.org/relnotes/10-STABLE/errata/errata.html vir meer besonderhede.
- Verskeie ingeboude pakkette en biblioteke is opgedateer, insluitend:
- PHP tot 5.6.26
- libidn na 1.33
- krul tot 7.50.3
- libxml2 tot 2.9.4
- Toegevoegde kodering na die 'zone'-parameter op Captive Portal-bladsye.
- Toegevoegde uitvoerkodering na diag_dns.php vir resultate wat van DNS afkomstig is. # 6737
- Werk rondom 'n Chrome-fout met gereelde uitdrukking parsering van ontsnapte karakters binne karakters. Regstellings "Pas asseblief die aangevraagde formaat aan" op onlangse Chrome-weergawes. # 6762
- Vaste DHCPv6-bediener tyd formaat opsie # 6640
- Vaste / usr / bin / installeer ontbreek van nuwe installasies. # 6643
- Verhoogde filterstertlimiet vir logging so soek, sal voldoende inskrywings vind. # 6652
- Opgehef geïnstalleerde pakkette en HTML. # 6601
- Vaste widget-instellings korrupsie wanneer nuwe instellings geskep word. # 6669
- Vaste verskillende tipes en bewoordingsfoute.
- Verwyder onvoltooide skakels na die devwiki-werf. Alles is op https://doc.pfsense.org nou.
- Bygevoeg 'n veld op CA / Cert bladsye vir OU, wat deur sommige eksterne CA's en gebruikers vereis word. # 6672
- Vaste 'n oortollige HTTP-gebruiker-agent-string in DynDNS-opdaterings.
- Vaste die font vir sorteerbare tabelle.
- Het 'n tjek bygevoeg om te kontroleer of 'n koppelvlak in 'n gateway-groep aktief is voordat jy dinamiese DNS bywerk.
- Vaste bewoording van die opsie 'Verwerp huurkontrakte uit' vir 'n DHCP-koppelvlak (dit kan slegs adresse, nie subnets nie.) # 6646
- Vaste foutrapportage vir SMTP-instellings toets.
- Vaste spaar van land, verskaffer en planvalue vir PPP-koppelvlakke
- Vaste kontrole van ongeldige "Gaan na lyn" nommers op diag_edit.php. # 6704
- Vaste af-een-een-fout met "Rye om te vertoon" op diag_routes.php. # 6705
- Vaste beskrywing van die filterkas op diag_routes.php om te besin dat alle velde soekbaar is. # 6706
- Vaste beskrywing van die blokkie vir die lêer om te wysig op diag_edit.php. # 6703
- Vaste beskrywing van die hoofpaneel op diag_resetstate.php. # 6709
- Vaste waarskuwingsdialoog wanneer 'n boks ongemerk is op diag_resetstate.php. # 6710
- Vaste logkortpaaie vir DHCP6-areas. # 6700
- Vaste die netwerk verwyder knoppie wat wys wanneer slegs een ry teen services_unbound_acls.php # 6716 teenwoordig was
- Vaste verdwyn help teks op herhaalbare rye wanneer die laaste ry verwyder word. # 6716
- Vaste dinamiese DNS-domein vir DHCP-inskrywings vir statiese kaarte
- Bygevoeg beheer om die verversingsperiode van die dashboard widget te stel
- Bygevoeg "C / dev / null" aan die dnsmasq command line parameters om te verhoed dat dit 'n verkeerde standaard konfigurasie opneem wat ons opsies sou ignoreer. # 6730
- Bygevoeg '-l' na traceroute6 om beide IP-adresse en host name te wys wanneer hops opgelos word op diag_traceroute.php. # 6715
- Bygevoeg nota oor maksimum ttl / hop limiet in bron kommentaar op diag_traceroute.php.
- Geselekteerde taal op diag_tables.php. # 6713
- Skoon die teks op diag_sockets.php. # 6708
- Vaste vertoning van VLAN-koppelvlakname tydens konsole-opdrag. # 6724
- Opsies vir vaste domeinnaam-bedieners wat twee keer in poele vertoon wanneer dit handmatig gestel word.
- Vaste hantering van DHCP opsies in ander poele as die hoofreeks. # 6720
- Vaste vermiste host name in sommige gevalle met dhcpdv6. # 6589
- Verbeterde pidfile hantering vir dhcpleases.
- Bygevoeg tjeks om toegang tot 'n ongedefinieerde verstelling in IPv6.inc te voorkom.
- Bevestig die vertoning van die alias popup en wysig opsies op die bron en bestemming vir beide die adres en poort op uitgaande NAT.
- Vaste hantering van rugsteunkonfigurasie telling. # 6771
- Verwyder sommige verwarrende PPTP verwysings wat nie meer relevant is nie.
- Bevestig / gevang remote syslog areas. Bygevoeg "routing", "ntpd", "ppp", "resolver", vaste "vpn" om alle VPN areas (IPsec, OpenVPN, L2TP, PPPoE Server) in te sluit. # 6780
- Vaste ontbrekende blokkies in sommige gevalle wanneer rye bygevoeg word op services_ntpd.php. # 6788
- Herziene ikone vir die uitvoer van bedieners / gestop.
- Het 'n tjek by CRL-bestuur bygevoeg om sertifikate uit die keuselys te verwyder wat reeds in die CRL behou is.
- Vaste reël skeiers beweeg wanneer verskeie reëls van die firewall gelyktydig verwyder word. # 6801
Wat is nuut in weergawe 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Veelvuldige kwesbaarhede in OpenSSL. Die enigste beduidende impak op pfSense is OCSP vir HAproxy en FreeRADIUS.
- Verskeie HyperV-verwante Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 tot 16:16. Sien https: / / www.freebsd.org/relnotes/10-STABLE/errata/errata.html vir meer besonderhede.
- Verskeie ingeboude pakkette en biblioteke is opgedateer, insluitend:
- PHP tot 5.6.26
- libidn na 1.33
- krul tot 7.50.3
- libxml2 tot 2.9.4
- Toegevoegde kodering na die 'zone'-parameter op Captive Portal-bladsye.
- Toegevoegde uitvoerkodering na diag_dns.php vir resultate wat van DNS afkomstig is. # 6737
- Werk rondom 'n Chrome-fout met gereelde uitdrukking parsering van ontsnapte karakters binne karakters. Regstellings "Pas asseblief die aangevraagde formaat aan" op onlangse Chrome-weergawes. # 6762
- Vaste DHCPv6-bediener tyd formaat opsie # 6640
- Vaste / usr / bin / installeer ontbreek van nuwe installasies. # 6643
- Verhoogde filterstertlimiet vir logging so soek, sal voldoende inskrywings vind. # 6652
- Opgehef geïnstalleerde pakkette en HTML. # 6601
- Vaste widget-instellings korrupsie wanneer nuwe instellings geskep word. # 6669
- Vaste verskillende tipes en bewoordingsfoute.
- Verwyder onvoltooide skakels na die devwiki-werf. Alles is op https://doc.pfsense.org nou.
- Bygevoeg 'n veld op CA / Cert bladsye vir OU, wat deur sommige eksterne CA's en gebruikers vereis word. # 6672
- Vaste 'n oortollige HTTP-gebruiker-agent-string in DynDNS-opdaterings.
- Vaste die font vir sorteerbare tabelle.
- Het 'n tjek bygevoeg om te kontroleer of 'n koppelvlak in 'n gateway-groep aktief is voordat jy dinamiese DNS bywerk.
- Vaste bewoording van die opsie 'Verwerp huurkontrakte uit' vir 'n DHCP-koppelvlak (dit kan slegs adresse, nie subnets nie.) # 6646
- Vaste foutrapportage vir SMTP-instellings toets.
- Vaste spaar van land, verskaffer en planvalue vir PPP-koppelvlakke
- Vaste kontrole van ongeldige "Gaan na lyn" nommers op diag_edit.php. # 6704
- Vaste af-een-een-fout met "Rye om te vertoon" op diag_routes.php. # 6705
- Vaste beskrywing van die filterkas op diag_routes.php om te besin dat alle velde soekbaar is. # 6706
- Vaste beskrywing van die blokkie vir die lêer om te wysig op diag_edit.php. # 6703
- Vaste beskrywing van die hoofpaneel op diag_resetstate.php. # 6709
- Vaste waarskuwingsdialoog wanneer 'n boks ongemerk is op diag_resetstate.php. # 6710
- Vaste logkortpaaie vir DHCP6-areas. # 6700
- Vaste die netwerk verwyder knoppie wat wys wanneer slegs een ry teen services_unbound_acls.php # 6716 teenwoordig was
- Vaste verdwyn help teks op herhaalbare rye wanneer die laaste ry verwyder word. # 6716
- Vaste dinamiese DNS-domein vir DHCP-inskrywings vir statiese kaarte
- Bygevoeg beheer om die verversingsperiode van die dashboard widget te stel
- Bygevoeg "C / dev / null" aan die dnsmasq command line parameters om te verhoed dat dit 'n verkeerde standaard konfigurasie opneem wat ons opsies sou ignoreer. # 6730
- Bygevoeg '-l' na traceroute6 om beide IP-adresse en host name te wys wanneer hops opgelos word op diag_traceroute.php. # 6715
- Bygevoeg nota oor maksimum ttl / hop limiet in bron kommentaar op diag_traceroute.php.
- Geselekteerde taal op diag_tables.php. # 6713
- Skoon die teks op diag_sockets.php. # 6708
- Vaste vertoning van VLAN-koppelvlakname tydens konsole-opdrag. # 6724
- Opsies vir vaste domeinnaam-bedieners wat twee keer in poele vertoon wanneer dit handmatig gestel word.
- Vaste hantering van DHCP opsies in ander poele as die hoofreeks. # 6720
- Vaste vermiste host name in sommige gevalle met dhcpdv6. # 6589
- Verbeterde pidfile hantering vir dhcpleases.
- Bygevoeg tjeks om toegang tot 'n ongedefinieerde verstelling in IPv6.inc te voorkom.
- Bevestig die vertoning van die alias popup en wysig opsies op die bron en bestemming vir beide die adres en poort op uitgaande NAT.
- Vaste hantering van rugsteunkonfigurasie telling. # 6771
- Verwyder sommige verwarrende PPTP verwysings wat nie meer relevant is nie.
- Bevestig / gevang remote syslog areas. Bygevoeg "routing", "ntpd", "ppp", "resolver", vaste "vpn" om alle VPN areas (IPsec, OpenVPN, L2TP, PPPoE Server) in te sluit. # 6780
- Vaste ontbrekende blokkies in sommige gevalle wanneer rye bygevoeg word op services_ntpd.php. # 6788
- Herziene ikone vir die uitvoer van bedieners / gestop.
- Het 'n tjek by CRL-bestuur bygevoeg om sertifikate uit die keuselys te verwyder wat reeds in die CRL behou is.
- Vaste reël skeiers beweeg wanneer verskeie reëls van die firewall gelyktydig verwyder word. # 6801
Wat is nuut in weergawe 2.3.2:
- Rugsteun / Herstel:
- Moenie toelaat dat veranderinge aangepas word op die koppelvlak mismatch post-config herstel totdat die herverdeling gestoor is nie. # 6613
- Dashboard:
- Dashboard het nou opsies vir gebruikerskonfigurasie, gedokumenteer in Gebruikersbestuurder. # 6388
- DHCP-bediener:
- Gestremde dhcp-cache-drempel om bug te vermy in ISC dhcpd 4.3.x om kliënt-gasheernaam uit huurkontraklêers te verlaat, waardeur die registrasie van dinamiese hostname in sommige randgevalle misluk. # 6589
- Let daarop dat DDNS sleutel HMAC-MD5 moet wees. # 6622
- DHCP Relay:
- Geïmporteerde oplossing vir dhcrelay-heruitbetalingsversoeke op die koppelvlak waar die teiken DHCP-bediener woonagtig is. # 6355
- Dynamiese DNS:
- Laat * vir hostnaam toe met Namecheap. # 6260
- Interfaces:
- Fix "kan nie aangevraagde adres toewys nie" tydens opstarten met track6-koppelvlakke. # 6317
- Verwyder verouderde skakelopsies van GRE en gif. # 6586, # 6587
- Volg "Huur huurkontrakte uit" wanneer DHCP "Gevorderde opsies" nagegaan word. # 6595
- Beskerm ingeslote afbrekers in die gevorderde konfigurasie van DHCP-kliënt, sodat kommas daar gebruik kan word. # 6548
- Stel standaard roete op PPPoE-koppelvlakke ontbreek in sommige randgevalle. # 6495
- IPsec:
- strongSwan is opgegradeer na 5.5.0.
- Sluit aggressief in ipsec.conf waar die IKE-modus outomaties gekies is. # 6513
- Gateway Monitoring:
- Vaste "socket naam te groot" maak gateway monitering misluk op lang koppelvlak name en IPv6 adresse. # 6505
- limiters:
- Stel pipe_slot_limit outomaties in op die maksimum gekonfigureerde qlimit-waarde. # 6553
- Monitoring:
- Vaste geen data periodes word aangegee as 0, skeefgemiddeldes. # 6334
- Gereedskapstip regstel wat as "geen" vir sommige waardes wys. # 6044
- Bevestig die stoor van sommige verstekopsies. # 6402
- Fix X-as bosluise wat nie op resolusie reageer vir gepaste tydperke nie. # 6464
- OpenVPN:
- Hersien kliënt spesifieke konfigurasies weer na die stoor van OpenVPN bediener instansies om te verseker dat hul instellings die huidige bediener konfigurasie weerspieël. # 6139
- Bedryfstelsel:
- Vaste PF-fragment state word nie gesuiwer nie, wat veroorsaak dat "PF frag-inskrywings limiet bereik word". # 6499
- Stel kernlêer se ligging sodat hulle nie kan eindig in / var / hardloop en die beskikbare spasie uitlaat nie. # 6510
- Vaste "runtime het agteruit" log spam in Hyper-V. # 6446
- Vaste traceroute6 hang met nie-reageer hop in pad. # 3069
- Bygevoeg symlink /var/run/dmesg.boot vir vm-bhyve. # 6573
- Stel net.isr.dispatch = direk op 32 bits stelsels met IPsec aangeskakel om ongeluk te voorkom wanneer toegang tot dienste op die gasheer self via VPN verkry word. # 4754
- Router Advertensies:
- Bygevoeg konfigurasie velde vir die minimum en maksimum router advertensie intervalle en router leeftyd. # 6533
- Routing:
- Vaste statiese roetes met die IPv6-skakel plaaslike teiken router om die koppelvlak te sluit. # 6506
- Reëls / NAT:
- Vaste PPPoE-kliënt se plekhouer in reëls en NAT, en reëlreëlfout wanneer gebruik word om swaai reëls te spesifiseer wat PPPoE-bediener spesifiseer. # 6597
- Vaste versuim om reëls te laai met URL-tabel aliasse waar die leë lêer gespesifiseer is. # 6181
- Vaste TFTP-proxy met xinetd. # 6315
- Upgrade:
- Opgradering van foute met nanobsd-opgraderings waar DNS-verskaffer / ontvanger nie by localhost gebind is nie. # 6557
- Virtuele IP's:
- Vaste prestasieprobleme met groot getalle virtuele IP's. # 6515
- Vaste PHP geheue uitputting op CARP status bladsy met groot staatsborde. # 6364
- Webinterface:
- Bygevoeg sorteer na DHCP statiese kaarte tabel. # 6504
- Vaste lêer oplaai van NTP sprong sekondes. # 6590
- Bygevoeg IPv6-ondersteuning aan diag_dns.php. # 6561
- Bygevoeg IPv6-ondersteuning om logs omgekeerde soektog te filter. # 6585
- Pakketstelsel - behou velddata op invoerfout. # 6577
- Vaste veelvoudige IPv6-inset validasie probleme wat ongeldige IPv6 IPs toelaat. # 6551, # 6552
- Vaste DHCPv6-huurkontrakte word ontbreek in die vertoon van GUI-huurkontrakte. # 6543
- Vaste staat vermoor vir 'in' rigting en state met vertaalde bestemming. # 6530, # 6531
- Herstel insette validering van gevangene portaal zone name om ongeldige XML te voorkom. # 6514
- Vervang kalender datum kieser in die gebruiker bestuurder met een wat werk in ander blaaiers as Chrome en Opera. # 6516
- Herstel proxy poort veld na OpenVPN kliënt. # 6372
- Verduidelik beskrywing van hawensaliasies. # 6523
- Vaste vertaling uitset waar gettext 'n leë string geslaag het. # 6394
- Vaste spoed seleksie vir 9600 in NTP GPS-konfigurasie. # 6416
- Net IPv6 IPs toelaat op NPT-skerm. # 6498
- Voeg alias invoer ondersteuning by vir netwerke en poorte. # 6582
- Vaste sorteertafel-koptekstoekies. # 6074
- Skoon Netwerk Booting gedeelte van DHCP Server skerm. # 6050
- Fix "UNKNOWN" skakels in pakketbestuurder. # 6617
- Bevestig ontbrekende bandwydte veld vir verkeersvorms CBQ-toue. # 6437
- UPnP:
- UPnP-aanbieding-URL en modelnommer wat nou konfigureerbaar is. # 6002
- Gebruikersbestuurder:
- Verbied administrateurs om hul eie rekeninge in die gebruikersbestuurder te verwyder. # 6450
- Ander:
- Bygevoeg PHP-skopsessies om aanhoudende CARP instandhoudingsmodus in te skakel en uit te skakel. "Play enable enable" en "playback disable carpmaint". # 6560
- Uitgestelde seriële konsole konfigurasie vir nanobsd VGA. # 6291
Wat is nuut in weergawe 2.3.1 Update 5:
- Die belangrikste veranderinge in hierdie weergawe is 'n herskryf van die webGUI wat Bootstrap gebruik, en die onderliggende stelsel, insluitend die basisstelsel en kern, word heeltemal omskep in FreeBSD pkg. Die pkg-omskakeling stel ons in staat om dele van die stelsel individueel vorentoe te werk, eerder as die monolitiese opdaterings van die verlede. Die webGUI-herskryf bring 'n nuwe, reageerbare gevoel vir pfSense wat 'n minimum van grootte of blaai op 'n wye verskeidenheid toestelle van rekenaar na selfone vereis.
Wat is nuut in weergawe 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Sekuriteit in die lêer insluiting in die pfSense WebGUI
- pfSense-SA-15_10.captiveportal: Sekuriteit van SQL-inspuiting in die pfSense-gevangene-portaallogout
- pfSense-SA-15_11.webgui: Meerdere XSS- en CSRF-kwesbaarhede in die pfSense WebGUI
- Opgedateer na FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Veel kwesbaarhede in OpenSSL
- Opgedateer strongSwan na 5.3.5_2
- Bevestiging vir die CVE-2015-8023-verifikasie bypass-kwesbaarheid in die eap-mschapv2-plugin.
Wat is nuut in weergawe 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Meerdere gestoor XSS-kwesbaarhede in die pfSense WebGUI
- Opgedateer na FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Veelvuldige kwesbaarhede in NTP [HERSIENE]
- FreeBSD-SA-15: 14.bsdpatch: As gevolg van onvoldoende sanitisering van die invoer patch stroom, is dit moontlik dat 'n patch lêer veroorsaak dat pleister (1) opdragte uitvoer, benewens die gewenste SCCS of RCS opdragte.
- FreeBSD-SA-15: 16.openssh: OpenSSH-kliënt verifieer nie DNS SSHFP-rekords korrek as 'n bediener 'n sertifikaat bied nie. CVE-2014-2653 OpenSSH-bedieners wat gekonfigureer is om wagwoordverifikasie met PAM (standaard) toe te laat, sal baie wagwoordpogings toelaat.
- FreeBSD-SA-15: 18.bsdpatch: As gevolg van onvoldoende sanitisering van die invoervlakstroom, is dit moontlik vir 'n pleisterlêer dat pleister (1) sekere ed (1) skrifte na die ed (1) redakteur, wat bevele sou uitvoer.
- FreeBSD-SA-15: 20.expat: Multiple integer oorstromings is ontdek in die XML_GetBuffer () funksie in die expat biblioteek.
- FreeBSD-SA-15: 21.amd64: As die kernmodus-IRET-instruksie 'n #SS- of #NP-uitsondering genereer, maar die uitsonderingshantererder nie behoorlik verseker dat die regte GS-register basis vir kern herlaai word nie. , kan die gebruikersland GS segment gebruik word in die konteks van die kernel uitsonderings hanteerder.
- FreeBSD-SA-15: 22.openssh: 'n Programmeringsfout in die bevoorregte monitorproses van die sshd (8) diens kan toelaat dat die gebruikersnaam van 'n reeds geverifieerde gebruiker oorskryf word deur die ongewenste kindproses. 'N gebruik-na-vrye fout in die bevoorregte monitor proses van die sshd (8) diens kan deterministies veroorsaak word deur die optrede van 'n gekompromitteerde ongewenste kind proses. 'N gebruik-na-vrye fout in die sessie-multiplexing kode in die sshd (8) diens kan lei tot onbedoelde beëindiging van die verbinding.
Wat is nuut in weergawe 2.2.4:
- pfSense-SA-15_07.webgui: Sekuriteit vir meerdere sekuriteitskwessies in die pfSense WebGUI
- Die volledige lys van geaffekteerde bladsye en velde word in die gekoppelde SA vermeld.
- FreeBSD-SA-15: 13.tcp: Hulpbronuitputting as gevolg van sessies wat in LAST_ACK-toestand vasstaan. Let wel, dit geld net vir scenario's waar hawens op pfSense self luister (nie deur middel van NAT oorgedra word, roete of oorbrugging nie) word oopgemaak vir onbetrokke netwerke. Dit geld nie vir die verstekkonfigurasie.
- Nota: FreeBSD-SA-15: 13.openssl is nie van toepassing op pfSense nie. pfSense het nie 'n kwesbare weergawe van OpenSSL ingesluit nie, en was dus nie kwesbaar nie.
- Verdere regstellings vir lêerkorrupsie in verskeie gevalle tydens 'n onrein afsluiting (ongeluk, kragverlies, ens.). # 4523
- Vaste pw in FreeBSD om passwd / groepkorrupsie aan te spreek
- Vaste config.xml skryf om fsync behoorlik te gebruik om gevalle te vermy wanneer dit leeg kan wees. # 4803
- Die opsie "sinkroniseer" van lêersisteme verwyder vir nuwe volledige installasies en volledige opgraderings nou dat die regte oplossing in plek is.
- Sagteware en joernale (AKA SU + J) van NanoBSD verwyder, hulle bly op volle installasies. # 4822
- Die forcesync pleister vir # 2401 word steeds as skadelik vir die lêerstelsel beskou en is uitgehou. As sodanig kan daar opmerklik traag wees met NanoBSD op sekere stadiger skywe, veral CF-kaarte en in 'n mindere mate, SD-kaarte. As dit 'n probleem is, kan die lêersisteem permanent op skrif gehou word met die opsie Diagnostics> NanoBSD. Met die ander bogenoemde veranderinge is die risiko minimaal. Ons raai u aan om die betrokke CF / SD media deur 'n nuwe, vinniger kaart so gou as moontlik te vervang. # 4822
- Upgraded PHP na 5.5.27 om CVE-2015-3152 # 4832 aan te spreek
- Verlaagde SSH LoginGraceTime van 2 minute tot 30 sekondes om die impak van MaxAuthTries bypass bug te versag. Nota Sshlockout sal in die verlede, huidige en toekomstige weergawes uitstootlike IP's sluit. # 4875
Wat is nuut in weergawe 2.2.3:
- pfSense-SA-15_06.webgui: Veelvuldige XSS-kwesbaarhede in die pfSense WebGUI
- Die volledige lys van geaffekteerde bladsye en velde is groot en almal is in die gekoppelde SA.
- FreeBSD-SA-15: 10.openssl: Veelvuldige OpenSSL-kwesbaarhede (insluitend Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Wat is nuut in weergawe 2.2.2:
- Hierdie weergawe bevat twee lae risiko sekuriteit updates:
- FreeBSD-SA-15: 09.ipv6: Ontkenning van diens met IPv6-router-advertensies. Waar 'n stelsel gebruik maak van DHCPv6 WAN-tipe, kan toestelle op dieselfde uitsaaidomein as wat WAN gekompakteerde pakkies stuur, wat veroorsaak dat die stelsel IPv6 internet konneksie verloor.
- FreeBSD-SA-15: 06.openssl: Veelvuldige OpenSSL-kwesbaarhede. Die meeste is nie van toepassing nie, en die ergste impak is die ontkenning van diens.
Wat is nuut in weergawe 2.2.1:
- Beveiligingsoplossings:
- pfSense-SA-15_02.igmp: Integer oorloop in IGMP-protokol (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: Veelvuldige XSS-kwesbaarhede in die pfSense WebGUI
- pfSense-SA-15_04.webgui: Sekuriteit van willekeurige lêer verwydering in die pfSense WebGUI
- FreeBSD-EN-15: 01.vt: vt (4) crash met onbehoorlike ioctl parameters
- FreeBSD-EN-15: 02.openssl: Update om betroubaarheidsoplossings van OpenSSL in te sluit
- 'n Nota oor die kwesbaarheid van OpenSSL "FREAK":
- Beïnvloed nie die konfigurasie van die webbediener op die firewall nie, aangesien dit nie uitvoerkodes het nie.
- pfSense 2.2 het reeds OpenSSL 1.0.1k ingesluit wat die kwesbaarheid van die kliënt aangespreek het.
- As pakkette 'n webbediener of soortgelyke komponent insluit, soos 'n proxy, kan 'n onbehoorlike gebruikerskonfigurasie geraak word. Raadpleeg die pakketdokumentasie of forum vir meer besonderhede.
Wat is nuut in weergawe 2.2:
- Hierdie weergawe bied verbeteringe in prestasie- en hardewareondersteuning van die FreeBSD 10.1-basis, asook verbeterings wat ons bygevoeg het soos AES-GCM met AES-NI versnelling, onder 'n aantal ander nuwe funksies en foutoplossings.
- In die proses om vrylating te bereik, het ons 392 totale kaartjies uitgesluit (hierdie nommer bevat 55 funksies of take), vaste 135 foute wat 2.1.5 en vorige weergawes beïnvloed, het nog 202 bugs in 2.2 ingestel deur die basis te bevorder OS weergawe van FreeBSD 8.3 tot 10.1, verander IPsec sleutel daemonne van raketoon na strongSwan, die opgradering van die PHP backend na weergawe 5.5 en skakel dit van FastCGI na PHP-FPM, en voeg die onbound DNS resolusie toe en baie kleiner veranderinge.
- Hierdie weergawe bevat vier lae-impak sekuriteit regstellings:
- openssl update vir FreeBSD-SA-15: 01.openssl
- Veelvuldige XSS-kwesbaarhede in die webkoppelvlak. pfSense-SA-15_01
- OpenVPN-opdatering vir CVE-2014-8104
- NTP-opdatering FreeBSD-SA-14: 31.ntp - alhoewel hierdie omstandighede skynbaar nie pfSense beïnvloed nie.
Wat is nuut in weergawe 2.1.4:
- Beveiligingsoplossings:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- Pakkette het ook hul eie onafhanklike regstellings en moet opgedateer word. Tydens die firmware-opdateringsproses sal die pakkette behoorlik weer geïnstalleer word. Andersins, verwyder en installeer pakkette weer om seker te maak dat die nuutste weergawe van die binêre programme gebruik word.
- Ander regstellings:
- Patch vir Captive Portal pipeno lekkende kwessie wat lei tot die 'Maksimum login bereik' op Captive Portal. # 3062
- Verwyder teks wat nie relevant is vir toegelate IP's op die Captive Portal nie. # 3594
- Verwyder eenhede van bars soos dit altyd in grepe gespesifiseer word. (Per ipfw (8)).
- Voeg kolom vir interne poort op UPnP status bladsy.
- Maak luister op koppelvlak eerder as IP opsioneel vir UPnP.
- Bevestig hoogtepunt van geselekteerde reëls. # 3646
- Voeg guiconfig by widgets wat dit nie insluit nie. # 3498
- / etc / version_kernel en / etc / version_base bestaan nie meer nie, gebruik php_uname om die weergawe vir XMLRPC tjek te kry.
- Variabele tik bevestig. # 3669
- Verwyder alle IP Aliases wanneer 'n koppelvlak afgeskakel is. # 3650
- Behoorlik die RRD-argief hernoem tydens die opgradering en squelch-foute as dit misluk.
- Skakel protokol ssl: // na https: // wanneer u HTTP-hoofde vir XMLRPC skep.
- Wys geblokkeerde koppelvlakke wanneer hulle reeds deel van 'n koppelvlakgroep was. Dit vermy om 'n ewekansige koppelvlak te vertoon, en laat die gebruiker dit per ongeluk byvoeg. # 3680
- Die kliënt-config-dir-richtlijn vir OpenVPN is ook handig wanneer u OpenVPN se interne DHCP gebruik tydens oorbrugging. Voeg dit dan ook toe.
- Gebruik krul in plaas van om opdateringslêers te laai. # 3691
- Vlug verander voordat jy na die dop van stop_service () gaan.
- Voeg beskerming by parameters wat deur _GET in diensbestuur kom.
- Ontspan argument op oproep na is_process_running, verwyder ook sommige onnodige mwexec () oproepe.
- Moenie koppelvlakgroepnaam toelaat om groter as 15 karakters te wees nie. # 3208
- Wees meer akkuraat om lede van 'n brugkoppelvlak te pas, moet dit # 3637 regstel
- Moenie reeds gestremde gebruikers verval nie, dit herstel # 3644
- Valideer die begin- en stoptydformaat op firewall_schedule_edit.php
- Wees versigtig met gasheerparameter op diag_dns.php en maak seker dit is ontsnap wanneer oproepskerm funksioneer
- Ontsnapping parameters geslaag na shell_exec () in diag_smart.php en elders
- Maak seker dat veranderlikes ontsnap / ontsmet is op status_rrd_graph_img.php
- Vervang exec oproepe om rm te laat loop deur unlink_if_exists () op status_rrd_graph_img.php
- Vervang alle 'hostname`-oproepe deur php_uname (' lsquo; n ') op status_rrd_graph_img.php
- Vervang alle `date` oproepe deur strftime () op status_rrd_graph_img.php
- Voeg $ _gb by om moontlike vullis te versamel vanaf exec retour op status_rrd_graph_img.php
- Vermy gidsverkeer in pkg_edit.php tydens die lees van pakket xml-lêers. Kyk ook of lêer bestaan voordat jy dit probeer lees.
- Verwyder id = 0 van miniupnpd menu en kortpad
- Verwyder. en / of pkg naam om die kruising van die gids te voorkom in pkg_mgr_install.php
- Vaste kern dump op die besigtiging van ongeldige pakketlog
- Vermy gidsverkeer op system_firmware_restorefullbackup.php
- Genereer sessie ID op 'n suksesvolle aanmelding om sessiefiksasie te voorkom
- Beskerm rssfeed parameters met htmlspecialchars () in rss.widget.php
- Beskerm die diens status filter parameter met htmlspecialchars () in services_status.widget.php
- Stel altyd httponly-kenmerk op koekies
- Stel 'laai' aan 'WebConfigurator login autocomplete' uit, soos standaard by nuwe installasies.
- Vereenvoudig logika, voeg beskerming by gebruikersinvoerparameters by log.widget.php
- Maak seker dat enkele aanhalings gekodeer is en om javascript-inspuiting op exec.php te vermy
- Ontbrekende NAT-protokolle by firewall_nat_edit.php
- Verwyder ekstra data na spasie in DSCP en herstel pf reël sintaksis. # 3688
- Sluit slegs 'n geskeduleerde reël in as dit streng voor die eindtyd is. # 3558
Wat is nuut in weergawe 2.1.1:
- Die grootste verandering is om die volgende sekuriteitskwessies / CVE's te sluit:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Anders as hierdie, is die em / igb / ixgb / ixgbe bestuurders opgegradeer om ondersteuning vir i210 en i354 NICs by te voeg. Sommige Intel 10Gb Ethernet NICs sal ook verbeterde prestasie sien.
Kommentaar nie gevind