pfSense

pfSense i reg; to swobodnie dystrybuowany i otwarty system operacyjny BSD wywodzący się z dobrze znanego projektu m0n0wall, ale z radykalnie innymi celami, takimi jak filtr pakietów i najnowsze technologie FreeBSD.

Projekt może być używany zarówno jako router, jak i firewall. Obejmuje on system pakietów, który pozwala administratorom systemu łatwo rozszerzyć produkt bez dodawania potencjalnych luk w zabezpieczeniach i powiększania do dystrybucji podstawowej.

Najważniejsze funkcje obejmują najnowocześniejszą zaporę ogniową, równoważenie obciążenia przychodzącego / wychodzącego, tablicę stanów, NAT (translacja adresów sieciowych), wysoką dostępność, VPN (Virtual Private Network) z obsługą IPsec, PPTP i OpenVPN, PPPoE serwer, Dynamic DNS, portal przechwytujący, raportowanie i monitorowanie.

Jest to aktywnie opracowany system operacyjny zapory, dystrybuowany w postaci zarchiwizowanej archiwum Gz Live CD i obrazów ISO instalujących tylko pamięć USB, instalatorów pamięci USB, a także NanoBSD / wbudowanych nośników. Obecnie obsługiwane są 64-bitowe (amd64) i 32-bitowe (i386) platformy sprzętowe.

Kilka wstępnie zdefiniowanych opcji rozruchu jest dostępnych podczas procesu rozruchu, takich jak uruchomienie systemu operacyjnego z ustawieniami domyślnymi, wyłączenie interfejsu ACPI, używanie urządzeń USB, w trybie awaryjnym, w trybie pojedynczego użytkownika, z pełnym rejestrowaniem, a także uzyskaj dostęp do powłoki lub zrestartuj maszynę.

Podczas gdy dystrybucja zapyta użytkowników, czy chcą skonfigurować sieci VLAN (Virtual LAN) od początku, będzie wymagać co najmniej jednego przypisanego interfejsu sieciowego do działania. Oznacza to, że jeśli nie masz / skonfigurowałeś co najmniej jednego interfejsu, pfSense & reg; nawet nie zaczął.

Używanie jako zapory ogniowej dla małych sieci domowych, uniwersytetów, dużych korporacji lub każdej innej organizacji, w której potrzeba ochrony tysięcy urządzeń sieciowych jest niezwykle ważna, pfSense & reg; został pobrany przez ponad milion użytkowników z całego świata od samego początku.

Jest to jeden z najlepszych projektów zapory typu open source zaprojektowanych tak, aby zapewniał użytkownikom wszystkie funkcje oferowane przez komercyjne zapory ogniowe. Dzisiaj, pfSense & reg; jest używany w wielu zaporach sprzętowych, w tym Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall lub Watchguard.

pfSense & reg; jest zastrzeżonym znakiem towarowym i znakiem usługowym należącym do Electric Sheep Fencing LLC. Zobacz www.electricsheepfencing.com.

Co nowego w tej wersji:

• Bezpieczeństwo / Errata
• Zaktualizowano do OpenSSL 1.0.2m, aby adresować CVE-2017-3736 i CVE-2017-3735
• FreeBSD-SA-17: 10.kldstat
• FreeBSD-SA-17: 08.ptrace
• Naprawiono potencjalny wektor XSS w status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
• Naprawiono potencjalny wektor XSS w diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
• Naprawiono potencjalny wektor XSS na index.php za pomocą parametrów sekwencji widżetów # 8000 pfSense-SA-17_09.webgui.asc
• Naprawiono potencjalny XSS w parametrze widgetkey widgetów pulpitu nawigacyjnego z wieloma instancjami # 7998 pfSense-SA-17_09.webgui.asc
• Naprawiono potencjalny problem związany z klikaniem na stronie błędu CSRF
• Interfejsy
• Naprawiono interfejsy PPP z rodzicem VLAN podczas korzystania z nowych nazw VLAN # 7981
• Naprawiono problemy z interfejsami QinQ, które nie wyświetlały się jako aktywne # 7942
• Naprawiono panikę / awarię podczas wyłączania interfejsu LAGG nr 7940
• Naprawiono problemy z interfejsami LAGG, tracąc swój adres MAC # 7928
• Naprawiono awarię radvd na SG-3100 (ARM) # 8022
• Naprawiono problem z kroplami pakietów UDP na SG-1000 # 7426
• Dodano interfejs do zarządzania wbudowanym przełącznikiem SG-3100
• Przycięto więcej znaków poza opis interfejsu, aby uniknąć zawijania linii wyjściowej menu konsoli na konsoli VGA
• Naprawiono obsługę parametru uniqueid VIP podczas zmiany typów VIP
• Naprawiono wyświetlanie pola parametrów połączenia PPP po wybraniu interfejsu macierzystego VLAN # 8098
• System operacyjny
• Naprawiono problemy wynikające z posiadania ręcznie skonfigurowanego układu systemu plików z osobnym plasterkiem / usr # 8065
• Naprawiono problemy z aktualizacją systemów ZFS, które utworzyły ZFS przy użyciu schematu partycji MBR (puste / rozruchowe, ponieważ bootpool nie jest importowany) # 8063
• Naprawiono problemy z sesjami BGP wykorzystującymi sygnatury MD5 TCP w pakietach demonów routingu # 7969
• Zaktualizowany program do wersji 3.0
• Udoskonalono wybory i metody wyboru repozytorium aktualizacji
• Zaktualizował systemowe sygnały, które informują system operacyjny, że nie zbiera danych z przerwań, interfejsów typu punkt-punkt i urządzeń Ethernet, które odzwierciedlają nową nazwę / format dla FreeBSD 11
• Zmieniono przetwarzanie zestawu reguł, tak aby sprawdzał, czy inny proces jest w trakcie aktualizacji, zamiast przedstawiać błąd użytkownikowi
• Naprawiono niektóre problemy z uruchamianiem UEFI na różnych platformach
• Certyfikaty
• Naprawiono nieprawidłowe wpisy w /etc/ssl/openssl.cnf (dotyczyło to tylko niestandardowego użycia openssl w cli / powłoce) # 8059
• Naprawiono uwierzytelnianie LDAP, gdy serwer wykorzystuje globalnie zaufany główny urząd certyfikacji (nowy wybór CA dla "globalnej głównej listy urzędu certyfikacji") # 8044
• Naprawiono problemy z tworzeniem certyfikatu za pomocą wieloznacznego kodu CN / SAN # 7994
• Dodano funkcję sprawdzania poprawności do Menedżera certyfikatów, aby zapobiec importowaniu certyfikatu instytucji niebędącej certyfikatem do karty urzędu certyfikacji # 7885
• IPsec
• Naprawiono problem z używaniem certyfikatów urzędu certyfikacji IPsec, gdy temat zawiera wiele nazw RDN tego samego typu # 7929
• Naprawiono problem z włączaniem obsługi klienta mobilnego IPsec w językach przetłumaczonych # 8043
• Naprawiono problemy z wyświetlaniem / wyprowadzaniem statusu IPsec, w tym wieloma wpisami (jeden rozłączony, jeden podłączony) # 8003
• Naprawiono wyświetlanie wielu połączonych klientów mobilnego IPsec # 7856
• Naprawiono wyświetlanie wpisów podrzędnych SA # 7856
• OpenVPN
• Dodano opcję dla serwerów OpenVPN, aby wykorzystywać "bramę przekierowania ipv6". działać jako domyślna brama do łączenia klientów VPN z IPv6, podobnie do "bramy przekierowania def1" dla IPv4. # 8082
• Naprawiono opcję listy cofania certyfikatów klienta OpenVPN # 8088
• Kształtowanie ruchu
• Naprawiono błąd podczas konfigurowania ogranicznika ponad 2 Gb / s (nowe maks. 4 Gb / s) # 7979
• Naprawiono problemy z interfejsami sieci pomostowej nie obsługującymi ALTQ # 7936
• Naprawiono problemy z interfejsami sieciowymi vtnet nie obsługującymi ALTQ # 7594
• Naprawiono problem z Stan & gt; Kolejki nie wyświetlające statystyk dla interfejsów VLAN # 8007
• Naprawiono problem związany z kolizjami kształtującymi natężenie ruchu, który nie pozwalał na obsłużenie wszystkich kolejek podrzędnych w 100%. # 7786
• Naprawiono problem z ogranicznikami, które podały nieprawidłowe wartości ułamkowe / niecałkowite z wpisów ogranicznika lub przekazały do ​​portalu przechwytującego z RADIUS # 8097
• Reguły / NAT
• Naprawiono wybór bramek IPv6 podczas tworzenia nowej reguły zapory sieciowej # 8053
• Naprawiono błędy na stronie konfiguracyjnej Port Forward wynikające z nieaktualnych / nieprzeniesionych danych cookie / danych zapytania nr 8039
• Naprawiono ustawienie priorytetu sieci VLAN za pomocą reguł zapory sieciowej # 7973
• XMLRPC
• Naprawiono problem z synchronizacją XMLRPC, gdy użytkownik synchronizacji ma hasło zawierające spacje # 8032
• Naprawiono problemy XMLRPC z voucherami Captive Portal nr 8079
• WebGUI
• Dodano opcję wyłączenia HSTS dla serwera WWW GUI # 6650
• Zmieniono usługę WWW GUI, blokując bezpośrednie pobieranie plików .inc # 8005
• Naprawiono sortowanie usług w widgecie na pulpicie nawigacyjnym i na stronie stanu usług # 8069
• Naprawiono błąd wejściowy, w którym statyczne wpisy IPv6 zezwalały na nieprawidłowe wprowadzanie dla pól adresowych # 8024
• Naprawiono błąd składni JavaScript na wykresach ruchu, gdy napotkano nieprawidłowe dane (np. użytkownik wylogował się lub sesja została wyczyszczona) # 7990
• Naprawiono błędy próbkowania w Grafach ruchu # 7966
• Naprawiono błąd JavaScript w Stan & gt; Monitorowanie # 7961
• Naprawiono problem z wyświetlaniem pustych tabel w przeglądarce Internet Explorer 11 # 7978
• Zmieniono przetwarzanie konfiguracji, aby używał wyjątku, a nie umrzeć (), gdy wykryje uszkodzoną konfigurację
• Dodano filtrowanie do strony pfTop
• Dodano środki dla pakietów do wyświetlania modalu dla użytkownika (np. wymagane ponowne uruchomienie, aby pakiet mógł zostać użyty)
• Pulpit nawigacyjny
• Naprawiono wyświetlanie dostępnych aktualizacji na widżecie pulpitu zainstalowanych pakietów # 8035
• Naprawiono problem z czcionką w widżecie panelu pomocy technicznej nr 7980
• Naprawiono formatowanie plasterków dysku / partycji w widżecie pulpitu informacji systemu
• Naprawiono problem z widżetem Obrazy, gdy nie ma zapisanego prawidłowego obrazu # 7896
• Pakiety
• Naprawiono wyświetlanie pakietów, które zostały usunięte z repozytorium w Menedżerze pakietów # 7946
• Naprawiono problem z wyświetlaniem pakietów zainstalowanych lokalnie, gdy niedostępne repozytorium pakietów jest niedostępne # 7917
• Różne
• Naprawiono powiązanie interfejsu w ntpd, więc nie błędnie nasłuchuje na wszystkich interfejsach # 8046
• Naprawiono problem polegający na tym, że ponowne uruchomienie usługi syslogd spowodowałoby, że sshlockout_pf przetworzyłby sieroty # 7984
• Dodano obsługę dostawcy dynamicznego DNS ClouDNS # 7823
• Naprawiono błąd na stronach User i Group Manager podczas pracy z wpisami natychmiast po usunięciu wpisu # 7733
• Zmieniono kreatora konfiguracji, aby pomijał konfigurację interfejsu po uruchomieniu instancji AWS EC2 nr 6459
• Naprawiono problem z proxy IGMP w trybie All-multicast na SG-1000 # 7710

Co nowego w wersji:

• Aktualizacje pulpitu nawigacyjnego:
• W panelu kontrolnym 2.3.4-RELEASE znajdziesz kilka dodatkowych informacji: dostawca systemu BIOS, wersja i data wydania - jeśli firewall może je określić - oraz unikalny identyfikator Netgate. Unikalny identyfikator Netgate jest podobny do numeru seryjnego, służy do jednoznacznej identyfikacji instancji oprogramowania pfSense dla klientów, którzy chcą zakupić usługi pomocy technicznej. W przypadku sprzętu sprzedawanego w naszym sklepie pozwala on również na powiązanie jednostek z naszymi rekordami produkcji. Ten identyfikator jest spójny na wszystkich platformach (bez ograniczeń, maszyn wirtualnych i hostowanych / chmurowych instancji, takich jak AWS / Azure). Pierwotnie zamierzaliśmy użyć numeru seryjnego sprzętu lub identyfikatora UUID wygenerowanego przez system operacyjny, ale okazało się, że były one niewiarygodne, niespójne i mogły się nieoczekiwanie zmienić po ponownym zainstalowaniu systemu operacyjnego.
• Podobnie jak w przypadku numeru seryjnego, ten identyfikator jest wyświetlany tylko na pulpicie nawigacyjnym w celach informacyjnych i domyślnie nie jest przesyłany automatycznie. W przyszłości klienci będą mogli używać tego identyfikatora, żądając informacji o wsparciu od naszych pracowników lub systemów.
• Jeśli nie zauważyłeś jeszcze zmian w wersji 2.3.x, zapoznaj się z filmem Funkcje i najważniejsze wydarzenia. Wcześniejsze posty na blogu omówiły niektóre zmiany, takie jak ulepszenia wydajności z tryforward i aktualizacja webGUI.
• Certyfikaty GUI zapory:
• Użytkownicy przeglądarki Chrome 58 i nowszych wersji, w niektórych przypadkach Firefox 48 i nowszych, mogą mieć problemy z dostępem do interfejsu GUI sieci Web pfSense, jeśli używa on domyślnego samopodpisanego certyfikatu wygenerowanego automatycznie przez zaporę sieciową z uruchomionym pfSense w wersji 2.3.3-p1 lub wcześniej. Wynika to z tego, że Chrome 58 ściśle egzekwuje specyfikację RFC 2818, która wymaga tylko pasujących nazw hostów przy użyciu wpisów SAN (Subject Alternative Name) zamiast pola Common Name (Nazwa pospolita) certyfikatu, a domyślny samopodpisany certyfikat nie wypełnia pola SAN.
• Poprawiliśmy kod certyfikatu tak, aby poprawnie działał zgodnie z RFC 2818 w sposób przyjazny dla użytkownika, automatycznie dodając wartość Common Name jako pierwszy wpis SAN.
• Administratorzy zapory będą musieli wygenerować nowy certyfikat do użycia przez GUI w celu wykorzystania nowego formatu. Istnieje kilka sposobów generowania zgodnego certyfikatu, w tym:
• Generuj i aktywuj nowy certyfikat GUI automatycznie z konsoli lub shella ssh, używając jednego z naszych skryptów odtwarzania:
• Odtwarzanie pfSsh.php generateguicert
• Wykorzystaj pakiet ACME do wygenerowania zaufanego certyfikatu dla GUI za pomocą Let's Encrypt, który jest już poprawnie sformatowany.
• Ręcznie utwórz nowy, samopodpisany urząd certyfikacji (CA) i certyfikat serwera podpisany przez ten urząd certyfikacji, a następnie użyj go dla GUI.
• Aktywuj lokalną przeglądarkę "EnableCommonNameFallbackForLocalAnchors & quot; w Chrome 58. To ustawienie zostanie ostatecznie usunięte przez Chrome, więc jest to tylko tymczasowa poprawka.
• Niektórzy użytkownicy mogą pamiętać, że nie jest to pierwszy problem z domyślnym formatem certyfikatu spowodowanym zmianami przeglądarki. Kilka lat temu Firefox zmienił sposób, w jaki obliczają łańcuchy zaufania certyfikatów, co może sprawić wrażenie, jakby przeglądarka wyglądała na zawieszoną lub zawieszoną podczas próby uzyskania dostępu do wielu zapór sieciowych z samopodpisanymi certyfikatami zawierającymi typowe dane domyślne, które spowodowały, że wszystkie takie certyfikaty zawierają ten sam temat. Naprawienie tego było większym wyzwaniem, ale skutkowało znacznie lepszym doświadczeniem użytkownika końcowego.

Co nowego w wersji 2.3.4:

• Aktualizacje pulpitu nawigacyjnego:
• W panelu kontrolnym 2.3.4-RELEASE znajdziesz kilka dodatkowych informacji: dostawca systemu BIOS, wersja i data wydania - jeśli firewall może je określić - oraz unikalny identyfikator Netgate. Unikalny identyfikator Netgate jest podobny do numeru seryjnego, służy do jednoznacznej identyfikacji instancji oprogramowania pfSense dla klientów, którzy chcą zakupić usługi pomocy technicznej. W przypadku sprzętu sprzedawanego w naszym sklepie pozwala on również na powiązanie jednostek z naszymi rekordami produkcji. Ten identyfikator jest spójny na wszystkich platformach (bez ograniczeń, maszyn wirtualnych i hostowanych / chmurowych instancji, takich jak AWS / Azure). Pierwotnie zamierzaliśmy użyć numeru seryjnego sprzętu lub identyfikatora UUID wygenerowanego przez system operacyjny, ale okazało się, że były one niewiarygodne, niespójne i mogły się nieoczekiwanie zmienić po ponownym zainstalowaniu systemu operacyjnego.
• Podobnie jak w przypadku numeru seryjnego, ten identyfikator jest wyświetlany tylko na pulpicie nawigacyjnym w celach informacyjnych i domyślnie nie jest przesyłany automatycznie. W przyszłości klienci będą mogli używać tego identyfikatora, żądając informacji o wsparciu od naszych pracowników lub systemów.
• Jeśli nie zauważyłeś jeszcze zmian w wersji 2.3.x, zapoznaj się z filmem Funkcje i najważniejsze wydarzenia. Wcześniejsze posty na blogu omówiły niektóre zmiany, takie jak ulepszenia wydajności z tryforward i aktualizacja webGUI.
• Certyfikaty GUI zapory:
• Użytkownicy przeglądarki Chrome 58 i nowszych wersji, w niektórych przypadkach Firefox 48 i nowszych, mogą mieć problemy z dostępem do interfejsu GUI sieci Web pfSense, jeśli używa on domyślnego samopodpisanego certyfikatu wygenerowanego automatycznie przez zaporę sieciową z uruchomionym pfSense w wersji 2.3.3-p1 lub wcześniej. Wynika to z tego, że Chrome 58 ściśle egzekwuje specyfikację RFC 2818, która wymaga tylko pasujących nazw hostów przy użyciu wpisów SAN (Subject Alternative Name) zamiast pola Common Name (Nazwa pospolita) certyfikatu, a domyślny samopodpisany certyfikat nie wypełnia pola SAN.
• Poprawiliśmy kod certyfikatu tak, aby poprawnie działał zgodnie z RFC 2818 w sposób przyjazny dla użytkownika, automatycznie dodając wartość Common Name jako pierwszy wpis SAN.
• Administratorzy zapory będą musieli wygenerować nowy certyfikat do użycia przez GUI w celu wykorzystania nowego formatu. Istnieje kilka sposobów generowania zgodnego certyfikatu, w tym:
• Generuj i aktywuj nowy certyfikat GUI automatycznie z konsoli lub shella ssh, używając jednego z naszych skryptów odtwarzania:
• Odtwarzanie pfSsh.php generateguicert
• Wykorzystaj pakiet ACME do wygenerowania zaufanego certyfikatu dla GUI za pomocą Let's Encrypt, który jest już poprawnie sformatowany.
• Ręcznie utwórz nowy, samopodpisany urząd certyfikacji (CA) i certyfikat serwera podpisany przez ten urząd certyfikacji, a następnie użyj go dla GUI.
• Aktywuj lokalną przeglądarkę "EnableCommonNameFallbackForLocalAnchors & quot; w Chrome 58. To ustawienie zostanie ostatecznie usunięte przez Chrome, więc jest to tylko tymczasowa poprawka.
• Niektórzy użytkownicy mogą pamiętać, że nie jest to pierwszy problem z domyślnym formatem certyfikatu spowodowanym zmianami przeglądarki. Kilka lat temu Firefox zmienił sposób, w jaki obliczają łańcuchy zaufania certyfikatów, co może sprawić wrażenie, jakby przeglądarka wyglądała na zawieszoną lub zawieszoną podczas próby uzyskania dostępu do wielu zapór sieciowych z samopodpisanymi certyfikatami zawierającymi typowe dane domyślne, które spowodowały, że wszystkie takie certyfikaty zawierają ten sam temat. Naprawienie tego było większym wyzwaniem, ale skutkowało znacznie lepszym doświadczeniem użytkownika końcowego.

Co nowego w wersji 2.3.3-p1:

• FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
• Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
• PHP do 5.6.26
• libidn do 1.33
• Zwinięcie do 7.50.3
• libxml2 do 2.9.4
• Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
• Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
• Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Poprawki "Dopasuj żądany format" w najnowszych wersjach Chrome. # 6762
• Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
• Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
• Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
• Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
• Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
• Naprawiono różne błędy literowe i słowne.
• Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
• Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
• Naprawiono nadmiarowy HTTP "User-Agent" ciąg w aktualizacjach DynDNS.
• Naprawiono czcionkę dla tabel do sortowania.
• Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
• Naprawiono brzmienie "Odrzuć dzierżawę od" opcja dla interfejsu DHCP (może przyjmować tylko adresy, nie podsieci). # 6646
• Naprawiono raportowanie błędów dla testu ustawień SMTP.
• Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
• Naprawiono sprawdzanie nieprawidłowych & quot; Przejdź do linii & quot; numery na diag_edit.php. # 6704
• Naprawiono błąd "jeden po drugim" za pomocą "Rzędów do wyświetlenia" na diag_routes.php. # 6705
• Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
• Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
• Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
• Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
• Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
• Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
• Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
• Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
• Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
• Dodano "-C / dev / null" do parametrów linii poleceń dnsmasq, aby uniknąć pobrania nieprawidłowej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
• Dodano "-l" do traceroute6, aby pokazać adresy IP i nazwy hostów podczas rozwiązywania chmielu w diag_traceroute.php. # 6715
• Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
• Sklarowany język na diag_tables.php. # 6713
• Oczyściłem tekst na diag_sockets.php. # 6708
• Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
• Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
• Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
• Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
• Poprawiono obsługę pidfile dla dhcpleases.
• Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
• Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu na wychodzącym NAT.
• Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
• Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
• Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", stałe "vpn". aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
• Zmieniono ikony uruchamiania / zatrzymywania usługi.
• Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
• Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.3:

• FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
• Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
• PHP do 5.6.26
• libidn do 1.33
• Zwinięcie do 7.50.3
• libxml2 do 2.9.4
• Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
• Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
• Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Usunięte błędy "Dopasuj wymagany format" w najnowszych wersjach Chrome. # 6762
• Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
• Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
• Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
• Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
• Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
• Naprawiono różne błędy literowe i słowne.
• Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
• Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
• Naprawiono redundantny ciąg "użytkownika użytkownika" HTTP w aktualizacjach DynDNS.
• Naprawiono czcionkę dla tabel do sortowania.
• Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
• Naprawiono treść opcji "Odrzuć dzierżawę od" dla interfejsu DHCP (może ona przyjmować tylko adresy, a nie podsieci). # 6646
• Naprawiono raportowanie błędów dla testu ustawień SMTP.
• Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
• Naprawiono sprawdzanie nieprawidłowych numerów "Go To Line" na diag_edit.php. # 6704
• Naprawiono błąd "off-by-one-one" z "Rows to Display" na diag_routes.php. # 6705
• Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
• Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
• Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
• Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
• Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
• Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
• Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
• Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
• Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
• Dodano "-C / dev / null" do parametrów wiersza poleceń dnsmasq, aby uniknąć wychwycenia niepoprawnej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
• Dodano "-l" do traceroute6, aby wyświetlać zarówno adresy IP, jak i nazwy hostów podczas rozwiązywania przeskoków w diag_traceroute.php. # 6715
• Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
• Sklarowany język na diag_tables.php. # 6713
• Oczyściłem tekst na diag_sockets.php. # 6708
• Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
• Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
• Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
• Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
• Poprawiono obsługę pidfile dla dhcpleases.
• Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
• Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu wychodzącego NAT.
• Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
• Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
• Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", naprawiono "vpn", aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
• Zmieniono ikony uruchamiania / zatrzymywania usługi.
• Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
• Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.2-p1:

• FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
• Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
• PHP do 5.6.26
• libidn do 1.33
• Zwinięcie do 7.50.3
• libxml2 do 2.9.4
• Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
• Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
• Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Usunięte błędy "Dopasuj wymagany format" w najnowszych wersjach Chrome. # 6762
• Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
• Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
• Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
• Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
• Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
• Naprawiono różne błędy literowe i słowne.
• Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
• Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
• Naprawiono redundantny ciąg "użytkownika użytkownika" HTTP w aktualizacjach DynDNS.
• Naprawiono czcionkę dla tabel do sortowania.
• Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
• Naprawiono treść opcji "Odrzuć dzierżawę od" dla interfejsu DHCP (może ona przyjmować tylko adresy, a nie podsieci). # 6646
• Naprawiono raportowanie błędów dla testu ustawień SMTP.
• Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
• Naprawiono sprawdzanie nieprawidłowych numerów "Go To Line" na diag_edit.php. # 6704
• Naprawiono błąd "off-by-one-one" z "Rows to Display" na diag_routes.php. # 6705
• Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
• Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
• Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
• Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
• Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
• Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
• Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
• Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
• Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
• Dodano "-C / dev / null" do parametrów wiersza poleceń dnsmasq, aby uniknąć wychwycenia niepoprawnej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
• Dodano "-l" do traceroute6, aby wyświetlać zarówno adresy IP, jak i nazwy hostów podczas rozwiązywania przeskoków w diag_traceroute.php. # 6715
• Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
• Sklarowany język na diag_tables.php. # 6713
• Oczyściłem tekst na diag_sockets.php. # 6708
• Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
• Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
• Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
• Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
• Poprawiono obsługę pidfile dla dhcpleases.
• Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
• Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu wychodzącego NAT.
• Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
• Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
• Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", naprawiono "vpn", aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
• Zmieniono ikony uruchamiania / zatrzymywania usługi.
• Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
• Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.2:

• Kopia zapasowa / przywracanie:
• Nie zezwalaj na stosowanie zmian w przypadku niezgodnego interfejsu podczas odtwarzania po konfiguracji, dopóki nie zostanie zapisane ponowne przypisanie. # 6613
• Pulpit nawigacyjny:
• Pulpit nawigacyjny ma teraz opcje konfiguracji dla poszczególnych użytkowników udokumentowane w Menedżerze użytkowników. # 6388
• Serwer DHCP:
• Wyłączony próg cache-cache, aby uniknąć błędów w ISC dhcpd 4.3.x pomijając nazwę hosta klienta z pliku dzierżawy, co powoduje, że dynamiczna rejestracja nazwy hosta kończy się niepowodzeniem w niektórych przypadkach. # 6589
• Zauważ, że klucz DDNS musi być HMAC-MD5. # 6622
• Przekaźnik DHCP:
• Zaimportowana poprawka dla żądań przekazywania dhcrelay na interfejsie, w którym znajduje się docelowy serwer DHCP. # 6355
• Dynamiczny DNS:
• Zezwól * na nazwę hosta za pomocą Namecheap. # 6260
• Interfejsy:
• Napraw "nie może przypisać żądanego adresu" podczas uruchamiania z interfejsami track6. # 6317
• Usuń przestarzałe opcje linków z GRE i gif. # 6586, # 6587
• Obey "Odrzuć dzierżawę od" kiedy DHCP "Zaawansowane opcje" jest zaznaczone. # 6595
• Chronić ograniczniki w zaawansowanej konfiguracji klienta DHCP, aby można było używać tam przecinków. # 6548
• Naprawiono domyślną trasę dla interfejsów PPPoE, która nie występuje w niektórych przypadkach brzegowych. # 6495
• IPsec:
• strongSwan został uaktualniony do wersji 5.5.0.
• Włącz agresywny w ipsec.conf, w którym jest wybrany tryb automatyczny IKE. # 6513
• Monitorowanie bramy:
• Naprawiono "zbyt dużą nazwę gniazda" uniemożliwiającą monitorowanie bramy w przypadku długich nazw interfejsów i adresów IPv6. # 6505
• Ograniczniki:
• Ustaw pipe_slot_limit automatycznie na maksymalną skonfigurowaną wartość qlimit. # 6553
• Monitorowanie:
• Naprawiono brak okresów danych zgłaszanych jako 0, średnie skośne. # 6334
• Naprawiono wyświetlanie podpowiedzi jako "brak" dla niektórych wartości. # 6044
• Naprawiono zapisywanie niektórych domyślnych opcji konfiguracyjnych. # 6402
• Napraw tyknięcia osi X, które nie reagują na rozdzielczość w niestandardowych odstępach czasu. # 6464
• OpenVPN:
• Ponownie zsynchronizuj określone konfiguracje klienta po zapisaniu wystąpień serwera OpenVPN, aby upewnić się, że ich ustawienia odzwierciedlają bieżącą konfigurację serwera. # 6139
• System operacyjny:
• Naprawiono brak fragmentacji fragmentów pf, wyzwalając "osiągnięty limit pozycji fragmentu PF". # 6499
• Ustaw lokalizację pliku rdzenia, aby nie można było jej znaleźć w / var / run i wyczerpać dostępną przestrzeń. # 6510
• Naprawiono "dziennik runtime cofnięto" log spam w Hyper-V. # 6446
• Naprawiono traceroute6 zawiesza się przy braku odpowiedzi na chmurę. # 3069
• Dodano symboliczne połączenie /var/run/dmesg.boot dla vm-bhyve. # 6573
• Ustaw net.isr.dispatch = bezpośrednio w systemach 32-bitowych z włączonym IPsec, aby zapobiec awariom podczas uzyskiwania dostępu do usług na hoście za pośrednictwem VPN. # 4754
• Ogłoszenia o routerach:
• Dodano pola konfiguracji dla minimalnych i maksymalnych interwałów anonsów routera i czasu życia routera. # 6533
• Routing:
• Naprawiono trasy statyczne z lokalnym routerem docelowym łącza IPv6, aby uwzględnić zasięg interfejsu. # 6506
• Reguły / NAT:
• Naprawiono symbol zastępczy "Klient PPPoE" w regułach i translacji NAT oraz błąd zestawu reguł, gdy używane są reguły zmienne określające serwer PPPoE. # 6597
• Naprawiono błąd ładowania zestawu reguł za pomocą adresów URL URL, gdzie określono pusty plik. # 6181
• Naprawiono proxy TFTP z xinetd. # 6315
• Aktualizacja:
• Naprawiono awarie aktualizacji nanobsd, w których narzędzie DNS Forwarder / Resolver nie jest powiązane z localhostem. # 6557
• Wirtualne adresy IP:
• Naprawiono problemy z wydajnością w przypadku dużej liczby wirtualnych adresów IP. # 6515
• Naprawiono wyczerpywanie pamięci PHP na stronie statusu CARP z dużymi tabelami stanu. # 6364
• Interfejs internetowy:
• Dodano sortowanie do tabeli statycznych mapowań DHCP. # 6504
• Naprawiono przesyłanie plików w sekundach przestępnych NTP. # 6590
• Dodano obsługę IPv6 do diag_dns.php. # 6561
• Dodano obsługę IPv6 do filtrowania dzienników wyszukiwania wstecznego. # 6585
• System pakietów - zachowaj dane pola na temat błędu wejścia. # 6577
• Naprawiono wiele problemów dotyczących sprawdzania poprawności danych wejściowych IPv6, umożliwiając nieprawidłowe adresy IPv6. # 6551, # 6552
• Naprawiono brak niektórych dzierżaw DHCPv6 z wyświetlania dzierżaw GUI. # 6543
• Naprawiono stanowe zabijanie dla kierunku "w" i stany z przetłumaczonym miejscem docelowym. # 6530, # 6531
• Przywróć sprawdzanie poprawności wejściowych nazw stref portalu przechwytującego, aby zapobiec nieprawidłowemu kodowi XML. # 6514
• Zmieniono wybór daty w kalendarzu w menedżerze użytkowników na taki, który działa w przeglądarkach innych niż Chrome i Opera. # 6516
• Przywrócono pole portu proxy do klienta OpenVPN. # 6372
• Wyjaśnij opis aliasów portów. # 6523
• Naprawiono wynik tłumaczenia, w którym gettext przekazał pusty ciąg. # 6394
• Naprawiono wybór prędkości dla 9600 w konfiguracji NTP GPS. # 6416
• Zezwalaj na IPv6 IP na ekranie NPT. # 6498
• Dodaj obsługę importowania aliasu dla sieci i portów. # 6582
• Naprawiono sortowanie nagłówków tabeli, które można sortować. # 6074
• Wyczyść sekcję uruchamiania sieciowego na ekranie serwera DHCP. # 6050
• Napraw linki "NIEZNANE" w menedżerze pakietów. # 6617
• Napraw brakujące pole pasma dla kolejek CBQ zmieniających ruch. # 6437
• UPnP:
• Adres URL prezentacji UPnP i numer modelu są teraz konfigurowalne. # 6002
• Menedżer użytkowników:
• Nie zezwalaj administratorom na usuwanie własnych kont w menedżerze użytkowników. # 6450
• Inne:
• Dodano sesje powłoki PHP, aby włączyć i wyłączyć stały tryb konserwacji CARP. "playback enablecarpmaint" i "playback disablecarpmaint". # 6560
• Odsłonięta konfiguracja konsoli szeregowej dla VGA nanobasków. # 6291

Co nowego w wersji 2.3.1 Aktualizacja 5:

• Najważniejsze zmiany w tym wydaniu to przeróbka webGUI wykorzystującego Bootstrap, a podstawowy system, w tym system podstawowy i jądro, jest konwertowany całkowicie na pkg FreeBSD. Konwersja pkg umożliwia aktualizację pojedynczych elementów systemu zamiast monolitycznych aktualizacji z przeszłości. Przekonwertowanie webGUI przynosi nowy, responsywny wygląd i działanie pfSense, wymagające minimalnej zmiany rozmiaru lub przewijania na szerokiej gamie urządzeń, od komputerów stacjonarnych po telefony komórkowe.

Co nowego w wersji 2.2.6 / 2.3 Alpha:

• pfSense-SA-15_09.webgui: Luka w zabezpieczeniach związanej z włączaniem lokalnego pliku w pfSense WebGUI
• pfSense-SA-15_10.captiveportal: Luka SQL Injection w wylogowaniu portalu PFSense
• pfSense-SA-15_11.webgui: Luki w zabezpieczeniach XSS i CSRF w interfejsie internetowym pfSense
• Zaktualizowano do FreeBSD 10.1-RELEASE-p25
• FreeBSD-SA-15: 26.openssl Wiele luk w OpenSSL
• Zaktualizowano strongSwan do wersji 5.3.5_2
• Obejmuje naprawę usterki uwierzytelniania CVE-2015-8023 w wtyczce eap-mschapv2.

Co nowego w wersji 2.2.5 / 2.3 Alpha:

• pfSense-SA-15_08.webgui: Wiele zapisanych luk w XSS w pfSense WebGUI
• Zaktualizowano do FreeBSD 10.1-RELEASE-p24:
• FreeBSD-SA-15: 25.ntp Wiele luk w NTP [REVISED]
• FreeBSD-SA-15: 14.bsdpatch: Z powodu niewystarczającej dezynfekcji strumienia wejściowych poprawek, plik łatki może spowodować, że łatka (1) będzie uruchamiać polecenia oprócz pożądanych poleceń SCCS lub RCS. / li>
• FreeBSD-SA-15: 16.openssh: Klient OpenSSH nieprawidłowo sprawdza rekordy DNS SSHFP, gdy serwer oferuje certyfikat. CVE-2014-2653 Serwery OpenSSH skonfigurowane w celu umożliwienia uwierzytelniania za pomocą hasła przy użyciu PAM (domyślnie) pozwoliłyby na wiele prób podania hasła.
• FreeBSD-SA-15: 18.bsdpatch: Ze względu na niewystarczającą dezynfekcję strumienia wejściowych poprawek, możliwe jest, że plik łaty powoduje, że łatka (1) przekazuje określone ed (1) do edytora (1) edytor, który uruchamiałby polecenia.
• FreeBSD-SA-15: 20.expat: Wiele błędów przepełnienia liczby całkowitej zostało odkrytych w funkcji XML_GetBuffer () w bibliotece expatów.
• FreeBSD-SA-15: 21.amd64: Jeśli instrukcja IRET trybu jądra generuje wyjątek #SS lub #NP, ale obsługa wyjątku nie zapewnia właściwego przeładowania właściwej podstawy rejestru GS ​​dla jądra segment GS przestrzeni użytkownika może być używany w kontekście obsługi wyjątków jądra.
• FreeBSD-SA-15: 22.openssh: Błąd programowania w uprzywilejowanym procesie monitorowania usługi sshd (8) może umożliwić nadpisanie nazwy użytkownika już uwierzytelnionego użytkownika przez nieuprzywilejowany proces potomny. Błąd użycia po zwolnieniu w procesie uprzywilejowanego monitorowania usługi sshd (8) może być deterministycznie wywołany działaniami skompromitowanego nieuprzywilejowanego procesu podrzędnego. Błąd użycia po błędzie w kodzie multipleksowania sesji w usłudze sshd (8) może spowodować niezamierzone zakończenie połączenia.

Co nowego w wersji 2.2.4:

• pfSense-SA-15_07.webgui: Wielokrotne problemy z XSS w pfSense WebGUI
• Pełna lista dotkniętych stron i pól znajduje się w połączonym pliku SA.
• FreeBSD-SA-15: 13.tcp: wyczerpanie zasobów z powodu sesji zablokowanych w stanie LAST_ACK. Należy zauważyć, że dotyczy to tylko scenariuszy, w których porty nasłuchujące na pfSense (nie rzeczy przekazywane przez NAT, routing lub mostowanie) są otwierane do niezaufanych sieci. Nie dotyczy to konfiguracji domyślnej.
• Uwaga: FreeBSD-SA-15: 13.openssl nie ma zastosowania do pfSense. pfSense nie zawierało podatnej wersji OpenSSL, a zatem nie było podatne na ataki.
• Kolejne poprawki do uszkodzenia pliku w różnych przypadkach podczas nieczystego wyłączania (awarie, utrata zasilania itd.). # 4523
• Naprawiono pw w FreeBSD, aby zająć się korupcją passwd / group
• Naprawiono pisanie pliku config.xml, aby prawidłowo używać fsync, aby uniknąć sytuacji, w których może się to okazać puste. # 4803
• Usunięto opcję "synchronizacji" z systemów plików w przypadku nowych pełnych instalacji i pełnych aktualizacji po zainstalowaniu prawdziwej poprawki.
• Usunięto miękkie aktualizacje i rejestrowanie (AKA SU + J) z NanoBSD, pozostają one w pełnej instalacji. # 4822
• Poprawka forceync dla # 2401 nadal jest uważana za szkodliwą dla systemu plików i została zachowana. W związku z tym NanoBSD może być zauważalnie wolniejszy na niektórych wolniejszych dyskach, zwłaszcza na kartach CF iw mniejszym stopniu na kartach SD. Jeśli jest to problem, system plików może być stale zapisywany i zapisywany za pomocą opcji w Diagnostics & gt; NanoBSD. Przy innych powyższych zmianach ryzyko jest minimalne. Zalecamy zastąpienie uszkodzonego nośnika CF / SD nową, szybszą kartą tak szybko, jak to możliwe. # 4822
• Upgrade PHP do wersji 5.5.27 w celu rozwiązania CVE-2015-3152 # 4832
• Zmniejszono czas logowania SSH LoginGraceTime z 2 minut do 30 sekund, aby złagodzić wpływ błędu pomijania MaxAuthTries. Uwaga Sshlockout zablokuje obrażanie adresów IP we wszystkich poprzednich, bieżących i przyszłych wersjach. # 4875

Co nowego w wersji 2.2.3:

• pfSense-SA-15_06.webgui: Luki w XSS w pfSense WebGUI
• Pełna lista stron i pól, których dotyczy problem, jest duża i wszystkie są wymienione w połączonym pliku SA.
• FreeBSD-SA-15: 10.openssl: Wiele usterek OpenSSL (w tym Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Co nowego w wersji 2.2.2:

• Ta wersja zawiera dwie aktualizacje zabezpieczeń o niskim ryzyku:
• FreeBSD-SA-15: 09.ipv6: Odmowa usługi z ogłoszeniami routera IPv6. Gdy system używa typu WAN protokołu DHCPv6, urządzenia w tej samej domenie rozgłoszeniowej, co w sieci WAN, mogą wysyłać spreparowane pakiety, co powoduje utratę połączenia internetowego IPv6.
• FreeBSD-SA-15: 06.openssl: Wiele usterek OpenSSL. Większość nie ma zastosowania, a najgorszym skutkiem jest odmowa usługi.

Co nowego w wersji 2.2.1:

• Poprawki bezpieczeństwa:
• pfSense-SA-15_02.igmp: Integer overflow w protokole IGMP (FreeBSD-SA-15: 04.igmp)
• pfSense-SA-15_03.webgui: Luki w zabezpieczeniach XSS w pfSense WebGUI
• pfSense-SA-15_04.webgui: Luka w usuwaniu dowolnego pliku w interfejsie internetowym pfSense
• FreeBSD-EN-15: 01.vt: vt (4) awaria z niepoprawnymi parametrami ioctl
• FreeBSD-EN-15: 02.openssl: Aktualizuj, aby dołączyć poprawki niezawodnościowe z OpenSSL
• Uwaga dotycząca luki OpenSSL "FREAK":
• Nie wpływa na konfigurację serwera WWW na zaporze, ponieważ nie ma włączonych szyfrów eksportu.
• pfSense 2.2 zawiera już OpenSSL 1.0.1k, który rozwiązał problem ze stroną klienta.
• Jeśli pakiety zawierają serwer WWW lub podobny komponent, taki jak serwer proxy, może to wpłynąć na niewłaściwą konfigurację użytkownika. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją pakietu lub forum.

Co nowego w wersji 2.2:

• Ta wersja wprowadza ulepszenia w zakresie wydajności i obsługi sprzętu z bazy FreeBSD 10.1, a także ulepszenia, które dodaliśmy, takie jak AES-GCM z akceleracją AES-NI, wśród wielu innych nowych funkcji i poprawek.
• W trakcie dojścia do wersji zamknęliśmy 392 bilety (liczba ta zawiera 55 funkcji lub zadań), naprawiono 135 błędów mających wpływ na wersję 2.1.5 i wcześniejsze, naprawiono 202 błędy wprowadzone w wersji 2.2, przesuwając bazę Wersja OS z FreeBSD 8.3 do 10.1, zmiana demonów kluczowania IPsec z racoon na strongSwan, aktualizacja backendu PHP do wersji 5.5 i przełączenie go z FastCGI na PHP-FPM i dodanie Unbound DNS Resolver oraz wiele mniejszych zmian.
• Ta wersja zawiera cztery mało skuteczne poprawki zabezpieczeń:
• Aktualizacja openssl dla FreeBSD-SA-15: 01.openssl
• Wiele błędów XSS w interfejsie internetowym. pfSense-SA-15_01
• Aktualizacja OpenVPN dla CVE-2014-8104
• Aktualizacja NTP FreeBSD-SA-14: 31.ntp - choć te okoliczności nie mają wpływu na pfSense.

Co nowego w wersji 2.1.4:

• Poprawki bezpieczeństwa:
• pfSense-SA-14_07.openssl
• FreeBSD-SA-14: 14.openssl
• pfSense-SA-14_08.webgui
• pfSense-SA-14_09.webgui
• pfSense-SA-14_10.webgui
• pfSense-SA-14_11.webgui
• pfSense-SA-14_12.webgui
• pfSense-SA-14_13.packages
• Pakiety miały również własne niezależne poprawki i wymagają aktualizacji. Podczas procesu aktualizacji oprogramowania układowego pakiety zostaną poprawnie zainstalowane. W przeciwnym razie odinstaluj, a następnie ponownie zainstaluj pakiety, aby upewnić się, że jest używana najnowsza wersja plików binarnych.
• Inne poprawki:
• Poprawka problemu wycieku pipeningu portalu przechwytującego, która prowadzi do osiągnięcia maksymalnego loginu na portalu przechwytującym. # 3062
• Usuń tekst niezwiązany z dozwolonymi adresami IP w portalu przechwytującym. # 3594
• Usuń jednostki z serii, ponieważ jest zawsze określone w bajtach. (Per ipfw (8)).
• Dodaj kolumnę dla portu wewnętrznego na stronie statusu UPnP.
• Korzystaj z interfejsu nasłuchiwania, a nie opcji IP opcjonalnie dla UPnP.
• Napraw podświetlanie wybranych reguł. # 3646
• Dodaj guiconfig do widżetów, które go nie zawierają. # 3498
• / etc / version_kernel i / etc / version_base już nie istnieją, zamiast tego użyj php_uname, aby pobrać wersję do sprawdzenia XMLRPC.
• Napraw zmienną literówkę. # 3669
• Usuń wszystkie aliasy IP, gdy interfejs jest wyłączony. # 3650
• Prawidłowe przetwarzanie zmiany nazwy archiwum RRD podczas aktualizacji i błędów blokowania szumów, jeśli się nie powiedzie.
• Konwertuj protokół ssl: // na https: // podczas tworzenia nagłówków HTTP dla XMLRPC.
• Pokaż wyłączone interfejsy, gdy były już częścią grupy interfejsów. Zapobiega to wyświetlaniu losowego interfejsu i pozwala użytkownikowi dodać go przez pomyłkę. # 3680
• Dyrektywa client-config-dir dla OpenVPN jest również przydatna podczas korzystania z wewnętrznego DHCP OpenVPN podczas mostkowania, więc dodaj także w tym przypadku.
• Użyj curl zamiast pobierania, aby pobrać pliki aktualizacji. # 3691
• Zmienna Escape przed przejściem do powłoki z stop_service ().
• Dodaj ochronę do parametrów, które przychodzą przez _GET w zarządzaniu usługami.
• Escape argument przy wywołaniu funkcji is_process_running, usuwa także niektóre niepotrzebne wywołania mwexec ().
• Nie zezwalaj na to, aby nazwa grupy interfejsu była większa niż 15 znaków. # 3208
• Bądź dokładny, aby dopasować członków interfejsu mostu, powinien on naprawić # 3637
• Nie wygasaj już wyłączonych użytkowników, naprawia # 3644
• Sprawdź poprawność czasu rozpoczęcia i czasu zatrzymania na firewall_schedule_edit.php
• Zachowaj ostrożność przy parametrze hosta w diag_dns.php i upewnij się, że jest on chroniony przed wywołaniem funkcji powłoki połączenia
• Parametry escape przekazywane do shell_exec () w diag_smart.php i gdzie indziej
• Upewnij się, że zmienne zostały usunięte / odkażone na status_rrd_graph_img.php
• Zamień wywołania exec, aby uruchomić rm przez unlink_if_exists () na status_rrd_graph_img.php
• Zastąp wszystkie wywołania `hostname` przez php_uname (& ns; n) na status_rrd_graph_img.php
• Zastąp wszystkie wywołania `date` przez strftime () na status_rrd_graph_img.php
• Dodaj $ _gb, aby zebrać potencjalnie śmieci z exec return na status_rrd_graph_img.php
• Unikaj przechodzenia do katalogu w pliku pkg_edit.php podczas odczytywania plików pakietu xml, sprawdź również, czy plik istnieje przed próbą jego przeczytania
• Usuń id = 0 z menu miniupnpd i skrótu
• Usuń. i / z nazwy pkg, aby uniknąć przejścia do katalogu w pkg_mgr_install.php
• Napraw zrzut główny podczas przeglądania nieprawidłowego dziennika pakietów
• Unikaj przechodzenia do katalogu w system_firmware_restorefullbackup.php
• Ponownie wygeneruj identyfikator sesji po pomyślnym zalogowaniu, aby uniknąć naprawy sesji
• Zabezpiecz parametry rssfeed za pomocą htmlspecialchars () w rss.widget.php
• Zabezpiecz parametr servicestatusfilter za pomocą htmlspecialchars () w pliku services_status.widget.php
• Zawsze ustawiaj atrybut httponly w plikach cookie
• Set & lsquo; Wyłącz autouzupełnianie autouzupełniania w programie WebConfigurator "jak domyślnie dla nowych instalacji
• Uprość logikę, dodaj trochę ochrony do parametrów wejściowych użytkownika na log.widget.php
• Upewnij się, że pojedyncze cudzysłowy są kodowane i unikaj wstrzykiwania javascript na exec.php
• Dodaj brakujące protokoły NAT w firewall_nat_edit.php
• Usuń dodatkowe dane po spacji w DSCP i popraw składnię reguły pf. # 3688
• Uwzględnij tylko zaplanowaną regułę, jeśli jest ściśle przed końcem czasu. # 3558

Co nowego w wersji 2.1.1:

• Największa zmiana polega na zamknięciu następujących problemów bezpieczeństwa / CVE:
• FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
• FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
• FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
• Poza tym, sterowniki em / igb / ixgb / ixgbe zostały uaktualnione, aby dodać obsługę kart sieciowych i210 i i354. Niektóre karty sieciowe Intel 10Gb Ethernet również uzyskają lepszą wydajność.