pfSense

Screenshot Software:
pfSense
Szczegóły programowe:
Wersja: 2.4.3-p1 Aktualizowane
Filmu: 22 Jun 18
Wywoływacz: Scott Ullrich
Licencja: Wolny
Popularność: 2697

Rating: 3.8/5 (Total Votes: 9)

pfSense i reg; to swobodnie dystrybuowany i otwarty system operacyjny BSD wywodzący się z dobrze znanego projektu m0n0wall, ale z radykalnie innymi celami, takimi jak filtr pakietów i najnowsze technologie FreeBSD.

Projekt może być używany zarówno jako router, jak i firewall. Obejmuje on system pakietów, który pozwala administratorom systemu łatwo rozszerzyć produkt bez dodawania potencjalnych luk w zabezpieczeniach i powiększania do dystrybucji podstawowej.


Funkcje na pierwszy rzut oka

Najważniejsze funkcje obejmują najnowocześniejszą zaporę ogniową, równoważenie obciążenia przychodzącego / wychodzącego, tablicę stanów, NAT (translacja adresów sieciowych), wysoką dostępność, VPN (Virtual Private Network) z obsługą IPsec, PPTP i OpenVPN, PPPoE serwer, Dynamic DNS, portal przechwytujący, raportowanie i monitorowanie.

Jest to aktywnie opracowany system operacyjny zapory, dystrybuowany w postaci zarchiwizowanej archiwum Gz Live CD i obrazów ISO instalujących tylko pamięć USB, instalatorów pamięci USB, a także NanoBSD / wbudowanych nośników. Obecnie obsługiwane są 64-bitowe (amd64) i 32-bitowe (i386) platformy sprzętowe.

Kilka wstępnie zdefiniowanych opcji rozruchu jest dostępnych podczas procesu rozruchu, takich jak uruchomienie systemu operacyjnego z ustawieniami domyślnymi, wyłączenie interfejsu ACPI, używanie urządzeń USB, w trybie awaryjnym, w trybie pojedynczego użytkownika, z pełnym rejestrowaniem, a także uzyskaj dostęp do powłoki lub zrestartuj maszynę.


Pierwsze kroki z pfSense & reg;

Podczas gdy dystrybucja zapyta użytkowników, czy chcą skonfigurować sieci VLAN (Virtual LAN) od początku, będzie wymagać co najmniej jednego przypisanego interfejsu sieciowego do działania. Oznacza to, że jeśli nie masz / skonfigurowałeś co najmniej jednego interfejsu, pfSense & reg; nawet nie zaczął.

Używanie jako zapory ogniowej dla małych sieci domowych, uniwersytetów, dużych korporacji lub każdej innej organizacji, w której potrzeba ochrony tysięcy urządzeń sieciowych jest niezwykle ważna, pfSense & reg; został pobrany przez ponad milion użytkowników z całego świata od samego początku.


Dolna linia

Jest to jeden z najlepszych projektów zapory typu open source zaprojektowanych tak, aby zapewniał użytkownikom wszystkie funkcje oferowane przez komercyjne zapory ogniowe. Dzisiaj, pfSense & reg; jest używany w wielu zaporach sprzętowych, w tym Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall lub Watchguard.

pfSense & reg; jest zastrzeżonym znakiem towarowym i znakiem usługowym należącym do Electric Sheep Fencing LLC. Zobacz www.electricsheepfencing.com.

Co nowego w tej wersji:

  • Bezpieczeństwo / Errata
  • Zaktualizowano do OpenSSL 1.0.2m, aby adresować CVE-2017-3736 i CVE-2017-3735
  • FreeBSD-SA-17: 10.kldstat
  • FreeBSD-SA-17: 08.ptrace
  • Naprawiono potencjalny wektor XSS w status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
  • Naprawiono potencjalny wektor XSS w diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
  • Naprawiono potencjalny wektor XSS na index.php za pomocą parametrów sekwencji widżetów # 8000 pfSense-SA-17_09.webgui.asc
  • Naprawiono potencjalny XSS w parametrze widgetkey widgetów pulpitu nawigacyjnego z wieloma instancjami # 7998 pfSense-SA-17_09.webgui.asc
  • Naprawiono potencjalny problem związany z klikaniem na stronie błędu CSRF
  • Interfejsy
  • Naprawiono interfejsy PPP z rodzicem VLAN podczas korzystania z nowych nazw VLAN # 7981
  • Naprawiono problemy z interfejsami QinQ, które nie wyświetlały się jako aktywne # 7942
  • Naprawiono panikę / awarię podczas wyłączania interfejsu LAGG nr 7940
  • Naprawiono problemy z interfejsami LAGG, tracąc swój adres MAC # 7928
  • Naprawiono awarię radvd na SG-3100 (ARM) # 8022
  • Naprawiono problem z kroplami pakietów UDP na SG-1000 # 7426
  • Dodano interfejs do zarządzania wbudowanym przełącznikiem SG-3100
  • Przycięto więcej znaków poza opis interfejsu, aby uniknąć zawijania linii wyjściowej menu konsoli na konsoli VGA
  • Naprawiono obsługę parametru uniqueid VIP podczas zmiany typów VIP
  • Naprawiono wyświetlanie pola parametrów połączenia PPP po wybraniu interfejsu macierzystego VLAN # 8098
  • System operacyjny
  • Naprawiono problemy wynikające z posiadania ręcznie skonfigurowanego układu systemu plików z osobnym plasterkiem / usr # 8065
  • Naprawiono problemy z aktualizacją systemów ZFS, które utworzyły ZFS przy użyciu schematu partycji MBR (puste / rozruchowe, ponieważ bootpool nie jest importowany) # 8063
  • Naprawiono problemy z sesjami BGP wykorzystującymi sygnatury MD5 TCP w pakietach demonów routingu # 7969
  • Zaktualizowany program do wersji 3.0
  • Udoskonalono wybory i metody wyboru repozytorium aktualizacji
  • Zaktualizował systemowe sygnały, które informują system operacyjny, że nie zbiera danych z przerwań, interfejsów typu punkt-punkt i urządzeń Ethernet, które odzwierciedlają nową nazwę / format dla FreeBSD 11
  • Zmieniono przetwarzanie zestawu reguł, tak aby sprawdzał, czy inny proces jest w trakcie aktualizacji, zamiast przedstawiać błąd użytkownikowi
  • Naprawiono niektóre problemy z uruchamianiem UEFI na różnych platformach
  • Certyfikaty
  • Naprawiono nieprawidłowe wpisy w /etc/ssl/openssl.cnf (dotyczyło to tylko niestandardowego użycia openssl w cli / powłoce) # 8059
  • Naprawiono uwierzytelnianie LDAP, gdy serwer wykorzystuje globalnie zaufany główny urząd certyfikacji (nowy wybór CA dla "globalnej głównej listy urzędu certyfikacji") # 8044
  • Naprawiono problemy z tworzeniem certyfikatu za pomocą wieloznacznego kodu CN / SAN # 7994
  • Dodano funkcję sprawdzania poprawności do Menedżera certyfikatów, aby zapobiec importowaniu certyfikatu instytucji niebędącej certyfikatem do karty urzędu certyfikacji # 7885
  • IPsec
  • Naprawiono problem z używaniem certyfikatów urzędu certyfikacji IPsec, gdy temat zawiera wiele nazw RDN tego samego typu # 7929
  • Naprawiono problem z włączaniem obsługi klienta mobilnego IPsec w językach przetłumaczonych # 8043
  • Naprawiono problemy z wyświetlaniem / wyprowadzaniem statusu IPsec, w tym wieloma wpisami (jeden rozłączony, jeden podłączony) # 8003
  • Naprawiono wyświetlanie wielu połączonych klientów mobilnego IPsec # 7856
  • Naprawiono wyświetlanie wpisów podrzędnych SA # 7856
  • OpenVPN
  • Dodano opcję dla serwerów OpenVPN, aby wykorzystywać "bramę przekierowania ipv6". działać jako domyślna brama do łączenia klientów VPN z IPv6, podobnie do "bramy przekierowania def1" dla IPv4. # 8082
  • Naprawiono opcję listy cofania certyfikatów klienta OpenVPN # 8088
  • Kształtowanie ruchu
  • Naprawiono błąd podczas konfigurowania ogranicznika ponad 2 Gb / s (nowe maks. 4 Gb / s) # 7979
  • Naprawiono problemy z interfejsami sieci pomostowej nie obsługującymi ALTQ # 7936
  • Naprawiono problemy z interfejsami sieciowymi vtnet nie obsługującymi ALTQ # 7594
  • Naprawiono problem z Stan & gt; Kolejki nie wyświetlające statystyk dla interfejsów VLAN # 8007
  • Naprawiono problem związany z kolizjami kształtującymi natężenie ruchu, który nie pozwalał na obsłużenie wszystkich kolejek podrzędnych w 100%. # 7786
  • Naprawiono problem z ogranicznikami, które podały nieprawidłowe wartości ułamkowe / niecałkowite z wpisów ogranicznika lub przekazały do ​​portalu przechwytującego z RADIUS # 8097
  • Reguły / NAT
  • Naprawiono wybór bramek IPv6 podczas tworzenia nowej reguły zapory sieciowej # 8053
  • Naprawiono błędy na stronie konfiguracyjnej Port Forward wynikające z nieaktualnych / nieprzeniesionych danych cookie / danych zapytania nr 8039
  • Naprawiono ustawienie priorytetu sieci VLAN za pomocą reguł zapory sieciowej # 7973
  • XMLRPC
  • Naprawiono problem z synchronizacją XMLRPC, gdy użytkownik synchronizacji ma hasło zawierające spacje # 8032
  • Naprawiono problemy XMLRPC z voucherami Captive Portal nr 8079
  • WebGUI
  • Dodano opcję wyłączenia HSTS dla serwera WWW GUI # 6650
  • Zmieniono usługę WWW GUI, blokując bezpośrednie pobieranie plików .inc # 8005
  • Naprawiono sortowanie usług w widgecie na pulpicie nawigacyjnym i na stronie stanu usług # 8069
  • Naprawiono błąd wejściowy, w którym statyczne wpisy IPv6 zezwalały na nieprawidłowe wprowadzanie dla pól adresowych # 8024
  • Naprawiono błąd składni JavaScript na wykresach ruchu, gdy napotkano nieprawidłowe dane (np. użytkownik wylogował się lub sesja została wyczyszczona) # 7990
  • Naprawiono błędy próbkowania w Grafach ruchu # 7966
  • Naprawiono błąd JavaScript w Stan & gt; Monitorowanie # 7961
  • Naprawiono problem z wyświetlaniem pustych tabel w przeglądarce Internet Explorer 11 # 7978
  • Zmieniono przetwarzanie konfiguracji, aby używał wyjątku, a nie umrzeć (), gdy wykryje uszkodzoną konfigurację
  • Dodano filtrowanie do strony pfTop
  • Dodano środki dla pakietów do wyświetlania modalu dla użytkownika (np. wymagane ponowne uruchomienie, aby pakiet mógł zostać użyty)
  • Pulpit nawigacyjny
  • Naprawiono wyświetlanie dostępnych aktualizacji na widżecie pulpitu zainstalowanych pakietów # 8035
  • Naprawiono problem z czcionką w widżecie panelu pomocy technicznej nr 7980
  • Naprawiono formatowanie plasterków dysku / partycji w widżecie pulpitu informacji systemu
  • Naprawiono problem z widżetem Obrazy, gdy nie ma zapisanego prawidłowego obrazu # 7896
  • Pakiety
  • Naprawiono wyświetlanie pakietów, które zostały usunięte z repozytorium w Menedżerze pakietów # 7946
  • Naprawiono problem z wyświetlaniem pakietów zainstalowanych lokalnie, gdy niedostępne repozytorium pakietów jest niedostępne # 7917
  • Różne
  • Naprawiono powiązanie interfejsu w ntpd, więc nie błędnie nasłuchuje na wszystkich interfejsach # 8046
  • Naprawiono problem polegający na tym, że ponowne uruchomienie usługi syslogd spowodowałoby, że sshlockout_pf przetworzyłby sieroty # 7984
  • Dodano obsługę dostawcy dynamicznego DNS ClouDNS # 7823
  • Naprawiono błąd na stronach User i Group Manager podczas pracy z wpisami natychmiast po usunięciu wpisu # 7733
  • Zmieniono kreatora konfiguracji, aby pomijał konfigurację interfejsu po uruchomieniu instancji AWS EC2 nr 6459
  • Naprawiono problem z proxy IGMP w trybie All-multicast na SG-1000 # 7710

Co nowego w wersji:

  • Aktualizacje pulpitu nawigacyjnego:
  • W panelu kontrolnym 2.3.4-RELEASE znajdziesz kilka dodatkowych informacji: dostawca systemu BIOS, wersja i data wydania - jeśli firewall może je określić - oraz unikalny identyfikator Netgate. Unikalny identyfikator Netgate jest podobny do numeru seryjnego, służy do jednoznacznej identyfikacji instancji oprogramowania pfSense dla klientów, którzy chcą zakupić usługi pomocy technicznej. W przypadku sprzętu sprzedawanego w naszym sklepie pozwala on również na powiązanie jednostek z naszymi rekordami produkcji. Ten identyfikator jest spójny na wszystkich platformach (bez ograniczeń, maszyn wirtualnych i hostowanych / chmurowych instancji, takich jak AWS / Azure). Pierwotnie zamierzaliśmy użyć numeru seryjnego sprzętu lub identyfikatora UUID wygenerowanego przez system operacyjny, ale okazało się, że były one niewiarygodne, niespójne i mogły się nieoczekiwanie zmienić po ponownym zainstalowaniu systemu operacyjnego.
  • Podobnie jak w przypadku numeru seryjnego, ten identyfikator jest wyświetlany tylko na pulpicie nawigacyjnym w celach informacyjnych i domyślnie nie jest przesyłany automatycznie. W przyszłości klienci będą mogli używać tego identyfikatora, żądając informacji o wsparciu od naszych pracowników lub systemów.
  • Jeśli nie zauważyłeś jeszcze zmian w wersji 2.3.x, zapoznaj się z filmem Funkcje i najważniejsze wydarzenia. Wcześniejsze posty na blogu omówiły niektóre zmiany, takie jak ulepszenia wydajności z tryforward i aktualizacja webGUI.
  • Certyfikaty GUI zapory:
  • Użytkownicy przeglądarki Chrome 58 i nowszych wersji, w niektórych przypadkach Firefox 48 i nowszych, mogą mieć problemy z dostępem do interfejsu GUI sieci Web pfSense, jeśli używa on domyślnego samopodpisanego certyfikatu wygenerowanego automatycznie przez zaporę sieciową z uruchomionym pfSense w wersji 2.3.3-p1 lub wcześniej. Wynika to z tego, że Chrome 58 ściśle egzekwuje specyfikację RFC 2818, która wymaga tylko pasujących nazw hostów przy użyciu wpisów SAN (Subject Alternative Name) zamiast pola Common Name (Nazwa pospolita) certyfikatu, a domyślny samopodpisany certyfikat nie wypełnia pola SAN.
  • Poprawiliśmy kod certyfikatu tak, aby poprawnie działał zgodnie z RFC 2818 w sposób przyjazny dla użytkownika, automatycznie dodając wartość Common Name jako pierwszy wpis SAN.
  • Administratorzy zapory będą musieli wygenerować nowy certyfikat do użycia przez GUI w celu wykorzystania nowego formatu. Istnieje kilka sposobów generowania zgodnego certyfikatu, w tym:
  • Generuj i aktywuj nowy certyfikat GUI automatycznie z konsoli lub shella ssh, używając jednego z naszych skryptów odtwarzania:
  • Odtwarzanie pfSsh.php generateguicert
  • Wykorzystaj pakiet ACME do wygenerowania zaufanego certyfikatu dla GUI za pomocą Let's Encrypt, który jest już poprawnie sformatowany.
  • Ręcznie utwórz nowy, samopodpisany urząd certyfikacji (CA) i certyfikat serwera podpisany przez ten urząd certyfikacji, a następnie użyj go dla GUI.
  • Aktywuj lokalną przeglądarkę "EnableCommonNameFallbackForLocalAnchors & quot; w Chrome 58. To ustawienie zostanie ostatecznie usunięte przez Chrome, więc jest to tylko tymczasowa poprawka.
  • Niektórzy użytkownicy mogą pamiętać, że nie jest to pierwszy problem z domyślnym formatem certyfikatu spowodowanym zmianami przeglądarki. Kilka lat temu Firefox zmienił sposób, w jaki obliczają łańcuchy zaufania certyfikatów, co może sprawić wrażenie, jakby przeglądarka wyglądała na zawieszoną lub zawieszoną podczas próby uzyskania dostępu do wielu zapór sieciowych z samopodpisanymi certyfikatami zawierającymi typowe dane domyślne, które spowodowały, że wszystkie takie certyfikaty zawierają ten sam temat. Naprawienie tego było większym wyzwaniem, ale skutkowało znacznie lepszym doświadczeniem użytkownika końcowego.

Co nowego w wersji 2.3.4:

  • Aktualizacje pulpitu nawigacyjnego:
  • W panelu kontrolnym 2.3.4-RELEASE znajdziesz kilka dodatkowych informacji: dostawca systemu BIOS, wersja i data wydania - jeśli firewall może je określić - oraz unikalny identyfikator Netgate. Unikalny identyfikator Netgate jest podobny do numeru seryjnego, służy do jednoznacznej identyfikacji instancji oprogramowania pfSense dla klientów, którzy chcą zakupić usługi pomocy technicznej. W przypadku sprzętu sprzedawanego w naszym sklepie pozwala on również na powiązanie jednostek z naszymi rekordami produkcji. Ten identyfikator jest spójny na wszystkich platformach (bez ograniczeń, maszyn wirtualnych i hostowanych / chmurowych instancji, takich jak AWS / Azure). Pierwotnie zamierzaliśmy użyć numeru seryjnego sprzętu lub identyfikatora UUID wygenerowanego przez system operacyjny, ale okazało się, że były one niewiarygodne, niespójne i mogły się nieoczekiwanie zmienić po ponownym zainstalowaniu systemu operacyjnego.
  • Podobnie jak w przypadku numeru seryjnego, ten identyfikator jest wyświetlany tylko na pulpicie nawigacyjnym w celach informacyjnych i domyślnie nie jest przesyłany automatycznie. W przyszłości klienci będą mogli używać tego identyfikatora, żądając informacji o wsparciu od naszych pracowników lub systemów.
  • Jeśli nie zauważyłeś jeszcze zmian w wersji 2.3.x, zapoznaj się z filmem Funkcje i najważniejsze wydarzenia. Wcześniejsze posty na blogu omówiły niektóre zmiany, takie jak ulepszenia wydajności z tryforward i aktualizacja webGUI.
  • Certyfikaty GUI zapory:
  • Użytkownicy przeglądarki Chrome 58 i nowszych wersji, w niektórych przypadkach Firefox 48 i nowszych, mogą mieć problemy z dostępem do interfejsu GUI sieci Web pfSense, jeśli używa on domyślnego samopodpisanego certyfikatu wygenerowanego automatycznie przez zaporę sieciową z uruchomionym pfSense w wersji 2.3.3-p1 lub wcześniej. Wynika to z tego, że Chrome 58 ściśle egzekwuje specyfikację RFC 2818, która wymaga tylko pasujących nazw hostów przy użyciu wpisów SAN (Subject Alternative Name) zamiast pola Common Name (Nazwa pospolita) certyfikatu, a domyślny samopodpisany certyfikat nie wypełnia pola SAN.
  • Poprawiliśmy kod certyfikatu tak, aby poprawnie działał zgodnie z RFC 2818 w sposób przyjazny dla użytkownika, automatycznie dodając wartość Common Name jako pierwszy wpis SAN.
  • Administratorzy zapory będą musieli wygenerować nowy certyfikat do użycia przez GUI w celu wykorzystania nowego formatu. Istnieje kilka sposobów generowania zgodnego certyfikatu, w tym:
  • Generuj i aktywuj nowy certyfikat GUI automatycznie z konsoli lub shella ssh, używając jednego z naszych skryptów odtwarzania:
  • Odtwarzanie pfSsh.php generateguicert
  • Wykorzystaj pakiet ACME do wygenerowania zaufanego certyfikatu dla GUI za pomocą Let's Encrypt, który jest już poprawnie sformatowany.
  • Ręcznie utwórz nowy, samopodpisany urząd certyfikacji (CA) i certyfikat serwera podpisany przez ten urząd certyfikacji, a następnie użyj go dla GUI.
  • Aktywuj lokalną przeglądarkę "EnableCommonNameFallbackForLocalAnchors & quot; w Chrome 58. To ustawienie zostanie ostatecznie usunięte przez Chrome, więc jest to tylko tymczasowa poprawka.
  • Niektórzy użytkownicy mogą pamiętać, że nie jest to pierwszy problem z domyślnym formatem certyfikatu spowodowanym zmianami przeglądarki. Kilka lat temu Firefox zmienił sposób, w jaki obliczają łańcuchy zaufania certyfikatów, co może sprawić wrażenie, jakby przeglądarka wyglądała na zawieszoną lub zawieszoną podczas próby uzyskania dostępu do wielu zapór sieciowych z samopodpisanymi certyfikatami zawierającymi typowe dane domyślne, które spowodowały, że wszystkie takie certyfikaty zawierają ten sam temat. Naprawienie tego było większym wyzwaniem, ale skutkowało znacznie lepszym doświadczeniem użytkownika końcowego.

Co nowego w wersji 2.3.3-p1:

  • FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
  • Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
  • PHP do 5.6.26
  • libidn do 1.33
  • Zwinięcie do 7.50.3
  • libxml2 do 2.9.4
  • Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
  • Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
  • Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Poprawki "Dopasuj żądany format" w najnowszych wersjach Chrome. # 6762
  • Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
  • Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
  • Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
  • Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
  • Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
  • Naprawiono różne błędy literowe i słowne.
  • Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
  • Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
  • Naprawiono nadmiarowy HTTP "User-Agent" ciąg w aktualizacjach DynDNS.
  • Naprawiono czcionkę dla tabel do sortowania.
  • Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
  • Naprawiono brzmienie "Odrzuć dzierżawę od" opcja dla interfejsu DHCP (może przyjmować tylko adresy, nie podsieci). # 6646
  • Naprawiono raportowanie błędów dla testu ustawień SMTP.
  • Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
  • Naprawiono sprawdzanie nieprawidłowych & quot; Przejdź do linii & quot; numery na diag_edit.php. # 6704
  • Naprawiono błąd "jeden po drugim" za pomocą "Rzędów do wyświetlenia" na diag_routes.php. # 6705
  • Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
  • Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
  • Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
  • Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
  • Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
  • Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
  • Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
  • Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
  • Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
  • Dodano "-C / dev / null" do parametrów linii poleceń dnsmasq, aby uniknąć pobrania nieprawidłowej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
  • Dodano "-l" do traceroute6, aby pokazać adresy IP i nazwy hostów podczas rozwiązywania chmielu w diag_traceroute.php. # 6715
  • Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
  • Sklarowany język na diag_tables.php. # 6713
  • Oczyściłem tekst na diag_sockets.php. # 6708
  • Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
  • Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
  • Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
  • Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
  • Poprawiono obsługę pidfile dla dhcpleases.
  • Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
  • Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu na wychodzącym NAT.
  • Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
  • Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
  • Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", stałe "vpn". aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
  • Zmieniono ikony uruchamiania / zatrzymywania usługi.
  • Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
  • Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.3:

  • FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
  • Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
  • PHP do 5.6.26
  • libidn do 1.33
  • Zwinięcie do 7.50.3
  • libxml2 do 2.9.4
  • Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
  • Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
  • Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Usunięte błędy "Dopasuj wymagany format" w najnowszych wersjach Chrome. # 6762
  • Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
  • Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
  • Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
  • Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
  • Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
  • Naprawiono różne błędy literowe i słowne.
  • Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
  • Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
  • Naprawiono redundantny ciąg "użytkownika użytkownika" HTTP w aktualizacjach DynDNS.
  • Naprawiono czcionkę dla tabel do sortowania.
  • Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
  • Naprawiono treść opcji "Odrzuć dzierżawę od" dla interfejsu DHCP (może ona przyjmować tylko adresy, a nie podsieci). # 6646
  • Naprawiono raportowanie błędów dla testu ustawień SMTP.
  • Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
  • Naprawiono sprawdzanie nieprawidłowych numerów "Go To Line" na diag_edit.php. # 6704
  • Naprawiono błąd "off-by-one-one" z "Rows to Display" na diag_routes.php. # 6705
  • Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
  • Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
  • Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
  • Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
  • Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
  • Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
  • Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
  • Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
  • Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
  • Dodano "-C / dev / null" do parametrów wiersza poleceń dnsmasq, aby uniknąć wychwycenia niepoprawnej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
  • Dodano "-l" do traceroute6, aby wyświetlać zarówno adresy IP, jak i nazwy hostów podczas rozwiązywania przeskoków w diag_traceroute.php. # 6715
  • Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
  • Sklarowany język na diag_tables.php. # 6713
  • Oczyściłem tekst na diag_sockets.php. # 6708
  • Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
  • Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
  • Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
  • Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
  • Poprawiono obsługę pidfile dla dhcpleases.
  • Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
  • Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu wychodzącego NAT.
  • Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
  • Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
  • Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", naprawiono "vpn", aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
  • Zmieniono ikony uruchamiania / zatrzymywania usługi.
  • Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
  • Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.2-p1:

  • FreeBSD-SA-16: 26.openssl - Wiele usterek w OpenSSL. Jedyny znaczący wpływ na pfSense to OCSP dla HAproxy i FreeRADIUS.
  • Kilka błędów związanych z HyperV w FreeBSD 10.3, FreeBSD-EN-16: 10 do 16:16. Szczegółowe informacje można znaleźć na stronie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Zaktualizowano kilka wbudowanych pakietów i bibliotek, w tym:
  • PHP do 5.6.26
  • libidn do 1.33
  • Zwinięcie do 7.50.3
  • libxml2 do 2.9.4
  • Dodano kodowanie do parametru "strefa" na stronach portalu przechwytującego.
  • Dodano kodowanie wyjściowe do diag_dns.php dla wyników zwróconych przez DNS. # 6737
  • Obejrzałem błąd przeglądarki Chrome, używając wyrażeń regularnych, zawierających znaki zbiegów w zestawach znaków. Usunięte błędy "Dopasuj wymagany format" w najnowszych wersjach Chrome. # 6762
  • Naprawiono opcję formatu czasu serwera DHCPv6 # 6640
  • Naprawiono błąd / usr / bin / install z nowych instalacji. # 6643
  • Zwiększony limit ogłaszania dla rejestrowania, więc wyszukiwanie pozwoli zlokalizować odpowiednie wpisy. # 6652
  • Oczyszczone zainstalowano widżet Pakiety i HTML. # 6601
  • Naprawiono uszkodzenie ustawień widgetu podczas tworzenia nowych ustawień. # 6669
  • Naprawiono różne błędy literowe i słowne.
  • Usunięto nieistniejące linki do strony devwiki. Teraz wszystko jest na https://doc.pfsense.org.
  • Dodano pole do stron CA / Cert dla jednostki organizacyjnej, które jest wymagane przez niektóre zewnętrzne urzędy certyfikacji i użytkowników. # 6672
  • Naprawiono redundantny ciąg "użytkownika użytkownika" HTTP w aktualizacjach DynDNS.
  • Naprawiono czcionkę dla tabel do sortowania.
  • Dodano sprawdzanie, czy interfejs jest aktywny w grupie bramek przed aktualizacją dynamicznego DNS.
  • Naprawiono treść opcji "Odrzuć dzierżawę od" dla interfejsu DHCP (może ona przyjmować tylko adresy, a nie podsieci). # 6646
  • Naprawiono raportowanie błędów dla testu ustawień SMTP.
  • Naprawiono zapisywanie kraju, dostawcy i planu dla interfejsów PPP
  • Naprawiono sprawdzanie nieprawidłowych numerów "Go To Line" na diag_edit.php. # 6704
  • Naprawiono błąd "off-by-one-one" z "Rows to Display" na diag_routes.php. # 6705
  • Naprawiono opis pola filtru na diag_routes.php, aby odzwierciedlić, że wszystkie pola można przeszukiwać. # 6706
  • Naprawiono opis pola dla pliku do edycji na diag_edit.php. # 6703
  • Naprawiono opis głównego panelu na diag_resetstate.php. # 6709
  • Naprawiono okno dialogowe z ostrzeżeniem, gdy pole nie jest zaznaczone na diag_resetstate.php. # 6710
  • Naprawiono skrót dziennika dla obszarów DHCP6. # 6700
  • Naprawiono przycisk usuwania sieci pokazujący, że tylko jeden wiersz był obecny w services_unbound_acls.php # 6716
  • Naprawiono znikający tekst pomocy na powtarzalnych wierszach po usunięciu ostatniego wiersza. # 6716
  • Naprawiono dynamiczną domenę DNS dla wpisów statycznych na mapach DHCP
  • Dodano kontrolę, aby ustawić okres odświeżania widgetu pulpitu
  • Dodano "-C / dev / null" do parametrów wiersza poleceń dnsmasq, aby uniknąć wychwycenia niepoprawnej domyślnej konfiguracji, która zastąpiłaby nasze opcje. # 6730
  • Dodano "-l" do traceroute6, aby wyświetlać zarówno adresy IP, jak i nazwy hostów podczas rozwiązywania przeskoków w diag_traceroute.php. # 6715
  • Dodano notatkę o limicie max ttl / hop w komentarzu źródłowym do diag_traceroute.php.
  • Sklarowany język na diag_tables.php. # 6713
  • Oczyściłem tekst na diag_sockets.php. # 6708
  • Naprawiono wyświetlanie nazw interfejsów VLAN podczas przypisywania konsoli. # 6724
  • Naprawiono opcję nazwy domeny-serwera pokazującą dwa razy w pulach, gdy została ustawiona ręcznie.
  • Naprawiono obsługę opcji DHCP w pulach innych niż główny zakres. # 6720
  • Naprawiono brakujące nazwy hostów w niektórych przypadkach z dhcpdv6. # 6589
  • Poprawiono obsługę pidfile dla dhcpleases.
  • Dodano kontrole, aby uniemożliwić dostęp do niezdefiniowanego przesunięcia w IPv6.inc.
  • Naprawiono wyświetlanie wyskakującego aliasu i opcje edycji źródła i miejsca docelowego dla adresu i portu wychodzącego NAT.
  • Naprawiono obsługę licznika konfiguracji kopii zapasowej. # 6771
  • Usunięto niektóre zwisające referencje PPTP, które nie są już istotne.
  • Naprawiono / przechwycono zdalne obszary syslog. Dodano "routing", "ntpd", "ppp", "resolver", naprawiono "vpn", aby uwzględnić wszystkie obszary VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Naprawiono brakujące pola wyboru w niektórych przypadkach podczas dodawania wierszy w pliku services_ntpd.php. # 6788
  • Zmieniono ikony uruchamiania / zatrzymywania usługi.
  • Dodano kontrolę zarządzania listami CRL w celu usunięcia certyfikatów z listy rozwijanej, która jest już zawarta w edytowanej liście CRL.
  • Naprawiono separatory reguł poruszające się, gdy wiele reguł zapory sieciowej zostało usuniętych w tym samym czasie. # 6801

Co nowego w wersji 2.3.2:

  • Kopia zapasowa / przywracanie:
  • Nie zezwalaj na stosowanie zmian w przypadku niezgodnego interfejsu podczas odtwarzania po konfiguracji, dopóki nie zostanie zapisane ponowne przypisanie. # 6613
  • Pulpit nawigacyjny:
  • Pulpit nawigacyjny ma teraz opcje konfiguracji dla poszczególnych użytkowników udokumentowane w Menedżerze użytkowników. # 6388
  • Serwer DHCP:
  • Wyłączony próg cache-cache, aby uniknąć błędów w ISC dhcpd 4.3.x pomijając nazwę hosta klienta z pliku dzierżawy, co powoduje, że dynamiczna rejestracja nazwy hosta kończy się niepowodzeniem w niektórych przypadkach. # 6589
  • Zauważ, że klucz DDNS musi być HMAC-MD5. # 6622
  • Przekaźnik DHCP:
  • Zaimportowana poprawka dla żądań przekazywania dhcrelay na interfejsie, w którym znajduje się docelowy serwer DHCP. # 6355
  • Dynamiczny DNS:
  • Zezwól * na nazwę hosta za pomocą Namecheap. # 6260
  • Interfejsy:
  • Napraw "nie może przypisać żądanego adresu" podczas uruchamiania z interfejsami track6. # 6317
  • Usuń przestarzałe opcje linków z GRE i gif. # 6586, # 6587
  • Obey "Odrzuć dzierżawę od" kiedy DHCP "Zaawansowane opcje" jest zaznaczone. # 6595
  • Chronić ograniczniki w zaawansowanej konfiguracji klienta DHCP, aby można było używać tam przecinków. # 6548
  • Naprawiono domyślną trasę dla interfejsów PPPoE, która nie występuje w niektórych przypadkach brzegowych. # 6495
  • IPsec:
  • strongSwan został uaktualniony do wersji 5.5.0.
  • Włącz agresywny w ipsec.conf, w którym jest wybrany tryb automatyczny IKE. # 6513
  • Monitorowanie bramy:
  • Naprawiono "zbyt dużą nazwę gniazda" uniemożliwiającą monitorowanie bramy w przypadku długich nazw interfejsów i adresów IPv6. # 6505
  • Ograniczniki:
  • Ustaw pipe_slot_limit automatycznie na maksymalną skonfigurowaną wartość qlimit. # 6553
  • Monitorowanie:
  • Naprawiono brak okresów danych zgłaszanych jako 0, średnie skośne. # 6334
  • Naprawiono wyświetlanie podpowiedzi jako "brak" dla niektórych wartości. # 6044
  • Naprawiono zapisywanie niektórych domyślnych opcji konfiguracyjnych. # 6402
  • Napraw tyknięcia osi X, które nie reagują na rozdzielczość w niestandardowych odstępach czasu. # 6464
  • OpenVPN:
  • Ponownie zsynchronizuj określone konfiguracje klienta po zapisaniu wystąpień serwera OpenVPN, aby upewnić się, że ich ustawienia odzwierciedlają bieżącą konfigurację serwera. # 6139
  • System operacyjny:
  • Naprawiono brak fragmentacji fragmentów pf, wyzwalając "osiągnięty limit pozycji fragmentu PF". # 6499
  • Ustaw lokalizację pliku rdzenia, aby nie można było jej znaleźć w / var / run i wyczerpać dostępną przestrzeń. # 6510
  • Naprawiono "dziennik runtime cofnięto" log spam w Hyper-V. # 6446
  • Naprawiono traceroute6 zawiesza się przy braku odpowiedzi na chmurę. # 3069
  • Dodano symboliczne połączenie /var/run/dmesg.boot dla vm-bhyve. # 6573
  • Ustaw net.isr.dispatch = bezpośrednio w systemach 32-bitowych z włączonym IPsec, aby zapobiec awariom podczas uzyskiwania dostępu do usług na hoście za pośrednictwem VPN. # 4754
  • Ogłoszenia o routerach:
  • Dodano pola konfiguracji dla minimalnych i maksymalnych interwałów anonsów routera i czasu życia routera. # 6533
  • Routing:
  • Naprawiono trasy statyczne z lokalnym routerem docelowym łącza IPv6, aby uwzględnić zasięg interfejsu. # 6506
  • Reguły / NAT:
  • Naprawiono symbol zastępczy "Klient PPPoE" w regułach i translacji NAT oraz błąd zestawu reguł, gdy używane są reguły zmienne określające serwer PPPoE. # 6597
  • Naprawiono błąd ładowania zestawu reguł za pomocą adresów URL URL, gdzie określono pusty plik. # 6181
  • Naprawiono proxy TFTP z xinetd. # 6315
  • Aktualizacja:
  • Naprawiono awarie aktualizacji nanobsd, w których narzędzie DNS Forwarder / Resolver nie jest powiązane z localhostem. # 6557
  • Wirtualne adresy IP:
  • Naprawiono problemy z wydajnością w przypadku dużej liczby wirtualnych adresów IP. # 6515
  • Naprawiono wyczerpywanie pamięci PHP na stronie statusu CARP z dużymi tabelami stanu. # 6364
  • Interfejs internetowy:
  • Dodano sortowanie do tabeli statycznych mapowań DHCP. # 6504
  • Naprawiono przesyłanie plików w sekundach przestępnych NTP. # 6590
  • Dodano obsługę IPv6 do diag_dns.php. # 6561
  • Dodano obsługę IPv6 do filtrowania dzienników wyszukiwania wstecznego. # 6585
  • System pakietów - zachowaj dane pola na temat błędu wejścia. # 6577
  • Naprawiono wiele problemów dotyczących sprawdzania poprawności danych wejściowych IPv6, umożliwiając nieprawidłowe adresy IPv6. # 6551, # 6552
  • Naprawiono brak niektórych dzierżaw DHCPv6 z wyświetlania dzierżaw GUI. # 6543
  • Naprawiono stanowe zabijanie dla kierunku "w" i stany z przetłumaczonym miejscem docelowym. # 6530, # 6531
  • Przywróć sprawdzanie poprawności wejściowych nazw stref portalu przechwytującego, aby zapobiec nieprawidłowemu kodowi XML. # 6514
  • Zmieniono wybór daty w kalendarzu w menedżerze użytkowników na taki, który działa w przeglądarkach innych niż Chrome i Opera. # 6516
  • Przywrócono pole portu proxy do klienta OpenVPN. # 6372
  • Wyjaśnij opis aliasów portów. # 6523
  • Naprawiono wynik tłumaczenia, w którym gettext przekazał pusty ciąg. # 6394
  • Naprawiono wybór prędkości dla 9600 w konfiguracji NTP GPS. # 6416
  • Zezwalaj na IPv6 IP na ekranie NPT. # 6498
  • Dodaj obsługę importowania aliasu dla sieci i portów. # 6582
  • Naprawiono sortowanie nagłówków tabeli, które można sortować. # 6074
  • Wyczyść sekcję uruchamiania sieciowego na ekranie serwera DHCP. # 6050
  • Napraw linki "NIEZNANE" w menedżerze pakietów. # 6617
  • Napraw brakujące pole pasma dla kolejek CBQ zmieniających ruch. # 6437
  • UPnP:
  • Adres URL prezentacji UPnP i numer modelu są teraz konfigurowalne. # 6002
  • Menedżer użytkowników:
  • Nie zezwalaj administratorom na usuwanie własnych kont w menedżerze użytkowników. # 6450
  • Inne:
  • Dodano sesje powłoki PHP, aby włączyć i wyłączyć stały tryb konserwacji CARP. "playback enablecarpmaint" i "playback disablecarpmaint". # 6560
  • Odsłonięta konfiguracja konsoli szeregowej dla VGA nanobasków. # 6291

Co nowego w wersji 2.3.1 Aktualizacja 5:

  • Najważniejsze zmiany w tym wydaniu to przeróbka webGUI wykorzystującego Bootstrap, a podstawowy system, w tym system podstawowy i jądro, jest konwertowany całkowicie na pkg FreeBSD. Konwersja pkg umożliwia aktualizację pojedynczych elementów systemu zamiast monolitycznych aktualizacji z przeszłości. Przekonwertowanie webGUI przynosi nowy, responsywny wygląd i działanie pfSense, wymagające minimalnej zmiany rozmiaru lub przewijania na szerokiej gamie urządzeń, od komputerów stacjonarnych po telefony komórkowe.

Co nowego w wersji 2.2.6 / 2.3 Alpha:

  • pfSense-SA-15_09.webgui: Luka w zabezpieczeniach związanej z włączaniem lokalnego pliku w pfSense WebGUI
  • pfSense-SA-15_10.captiveportal: Luka SQL Injection w wylogowaniu portalu PFSense
  • pfSense-SA-15_11.webgui: Luki w zabezpieczeniach XSS i CSRF w interfejsie internetowym pfSense
  • Zaktualizowano do FreeBSD 10.1-RELEASE-p25
  • FreeBSD-SA-15: 26.openssl Wiele luk w OpenSSL
  • Zaktualizowano strongSwan do wersji 5.3.5_2
  • Obejmuje naprawę usterki uwierzytelniania CVE-2015-8023 w wtyczce eap-mschapv2.

Co nowego w wersji 2.2.5 / 2.3 Alpha:

  • pfSense-SA-15_08.webgui: Wiele zapisanych luk w XSS w pfSense WebGUI
  • Zaktualizowano do FreeBSD 10.1-RELEASE-p24:
  • FreeBSD-SA-15: 25.ntp Wiele luk w NTP [REVISED]
  • FreeBSD-SA-15: 14.bsdpatch: Z powodu niewystarczającej dezynfekcji strumienia wejściowych poprawek, plik łatki może spowodować, że łatka (1) będzie uruchamiać polecenia oprócz pożądanych poleceń SCCS lub RCS. / li>
  • FreeBSD-SA-15: 16.openssh: Klient OpenSSH nieprawidłowo sprawdza rekordy DNS SSHFP, gdy serwer oferuje certyfikat. CVE-2014-2653 Serwery OpenSSH skonfigurowane w celu umożliwienia uwierzytelniania za pomocą hasła przy użyciu PAM (domyślnie) pozwoliłyby na wiele prób podania hasła.
  • FreeBSD-SA-15: 18.bsdpatch: Ze względu na niewystarczającą dezynfekcję strumienia wejściowych poprawek, możliwe jest, że plik łaty powoduje, że łatka (1) przekazuje określone ed (1) do edytora (1) edytor, który uruchamiałby polecenia.
  • FreeBSD-SA-15: 20.expat: Wiele błędów przepełnienia liczby całkowitej zostało odkrytych w funkcji XML_GetBuffer () w bibliotece expatów.
  • FreeBSD-SA-15: 21.amd64: Jeśli instrukcja IRET trybu jądra generuje wyjątek #SS lub #NP, ale obsługa wyjątku nie zapewnia właściwego przeładowania właściwej podstawy rejestru GS ​​dla jądra segment GS przestrzeni użytkownika może być używany w kontekście obsługi wyjątków jądra.
  • FreeBSD-SA-15: 22.openssh: Błąd programowania w uprzywilejowanym procesie monitorowania usługi sshd (8) może umożliwić nadpisanie nazwy użytkownika już uwierzytelnionego użytkownika przez nieuprzywilejowany proces potomny. Błąd użycia po zwolnieniu w procesie uprzywilejowanego monitorowania usługi sshd (8) może być deterministycznie wywołany działaniami skompromitowanego nieuprzywilejowanego procesu podrzędnego. Błąd użycia po błędzie w kodzie multipleksowania sesji w usłudze sshd (8) może spowodować niezamierzone zakończenie połączenia.

Co nowego w wersji 2.2.4:

  • pfSense-SA-15_07.webgui: Wielokrotne problemy z XSS w pfSense WebGUI
  • Pełna lista dotkniętych stron i pól znajduje się w połączonym pliku SA.
  • FreeBSD-SA-15: 13.tcp: wyczerpanie zasobów z powodu sesji zablokowanych w stanie LAST_ACK. Należy zauważyć, że dotyczy to tylko scenariuszy, w których porty nasłuchujące na pfSense (nie rzeczy przekazywane przez NAT, routing lub mostowanie) są otwierane do niezaufanych sieci. Nie dotyczy to konfiguracji domyślnej.
  • Uwaga: FreeBSD-SA-15: 13.openssl nie ma zastosowania do pfSense. pfSense nie zawierało podatnej wersji OpenSSL, a zatem nie było podatne na ataki.
  • Kolejne poprawki do uszkodzenia pliku w różnych przypadkach podczas nieczystego wyłączania (awarie, utrata zasilania itd.). # 4523
  • Naprawiono pw w FreeBSD, aby zająć się korupcją passwd / group
  • Naprawiono pisanie pliku config.xml, aby prawidłowo używać fsync, aby uniknąć sytuacji, w których może się to okazać puste. # 4803
  • Usunięto opcję "synchronizacji" z systemów plików w przypadku nowych pełnych instalacji i pełnych aktualizacji po zainstalowaniu prawdziwej poprawki.
  • Usunięto miękkie aktualizacje i rejestrowanie (AKA SU + J) z NanoBSD, pozostają one w pełnej instalacji. # 4822
  • Poprawka forceync dla # 2401 nadal jest uważana za szkodliwą dla systemu plików i została zachowana. W związku z tym NanoBSD może być zauważalnie wolniejszy na niektórych wolniejszych dyskach, zwłaszcza na kartach CF iw mniejszym stopniu na kartach SD. Jeśli jest to problem, system plików może być stale zapisywany i zapisywany za pomocą opcji w Diagnostics & gt; NanoBSD. Przy innych powyższych zmianach ryzyko jest minimalne. Zalecamy zastąpienie uszkodzonego nośnika CF / SD nową, szybszą kartą tak szybko, jak to możliwe. # 4822
  • Upgrade PHP do wersji 5.5.27 w celu rozwiązania CVE-2015-3152 # 4832
  • Zmniejszono czas logowania SSH LoginGraceTime z 2 minut do 30 sekund, aby złagodzić wpływ błędu pomijania MaxAuthTries. Uwaga Sshlockout zablokuje obrażanie adresów IP we wszystkich poprzednich, bieżących i przyszłych wersjach. # 4875

Co nowego w wersji 2.2.3:

  • pfSense-SA-15_06.webgui: Luki w XSS w pfSense WebGUI
  • Pełna lista stron i pól, których dotyczy problem, jest duża i wszystkie są wymienione w połączonym pliku SA.
  • FreeBSD-SA-15: 10.openssl: Wiele usterek OpenSSL (w tym Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Co nowego w wersji 2.2.2:

  • Ta wersja zawiera dwie aktualizacje zabezpieczeń o niskim ryzyku:
  • FreeBSD-SA-15: 09.ipv6: Odmowa usługi z ogłoszeniami routera IPv6. Gdy system używa typu WAN protokołu DHCPv6, urządzenia w tej samej domenie rozgłoszeniowej, co w sieci WAN, mogą wysyłać spreparowane pakiety, co powoduje utratę połączenia internetowego IPv6.
  • FreeBSD-SA-15: 06.openssl: Wiele usterek OpenSSL. Większość nie ma zastosowania, a najgorszym skutkiem jest odmowa usługi.

Co nowego w wersji 2.2.1:

  • Poprawki bezpieczeństwa:
  • pfSense-SA-15_02.igmp: Integer overflow w protokole IGMP (FreeBSD-SA-15: 04.igmp)
  • pfSense-SA-15_03.webgui: Luki w zabezpieczeniach XSS w pfSense WebGUI
  • pfSense-SA-15_04.webgui: Luka w usuwaniu dowolnego pliku w interfejsie internetowym pfSense
  • FreeBSD-EN-15: 01.vt: vt (4) awaria z niepoprawnymi parametrami ioctl
  • FreeBSD-EN-15: 02.openssl: Aktualizuj, aby dołączyć poprawki niezawodnościowe z OpenSSL
  • Uwaga dotycząca luki OpenSSL "FREAK":
  • Nie wpływa na konfigurację serwera WWW na zaporze, ponieważ nie ma włączonych szyfrów eksportu.
  • pfSense 2.2 zawiera już OpenSSL 1.0.1k, który rozwiązał problem ze stroną klienta.
  • Jeśli pakiety zawierają serwer WWW lub podobny komponent, taki jak serwer proxy, może to wpłynąć na niewłaściwą konfigurację użytkownika. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją pakietu lub forum.

Co nowego w wersji 2.2:

  • Ta wersja wprowadza ulepszenia w zakresie wydajności i obsługi sprzętu z bazy FreeBSD 10.1, a także ulepszenia, które dodaliśmy, takie jak AES-GCM z akceleracją AES-NI, wśród wielu innych nowych funkcji i poprawek.
  • W trakcie dojścia do wersji zamknęliśmy 392 bilety (liczba ta zawiera 55 funkcji lub zadań), naprawiono 135 błędów mających wpływ na wersję 2.1.5 i wcześniejsze, naprawiono 202 błędy wprowadzone w wersji 2.2, przesuwając bazę Wersja OS z FreeBSD 8.3 do 10.1, zmiana demonów kluczowania IPsec z racoon na strongSwan, aktualizacja backendu PHP do wersji 5.5 i przełączenie go z FastCGI na PHP-FPM i dodanie Unbound DNS Resolver oraz wiele mniejszych zmian.
  • Ta wersja zawiera cztery mało skuteczne poprawki zabezpieczeń:
  • Aktualizacja openssl dla FreeBSD-SA-15: 01.openssl
  • Wiele błędów XSS w interfejsie internetowym. pfSense-SA-15_01
  • Aktualizacja OpenVPN dla CVE-2014-8104
  • Aktualizacja NTP FreeBSD-SA-14: 31.ntp - choć te okoliczności nie mają wpływu na pfSense.

Co nowego w wersji 2.1.4:

  • Poprawki bezpieczeństwa:
  • pfSense-SA-14_07.openssl
  • FreeBSD-SA-14: 14.openssl
  • pfSense-SA-14_08.webgui
  • pfSense-SA-14_09.webgui
  • pfSense-SA-14_10.webgui
  • pfSense-SA-14_11.webgui
  • pfSense-SA-14_12.webgui
  • pfSense-SA-14_13.packages
  • Pakiety miały również własne niezależne poprawki i wymagają aktualizacji. Podczas procesu aktualizacji oprogramowania układowego pakiety zostaną poprawnie zainstalowane. W przeciwnym razie odinstaluj, a następnie ponownie zainstaluj pakiety, aby upewnić się, że jest używana najnowsza wersja plików binarnych.
  • Inne poprawki:
  • Poprawka problemu wycieku pipeningu portalu przechwytującego, która prowadzi do osiągnięcia maksymalnego loginu na portalu przechwytującym. # 3062
  • Usuń tekst niezwiązany z dozwolonymi adresami IP w portalu przechwytującym. # 3594
  • Usuń jednostki z serii, ponieważ jest zawsze określone w bajtach. (Per ipfw (8)).
  • Dodaj kolumnę dla portu wewnętrznego na stronie statusu UPnP.
  • Korzystaj z interfejsu nasłuchiwania, a nie opcji IP opcjonalnie dla UPnP.
  • Napraw podświetlanie wybranych reguł. # 3646
  • Dodaj guiconfig do widżetów, które go nie zawierają. # 3498
  • / etc / version_kernel i / etc / version_base już nie istnieją, zamiast tego użyj php_uname, aby pobrać wersję do sprawdzenia XMLRPC.
  • Napraw zmienną literówkę. # 3669
  • Usuń wszystkie aliasy IP, gdy interfejs jest wyłączony. # 3650
  • Prawidłowe przetwarzanie zmiany nazwy archiwum RRD podczas aktualizacji i błędów blokowania szumów, jeśli się nie powiedzie.
  • Konwertuj protokół ssl: // na https: // podczas tworzenia nagłówków HTTP dla XMLRPC.
  • Pokaż wyłączone interfejsy, gdy były już częścią grupy interfejsów. Zapobiega to wyświetlaniu losowego interfejsu i pozwala użytkownikowi dodać go przez pomyłkę. # 3680
  • Dyrektywa client-config-dir dla OpenVPN jest również przydatna podczas korzystania z wewnętrznego DHCP OpenVPN podczas mostkowania, więc dodaj także w tym przypadku.
  • Użyj curl zamiast pobierania, aby pobrać pliki aktualizacji. # 3691
  • Zmienna Escape przed przejściem do powłoki z stop_service ().
  • Dodaj ochronę do parametrów, które przychodzą przez _GET w zarządzaniu usługami.
  • Escape argument przy wywołaniu funkcji is_process_running, usuwa także niektóre niepotrzebne wywołania mwexec ().
  • Nie zezwalaj na to, aby nazwa grupy interfejsu była większa niż 15 znaków. # 3208
  • Bądź dokładny, aby dopasować członków interfejsu mostu, powinien on naprawić # 3637
  • Nie wygasaj już wyłączonych użytkowników, naprawia # 3644
  • Sprawdź poprawność czasu rozpoczęcia i czasu zatrzymania na firewall_schedule_edit.php
  • Zachowaj ostrożność przy parametrze hosta w diag_dns.php i upewnij się, że jest on chroniony przed wywołaniem funkcji powłoki połączenia
  • Parametry escape przekazywane do shell_exec () w diag_smart.php i gdzie indziej
  • Upewnij się, że zmienne zostały usunięte / odkażone na status_rrd_graph_img.php
  • Zamień wywołania exec, aby uruchomić rm przez unlink_if_exists () na status_rrd_graph_img.php
  • Zastąp wszystkie wywołania `hostname` przez php_uname (& ns; n) na status_rrd_graph_img.php
  • Zastąp wszystkie wywołania `date` przez strftime () na status_rrd_graph_img.php
  • Dodaj $ _gb, aby zebrać potencjalnie śmieci z exec return na status_rrd_graph_img.php
  • Unikaj przechodzenia do katalogu w pliku pkg_edit.php podczas odczytywania plików pakietu xml, sprawdź również, czy plik istnieje przed próbą jego przeczytania
  • Usuń id = 0 z menu miniupnpd i skrótu
  • Usuń. i / z nazwy pkg, aby uniknąć przejścia do katalogu w pkg_mgr_install.php
  • Napraw zrzut główny podczas przeglądania nieprawidłowego dziennika pakietów
  • Unikaj przechodzenia do katalogu w system_firmware_restorefullbackup.php
  • Ponownie wygeneruj identyfikator sesji po pomyślnym zalogowaniu, aby uniknąć naprawy sesji
  • Zabezpiecz parametry rssfeed za pomocą htmlspecialchars () w rss.widget.php
  • Zabezpiecz parametr servicestatusfilter za pomocą htmlspecialchars () w pliku services_status.widget.php
  • Zawsze ustawiaj atrybut httponly w plikach cookie
  • Set & lsquo; Wyłącz autouzupełnianie autouzupełniania w programie WebConfigurator "jak domyślnie dla nowych instalacji
  • Uprość logikę, dodaj trochę ochrony do parametrów wejściowych użytkownika na log.widget.php
  • Upewnij się, że pojedyncze cudzysłowy są kodowane i unikaj wstrzykiwania javascript na exec.php
  • Dodaj brakujące protokoły NAT w firewall_nat_edit.php
  • Usuń dodatkowe dane po spacji w DSCP i popraw składnię reguły pf. # 3688
  • Uwzględnij tylko zaplanowaną regułę, jeśli jest ściśle przed końcem czasu. # 3558

Co nowego w wersji 2.1.1:

  • Największa zmiana polega na zamknięciu następujących problemów bezpieczeństwa / CVE:
  • FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
  • Poza tym, sterowniki em / igb / ixgb / ixgbe zostały uaktualnione, aby dodać obsługę kart sieciowych i210 i i354. Niektóre karty sieciowe Intel 10Gb Ethernet również uzyskają lepszą wydajność.

Podobne oprogramowanie

GhostBSD LXDE
GhostBSD LXDE

20 Feb 15

pf-kernel
pf-kernel

20 Feb 15

LiveCD-Graphics
LiveCD-Graphics

20 Feb 15

Komentarze do pfSense

Komentarze nie znaleziono
Dodaj komentarz
Włącz zdjęć!