pfSense

pfSense & reg; este un sistem de operare BSD distribuit liber și cu sursă deschisă derivat din binecunoscutul proiect m0n0wall, dar cu obiective extrem de diferite, cum ar fi utilizarea Filter Packet și cele mai noi tehnologii FreeBSD.

Proiectul poate fi utilizat atât ca router, cât și ca firewall. Acesta include un sistem de pachete care permite administratorilor de sistem să extindă cu ușurință produsul, fără a adăuga potențiale vulnerabilități de securitate și pentru a se umfla la distribuția de bază.

Caracteristicile principale includ firewall-ul de ultimă generație, echilibrarea încărcării de intrare / ieșire, tabela de stare, NAT (traducerea adreselor de rețea), disponibilitate înaltă, VPN (VPN) server, Dynamic DNS, portal captiv, raportare și monitorizare.

Este un sistem de operare cu firewall dezvoltat activ, distribuit ca gz arhivat Live CD și imagini de instalare numai ISO, instalatori de stick USB, precum și suporturi NanoBSD / embedded. Ambele platforme hardware pe 64 de biți (amd64) și pe 32 de biți (i386) sunt acceptate în acest moment.

În timpul procesului de încărcare sunt disponibile mai multe opțiuni de boot predefinite, cum ar fi încărcarea sistemului de operare cu setările implicite, dezactivarea ACPI, utilizarea dispozitivelor USB, modul de siguranță, modul de utilizator unic, logarea detaliată, precum și accesați un prompt de shell sau reporniți aparatul.

În timp ce distribuția va cere utilizatorilor dacă doresc să instaleze VLAN-uri (LAN-uri virtuale) de la get-go, va necesita funcționarea a cel puțin unei interfețe de rețea atribuite. Aceasta înseamnă că dacă nu ai / ai configurat cel puțin o interfață, pfSense & reg; nici măcar nu începeți.

Utilizat ca un firewall pentru rețele mici de domiciliu, universități, corporații mari sau orice altă organizație în care necesitatea de a proteja mii de dispozitive de rețea este extrem de importantă, pfSense & reg; a fost descărcat de peste un milion de utilizatori din întreaga lume, de la înființarea sa.

Este unul dintre cele mai bune proiecte de firewall open source proiectate pentru a oferi utilizatorilor toate caracteristicile pe care le vin firewall-urile comerciale. Astăzi, pfSense & reg; este utilizat în numeroasele soluții de firewall hardware, inclusiv Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall sau Watchguard.

pfSense & reg; este marcă comercială înregistrată și serviciu deținut de Electric Sheep Fencing LLC. Consultați www.electricsheepfencing.com.

Ce este nou în această versiune:

• Securitate / eroare
• Actualizat la OpenSSL 1.0.2m pentru a adresa CVE-2017-3736 și CVE-2017-3735
• FreeBSD-SA-17: 10.kldstat
• FreeBSD-SA-17: 08.ptrace
• Fixat un vector XSS potențial în status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
• Fixat un vector XSS potențial în diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
• Fixat un vector XSS potențial pe index.php prin parametrii secvenței widget # 8000 pfSense-SA-17_09.webgui.asc
• Fixat un potențial XSS în parametrul widgetkey al widget-urilor din tabloul de bord multi-instanță # 7998 pfSense-SA-17_09.webgui.asc
• S-a rezolvat o problemă potențială privind clicurile în pagina de eroare CSRF
• Interfețe
• Interfețe PPP fixe cu un părinte VLAN atunci când se utilizează noile nume VLAN # 7981
• Probleme fixe cu interfețe QinQ care nu se prezintă ca active # 7942
• S-a stabilit o panică / accident atunci când dezactivați o interfață LAGG # 7940
• Probleme fixe cu interfețe LAGG care își pierd adresa MAC # 7928
• Fixat un accident în radvd pe SG-3100 (ARM) # 8022
• S-a rezolvat o problemă cu pachete de pachete UDP pe SG-1000 # 7426
• A fost adăugată o interfață pentru a gestiona comutatorul încorporat de pe SG-3100
• Decuplați mai multe caractere de pe descrierea interfeței pentru a evita înfășurarea liniei de ieșire a consolei pe o consolă VGA
• Manipularea fixă ​​a parametrului VIP uniqueid la schimbarea tipurilor VIP
• Afișarea câmpului parametrilor de legătură PPP fix când a fost selectată o interfață mamă VLAN # 8098
• Sistem de operare
• Probleme fixe care rezultă din configurația manuală a unui sistem de fișiere cu o slice / usr separat # 8065
• Probleme fixe de actualizare a sistemelor ZFS au creat ZFS utilizând o schemă de partiție MBR (gol / boot din cauza faptului că bootpool nu este importat) # 8063
• Probleme fixe cu sesiuni BGP utilizând semnături TCP MD5 în pachetele de daemon de rutare # 7969
• Actualizat dpinger la 3.0
• Ameliorat opțiunile și metodele de selectare a depozitului de actualizare
• S-au actualizat setările compatibile ale sistemului care indică sistemului de operare că nu recuperează date din întreruperi, interfețe punct-la-punct și dispozitive Ethernet pentru a reflecta noul nume / format pentru FreeBSD 11
• S-a modificat procesarea setului de reguli, astfel încât să reîncerce dacă alt proces este în mijlocul unei actualizări, în loc să prezinte o eroare utilizatorului
• Au fost rezolvate anumite probleme de boot UEFI pe diferite platforme
• Certificate
• Înregistrări nevalide fixate în /etc/ssl/openssl.cnf (numai utilizarea non-standard a openssl în cli / shell) # 8059
• Autentificare LDAP fixă ​​atunci când serverul utilizează un CA rădăcină de încredere la nivel global (selectare CA nouă pentru "Lista globală CA Root") # 8044
• Probleme fixe care creează un certificat cu un wildcard CN / SAN # 7994
• Validarea adăugată la Managerul de certificate pentru a împiedica importul unui certificat de autoritate fără certificat în fila CA # 7885
• Ipsec
• A fost rezolvată o problemă prin utilizarea certificatelor CA IPsec atunci când subiectul conține mai multe RDN-uri de același tip # 7929
• A fost rezolvată o problemă cu activarea asistenței clientului IPsec mobil în limbile traduse # 8043
• Probleme fixe cu afișare / ieșire a stării IPsec, inclusiv multiple intrări (una deconectată, una conectată) # 8003
• Afișarea fixă ​​a mai multor clienți IPsec mobili conectați # 7856
• Afișarea fixă ​​a înregistrărilor copilului SA # 7856
• OpenVPN
• A fost adăugată o opțiune pentru serverele OpenVPN de a utiliza "redirect-gateway ipv6" pentru a acționa ca gateway implicit pentru conectarea clienților VPN cu IPv6, similar cu "redirect-gateway def1" pentru IPv4. # 8082
• Opțiunea Opțiunea # 8088 a listei de retragere a certificatului OpenVPN Client
• Formarea traficului
• A fost rezolvată o eroare la configurarea unui limiter peste 2Gb / s (noul maxim este 4Gb / s) # 7979
• Probleme fixe cu interfețe de rețea care nu suportă ALTQ # 7936
• Probleme fixe cu interfețe de rețea vtnet care nu suportă ALTQ # 7594
• S-a rezolvat o problemă cu Stare & gt; Cozi nu reușesc să afișeze statistici pentru interfețele VLAN # 8007
• A fost rezolvată o problemă cu cozi de modelare a traficului care nu permit ca totalul tuturor cozile pentru copii să fie 100% # 7786
• S-a rezolvat o problemă cu limitatori care au primit valori fracționare / non-integer invalide din intrările de limită sau au fost transmise Portalului Captiv de la RADIUS # 8097
• Reguli / NAT
• Selectarea fixă ​​a gateway-urilor IPv6 atunci când se creează o nouă regulă firewall # 8053
• Eroare fixată pe pagina de configurare pentru portul de avantaje care rezultă din datele cookie / interogare rămase / non-pfSense # 8039
• Setarea fixă ​​VLAN Priority via firewall rules # 7973
• XMLRPC
• S-a rezolvat o problemă cu sincronizarea XMLRPC atunci când utilizatorul de sincronizare are o parolă care conține spații # 8032
• Probleme fixe XMLRPC cu vouchere portale captive # 8079
• WebGUI
• A fost adăugată o opțiune pentru dezactivarea HSTS pentru serverul web GUI # 6650
• S-a modificat serviciul web GUI pentru a bloca descărcarea directă a fișierelor .inc # 8005
• Sortarea fixă ​​a serviciilor pe widget-ul de bord și Pagina de stare a serviciilor # 8069
• S-a rezolvat o problemă de intrare în cazul în care intrările statice IPv6 au permis intrarea nevalidă pentru câmpurile de adresă # 8024
• A fost corectată o eroare de sintaxă JavaScript în graficele de trafic atunci când se întâlnesc date nevalide (de exemplu, utilizatorul a fost deconectat sau șters) # 7990
• Eroare de eșantionare fixă ​​în Grafice de trafic # 7966
• A fost rezolvată o eroare JavaScript pe Stare & gt; Monitorizarea # 7961
• S-a rezolvat o problemă de afișare cu tabele goale în Internet Explorer 11 # 7978
• Modificarea procesării de configurare pentru a utiliza o excepție, mai degrabă decât a muri () atunci când detectează o configurație coruptă
• A fost adăugată filtrarea pe pagina pfTop
• A fost adăugat un mijloc pentru pachete pentru a afișa o modalitate pentru utilizator (de ex., repornirea necesară înainte ca pachetul să poată fi utilizat)
• Panoul
• Afișarea fixă ​​a actualizărilor disponibile pe widget-ul # 8035
pentru placa de bord Instalat
• A fost rezolvată o problemă de tip text în widget-ul # 7980 din tabloul de bord Support
• Formatarea fixă ​​a secțiunilor discului / partițiilor în widgetul Informații sistem de bord
• A fost rezolvată o problemă cu widgetul Imagini atunci când nu există o imagine validă salvată # 7896
• Pachete
• Afișarea fixă ​​a pachetelor care au fost eliminate din depozit în Managerul de pachete # 7946
• S-a rezolvat o problemă care afișează pachetele instalate local atunci când depozitul de pachete de la distanță nu este disponibil # 7917
• Diverse
• Legarea fixă ​​a interfeței în ntpd, astfel încât să nu se asculte eronat pe toate interfețele # 8046
• S-a rezolvat o problemă în care restartarea serviciului syslogd ar face sshlockout_pf să proceseze orfani # 7984
• Suport adăugat pentru furnizorul dinamic DNS CloudNS # 7823
• S-a rezolvat o problemă în paginile Managerului de utilizatori și de grup atunci când funcționează pe intrări imediat după ștergerea unei intrări # 7733
• S-a modificat asistentul de configurare, astfel încât să depășească configurația interfeței atunci când este rulat pe o instanță AWS EC2 # 6459
• Fixat o problemă IGMP Proxy cu modul All-multicast pe SG-1000 # 7710

Ce este nou în versiune:

• Actualizări ale tabloului de bord:
• Pe tabloul de bord 2.3.4-RELEASE veți găsi câteva informații suplimentare: Furnizorul de BIOS, versiunea și data de lansare - dacă firewall-ul le poate determina - și un ID unic Netgate. ID-ul unic Netgate este similar cu un număr de serie, este utilizat pentru a identifica în mod unic o instanță a software-ului pfSense pentru clienții care doresc să achiziționeze servicii de asistență. Pentru hardware-ul vândut în magazinul nostru, ne permite de asemenea să legăm unitățile de înregistrările noastre de fabricație. Acest ID este consistent în toate platformele (metale goale, mașini virtuale și instanțe găzduite / cloud cum ar fi AWS / Azure). Inițial am intenționat să folosim numărul de serie hardware sau UUID-ul generat de sistemul de operare, dar am constatat că acestea nu erau fiabile, inconsistente și s-ar putea schimba în mod neașteptat atunci când sistemul de operare a fost reinstalat.
• Ca și în cazul numărului de serie, acest identificator este afișat numai în Tabloul de bord pentru informare și nu este transmis nicăieri automat în mod implicit. Pe viitor, clienții pot utiliza acest identificator atunci când solicită informații de asistență de la personalul sau sistemele noastre.
• Dacă nu ați reușit încă să faceți modificările din versiunea 2.3.x, consultați videoclipul Caracteristici și Repere. Postările din blogul trecut au acoperit unele dintre modificările, cum ar fi îmbunătățirile de performanță de la început și actualizarea webGUI.
• Certificate GUI pentru firewall:
• Utilizatorii Chrome 58 și ulterior și, în unele cazuri, Firefox 48 și ulterior, pot avea probleme de acces la GUI pfSense Web dacă utilizează un certificat implicit auto-semnat generat automat de un firewall care rulează pfSense versiunea 2.3.3-p1 sau mai devreme. Acest lucru se datorează faptului că Chrome 58 aplică cu strictețe RFC 2818, care solicită numai nume de gazde care se potrivesc folosind intrările de Nume alternativ (SAN), mai degrabă decât câmpul Nume comun al unui certificat, iar certificatul implicit auto-semnat nu a populat câmpul SAN. >
• Am corectat codul certificatului pentru a urma în mod corect RFC 2818 într-un mod ușor de utilizat, adăugând automat valoarea certificatului Common Name ca prima intrare SAN.
• Administratorii de firewall vor trebui să genereze un nou certificat pentru a fi utilizați de GUI pentru a utiliza noul format. Există mai multe moduri de a genera un certificat compatibil, inclusiv:
• Generați și activați automat un nou certificat GUI din shell-ul consolei sau ssh folosind unul dintre scenariile noastre de redare:
• redarea pfSsh.php generateguicert
• Utilizați pachetul ACME pentru a genera un certificat de încredere pentru GUI prin Let's Encrypt, care este deja formatat corespunzător.
• Creați manual o nouă autoritate de certificare (CA) auto-semnată și un certificat de server semnat de CA, apoi utilizați-o pentru GUI.
• Activați browserul local "EnableCommonNameFallbackForLocalAnchors" în Chrome 58. Această setare va fi eliminată de Chrome în cele din urmă, deci aceasta este doar o remediere temporară.
• Unii utilizatori pot aminti că nu este prima dată când formatul standard al certificatului a fost problematic din cauza modificărilor browserului. Cu câțiva ani în urmă, Firefox a schimbat modul în care acestea calculează lanțurile de încredere în certificate, ceea ce ar putea face ca un browser să pară înghețat sau suspendat când încercați să accesați mai multe firewall-uri cu certificate auto-semnate care conțin date implicite comune, care au condus la toate aceste certificate care conțin același subiect. Stabilirea a fost mai mult o provocare, dar a dus la o experiență mult mai bună pentru utilizatorii finali.

Ce este nou în versiunea 2.3.4:

• Actualizări ale tabloului de bord:
• Pe tabloul de bord 2.3.4-RELEASE veți găsi câteva informații suplimentare: Furnizorul de BIOS, versiunea și data de lansare - dacă firewall-ul le poate determina - și un ID unic Netgate. ID-ul unic Netgate este similar cu un număr de serie, este utilizat pentru a identifica în mod unic o instanță a software-ului pfSense pentru clienții care doresc să achiziționeze servicii de asistență. Pentru hardware-ul vândut în magazinul nostru, ne permite de asemenea să legăm unitățile de înregistrările noastre de fabricație. Acest ID este consistent în toate platformele (metale goale, mașini virtuale și instanțe găzduite / cloud cum ar fi AWS / Azure). Inițial am intenționat să folosim numărul de serie hardware sau UUID-ul generat de sistemul de operare, dar am constatat că acestea nu erau fiabile, inconsistente și s-ar putea schimba în mod neașteptat atunci când sistemul de operare a fost reinstalat.
• Ca și în cazul numărului de serie, acest identificator este afișat numai în Tabloul de bord pentru informare și nu este transmis nicăieri automat în mod implicit. Pe viitor, clienții pot utiliza acest identificator atunci când solicită informații de asistență de la personalul sau sistemele noastre.
• Dacă nu ați reușit încă să faceți modificările din versiunea 2.3.x, consultați videoclipul Caracteristici și Repere. Postările din blogul trecut au acoperit unele dintre modificările, cum ar fi îmbunătățirile de performanță de la început și actualizarea webGUI.
• Certificate GUI pentru firewall:
• Utilizatorii Chrome 58 și ulterior și, în unele cazuri, Firefox 48 și ulterior, pot avea probleme de acces la GUI pfSense Web dacă utilizează un certificat implicit auto-semnat generat automat de un firewall care rulează pfSense versiunea 2.3.3-p1 sau mai devreme. Acest lucru se datorează faptului că Chrome 58 aplică cu strictețe RFC 2818, care solicită numai nume de gazde care se potrivesc folosind intrările de Nume alternativ (SAN), mai degrabă decât câmpul Nume comun al unui certificat, iar certificatul implicit auto-semnat nu a populat câmpul SAN. >
• Am corectat codul certificatului pentru a urma în mod corect RFC 2818 într-un mod ușor de utilizat, adăugând automat valoarea certificatului Common Name ca prima intrare SAN.
• Administratorii de firewall vor trebui să genereze un nou certificat pentru a fi utilizați de GUI pentru a utiliza noul format. Există mai multe moduri de a genera un certificat compatibil, inclusiv:
• Generați și activați automat un nou certificat GUI din shell-ul consolei sau ssh folosind unul dintre scenariile noastre de redare:
• redarea pfSsh.php generateguicert
• Utilizați pachetul ACME pentru a genera un certificat de încredere pentru GUI prin Let's Encrypt, care este deja formatat corespunzător.
• Creați manual o nouă autoritate de certificare (CA) auto-semnată și un certificat de server semnat de CA, apoi utilizați-o pentru GUI.
• Activați browserul local "EnableCommonNameFallbackForLocalAnchors" în Chrome 58. Această setare va fi eliminată de Chrome în cele din urmă, deci aceasta este doar o remediere temporară.
• Unii utilizatori pot aminti că nu este prima dată când formatul standard al certificatului a fost problematic din cauza modificărilor browserului. Cu câțiva ani în urmă, Firefox a schimbat modul în care acestea calculează lanțurile de încredere în certificate, ceea ce ar putea face ca un browser să pară înghețat sau suspendat când încercați să accesați mai multe firewall-uri cu certificate auto-semnate care conțin date implicite comune, care au condus la toate aceste certificate care conțin același subiect. Stabilirea a fost mai mult o provocare, dar a dus la o experiență mult mai bună pentru utilizatorii finali.

Ce este nou în versiunea 2.3.3-p1:

• FreeBSD-SA-16: 26.openssl - vulnerabilități multiple în OpenSSL. Singurul impact semnificativ asupra pfSense este OCSP pentru HAproxy și FreeRADIUS.
• Mai multe erori legate de HyperV în FreeBSD 10.3, FreeBSD-EN-16: 10 până la 16:16. Pentru detalii, consultați https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Au fost actualizate mai multe pachete și biblioteci încorporate, inclusiv:
• PHP la 5.6.26
• libidn la 1.33
• curl la 7.50.3
• libxml2 la 2.9.4
• A fost adăugată codificarea la parametrul "zone" pe paginile Captive Portal.
• A fost adăugată codificarea de ieșire la diag_dns.php pentru rezultatele returnate din DNS. # 6737
• S-a lucrat în jurul unui bug Chrome cu parsarea expresiilor obișnuite a caracterelor scoase din seturi de caractere. Remediază "Vă rugăm să potriviți formatul solicitat" pe versiunile recente ale Chrome. # 6762
• Opțiunea formatată pentru serverul de timp DHCPv6 fixe # 6640
• Fișierul fix / usr / bin / install lipsește de la instalațiile noi. # 6643
• Cresterea limitei de coada de filtrare pentru logare astfel cautarea va gasi suficiente intrari. # 6652
• Curățat widget-ul Instalat Packages și HTML. # 6601
• Corupția setărilor widgeturilor fixe la crearea unor setări noi. # 6669
• Au fost rezolvate diferite erori de scriere și scriere.
• Au fost eliminate link-urile defecte la site-ul devwiki. Totul este acum pe https://doc.pfsense.org.
• A fost adăugat un câmp în paginile CA / Cert pentru OU, care este cerut de anumite CA-uri și utilizatori externi. # 6672
• Fixat un HTTP redundant "User-Agent" șir în actualizările DynDNS.
• Fixat fontul pentru tabelele de tip.
• A fost adăugat un cec pentru a verifica dacă o interfață este activă într-un grup de gateway înainte de a actualiza DNS dinamic.
• Formularea fixă ​​a "contractelor de leasing de la" opțiune pentru o interfață DHCP (poate lua doar adrese, nu subrețele.) # 6646
• Raportarea erorilor fixe pentru testarea setărilor SMTP.
• Salvarea fixă ​​a țării, a furnizorului și a planurilor pentru interfețele PPP
• Verificarea fixă ​​a codului nevalid "Go To Line" numere pe diag_edit.php. # 6704
• Eroare fixată la o singură dată cu "Rânduri pentru afișare" pe diag_routes.php. # 6705
• Descrierea fixă ​​a casetei de filtrare de pe diag_routes.php pentru a reflecta că toate câmpurile pot fi căutate. # 6706
• Descrierea fixă ​​a casetei pentru editarea fișierului pe diag_edit.php. # 6703
• Descrierea fixă ​​a panoului principal pe diag_resetstate.php. # 6709
• Dialogul de avertizare fix, când o casetă nu este bifată pe diag_resetstate.php. # 6710
• Comandă rapidă pentru jurnal fix pentru zonele DHCP6. # 6700
• S-a fixat butonul de ștergere a rețelei care arată când a fost prezent un singur rând pe services_unbound_acls.php # 6716
• Textul de ajutor de dispariție fixă ​​pe rânduri repetate când ultimul rând este șters. # 6716
• Domeniu DNS fix dinamic pentru intrări DHCP de hartă statică
• A fost adăugat controlul pentru a seta perioada de actualizare a widget-ului de bord
• Adăugat "C / dev / null" la parametrii liniei de comandă dnsmasq pentru a evita ridicarea unei configurații incorecte implicite, care să suprascrie opțiunile noastre. # 6730
• A adăugat "-l" la traceroute6 pentru a afișa atât adresele IP cât și numele de gazdă atunci când rezolvă hops-ul pe diag_traceroute.php. # 6715
• A fost adăugată o notă despre limita max ttl / hop în comentariul sursă pe diag_traceroute.php.
• Clarified language on diag_tables.php. # 6713
• Curățați textul pe diag_sockets.php. # 6708
• Afișarea fixă ​​a denumirilor de interfață VLAN în timpul asignării consolei. # 6724
• Opțiunea de nume de servere fixe-nume-servere care se afișează de două ori în grupuri de culori atunci când este setată manual.
• Manipularea fixă ​​a opțiunilor DHCP în bazine altele decât gama principală. # 6720
• Au fost fixate numele de gazde lipsă în unele cazuri cu dhcpdv6. # 6589
• Îmbunătățirea procesării pidfilelor pentru dhcpleases.
• S-au adăugat verificări pentru a împiedica accesarea unui offset nedefinit în IPv6.inc.
• Fixarea afișării opțiunilor pop-up și editare de alias pe sursă și destinație atât pentru adresa, cât și pentru portul NAT aflat în expediție.
• Manipularea fixă ​​a numărului de conturi de rezervă. # 6771
• S-au eliminat unele referințe PPTP care nu mai sunt relevante.
• S-au stabilit / capturat zonele syslog de la distanță. Au fost adăugate "routing", "ntpd", "ppp", "resolver", fixate "vpn" pentru a include toate zonele VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Căsuțele de verificare lipsă au fost fixate în unele cazuri atunci când se adaugă rânduri pe services_ntpd.php. # 6788
• Pictogramele revizuite de funcționare / oprire a serviciului.
• A fost adăugat un control la gestionarea CRL pentru a elimina certificatele din lista derulantă care sunt deja conținute în CRL editat.
• Separatoarele de reguli fixe se deplasează atunci când sunt șterse mai multe reguli firewall în același timp. # 6801

Ce este nou în versiunea 2.3.3:

• FreeBSD-SA-16: 26.openssl - Mai multe vulnerabilități în OpenSSL. Singurul impact semnificativ asupra pfSense este OCSP pentru HAproxy și FreeRADIUS.
• Mai multe erori legate de HyperV în FreeBSD 10.3, FreeBSD-EN-16: 10 până la 16:16. Pentru detalii, consultați https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Au fost actualizate mai multe pachete și biblioteci încorporate, inclusiv:
• PHP la 5.6.26
• libidn la 1.33
• curl la 7.50.3
• libxml2 la 2.9.4
• A fost adăugată codificarea la parametrul "zone" pe paginile Captive Portal.
• A fost adăugată codificarea de ieșire la diag_dns.php pentru rezultatele returnate din DNS. # 6737
• S-a lucrat în jurul unui bug Chrome cu parsarea expresiilor obișnuite a caracterelor scoase din seturi de caractere. Corectează "Încărcați formatul solicitat" în versiunile recente ale Chrome. # 6762
• Opțiunea formatată pentru serverul de timp DHCPv6 fixe # 6640
• Fișierul fix / usr / bin / install lipsește de la instalațiile noi. # 6643
• Cresterea limitei de coada de filtrare pentru logare astfel cautarea va gasi suficiente intrari. # 6652
• Curățat widget-ul Instalat Packages și HTML. # 6601
• Corupția setărilor widgeturilor fixe la crearea unor setări noi. # 6669
• Au fost rezolvate diferite erori de scriere și scriere.
• Au fost eliminate link-urile defecte la site-ul devwiki. Totul este acum pe https://doc.pfsense.org.
• A fost adăugat un câmp în paginile CA / Cert pentru OU, care este cerut de anumite CA-uri și utilizatori externi. # 6672
• Fixat un șir HTTP "User-Agent" redundant în actualizările DynDNS.
• Fixat fontul pentru tabelele de tip.
• A fost adăugat un cec pentru a verifica dacă o interfață este activă într-un grup de gateway înainte de a actualiza DNS dinamic.
• Formularea opțională a opțiunii "Închirierile de respingere de la" pentru o interfață DHCP (poate lua doar adrese, nu subrețele.) # 6646
• Raportarea erorilor fixe pentru testarea setărilor SMTP.
• Salvarea fixă ​​a țării, a furnizorului și a planurilor pentru interfețele PPP
• Verificarea fixă ​​a numerelor "Go To Line" nevalide pe diag_edit.php. # 6704
• Eroare fixă ​​la sfârșit cu "Rânduri pentru afișare" pe diag_routes.php. # 6705
• Descrierea fixă ​​a casetei de filtrare de pe diag_routes.php pentru a reflecta că toate câmpurile pot fi căutate. # 6706
• Descrierea fixă ​​a casetei pentru editarea fișierului pe diag_edit.php. # 6703
• Descrierea fixă ​​a panoului principal pe diag_resetstate.php. # 6709
• Dialogul de avertizare fix, când o casetă nu este bifată pe diag_resetstate.php. # 6710
• Comandă rapidă pentru jurnal fix pentru zonele DHCP6. # 6700
• S-a fixat butonul de ștergere a rețelei care arată când a fost prezent un singur rând pe services_unbound_acls.php # 6716
• Textul de ajutor de dispariție fixă ​​pe rânduri repetate când ultimul rând este șters. # 6716
• Domeniu DNS fix dinamic pentru intrări DHCP de hartă statică
• A fost adăugat controlul pentru a seta perioada de actualizare a widget-ului de bord
• Adăugat "-C / dev / null" la parametrii liniei de comandă dnsmasq pentru a evita ridicarea unei configurații incorecte implicite, care să suprascrie opțiunile noastre. # 6730
• Adăugat "-l" la traceroute6 pentru a afișa atât adresele IP cât și numele de gazdă atunci când rezolvă hops-ul pe diag_traceroute.php. # 6715
• A fost adăugată o notă despre limita max ttl / hop în comentariul sursă pe diag_traceroute.php.
• Clarified language on diag_tables.php. # 6713
• Curățați textul pe diag_sockets.php. # 6708
• Afișarea fixă ​​a denumirilor de interfață VLAN în timpul asignării consolei. # 6724
• Opțiunea de nume de servere fixe-nume-servere care se afișează de două ori în grupuri de culori atunci când este setată manual.
• Manipularea fixă ​​a opțiunilor DHCP în bazine altele decât gama principală. # 6720
• Au fost fixate numele de gazde lipsă în unele cazuri cu dhcpdv6. # 6589
• Îmbunătățirea procesării pidfilelor pentru dhcpleases.
• S-au adăugat verificări pentru a împiedica accesarea unui offset nedefinit în IPv6.inc.
• Fixarea afișării opțiunilor pop-up și editare alias pe sursă și destinație atât pentru adresa, cât și pentru portul NAT extern.
• Manipularea fixă ​​a numărului de conturi de rezervă. # 6771
• S-au eliminat unele referințe PPTP care nu mai sunt relevante.
• S-au stabilit / capturat zonele syslog de la distanță. Adăugat "routing", "ntpd", "ppp", "resolver", fix "vpn" pentru a include toate zonele VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Căsuțele de verificare lipsă au fost fixate în unele cazuri atunci când se adaugă rânduri pe services_ntpd.php. # 6788
• Pictogramele revizuite de funcționare / oprire a serviciului.
• A fost adăugat un control la gestionarea CRL pentru a elimina certificatele din lista derulantă care sunt deja conținute în CRL editat.
• Separatoarele de reguli fixe se deplasează atunci când sunt șterse mai multe reguli firewall în același timp. # 6801

Ce este nou în versiunea 2.3.2-p1:

• FreeBSD-SA-16: 26.openssl - Mai multe vulnerabilități în OpenSSL. Singurul impact semnificativ asupra pfSense este OCSP pentru HAproxy și FreeRADIUS.
• Mai multe erori legate de HyperV în FreeBSD 10.3, FreeBSD-EN-16: 10 până la 16:16. Pentru detalii, consultați https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Au fost actualizate mai multe pachete și biblioteci încorporate, inclusiv:
• PHP la 5.6.26
• libidn la 1.33
• curl la 7.50.3
• libxml2 la 2.9.4
• A fost adăugată codificarea la parametrul "zone" pe paginile Captive Portal.
• A fost adăugată codificarea de ieșire la diag_dns.php pentru rezultatele returnate din DNS. # 6737
• S-a lucrat în jurul unui bug Chrome cu parsarea expresiilor obișnuite a caracterelor scoase din seturi de caractere. Corectează "Încărcați formatul solicitat" în versiunile recente ale Chrome. # 6762
• Opțiunea formatată pentru serverul de timp DHCPv6 fixe # 6640
• Fișierul fix / usr / bin / install lipsește de la instalațiile noi. # 6643
• Cresterea limitei de coada de filtrare pentru logare astfel cautarea va gasi suficiente intrari. # 6652
• Curățat widget-ul Instalat Packages și HTML. # 6601
• Corupția setărilor widgeturilor fixe la crearea unor setări noi. # 6669
• Au fost rezolvate diferite erori de scriere și scriere.
• Au fost eliminate link-urile defecte la site-ul devwiki. Totul este acum pe https://doc.pfsense.org.
• A fost adăugat un câmp în paginile CA / Cert pentru OU, care este cerut de anumite CA-uri și utilizatori externi. # 6672
• Fixat un șir HTTP "User-Agent" redundant în actualizările DynDNS.
• Fixat fontul pentru tabelele de tip.
• A fost adăugat un cec pentru a verifica dacă o interfață este activă într-un grup de gateway înainte de a actualiza DNS dinamic.
• Formularea opțională a opțiunii "Închirierile de respingere de la" pentru o interfață DHCP (poate lua doar adrese, nu subrețele.) # 6646
• Raportarea erorilor fixe pentru testarea setărilor SMTP.
• Salvarea fixă ​​a țării, a furnizorului și a planurilor pentru interfețele PPP
• Verificarea fixă ​​a numerelor "Go To Line" nevalide pe diag_edit.php. # 6704
• Eroare fixă ​​la sfârșit cu "Rânduri pentru afișare" pe diag_routes.php. # 6705
• Descrierea fixă ​​a casetei de filtrare de pe diag_routes.php pentru a reflecta că toate câmpurile pot fi căutate. # 6706
• Descrierea fixă ​​a casetei pentru editarea fișierului pe diag_edit.php. # 6703
• Descrierea fixă ​​a panoului principal pe diag_resetstate.php. # 6709
• Dialogul de avertizare fix, când o casetă nu este bifată pe diag_resetstate.php. # 6710
• Comandă rapidă pentru jurnal fix pentru zonele DHCP6. # 6700
• S-a fixat butonul de ștergere a rețelei care arată când a fost prezent un singur rând pe services_unbound_acls.php # 6716
• Textul de ajutor de dispariție fixă ​​pe rânduri repetate când ultimul rând este șters. # 6716
• Domeniu DNS fix dinamic pentru intrări DHCP de hartă statică
• A fost adăugat controlul pentru a seta perioada de actualizare a widget-ului de bord
• Adăugat "-C / dev / null" la parametrii liniei de comandă dnsmasq pentru a evita ridicarea unei configurații incorecte implicite, care să suprascrie opțiunile noastre. # 6730
• Adăugat "-l" la traceroute6 pentru a afișa atât adresele IP cât și numele de gazdă atunci când rezolvă hops-ul pe diag_traceroute.php. # 6715
• A fost adăugată o notă despre limita max ttl / hop în comentariul sursă pe diag_traceroute.php.
• Clarified language on diag_tables.php. # 6713
• Curățați textul pe diag_sockets.php. # 6708
• Afișarea fixă ​​a denumirilor de interfață VLAN în timpul asignării consolei. # 6724
• Opțiunea de nume de servere fixe-nume-servere care se afișează de două ori în grupuri de culori atunci când este setată manual.
• Manipularea fixă ​​a opțiunilor DHCP în bazine altele decât gama principală. # 6720
• Au fost fixate numele de gazde lipsă în unele cazuri cu dhcpdv6. # 6589
• Îmbunătățirea procesării pidfilelor pentru dhcpleases.
• S-au adăugat verificări pentru a împiedica accesarea unui offset nedefinit în IPv6.inc.
• Fixarea afișării opțiunilor pop-up și editare alias pe sursă și destinație atât pentru adresa, cât și pentru portul NAT extern.
• Manipularea fixă ​​a numărului de conturi de rezervă. # 6771
• S-au eliminat unele referințe PPTP care nu mai sunt relevante.
• S-au stabilit / capturat zonele syslog de la distanță. Adăugat "routing", "ntpd", "ppp", "resolver", fix "vpn" pentru a include toate zonele VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Căsuțele de verificare lipsă au fost fixate în unele cazuri atunci când se adaugă rânduri pe services_ntpd.php. # 6788
• Pictogramele revizuite de funcționare / oprire a serviciului.
• A fost adăugat un control la gestionarea CRL pentru a elimina certificatele din lista derulantă care sunt deja conținute în CRL editat.
• Separatoarele de reguli fixe se deplasează atunci când sunt șterse mai multe reguli firewall în același timp. # 6801

Ce este nou în versiunea 2.3.2:

• Backup / Restore:
• Nu permiteți aplicarea modificărilor la restabilirea interfeței după configurare până la reasigurare. # 6613
• Stare:
• Tabloul de bord are acum opțiuni de configurare per utilizator, documentate în Managerul de utilizator. # 6388
• Serverul DHCP:
• Dezactivat dhcp-cache-threshold pentru a evita o eroare în ISC dhcpd 4.3.x omiterea client-hostname din fișierul de leasing, ceea ce face ca înregistrarea dinamică a numelui de gazdă să nu reușească în unele cazuri de margine. # 6589
• Rețineți că cheia DDNS trebuie să fie HMAC-MD5. # 6622
• Releu DHCP:
• Fișier importat pentru solicitările de retransmitere a dhcrelay pe interfața în care se află serverul DHCP țintă. # 6355
• DNS dinamic:
• Permite * pentru numele de gazdă cu Namecheap. # 6260
• Interfețe:
• Fix nu poate atribui adresa solicitată "în timpul încărcării cu interfețe track6. # 6317
• Eliminați opțiunile de link depreciate din GRE și gif. # 6586, # 6587
• Respectați "Respingeți leasing-urile din" atunci când este bifată opțiunea "DHCP" "Advanced options". # 6595
• Protejați delimitatoarele închise în configurația avansată a clientului DHCP, astfel încât virgulele pot fi utilizate acolo. # 6548
• Fixați rută implicită pe interfețele PPPoE care lipsesc în unele cazuri de margine. # 6495
• Ipsec:
• strongSwan upgrade la 5.5.0.
• Include agresiv în ipsec.conf unde este selectat modul auto IKE. # 6513
• Monitorizarea gateway-ului:
• Numele de socket fixat este prea mare, ceea ce face că monitorizarea gateway-ului nu reușește pe nume de interfață lungi și adrese IPv6. # 6505
• Limitatoare:
• Setați pipe_slot_limit automat la valoarea maximă configurată qlimit. # 6553
• Monitorizare:
• Nu au fost înregistrate perioade de date ca fiind 0, medii înclinate. # 6334
• Fișierul de instrucțiuni de fixare este afișat ca fiind "none" pentru unele valori. # 6044
• Fixați salvarea unor opțiuni de configurare implicite. # 6402
• Fixați axa X căpușe care nu răspund la rezoluție pentru perioadele de timp personalizate. # 6464
• OpenVPN:
• Re-sincronizați configurațiile specifice clientului după salvarea instanțelor serverului OpenVPN pentru a vă asigura că setările acestora reflectă configurația actuală a serverului. # 6139
• Sistem de operare:
• Stările fixe ale fragmentului pf nu sunt curățate, declanșând "limita de intrare fragmente PF atinsă". # 6499
• Setați locația fișierului central astfel încât să nu poată ajunge în / var / run și să epuizeze spațiul disponibil. # 6510
• În timp real, "runtime a mers înapoi" a înregistrat spam în Hyper-V. # 6446
• Fixed traceroute6 atârnă cu hamei care nu răspunde în cale. # 3069
• S-a adăugat simbolink /var/run/dmesg.boot pentru vm-bhyve. # 6573
• Setați net.isr.dispatch = direct pe sisteme de 32 de biți cu IPsec activat pentru a preveni accidentele atunci când accesează servicii pe gazdă în sine prin VPN. # 4754
• Anunțuri router:
• Câmpurile de configurare adăugate pentru intervalele minime și maxime de publicitate a routerului și durata de viață a routerului. # 6533
• Routing:
• Căi statice fixe cu routerul țintă locală pentru legătura IPv6 pentru a include domeniul de aplicare al interfeței. # 6506
• Reguli / NAT:
• Parametru fix pentru "Clienții PPPoE" în reguli și NAT și eroare de seturi de reguli atunci când se utilizează reguli plutitoare specificând serverul PPPoE. # 6597
• Eșec fixat pentru a încărca setul de reguli cu aliasuri de tabel de adrese URL unde este specificat un fișier gol. # 6181
• Proxy fix TFTP cu xinetd. # 6315
• Upgrade:
• Eroare de upgrade fixe nanobsd unde DNS Forwarder / Resolver nu este legat la localhost. # 6557
• Adrese IP virtuale:
• Probleme de performanță fixe cu un număr mare de adrese IP virtuale. # 6515
• Epuizarea memoriei PHP fixă ​​pe pagina de stare CARP cu tabele mari de stare. # 6364
• Interfața Web:
• S-a adăugat sortarea în tabelul de mapări statice DHCP. # 6504
• Încărcarea fișierelor fixe ale secundelor de salt NTP. # 6590
• A fost adăugat suportul IPv6 la diag_dns.php. # 6561
• A fost adăugat suportul IPv6 pentru a filtra afișarea inversă a jurnalelor. # 6585
• Sistem pachet - păstrați datele câmpului privind eroarea de intrare. # 6577
• Au fost rezolvate multiple probleme de validare a intrărilor IPv6 care permit IP-uri IPv6 nevalide. # 6551, # 6552
• Au fost fixate unele contracte de leasing DHCPv6 care lipsesc de la afișarea închirieri GUI. # 6543
• Uciderea în stare fixă ​​pentru direcția "în" și stările cu destinația tradusă. # 6530, # 6531
• Restaurați validarea de intrare a numelor zonelor captive pentru a preveni nevalidul XML. # 6514
• Selector de dată calendar înlocuit în managerul de utilizatori cu unul care funcționează în alte browsere decât Chrome și Opera. # 6516
• Câmp de port proxy restaurat la client OpenVPN. # 6372
• Clarificarea descrierii aliaselor de porturi. # 6523
• Ieșire de traducere fixă ​​unde gettext a trecut un șir gol. # 6394
• Selectarea vitezei fixe pentru 9600 în configurația GPS NTP. # 6416
• Permiteți accesul pe IPv6 numai pe ecranul NPT. # 6498
• Adăugați suport pentru importul de alias pentru rețele și porturi. # 6582
• Unitățile fixe ale antetului tabelă fixate au fost fixate. # 6074
• Curățați secțiunea Începerea rețelei din ecranul serverului DHCP. # 6050
• Fixați link-urile "UNKNOWN" în managerul de pachete. # 6617
• Fixați câmpul de lățime de bandă lipsă pentru cozile CBQ de configurare a traficului. # 6437
• UPnP:
• URL-ul de prezentare UPnP și numărul de model acum configurabil. # 6002
• Manager de utilizator:
• Interzicerea administratorilor de a șterge propriile conturi în managerul de utilizatori. # 6450
• Altele:
• S-au adăugat sesiuni de shell PHP pentru a activa și dezactiva modul de întreținere CARP persistent. "redare enablecarpmaint" și "playback disablecarpmaint". # 6560
• Configurația consolei seriale expuse pentru VGA nanobsd. # 6291

Ce este nou în versiunea 2.3.1 Actualizare 5:

• Cele mai semnificative modificări din această versiune sunt o rescriere a webGUI utilizând Bootstrap și sistemul de bază, inclusiv sistemul de bază și kernel-ul, fiind transformate în întregime în FreeBSD pkg. Conversia PKG ne permite să actualizăm bucăți ale sistemului în mod individual înainte, mai degrabă decât actualizările monolitice ale trecutului. Rewrite-ul webGUI aduce un nou aspect receptiv la pfSense, care necesită un minim de redimensionare sau derulare pe o gamă largă de dispozitive, de la desktop la telefoane mobile.

Ce este nou în versiunea 2.2.6 / 2.3 Alpha:

• pfSense-SA-15_09.webgui: Vulnerabilitatea incluziunii fișierelor locale în pfSense WebGUI
• pfSense-SA-15_10.captiveportal: Vulnerabilitatea SQL Injection în logoutul portalului pfSense captive
• pfSense-SA-15_11.webgui: Vulnerabilități XSS și CSRF multiple în pfSense WebGUI
• Actualizat la FreeBSD 10.1-RELEASE-p25
• FreeBSD-SA-15: 26.openssl Mai multe vulnerabilități în OpenSSL
• Actualizat puternicSwan la 5.3.5_2
• Include remedierea vulnerabilității bypassului de autentificare CVE-2015-8023 în pluginul eap-mschapv2.

Ce este nou în versiunea 2.2.5 / 2.3 Alpha:

• pfSense-SA-15_08.webgui: Vulnerabilități XSS multiple stocate în pfSense WebGUI
• Actualizat la FreeBSD 10.1-RELEASE-p24:
• FreeBSD-SA-15: 25.ntp Mai multe vulnerabilități în NTP [REVISED]
• FreeBSD-SA-15: 14.bsdpatch: Din cauza sanitizării insuficiente a fluxului de patch-uri de intrare, este posibil ca un fișier de patch-uri să provoace patch-uri (1) pentru a rula comenzi în plus față de comenzile SCCS sau RCS dorite. / li>
• FreeBSD-SA-15: 16.openssh: Clientul OpenSSH nu verifică corect înregistrările DNS SSHFP atunci când un server oferă un certificat. CVE-2014-2653 serverele OpenSSH care sunt configurate pentru a permite autentificarea parolei utilizând PAM (implicit) ar permite multe încercări de parolă.
• FreeBSD-SA-15: 18.bsdpatch: Din cauza sanitizării insuficiente a fluxului de patch-uri de intrare, este posibil ca un fișier de patch-uri să determine patch-ul (1) editor, care ar executa comenzi.
• FreeBSD-SA-15: 20.expat: Multiple integer overflows au fost descoperite în funcția XML_GetBuffer () în biblioteca expat.
• FreeBSD-SA-15: 21.amd64: Dacă instrucțiunea IRET în modul kernel generează o excepție #SS sau #NP, dar procedura de tratare a excepțiilor nu asigură corect că baza de înregistrare corectă GS pentru kernel este reîncărcată , segmentul GS de utilizare poate fi utilizat în contextul procesului de exceptare a kernelului.
• FreeBSD-SA-15: 22.openssh: O eroare de programare în procesul de monitor privilegiat al serviciului sshd (8) poate permite ca numele de utilizator al unui utilizator deja autentificat să fie suprascris de procesul copilului neprihănit. O eroare de utilizare ulterioară în procesul monitorului privilegiat al serviciului sshd (8) poate fi declanșată determinist de acțiunile unui proces copil defavorizat compromis. O eroare de utilizare ulterioară în codul de multiplexare a sesiunii din serviciul sshd (8) poate duce la terminarea neintenționată a conexiunii.

Ce este nou în versiunea 2.2.4:

• pfSense-SA-15_07.webgui: Vulnerabilități XSS multiple stocate în pfSense WebGUI
• Lista completă a paginilor și câmpurilor afectate este listată în SA asociat.
• FreeBSD-SA-15: 13.tcp: epuizarea resurselor datorită sesiunilor blocate în starea LAST_ACK. Rețineți că acest lucru se aplică numai scenariilor în care porturile care asculta pe pfSense în sine (nu lucrurile trecute prin NAT, rutare sau punte) sunt deschise rețelelor neîncrezătoare. Acest lucru nu se aplică configurației implicite.
• Notă: FreeBSD-SA-15: 13.openssl nu se aplică la pfSense. pfSense nu a inclus o versiune vulnerabilă a OpenSSL și, prin urmare, nu a fost vulnerabilă.
• Mai multe remedii pentru coruperea fișierelor în diverse cazuri în timpul unei închideri necurate (accident, pierdere de putere etc.). # 4523
• Fixed pw în FreeBSD pentru a adresa corupția passwd / grup
• Fixarea config.xml scris pentru a utiliza fsync în mod corespunzător pentru a evita cazurile când s-ar putea încheia gol. # 4803
• Odată eliminată opțiunea de "sincronizare" de la sistemele de fișiere pentru instalări complete și actualizări complete, acum că fixul real este în vigoare.
• S-au eliminat softupdates și journaling (AKA SU + J) de la NanoBSD, rămânând instalate pe deplin. # 4822
• Patch-ul forsync pentru # 2401 este încă considerat dăunător pentru sistemul de fișiere și a fost păstrat. Ca atare, ar putea exista o încetinire considerabilă cu NanoBSD pe anumite discuri mai lente, în special cartelele CF și într-o măsură mai mică, cardurile SD. Dacă aceasta este o problemă, sistemul de fișiere poate fi păstrat citit și scris pe o bază permanentă, utilizând opțiunea Diagnostics & gt; NanoBSD. Cu celelalte modificări de mai sus, riscul este minim. Vă sfătuim să înlocuiți cât mai curând posibil suportul CF / SD afectat cu un card nou și mai rapid. # 4822
• Actualizat PHP la 5.5.27 pentru a adresa CVE-2015-3152 # 4832
• Scăzut LoginGraceTime SSH de la 2 minute la 30 de secunde pentru a atenua impactul bug-ului de bypass MaxAuthTries. Notă Sshlockout va bloca IP-urile abuzive în toate versiunile anterioare, actuale și viitoare. # 4875

Ce este nou în versiunea 2.2.3:

• pfSense-SA-15_06.webgui: Vulnerabilități XSS multiple în pfSense WebGUI
• Lista completă a paginilor și câmpurilor afectate este mare și toate sunt listate în SA asociat.
• FreeBSD-SA-15: 10.openssl: Mai multe vulnerabilități OpenSSL (inclusiv Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791 , CVE-2015-4000

Ce este nou în versiunea 2.2.2:

• Această versiune include două actualizări de securitate cu risc scăzut:
• FreeBSD-SA-15: 09.ipv6: Denial of Service cu anunțuri Router IPv6. În cazul în care un sistem utilizează tipul WAN de tip DHCPv6, dispozitivele din același domeniu de difuzare ca și acel WAN pot trimite pachete artizanale care determină pierderea conexiunii la Internet prin IPv6.
• FreeBSD-SA-15: 06.openssl: Mai multe vulnerabilități OpenSSL. Cele mai multe nu sunt aplicabile, iar cel mai grav impact este negarea serviciului.

Ce este nou în versiunea 2.2.1:

• Remedieri de securitate:
• pfSense-SA-15_02.igmp: Overflow întreg în protocolul IGMP (FreeBSD-SA-15: 04.igmp)
• pfSense-SA-15_03.webgui: Vulnerabilități XSS multiple în pfSense WebGUI
• pfSense-SA-15_04.webgui: vulnerabilitate de ștergere a fișierului arbitrar în pfSense WebGUI
• FreeBSD-EN-15: 01.vt: vt (4) accident cu parametri ioctl incorect
• FreeBSD-EN-15: 02.openssl: Actualizare pentru a include corecții de fiabilitate din OpenSSL
• O notă privind vulnerabilitatea OpenSSL "FREAK":
• Nu afectează configurația serverului web pe paravanul de protecție, deoarece nu are activat cipurile de export.
• pfSense 2.2 a inclus deja OpenSSL 1.0.1k care a abordat vulnerabilitatea de pe partea clientului.
• Dacă pachetele includ un server web sau o componentă similară, cum ar fi un proxy, poate fi afectată o configurație necorespunzătoare a utilizatorului. Consultați documentația sau forumul pentru detalii.

Ce este nou în versiunea 2.2:

• Această versiune aduce îmbunătățiri în ceea ce privește performanța și suportul hardware din baza de date FreeBSD 10.1, precum și îmbunătățirile pe care le-am adăugat, cum ar fi AES-GCM cu accelerare AES-NI, printre alte caracteristici noi și corecții de erori. li>
• În procesul de eliberare, am închis 392 de bilete totale (acest număr include 55 de caracteristici sau sarcini), au reparat 135 de bug-uri care afectează versiunea 2.1.5 și versiuni anterioare, au stabilit alte 202 bug-uri introduse în 2.2 prin avansarea bazei Versiunea OS de la FreeBSD 8.3 până la 10.1, schimbarea daemonilor de tastare IPsec de la racoon la strongSwan, upgrade-ul backend-ului PHP la versiunea 5.5 și trecerea de la FastCGI la PHP-FPM și adăugarea Resolverului DNS Unbound și a multor modificări mai mici.
• Această versiune conține patru soluții de securitate cu impact redus:
• actualizare openssl pentru FreeBSD-SA-15: 01.openssl
• Mai multe vulnerabilități XSS în interfața web. pfSense-SA-15_01
• Actualizare OpenVPN pentru CVE-2014-8104
• Actualizarea NTP FreeBSD-SA-14: 31.ntp - deși aceste circumstanțe nu par să influențeze pfSense.

Ce este nou în versiunea 2.1.4:

• Remedieri de securitate:
• pfSense-SA-14_07.openssl
• FreeBSD-SA-14: 14.openssl
• pfSense-SA-14_08.webgui
• pfSense-SA-14_09.webgui
• pfSense-SA-14_10.webgui
• pfSense-SA-14_11.webgui
• pfSense-SA-14_12.webgui
• pfSense-SA-14_13.packages
• Pachetele aveau, de asemenea, propriile lor soluții independente și au nevoie de actualizare. În timpul procesului de actualizare a firmware-ului, pachetele vor fi reinstalate corespunzător. În caz contrar, dezinstalați și apoi reinstalați pachetele pentru a vă asigura că cea mai recentă versiune a binarelor este în uz.
• Alte opțiuni:
• Patch pentru problema captive a portofoliului Captive, care conduce la "Maximum login" at "Portal captiv. # 3062
• Eliminați textul care nu este relevant pentru IP-urile permise pe portalul captiv. # 3594
• Eliminați unitățile de la spargere așa cum este specificat întotdeauna în octeți. (Pe ipfw (8)).
• Adăugați o coloană pentru portul intern pe pagina de stare UPnP.
• Asigurați-vă că opțiunea de ascultare pe interfață, mai degrabă decât IP, este opțională pentru UPnP.
• Fixați evidențierea regulilor selectate. # 3646
• Adăugați guiconfig la widget-uri care nu îl includ. # 3498
• / etc / version_kernel și / etc / version_base nu mai există, utilizați php_uname pentru a obține versiunea pentru verificarea XMLRPC.
• Fixați tipo variabilă. # 3669
• Ștergeți toate Aliasurile IP atunci când o interfață este dezactivată. # 3650
• În cazul în care aceasta nu reușește, gestionați corect numele arhivelor RRD în timpul erorilor de upgrade și squelch.
• Conversia protocolului ssl: // la https: // la crearea anteturilor HTTP pentru XMLRPC.
• Afișați interfețele dezactivate atunci când acestea făceau deja parte dintr-un grup de interfață. Acest lucru evită afișarea unei interfețe aleatorii și lăsarea utilizatorului să o adauge din greșeală. # 3680
• directiva client-config-dir pentru OpenVPN este de asemenea utilă atunci când folosiți DHCP intern OpenVPN în timpul mutarea, deci adăugați-l și în acest caz.
• Folosiți curl în loc să preluați pentru a descărca fișierele de actualizare. # 3691
• Variabila Escape înainte de a trece la shell din stop_service ().
• Adăugați o anumită protecție parametrilor care vin prin _GET în managementul serviciului.
• Argumentul Escape la apelul la is_process_running, elimina, de asemenea, unele apeluri inutile mwexec ().
• Nu permiteți ca numele grupului de interfață să fie mai mare de 15 caractere. # 3208
• Fiți mai precis pentru a se potrivi cu membrii unei interfețe de pod, ar trebui să remediați # 3637
• Nu expirați utilizatorii deja dezactivați, repară # 3644
• Validați formatul de pornire și formatul stoptime pe firewall_schedule_edit.php
• Fii mai atent cu parametrul gazdă pe diag_dns.php și asigurați-vă că a scăpat atunci când funcționează shell shell
• Parametrii de evacuare trecuți la shell_exec () în diag_smart.php și în altă parte
• Asigurați-vă că variabilele sunt scăpate / dezinfectate pe status_rrd_graph_img.php
• Înlocuiți apelurile exec pentru a rula rm prin unlink_if_exists () pe status_rrd_graph_img.php
• Înlocuiți toate apelurile "hostname" de php_uname (& lsquo; n ') pe status_rrd_graph_img.php
• Înlocuiți toate apelurile "date" de strftime () pe status_rrd_graph_img.php
• Adăugați $ _gb pentru a colecta eventualul gunoi de la return return pe status_rrd_graph_img.php
• Evitați traversarea directoarelor în pkg_edit.php când citiți fișierele xml din pachet, verificați dacă există un fișier înainte de a încerca să îl citiți
• Eliminați id = 0 din meniul miniupnpd și comanda rapidă
• Eliminați. și / de la numele pkg pentru a evita traversarea directorului în pkg_mgr_install.php
• Fixați dump-ul de bază în vizualizarea jurnalului de pachete nevalid
• Evitați traversarea directoarelor pe sistem_firmware_restorefullbackup.php
• Re-generați ID-ul sesiunii pe o înregistrare reușită pentru a evita fixarea sesiunii
• Protejați parametrii rssfeed cu htmlspecialchars () în rss.widget.php
• Protejați parametrul filtrului servicestatus cu htmlspecialchars () în services_status.widget.php
• Setați întotdeauna atributul httponly pe cookie-uri
• Dezactivați autocompletarea automată a login-ului webConfigurator "ca în mod implicit pentru instalări noi
• Simplificați logica, adăugați o anumită protecție la parametrii de intrare ai utilizatorului pe log.widget.php
• Asigurați-vă că citatele unice sunt codificate și evitați injectarea javascript pe exec.php
• Adăugați protocoalele NAT lipsă pe firewall_nat_edit.php
• Eliminați date suplimentare după spațiu în DSCP și reparați sintaxa de regulă pf. # 3688
• includeți o regulă programată numai dacă este strict înainte de ora de încheiere; # 3558

Ce este nou în versiunea 2.1.1:

• Cea mai mare schimbare este închiderea următoarelor probleme de securitate / CVE:
• FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
• FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
• FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
• Altele decât acestea, driverele em / igb / ixgb / ixgbe au fost actualizate pentru a adăuga suport pentru NIC-urile i210 și i354. Unele dispozitive de rețea Intel 10Gb Ethernet vor vedea de asemenea performanțe îmbunătățite.