IPFire

IPFire este un sistem de operare open source proiectat de la început pentru a acționa ca un sistem de firewall dedicat, sigur și flexibil bazat pe unele dintre cele mai bune tehnologii Linux, cum ar fi iptables, OpenSSL și OpenSSH.

Acest sistem de operare poate fi descărcat de pe Softoware sau de pe site-ul său oficial (vezi link-ul de mai sus) ca o singură imagine CD ISO de aproximativ 150MB, etichetă numai pentru arhitectura setului de instrucțiuni pe 32 de biți (i586). În timp ce distro-ul va porni și instala pe platforme hardware pe 64 de biți, va accepta numai aplicații pe 32 de biți.

Meniul de boot frumos conceput și bine organizat vă va permite să instalați direct și permanent distribuția pe o unitate locală. În plus, veți putea să instalați sistemul de operare în modul text, să efectuați o instalare nesupravegheată, să executați un test de diagnosticare a memoriei cu utilitarul Memtest86 +, precum și să vizualizați informații hardware detaliate cu ajutorul instrumentului de detectare hardware (HDT).

Foarte ușor de utilizat program de instalare în modul text

Întregul proces de instalare este bazat pe text și va cere utilizatorului să selecteze numai o limbă (limbile acceptate includ limba engleză, turcă, poloneză, rusă, olandeză, spaniolă, franceză și germană), să accepte licența și să partiționeze discul (sistemele de fișiere acceptate includ EXT2, EXT3, EXT4 și ReiserFS).

După instalare, este necesar să selectați o configurație de tastatură și o fus orar, să introduceți numele de gazdă al mașinii și numele domeniului, să introduceți o parolă pentru conturile de root (sistem) și admin, precum și să configurați rețeaua ( include setările DNS, Gateway, IP, drivere și card de rețea).

Sumar, IPFire este una dintre cele mai bune distribuții de firewall ale Linux, proiectată pentru a furniza firewall-ul de ultimă generație, gateway-ul VPN și componentele serverului proxy. Designul său este modular și flexibil, ceea ce înseamnă că funcționalitatea acestuia poate fi extinsă prin pluginuri.

Ce este nou în această ediție:

• Proxy-ul RAM numai:
• În unele instalații ar putea fi de dorit să lăsați obiectele cache-ului proxy doar în memorie și nu pe disc. Mai ales când conectivitatea la Internet este rapidă și stocarea este lentă, acest lucru este foarte util.
• UI-ul web permite acum setarea dimensiunii cache-ului discului la zero, care va dezactiva în totalitate memoria cache a discului. Mulțumesc lui Daniel că a lucrat la acest lucru.
• OpenVPN 2.4:
• IPFire a migrat la OpenVPN 2.4, care introduce noi cipuri din clasa AES-GCM, ceea ce va spori capacitatea de producție a sistemelor care au accelerație hardware pentru aceasta. Actualizarea aduce și alte îmbunătățiri mai mici.
• Erik a lucrat la integrare, ceea ce a necesitat o lucrare sub capota, dar este compatibilă cu orice configurație anterioară atât pentru conexiunile roadwarrior, cât și pentru conexiunile net-to-net.
• Criptografie îmbunătățită:
• Criptografia este una dintre fundamentele unui sistem securizat. Am actualizat distribuția pentru a utiliza ultima versiune a bibliotecii de criptografie OpenSSL (versiunea 1.1.0). Acest lucru vine cu un număr de cifre noi și refacturarea majoră a codului de bază a fost efectuată.
• Cu această schimbare, am decis să înlăturăm în întregime SSLv3, iar interfața de utilizator web va necesita TLSv1.2, care este, de asemenea, implicit pentru multe alte servicii. Am configurat o listă întărită de cipuri care utilizează algoritmi recenți și elimină în întregime algoritmi rupți sau slabi ca RC4, MD5 și așa mai departe.
• Vă rugăm să verificați înainte de această actualizare dacă vă bazați pe oricare dintre acestea și să vă actualizați sistemele dependente.
• Diferite pachete din IPFire trebuiau să fie patch-uri pentru a putea folosi noua bibliotecă. Această lucrare majoră a fost necesară pentru a oferi IPFire cea mai recentă criptografie, a migra departe de algoritmi deprimați și a profita de noile tehnologii. De exemplu, este disponibil un șir ChaCha20-Poly1305 care funcționează mai rapid pe dispozitivele mobile.
• Versiunea veche a bibliotecii OpenSSL (1.0.2) este încă lăsată în sistem din motive de compatibilitate și va continua să fie menținută de noi pentru o perioadă scurtă de timp. În cele din urmă, acest lucru va fi eliminat în întregime, prin urmare, vă rugăm să migrați orice add-on-uri personalizate de la distanță folosind OpenSSL 1.0.2.
• Diverse:
• Pakfire a învățat acum ce servere de oglindă suportă HTTPS și le vor contacta în mod automat pe HTTPS. Acest lucru îmbunătățește confidențialitatea.
• De asemenea, am început prima fază a rolului nostru de planificare Pakfire.
• Căutarea MTU Discovery a fost dezactivată în sistem. Acest lucru a generat continuu probleme cu stabilitatea tunelurilor IPsec care au ales căi pe rețele care au fost configurate incorect.
• Șablonul QoS ar putea calcula greșit lățimea de bandă care a fost fixată acum încât suma lățimii de bandă garantată pentru toate clasele nu depășește 100%
• Pachete actualizate:
• bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, Neconsolidat 1.7.0, vnstat 1.18
• Add-ons:
• Aceste suplimente au fost actualizate: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2 < li>

Ce este nou în versiune:

• OpenSSL 1.0.2n:
• O vulnerabilitate moderată și una slabă de securitate a fost patch-uri în OpenSSL 1.0.2n. Consultanța oficială privind securitatea poate fi găsită aici.
• Ipsec:
• Acum este posibil să se definească timpul de expirare a inactivității când un tunel VPN IPsec este închis
• Suportul pentru grupurile MODP cu subgrupuri a fost abandonat
• Compresia este dezactivată în mod implicit, deoarece nu este deloc eficientă
• strongswan a fost actualizat la 5.6.1
• OpenVPN:
• Acum este mai ușor să direcționați clienții OpenVPN RoadWarrior către rețelele IPsec VPN, alegând rute în configurația fiecărui client. Acest lucru face ca configurația hub-and-spoke să fie mai ușor de configurat.
• Creați unelte de unelte:
• Unele script-uri de construire au fost refactate pentru a curăța procesul de construire și toolchain-ul a fost mutat de la / tools la / tools_ & arc & gt;.
• nasm, Assembler Net, a fost actualizat la 2.13.2
• Diverse:
• Compilația SSL și biletele de sesiune SSL au fost dezactivate în Apache. Acest lucru va îmbunătăți securitatea interfeței utilizator web
• În diverse locuri, informațiile despre GeoIP sunt disponibile în cazul în care sunt afișate adresele IP și informațiile utile sunt cunoscute
• Adăugarea de rute statice peste interfața de utilizator web a fost fixată
• Unele probleme estetice pe paginile de configurare a portalului captiv au fost rezolvate și portalul captiv lucrează acum împreună cu proxy-ul în modul transparent
• Syslogging la un server eliminat poate fi acum configurat să utilizeze TCP sau UDP
• Add-ons:
• Samba a fost actualizat pentru a remedia mai multe probleme de securitate
• mc a fost actualizat la 4.8.20
• nano a fost actualizat la 2.9.1
• sslscan, vsftpd și Pound au fost abandonate deoarece nu mai sunt menținute în amonte și sunt incompatibile cu OpenSSL 1.1.0

Ce este nou în versiunea 2.19 Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• Proiectul OpenSSL a lansat versiunea 1.0.2m și a emis două sfaturi de securitate în ultima săptămână. Cele două vulnerabilități descoperite au fost de siguranță moderată și scăzută, dar am decis să vă livrăm această actualizare cât mai curând posibil. Prin urmare, este recomandat să vă actualizați cât mai curând posibil.
• Vulnerabilitatea mai severă menționată ca CVE-2017-3736 rezolvă o problemă cu procesoarele Intel Broadwell și AMD Ryzen moderne, în care OpenSSL utilizează unele extensii DMI1, DMI2 și ADX moderne și calculează incorect rădăcina pătrată. Acest lucru ar putea fi exploatat de un atacator care este capabil să pună resurse importante pentru a recupera cheia privată mai ușor, din păcate acest atac este încă considerat practic imposibil de către echipa de securitate OpenSSL.
• Vulnerabilitatea mai puțin severă a fost cauzată de depășirea datelor de certificat atunci când un certificat are o extensie IPAddressFamily incorectă. Acest lucru ar putea duce la afișarea eronată a certificatului în format text. Această vulnerabilitate este urmărită în conformitate cu CVE-2017-3735.
• Diverse:
• Wget a suferit și de două vulnerabilități de securitate care i-au permis unui atacator să execute un cod arbitrar. Acestea sunt menționate în documentul CVE-2017-13089 și CVE-2017-13090.
• Apache a fost actualizat la versiunea 2.4.29 care repară un număr de erori.
• Snortul a fost actualizat la versiunea 2.9.11.
• xz a fost, de asemenea, actualizat la versiunea 5.2.3, care aduce diferite îmbunătățiri.

Ce este nou în versiunea 2.19 Core 113 / 3.0 Alpha 1:

Ce este nou în versiunea 2.19 Core 112 / 3.0 Alpha 1:

• Această actualizare de bază vine în principal cu actualizări sub hota. Bibliotecile principale de sistem au fost actualizate la noile versiuni majore, iar toolchain-ul de construire a primit actualizări majore.
• Acestea sunt: ​​
• glibc 2.25
• Colecția de compilatoare GNU 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, siguranța 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, librăria 3.3.1 , libgcrypt 1.7.7, libgpg-eroare 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , Neconsolidat 1.6.3, util-linux 2.28.2
• Diverse:
• openvpn (2.3.17) a primit câteva actualizări de securitate care au fost descoperite recent.
• O vulnerabilitate de executare a comenzii la distanță în ids.cgi a fost închisă și ar putea fi utilizată de utilizatori autentificați pentru a rula comenzile shell cu drepturi de non-superuser.
• Acum este posibilă crearea de rețele în paravanul de protecție care sunt o subrețea oricărei zone interne.
• Setul de instrumente și construirea de scripturi au fost, de asemenea, curățate și îmbunătățite.
• Netboot-ul IPFire a fost actualizat astfel încât să fie întotdeauna folosită cea mai bună arhitectură pentru un sistem (adică versiunea pe 64 de biți este instalată atunci când sistemul îl acceptă).
• Add-ons:
• Actualizat:
• 7zip 16.02
• pasăre 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monitor 5.23.0
• miniupnpd ascultă acum pe VERDE în mod implicit
• tmux 2.5
• 3.0.8
• Dropped:
• imspector și tcpick nu mai sunt menținute în amonte

Ce este nou în versiunea 2.19 Core 111 / 3.0 Alpha 1:

• Autentificare Enterprise WPA în modul Client:
• Paravanul de protecție se poate autentifica acum cu o rețea fără fir care utilizează Protocolul de autentificare extensibilă (EAP). Acestea sunt utilizate frecvent în întreprinderi și necesită un nume de utilizator și o parolă pentru conectarea la rețea.
• IPFire suportă PEAP și TTLS care sunt cele două cele mai des întâlnite. Ele pot fi găsite în pagina configurată pe pagina "Client WiFi", care se afișează numai când interfața RED este un dispozitiv fără fir. Această pagină prezintă, de asemenea, starea și protocoalele utilizate pentru stabilirea conexiunii.
• Pagina index indică, de asemenea, diverse informații despre starea, lățimea de bandă și calitatea conexiunii la o rețea fără fir. Acest lucru funcționează, de asemenea, pentru rețelele fără fir care utilizează WPA / WPA2-PSK sau WEP.
• QoS Multi-Queuing:
• Calitatea serviciului utilizează acum toate nucleele procesorului pentru a echilibra traficul. Înainte, a fost folosit un singur procesor care a cauzat o conexiune mai lentă pe sisteme cu procesoare mai slabe, cum ar fi seria Intel Atom etc., dar cu adaptoare Ethernet rapide. Acest lucru a fost modificat acum, astfel încât un procesor nu mai este gât de sticlă.
• Setări noi pentru criptare:
• În multe părți ale algoritmilor criptografici IPFire joacă un rol imens. Cu toate acestea, ele îmbătrânesc. Prin urmare, am schimbat setările implicite pentru noile sisteme și pentru noile conexiuni VPN la ceva mai nou și considerat mai robust.
• Ipsec:
• Cea mai recentă versiune de strongSwan acceptă Curve 25519 pentru propunerile IKE și ESP, care este de asemenea disponibilă în IPFire acum și activată în mod implicit.
• Propunerea implicită pentru conexiuni noi permite acum doar algoritmii selectați explicit care maximizează securitatea, dar ar putea avea un impact de compatibilitate asupra colegilor mai vechi: SHA1 este abandonat, trebuie folosit SHA2 256 sau mai mare; tipul de grup trebuie să utilizeze o cheie cu o lungime de 2048 biți sau mai mare
• Deoarece unii oameni folosesc IPFire în asociere cu echipamente antice, acum este permis să selecteze MODP-768 în propunerile IKE și ESP. Acest lucru este considerat rupt și marcat ca atare.
• OpenVPN:
• OpenVPN a folosit SHA1 pentru integritate în mod implicit, care a fost acum schimbat la SHA512 pentru instalări noi. Din păcate, OpenVPN nu poate negocia acest lucru prin conexiune. Deci, dacă doriți să utilizați SHA512 pe un sistem existent, va trebui să re-descărcați și toate conexiunile clientului.
• Au fost adăugați markeri diferiți pentru a evidenția faptul că anumiți algoritmi (de exemplu, MD5 și SHA1) sunt considerați defecți sau criptografici slabi.
• Diverse:.
• VPN-urile IPsec vor fi afișate ca "Conectare" atunci când nu sunt stabilite, dar sistemul încearcă să
• A fost rezolvată o eroare de închidere care a întârziat închiderea sistemului atunci când interfața RED a fost configurată ca statică
• Starea DNSSEC este afișată corect pe toate sistemele
• Următoarele pachete au fost actualizate: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, fișier 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logroatch 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (doar bug-uri), openvpn 2.3.16 care fixează CVE-2017-7479 și CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, Neconsolidat 1.6.2, dezarhivare 60, vnstat 1.17
• Matthias Fischer a contribuit la unele modificări cosmetice pentru secțiunea jurnal firewall
• Gabriel Rolland a îmbunătățit traducerea italiană
• Diferite părți ale sistemului de construcție au fost curățate
• Add-ons:
• Noi add-on-uri:
• ltrace: Un instrument de urmărire a apelurilor bibliotecii binare
• Actualizări de suplimente:
• Add-on-ul samba a fost patch-uri pentru o vulnerabilitate de securitate (CVE-2017-7494), care permitea executarea unui cod la distanță pe acțiuni de scriere.
• ipsetul 6.32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd care susține acum senzorii de citire a temperaturii cu ajutorul lm_sensors
• nmap 7.40
• 0.3.0.7

Ce este nou în versiunea 2.19 Core 109 / 3.0 Alpha 1:

• Remedieri DNS:
• Proxy-ul DNS care funcționează în interiorul IPFire a fost actualizat la unbound 1.6.0, care aduce diferite erori de bug-uri. Prin urmare, minimizarea și întărirea QNAME sub domeniile NX au fost reactivate.
• În momentul de începere, IPFire verifică de asemenea dacă un router în fața IPFire scade răspunsurile DNS care depășesc un anumit prag (unele dispozitive Cisco fac acest lucru pentru a "întări" DNS). Dacă acest lucru este detectat, dimensiunea buffer-ului EDNS dacă este redusă, ceea ce face ca nelegat să revină la TCP pentru răspunsuri mai mari. Acest lucru ar putea încetini ușor DNS-ul, dar îl va menține în continuare în acele medii greșite.
• Diverse:
• openssl a fost actualizat la 1.0.2k care stabilește o serie de vulnerabilități de securitate cu severitate "moderată"
• Kernelul suportă acum câteva module noi eMMC
• Scriptul de backup funcționează acum mai fiabil pe toate arhitecturile
• Scripturile de rețea care au creat poduri MACVTAP pentru virtualizare printre altele sprijină acum și poduri standard 802.3
• GUI-ul firewall-ului a interzis crearea de subrețele care au reprezentat o subrețea a oricărei rețele standard fixate
• Matthias Fischer a prezentat actualizările de pachete pentru: bind 9.11.0-P2 cu unele corecții de securitate, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP modul 1.25, snort 2.9.9.0, squid 3.5.24 remediază diverse erori, sysklogd 1.5.1, zlib 1.2.11
• Mai mult, libpng a fost actualizat la 1.2.57, care repară unele vulnerabilități de securitate
• Add-ons:
• Jonatan Schlag a împachetat Python 3 pentru IPFire
• De asemenea, a actualizat libvirt la versiunea 2.5 și qemu la versiunea 2.8
• Matthias Fischer a trimis o serie de actualizări pentru următoarele pachete: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
• tor a fost actualizat la 0.2.9.9 care stabilește o serie de vulnerabilități de negare a serviciului
• sarg a fost actualizat la 2.3.10

Ce este nou în versiunea 2.19 Core 108 / 3.0 Alpha 1:

• Logare asincronă:
• Logarea asincronă este acum activată în mod prestabilit și nu mai poate fi configurabilă. Acest lucru a făcut unele programe care au scris o cantitate mare de mesaje de jurnal încetini și posibil să nu răspundeți la rețea care provoacă diverse probleme. Acest lucru a fost văzut pe sisteme cu medii de stocare flash foarte mici și medii virtuale.
• Diverse:
• Verificarea faptului că testează serverele DNS pentru orice confruntări greșite a presupus că unele servere de nume sunt validate, deși acestea nu au fost și foarte probabil nu funcționează deloc. Acest lucru a fost rezolvat acum și sistemele care utilizează aceste servere de nume defecte ar trebui să revină la modul recursor.
• A fost rezolvată o problemă în GUI-ul firewall care a interzis adăugarea unei conexiuni VPN VPN și a conexiunii OpenVPN cu același nume unui grup de firewall.
• Actualizate pachete de bază:
• strongswan a fost actualizat la versiunea 5.5.1 care repară diverse erori
• ntp a fost actualizat la versiunea 4.2.8p9 care rezolvă diverse probleme de securitate
• ddns a fost actualizat la versiunea 008
• Actualizări de suplimente:
• nano, editorul de text, a fost actualizat la versiunea 2.7.1
• , rețeaua de anonimitate a fost actualizată la versiunea 0.2.8.10

Ce este nou în versiunea 2.19 Core 107 / 3.0 Alpha 1:

• Această actualizare patch-uri kernel-ul IPFire Linux împotriva unei vulnerabilități recent dezvăluite numită Dirty COW. Acesta este un bug de escaladare a privilegiilor locale care ar putea fi folosit de un atacator local pentru a obține privilegii de root.
• Un alt patch fixează procesoarele Intel cu AES-NI, hardware care acceptă criptarea cu lungimea cheii de 256 și 192 de biți, dar nu a fost implementat corect în kernelul Linux
• O remediere pentru a afișa noul proxy DNS nelegat în secțiunea jurnal a interfeței utilizator web
• hdparm 9.5.0 și libjpeg 1.5.1 au fost actualizate

Ce este nou în versiunea 2.19 Core 105 / 3.0 Alpha 1:

• IPFire 2.19 Actualizare de bază 105 patch-uri o serie de probleme de securitate în două librării criptografice: openssl și libgcrypt. Vă recomandăm să instalați această actualizare cât mai curând posibil și să reporniți sistemul IPFire pentru a finaliza actualizarea.

Ce este nou în versiunea 2.19 Core 103 / 3.0 Alpha 1:

• Îmbunătățiri pentru Proxy Web:
• Squid-ul proxy web a fost actualizat la seria 3.5 și au fost făcute diferite îmbunătățiri pentru stabilitate și performanță.
• Pe mașinile cu harddisk-uri lente sau pe instalațiile cu cache-uri foarte mari, este probabil să se întâmple ca indexul de cache să fi fost corupt când proxy-ul a fost oprit. Acest lucru a dus la un proxy web instabil după următorul start.
• Rutina de închidere a fost îmbunătățită, astfel încât o corupere a indexului de cache este acum foarte puțin probabilă. În plus, avem mijloace de instalare care ne permit să detectăm dacă indexul de cache a fost corupt și, dacă este așa, acesta a fost reconstruit automat la următoarea pornire. Această actualizare va șterge indexul probabil corupt pe toate instalațiile și va începe o reconstrucție a indexului, ceea ce ar putea duce la o funcționare lentă a proxy-ului pentru o perioadă scurtă de timp după instalarea actualizării.
• Diverse:
• Remediați comanda de configurare pentru a afișa corect mai mult de 6 controale de rețea
• Baza de date a fusului orar a fost actualizată
• În general, permiteți subliniere în numele domeniilor
• Pachete actualizate: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, mai puțin 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Actualizări suplimentare:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Comandantul de la miezul nopții 4.8.17
• nfs (va înlocui portmap-ul cu rpcbind)
• 0.2.7.6

Ce este nou în versiunea 2.19 Core 102 / 3.0 Alpha 1:

Ce este nou în versiunea 2.19 Core 100 / 3.0 Alpha 1:

• Această actualizare vă va aduce IPFire 2.19 pe care îl lansăm pentru 64 de biți pe Intel (x86_64) pentru prima dată. Această versiune a fost întârziată de diferitele vulnerabilități de securitate din openssl și glibc, dar este împachetată cu multe îmbunătățiri în cadrul hota și în diferite corecții de erori.
• 64 de biți:
• Nu va exista nici o cale de actualizare automată de la o instalare de 32 de biți la o instalare pe 64 de biți. Este necesar să reinstalați manual sistemul pentru cei care doresc să se schimbe, dar o copie de rezervă generată anterior poate fi restaurată astfel încât întreaga procedură să dureze de obicei mai puțin de o jumătate de oră.
• Nu există prea multe avantaje pe o versiune pe 64 de biți, cu excepția unor creșteri minore ale performanței pentru unele cazuri de utilizare și, desigur, abilitatea de a aborda mai multă memorie. IPFire este capabil să abordeze până la 64 GB de RAM pe 32 de biți, deci nu este nevoie de migrare. Vă recomandăm să utilizați imagini de 64 biți pentru instalații noi și să vă lipiți de instalările existente așa cum sunt ele.
• Actualizarea kernelului:
• Ca și în cazul tuturor versiunilor importante, acesta vine cu un kernel Linux actualizat pentru a repara erorile și pentru a îmbunătăți compatibilitatea cu hardware-ul. Linux 3.14.65, cu multe drivere de backed-up de pe Linux 4.2, este de asemenea întărită mai puternic împotriva atacurilor comune, cum ar fi suprapunerile tamponului de stivă.
• Multe blob-uri de firmware pentru carduri wireless și alte componente au fost actualizate la fel ca baza de date hardware.
• Probleme de performanță Hyper-V:
• Un backport al unei versiuni recente a modulului driverului de rețea Microsoft Hyper-V va permite transferarea din nou a datelor la viteze mai mari. Versiunile anterioare au avut o performanță foarte slabă la unele versiuni ale Hyper-V.
• Actualizări firewall:
• Acum este posibil să activați sau să dezactivați anumite module de urmărire a conexiunilor. Aceste module de gateway Layer Gateway (ALG) ajută anumite protocoale precum SIP sau FTP să lucreze cu NAT. Unele telefoane VoIP sau PBX-uri au probleme cu acestea, astfel încât acestea pot fi acum dezactivate. Unii au nevoie de ele.
• Paravanul de protecție a fost, de asemenea, optimizat pentru a permite o mai mare capacitate de transfer cu utilizarea unor resurse de sistem puțin mai mici.
• Diverse:
• Au fost actualizate numeroase programe și unelte din toolchain-ul folosit. O nouă versiune a Colecțiilor de compilatoare GNU oferă un cod mai eficient, o întărire mai puternică și o compatibilitate pentru C ++ 11
• GCC 4.9.3, binutils 2.24, bizon 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq, proxy-ul DNS IPFire intern a fost actualizat și au fost rezolvate multe probleme de instabilitate
• openvpn a fost actualizat la versiunea 2.3.7, iar fișierele de configurare generate au fost actualizate pentru a fi compatibile cu versiunile viitoare ale OpenVPN
• IPFire va aștepta acum cu boot-up atunci când timpul trebuie să se sincronizeze și DHCP se utilizează până când conexiunea este stabilită și apoi continuă să se încarce în sus
• legarea a fost actualizată la versiunea 9.10.3-P2
• ntp a fost actualizat la versiunea 4.2.8p5
• tzdata, baza de date pentru definițiile zonelor de fus orar, a fost actualizată la versiunea 2016b
• Au fost făcute diferite remedii cosmetice pe interfața de utilizator web
• S-a rezolvat o eroare care cauzează crearea de dispozitive VLAN atunci când aparatul NIC parental a fost stabilit
• Clientul DHCP: Restabilirea MTU-ului pe NIC-urile rupte care pierd link-ul a fost fixat
• Un ramdisk pentru stocarea bazelor de date ale graficelor afișate în interfața de utilizator web este acum utilizat din nou implicit din instalațiile care utilizează imaginea flash când sunt disponibile mai mult de 400MB de memorie
• A fost rezolvată o eroare pe care Calitatea serviciului nu a putut fi oprită
• Un cod vechi a fost recondiționat și unele coduri nefolosite au fost eliminate în unele componente interne IPFire
• Add-ons:
• propriul cloud a fost actualizat la versiunea 7.0.11
• nano a fost actualizat la versiunea 2.5.1
• rsync a fost actualizat la versiunea 3.1.2

Ce este nou în versiunea 2.17 Core 98 / 3.0 Alpha 1:

• Datorită unei vulnerabilități de securitate recent descoperite în glibc, lansăm această actualizare de bază care conține o remediere pentru CVE-2015-7547.
• Interfața getaddrinfo () este glibc, principala bibliotecă C a sistemului, utilizată pentru a rezolva numele în adrese IP utilizând DNS. Un atacator poate exploata procesul din sistem executând această solicitare prin trimiterea unui răspuns forjat care este prea lung, provocând o depășire a tamponului de stivă. Codul poate fi injectat și executat.
• IPFire nu este totuși exploatabil direct de această vulnerabilitate, deoarece utilizează un proxy DNS, care respinge răspunsurile DNS prea lungi. Astfel, IPFire în sine și toate sistemele din rețea care utilizează IPFire ca proxy DNS sunt protejate de proxy-ul DNS. Cu toate acestea, am decis să scoatem un plasture pentru această vulnerabilitate cât mai repede posibil.

Ce este nou în versiunea 2.17 Core 94 / 3.0 Alpha 1:

• OpenSSH:
• OpenSSH a fost actualizat la versiunea 7.1p1. Cu aceasta am adăugat suport pentru curbele eliptice (ECDSA și ED25519) și am scos suportul pentru DSA care este considerat rupt. Pășile RSA prea mici sunt îndepărtate și regenerate. Aceste modificări pot necesita din nou importarea cheilor sistemului IPFire de pe computerul dvs. admin.
• Agent de corespondență internă
• A fost adăugat un agent de poștă intern care este utilizat de serviciile interne pentru a trimite rapoarte sau alerte. Până acum, doar câteva servicii utilizează acest lucru (cum ar fi addiction-ul pentru calamități), dar ne așteptăm să adăugăm mai multe lucruri în viitor.
• Acesta este un agent de mail foarte simplu și ușor care poate fi configurat pe interfața de utilizator web și va necesita, de obicei, un server de e-mail în amonte.
• IPsec MOBIKE:
• A fost adăugată o nouă casetă de selectare în pagina cu setări avansate a unei conexiuni IPsec. Aceasta permite forțarea folosind MOBIKE, o tehnologie pentru IPsec pentru a traversa mai bine NAT. Uneori, în spatele ruterelor defecte, conexiunile IPsec pot fi stabilite, dar nu pot fi transferate date și conexiunea se rupe foarte repede (unele routere au dificultăți în transmiterea pachetelor DPD). MOBIKE eludează faptul că prin utilizarea portului UDP 4500 pentru mesajele IKE.
• Diverse:
• Câmpurile obligatorii sunt marcate acum cu o stea. Anterior, acesta a fost invers, astfel încât câmpurile opționale unde a fost marcat cu o stea, care nu mai este văzută nicăieri pe web.
• O actualizare lunară forțată ddns este eliminată deoarece ddns se ocupă de menținerea tuturor înregistrărilor la zi și de recondiționare după 30 de zile, dacă este necesar.
• fireinfo: Unele blocări au fost rezolvate cu ID-uri care conțin numai 0xff
• Pachete actualizate:
• bind 9.10.2-P4, coreutils 8.24, dnsmasq a primit cele mai recente modificări importate, fișierul 5.24, glibc (remedierile de securitate), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre pentru depășirea mai multor tampoane), rrdtool 1.5.4, squid 3.4.14

Ce este nou în versiunea 2.17 Core 93 / 3.0 Alpha 1:

• Actualizarea clientului DDNS:
• ddns, clientul nostru de actualizare DNS dinamic, a fost actualizat la versiunea 008. Această versiune este mai robustă împotriva erorilor de rețea la erorile de cale și server la furnizor. Actualizările vor fi apoi retrimise frecvent.
• Furnizorii joker.com și DNSmadeEasy sunt acum acceptate
• A fost rezolvată o eroare la actualizarea înregistrărilor de nume de bază
• Diverse:
• Pakfire a fost fixat și acum trage corect dependențe suplimentare de pachete de programe atunci când se actualizează dintr-o versiune mai veche.
• TRIM este dezactivat pe unele SSD-uri cu erori de firmware cunoscute care cauzează pierderi de date.
• Contabilitate pentru calamari: Fixați diverse greșeli în traducerile
• /etc/ipsec.user-post.conf este adăugat la copia de siguranță dacă există
• Pachete actualizate:
• bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (mutat în sistemul de bază din add-on), libpcap 1.7.4, urzica 3.1.1, pcre -2015-5073), calmarul 3.4.14
• Add-ons:
• cupe 2.0.4, face 4.1, nano 2.4.2