pfSense & reg; це вільно розподілена та відкрита вихідна BSD операційна система, отримана від відомого проекту m0n0wall, але з радикально різними цілями, такими як використання пакетного фільтра та останні технології FreeBSD.
Проект можна використовувати як маршрутизатор, так і брандмауер. Він включає в себе систему пакетів, яка дозволяє системним адміністраторам легко розширювати продукт, не додаючи потенційних вразливостей та не роздуваючи базовий дистрибутив.
Особливості з першого погляду
Основними функціями є найсучасніший брандмауер, вбудований / вихідний балансування навантаження, таблиця станів, NAT (переклад мережевих адрес), висока доступність, VPN (віртуальна приватна мережа) з підтримкою IPsec, PPTP і OpenVPN, PPPoE сервер, динамічний DNS, портативний портал, звітність та моніторинг.
Це активно розроблена операційна система брандмауера, розповсюджена як gz архівні Live CD та тільки ISO-зображення, встановлювачі USB-пам'яті, а також NanoBSD / вбудовані носії. Наразі підтримуються 64-розрядні (amd64) та 32-розрядні (i386) апаратні платформи.
Під час завантаження доступні декілька попередньо визначених параметрів завантаження, таких як завантаження операційної системи за замовчуванням, при цьому ACPI вимкнено, через USB-пристрої, в безпечному режимі, в одному користувальницькому режимі, з багатослівним журналюванням, а також відкрийте командну стрічку або перезавантажте машину.
Початок роботи з pfSense & reg;
Поки дистрибутив попросить користувачів, якщо вони хочуть настроїти VLAN (віртуальні локальні мережі) із програми get-go, для роботи буде потрібно щонайменше один призначений мережевий інтерфейс. Це означає, що якщо ви не встановили / принаймні один інтерфейс, pfSense & reg; не вийде навіть почати
Використовується як брандмауер для невеликих домашніх мереж, університетів, великих корпорацій або будь-якої іншої організації, де надзвичайно важливо захистити тисячі мережевих пристроїв, pfSense & reg; був завантажений понад мільйонами користувачів з усього світу з моменту його створення.
Нижня лінія
Це один з найкращих проектів із брандмауером з відкритим кодом, розроблений для того, щоб надати користувачам всі функції, які постачаються в комерційні брандмауеари. Сьогодні pfSense & reg; використовується в багатьох рішеннях апаратного брандмауера, включаючи Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall або Watchguard.
pfSense & reg; є зареєстрованим товарним знаком та знаком обслуговування, що належить компанії Electric Sheep Fencing LLC. Див. Www.electricsheepfencing.com.
Що нового в цьому випуску:
- Захист / помилки
- Оновлено до OpenSSL 1.0.2m для адреси CVE-2017-3736 та CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Виправлено потенційний вектор XSS в status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Виправлено потенційний вектор XSS в діаграмі_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Виправлено потенційний вектор XSS в index.php за допомогою параметрів послідовності віджетів # 8000 pfSense-SA-17_09.webgui.asc
- Виправлено потенційну XSS у параметрі віджетів віджетів з багатьма екземплярами інформаційної панелі # 7998 pfSense-SA-17_09.webgui.asc
- Виправлена помилка потенційного виклику на сторінці помилки CSRF
- Інтерфейси
- Виправлено інтерфейси PPP з батьком VLAN під час використання нових імен VLAN # 7981
- Виправлені проблеми з інтерфейсами QinQ, які не відображаються як активні # 7942
- Виправлено паніку / аварію при відключенні інтерфейсу LAGG # 7940
- Виправлено помилки при використанні інтерфейсів LAGG, які втрачають MAC-адресу # 7928
- Виправлена помилка в radvd на SG-3100 (ARM) # 8022
- Виправлена проблема з падінням пакетів UDP на SG-1000 # 7426
- Додано інтерфейс для керування вбудованим комутатором SG-3100
- Знімайте більше символів із опису інтерфейсу, щоб уникнути виведення контужного меню на консолі VGA
- Виправлена обробка унікального параметра VIP при зміні типів VIP
- Виявлено поле параметрів параметрів посилання PPP, коли вибрано батьківський інтерфейс VLAN # 8098
- Операційна система
- Виправлені помилки, пов'язані з наявністю макету файлової системи вручну з окремим шматочком / usr # 8065
- Виправлена помилка оновлення систем ZFS, створених за допомогою ZFS з використанням схеми розділів MBR (порожній / завантажувальний, оскільки bootup не імпортується) # 8063
- Виправлено помилки під час сеансів BGP з використанням підписів MD5 TCP у пакетах демонів маршрутизації # 7969
- Оновлено dpinger до 3.0
- Покращено варіанти та методи вибору репозиторію оновлень
- Оновлено системні набори, які дозволяють ОС не збирати дані з переривань, інтерфейсів точка-точка та пристроїв Ethernet, щоб відобразити нове ім'я / формат для FreeBSD 11
- Змінюється набір правил обробки так, щоб він повторювався, якщо інший процес перебуває посередині оновлення, а не представляє користувачеві помилку
- Виправлено деякі проблеми завантаження UEFI на різних платформах
- Сертифікати
- Виправлені недійсні записи в /etc/ssl/openssl.cnf (це стосується лише нестандартного використання openSSL у cli / shell) # 8059
- Виправлена автентифікація LDAP, коли сервер використовує глобально надійний кореневий сертифікат CA (новий вибір CA для & quot; Global Root CA List & quot;) # 8044
- Виправлено помилки при створенні сертифіката з підстановою CN / SAN # 7994
- Додано перевірку в Менеджер сертифікатів, щоб запобігти імпорту сертифіката не сертифікації на вкладку CA 7885
- IPsec
- Виправлено помилку з використанням сертифікатів IPsec CA, якщо суб'єкт містить кілька RDN одного типу # 7929
- Виправлено проблему з ввімкненням підтримки мобільного клієнта IPsec на перекладеному мовою # 8043
- Виправлено помилки при показі / виведенні стану IPsec, включаючи кілька записів (один з'єднаний, один з'єднаний) # 8003
- Виправлено показ кількох пов'язаних мобільних IPsec-клієнтів # 7856
- Виправлено відображення записів дочірнього комп'ютера № 7856
- OpenVPN
- Додана опція для серверів OpenVPN для використання "переадресації-шлюзу ipv6" & quot; виконувати роль шлюзу за замовчуванням для підключення VPN-клієнтів з IPv6, подібно до "перенаправлення-шлюз def1" & quot; для IPv4. # 8082
- Виправлено параметр відкликання сертифіката клієнта OpenVPN # 8088
- Формування трафіку
- Виправлена помилка під час налаштування обмежувача більше 2 Гбіт / с (новий максимальний - 4 Гбіт / с) # 7979
- Виправлені проблеми з мережевими мережевими інтерфейсами, які не підтримують ALTQ # 7936
- Виправлені проблеми з мережевими інтерфейсами vtnet, які не підтримують ALTQ # 7594
- Виправлено проблему зі статусом & gt; Очікує неможливість відображення статистики для інтерфейсів VLAN # 8007
- Виправлена проблема з чергами формування трафіку, яка не допускає 100% всіх черг у дитинстві # 7786
- Виправлено проблему з обмежувачами з неправильними дрібними / не цілими значеннями з обмежувальних записів або передано до Captive Portal з RADIUS # 8097
- Правила / NAT
- Виправлено вибір шлюзів IPv6 при створенні нового правила брандмауера # 8053
- Виправлені помилки на сторінці конфігурації "Пересилання порту" внаслідок застарілих даних / даних про помилку pfSense / # 8039
- Виправлено налаштування VLAN Priority через правила брандмауера # 7973
- XMLRPC
- Виправлена проблема з синхронізацією XMLRPC, коли користувачеві синхронізації є пароль із пробілами # 8032
- Виправлені помилки XMLRPC із ваучерами Captive Portal # 8079
- WebGUI
- Додана опція відключення HSTS для веб-сервера GUI # 6650
- Змінено веб-сервіс графічного інтерфейсу для блокування прямої завантаження файлів .inc за номером 8005
- Виправлено сортування служб на панелі інструментів панелі інструментів та служби # 8069
- Виправлена проблема з входом, коли статичні записи IPv6 дозволили неправильний вхід для адресних полів # 8024
- Виправлена синтаксична помилка JavaScript в графіках трафіку, коли виявлено недійсні дані (наприклад, користувач був відключений або очищений сеанс) # 7990
- Виправлена помилка вибірки в графіках трафіку # 7966
- Виправлено помилку JavaScript в статусі & gt; Моніторинг # 7961
- Виправлена проблема з відображенням з порожніми таблицями в Internet Explorer 11 # 7978
- Змінив обробку конфігурації, щоб скористатися винятком, а не die (), коли виявляє пошкоджену конфігурацію
- Додана фільтрація до сторінки pfTop
- Додано засіб для пакетів, щоб відображати користувачеві модаль (наприклад, перезавантаження потрібно, перш ніж використовувати пакет)
- Інформаційна панель
- Виправлено показ наявних оновлень на віджеті Dashboard від Встановлених пакетів # 8035
- Виправлено помилку шрифту у віджеті інформаційної панелі підтримки # 7980
- Виправлено форматування скибочок дисків / розділів у віджеті інформаційної панелі інформаційної системи
- Виправлено помилку у віджеті "Картинки", коли немає правильного зображення, збереженого # 7896
- Пакети
- Виправлено вигляд пакунків, видалених із сховища в Менеджері пакунків # 7946
- Виправлена проблема з відображенням локально встановлених пакетів, коли сховище віддаленого пакунка недоступне # 7917
- Різне
- Виправлена зв'язок інтерфейсу в ntpd, щоб він не помилково слухав на всіх інтерфейсах # 8046
- Виправлена проблема, коли перезапуск сервера syslogd зробить процес sshlockout_pf сиротами # 7984
- Додана підтримка динамічного DNS-провайдера ClouDNS № 7823
- Виправлено проблему на сторінках "Користувач і Менеджер груп" при роботі з записами відразу після видалення запису № 7733
- Змінив майстер налаштування, щоб він пропускав конфігурацію інтерфейсу під час запуску на екземплярі AWS EC2 № 6459
- Виправлено проблему пробної версії IGMP із режимом All-multicast на SG-1000 # 7710
Що нового в версії:
- Оновлення на інформаційній панелі:
- На інформаційній панелі 2.3.4-RELEASE ви знайдете кілька додаткових відомостей: постачальник BIOS, версія та дата випуску, якщо брандмауер зможе визначити їх, та унікальний ідентифікатор Netgate. Унікальний ідентифікатор Netgate схожий на серійний номер, він використовується для унікального визначення примірника програмного забезпечення pfSense для клієнтів, які хочуть придбати служби підтримки. Для апаратного забезпечення, що продаються в нашому магазині, це також дозволяє нам прив'язувати одиниці до наших виробничих записів. Цей ідентифікатор є послідовним на всіх платформах (відкриті метали, віртуальні машини та хостові / хмарні екземпляри, такі як AWS / Azure). Спочатку ми мали намір використати серійний номер апаратного або UUID, створений операційною системою, але ми виявили, що вони були ненадійними, непослідовними та можуть неочікувано змінюватися при переінсталяції операційної системи.
- Як і серійний номер, цей ідентифікатор відображається лише на інформаційній панелі на панелі інструментів і автоматично не передається ніде. У майбутньому клієнти зможуть використовувати цей ідентифікатор, запитуючи інформацію про підтримку наших співробітників або систем.
- Якщо ви ще не зазнали змін у версії 2.3.x, перегляньте відео "Особливості та основні моменти". Останні повідомлення в блозі охопили деякі зміни, такі як поліпшення продуктивності з tryforward та оновлення веб-GUI.
- Сертифікати інтерфейсу брандмауера:
- Користувачі браузера Chrome 58 і пізніших версій, а в деяких випадках і Firefox 48 та пізніші, можуть мати проблеми з доступом до інтерфейсу веб-інтерфейсу pfSense, якщо він використовує за замовчуванням самопідписаний сертифікат, створений автоматично за допомогою брандмауера, що працює під керуванням pfSense версії 2.3.3-p1 або раніше Це відбувається тому, що Chrome 58 суворо дотримується вимог RFC 2818, який вимагає лише збігаються імен хостів за допомогою записів суб'єкта альтернативних назв (SAN), а не поля загальної назви сертифіката, а за замовчуванням самопідписаний сертифікат не заповнював поле SAN.
- Ми виправили код сертифікату, щоб правильно дотримуватися RFC 2818, зручним способом, автоматично додавши значення сертифіката Common Name як першу запис SAN.
- Адміністраторам брандмауера потрібно буде створити новий сертифікат для використання графічним інтерфейсом для використання нового формату. Існує кілька способів створення сумісного сертифіката, у тому числі:
- Створюйте та активуйте новий сертифікат графічного інтерфейсу автоматично з консолі або shell-оболонки за допомогою нашого сценарію відтворення:
- pfSsh.php відтворення generateguicert
- Використовуйте пакет ACME, щоб створити довірений сертифікат для графічного інтерфейсу через Let's Encrypt, який вже правильно відформатовано.
- Створити вручну нову самопідписану сертифікаційну установу (CA) та серверний сертифікат, підписаний цим ЦС, а потім використати його для графічного інтерфейсу користувача.
- Активувати локальний веб-переглядач & quot; УвімкнутиCommonNameFallbackForLocalAnchors & quot; опція в Chrome 58. Цю настройку Chrome зрештою буде вилучено, тому це лише тимчасовий виправлення.
- Деякі користувачі можуть пам'ятати, що це не перший випадок, коли формат сертифіката за умовчанням був проблематичним через зміни веб-переглядача. Кілька років тому Firefox змінив спосіб розрахунку ланцюгів довіри сертифікатів, що може призвести до зависання або зависання браузера під час спроби доступу до кількох міжмережевих екранів із самопідписаними сертифікатами, що містять загальні стандартні дані, за якими отримані всі такі сертифікати, що містять один і той же предмет. Виправлення це стало складним завданням, але це призвело до набагато кращого досвіду кінцевого користувача.
Що нового у версії 2.3.4:
- Оновлення на інформаційній панелі:
- На інформаційній панелі 2.3.4-RELEASE ви знайдете кілька додаткових відомостей: постачальник BIOS, версія та дата випуску, якщо брандмауер зможе визначити їх, та унікальний ідентифікатор Netgate. Унікальний ідентифікатор Netgate схожий на серійний номер, він використовується для унікального визначення примірника програмного забезпечення pfSense для клієнтів, які хочуть придбати служби підтримки. Для апаратного забезпечення, що продаються в нашому магазині, це також дозволяє нам прив'язувати одиниці до наших виробничих записів. Цей ідентифікатор є послідовним на всіх платформах (відкриті метали, віртуальні машини та хостові / хмарні екземпляри, такі як AWS / Azure). Спочатку ми мали намір використати серійний номер апаратного або UUID, створений операційною системою, але ми виявили, що вони були ненадійними, непослідовними та можуть неочікувано змінюватися при переінсталяції операційної системи.
- Як і серійний номер, цей ідентифікатор відображається лише на інформаційній панелі на панелі інструментів і автоматично не передається ніде. У майбутньому клієнти зможуть використовувати цей ідентифікатор, запитуючи інформацію про підтримку наших співробітників або систем.
- Якщо ви ще не зазнали змін у версії 2.3.x, перегляньте відео "Особливості та основні моменти". Останні повідомлення в блозі охопили деякі зміни, такі як поліпшення продуктивності з tryforward та оновлення веб-GUI.
- Сертифікати інтерфейсу брандмауера:
- Користувачі браузера Chrome 58 і пізніших версій, а в деяких випадках і Firefox 48 та пізніші, можуть мати проблеми з доступом до інтерфейсу веб-інтерфейсу pfSense, якщо він використовує за замовчуванням самопідписаний сертифікат, створений автоматично за допомогою брандмауера, що працює під керуванням pfSense версії 2.3.3-p1 або раніше Це відбувається тому, що Chrome 58 суворо дотримується вимог RFC 2818, який вимагає лише збігаються імен хостів за допомогою записів суб'єкта альтернативних назв (SAN), а не поля загальної назви сертифіката, а за замовчуванням самопідписаний сертифікат не заповнював поле SAN.
- Ми виправили код сертифікату, щоб правильно дотримуватися RFC 2818, зручним способом, автоматично додавши значення сертифіката Common Name як першу запис SAN.
- Адміністраторам брандмауера потрібно буде створити новий сертифікат для використання графічним інтерфейсом для використання нового формату. Існує кілька способів створення сумісного сертифіката, у тому числі:
- Створюйте та активуйте новий сертифікат графічного інтерфейсу автоматично з консолі або shell-оболонки за допомогою нашого сценарію відтворення:
- pfSsh.php відтворення generateguicert
- Використовуйте пакет ACME, щоб створити довірений сертифікат для графічного інтерфейсу через Let's Encrypt, який вже правильно відформатовано.
- Створити вручну нову самопідписану сертифікаційну установу (CA) та серверний сертифікат, підписаний цим ЦС, а потім використати його для графічного інтерфейсу користувача.
- Активувати локальний веб-переглядач & quot; УвімкнутиCommonNameFallbackForLocalAnchors & quot; опція в Chrome 58. Цю настройку Chrome зрештою буде вилучено, тому це лише тимчасовий виправлення.
- Деякі користувачі можуть пам'ятати, що це не перший випадок, коли формат сертифіката за умовчанням був проблематичним через зміни веб-переглядача. Кілька років тому Firefox змінив спосіб розрахунку ланцюгів довіри сертифікатів, що може призвести до зависання або зависання браузера під час спроби доступу до кількох міжмережевих екранів із самопідписаними сертифікатами, що містять загальні стандартні дані, за якими отримані всі такі сертифікати, що містять один і той же предмет. Виправлення це стало складним завданням, але це призвело до набагато кращого досвіду кінцевого користувача.
Що нового у версії 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - декілька уразливостей OpenSSL. Єдиним значним впливом на pfSense є OCSP для HAproxy та FreeRADIUS.
- Кілька пов'язаних з HyperV помилок у FreeBSD 10.3, FreeBSD-EN-16: 10 до 16:16. Див. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html для деталей.
- Оновлено кілька вбудованих пакетів та бібліотек, зокрема:
- PHP до 5.6.26
- libidn до 1,33
- завиток до 7.50.3
- libxml2 до 2.9.4
- Додано кодування до параметру "zone" на сторінках "Captive Portal".
- Додано вихідне кодування в diag_dns.php для результатів, отриманих з DNS. # 6737
- Робота над помилкою Chrome із системою регулярного виразування символів, що вилучаються, в наборі символів. Виправлення & quot; Будь ласка, узгодьте потрібний формат & quot; на останніх версіях Chrome. # 6762
- Виправлено параметр формату чату сервера DHCPv6 # 6640
- Виправлена установка / usr / bin / missing з нових установок. # 6643
- Збільшення обмеження хвіля фільтрації для ведення журналу, тому пошук буде знаходити достатню кількість записів. # 6652
- Очистити вiддeт встановлених пакетів та HTML. # 6601
- Виправлено помилки налаштувань віджета при створенні нових налаштувань. # 6669
- Виправлено різні помилки та опис помилок.
- Вилучено неіснуючі посилання на сайт devwiki. Все зараз на https://doc.pfsense.org.
- Додано поле для сторінок CA / Cert для OU, яке вимагається деякими зовнішніми сертифікатами та користувачами. # 6672
- Виправлено надмірні HTTP & quot; User-Agent & quot; рядок в DynDNS оновленнях.
- Виправлено шрифт для сортованих таблиць.
- Додана перевірка, щоб перевірити, чи активний інтерфейс у групі шлюзу перед оновленням динамічного DNS.
- Фіксована форматування "Відхилити оренду від & quot; варіант для інтерфейсу DHCP (він може приймати адреси, а не підмережі.) # 6646
- Виправлена помилка звітування для тестових налаштувань SMTP
- Фіксована економія країни, провайдера та параметрів планування для інтерфейсів PPP
- Виправлена помилка перевірки & quot; Перейти до рядка & quot; номери на diag_edit.php. # 6704
- Виправлено помилку окремо за допомогою "рядків для відображення" & quot; на diag_routes.php. # 6705
- Виправлено опис поля фільтра на діаг_роутезі.php, щоб відобразити, що всі поля доступні для пошуку. # 6706
- Виправлено опис поля для файлу для редагування на diag_edit.php. # 6703
- Виправлено опис головної панелі на сторінці diag_resetstate.php. # 6709
- Виправлено діалогове вікно попередження, якщо в діалоговому вікні не встановлено прапорець diag_resetstate.php. # 6710
- Виправлено ярлик журналу для областей DHCP6. # 6700
- Виправлена кнопка видалення мережі, яка відображається, коли на серверах services_unbound_acls.php було присутнє лише одне число # 6716
- Виправлено зникаючий текст довідки на повторюваних рядках, коли останній рядок видалено. # 6716
- Виправлено динамічний домен DNS для записів DHCP статичної карти
- Додано контроль, щоб встановити період оновлення для відображення інформаційної панелі
- Додано & quot; -C / dev / null & quot; до параметрів командного рядка dnsmasq, щоб уникнути вибору невірної конфігурації за замовчуванням, яка перевизначить наші параметри. # 6730
- Додано & ldquo; -l & quot; щоб traceroute6 показувати як IP-адреси, так і назви вузлів при вирішенні хмелю на diag_traceroute.php. # 6715
- Додана примітка про максимальний ліміт ttl / hop у коментарях до джерела на діаг_трасеріуте.php.
- Чітка мова на diag_tables.php. # 6713
- очистите текст на діаг_складі.php. # 6708
- Виправлено відображення імен інтерфейсу VLAN під час призначення консолі. # 6724
- Виправлена настройка доменних імен-серверів, яка двічі відображається у пулах при встановленні вручну.
- Виправлена обробка параметрів DHCP у пулах, відмінних від основного діапазону. # 6720
- Виправлено недоступні імена хостів у деяких випадках з dhcpdv6. # 6589
- Покращена обробка підпису для dhcpleases
- Додано перевірки, щоб запобігти доступу до невизначеного зміщення в IPv6.inc.
- Виправлено відображення спливаючого вікна псевдоніми та редагування параметрів джерела та призначення як для адреси, так і для порту вихідного NAT.
- Виправлена робота з рахунком конфігурації резервної копії. # 6771
- Вилучено деякі звичні посилання PPTP, які більше не стосуються.
- Виправлені / виловлені області дистанційного керування. Додано & quot; маршрутизацію & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; resolver & quot ;, fixed & quot; vpn & quot; щоб включити всі області VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Виправлено непотрібні прапорці в деяких випадках при додаванні рядків у service_ntpd.php. # 6788
- Переглянути піктограми запуску / зупинки обслуговування.
- Додана перевірка для керування CRL, щоб видалити сертифікати з випадаючого списку, які вже містяться в редагуваному CRL.
- Виправлені роздільники правил, що рухаються, коли одночасно видаляються декілька правил брандмауера. # 6801
Що нового у версії 2.3.3:
- FreeBSD-SA-16: 26.openssl - кілька уразливостей у OpenSSL. Єдиним значним впливом на pfSense є OCSP для HAproxy та FreeRADIUS.
- Кілька пов'язаних з HyperV помилок у FreeBSD 10.3, FreeBSD-EN-16: 10 до 16:16. Див. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html для деталей.
- Оновлено кілька вбудованих пакетів та бібліотек, зокрема:
- PHP до 5.6.26
- libidn до 1,33
- завиток до 7.50.3
- libxml2 до 2.9.4
- Додано кодування до параметру "zone" на сторінках "Captive Portal".
- Додано вихідне кодування в diag_dns.php для результатів, отриманих з DNS. # 6737
- Робота над помилкою Chrome із системою регулярного виразування символів, що вилучаються, в наборі символів. Виправлено "Будь ласка, збігайтеся із потрібним форматом" в останніх версіях Chrome. # 6762
- Виправлено параметр формату чату сервера DHCPv6 # 6640
- Виправлена установка / usr / bin / missing з нових установок. # 6643
- Збільшення обмеження хвіля фільтрації для ведення журналу, тому пошук буде знаходити достатню кількість записів. # 6652
- Очистити вiддeт встановлених пакетів та HTML. # 6601
- Виправлено помилки налаштувань віджета при створенні нових налаштувань. # 6669
- Виправлено різні помилки та опис помилок.
- Вилучено неіснуючі посилання на сайт devwiki. Все зараз на https://doc.pfsense.org.
- Додано поле для сторінок CA / Cert для OU, яке вимагається деякими зовнішніми сертифікатами та користувачами. # 6672
- Виправлено рядок резервного HTTP "User-Agent" в оновленнях DynDNS
- Виправлено шрифт для сортованих таблиць.
- Додана перевірка, щоб перевірити, чи активний інтерфейс у групі шлюзу перед оновленням динамічного DNS.
- Виправлена формулювання параметра "Відхилити оренду від" для інтерфейсу DHCP (він може приймати тільки адреси, а не підмережі.) # 6646
- Виправлена помилка звітування для тестових налаштувань SMTP
- Фіксована економія країни, провайдера та параметрів планування для інтерфейсів PPP
- Виправлена перевірка недійсних номерів "Перейти до рядка" на діаг_едіт.php. # 6704
- Виправлена помилка окремо з "Rows to Display" на diag_routes.php. # 6705
- Виправлено опис поля фільтра на діаг_роутезі.php, щоб відобразити, що всі поля доступні для пошуку. # 6706
- Виправлено опис поля для файлу для редагування на diag_edit.php. # 6703
- Виправлено опис головної панелі на сторінці diag_resetstate.php. # 6709
- Виправлено діалогове вікно попередження, якщо в діалоговому вікні не встановлено прапорець diag_resetstate.php. # 6710
- Виправлено ярлик журналу для областей DHCP6. # 6700
- Виправлена кнопка видалення мережі, яка відображається, коли на серверах services_unbound_acls.php було присутнє лише одне число # 6716
- Виправлено зникаючий текст довідки на повторюваних рядках, коли останній рядок видалено. # 6716
- Виправлено динамічний домен DNS для записів DHCP статичної карти
- Додано контроль, щоб встановити період оновлення для відображення інформаційної панелі
- Додано параметр командного рядка dnsmasq до "-C / dev / null", щоб уникнути неправильного налаштування за замовчуванням, що перевизначить наші параметри. # 6730
- Додано "-l" до traceroute6, щоб показати як IP-адреси, так і назви вузлів при вирішенні хмелю на diag_traceroute.php. # 6715
- Додана примітка про максимальний ліміт ttl / hop у коментарях до джерела на діаг_трасеріуте.php.
- Чітка мова на diag_tables.php. # 6713
- очистите текст на діаг_складі.php. # 6708
- Виправлено відображення імен інтерфейсу VLAN під час призначення консолі. # 6724
- Виправлена настройка доменних імен-серверів, яка двічі відображається у пулах при встановленні вручну.
- Виправлена обробка параметрів DHCP у пулах, відмінних від основного діапазону. # 6720
- Виправлено недоступні імена хостів у деяких випадках з dhcpdv6. # 6589
- Покращена обробка підпису для dhcpleases
- Додано перевірки для запобігання доступу до невизначеного зсуву в IPv6.inc.
- Виправлено відображення спливаючого сповіщення та редагування параметрів джерела та призначення як для адреси, так і для порту вихідного NAT.
- Виправлена робота з рахунком конфігурації резервної копії. # 6771
- Вилучено деякі звичні посилання PPTP, які більше не стосуються.
- Виправлені / виловлені області дистанційного керування. Додано маршрутизацію, ntpd, ppp, resolver, виправлено "vpn" для включення всіх областей VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Виправлено непотрібні прапорці в деяких випадках при додаванні рядків у service_ntpd.php. # 6788
- Переглянути піктограми запуску / зупинки обслуговування.
- Додана перевірка для керування CRL, щоб видалити сертифікати з випадаючого списку, які вже містяться в редагуваному CRL.
- Виправлені роздільники правил, що рухаються, коли одночасно видаляються декілька правил брандмауера. # 6801
Що нового у версії 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - кілька уразливостей у OpenSSL. Єдиним значним впливом на pfSense є OCSP для HAproxy та FreeRADIUS.
- Кілька пов'язаних з HyperV помилок у FreeBSD 10.3, FreeBSD-EN-16: 10 до 16:16. Див. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html для деталей.
- Оновлено кілька вбудованих пакетів та бібліотек, зокрема:
- PHP до 5.6.26
- libidn до 1,33
- завиток до 7.50.3
- libxml2 до 2.9.4
- Додано кодування до параметру "zone" на сторінках "Captive Portal".
- Додано вихідне кодування в diag_dns.php для результатів, отриманих з DNS. # 6737
- Робота над помилкою Chrome із системою регулярного виразування символів, що вилучаються, в наборі символів. Виправлено "Будь ласка, збігайтеся із потрібним форматом" в останніх версіях Chrome. # 6762
- Виправлено параметр формату чату сервера DHCPv6 # 6640
- Виправлена установка / usr / bin / missing з нових установок. # 6643
- Збільшення обмеження хвіля фільтрації для ведення журналу, тому пошук буде знаходити достатню кількість записів. # 6652
- Очистити вiддeт встановлених пакетів та HTML. # 6601
- Виправлено помилки налаштувань віджета при створенні нових налаштувань. # 6669
- Виправлено різні помилки та опис помилок.
- Вилучено неіснуючі посилання на сайт devwiki. Все зараз на https://doc.pfsense.org.
- Додано поле для сторінок CA / Cert для OU, яке вимагається деякими зовнішніми сертифікатами та користувачами. # 6672
- Виправлено рядок резервного HTTP "User-Agent" в оновленнях DynDNS
- Виправлено шрифт для сортованих таблиць.
- Додана перевірка, щоб перевірити, чи активний інтерфейс у групі шлюзу перед оновленням динамічного DNS.
- Виправлена формулювання параметра "Відхилити оренду від" для інтерфейсу DHCP (він може приймати тільки адреси, а не підмережі.) # 6646
- Виправлена помилка звітування для тестових налаштувань SMTP
- Фіксована економія країни, провайдера та параметрів планування для інтерфейсів PPP
- Виправлена перевірка недійсних номерів "Перейти до рядка" на діаг_едіт.php. # 6704
- Виправлена помилка окремо з "Rows to Display" на diag_routes.php. # 6705
- Виправлено опис поля фільтра на діаг_роутезі.php, щоб відобразити, що всі поля доступні для пошуку. # 6706
- Виправлено опис поля для файлу для редагування на diag_edit.php. # 6703
- Виправлено опис головної панелі на сторінці diag_resetstate.php. # 6709
- Виправлено діалогове вікно попередження, якщо в діалоговому вікні не встановлено прапорець diag_resetstate.php. # 6710
- Виправлено ярлик журналу для областей DHCP6. # 6700
- Виправлена кнопка видалення мережі, яка відображається, коли на серверах services_unbound_acls.php було присутнє лише одне число # 6716
- Виправлено зникаючий текст довідки на повторюваних рядках, коли останній рядок видалено. # 6716
- Виправлено динамічний домен DNS для записів DHCP статичної карти
- Додано контроль, щоб встановити період оновлення для відображення інформаційної панелі
- Додано параметр командного рядка dnsmasq до "-C / dev / null", щоб уникнути неправильного налаштування за замовчуванням, що перевизначить наші параметри. # 6730
- Додано "-l" до traceroute6, щоб показати як IP-адреси, так і назви вузлів при вирішенні хмелю на diag_traceroute.php. # 6715
- Додана примітка про максимальний ліміт ttl / hop у коментарях до джерела на діаг_трасеріуте.php.
- Чітка мова на diag_tables.php. # 6713
- очистите текст на діаг_складі.php. # 6708
- Виправлено відображення імен інтерфейсу VLAN під час призначення консолі. # 6724
- Виправлена настройка доменних імен-серверів, яка двічі відображається у пулах при встановленні вручну.
- Виправлена обробка параметрів DHCP у пулах, відмінних від основного діапазону. # 6720
- Виправлено недоступні імена хостів у деяких випадках з dhcpdv6. # 6589
- Покращена обробка підпису для dhcpleases
- Додано перевірки для запобігання доступу до невизначеного зсуву в IPv6.inc.
- Виправлено відображення спливаючого сповіщення та редагування параметрів джерела та призначення як для адреси, так і для порту вихідного NAT.
- Виправлена робота з рахунком конфігурації резервної копії. # 6771
- Вилучено деякі звичні посилання PPTP, які більше не стосуються.
- Виправлені / виловлені області дистанційного керування. Додано маршрутизацію, ntpd, ppp, resolver, виправлено "vpn" для включення всіх областей VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Виправлено непотрібні прапорці в деяких випадках при додаванні рядків у service_ntpd.php. # 6788
- Переглянути піктограми запуску / зупинки обслуговування.
- Додана перевірка для керування CRL, щоб видалити сертифікати з випадаючого списку, які вже містяться в редагуваному CRL.
- Виправлені роздільники правил, що рухаються, коли одночасно видаляються декілька правил брандмауера. # 6801
Що нового у версії 2.3.2:
- Резервне копіювання / відновлення:
- Не дозволяйте застосувати зміни при невідповідності інтерфейсу після відновлення конфігурації, доки не буде збережено перепризначення. # 6613
- Інформаційна панель:
- Інформаційна панель тепер має параметри конфігурації для кожного користувача, задокументовані в Менеджері користувачів. # 6388
- Сервер DHCP:
- Вимкнено dhcp-cache-threshold, щоб уникнути помилки в ISC dhcpd 4.3.x, виключення імені клієнта-хоста з файлу оренди, що призводить до невдалої реєстрації динамічного імені хоста в деяких краях. # 6589
- Зауважте, що ключ DDNS має бути HMAC-MD5. # 6622
- Реле DHCP:
- Імпортується виправлення для запитів ретрансляції dhcrelay на інтерфейсі, на якому розміщений цільовий DHCP-сервер. # 6355
- Динамічний DNS:
- Дозволити * для назви вузла за допомогою Namecheap. # 6260
- Інтерфейси:
- Виправити "неможливо призначити запитувану адресу" під час завантаження з інтерфейсами track6. # 6317
- Вилучити нестандартні параметри посилань з GRE та gif. # 6586, # 6587
- Послухайте "Відхилити оренду від", якщо DHCP "Додаткові параметри" буде позначено. # 6595
- Захистіть замкнуті розмежувачі в розширеній конфігурації клієнта DHCP, тому там можуть бути використані коми. # 6548
- Виправлення маршруту за замовчуванням на інтерфейсах PPPoE відсутнє в деяких краях. # 6495
- IPsec:
- strongSwan оновлено до версії 5.5.0.
- Увімкніть агресивний режим у ipsec.conf, де вибрано режим авторизації IKE. # 6513
- Моніторинг шлюзу:
- Виправлено "ім'я сокету занадто велике", що призводить до неефективності моніторингу шлюзу на іменах довгих інтерфейсів та IPv6-адресах. # 6505
- Обмежувачі:
- Встановити pipe_slot_limit автоматично до максимально налагодженого значення qlimit. # 6553
- Моніторинг:
- Виправлено не зазначено періодів даних як 0, середні коефіцієнти. # 6334
- Виправте підказку для деяких значень як "ніхто". # 6044
- Виправлено збереження деяких параметрів конфігурації за замовчуванням. # 6402
- Фіксувати вісь X, що не відповідає роздільній здатності для власних періодів часу. # 6464
- OpenVPN:
- Повторно синхронізувати специфічні для клієнта конфігурації після збереження екземплярів сервера OpenVPN, щоб переконатися, що їх параметри відображають поточну конфігурацію сервера. # 6139
- Операційна система:
- Виправлені стану фрагментів pf, які не очищуються, викликаючи "досягнуту ліміт записів фрагментів PF". # 6499
- Встановити розташування основного файлу, щоб вони не могли закінчитися в / var / run та вичерпати його доступний простір. # 6510
- Виправлено "spam" у Hyper-V, який виправлено "runtime". # 6446
- Виправлена помилка traceroute6 з невідповідним хопом на шляху. # 3069
- Додано символьне посилання /var/run/dmesg.boot для vm-bhyve. # 6573
- Встановити net.isr.dispatch = безпосередньо на 32-бітових системах з IPsec включеним, щоб запобігти аварійному завершенні під час доступу до послуг на самому хості через VPN. # 4754
- Оголошення про маршрутизатор:
- Додані поля конфігурації для мінімальних і максимальних інтервалів реклами маршрутизатора та терміну служби маршрутизатора. # 6533
- Маршрутизація:
- Виправлено статичні маршрути з локальним цільовим маршрутизатором посилання IPv6, щоб включити область інтерфейсу. # 6506
- Правила / NAT:
- Виправлено мітку-заповнювач "PPPoE-клієнти" в правилах та NAT, а також помилки правил при використанні плаваючих правил, що задають сервер PPPoE. # 6597
- Виправлена помилка завантаження набору правил з псевдонімами таблиці URL, де вказано порожній файл. # 6181
- Виправлено проксі TFTP за допомогою xinetd. # 6315
- Оновити:
- Виправлені помилки оновлення на nanobsd, коли DNS-екранер / резольвер не пов'язаний з localhost. # 6557
- Віртуальні IP-адреси:
- Виправлена проблема з великою кількістю віртуальних IP-адрес. # 6515
- Виправлено вичерпання пам'яті PHP на сторінці статусу CARP з великими таблицями стану. # 6364
- Веб-інтерфейс:
- Додано сортування до таблиці статичного зіставлення DHCP. # 6504
- Виправлена завантаження файлів NTP-секунд. # 6590
- Додана підтримка IPv6 для діагностики_dns.php. # 6561
- Додана підтримка IPv6 для фільтрування зворотного пошуку журналів. # 6585
- Система пакетів - збереження даних поля на помилці введення. # 6577
- Виправлено декілька помилок перевірки входу на IPv6, що дозволяють неправильні IPv6 IP. # 6551, # 6552
- Виправлена відсутність оренди DHCPv6 у дисплеї оренди графічного інтерфейсу. # 6543
- Вбивство фіксованого стану для "в" напрямку та стану з переведеним пунктом призначення. # 6530, # 6531
- Відновіть перевірку вводу назв зони порталу, щоб запобігти неправильному XML. # 6514
- Замінювач вибору дати календаря в менеджері користувачів з таким, який працює в браузерах, відмінних від Chrome і Opera. # 6516
- Відновлено поле порту проксі для клієнта OpenVPN. # 6372
- Пояснити опис псевдонімів портів. # 6523
- Виправлено виведення перекладу, де gettext передано порожній рядок. # 6394
- Виправлена швидкість вибору для 9600 в налаштуваннях NTP GPS. # 6416
- Дозволити IPv6 IP-адреси лише на екрані NPT. # 6498
- Додайте підтримку імпорту псевдонімів для мереж і портів. # 6582
- Виправлено заголовки для сортування заголовка, які заманюють дивацтва. # 6074
- Очистіть розділ завантаження мережі на екрані DHCP-сервера. # 6050
- Виправте посилання "НЕЗНАЧЕНО" в менеджері пакетів. # 6617
- Виправте відсутнє поле пропускної здатності для черг CBQ для формування трафіку. # 6437
- UPnP:
- URL-адреса презентації UPnP та номер моделі тепер можуть бути налаштовані. # 6002
- Менеджер користувачів:
- Заборонити адміністраторам видаляти власні облікові записи в менеджері користувачів. # 6450
- Інше:
- Додано PHP сеансів оболонки, щоб увімкнути та вимкнути постійний режим технічного обслуговування CARP. "enablecarpmain відтворення" та "відтворення disablecarpmaint". # 6560
- Закрита конфігурація конфігурації для nanobsd VGA. # 6291
Що нового в версії 2.3.1 Update 5:
- Найбільш суттєві зміни в цьому випуску - це перезапис webGUI із використанням Bootstrap, а основна система, включаючи базову систему та ядро, перетворюється повністю на FreeBSD pkg. Конвертація pkg дозволяє нам оновлювати окремі частини системи, а не монолітні оновлення минулого. Перезапис webGUI дає новий чуттєвий вигляд для pfSense, який вимагає мінімального змінення розміру або прокрутки на широкому діапазоні пристроїв від настільних ПК до мобільних телефонів.
Що нового в версії 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Вразливість локальних файлів у pfSense WebGUI
- pfSense-SA-15_10.captiveportal: Вразливість SQL Injection у виході з вимкненого порталу pfSense
- pfSense-SA-15_11.webgui: уразливості кількох XSS і CSRF в pfSense WebGUI
- Оновлено FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Кілька вразливостей OpenSSL
- Оновлено strongSwan до 5.3.5_2
- Включає виправлення помилок у базі даних CVE-2015-8023 у плагіні eap-mschapv2.
Що нового в версії 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Вразливості декількох збережених XSS в pfSense WebGUI
- Оновлено FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Кілька уразливостей в NTP [ПЕРЕГЛЯНУ]
- FreeBSD-SA-15: 14.bsdpatch: через недостатню санітацію вхідного патч-потоку, файл патча може викликати патч (1) для запуску команд додатково до бажаних команд SCCS або RCS.
- FreeBSD-SA-15: 16.openssh: клієнт OpenSSH неправильно перевіряє записи DNS SSHFP, коли сервер пропонує сертифікат. CVE-2014-2653 OpenSSH-сервери, налаштовані на те, щоб дозволити автентифікацію паролем за допомогою PAM (за промовчанням), дозволить багато спроб пароля.
- FreeBSD-SA-15: 18.bsdpatch: через недостатню санітацію вхідного патч-потоку, файл патча може викликати патч (1) для передачі деяких скриптів ed (1) до ed (1) редактор, який запускатиме команди.
- FreeBSD-SA-15: 20.expat: у файлі XML_GetBuffer () виявлено декілька цілих переповнень.
- FreeBSD-SA-15: 21.amd64: якщо команда IRET в режимі ядра створює виключення #SS або #NP, але обробник виключень не належним чином гарантує, що базова частина бази даних GS для ядра буде перезавантажена , сегмент GS userland може використовуватися в контексті обробника виключень ядра.
- FreeBSD-SA-15: 22.openssh: Помилка програмування в процесі привілейованого моніторингу служби sshd (8) може дозволити перезаписати ім'я користувача вже автентифікованого користувача непривілейованим дочірним процесом. Помилка use-free-free в процесі привілейованого моніторингу служби sshd (8) може бути детерміновано спрацьовувати через дії з-під комерційного зловмисного непривілейованого дочірнього процесу. Помилка use-free-free в коді мультиплексування сеансу у службі sshd (8) може призвести до ненавмисного припинення з'єднання.
Що нового у версії 2.2.4:
- pfSense-SA-15_07.webgui: уразливості декількох збережених XSS в pfSense WebGUI
- Повний список порушених сторінок і полів відображається у пов'язаній SA.
- FreeBSD-SA-15: 13.tcp: виснаження ресурсів через сеанс, закріплений у стані LAST_ACK. Зверніть увагу, що це стосується лише сценаріїв, в яких порти, які прослуховують саму pfSense (а не речі, передані через NAT, маршрутизацію чи перехрестя) відкриваються для ненадійних мереж. Це не стосується конфігурації за замовчуванням.
- Примітка: FreeBSD-SA-15: 13.openssl не застосовується до pfSense. pfSense не включає вразливу версію OpenSSL, і тому не була вразливою.
- Подальші виправлення для корупції файлів у різних випадках під час нечистого завершення роботи (крах, втрата потужності тощо). # 4523
- Виправлена помилка в FreeBSD для вирішення проблеми корекції паролів
- Виправлено конфігурацію config.xml для правильного використання fsync, щоб уникнути випадків, коли воно може бути порожнім. # 4803
- Вилучено опцію & lsquo; sync 'з файлових систем для нових повних встановлень та повних оновлень зараз, коли існує справжнє виправлення.
- Вилучені softupdates та журналювання (AKA SU + J) з NanoBSD, вони залишаються на повних встановленнях. # 4822
- Патч ForceYync для № 2401 як і раніше вважається шкідливим для файлової системи, і його слід уникнути. Таким чином, може спостерігатися помітна повільність роботи з NanoBSD на певних більш повільних дисках, особливо CF-картах і, меншою мірою, SD-картами. Якщо це проблема, файлову систему можна зберігати постійно, використовуючи опцію діагностики & gt; NanoBSD. З іншими змінами вище, ризик мінімальний. Ми рекомендуємо якнайшвидше замінити наново поширені CF / SD-носії за допомогою нової, більш швидкої карти. # 4822
- Оновлений PHP до версії 5.5.27 для адреси CVE-2015-3152 # 4832
- Зниження входу SSH LoginGraceTime від 2 хвилин до 30 секунд, щоб послабити вплив помилки обходу базу MaxAuthTries. Примітка. Sshlockout блокує зловмисні IP у всіх минулих, поточних та майбутніх версіях. # 4875
Що нового у версії 2.2.3:
- pfSense-SA-15_06.webgui: кілька уразливостей XSS в pfSense WebGUI
- Повний список постраждалих сторінок і полів великий, і всі вони перелічені у пов'язаній SA.
- FreeBSD-SA-15: 10.openssl: кілька вразливостей OpenSSL (включаючи Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792. , CVE-2015-4000
Що нового у версії 2.2.2:
- Цей випуск містить два оновлень безпеки низького ризику:
- FreeBSD-SA-15: 09.ipv6: Відмова в обслуговуванні з рекламою маршрутизатора IPv6. Якщо система використовує тип DHCPv6 WAN, пристрої того самого широкомовного домену, як це WAN, можуть надсилати створені пакети, що спричиняє втрату Інтернету через IPv6.
- FreeBSD-SA-15: 06.openssl: кілька вразливостей OpenSSL. Більшість не застосовуються, а найгірший вплив - відмова в обслуговуванні.
Що нового у версії 2.2.1:
- Виправлення безпеки:
- pfSense-SA-15_02.igmp: переповнення цілісного числа в протоколі IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: кілька вразливостей XSS в pfSense WebGUI
- pfSense-SA-15_04.webgui: Виправлення виправлення файлів в pfSense WebGUI
- FreeBSD-EN-15: 01.vt: vt (4) збій з неправильними параметрами ioctl
- FreeBSD-EN-15: 02.openssl: оновлення, що включає виправлення надійності з OpenSSL
- Примітка на уразливості OpenSSL "FREAK":
- Не впливає на конфігурацію веб-сервера на брандмауері, оскільки в ньому немає включених шифрів експорту.
- У програмі pfSense 2.2 вже включено OpenSSL 1.0.1k, який адресований вразливості на стороні клієнта.
- Якщо пакети включають веб-сервер або аналогічний компонент, наприклад проксі-сервер, це може вплинути на неправильну конфігурацію користувача. Щоб дізнатись про деталі, ознайомтеся з документацією або форумом.
Що нового у версії 2.2:
- Цей випуск покращує продуктивність та технічну підтримку з бази FreeBSD 10.1, а також додані нами вдосконалення, такі як AES-GCM з прискоренням AES-NI, серед багатьох інших нових функцій та виправлень помилок.
- У процесі звільнення ми закрили 392 загальних квитків (це число включає 55 функцій або завдань), фіксовано 135 помилок, що впливають на версії 2.1.5 та попередніх версій, виправлено ще 202 помилок, внесених у 2.2, шляхом просування бази Версія ОС від FreeBSD 8.3 до 10.1, зміна демонів ключів IPsec від racoon до strongSwan, оновлення PHP-бекенда до версії 5.5 і перехід від FastCGI до PHP-FPM, а також додавання Unbound DNS Resolver і багатьох інших менших змін.
- Цей випуск містить чотири виправлення безпеки з низьким рівнем впливу:
- openssl оновлення для FreeBSD-SA-15: 01.openssl
- Кілька XSS-уразливостей в веб-інтерфейсі. pfSense-SA-15_01
- оновлення OpenVPN для CVE-2014-8104
- Оновлення NTP FreeBSD-SA-14: 31.ntp - хоча ці обставини, здається, не впливають на pfSense.
Що нового у версії 2.1.4:
- Виправлення безпеки:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- Пакунки також мали власні незалежні виправлення та потребують оновлення. Під час процесу оновлення вбудованого програмного забезпечення пакунки будуть встановлені належним чином. В іншому випадку видаліть, а потім перевстановіть пакунки, щоб переконатися, що використовується найновіша версія binaries.
- Інші виправлення:
- Випадок вилучення патч для Captive Portal pipeno, що призводить до досягнення максимального рівня входу на порталі Captive. # 3062
- Вилучіть текст, який не стосується дозволених IP-адрес на порталі Captive. # 3594
- Вилучити одиниці з вибуху, оскільки воно завжди вказується в байтах. (Per ipfw (8)).
- Додати стовпець для внутрішнього порта на сторінці статусу UPnP.
- Послухайте інтерфейс, а не додатковий IP для UPnP.
- Виправте підсвічування вибраних правил. # 3646
- Додайте guiconfig до віджетів, не включаючи його. # 3498
- / etc / version_kernel та / etc / version_base більше не існує, використовуйте php_uname, щоб отримати версію для перевірки XMLRPC.
- Виправте помилку змінної. # 3669
- Видалити всі псевдоніми IP, коли інтерфейс вимкнено. # 3650
- Належним чином обробляти перейменування архівації RRD під час оновлення та помилки шумоподави, якщо воно не відбудеться.
- Перетворення протоколу ssl: // до https: // при створенні заголовків HTTP для XMLRPC.
- Показати відключені інтерфейси, коли вони вже були частиною групи інтерфейсів. Це дозволяє уникнути показу випадкового інтерфейсу і дозволити користувачеві додати його помилково. # 3680
- Директива client-config-dir для OpenVPN також корисна при використанні внутрішньої DHCP OpenVPN під час переміщення, тому додайте її в цьому випадку.
- Використовуйте curl, а не завантажте, щоб завантажити файли оновлення. # 3691
- Перехідник перед переходом до оболонки з stop_service ().
- Додайте певний захист до параметрів, які надходять через _GET у керуванні службою.
- Вихід аргументу на виклик до is_process_running, також видалити деякі небажані дзвінки mwexec ().
- Не дозволяти ім'я групи інтерфейсу більше 15 символів. # 3208
- Будьте точнішими, щоб відповідати учасникам інтерфейсу міст, воно має виправити # 3637
- Не скасовуйте вже вимкнені користувачі, це виправляє # 3644
- Перевірити формат starttime і stoptime на firewall_schedule_edit.php
- Будьте обережні з параметром host на diag_dns.php та переконайтеся, що він вичерпується при функціях оболонки дзвінка
- Параметри виходу передаються в shell_exec () в diag_smart.php та інших місцях
- Переконайтеся, що змінні вирвані / очищені на status_rrd_graph_img.php
- Замініть виклики exec, щоб запустити rm за допомогою unlink_if_exists () на status_rrd_graph_img.php
- Замініть всі виклики `hostname` за допомогою php_uname (& lsquo; n) на status_rrd_graph_img.php
- Замінити всі дзвінки на дату за допомогою strftime () на status_rrd_graph_img.php
- Додайте $ _gb для збирання можливого сміття з exec повернення на status_rrd_graph_img.php
- Уникати перехресного пошуку в pkg_edit.php при читанні пакунків xml-файлів, також перевірте наявність файлу, перш ніж спробувати його прочитати
- Вилучити id = 0 з меню miniupnpd та ярлика
- Видалити. та / з назви pkg, щоб уникнути руху переліку в pkg_mgr_install.php
- Виправте основний дамп при перегляді невірного журналу пакетів
- Уникайте прокрутки каталогу на system_firmware_restorefullbackup.php
- Повторно генеруйте ідентифікатор сеансу після успішного входу, щоб уникнути фіксації сеансу
- Захистіть параметри rssfeed за допомогою htmlspecialchars () в rss.widget.php
- Захист параметра servicestatusfilter за допомогою htmlspecialchars () у service_status.widget.php
- Завжди встановлюйте атрибут httponly на файли cookie
- Встановити & lsquo; Відключити автоматичне завершення автозапуску WebConfigurator ', як це було за замовчуванням для нових встановлень
- Спростіть логіку, додайте певний захист для вхідних параметрів користувача в log.widget.php
- Переконайтеся, що кодирування одиночних котирувань закодовані та уникайте вставки JavaScript на exec.php
- Додати відсутні протоколи NAT на firewall_nat_edit.php
- Видаліть додаткові дані після пробілу в DSCP та виправте синтаксис правил pf. # 3688
- Включіть лише планове правило, якщо це строго до закінчення часу. # 3558
Що нового у версії 2.1.1:
- Найбільша зміна - це закрити наступні проблеми безпеки / CVE:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Крім цих, драйвери em / igb / ixgb / ixgbe були оновлені, щоб додати підтримку для мереж i210 та i354. Деякі Intel NIC 10Gb Ethernet також побачать поліпшену продуктивність.
Коментар не знайдено