pfSense & reg; היא מערכת ההפעלה BSD המופצת בחופשיות ובקוד פתוח שמקורם בפרויקט m0n0wall הידוע, אך עם מטרות שונות באופן קיצוני כמו שימוש במסנן Packet ובטכנולוגיות FreeBSD האחרונות.
הפרוייקט יכול לשמש גם נתב וגם חומת אש. הוא כולל מערכת חבילות המאפשרת למנהלי מערכת להרחיב בקלות את המוצר מבלי להוסיף פגיעויות אבטחה אפשריות ולפוצץ את התפלגות הבסיס.
תכונות במבט אחד
התכונות העיקריות כוללות חומת אש חדישה, איזון עומס נכנס / יוצא, טבלה של המדינה, NAT (תרגום כתובת רשת), זמינות גבוהה, VPN (רשת וירטואלית פרטית) עם תמיכה ב- IPsec, PPTP ו- OpenVPN, PPPoE שרת, DNS דינמי, פורטל שבוי, דיווח וניטור.
זוהי מערכת הפעלה פעילה שפותחה באופן פעיל, מופצת כ- gz בארכיון CD Live ו- ISO בלבד, מתקיני מקל USB, כמו גם מדיה NanoBSD / Embedded. הן פלטפורמות החומרה 64-bit (amd64) והן 32-bit (i386) נתמכות בשלב זה.
כמה אפשרויות אתחול מוגדרות מראש זמינות במהלך תהליך האתחול, כגון כדי לאתחל את מערכת ההפעלה עם הגדרות ברירת המחדל, כאשר ACPI מושבת, באמצעות התקני USB, במצב בטוח, במצב משתמש יחיד, עם רישום verbose, וכן לגשת לקובץ פגז או לאתחל את המכשיר.
תחילת העבודה עם pfSense & reg;
בעוד שההפצה תשאל את המשתמשים אם הם רוצים להגדיר רשתות VLAN (Virtual LANs) מה- get-go, הוא ידרוש לפחות ממשק רשת אחד שהוקצה לתפקוד. פירוש הדבר שאם אין לך / להגדיר לפחות ממשק אחד, pfSense & reg; אפילו לא להתחיל.
בשימוש בחומת אש עבור רשתות ביתיות קטנות, אוניברסיטאות, תאגידים גדולים או כל ארגון אחר שבו הצורך להגן על אלפי התקני רשת הוא חשוב ביותר, pfSense & reg; כבר הורדו על ידי למעלה ממיליון משתמשים מרחבי העולם, מאז היווסדה.
שורה תחתונה
זהו אחד הפרויקטים הטובים ביותר בקוד פתוח של חומת אש המהונדסים לספק למשתמשים את כל התכונות שמוצרי חומת אש מסחריים מגיעים אליהם. היום, pfSense & reg; משמשת במספר רב של פתרונות חומת אש, כולל Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall או Watchguard.
pfSense & reg; הוא סימן מסחרי רשום וסימן שירות שבבעלות חברת Electric Chep Fencing LLC. ראה www.electricsheepfencing.com.
מה חדש במהדורה זו:
- אבטחה / שגיאות
- עודכן ל- OpenSSL 1.0.2m לכתובת CVE-2017-3736 ו- CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- תוקן וקטור XSS פוטנציאלי ב- status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- תוקן וקטור XSS פוטנציאלי ב- diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- תוקן וקטור XSS פוטנציאלי ב- index.php באמצעות פרמטרים של רצף יישומון # 8000 pfSense-SA-17_09.webgui.asc
- תוקן XSS פוטנציאלי בפרמטר widgetkey של יישומונים מרובי-מרכזי של לוח מחוונים # 7998 pfSense-SA-17_09.webgui.asc
- תוקנה בעיית קליקים פוטנציאלית בדף השגיאה CSRF
- ממשקים
- ממשקי PPP קבועים עם אב VLAN בעת שימוש בשמות VLAN החדשים # 7981
- בעיות קבועות עם ממשקי QinQ שלא מופיעות כפעילות # 7942
- תוקן פאניקה / התרסקות בעת השבתת ממשק LAGG # 7940
- בעיות קבועות עם ממשקי LAGG מאבדות את כתובת ה- MAC # 7928
- תיקון התרסקות ברדיו על SG-3100 (ARM) # 8022
- תוקנה בעיה עם טיפות מנות UDP ב- SG-1000 # 7426
- נוסף ממשק לניהול המתג המובנה ב- SG-3100
- גזרו עוד תווים מחוץ לתיאור הממשק, כדי להימנע מעטיפת קו פלט של קו מסוף במסוף VGA
- טיפול קבוע בפרמטר הייחודי VIP בעת שינוי סוגי VIP
- שדה פרמטר קבוע של קישור פרמטר PPP כאשר נבחר ממשק אב VLAN # 8098
- מערכת הפעלה
- בעיות קבועות הנובעות מפריסת מערכת הקבצים המוגדרת באופן ידני עם פרוסה נפרדת / usr # 8065
- בעיות קבועות המעדכנות מערכות ZFS יוצרות ZFS באמצעות ערכת מחיצה של MBR (ריק / אתחול עקב אתחול לא מתבצעת) # 8063
- בעיות קבועות בפגישות BGP תוך שימוש בחתימות MD5 TCP בחבילות daemon ניתוב # 7969
- מעודכן dpinger 3.0
- שיפר את האפשרויות והשיטות לבחירת מאגר העדכונים
- עודכן מערכת הטאבלטים של מערכת ההפעלה המספרת למערכת ההפעלה שלא לקצור נתונים מפסיקים, ממשקי נקודה לנקודה והתקני Ethernet כדי לשקף את השם / הפורמט החדש של FreeBSD 11
- עיבוד כללי של כללים שהשתנו כך שינסה שוב אם תהליך אחר נמצא באמצע עדכון, במקום להציג הודעה למשתמש
- תוקן מספר בעיות אתחול של UEFI בפלטפורמות שונות
- אישורים
- ערכים קבועים לא חוקיים ב- /etc/ssl/openssl.cnf (מושפע רק מהשימוש הלא-סטנדרטי ב- openssl ב- cli / shell) # 8059
- אימות LDAP קבוע כאשר השרת משתמש ב- CA בעל מהימנות גלובלית מהימנה (בחירה חדשה של CA עבור & quot; רשימת השורשים הגלובלית של Root & quot;) # 8044
- בעיות קבועות ביצירת אישור עם תווים כלליים CN / SAN # 7994
- אימות נוסף למנהל האישורים כדי למנוע ייבוא תעודת הסמכה לא מאושרת לכרטיסייה CA # 7885
- IPsec
- תוקנה בעיה באמצעות אישורי CA של IPsec כאשר הנושא מכיל מספר רב של RDN מאותו סוג # 7929
- תוקנה בעיה עם הפעלת תמיכת לקוחות IPsec ניידים בשפות מתורגמות # 8043
- בעיות קבועות עם תצוגת סטטוס / פלט של IPsec, כולל רשומות מרובות (אחת מנותקת, אחת מחוברת) # 8003
- תצוגה קבועה של מספר לקוחות IPsec ניידים מחוברים # 7856
- תצוגה קבועה של ערכי SA # 7856
- OpenVPN
- נוספה אפשרות עבור שרתי OpenVPN להשתמש ב- & quot; כתובת אתר להפניה מחדש ipv6 & quot; לשמש כשער ברירת המחדל לחיבור לקוחות VPN עם IPv6, בדומה ל & quot; defirect-gateway def1 & quot; עבור IPv4. # 8082
- תוקן את האפשרות 'ביטול תעודת לקוח' של OpenVPN # 8088
- עיצוב תנועה
- תוקן שגיאה בעת הגדרת מגביל על 2Gb / s (מקס חדש הוא 4Gb / s) # 7979
- בעיות קבועות עם ממשקי רשת גשר שאינם תומכים ב- ALTQ # 7936
- בעיות קבועות עם ממשקי רשת vtnet שאינם תומכים ב- ALTQ # 7594
- תוקנה בעיה עם סטטוס & gt; תורים נכשלים להציג נתונים סטטיסטיים עבור ממשקי VLAN # 8007
- תוקנה בעיה עם תורים המייצגים תנועה שאינה מאפשרת את סך כל תורי הילדים להיות 100% # 7786
- תוקנה בעיה עם מגבילים שניתנה לערכים שברים לא-שלמים של ערכים לא חוקיים או מועברת לפורטל Captive מ- RADIUS # 8097
- כללים / NAT
- בחירה קבועה של שערי IPv6 בעת יצירת כלל חומת אש חדשה # 8053
- שגיאות קבועות בדף תצורת היציאה קדימה, הנובעות מעוגיות / נתוני עוגייה / נתונים לא מסודרים של # 8039
- הגדרה קבועה VLAN Priority באמצעות כללי חומת אש # 7973
- XMLRPC
- תוקנה בעיה בסנכרון XMLRPC כאשר למשתמש הסינכרון יש סיסמה המכילה רווחים # 8032
- בעיות XMLRPC קבועות עם שוברי פורטל שבויים # 8079
- WebGUI
- הוספת אפשרות להשבית HSTS עבור שרת האינטרנט GUI # 6650
- שינתה את שירות האינטרנט GUI כדי לחסום הורדה ישירה של .inc files # 8005
- מיון קבוע של שירותים בדף הווידג'ט של מרכז השליטה וב- Status Services page # 8069
- תוקן בעיית קלט שבה רשומות IPv6 סטטיות אפשרו קלט לא חוקי לשדות כתובת # 8024
- תוקן שגיאת תחביר של JavaScript בתרשימי תנועה כאשר נתקלים נתונים לא חוקיים (למשל, המשתמש התנתק או התנתק מהפעולה) # 7990
- שגיאות דגימה קבועות בתרשימי התנועה # 7966
- תוקנה שגיאת JavaScript ב- Status & gt; ניטור # 7961
- תוקן בעיית תצוגה עם טבלאות ריקות ב- Internet Explorer 11 # 7978
- עיבוד התצורה השתנה לשימוש בחריגה במקום למות () כאשר הוא מזהה תצורה פגומה
- נוסף סינון לדף pfTop
- הוספת אמצעי לחבילות להצגת מודאלית למשתמש (למשל, אתחול מחדש נדרש לפני שניתן להשתמש בחבילה)
- מרכז השליטה
- תצוגה קבועה של עדכונים זמינים ביישומון לוח המחוונים המותקן של חבילה # 8035
- תוקן בעיית פונט בגורם widget של מרכז השליטה של התמיכה # 7980
- עיצוב קבוע של פרוסות / מחיצות דיסק ביישום widget של מרכז השליטה של מידע מערכת
- תוקנה בעיה עם רכיב widget 'תמונות' כאשר לא נשמרה תמונה חוקית # 7896
- חבילות
- תצוגה קבועה של חבילות שהוסרו מהמאגר במנהל החבילות # 7946
- תוקן בעיה המציגה חבילות שהותקנו באופן מקומי כאשר מאגר החבילות המרוחקות אינו זמין # 7917
- אחר
- ממשק קבוע מחייב ב- ntpd ולכן הוא אינו מקשיב בטעות על כל הממשקים # 8046
- תוקנה בעיה שבה הפעלה מחדש של שירות syslogd תגרום ליתומי תהליך sshlockout_pf # 7984
- תמיכה נוספת עבור ספק ה- DNS הדינמי של ClouDNS # 7823
- תוקנה בעיה בדפים 'משתמש' ו'מנהל קבוצות 'בעת הפעלת רשומות מיד לאחר מחיקת רשומה # 7733
- שינה את אשף ההגדרה כך שהוא מדלג על תצורת הממשק בעת הפעלתו ב- AWS EC2 Instance # 6459
- תוקנה בעיית Proxy של IGMP במצב All-multicast ב- SG-1000 # 7710
מה חדש בגרסה:
- עדכונים במרכז השליטה:
- במרכז השליטה של 2.3.4-RELEASE תמצא כמה פרטים נוספים: ספק ה- BIOS, הגירסה ותאריך השחרור - אם חומת האש יכולה לקבוע אותם - וכן מזהה ייחודי של Netgate. מזהה Netgate ייחודי דומה למספר סידורי, הוא משמש כדי לזהות באופן ייחודי מופע של תוכנת pfSense ללקוחות שרוצים לרכוש שירותי תמיכה. עבור חומרה שנמכרו בחנות שלנו, זה גם מאפשר לנו לקשור יחידות לרשומות הייצור שלנו. מזהה זה הוא עקבי בכל הפלטפורמות (מתכת חשופה, מכונות וירטואליות, ו מתארח / ענן מקרים כגון AWS / Azure). התכוונו במקור להשתמש במספר הסידורי של החומרה או ב- UUID שנוצר על-ידי מערכת ההפעלה, אך מצאנו כי אלה היו בלתי מהימנים, לא עקביים, והם יכלו להשתנות באופן בלתי צפוי כאשר מערכת ההפעלה הותקנה מחדש.
- בדומה למספר הסידורי, מזהה זה מוצג רק במרכז השליטה לקבלת מידע ואינו משודר בכל מקום באופן אוטומטי כברירת מחדל. בעתיד, לקוחות יוכלו להשתמש במזהה זה בעת בקשת פרטי תמיכה מהצוות או מהמערכות שלנו.
- אם עדיין לא תפסת את השינויים ב- 2.3.x, עיין בסרטון התכונות וההדפסות. פוסטים קודמים של בלוג כיסו חלק מהשינויים, כגון שיפורים בביצועים מ tryforward ועדכון webGUI.
- אישורי GUI של חומת אש:
- משתמשים של Chrome 58 ואילך, ובמקרים מסוימים Firefox 48 ואילך, עשויים להיתקל בבעיות בגישה לממשק האינטרנט של pfSense אם הוא משתמש באישור שנחתם בחתימה עצמית שנוצר באופן אוטומטי על ידי חומת אש הפועלת באמצעות pfSense גרסה 2.3.3-p1 או מוקדם יותר. הסיבה לכך היא ש- Chrome 58 אוסר באופן קפדני את RFC 2818, הדורש שמות תואמים בלבד תוך שימוש ברשומות 'שם נושא חלופי' (SAN) במקום בשדה 'שם משותף' של אישור, ואישור ברירת המחדל בחתימה עצמית לא מאכלס את שדה ה- SAN.
- תיקנו את קוד האישור כדי לבצע באופן מדויק את RFC 2818 בצורה ידידותית למשתמש על ידי הוספה אוטומטית של הערך 'שם משותף' כערך SAN הראשון.
- מנהלי חומת האש יצטרכו ליצור אישור חדש לשימוש על ידי הממשק הגרפי כדי לנצל את הפורמט החדש. קיימות מספר דרכים ליצירת אישור תואם, כולל:
- צור והפעל אישור GUI חדש באופן אוטומטי מהמסוף או מקובץ ssh באמצעות אחד מהסקריפטים שלנו:
- pfSsh.php השמעה generateguicert
- השתמש בחבילת ACME כדי ליצור אישור מהימן עבור הממשק הגרפי באמצעות 'הצפן', שכבר מעוצב כהלכה.
- ליצור באופן ידני רשות אישורים עצמית חדשה (CA) ותעודת שרת חתומה על ידי אותו רשות, ולאחר מכן השתמש בהם עבור הממשק הגרפי.
- הפעל את הדפדפן המקומי & quot; EnableCommonNameFallbackForLocalAnchors & quot; אפשרות ב- Chrome 58. הגדרה זו תוסר על ידי Chrome בסופו של דבר, לכן זהו תיקון זמני בלבד.
- ייתכן שמשתמשים מסוימים זוכרים שזו אינה הפעם הראשונה שתבנית האישור המוגדרת כברירת מחדל בעייתית עקב שינויים בדפדפן. לפני מספר שנים, פיירפוקס שינה את האופן שבו הם מחשבים רשתות אמון, דבר שעלול לגרום לדפדפן להיראות קפוא או להיתקע בעת ניסיון לגשת לחומות אש מרובות עם אישורים חתומים עצמית המכילים נתוני ברירת מחדל נפוצים, וכתוצאה מכך כל האישורים האלה מכילים את אותו נושא. תיקון זה היה יותר אתגר, אבל זה הביא לחוויה הרבה יותר טוב למשתמש הקצה.
מה חדש בגירסה 2.3.4:
- עדכונים במרכז השליטה:
- במרכז השליטה של 2.3.4-RELEASE תמצא כמה פרטים נוספים: ספק ה- BIOS, הגירסה ותאריך השחרור - אם חומת האש יכולה לקבוע אותם - וכן מזהה ייחודי של Netgate. מזהה Netgate ייחודי דומה למספר סידורי, הוא משמש כדי לזהות באופן ייחודי מופע של תוכנת pfSense ללקוחות שרוצים לרכוש שירותי תמיכה. עבור חומרה שנמכרו בחנות שלנו, זה גם מאפשר לנו לקשור יחידות לרשומות הייצור שלנו. מזהה זה הוא עקבי בכל הפלטפורמות (מתכת חשופה, מכונות וירטואליות, ו מתארח / ענן מקרים כגון AWS / Azure). התכוונו במקור להשתמש במספר הסידורי של החומרה או ב- UUID שנוצר על-ידי מערכת ההפעלה, אך מצאנו כי אלה היו בלתי מהימנים, לא עקביים, והם יכלו להשתנות באופן בלתי צפוי כאשר מערכת ההפעלה הותקנה מחדש.
- בדומה למספר הסידורי, מזהה זה מוצג רק במרכז השליטה לקבלת מידע ואינו משודר בכל מקום באופן אוטומטי כברירת מחדל. בעתיד, לקוחות יוכלו להשתמש במזהה זה בעת בקשת פרטי תמיכה מהצוות או מהמערכות שלנו.
- אם עדיין לא תפסת את השינויים ב- 2.3.x, עיין בסרטון התכונות וההדפסות. פוסטים קודמים של בלוג כיסו חלק מהשינויים, כגון שיפורים בביצועים מ tryforward ועדכון webGUI.
- אישורי GUI של חומת אש:
- משתמשים של Chrome 58 ואילך, ובמקרים מסוימים Firefox 48 ואילך, עשויים להיתקל בבעיות בגישה לממשק האינטרנט של pfSense אם הוא משתמש באישור שנחתם בחתימה עצמית שנוצר באופן אוטומטי על ידי חומת אש הפועלת באמצעות pfSense גרסה 2.3.3-p1 או מוקדם יותר. הסיבה לכך היא ש- Chrome 58 אוסר באופן קפדני את RFC 2818, הדורש שמות תואמים בלבד תוך שימוש ברשומות 'שם נושא חלופי' (SAN) במקום בשדה 'שם משותף' של אישור, ואישור ברירת המחדל בחתימה עצמית לא מאכלס את שדה ה- SAN.
- תיקנו את קוד האישור כדי לבצע באופן מדויק את RFC 2818 בצורה ידידותית למשתמש על ידי הוספה אוטומטית של הערך 'שם משותף' כערך SAN הראשון.
- מנהלי חומת האש יצטרכו ליצור אישור חדש לשימוש על ידי הממשק הגרפי כדי לנצל את הפורמט החדש. קיימות מספר דרכים ליצירת אישור תואם, כולל:
- צור והפעל אישור GUI חדש באופן אוטומטי מהמסוף או מקובץ ssh באמצעות אחד מהסקריפטים שלנו:
- pfSsh.php השמעה generateguicert
- השתמש בחבילת ACME כדי ליצור אישור מהימן עבור הממשק הגרפי באמצעות 'הצפן', שכבר מעוצב כהלכה.
- ליצור באופן ידני רשות אישורים עצמית חדשה (CA) ותעודת שרת חתומה על ידי אותו רשות, ולאחר מכן השתמש בהם עבור הממשק הגרפי.
- הפעל את הדפדפן המקומי & quot; EnableCommonNameFallbackForLocalAnchors & quot; אפשרות ב- Chrome 58. הגדרה זו תוסר על ידי Chrome בסופו של דבר, לכן זהו תיקון זמני בלבד.
- ייתכן שמשתמשים מסוימים זוכרים שזו אינה הפעם הראשונה שתבנית האישור המוגדרת כברירת מחדל בעייתית עקב שינויים בדפדפן. לפני מספר שנים, פיירפוקס שינה את האופן שבו הם מחשבים רשתות אמון, דבר שעלול לגרום לדפדפן להיראות קפוא או להיתקע בעת ניסיון לגשת לחומות אש מרובות עם אישורים חתומים עצמית המכילים נתוני ברירת מחדל נפוצים, וכתוצאה מכך כל האישורים האלה מכילים את אותו נושא. תיקון זה היה יותר אתגר, אבל זה הביא לחוויה הרבה יותר טוב למשתמש הקצה.
מה חדש בגירסה 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - פגיעויות מרובות ב- OpenSSL. ההשפעה המשמעותית היחידה על pfSense היא OCSP עבור HAproxy ו- FreeRADIUS.
- מספר שגיאות הקשורות ל- HyperV ב- FreeBSD 10.3, FreeBSD-EN-16: 10 עד 16:16. למידע נוסף, ראה https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- מספר חבילות וספריות מובנות עודכנו, כולל:
- PHP ל 5.6.26
- libidn ל 1.33
- סלסול ל 7.50.3
- libxml2 ל 2.9.4
- קידוד נוסף לפרמטר 'אזור' בדפי פורטל Captive.
- קידוד פלט נוסף ל- diag_dns.php עבור תוצאות שהוחזרו מ- DNS. # 6737
- עבד סביב באג של Chrome עם ביטוי רגולרי של ניתוח תווים שנמלטו בתוך ערכות תווים. תיקונים & quot; התאם לתבנית המבוקשת & quot; על גרסאות Chrome האחרונות. # 6762
- אפשרות DHCPv6 קבועה של פורמט זמן # 6640
- תוקן / usr / bin / install חסר בהתקנות חדשות. # 6643
- הגבלת הגבלת הזנב של הסינון עבור רישום ביומן כך שתאתר רשומות מספקות. # 6652
- ניקה את יישומון חבילות הרכיב ואת HTML. # 6601
- הגדרות widget של widget מושחתות בעת יצירת הגדרות חדשות. # 6669
- שגיאות כתיב שונות וניסוח שגיאות.
- קישורים מנותקים שהוסרו לאתר devwiki. הכל על https://doc.pfsense.org עכשיו.
- הוספת שדה לדפי CA / Cert עבור OU, שנדרש על ידי מספר CA חיצוני ומשתמשים. # 6672
- תוקן HTTP מיותר & quot; סוכן משתמש & quot; מחרוזת בעדכוני DynDNS.
- תוקן את הגופן עבור טבלאות הניתנות למיון.
- נוסף המחאה כדי לוודא אם ממשק פעיל בקבוצת שער לפני עדכון DNS דינמי.
- נוסח קבוע של & quot; דחיית חכירות מ- & quot; אפשרות עבור ממשק DHCP (הוא יכול לקחת רק כתובות, לא רשתות משנה.) # 6646
- דיווח שגיאות קבוע עבור בדיקת הגדרות SMTP.
- חיסכון קבוע של מדינות, ספק ותוכניות עבור ממשקי PPP
- בדיקה קבועה של בדיקה לא חוקית & quot; עבור אל שורה & quot; מספרים על. # 6704
- שגיאה קבועה של off-one עם & quot; שורות לתצוגה & quot; ב- diag_routes.php. # 6705
- תיאור קבוע של תיבת הסינון ב- diag_routes.php כדי לשקף שכל השדות ניתנים לחיפוש. # 6706
- תיאור קבוע של התיבה עבור הקובץ שברצונך לערוך ב- diag_edit.php. # 6703
- תיאור קבוע של החלונית הראשית ב- diag_resetstate.php. # 6709
- תיבת דו-שיח של התרעה קבועה כאשר תיבה אינה מסומנת ב- diag_resetstate.php. # 6710
- קיצור יומן יומן קבוע עבור אזורים DHCP6. # 6700
- תיקון לחצן 'מחק רשת' המציג כאשר שורה אחת בלבד נמצאה ב- services_unbound_acls.php # 6716
- טקסט עזרה נעלם קבוע בשורות חוזרות כאשר השורה האחרונה נמחקת. # 6716
- תחום DNS דינמי קבוע עבור ערכי HTML סטטיים במפות
- שליטה נוספת כדי להגדיר את תקופת רענון הווידג'ט של מרכז השליטה
- נוסף & quot; -C / dev / null & quot; כדי הפרמטרים של שורת הפקודה dnsmasq כדי למנוע את זה להרים תצורת ברירת מחדל שגויה אשר לעקוף את האפשרויות שלנו. # 6730
- נוסף & quot; -l & quot; כדי להציג את כתובות ה- IP ואת שמות המארחים בעת פתרון הכשות ב- diag_traceroute.php. # 6715
- הערה נוספת לגבי גבול מקסימלי של Ttl / hop בתגובה למקור ב- diag_traceroute.php.
- שפת הבהרה ב- diag_tables.php. # 6713
- ניקה את הטקסט ב- diag_sockets.php. # 6708
- תצוגה קבועה של שמות ממשק VLAN במהלך הקצאת מסוף. # 6724
- האפשרות 'שמות שרתים קבועים' המוצגת פעמיים בבריכות כאשר היא מוגדרת באופן ידני.
- טיפול קבוע באפשרויות DHCP בבריכות שאינן הטווח הראשי. # 6720
- שמות מארחים חסרים קבועים במקרים מסוימים עם dhcpdv6. # 6589
- טיפול משופר ב- pidfile עבור dhcpleases.
- בדיקות נוספות כדי למנוע גישה לקזז לא מוגדר ב- IPv6.inc.
- תוקן את התצוגה של הכינוי המוקפץ וערוך אפשרויות במקור וביעד הן עבור הכתובת והן עבור היציאה ב- NAT יוצאת.
- טיפול קבוע בספירת התצורה של הגיבוי. # 6771
- הוסרו כמה הפניות PPTP משתלשות שאינן רלוונטיות עוד.
- תוקן / נתפס באזורים מרוחקים של syslog. התווסף & quot; ניתוב & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot; & quot; & quot;; & quot;; & quot;; & quot;; & quot;; & quot; & קבוע; & vpn & quot; כדי לכלול את כל תחומי VPN (IPsec, OpenVPN, L2TP, שרת PPPoE). # 6780
- תיבות סימון חסרות קבועות במקרים מסוימים בעת הוספת שורות ב- services_ntpd.php. # 6788
- השירות המתוקן מפעיל / מפעיל סמלים.
- נוסף המחאה לניהול CRL כדי להסיר אישורים מהרשימה הנפתחת שכבר נכללו בקובץ CRL הערוך.
- מפרידי כללים קבועים נעים כאשר כללים של חומת אש מרובים נמחקים בו-זמנית. # 6801
מה חדש בגירסה 2.3.3:
- FreeBSD-SA-16: 26.openssl - פגיעויות מרובות ב- OpenSSL. ההשפעה המשמעותית היחידה על pfSense היא OCSP עבור HAproxy ו- FreeRADIUS.
- מספר שגיאות הקשורות ל- HyperV ב- FreeBSD 10.3, FreeBSD-EN-16: 10 עד 16:16. למידע נוסף, ראה https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- מספר חבילות וספריות מובנות עודכנו, כולל:
- PHP ל 5.6.26
- libidn ל 1.33
- סלסול ל 7.50.3
- libxml2 ל 2.9.4
- קידוד נוסף לפרמטר 'אזור' בדפי פורטל Captive.
- קידוד פלט נוסף ל- diag_dns.php עבור תוצאות שהוחזרו מ- DNS. # 6737
- עבד סביב באג של Chrome עם ביטוי רגולרי של ניתוח תווים שנמלטו בתוך ערכות תווים. תיקונים "נא להתאים את הפורמט המבוקש" בגירסאות Chrome האחרונות. # 6762
- אפשרות DHCPv6 קבועה של פורמט זמן # 6640
- תוקן / usr / bin / install חסר בהתקנות חדשות. # 6643
- הגבלת הגבלת הזנב של הסינון עבור רישום ביומן כך שתאתר רשומות מספקות. # 6652
- ניקה את יישומון חבילות הרכיב ואת HTML. # 6601
- הגדרות widget של widget מושחתות בעת יצירת הגדרות חדשות. # 6669
- שגיאות כתיב שונות וניסוח שגיאות.
- קישורים מנותקים שהוסרו לאתר devwiki. הכל על https://doc.pfsense.org עכשיו.
- הוספת שדה לדפי CA / Cert עבור OU, שנדרש על ידי מספר CA חיצוני ומשתמשים. # 6672
- תוקן מחרוזת "סוכן משתמש" HTTP מיותרת בעדכוני DynDNS.
- תוקן את הגופן עבור טבלאות הניתנות למיון.
- נוסף המחאה כדי לוודא אם ממשק פעיל בקבוצת שער לפני עדכון DNS דינמי.
- ניסוח קבוע של האפשרות "דחה חכירה מ" עבור ממשק DHCP (הוא יכול רק לקחת כתובות, לא משנה.) # 6646
- דיווח שגיאות קבוע עבור בדיקת הגדרות SMTP.
- חיסכון קבוע של מדינות, ספק ותוכניות עבור ממשקי PPP
- בדיקה קבועה של מספרים לא חוקיים של "המשך אל שורה" ב- diag_edit.php. # 6704
- תוקנה שגיאת off-one עם "שורות לתצוגה" ב- diag_routes.php. # 6705
- תיאור קבוע של תיבת הסינון ב- diag_routes.php כדי לשקף שכל השדות ניתנים לחיפוש. # 6706
- תיאור קבוע של התיבה עבור הקובץ שברצונך לערוך ב- diag_edit.php. # 6703
- תיאור קבוע של החלונית הראשית ב- diag_resetstate.php. # 6709
- תיבת דו-שיח של התרעה קבועה כאשר תיבה אינה מסומנת ב- diag_resetstate.php. # 6710
- קיצור יומן יומן קבוע עבור אזורים DHCP6. # 6700
- תיקון לחצן 'מחק רשת' המציג כאשר שורה אחת בלבד נמצאה ב- services_unbound_acls.php # 6716
- טקסט עזרה נעלם קבוע בשורות חוזרות כאשר השורה האחרונה נמחקת. # 6716
- תחום DNS דינמי קבוע עבור ערכי HTML סטטיים במפות
- שליטה נוספת כדי להגדיר את תקופת רענון הווידג'ט של מרכז השליטה
- נוסף "-C / dev / null" אל הפרמטרים של שורת הפקודה dnsmasq כדי למנוע את זה להרים תצורת ברירת מחדל שגויה אשר יהיה לעקוף את האפשרויות שלנו. # 6730
- נוסף "-l" כדי traceroute6 כדי להציג את כתובות ה- IP ואת שמות המארחים בעת פתרון הכשות ב- diag_traceroute.php. # 6715
- הערה נוספת לגבי גבול מקסימלי של Ttl / hop בתגובה למקור ב- diag_traceroute.php.
- שפת הבהרה ב- diag_tables.php. # 6713
- ניקה את הטקסט ב- diag_sockets.php. # 6708
- תצוגה קבועה של שמות ממשק VLAN במהלך הקצאת מסוף. # 6724
- האפשרות 'שמות שרתים קבועים' המוצגת פעמיים בבריכות כאשר היא מוגדרת באופן ידני.
- טיפול קבוע באפשרויות DHCP בבריכות שאינן הטווח הראשי. # 6720
- שמות מארחים חסרים קבועים במקרים מסוימים עם dhcpdv6. # 6589
- טיפול משופר ב- pidfile עבור dhcpleases.
- בדיקות נוספות כדי למנוע גישה לקזז לא מוגדר ב- IPv6.inc.
- תוקן את התצוגה של הכינוי המוקפץ וערוך אפשרויות במקור וביעד הן עבור הכתובת והן עבור היציאה ב- NAT יוצאת.
- טיפול קבוע בספירת התצורה של הגיבוי. # 6771
- הוסרו כמה הפניות PPTP משתלשות שאינן רלוונטיות עוד.
- תוקן / נתפס באזורים מרוחקים של syslog. נוסף "ניתוב", "ntpd", "ppp", "פותר", קבוע "vpn" כדי לכלול את כל תחומי VPN (IPsec, OpenVPN, L2TP, שרת PPPoE). # 6780
- תיבות סימון חסרות קבועות במקרים מסוימים בעת הוספת שורות ב- services_ntpd.php. # 6788
- השירות המתוקן מפעיל / מפעיל סמלים.
- נוסף המחאה לניהול CRL כדי להסיר אישורים מהרשימה הנפתחת שכבר נכללו בקובץ CRL הערוך.
- מפרידי כללים קבועים נעים כאשר כללים של חומת אש מרובים נמחקים בו-זמנית. # 6801
מה חדש בגירסה 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - פגיעויות מרובות ב- OpenSSL. ההשפעה המשמעותית היחידה על pfSense היא OCSP עבור HAproxy ו- FreeRADIUS.
- מספר שגיאות הקשורות ל- HyperV ב- FreeBSD 10.3, FreeBSD-EN-16: 10 עד 16:16. למידע נוסף, ראה https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- מספר חבילות וספריות מובנות עודכנו, כולל:
- PHP ל 5.6.26
- libidn ל 1.33
- סלסול ל 7.50.3
- libxml2 ל 2.9.4
- קידוד נוסף לפרמטר 'אזור' בדפי פורטל Captive.
- קידוד פלט נוסף ל- diag_dns.php עבור תוצאות שהוחזרו מ- DNS. # 6737
- עבד סביב באג של Chrome עם ביטוי רגולרי של ניתוח תווים שנמלטו בתוך ערכות תווים. תיקונים "נא להתאים את הפורמט המבוקש" בגירסאות Chrome האחרונות. # 6762
- אפשרות DHCPv6 קבועה של פורמט זמן # 6640
- תוקן / usr / bin / install חסר בהתקנות חדשות. # 6643
- הגבלת הגבלת הזנב של הסינון עבור רישום ביומן כך שתאתר רשומות מספקות. # 6652
- ניקה את יישומון חבילות הרכיב ואת HTML. # 6601
- הגדרות widget של widget מושחתות בעת יצירת הגדרות חדשות. # 6669
- שגיאות כתיב שונות וניסוח שגיאות.
- קישורים מנותקים שהוסרו לאתר devwiki. הכל על https://doc.pfsense.org עכשיו.
- הוספת שדה לדפי CA / Cert עבור OU, שנדרש על ידי מספר CA חיצוני ומשתמשים. # 6672
- תוקן מחרוזת "סוכן משתמש" HTTP מיותרת בעדכוני DynDNS.
- תוקן את הגופן עבור טבלאות הניתנות למיון.
- נוסף המחאה כדי לוודא אם ממשק פעיל בקבוצת שער לפני עדכון DNS דינמי.
- ניסוח קבוע של האפשרות "דחה חכירה מ" עבור ממשק DHCP (הוא יכול רק לקחת כתובות, לא משנה.) # 6646
- דיווח שגיאות קבוע עבור בדיקת הגדרות SMTP.
- חיסכון קבוע של מדינות, ספק ותוכניות עבור ממשקי PPP
- בדיקה קבועה של מספרים לא חוקיים של "המשך אל שורה" ב- diag_edit.php. # 6704
- תוקנה שגיאת off-one עם "שורות לתצוגה" ב- diag_routes.php. # 6705
- תיאור קבוע של תיבת הסינון ב- diag_routes.php כדי לשקף שכל השדות ניתנים לחיפוש. # 6706
- תיאור קבוע של התיבה עבור הקובץ שברצונך לערוך ב- diag_edit.php. # 6703
- תיאור קבוע של החלונית הראשית ב- diag_resetstate.php. # 6709
- תיבת דו-שיח של התרעה קבועה כאשר תיבה אינה מסומנת ב- diag_resetstate.php. # 6710
- קיצור יומן יומן קבוע עבור אזורים DHCP6. # 6700
- תיקון לחצן 'מחק רשת' המציג כאשר שורה אחת בלבד נמצאה ב- services_unbound_acls.php # 6716
- טקסט עזרה נעלם קבוע בשורות חוזרות כאשר השורה האחרונה נמחקת. # 6716
- תחום DNS דינמי קבוע עבור ערכי HTML סטטיים במפות
- שליטה נוספת כדי להגדיר את תקופת רענון הווידג'ט של מרכז השליטה
- נוסף "-C / dev / null" אל הפרמטרים של שורת הפקודה dnsmasq כדי למנוע את זה להרים תצורת ברירת מחדל שגויה אשר יהיה לעקוף את האפשרויות שלנו. # 6730
- נוסף "-l" כדי traceroute6 כדי להציג את כתובות ה- IP ואת שמות המארחים בעת פתרון הכשות ב- diag_traceroute.php. # 6715
- הערה נוספת לגבי גבול מקסימלי של Ttl / hop בתגובה למקור ב- diag_traceroute.php.
- שפת הבהרה ב- diag_tables.php. # 6713
- ניקה את הטקסט ב- diag_sockets.php. # 6708
- תצוגה קבועה של שמות ממשק VLAN במהלך הקצאת מסוף. # 6724
- האפשרות 'שמות שרתים קבועים' המוצגת פעמיים בבריכות כאשר היא מוגדרת באופן ידני.
- טיפול קבוע באפשרויות DHCP בבריכות שאינן הטווח הראשי. # 6720
- שמות מארחים חסרים קבועים במקרים מסוימים עם dhcpdv6. # 6589
- טיפול משופר ב- pidfile עבור dhcpleases.
- בדיקות נוספות כדי למנוע גישה לקזז לא מוגדר ב- IPv6.inc.
- תוקן את התצוגה של הכינוי המוקפץ וערוך אפשרויות במקור וביעד הן עבור הכתובת והן עבור היציאה ב- NAT יוצאת.
- טיפול קבוע בספירת התצורה של הגיבוי. # 6771
- הוסרו כמה הפניות PPTP משתלשות שאינן רלוונטיות עוד.
- תוקן / נתפס באזורים מרוחקים של syslog. נוסף "ניתוב", "ntpd", "ppp", "פותר", קבוע "vpn" כדי לכלול את כל תחומי VPN (IPsec, OpenVPN, L2TP, שרת PPPoE). # 6780
- תיבות סימון חסרות קבועות במקרים מסוימים בעת הוספת שורות ב- services_ntpd.php. # 6788
- השירות המתוקן מפעיל / מפעיל סמלים.
- נוסף המחאה לניהול CRL כדי להסיר אישורים מהרשימה הנפתחת שכבר נכללו בקובץ CRL הערוך.
- מפרידי כללים קבועים נעים כאשר כללים של חומת אש מרובים נמחקים בו-זמנית. # 6801
מה חדש בגירסה 2.3.2:
- גיבוי / שחזור:
- אל תאפשר להחיל שינויים בממשק על אי-התאמה בין התצורה לאחר שינוי תצורה, עד להמרה מחדש. # 6613
- מרכז השליטה:
- מרכז השליטה כולל כעת אפשרויות תצורה לכל משתמש, המתועדות ב'מנהל המשתמשים '. # 6388
- שרת DHCP:
- מחיקת מטמון dhcp-cache כדי למנוע באג ב- ISC dhcpd 4.3.x מחיקת שם מארח של לקוח מתוך קובץ חכירות, מה שהופך את רישום המארח הדינמי להיכשל במקרים מסוימים. # 6589
- שים לב שמפתח DDNS חייב להיות HMAC-MD5. # 6622
- ממסר DHCP:
- תיקון מיובא עבור בקשות ממסר dhcrelay בממשק שבו נמצא שרת DHCP היעד. # 6355
- DNS דינמי:
- אפשר * עבור שם מארח עם Namecheap. # 6260
- ממשקים:
- תקן "לא יכול להקצות כתובת מבוקשת" במהלך אתחול עם ממשקי track6. # 6317
- הסר אפשרויות קישורים שהוצאו משימוש מ- GRE ו- GIF. # 6586, # 6587
- לציית לדחיית "חכירות" כאשר "DHCP" אפשרויות מתקדמות מסומנת. # 6595
- הגן על תוחמים סגורים בתצורה מתקדמת של DHCP, כך שניתן להשתמש בפסיקים שם. # 6548
- תקן נתיב ברירת מחדל בממשקי PPPoE החסרים במקרים מסוימים. # 6495
- IPsec:
- strongSwan שודרג ל 5.5.0.
- הוסף לתוקפנות ב- ipsec.conf היכן נבחר מצב אוטומטי של IKE. # 6513
- ניטור שער:
- קבוע שם "שקע גדול מדי" ביצוע ניטור שער להיכשל על שמות ממשק ארוך כתובות IPv6. # 6505
- מגבילים:
- קבע את pipe_slot_limit באופן אוטומטי לערך qlimit המוגדר המקסימלי. # 6553
- ניטור:
- לא תוקנו תקופות נתונים המדווחות כממוצע 0, ממוצעים. # 6334
- תיקון כלי הסבר שמוצג כ"לא "עבור ערכים מסוימים. # 6044
- תיקון שמירה של כמה אפשרויות תצורה המוגדרות כברירת מחדל. # 6402
- תקן X צירי ציר לא להגיב ברזולוציה עבור תקופות זמן מותאמות אישית. # 6464
- OpenVPN:
- סנכרן מחדש תצורות ספציפיות של לקוחות לאחר שמירה של מופעי שרת OpenVPN כדי לוודא שההגדרות שלהם משקפות את תצורת השרת הנוכחית. # 6139
- מערכת הפעלה:
- מדינות pf קבוע קבוע לא להיות מטוהרים, מפעילה "ערכי PF פגם להגביל הגיע". # 6499
- הגדר מיקום קובץ ליבה כדי שלא יגיעו בסופו של דבר אל / var / run וימצו את השטח הזמין שלו. # 6510
- קבוע "זמן ריצה הלך אחורה" יומן דואר זבל Hyper-V. # 6446
- traceroute6 קבוע לתלות עם הגובה לא להגיב בדרך. # 3069
- נוסף symlink /var/run/dmesg.boot עבור vm-bhyve. # 6573
- set net.isr.dispatch = ישיר על מערכות 32 סיביות עם IPsec מופעל כדי למנוע קריסה בעת גישה לשירותים על המארח עצמו באמצעות VPN. # 4754
- פרסומות נתב:
- שדות תצורה שנוספו עבור מרווחי פרסום מינימליים ומקסימליים לנתב ולמשך חיי הנתב. # 6533
- ניתוב:
- נתיבים קבועים סטטיים עם נתב יעד מקומי IPv6 קישור לכלול היקף ממשק. # 6506
- כללים / NAT:
- מיקום מציין מיקום "לקוחות PPPoE" קבוע בכללים ו- NAT, ושגיאת ערכת כללי בעת שימוש בכללים צפים המציינים שרת PPPoE. # 6597
- כישלון קבוע לטעון את הכללים עם טבלאות טבלה של כתובות אתרים שבהן צוין קובץ ריק. # 6181
- פרוקסי TFTP קבוע עם xinetd. # 6315
- שדרג:
- כשלים שדרוג nanobsd קבוע שבו DNS משלח / Resolver לא קשור localhost. # 6557
- כתובות IP וירטואליות:
- בעיות ביצועים קבועות עם מספר גדול של כתובות IP וירטואליות. # 6515
- תשישות זיכרון PHP קבועה בדף מצב CARP עם טבלאות מצב גדולות. # 6364
- ממשק אינטרנט:
- הוספת מיון לטבלה מיפוי קבוע של DHCP. # 6504
- טעינת קובץ קבוע של שניות NTP לקרטע. # 6590
- הוספת תמיכת IPv6 ל- diag_dns.php. # 6561
- נוסף תמיכת IPv6 כדי לסנן יומנים בדיקה לאחור. # 6585
- מערכת חבילה - לשמור נתוני שדה על שגיאת קלט. # 6577
- תוקנו מספר בעיות אימות של קלט IPv6, המאפשרות כתובות IPv6 לא חוקיות. # 6551, # 6552
- תוקנו כמה חוזי DHCPv6 חסרים בחכירות GUI. # 6543
- הרג מצב קבוע עבור 'ב' כיוון מדינות עם יעד מתורגם. # 6530, # 6531
- שחזר אימות קלט של שמות אזור פורטל בשבי כדי למנוע XML לא חוקי. # 6514
- בורר תאריך היומן שהוחלף במנהל המשתמש, עם אחד שעובד בדפדפנים אחרים מלבד Chrome ו- Opera. # 6516
- שדה יציאת proxy משוחזר ללקוח OpenVPN. # 6372
- ציין תיאור של כינויי יציאות. # 6523
- פלט תרגום קבוע שבו gettext עבר מחרוזת ריקה. # 6394
- בחירת מהירות קבועה עבור 9600 בתצורת NTP GPS. # 6416
- אפשר רק כתובות IPv6 במסך NPT. # 6498
- הוסף כינוי לייבא תמיכה עבור רשתות ויציאות. # 6582
- כותרות שולחן ניתנות למיון קבועות. # 6074
- נקה את קטע האתחול של הרשת במסך DHCP Server. # 6050
- תקן קישורים "UNKNOWN" במנהל החבילות. # 6617
- תקן שדה רוחב פס חסר לתנועת CBQ. # 6437
- UPnP:
- כתובת האתר להצגת UPnP ומספר הדגם ניתנים להגדרה כעת. # 6002
- מנהל משתמש:
- לאסור על מנהלי מערכת למחוק חשבונות משלהם במנהל המשתמשים. # 6450
- אחר:
- נוסף פגזי PHP פגז כדי לאפשר ולהשבית מצב תחזוקה מתמשכת CARP. "השמעה לאפשר" ו "השמעת השמעה השמעה". # 6560
- תצוגת מסוף טורית חשופה עבור nanobsd VGA. # 6291
מה חדש בגירסה 2.3.1 עדכון 5:
- השינויים המשמעותיים ביותר במהדורה זו הם כתיבה מחדש של ה- webGUI באמצעות Bootstrap, והמערכת הבסיסית, כולל מערכת הבסיס והליבה, מומרת לחלוטין ל- pkg FreeBSD. ההמרה pkg מאפשרת לנו לעדכן חלקים של המערכת בנפרד הולך קדימה, ולא עדכונים מונוליטי של העבר. שכתוב webGUI מביא מראה ותחושה חדשים של תגובה ל- pfSense הדורשים מינימום של שינוי גודל או גלילה על מגוון רחב של מכשירים משולחן העבודה ועד לטלפונים סלולריים.
מה חדש בגירסה 2.2.6 / 2.3 אלפא:
- pfSense-SA-15_09.webgui: פגיעות של הכללת קבצים מקומיים ב- pfSense WebGUI
- pfSense-SA-15_10.captiveportal: פגיעות הזרקת SQL בהרשמת הפורטל pfSense השבויה
- pfSense-SA-15_11.webgui: פגיעות XSS ו- CSRF מרובים ב- pfSense WebGUI
- עודכן ל- FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl פגיעויות מרובות ב- OpenSSL
- עודכן ל- SWS 5.3.5_2
- כולל תיקון עבור פגיעות של CVE-2015-8023 לעקוף אימות בפלאגין eap-mschapv2.
מה חדש בגירסה 2.2.5 / 2.3 אלפא:
- pfSense-SA-15_08.webgui: פגיעויות XSS מרובות מאוחסנות ב- pfSense WebGUI
- עודכן ל- FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp פגיעויות מרובות ב- NTP [REVISED]
- FreeBSD-SA-15: 14.bsdpatch: בשל חוסר חיטוי מספיק של זרם התיקון קלט, זה אפשרי עבור קובץ תיקון כדי לגרום תיקון (1) להפעלת פקודות בנוסף פקודות SCCS או RCS הרצוי. / li>
- FreeBSD-SA-15: 16.openssh: לקוח OpenSSH אינו מאמת כראוי רשומות DNS SSHFP כאשר שרת מציע אישור. CVE-2014-2653 שרתים OpenSSH אשר מוגדרים לאפשר אימות סיסמה באמצעות PAM (ברירת מחדל) יאפשר ניסיונות סיסמה רבים.
- FreeBSD-SA-15: 18.bsdpatch: עקב חיטוי לא מספיק של זרם תיקון הקלט, ייתכן שקובץ תיקון יגרום לתיקון (1) להעביר סקריפטים מסוימים של ed (1) ל- ed (1) עורך, שיפעיל פקודות.
- FreeBSD-SA-15: 20.expat: מספר רב של גלישה שלמים התגלו בפונקציה XML_GetBuffer () בספריית ה- expat.
- FreeBSD-SA-15: 22.openssh: שגיאת תיכנות בתהליך מעקב חסוי של שירות sshd (8) עשויה לאפשר את שם המשתמש של משתמש שכבר אומתו להיות מוחלף על ידי תהליך הילד ללא הרשאה. שגיאה של שימוש חופשי בתהליכי הבקרה המיוחדים של שירות Sshd (8) עשויה להיות מופעלת באופן דטרמיניסטי על ידי פעולות של תהליך ילד בלתי מסוכן שנמצא בסיכון. שגיאת שימוש ללא תשלום בקוד המולטינג של פעילות באתר sshd (8) עלולה לגרום לסיום לא מכוון של החיבור.
FreeBSD-SA-15: 21.amd64: אם ההוראה IRET במצב kernel יוצרת חריגה #SS או #NP, אך מטפל החריגים אינו מבטיח כראוי את בסיס ה- GS של ה- GSL הנכון לטעינה מחדש של הקרנל , ניתן להשתמש בפלח ה- Userland GS בהקשר של מטפל החריגים של הקרנל.
מה חדש בגירסה 2.2.4:
- pfSense-SA-15_07.webgui: פגיעויות XSS מרובות מאוחסנות ב- pfSense WebGUI
- הרשימה המלאה של דפים ושדות מושפעים מופיעה ברשימת SA המקושרת.
- FreeBSD-SA-15: 13.tcp: תשישות משאבים עקב הפגישות תקועות במצב LAST_ACK. שים לב זה חל רק על תרחישים שבהם יציאות מקשיב על pfSense עצמו (לא דברים עברו דרך NAT, ניתוב או גישור) נפתחים לרשתות לא מהימן. אפשרות זו אינה חלה על תצורת ברירת המחדל.
- הערה: FreeBSD-SA-15: 13.openssl אינו חל על pfSense. pfSense לא כללה גרסה פגיעה של OpenSSL, ולכן לא הייתה פגיעה.
- תיקונים נוספים עבור השחיתות קבצים במקרים שונים במהלך טומאה נסגר (לקרוס, אובדן חשמל, וכו '). # 4523
- קבוע pw ב FreeBSD לכתובת passwd / קבוצה שחיתות
- כתב config.xml קבוע כדי להשתמש ב- fsync כראוי כדי למנוע מקרים שבהם הוא עלול להיסגר. # 4803
- הסיר את האפשרות & lsquo; sync 'ממערכות קבצים עבור התקנות מלאות חדשות ושדרוגים מלאים כעת לאחר שהתיקון האמיתי נמצא במקום.
- הוסרו Softupdates ו journaling (AKA SU + J) מ NanoBSD, הם נשארים על התקנות מלא. # 4822
- התיקון powersync עבור # 2401 עדיין נחשב מזיק למערכת הקבצים ונשמר. ככזה, ייתכן שיש כמה איטיות בולט עם NanoBSD על דיסקים איטיים מסוימים, במיוחד כרטיסי CF ובמידה פחותה יותר, כרטיסי SD. אם זו בעיה, מערכת הקבצים יכולה להישמר קריאה-כתיבה על בסיס קבוע באמצעות האפשרות ב- Diagnostics & gt; NanoBSD. עם השינויים האחרים לעיל, הסיכון הוא מינימלי. אנו ממליצים להחליף את המדיה CF / SD המושפעת על ידי כרטיס חדש ומהיר יותר בהקדם האפשרי. # 4822
- שדרג את PHP ל- 5.5.27 לכתובת CVE-2015-3152 # 4832
- הורידו את SSH LoginGraceTime בין 2 דקות ל -30 שניות כדי להפחית את ההשפעה של Buffa לעקוף את MaxAuthTries. שים לב Sshlockout יהיה לנעול offending IPs בכל העבר, הנוכחי ועתיד גרסאות. # 4875
מה חדש בגירסה 2.2.3:
- pfSense-SA-15_06.webgui: פגיעויות XSS מרובות ב- pfSense WebGUI
- הרשימה המלאה של הדפים והשדות המושפעים היא גדולה וכולם רשומים ב- SA המקושר.
- FreeBSD-SA-15: 10.openssl: פגיעויות OpenSSL מרובות (כולל Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
מה חדש בגירסה 2.2.2:
- מהדורה זו כוללת שני עדכוני אבטחה בסיכון נמוך:
- FreeBSD-SA-15: 09.ipv6: מניעת שירות עם נתב IPv6 פרסומות. כאשר מערכת משתמשת מסוג DHCPv6 WAN, התקנים באותו תחום שידור כמו WAN יכול לשלוח מנות מעוצבות הגורמות למערכת לאבד קישוריות IPv6 לאינטרנט.
- FreeBSD-SA-15: 06.openssl: מספר פגיעויות OpenSSL. רובם אינם ישימים, וההשפעה הגרועה ביותר היא מניעת שירות.
מה חדש בגירסה 2.2.1:
- תיקוני אבטחה:
- pfSense-SA-15_02.igmp: הצפת מספר שלם בפרוטוקול IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: פגיעויות XSS מרובות ב- pfSense WebGUI
- pfSense-SA-15_04.webgui: פגיעות מחיקת קבצים שרירותית ב- pfSense WebGUI
- FreeBSD-EN-15: 01.vt: vt (4) לקרוס עם פרמטרים ioctl לא תקין
- FreeBSD-EN-15: 02.openssl: עדכון כדי לכלול תיקוני מהימנות מ- OpenSSL
- הערה על הפגיעות של "BREAK" של OpenSSL:
- אינו משפיע על תצורת שרת האינטרנט בחומת האש מכיוון שלא ניתן להפעיל את צופן הייצוא.
- pfSense 2.2 כלל כבר את OpenSSL 1.0.1k אשר פונה לפגיעות בצד הלקוח.
- אם חבילות כוללות שרת אינטרנט או רכיב דומה, כגון proxy, ייתכן שתצורת משתמש לא נכונה תושפע. עיין בתיעוד החבילה או בפורום לקבלת פרטים.
מה חדש בגירסה 2.2:
- גרסה זו מביאה שיפורים בביצועים ובחומרת חומרה מבסיס FreeBSD 10.1, כמו גם שיפורים שהוספנו כמו AES-GCM עם האצת AES-NI, בין מספר תכונות חדשות ותיקוני באגים חדשים.
- בתהליך השחרור, סגרנו 392 כרטיסים (מספר זה כולל 55 תכונות או משימות), תוקנו 135 באגים המשפיעים על 2.1.5 וגרסאות קודמות, תיקנו עוד 202 באגים שהובאו ב -2.2 על ידי קידום הבסיס גרסת מערכת ההפעלה מ FreeBSD 8.3 ל 10.1, שינוי הדמויות IPSec מפתוח מ racoon כדי strongSwan, שדרוג PHP backend לגירסה 5.5 ולהעביר אותו FastCGI ל- PHP-FPM, והוספת Resbver DNS Unbound, ושינויים קטנים בהרבה.
- גרסה זו מכילה ארבעה תיקוני אבטחה בעלי השפעה נמוכה:
- עדכון OpenSsl עבור FreeBSD-SA-15: 01.opensll
- מספר פגיעויות XSS בממשק האינטרנט. pfSense-SA-15_01
- עדכון OpenVPN עבור CVE-2014-8104
- עדכון NTP FreeBSD-SA-14: 31.ntp - למרות שנסיבות אלה אינן משפיעות על pfSense.
מה חדש בגירסה 2.1.4:
- תיקוני אבטחה:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- לחבילות היו גם תיקונים עצמאיים משלהן וזקוקות לעדכון. במהלך תהליך עדכון הקושחה החבילות תותקן מחדש כהלכה. אחרת, הסר ולאחר מכן התקן מחדש חבילות כדי לוודא שהגרסה העדכנית ביותר של הקבצים הבינאריים נמצאת בשימוש.
- תיקונים אחרים:
- תיקון עבור בעיה דליפה של הפורטל השבוי שמוביל ל & lsquo; כניסה מקסימלית הגיעה ב 'פורטל פורטל. # 3062
- הסר טקסט שאינו רלוונטי לכתובות IP מותרות בפורטל השבוי. # 3594
- הסר יחידות מהתפוצצות כפי שתמיד צוין בבתים. (לכל ipfw (8)).
- הוסף עמודה ליציאה פנימית בדף סטטוס UPnP.
- הקש על ממשק במקום על IP אופציונלי עבור UPnP.
- תקן את הדגשת הכללים שנבחרו. # 3646
- הוסף guiconfig לווידג'טים שאינם כוללים אותו. # 3498
- / etc / version_kernel ו / etc / version_base לא קיימים עוד, השתמש ב- php_uname כדי לקבל את הגירסה עבור בדיקת XMLRPC במקום זאת.
- תקן שגיאת הקלדה. # 3669
- מחק את כל כינויים של IP כאשר ממשק מושבת. # 3650
- כראוי לטפל RRD שינוי שם ארכיון במהלך השדרוג שגיאות squelch אם הוא נכשל.
- המר פרוטוקול ssl: // to https: // בעת יצירת כותרות HTTP עבור XMLRPC.
- הצג ממשקים מושבתים כאשר הם כבר חלק מקבוצת ממשק. זה ימנע להציג ממשק אקראי במקום ולתת למשתמש להוסיף את זה בטעות. # 3680
- ההנחיה client-config-dir עבור OpenVPN שימושית גם בעת השימוש ב- DHCP הפנימי של OpenVPN בעת גישור, לכן הוסף אותו גם במקרה זה.
- השתמש ב- curl במקום לאחזר כדי להוריד קובצי עדכונים. # 3691
- משתנה בריחה לפני המעבר לקליפה מ- stop_service ().
- הוסף הגנה מסוימת לפרמטרים הבאים דרך _GET בניהול השירות.
- ארגומנט בריחה בעת שיחה אל is_process_running, הסר גם כמה שיחות mwexec () לא נחוצות.
- אל תאפשר שם קבוצת ממשק להיות גדול מ -15 תווים. # 3208
- להיות מדויק יותר כדי להתאים לחברים בממשק גשר, עליו לתקן את # 3637
- אל תפוג משתמשים שכבר מושבתים, הוא מתקן # 3644
- אמת תוקף של זמן התחלה ותבנית Stoptime ב- firewall_schedule_edit.php
- היזהר יותר עם פרמטר מארח ב- diag_dns.php וודא שהוא נמלט כאשר פונקציות פגז שיחה
- פרמטרים של בריחה עברו ל- shell_exec () ב- diag_smart.php ובמקומות אחרים
- ודא שהמשתנים הבטוחים נמלטו / מתועברים ב- status_rrd_graph_img.php
- החלף שיחות exec להפעלת rm על ידי unlink_if_exists () ב- status_rrd_graph_img.php
- החלף את כל השיחות `hostname` מאת php_uname (& lsquo; n ') ב- status_rrd_graph_img.php
- החלף את כל השיחות 'תאריך' על-ידי strftime () ב- status_rrd_graph_img.php
- הוסף $ _gb כדי לאסוף זבל פוטנציאלי מחזרת exec ב- status_rrd_graph_img.php
- הימנע מחציית ספריות ב- pkg_edit.php בעת קריאת קבצי xml של חבילה, בדוק גם אם הקובץ קיים לפני שתנסה לקרוא אותו
- הסר id = 0 מתפריט miniupnpd וקיצור
- הסר. ו / מ שם pkg כדי למנוע חציית ספריה ב pkg_mgr_install.php
- תקן dump core על הצגת יומן חבילה לא חוקי
- הימנע מחציית ספריות ב- system_firmware_restorefullbackup.php
- צור מחדש מזהה הפעלה על התחברות מוצלחת כדי למנוע קיבוע של פעילויות באתר
- הגן על פרמטרים של rssfeed עם htmlspecialchars () ב- rss.widget.php
- הגן על הפרמטר servicestatusfilter עם htmlspecialchars () ב- services_status.widget.php
- תמיד הגדר תכונה httponly בקובצי cookie
- השבת סיסמת ההתחברות של webConfigurator 'השבתה אוטומטית' כברירת מחדל עבור התקנות חדשות
- פשט את ההיגיון, הוסף הגנה מסוימת לפרמטרים של קלט משתמש ב- log.widget.php
- ודא שקצירות בודדות מקודדות ומנע הזרקת JavaScript ב- exec.php
- הוסף פרוטוקולי NAT חסרים ב- firewall_nat_edit.php
- הסר נתונים נוספים לאחר שטח ב- DSCP והתקן תחביר של pf. # 3688
- כלול רק כלל מתוזמן אם הוא לפני זמן הסיום. # 3558
מה חדש בגרסה 2.1.1:
- השינוי הגדול ביותר הוא סגירת בעיות האבטחה / CVE הבאות:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- מלבד אלה, מנהלי ההתקנים / iigb / ixgb / ixgbe שודרגו כדי להוסיף תמיכה עבור i210 ו- i354 NIC. חלק מה- NIC של Intel 10Gb יראה גם ביצועים משופרים.
תגובות לא נמצא