pfSense & reg; adalah sistem operasi BSD yang didistribusikan secara bebas dan open source yang berasal dari proyek m0n0wall yang terkenal, tetapi dengan tujuan yang sangat berbeda seperti menggunakan Packet Filter dan teknologi FreeBSD terbaru.
Proyek ini dapat digunakan baik sebagai router maupun firewall. Ini termasuk sistem paket yang memungkinkan administrator sistem dengan mudah memperluas produk tanpa menambahkan potensi kerentanan keamanan dan mengasapi ke distribusi dasar.
Fitur sekilas
Fitur utama termasuk firewall state-of-the-art, load balancing inbound / outbound, tabel negara, NAT (Network Address Translation), ketersediaan tinggi, VPN (Virtual Private Network) dengan dukungan untuk IPsec, PPTP dan OpenVPN, PPPoE server, DNS Dinamis, portal tawanan, pelaporan, dan pemantauan.
Ini adalah sistem operasi firewall yang dikembangkan secara aktif, didistribusikan sebagai gz Arsip Live Live CD dan gambar ISO khusus instalasi, penginstal USB stick, serta NanoBSD / media yang disematkan. Baik platform perangkat keras 64-bit (amd64) dan 32-bit (i386) didukung saat ini.
Beberapa opsi boot yang telah ditetapkan tersedia selama proses boot, seperti untuk mem-boot sistem operasi dengan pengaturan standar, dengan ACPI dinonaktifkan, menggunakan perangkat USB, dalam mode aman, dalam mode pengguna tunggal, dengan pencatatan verbose, serta untuk akses prompt shell atau reboot komputer.
Memulai dengan pfSense & reg;
Sementara distribusi akan meminta pengguna jika mereka ingin mengatur VLAN (Virtual LANs) dari awal, itu akan membutuhkan setidaknya satu antarmuka jaringan yang ditetapkan untuk berfungsi. Ini berarti bahwa jika Anda tidak memiliki / mengatur setidaknya satu antarmuka, pfSense & reg; tidak akan mulai.
Digunakan sebagai firewall untuk jaringan rumah kecil, universitas, perusahaan besar, atau organisasi lain yang memerlukan perlindungan ribuan perangkat jaringan sangat penting, pfSense & reg; telah diunduh oleh lebih dari satu juta pengguna dari seluruh dunia, sejak awal.
Intinya
Ini adalah salah satu proyek firewall open source terbaik yang direkayasa untuk menyediakan semua fitur yang dilengkapi dengan produk firewall komersial kepada pengguna. Hari ini, pfSense & reg; digunakan dalam berbagai solusi firewall perangkat keras, termasuk Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall, atau Watchguard.
pfSense & reg; adalah merek dagang terdaftar dan merek layanan yang dimiliki oleh Electric Sheep Fencing LLC. Lihat www.electricsheepfencing.com.
Apa yang baru dalam rilis ini:
- Keamanan / Kesalahan
- Diperbarui ke OpenSSL 1.0.2m untuk alamat CVE-2017-3736 dan CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Memperbaiki vektor XSS potensial di status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Memperbaiki vektor XSS potensial di diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Memperbaiki vektor XSS potensial pada index.php melalui parameter urutan widget # 8000 pfSense-SA-17_09.webgui.asc
- Memperbaiki potensi XSS dalam parameter widgetkey multi-example dashboard widgets # 7998 pfSense-SA-17_09.webgui.asc
- Memperbaiki masalah clickjacking potensial di halaman kesalahan CSRF
- Antarmuka
- Memperbaiki antarmuka PPP dengan induk VLAN saat menggunakan nama VLAN baru # 7981
- Memperbaiki masalah dengan antarmuka QinQ yang gagal ditampilkan sebagai aktif # 7942
- Memperbaiki panik / macet ketika menonaktifkan antarmuka LAGG # 7940
- Memperbaiki masalah dengan antarmuka LAGG yang kehilangan alamat MAC # 7928
- Memperbaiki crash di radvd pada SG-3100 (ARM) # 8022
- Memperbaiki masalah dengan drop paket UDP pada SG-1000 # 7426
- Menambahkan antarmuka untuk mengelola sakelar built-in pada SG-3100
- Memotong lebih banyak karakter dari deskripsi antarmuka untuk menghindari pelebaran baris keluaran menu konsol pada konsol VGA
- Penanganan tetap dari parameter uniqueid VIP ketika mengubah jenis VIP
- Tampilan bidang parameter tautan PPP tetap ketika antarmuka induk VLAN dipilih # 8098
- Sistem Operasi
- Memperbaiki masalah yang diakibatkan oleh konfigurasi sistem berkas yang dikonfigurasi secara manual dengan slice terpisah / usr # 8065
- Memperbaiki masalah memperbarui sistem ZFS menciptakan ZFS menggunakan skema partisi MBR (kosong / boot karena bootpool tidak diimpor) # 8063
- Memperbaiki masalah dengan sesi BGP memanfaatkan tanda tangan TCP MD5 dalam perutean paket daemon # 7969
- Pembaruan dpinger hingga 3.0
- Menyempurnakan pilihan dan metode pemilihan repositori pembaruan
- Memperbarui sistem yang dapat mendeteksi bahwa OS tidak memanen data dari interupsi, antarmuka point-to-point dan perangkat Ethernet untuk mencerminkan nama / format baru untuk FreeBSD 11
- Mengubah proses pembuatan aturan sehingga mencoba ulang jika proses lain berada di tengah pembaruan, daripada menampilkan kesalahan kepada pengguna
- Memperbaiki beberapa masalah boot UEFI di berbagai platform
- Sertifikat
- Memperbaiki entri yang tidak valid di /etc/ssl/openssl.cnf (hanya penggunaan non-standar openssl yang terkena di dalam cli / shell) # 8059
- Otentikasi LDAP Tetap saat server menggunakan CA akar yang tepercaya secara global (pilihan CA baru untuk & quot; Global Root CA List & quot;) # 8044
- Memperbaiki masalah saat membuat sertifikat dengan wildcard CN / SAN # 7994
- Menambahkan validasi ke Manajer Sertifikat untuk mencegah impor sertifikat otoritas non-sertifikat ke tab CA # 7885
- IPsec
- Memperbaiki masalah menggunakan sertifikat CA IPsec ketika subjek berisi beberapa RDN dari tipe yang sama # 7929
- Memperbaiki masalah dengan mengaktifkan dukungan klien seluler IPsec dalam bahasa yang diterjemahkan # 8043
- Memperbaiki masalah dengan tampilan status / output IPsec, termasuk banyak entri (satu terputus, satu terhubung) # 8003
- Tampilan tetap dari beberapa klien IPsec seluler yang terhubung # 7856
- Tampilan tetap entri SA anak # 7856
- OpenVPN
- Menambahkan opsi untuk server OpenVPN untuk memanfaatkan & quot; redirect-gateway ipv6 & quot; bertindak sebagai gateway default untuk menghubungkan klien VPN dengan IPv6, mirip dengan & quot; redirect-gateway def1 & quot; untuk IPv4. # 8082
- Memperbaiki opsi Daftar Pencabutan Sertifikat Klien OpenVPN # 8088
- Traffic Shaping
- Memperbaiki kesalahan ketika mengkonfigurasi limiter lebih dari 2Gb / s (max baru adalah 4Gb / s) # 7979
- Memperbaiki masalah dengan antarmuka jaringan jembatan yang tidak mendukung ALTQ # 7936
- Memperbaiki masalah dengan antarmuka jaringan vtnet yang tidak mendukung ALTQ # 7594
- Memperbaiki masalah dengan Status & gt; Antrian gagal menampilkan statistik untuk antarmuka VLAN # 8007
- Memperbaiki masalah dengan antrean pembentukan traffic tidak memungkinkan total semua antrean anak menjadi 100% # 7786
- Memperbaiki masalah dengan pembatas dengan nilai pecahan / non-bilangan bulat yang tidak valid dari entri limiter atau diteruskan ke Portal Tawanan dari RADIUS # 8097
- Aturan / NAT
- Seleksi gateway IPv6 tetap saat membuat aturan firewall baru # 8053
- Memperbaiki kesalahan pada halaman konfigurasi Port Forward yang dihasilkan dari data cookie / query basi / non-pfSense # 8039
- Tetap atur Prioritas VLAN melalui aturan firewall # 7973
- XMLRPC
- Memperbaiki masalah dengan sinkronisasi XMLRPC ketika pengguna sinkronisasi memiliki kata sandi yang berisi spasi # 8032
- Memperbaiki Masalah XMLRPC dengan voucher Captive Portal # 8079
- WebGUI
- Menambahkan opsi untuk menonaktifkan HSTS untuk server web GUI # 6650
- Mengubah layanan web GUI untuk memblokir pengunduhan langsung dari file .inc # 8005
- Memperbaiki Penyortiran Layanan pada widget dasbor dan halaman Status Layanan # 8069
- Memperbaiki masalah input di mana entri IPv6 statis memungkinkan masukan tidak valid untuk bidang alamat # 8024
- Memperbaiki kesalahan sintaksis JavaScript dalam grafik lalu lintas ketika ditemukan data yang tidak valid (misalnya pengguna keluar atau sesi dihapus) # 7990
- Kesalahan pengambilan sampel tetap di Grafik Lalu Lintas # 7966
- Memperbaiki kesalahan JavaScript pada Status & gt; Pemantauan # 7961
- Memperbaiki masalah tampilan dengan tabel kosong di Internet Explorer 11 # 7978
- Mengubah proses konfigurasi untuk menggunakan pengecualian daripada mati () saat mendeteksi konfigurasi yang rusak
- Menambahkan penyaringan ke halaman pfTop
- Menambahkan sarana untuk paket untuk menampilkan modal kepada pengguna (mis., booting ulang yang diperlukan sebelum paket dapat digunakan)
- Dasbor
- Memperbaiki tampilan pembaruan yang tersedia di widget Dasbor Paket Terpasang # 8035
- Memperbaiki masalah font di widget Dasbor Dukungan # 7980
- Memperbaiki format irisan / partisi disk di widget Dasbor Informasi Sistem
- Memperbaiki masalah dengan widget Gambar ketika tidak ada gambar yang valid disimpan # 7896
- Paket
- Memperbaiki tampilan paket yang telah dihapus dari repositori di Package Manager # 7946
- Memperbaiki masalah menampilkan paket yang diinstal secara lokal ketika repositori paket jarak jauh tidak tersedia # 7917
- Lain-lain
- Memperbaiki antarmuka tetap pada ntpd sehingga tidak salah dengarkan pada semua antarmuka # 8046
- Memperbaiki masalah ketika memulai ulang layanan syslogd akan membuat proses sshlockout_pf orphans # 7984
- Dukungan tambahan untuk penyedia DNS dinamis ClouDNS # 7823
- Memperbaiki masalah di halaman Pengguna dan Manajer Grup saat beroperasi pada entri segera setelah menghapus entri # 7733
- Mengubah wizard penyetelan sehingga melewatkan konfigurasi antarmuka ketika dijalankan pada AWS EC2 Instance # 6459
- Memperbaiki masalah Proxy IGMP dengan mode All-multicast pada SG-1000 # 7710
Apa yang baru dalam versi:
- Pembaruan Dasbor:
- Pada Dashboard 2.3.4-RELEASE Anda akan menemukan beberapa informasi tambahan: Vendor BIOS, versi, dan tanggal rilis - jika firewall dapat menentukannya - dan ID Unik Netgate. ID Unik Netgate mirip dengan nomor seri, ini digunakan untuk mengidentifikasi unik perangkat lunak pfSense untuk pelanggan yang ingin membeli layanan dukungan. Untuk perangkat keras yang dijual di toko kami, itu juga memungkinkan kami untuk mengikat unit ke catatan manufaktur kami. ID ini konsisten di semua platform (bare metal, virtual machines, dan host / cloud instance seperti AWS / Azure). Kami awalnya bermaksud untuk menggunakan nomor seri perangkat keras atau UUID yang dihasilkan oleh sistem operasi, tetapi kami menemukan bahwa ini tidak dapat diandalkan, tidak konsisten, dan mereka dapat berubah secara tidak terduga ketika sistem operasi telah diinstal ulang.
- Seperti nomor seri, pengenal ini hanya ditampilkan di Dasbor untuk tujuan informasi dan tidak dikirim ke mana pun secara otomatis secara default. Di masa depan, pelanggan dapat menggunakan pengenal ini ketika meminta informasi dukungan dari staf atau sistem kami.
- Jika Anda belum mengetahui perubahan pada 2.3.x, periksa video Fitur dan Sorotan. Entri blog sebelumnya telah membahas beberapa perubahan, seperti peningkatan kinerja dari tryforward, dan pembaruan webGUI.
- Sertifikat GUI Firewall:
- Pengguna Chrome 58 dan yang lebih baru, dan dalam beberapa kasus, Firefox 48 dan yang lebih baru, mungkin mengalami masalah mengakses GUI Web pfSense jika menggunakan sertifikat yang ditandatangani sendiri secara default yang dibuat secara otomatis oleh firewall yang menjalankan versi pfSense 2.3.3-p1 atau sebelumnya. Ini karena Chrome 58 secara ketat memberlakukan RFC 2818 yang hanya menyerukan hostname yang sama menggunakan entri Nama Alternatif (SAN) alih-alih kolom Nama Umum dari sertifikat, dan sertifikat yang ditandatangani sendiri tidak mengisi bidang SAN.
- Kami telah memperbaiki kode sertifikat untuk benar mengikuti RFC 2818 dengan cara yang ramah pengguna dengan menambahkan nilai Nama Umum sertifikat secara otomatis sebagai entri SAN pertama.
- Administrator firewall perlu membuat sertifikat baru untuk digunakan oleh GUI guna memanfaatkan format baru. Ada beberapa cara untuk menghasilkan sertifikat yang kompatibel, termasuk:
- Menghasilkan dan mengaktifkan sertifikat GUI baru secara otomatis dari konsol atau ssh shell menggunakan salah satu skrip pemutaran kami:
- pfSsh.php pemutaran generateguicert
- Memanfaatkan paket ACME untuk menghasilkan sertifikat tepercaya untuk GUI melalui Let's Encrypt, yang sudah diformat dengan benar.
- Buat secara manual Otoritas Sertifikat yang ditandatangani sendiri (CA) dan Sertifikat Server yang ditandatangani oleh CA itu, kemudian gunakan itu untuk GUI.
- Aktifkan browser lokal & quot; EnableCommonNameFallbackForLocalAnchors & quot; opsi di Chrome 58. Pengaturan ini akan dihapus oleh Chrome pada akhirnya, jadi ini hanya perbaikan sementara.
- Beberapa pengguna mungkin ingat ini bukan pertama kalinya format sertifikat default bermasalah karena perubahan browser. Beberapa tahun yang lalu, Firefox mengubah cara mereka menghitung rantai kepercayaan sertifikat, yang dapat membuat browser tampak membeku atau hang ketika mencoba mengakses beberapa firewall dengan sertifikat yang ditandatangani sendiri yang berisi data default umum yang mengakibatkan semua sertifikat tersebut mengandung Subjek yang sama. Memperbaiki itu lebih merupakan tantangan, tetapi itu menghasilkan pengalaman pengguna akhir yang jauh lebih baik.
Apa yang baru di versi 2.3.4:
- Pembaruan Dasbor:
- Pada Dashboard 2.3.4-RELEASE Anda akan menemukan beberapa informasi tambahan: Vendor BIOS, versi, dan tanggal rilis - jika firewall dapat menentukannya - dan ID Unik Netgate. ID Unik Netgate mirip dengan nomor seri, ini digunakan untuk mengidentifikasi unik perangkat lunak pfSense untuk pelanggan yang ingin membeli layanan dukungan. Untuk perangkat keras yang dijual di toko kami, itu juga memungkinkan kami untuk mengikat unit ke catatan manufaktur kami. ID ini konsisten di semua platform (bare metal, virtual machines, dan host / cloud instance seperti AWS / Azure). Kami awalnya bermaksud untuk menggunakan nomor seri perangkat keras atau UUID yang dihasilkan oleh sistem operasi, tetapi kami menemukan bahwa ini tidak dapat diandalkan, tidak konsisten, dan mereka dapat berubah secara tidak terduga ketika sistem operasi telah diinstal ulang.
- Seperti nomor seri, pengenal ini hanya ditampilkan di Dasbor untuk tujuan informasi dan tidak dikirim ke mana pun secara otomatis secara default. Di masa depan, pelanggan dapat menggunakan pengenal ini ketika meminta informasi dukungan dari staf atau sistem kami.
- Jika Anda belum mengetahui perubahan pada 2.3.x, periksa video Fitur dan Sorotan. Entri blog sebelumnya telah membahas beberapa perubahan, seperti peningkatan kinerja dari tryforward, dan pembaruan webGUI.
- Sertifikat GUI Firewall:
- Pengguna Chrome 58 dan yang lebih baru, dan dalam beberapa kasus, Firefox 48 dan yang lebih baru, mungkin mengalami masalah mengakses GUI Web pfSense jika menggunakan sertifikat yang ditandatangani sendiri secara default yang dibuat secara otomatis oleh firewall yang menjalankan versi pfSense 2.3.3-p1 atau sebelumnya. Ini karena Chrome 58 secara ketat memberlakukan RFC 2818 yang hanya menyerukan hostname yang sama menggunakan entri Nama Alternatif (SAN) alih-alih kolom Nama Umum dari sertifikat, dan sertifikat yang ditandatangani sendiri tidak mengisi bidang SAN.
- Kami telah memperbaiki kode sertifikat untuk benar mengikuti RFC 2818 dengan cara yang ramah pengguna dengan menambahkan nilai Nama Umum sertifikat secara otomatis sebagai entri SAN pertama.
- Administrator firewall perlu membuat sertifikat baru untuk digunakan oleh GUI guna memanfaatkan format baru. Ada beberapa cara untuk menghasilkan sertifikat yang kompatibel, termasuk:
- Menghasilkan dan mengaktifkan sertifikat GUI baru secara otomatis dari konsol atau ssh shell menggunakan salah satu skrip pemutaran kami:
- pfSsh.php pemutaran generateguicert
- Memanfaatkan paket ACME untuk menghasilkan sertifikat tepercaya untuk GUI melalui Let's Encrypt, yang sudah diformat dengan benar.
- Buat secara manual Otoritas Sertifikat yang ditandatangani sendiri (CA) dan Sertifikat Server yang ditandatangani oleh CA itu, kemudian gunakan itu untuk GUI.
- Aktifkan browser lokal & quot; EnableCommonNameFallbackForLocalAnchors & quot; opsi di Chrome 58. Pengaturan ini akan dihapus oleh Chrome pada akhirnya, jadi ini hanya perbaikan sementara.
- Beberapa pengguna mungkin ingat ini bukan pertama kalinya format sertifikat default bermasalah karena perubahan browser. Beberapa tahun yang lalu, Firefox mengubah cara mereka menghitung rantai kepercayaan sertifikat, yang dapat membuat browser tampak membeku atau hang ketika mencoba mengakses beberapa firewall dengan sertifikat yang ditandatangani sendiri yang berisi data default umum yang mengakibatkan semua sertifikat tersebut mengandung Subjek yang sama. Memperbaiki itu lebih merupakan tantangan, tetapi itu menghasilkan pengalaman pengguna akhir yang jauh lebih baik.
Apa yang baru di versi 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Beberapa kerentanan dalam OpenSSL. Satu-satunya dampak yang signifikan pada pfSense adalah OCSP untuk HAproxy dan FreeRADIUS.
- Beberapa Errata terkait HyperV di FreeBSD 10.3, FreeBSD-EN-16: 10 hingga 16:16. Lihat https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html untuk detailnya.
- Beberapa paket bawaan dan pustaka telah diperbarui, termasuk:
- PHP ke 5.6.26
- libidn ke 1,33
- meringkuk menjadi 7,50,3
- libxml2 ke 2.9.4
- Menambahkan pengkodean ke parameter 'zona' pada laman Portal Tawanan.
- Menambahkan output encoding ke diag_dns.php untuk hasil yang dikembalikan dari DNS. # 6737
- Bekerja di sekitar bug Chrome dengan ekspresi reguler mengurai karakter yang kabur dalam rangkaian karakter. Perbaikan & quot; Cocokkan format yang diminta & quot; pada versi Chrome terbaru. # 6762
- Tetap opsi format waktu server DHCPv6 # 6640
- Memperbaiki / usr / bin / install hilang dari instalasi baru. # 6643
- Peningkatan batas ekor penyaringan untuk pencatatan sehingga pencarian akan menemukan entri yang cukup. # 6652
- Membersihkan widget Paket Terpasang dan HTML. # 6601
- Memperbaiki pengaturan widget yang rusak saat membuat pengaturan baru. # 6669
- Memperbaiki berbagai kesalahan ketik dan kata-kata kesalahan.
- Menghapus tautan yang tidak berfungsi ke situs devwiki. Semuanya ada di https://doc.pfsense.org sekarang.
- Menambahkan bidang ke halaman CA / Cert untuk OU, yang diperlukan oleh beberapa CA eksternal dan pengguna. # 6672
- Memperbaiki HTTP & quot; User-Agent & quot; string dalam pembaruan DynDNS.
- Memperbaiki font untuk tabel yang dapat diurutkan.
- Menambahkan cek untuk memverifikasi apakah antarmuka aktif dalam grup gerbang sebelum memperbarui DNS dinamis.
- Memperbaiki kata & & quot; Tolak sewa dari & quot; pilihan untuk antarmuka DHCP (hanya dapat mengambil alamat, bukan subnet.) # 6646
- Perbaikan pelaporan kesalahan untuk pengujian pengaturan SMTP.
- Menyimpan tetap negara, penyedia, dan denah paket untuk antarmuka PPP
- Pemeriksaan tetap tidak valid & quot; Go To Line & quot; angka pada diag_edit.php. # 6704
- Memperbaiki kesalahan satu per satu dengan & quot; Rows to Display & quot; di diag_routes.php. # 6705
- Deskripsi tetap dari kotak filter pada diag_routes.php untuk mencerminkan bahwa semua bidang dapat dicari. # 6706
- Deskripsi tetap dari kotak untuk file yang akan diedit diag_edit.php. # 6703
- Deskripsi tetap dari panel utama pada diag_resetstate.php. # 6709
- Dialog peringatan tetap ketika kotak tidak dicentang pada diag_resetstate.php. # 6710
- Pintasan log tetap untuk area DHCP6. # 6700
- Memperbaiki jaringan menghapus tombol yang menunjukkan ketika hanya satu baris ada di services_unbound_acls.php # 6716
- Memperbaiki teks bantuan yang menghilang pada baris berulang ketika baris terakhir dihapus. # 6716
- Memperbaiki DNS domain dinamis untuk entri DHCP peta statis
- Menambahkan kontrol untuk mengatur periode penyegaran widget dasbor
- Ditambahkan & quot; -C / dev / null & quot; ke parameter baris perintah dnsmasq untuk menghindarinya mengambil konfigurasi default yang salah yang akan mengesampingkan opsi kami. # 6730
- Ditambahkan & quot; -l & quot; ke traceroute6 untuk menampilkan kedua Alamat IP dan Nama Inang saat menyelesaikan lompatan pada diag_traceroute.php. # 6715
- Catatan tambahan tentang batas maksimum ttl / hop di komentar sumber pada diag_traceroute.php.
- Klarifikasi bahasa pada diag_tables.php. # 6713
- Bersihkan teks pada diag_sockets.php. # 6708
- Tetap menampilkan nama antarmuka VLAN selama penugasan konsol. # 6724
- Opsi server-nama-server tetap tampil dua kali di kumpulan-kumpulan ketika diatur secara manual.
- Penanganan opsi DHCP secara tetap di kolam selain dari jangkauan utama. # 6720
- Memperbaiki nama host yang hilang dalam beberapa kasus dengan dhcpdv6. # 6589
- Peningkatan penanganan pidfile untuk dhcpleases.
- Menambahkan pemeriksaan untuk mencegah akses offset yang tidak terdefinisi di IPv6.inc.
- Memperbaiki tampilan alias popup dan mengedit opsi pada sumber dan tujuan untuk alamat dan port pada NAT keluar.
- Penanganan tetap dari jumlah konfigurasi cadangan. # 6771
- Menghapus beberapa referensi PPTP yang menggantung yang tidak lagi relevan.
- Memperbaiki / menangkap area syslog terpencil. Menambahkan & quot; perutean & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; resolver & quot ;, tetap & quot; vpn & quot; untuk memasukkan semua area VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Memperbaiki kotak centang yang hilang dalam beberapa kasus saat menambahkan baris pada services_ntpd.php. # 6788
- Layanan yang direvisi menjalankan / menghentikan ikon.
- Menambahkan cek ke manajemen CRL untuk menghapus sertifikat dari daftar tarik-turun yang sudah ada dalam CRL yang sedang diedit.
- Pemisah aturan tetap bergerak ketika beberapa aturan firewall dihapus pada saat yang bersamaan. # 6801
Apa yang baru di versi 2.3.3:
- FreeBSD-SA-16: 26.openssl - Beberapa kerentanan dalam OpenSSL. Satu-satunya dampak yang signifikan pada pfSense adalah OCSP untuk HAproxy dan FreeRADIUS.
- Beberapa Errata terkait HyperV di FreeBSD 10.3, FreeBSD-EN-16: 10 hingga 16:16. Lihat https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html untuk detailnya.
- Beberapa paket bawaan dan pustaka telah diperbarui, termasuk:
- PHP ke 5.6.26
- libidn ke 1,33
- meringkuk menjadi 7,50,3
- libxml2 ke 2.9.4
- Menambahkan pengkodean ke parameter 'zona' pada laman Portal Tawanan.
- Menambahkan output encoding ke diag_dns.php untuk hasil yang dikembalikan dari DNS. # 6737
- Bekerja di sekitar bug Chrome dengan ekspresi reguler mengurai karakter yang kabur dalam rangkaian karakter. Perbaikan "Harap sesuaikan dengan format yang diminta" pada versi Chrome terbaru. # 6762
- Tetap opsi format waktu server DHCPv6 # 6640
- Memperbaiki / usr / bin / install hilang dari instalasi baru. # 6643
- Peningkatan batas ekor penyaringan untuk pencatatan sehingga pencarian akan menemukan entri yang cukup. # 6652
- Membersihkan widget Paket Terpasang dan HTML. # 6601
- Memperbaiki pengaturan widget yang rusak saat membuat pengaturan baru. # 6669
- Memperbaiki berbagai kesalahan ketik dan kata-kata salah.
- Menghapus tautan yang tidak berfungsi ke situs devwiki. Semuanya ada di https://doc.pfsense.org sekarang.
- Menambahkan bidang ke halaman CA / Cert untuk OU, yang diperlukan oleh beberapa CA eksternal dan pengguna. # 6672
- Memperbaiki string "User-Agent" HTTP yang redundan dalam pembaruan DynDNS.
- Memperbaiki font untuk tabel yang dapat diurutkan.
- Menambahkan cek untuk memverifikasi apakah antarmuka aktif dalam grup gerbang sebelum memperbarui DNS dinamis.
- Memperbaiki kata-kata dari opsi "Tolak sewa dari" untuk antarmuka DHCP (hanya bisa mengambil alamat, bukan subnet.) # 6646
- Perbaikan pelaporan kesalahan untuk pengujian pengaturan SMTP.
- Menyimpan tetap negara, penyedia, dan denah paket untuk antarmuka PPP
- Pemeriksaan tetap untuk nomor "Go To Line" yang tidak valid di diag_edit.php. # 6704
- Tetap off-by-one error dengan "Rows to Display" pada diag_routes.php. # 6705
- Deskripsi tetap dari kotak filter pada diag_routes.php untuk mencerminkan bahwa semua bidang dapat dicari. # 6706
- Deskripsi tetap dari kotak untuk file yang akan diedit diag_edit.php. # 6703
- Deskripsi tetap dari panel utama pada diag_resetstate.php. # 6709
- Dialog peringatan tetap ketika kotak tidak dicentang pada diag_resetstate.php. # 6710
- Pintasan log tetap untuk area DHCP6. # 6700
- Memperbaiki jaringan menghapus tombol yang menunjukkan ketika hanya satu baris ada di services_unbound_acls.php # 6716
- Memperbaiki teks bantuan yang menghilang pada baris berulang ketika baris terakhir dihapus. # 6716
- Memperbaiki DNS domain dinamis untuk entri DHCP peta statis
- Menambahkan kontrol untuk mengatur periode penyegaran widget dasbor
- Menambahkan "-C / dev / null" ke parameter baris perintah dnsmasq untuk menghindarinya mengambil konfigurasi default yang salah yang akan mengesampingkan opsi kami. # 6730
- Menambahkan "-l" ke traceroute6 untuk menampilkan Alamat IP dan Nama Inang saat menyelesaikan lompatan pada diag_traceroute.php. # 6715
- Catatan tambahan tentang batas maksimum ttl / hop di komentar sumber pada diag_traceroute.php.
- Klarifikasi bahasa pada diag_tables.php. # 6713
- Bersihkan teks pada diag_sockets.php. # 6708
- Tetap menampilkan nama antarmuka VLAN selama penugasan konsol. # 6724
- Opsi server-nama-server tetap tampil dua kali di kumpulan-kumpulan ketika diatur secara manual.
- Penanganan opsi DHCP secara tetap di kolam selain dari jangkauan utama. # 6720
- Memperbaiki nama host yang hilang dalam beberapa kasus dengan dhcpdv6. # 6589
- Peningkatan penanganan pidfile untuk dhcpleases.
- Menambahkan cek untuk mencegah pengaksesan offset yang tidak ditentukan dalam IPv6.inc.
- Memperbaiki tampilan alias popup dan mengedit opsi pada sumber dan tujuan untuk alamat dan port pada NAT keluar.
- Penanganan tetap dari jumlah konfigurasi cadangan. # 6771
- Menghapus beberapa referensi PPTP yang menggantung yang tidak lagi relevan.
- Memperbaiki / menangkap area syslog terpencil. Menambahkan "routing", "ntpd", "ppp", "resolver", tetap "vpn" untuk memasukkan semua area VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Memperbaiki kotak centang yang hilang dalam beberapa kasus saat menambahkan baris pada services_ntpd.php. # 6788
- Layanan yang direvisi menjalankan / menghentikan ikon.
- Menambahkan cek ke manajemen CRL untuk menghapus sertifikat dari daftar tarik-turun yang sudah ada dalam CRL yang sedang diedit.
- Pemisah aturan tetap bergerak ketika beberapa aturan firewall dihapus pada saat yang bersamaan. # 6801
Apa yang baru di versi 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Beberapa kerentanan dalam OpenSSL. Satu-satunya dampak yang signifikan pada pfSense adalah OCSP untuk HAproxy dan FreeRADIUS.
- Beberapa Errata terkait HyperV di FreeBSD 10.3, FreeBSD-EN-16: 10 hingga 16:16. Lihat https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html untuk detailnya.
- Beberapa paket bawaan dan pustaka telah diperbarui, termasuk:
- PHP ke 5.6.26
- libidn ke 1,33
- meringkuk menjadi 7,50,3
- libxml2 ke 2.9.4
- Menambahkan pengkodean ke parameter 'zona' pada laman Portal Tawanan.
- Menambahkan output encoding ke diag_dns.php untuk hasil yang dikembalikan dari DNS. # 6737
- Bekerja di sekitar bug Chrome dengan ekspresi reguler mengurai karakter yang kabur dalam rangkaian karakter. Perbaikan "Harap sesuaikan dengan format yang diminta" pada versi Chrome terbaru. # 6762
- Tetap opsi format waktu server DHCPv6 # 6640
- Memperbaiki / usr / bin / install hilang dari instalasi baru. # 6643
- Peningkatan batas ekor penyaringan untuk pencatatan sehingga pencarian akan menemukan entri yang cukup. # 6652
- Membersihkan widget Paket Terpasang dan HTML. # 6601
- Memperbaiki pengaturan widget yang rusak saat membuat pengaturan baru. # 6669
- Memperbaiki berbagai kesalahan ketik dan kata-kata salah.
- Menghapus tautan yang tidak berfungsi ke situs devwiki. Semuanya ada di https://doc.pfsense.org sekarang.
- Menambahkan bidang ke halaman CA / Cert untuk OU, yang diperlukan oleh beberapa CA eksternal dan pengguna. # 6672
- Memperbaiki string "User-Agent" HTTP yang redundan dalam pembaruan DynDNS.
- Memperbaiki font untuk tabel yang dapat diurutkan.
- Menambahkan cek untuk memverifikasi apakah antarmuka aktif dalam grup gerbang sebelum memperbarui DNS dinamis.
- Memperbaiki kata-kata dari opsi "Tolak sewa dari" untuk antarmuka DHCP (hanya bisa mengambil alamat, bukan subnet.) # 6646
- Perbaikan pelaporan kesalahan untuk pengujian pengaturan SMTP.
- Menyimpan tetap negara, penyedia, dan denah paket untuk antarmuka PPP
- Pemeriksaan tetap untuk nomor "Go To Line" yang tidak valid di diag_edit.php. # 6704
- Tetap off-by-one error dengan "Rows to Display" pada diag_routes.php. # 6705
- Deskripsi tetap dari kotak filter pada diag_routes.php untuk mencerminkan bahwa semua bidang dapat dicari. # 6706
- Deskripsi tetap dari kotak untuk file yang akan diedit diag_edit.php. # 6703
- Deskripsi tetap dari panel utama pada diag_resetstate.php. # 6709
- Dialog peringatan tetap ketika kotak tidak dicentang pada diag_resetstate.php. # 6710
- Pintasan log tetap untuk area DHCP6. # 6700
- Memperbaiki jaringan menghapus tombol yang menunjukkan ketika hanya satu baris ada di services_unbound_acls.php # 6716
- Memperbaiki teks bantuan yang menghilang pada baris berulang ketika baris terakhir dihapus. # 6716
- Memperbaiki DNS domain dinamis untuk entri DHCP peta statis
- Menambahkan kontrol untuk mengatur periode penyegaran widget dasbor
- Menambahkan "-C / dev / null" ke parameter baris perintah dnsmasq untuk menghindarinya mengambil konfigurasi default yang salah yang akan mengesampingkan opsi kami. # 6730
- Menambahkan "-l" ke traceroute6 untuk menampilkan Alamat IP dan Nama Inang saat menyelesaikan lompatan pada diag_traceroute.php. # 6715
- Catatan tambahan tentang batas maksimum ttl / hop di komentar sumber pada diag_traceroute.php.
- Klarifikasi bahasa pada diag_tables.php. # 6713
- Bersihkan teks pada diag_sockets.php. # 6708
- Tetap menampilkan nama antarmuka VLAN selama penugasan konsol. # 6724
- Opsi server-nama-server tetap tampil dua kali di kumpulan-kumpulan ketika diatur secara manual.
- Penanganan opsi DHCP secara tetap di kolam selain dari jangkauan utama. # 6720
- Memperbaiki nama host yang hilang dalam beberapa kasus dengan dhcpdv6. # 6589
- Peningkatan penanganan pidfile untuk dhcpleases.
- Menambahkan cek untuk mencegah pengaksesan offset yang tidak ditentukan dalam IPv6.inc.
- Memperbaiki tampilan alias popup dan mengedit opsi pada sumber dan tujuan untuk alamat dan port pada NAT keluar.
- Penanganan tetap dari jumlah konfigurasi cadangan. # 6771
- Menghapus beberapa referensi PPTP yang menggantung yang tidak lagi relevan.
- Memperbaiki / menangkap area syslog terpencil. Menambahkan "routing", "ntpd", "ppp", "resolver", tetap "vpn" untuk memasukkan semua area VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Memperbaiki kotak centang yang hilang dalam beberapa kasus saat menambahkan baris pada services_ntpd.php. # 6788
- Layanan yang direvisi menjalankan / menghentikan ikon.
- Menambahkan cek ke manajemen CRL untuk menghapus sertifikat dari daftar tarik-turun yang sudah ada dalam CRL yang sedang diedit.
- Pemisah aturan tetap bergerak ketika beberapa aturan firewall dihapus pada saat yang bersamaan. # 6801
Apa yang baru di versi 2.3.2:
- Cadangkan / Pulihkan:
- Jangan izinkan penerapan perubahan pada antarmuka pascakonfigurasi ulang konfigurasi hingga penugasan kembali disimpan. # 6613
- Dasbor:
- Dasbor sekarang memiliki opsi konfigurasi per pengguna, didokumentasikan di Pengelola Pengguna. # 6388
- Server DHCP:
- Nonaktif dhcp-cache-threshold untuk menghindari bug di ISC dhcpd 4.3.x menghilangkan nama host-klien dari file sewa, yang membuat registrasi hostname dinamis gagal dalam beberapa kasus tepi. # 6589
- Perhatikan bahwa kunci DDNS harus HMAC-MD5. # 6622
- Relay DHCP:
- Perbaikan impor untuk permintaan relai dhcrelay pada antarmuka tempat server DHCP target berada. # 6355
- DNS Dinamis:
- Izinkan * untuk nama host dengan Namecheap. # 6260
- Antarmuka:
- Perbaiki "tidak dapat menetapkan alamat yang diminta" selama boot dengan antarmuka track6. # 6317
- Hapus opsi tautan yang tidak berlaku lagi dari GRE dan gif. # 6586, # 6587
- Menauhi "Tolak sewa dari" saat DHCP "Opsi lanjutan" dicentang. # 6595
- Lindungi pembatas terlampir dalam konfigurasi lanjutan klien DHCP, sehingga koma dapat digunakan di sana. # 6548
- Perbaiki rute default pada antarmuka PPPoE yang hilang di beberapa kasus tepi. # 6495
- IPsec:
- strongSwan ditingkatkan ke 5.5.0.
- Sertakan agresif di ipsec.conf di mana mode IKE otomatis dipilih. # 6513
- Pemantauan Gateway:
- Memperbaiki "nama soket terlalu besar" membuat pemantauan gateway gagal pada nama antarmuka panjang dan alamat IPv6. # 6505
- Batasan:
- Setel pipe_slot_limit secara otomatis ke nilai qlimit terkonfigurasi maksimum. # 6553
- Pemantauan:
- Memperbaiki tidak ada periode data yang dilaporkan sebagai 0, rata-rata miring. # 6334
- Perbaiki keterangan alat ditampilkan sebagai "tidak ada" untuk beberapa nilai. # 6044
- Perbaiki penyimpanan beberapa opsi konfigurasi default. # 6402
- Perbaiki sumbu X tidak merespons resolusi untuk periode waktu khusus. # 6464
- OpenVPN:
- Sinkronisasi ulang konfigurasi khusus klien setelah menyimpan instance server OpenVPN untuk memastikan pengaturannya mencerminkan konfigurasi server saat ini. # 6139
- Sistem Operasi:
- Fixed pf fragment states tidak dibersihkan, memicu "PF frag entries limit tercapai". # 6499
- Tentukan lokasi file inti sehingga tidak dapat berakhir di / var / run dan buang ruang yang tersedia. # 6510
- Memperbaiki "runtime go backwards" log spam di Hyper-V. # 6446
- Tetap traceroute6 bergaul dengan lintasan non-respons. # 3069
- Menambahkan symlink /var/run/dmesg.boot untuk vm-bhyve. # 6573
- Atur net.isr.dispatch = langsung pada sistem 32 bit dengan IPsec diaktifkan untuk mencegah crash ketika mengakses layanan pada host itu sendiri melalui VPN. # 4754
- Periklanan Router:
- Menambahkan bidang konfigurasi untuk interval iklan router dan router minimum dan maksimum. # 6533
- Merutekan:
- Memperbaiki rute statis dengan tautan IPv6 router target lokal untuk menyertakan lingkup antarmuka. # 6506
- Aturan / NAT:
- Memperbaiki penampung "PPPoE Client" dalam aturan dan NAT, dan kesalahan aturan ketika menggunakan aturan mengambang yang menentukan server PPPoE. # 6597
- Kegagalan yang diperbaiki untuk memuat kumpulan aturan dengan URL Tabel alias tempat file kosong ditentukan. # 6181
- Fixed TFTP proxy dengan xinetd. # 6315
- Tingkatkan:
- Memperbaiki kegagalan upgrade nanobsd di mana DNS Forwarder / Resolver tidak terikat ke localhost. # 6557
- IP Virtual:
- Memperbaiki masalah kinerja dengan sejumlah besar IP virtual. # 6515
- Memperbaiki kehabisan memori PHP pada halaman status CARP dengan tabel status besar. # 6364
- Antarmuka Web:
- Menambahkan pengurutan ke tabel pemetaan statis DHCP. # 6504
- Unggah file tetap dari detik kabisat NTP. # 6590
- Menambahkan dukungan IPv6 ke diag_dns.php. # 6561
- Menambahkan dukungan IPv6 untuk memfilter log reverse lookup. # 6585
- Sistem paket - menyimpan data lapangan pada kesalahan input. # 6577
- Memperbaiki beberapa masalah validasi input IPv6 yang memungkinkan IP IPv6 tidak valid. # 6551, # 6552
- Memperbaiki beberapa penyewaan DHCPv6 yang hilang dari tampilan penyewaan GUI. # 6543
- Memperbaiki pembunuhan negara untuk 'dalam' arah dan menyatakan dengan tujuan yang diterjemahkan. # 6530, # 6531
- Pulihkan validasi masukan dari nama zona portal tawanan untuk mencegah XML tidak valid. # 6514
- Pemilih tanggal kalender yang diganti di pengelola pengguna dengan yang berfungsi di browser selain Chrome dan Opera. # 6516
- Bidang port proxy yang dipulihkan ke klien OpenVPN. # 6372
- Klarifikasi deskripsi alias port. # 6523
- Output terjemahan tetap di mana gettext melewatkan string kosong. # 6394
- Pilihan kecepatan tetap untuk 9600 dalam konfigurasi GPS NTP. # 6416
- Hanya izinkan IP IPv6 pada layar NPT. # 6498
- Tambahkan dukungan impor alias untuk jaringan dan port. # 6582
- Obrolan tajuk tabel yang dapat disortir yang tetap dapat disortir. # 6074
- Bersihkan bagian Network Booting dari layar DHCP Server. # 6050
- Perbaiki tautan "UNKNOWN" di pengelola paket. # 6617
- Memperbaiki bidang bandwidth yang hilang untuk antrian pembentuk traffic CBQ. # 6437
- UPnP:
- URL presentasi UPnP dan nomor model sekarang dapat dikonfigurasi. # 6002
- Pengelola Pengguna:
- Melarang admin untuk menghapus akun mereka sendiri di pengelola pengguna. # 6450
- Lainnya:
- Menambahkan sesi shell PHP untuk mengaktifkan dan menonaktifkan mode pemeliharaan CARP yang persisten. "pemutaran enablecarpmaint" dan "pemutaran disablecarpmaint". # 6560
- Konfigurasi konsol serial terekspos untuk VGA nanobsd. # 6291
Apa yang baru di versi 2.3.1 Pembaruan 5:
- Perubahan paling signifikan dalam rilis ini adalah penulisan ulang webGUI yang memanfaatkan Bootstrap, dan sistem yang mendasari, termasuk sistem dasar dan kernel, yang dikonversi sepenuhnya menjadi pkg FreeBSD. Konversi pkg memungkinkan kami memperbarui bagian-bagian dari sistem secara individual, daripada pembaruan monolitik dari masa lalu. Penulisan ulang webGUI menghadirkan tampilan responsif baru dan nuansa pfSense yang mengharuskan minimum mengubah ukuran atau menggulir pada berbagai perangkat dari desktop ke ponsel.
Apa yang baru di versi 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Kerentanan Inklusi File Lokal di pfSense WebGUI
- pfSense-SA-15_10.captiveportal: Kerentanan Injeksi SQL di logout portal tawanan pfSense
- pfSense-SA-15_11.webgui: Multiple XSS dan CSRF Vulnerabilities di WebGUI pfSense
- Diperbarui ke FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Beberapa kerentanan di OpenSSL
- Diperbarui strongSwan ke 5.3.5_2
- Termasuk perbaikan untuk otentikasi CVE-2015-8023 melewati kerentanan dalam plugin eap-mschapv2.
Apa yang baru di versi 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Multiple Stored XSS Vulnerabilities dalam pfSense WebGUI
- Diperbarui ke FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Beberapa kerentanan dalam NTP [REVISI]
- FreeBSD-SA-15: 14.bsdpatch: Karena sanitasi yang tidak memadai dari aliran masukan masukan, mungkin file patch menyebabkan patch (1) menjalankan perintah selain perintah SCCS atau RCS yang diinginkan. / li>
- FreeBSD-SA-15: 16.openssh: Klien OpenSSH tidak benar memverifikasi catatan SSHFP DNS ketika server menawarkan sertifikat. Server OpenSSH CVE-2014-2653 yang dikonfigurasi untuk memungkinkan otentikasi kata sandi menggunakan PAM (default) akan memungkinkan banyak upaya kata sandi.
- FreeBSD-SA-15: 18.bsdpatch: Karena sanitasi yang tidak memadai dari aliran masukan masukan, mungkin file patch menyebabkan tambalan (1) untuk meneruskan ed (1) skrip tertentu ke ed (1) editor, yang akan menjalankan perintah.
- FreeBSD-SA-15: 20.expat: Beberapa overflows integer telah ditemukan dalam fungsi XML_GetBuffer () di pustaka expat.
- FreeBSD-SA-15: 21.amd64: Jika instruksi IRET kernel-mode menghasilkan pengecualian #SS atau #NP, tetapi pengendali pengecualian tidak memastikan bahwa basis register GS yang benar untuk kernel dimuat ulang , segmen GS userland dapat digunakan dalam konteks pengendali pengecualian kernel.
- FreeBSD-SA-15: 22.openssh: Kesalahan pemrograman dalam proses monitor istimewa dari layanan sshd (8) memungkinkan nama pengguna yang sudah diautentikasi untuk ditimpa oleh proses anak yang tidak berhak. Kesalahan penggunaan-setelah-bebas dalam proses monitor istimewa dari layanan sshd (8) dapat dipicu secara deterministik oleh tindakan-tindakan proses anak-anak yang tidak memiliki kompromi. Kesalahan use-after-free dalam kode multiplexing sesi dalam layanan sshd (8) dapat mengakibatkan penghentian koneksi yang tidak diinginkan.
Apa yang baru di versi 2.2.4:
- pfSense-SA-15_07.webgui: Multiple Stored XSS Vulnerabilities di pfSense WebGUI
- Daftar lengkap halaman dan bidang yang terpengaruh tercantum dalam SA yang terhubung.
- FreeBSD-SA-15: 13.tcp: Kelelahan sumber daya karena sesi macet dalam keadaan LAST_ACK. Catatan ini hanya berlaku untuk skenario di mana port yang mendengarkan pada pfSense itu sendiri (bukan hal yang dilalui melalui NAT, routing atau bridging) dibuka untuk jaringan yang tidak dipercaya. Ini tidak berlaku untuk konfigurasi default.
- Catatan: FreeBSD-SA-15: 13.openssl tidak berlaku untuk pfSense. pfSense tidak menyertakan versi rentan OpenSSL, dan karenanya tidak rentan.
- Perbaikan lebih lanjut untuk korupsi file dalam berbagai kasus selama shuting yang tidak bersih (crash, power loss, dll.). # 4523
- Fixed pw di FreeBSD untuk mengatasi korupsi passwd / grup
- Tetap config.xml menulis untuk menggunakan fsync dengan benar untuk menghindari kasus ketika itu bisa berakhir kosong. # 4803
- Menghilangkan opsi & lsquo; sync 'dari sistem file untuk pemasangan penuh yang baru dan peningkatan penuh sekarang setelah perbaikan yang sebenarnya sudah ada.
- Dihapus softupdates dan journal (AKA SU + J) dari NanoBSD, mereka tetap menginstal penuh. # 4822
- Patch forceync untuk # 2401 masih dianggap berbahaya bagi filesystem dan telah dihapus. Dengan demikian, mungkin ada beberapa kelambatan yang terlihat dengan NanoBSD pada disk yang lebih lambat, terutama kartu CF dan pada tingkat lebih rendah, kartu SD. Jika ini adalah masalah, filesystem dapat disimpan baca-tulis secara permanen menggunakan opsi pada Diagnostik & gt; NanoBSD. Dengan perubahan lain di atas, risikonya minimal. Kami menyarankan untuk mengganti media CF / SD yang terpengaruh oleh kartu baru yang lebih cepat sesegera mungkin. # 4822
- Meningkatkan PHP ke 5.5.27 ke alamat CVE-2015-3152 # 4832
- Menurunkan SSH LoginGraceTime dari 2 menit menjadi 30 detik untuk mengurangi dampak bug bypass MaxAuthTries. Catatan Sshlockout akan mengunci IP yang menyinggung di semua versi sebelumnya, saat ini dan yang akan datang. # 4875
Apa yang baru di versi 2.2.3:
- pfSense-SA-15_06.webgui: Beberapa Kerentanan XSS di pfSense WebGUI
- Daftar lengkap halaman dan bidang yang terpengaruh besar dan semuanya tercantum dalam SA yang ditautkan.
- FreeBSD-SA-15: 10.openssl: Beberapa kerentanan OpenSSL (Termasuk Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Apa yang baru di versi 2.2.2:
- Rilis ini mencakup dua pembaruan keamanan berisiko rendah:
- FreeBSD-SA-15: 09.ipv6: Penolakan Layanan dengan Periklanan Router IPv6. Di mana sistem menggunakan jenis DHCPv6 WAN, perangkat pada domain siaran yang sama seperti WAN dapat mengirim paket yang dibuat yang menyebabkan sistem kehilangan konektivitas Internet IPv6.
- FreeBSD-SA-15: 06.openssl: Beberapa kerentanan OpenSSL. Sebagian besar tidak berlaku, dan dampak terburuknya adalah penolakan layanan.
Apa yang baru di versi 2.2.1:
- Perbaikan Keamanan:
- pfSense-SA-15_02.igmp: overflow Integer dalam protokol IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: Beberapa Kerentanan XSS di pfSense WebGUI
- pfSense-SA-15_04.webgui: Kerusakan penghapusan file sewenang-wenang di pfSense WebGUI
- FreeBSD-EN-15: 01.vt: vt (4) tabrakan dengan parameter ioctl yang tidak tepat
- FreeBSD-EN-15: 02.openssl: Pembaruan untuk menyertakan perbaikan keandalan dari OpenSSL
- Catatan tentang kerentanan OpenSSL "FREAK":
- Tidak mempengaruhi konfigurasi server web pada firewall karena tidak memiliki cipher ekspor yang diaktifkan.
- pfSense 2.2 sudah termasuk OpenSSL 1.0.1k yang membahas kerentanan sisi klien.
- Jika paket menyertakan server web atau komponen serupa, seperti proxy, konfigurasi pengguna yang tidak semestinya dapat terpengaruh. Lihat dokumentasi paket atau forum untuk detailnya.
Apa yang baru di versi 2.2:
- Rilis ini menghadirkan peningkatan dalam kinerja dan dukungan perangkat keras dari basis FreeBSD 10.1, serta peningkatan yang telah kami tambahkan seperti AES-GCM dengan akselerasi AES-NI, di antara sejumlah fitur baru dan perbaikan bug lainnya. li>
- Dalam proses mencapai rilis, kami telah menutup 392 total tiket (jumlah ini termasuk 55 fitur atau tugas), memperbaiki 135 bug yang mempengaruhi 2.1.5 dan versi sebelumnya, memperbaiki 202 bug lain yang diperkenalkan pada 2.2 dengan memajukan basis Versi OS dari FreeBSD 8.3 hingga 10.1, mengubah daemon panggilan IPsec dari racoon ke strongSwan, memutakhirkan backend PHP ke versi 5.5 dan mengalihkannya dari FastCGI ke PHP-FPM, dan menambahkan Unbound DNS Resolver, dan banyak perubahan yang lebih kecil.
- Rilis ini berisi empat perbaikan keamanan berdampak rendah:
- membuka pembaruan untuk FreeBSD-SA-15: 01.openssl
- Beberapa kerentanan XSS di antarmuka web. pfSense-SA-15_01
- Pembaruan OpenVPN untuk CVE-2014-8104
- Pembaruan NTP FreeBSD-SA-14: 31.ntp - meskipun keadaan ini tampaknya tidak memengaruhi pfSense.
Apa yang baru di versi 2.1.4:
- Perbaikan Keamanan:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- juga memiliki perbaikan independen dan perlu diperbarui. Selama proses pembaruan firmware paket akan diinstal ulang dengan benar. Jika tidak, hapus instalan dan instal ulang paket untuk memastikan bahwa versi terbaru dari binari sedang digunakan.
- Perbaikan Lainnya:
- Tambalan untuk masalah kebocoran pipena Portal Tawanan yang mengarah ke & lsquo; Masuk maksimum tercapai 'di Portal Tawanan. # 3062
- Hapus teks yang tidak relevan dengan IP yang Diizinkan di Portal Tawanan. # 3594
- Hapus unit dari burst karena selalu ditentukan dalam byte. (Per ipfw (8)).
- Tambahkan kolom untuk port internal pada halaman status UPnP.
- Mendengarkan pada antarmuka daripada IP opsional untuk UPnP.
- Perbaiki penyorotan aturan yang dipilih. # 3646
- Tambahkan guiconfig ke widget yang tidak termasuk. # 3498
- / etc / version_kernel dan / etc / version_base tidak ada lagi, gunakan php_uname untuk mendapatkan versi untuk pemeriksaan XMLRPC sebagai gantinya.
- Perbaiki kesalahan ketik variabel. # 3669
- Hapus semua IP Alias ketika antarmuka dinonaktifkan. # 3650
- Menangani penggantian arsip RRD dengan benar selama peningkatan dan kesalahan memadamkan jika gagal.
- Ubah protokol ssl: // ke https: // saat membuat header HTTP untuk XMLRPC.
- Tampilkan antarmuka yang dinonaktifkan ketika mereka sudah menjadi bagian dari grup antarmuka. Ini untuk tidak menampilkan antarmuka acak dan membiarkan pengguna menambahkannya secara tidak sengaja. # 3680
- Direktif client-config-dir untuk OpenVPN juga berguna ketika menggunakan DHCP internal OpenVPN saat menjembatani, jadi tambahkan juga dalam kasus itu.
- Gunakan curl alih-alih mengambil untuk mengunduh file pembaruan. # 3691
- Variabel escape sebelum berpindah ke shell dari stop_service ().
- Tambahkan beberapa perlindungan ke parameter yang berasal dari _GET dalam pengelolaan layanan.
- Hapus argumen saat panggilan ke is_process_running, juga hapus beberapa panggilan mwexec () yang tidak diperlukan.
- Jangan izinkan nama grup antarmuka lebih besar dari 15 karakter. # 3208
- Lebih tepat untuk mencocokkan anggota antarmuka jembatan, harus memperbaiki # 3637
- Jangan kedaluwarsa pengguna yang sudah dinonaktifkan, ini memperbaiki # 3644
- Validasi waktu mulai dan format stoptime pada firewall_schedule_edit.php
- Lebih berhati-hati dengan parameter host pada diag_dns.php dan pastikan sudah lolos saat memanggil fungsi shell
- Parameter pelolosan dikirimkan ke shell_exec () di diag_smart.php dan di tempat lain
- Pastikan variabel terhindar / disterilkan pada status_rrd_graph_img.php
- Ganti panggilan exec untuk menjalankan rm oleh unlink_if_exists () pada status_rrd_graph_img.php
- Ganti semua panggilan `hostname` dengan php_uname (& lsquo; n ') pada status_rrd_graph_img.php
- Ganti semua panggilan `date` oleh strftime () pada status_rrd_graph_img.php
- Tambahkan $ _gb untuk mengumpulkan sampah dari exec return pada status_rrd_graph_img.php
- Hindari traversal direktori di pkg_edit.php saat membaca file paket xml, juga periksa apakah file ada sebelum mencoba membacanya
- Hapus id = 0 dari menu dan pintasan miniupnpd
- Hapus. dan / dari nama pkg untuk menghindari traversal direktori di pkg_mgr_install.php
- Perbaiki core dump saat melihat log paket yang tidak valid
- Hindari traversal direktori di system_firmware_restorefullbackup.php
- Menghasilkan kembali ID sesi pada proses masuk yang sukses untuk menghindari fiksasi sesi
- Lindungi parameter rssfeed dengan htmlspecialchars () di rss.widget.php
- Lindungi parameter servicestatusfilter dengan htmlspecialchars () di services_status.widget.php
- Selalu tetapkan atribut httponly pada cookie
- Set & lsquo; Nonaktifkan autocomplete masuk konfigurasi webConfigurator 'sebagai secara default untuk pemasangan baru
- Sederhanakan logika, tambahkan beberapa perlindungan ke parameter masukan pengguna di log.widget.php
- Pastikan kutipan tunggal dikodekan dan hindari suntikan javascript pada exec.php
- Tambahkan protokol NAT yang hilang pada firewall_nat_edit.php
- Hapus data tambahan setelah ruang di DSCP dan perbaiki sintaks aturan pf. # 3688
- Hanya sertakan aturan yang dijadwalkan jika benar-benar sebelum waktu berakhir. # 3558
Paket
Apa yang baru di versi 2.1.1:
- Perubahan terbesar adalah menutup masalah keamanan / CVE berikut:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Selain ini, driver em / igb / ixgb / ixgbe telah ditingkatkan untuk menambahkan dukungan untuk i210 dan i354 NIC. Beberapa Intel NIC Ethernet 10Gb juga akan melihat peningkatan kinerja.
Komentar tidak ditemukan