IPFire is een open source besturingssysteem dat vanaf de basis is ontworpen om op te treden als een toegewijd, veilig en flexibel firewallsysteem op basis van enkele van de beste Linux-technologieën, zoals iptables, OpenSSL en OpenSSH.
Gedistribueerd als een 32-bits ISO-afbeelding
Dit piepkleine besturingssysteem kan worden gedownload via Softoware of vanaf de officiële website (zie bovenstaande link) als een enkel, installeerbaar CD ISO-image van ongeveer 150 MB groot, alleen getagd voor de 32-bits (i586) instructiesetarchitectuur. Hoewel de distro zal opstarten en installeren op 64-bit-hardwareplatforms, accepteert deze alleen 32-bit-toepassingen.
Opstartopties
Het prachtig ontworpen en goed georganiseerde opstartmenu stelt u in staat om de distributie rechtstreeks en permanent op een lokale schijf te installeren. Bovendien kunt u het besturingssysteem in de tekstmodus installeren, een installatie zonder toezicht uitvoeren, een diagnostische geheugentest uitvoeren met het Memtest86 + -hulpprogramma en gedetailleerde hardware-informatie bekijken met het hardwaredetectietool (HDT).
Zeer eenvoudig te gebruiken installatieprogramma voor tekstmodus
Het volledige installatieproces is tekstgericht en vereist dat de gebruiker alleen een taal selecteert (ondersteunde talen zijn onder andere Engels, Turks, Pools, Russisch, Nederlands, Spaans, Frans en Duits), accepteer de licentie en partitioneer de schijf (ondersteunde bestandssystemen omvatten EXT2, EXT3, EXT4 en ReiserFS).
Na de installatie is het een must om een toetsenbordindeling en tijdzone te selecteren, de computernaam en domeinnaam in te voeren, een wachtwoord in te voeren voor de root (systeembeheerder) en beheerdersaccounts, en om het netwerk te configureren ( omvat instellingen voor DNS, gateway, IP-adres, stuurprogramma's en netwerkkaart).
Bottom line
Samenvattend, IPFire is een van 's werelds beste opensource firewall-distributies van Linux, ontworpen om de nieuwste firewall-, VPN-gateway- en proxy-servercomponenten te leveren. Het ontwerp is modulair en flexibel, wat betekent dat de functionaliteit kan worden uitgebreid via plug-ins.
Wat is nieuw in deze versie:
- Alleen-RAM-proxy:
- In sommige installaties kan het wenselijk zijn om de proxy-cache-objecten alleen in het geheugen en niet op de schijf te laten staan. Vooral wanneer de internetverbinding snel is en de opslag traag is, is dit het meest nuttig.
- De web-UI kan nu de grootte van de schijfcache op nul zetten, waardoor de schijfcache volledig wordt uitgeschakeld. Bedankt aan Daniel voor het werken hieraan.
- OpenVPN 2.4:
- IPFire is gemigreerd naar OpenVPN 2.4, dat nieuwe cijfers van de AES-GCM-klasse introduceert, waardoor de doorvoer op systemen met hardwareversnelling ervoor zal toenemen. De update brengt ook verschillende andere kleinere verbeteringen aan.
- Erik heeft gewerkt aan integratie, wat wat werk vereist onder de motorkap, maar compatibel is met eerdere configuraties voor zowel roadwarrior-verbindingen als net-tot-net-verbindingen.
- Verbeterde cryptografie:
- Cryptografie is een van de fundamenten voor een veilig systeem. We hebben de distributie bijgewerkt om de nieuwste versie van de OpenSSL-cryptografiebibliotheek (versie 1.1.0) te gebruiken. Dit wordt geleverd met een aantal nieuwe cijfers en er is een grootschalige herindeling van de codebasis uitgevoerd.
- Met deze wijziging hebben we besloten om SSLv3 volledig af te schrijven en de webgebruikersinterface vereist TLSv1.2, dat ook de standaard is voor vele andere services. We hebben een verharde lijst met coderingen geconfigureerd die alleen recente algoritmen gebruikt en volledig afgebroken of zwakke algoritmen zoals RC4, MD5 enzovoort verwijdert.
- Controleer vóór deze update of u op een van deze vertrouwt en upgrade uw afhankelijke systemen.
- Verschillende pakketten in IPFire moesten worden gepatcht om de nieuwe bibliotheek te kunnen gebruiken. Dit belangrijke werk was nodig om IPFire van de nieuwste cryptografie te voorzien, weg te migreren van verouderde algoritmen en te profiteren van nieuwe technologie. Bijvoorbeeld de ChaCha20-Poly1305 ciphersuite is beschikbaar die sneller presteert op mobiele apparaten.
- De oude versie van de OpenSSL-bibliotheek (1.0.2) is om compatibiliteitsredenen nog in het systeem aanwezig en zal nog een tijdje door ons worden onderhouden. Uiteindelijk zal dit volledig worden verwijderd, dus migreer alstublieft alle op maat gemaakte add-ons, anders dan met OpenSSL 1.0.2.
- Misc:
- Pakfire heeft nu geleerd welke mirrorservers HTTPS ondersteunen en neemt automatisch contact met hen op via HTTPS. Dit verbetert de privacy.
- We zijn ook begonnen met fase één van onze geplande rollover-omschakeling met Pakfire.
- Pad MTU Discovery is uitgeschakeld in het systeem. Dit heeft continu problemen veroorzaakt met de stabiliteit van IPsec-tunnels die paden hebben gekozen over netwerken die verkeerd zijn geconfigureerd.
- De QoS-sjabloon kan de bandbreedte verkeerd schatten die nu is vastgesteld dat de som van de gegarandeerde bandbreedte voor alle klassen niet hoger is dan 100%
- Bijgewerkte pakketten:
- bind 9.11.3, krul 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, niet geconsolideerd 1.7.0, vnstat 1.18
- Add-ons:
- Deze add-ons zijn bijgewerkt: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2
Wat is nieuw in versie:
- OpenSSL 1.0.2n:
- Eén bescheiden en één zwak beveiligingslek is gepatcht in OpenSSL 1.0.2n. Het officiële beveiligingsadvies is hier te vinden.
- IPsec:
- Het is nu mogelijk om de time-outtijd voor inactiviteit te definiëren wanneer een inactieve IPsec VPN-tunnel wordt gesloten
- Ondersteuning voor MODP-groepen met subgroepen is weggelaten
- Compressie is nu standaard uitgeschakeld omdat deze helemaal niet effectief is
- strongswan is bijgewerkt naar 5.6.1
- OpenVPN:
- Het is nu eenvoudiger om OpenVPN Roadwarrior-clients naar IPsec-VPN-netwerken te routeren door routes te kiezen in de configuratie van elke client. Dit maakt hub-and-spoke-ontwerpen eenvoudiger te configureren.
- Bouw toolchain:
- Sommige build-scripts zijn aangepast om het buildproces op te schonen en de toolchain is verplaatst van / tools naar / tools_ & lt; arch & gt;.
- nasm, the Net Assembler, is bijgewerkt naar 2.13.2
- Misc:
- SSL-compressie en SSL-sessiekaarten zijn uitgeschakeld in Apache. Dit zal de veiligheid van de webgebruikersinterface verbeteren.
- Op verschillende plaatsen is GeoIP-informatie beschikbaar waar IP-adressen worden getoond en die informatie handig is om te weten
- Het toevoegen van statische routes via de webgebruikersinterface is gerepareerd
- Sommige esthetische problemen op de captive portal-configuratiepagina's zijn opgelost en de captive portal werkt nu samen met de proxy in transparante modus
- Syslogging naar een verwijderingsserver kan nu worden geconfigureerd om TCP of UDP te gebruiken
- Add-ons:
- Samba is bijgewerkt om verschillende beveiligingsproblemen op te lossen
- mc is bijgewerkt naar 4.8.20
- nano is bijgewerkt naar 2.9.1
- sslscan, vsftpd en Pound zijn weggelaten omdat ze niet meer upstream worden onderhouden en niet compatibel zijn met OpenSSL 1.1.0
Wat is nieuw in versie 2.19 Core 116 / 3.0 Alpha 1:
- openssl 1.0.2m:
- Het OpenSSL-project heeft versie 1.0.2m uitgebracht en heeft de afgelopen week twee beveiligingsadviezen uitgebracht. De twee kwetsbaarheden die werden ontdekt waren van gemiddelde en lage beveiliging, maar we hebben besloten om u deze update zo snel mogelijk te verzenden. Daarom wordt aanbevolen om ook zo snel mogelijk te updaten.
- De meer ernstige kwetsbaarheid waarnaar wordt verwezen als CVE-2017-3736 lost een probleem op met moderne Intel Broadwell- en AMD Ryzen-processors waarbij OpenSSL een aantal moderne DMI1-, DMI2- en ADX-uitbreidingen gebruikt en de vierkantswortel verkeerd berekent. Dit zou kunnen worden uitgebuit door een aanvaller die in staat is om aanzienlijke middelen in te zetten om een privésleutel te recupereren, gemakkelijker nu deze aanval nog steeds vrijwel onhaalbaar wordt geacht door het OpenSSL-beveiligingsteam.
- Het minder ernstige beveiligingslek werd veroorzaakt door het overschrijven van certificaatgegevens wanneer een certificaat een verkeerd ingedeelde IPAddressFamily-extensie heeft. Dit kan ertoe leiden dat het certificaat in tekstindeling onjuist wordt weergegeven. Dit beveiligingslek wordt bijgehouden onder CVE-2017-3735.
- Misc:
- wget had ook last van twee beveiligingskwetsbaarheden waardoor een aanvaller willekeurige code kon uitvoeren. Ze worden gerefereerd onder CVE-2017-13089 en CVE-2017-13090.
- apache is bijgewerkt naar versie 2.4.29, die een aantal fouten repareert.
- snort is bijgewerkt naar versie 2.9.11.
- xz is ook bijgewerkt naar versie 5.2.3 die verschillende verbeteringen met zich meebrengt.
Wat is nieuw in versie 2.19 Core 113 / 3.0 Alpha 1:
- Wie is er online?:
- Wie is er online? (of kortweg WIO) is eindelijk gearriveerd op IPFire. Het is geport door de originele auteur Stephan Feddersen en Alex Marx en is beschikbaar als een gewoon add-on-pakket genaamd wio.
- Het is een ingebouwde bewakingsservice voor het lokale netwerk die laat zien welke apparaten zijn verbonden, welke online zijn en ook alarmen kunnen verzenden bij verschillende evenementen. Probeer het eens!
- Misc.
- De DNS-basissleutels zijn bijgewerkt om DNS na oktober 2017 te laten werken nadat de DNSSEC-sleutel is gewisseld
- Seriële consoles detecteren nu automatisch de baudrate nadat de kernel is opgestart
- Pakketupdates door Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, squid 3.5.26, niet-gebonden 1.6.4
- Add-Ons:
- iftop is bijgewerkt naar 1.0pre4 door Erik Kapfer
- Matthias Fischer bijgewerkt: hostapd 2.6, tor 0.3.0.10
Wat is nieuw in versie 2.19 Core 112 / 3.0 Alpha 1:
- Deze Core Update wordt voornamelijk geleverd met updates onder de motorkap. Core systeembibliotheken zijn bijgewerkt naar nieuwe hoofdversies en de buildtoolchain heeft belangrijke updates gekregen.
- Dit zijn:
- glibc 2,25
- GNU Compiler Collection 6.3.0
- binutils 2.29
- Python 2.7.13
- ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, zekering 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, madm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , niet-verbonden 1.6.3, util-linux 2.28.2
- Misc:
- openvpn (2.3.17) heeft recentelijk enkele beveiligingsupdates ontvangen.
- Een beveiligingslek met betrekking tot het uitvoeren van externe opdrachten in ids.cgi is afgesloten en kan worden gebruikt door geverifieerde gebruikers om shell-opdrachten uit te voeren met rechten van niet-superuser.
- Het is nu mogelijk om netwerken in de firewall te maken die een subnet zijn van een van de interne zones.
- De toolchain- en build-scripts zijn ook opgeschoond en verbeterd.
- De IPFire-netboot is bijgewerkt, zodat altijd de beste architectuur voor een systeem wordt gebruikt (d.w.z. de 64-bits versie wordt geïnstalleerd wanneer het systeem dit ondersteunt).
- Add-ons:
- Bijgewerkt:
- 7zip 16.02
- vogel 1.6.3
- cyrus-imapd 2.5.11
- iperf 2.0.9
- directfb 1.7.7
- freeradius 3.0.14
- monit 5.23.0
- miniupnpd luistert nu standaard op GROEN
- tmux 2.5
- tor 3.0.8
- Dropped:
- imspector en tcpick worden niet meer upstream onderhouden
Wat is nieuw in versie 2.19 Core 111 / 3.0 Alpha 1:
- WPA Enterprise-verificatie in Client-modus:
- De firewall kan zich nu authenticeren met een draadloos netwerk dat gebruikmaakt van Extensible Authentication Protocol (EAP). Deze worden vaak gebruikt in ondernemingen en vereisen een gebruikersnaam en wachtwoord om verbinding te maken met het netwerk.
- IPFire ondersteunt PEAP en TTLS, de twee meest voorkomende. Ze zijn te vinden in de configuratie op de "WiFi Client" -pagina die alleen verschijnt als de RODE interface een draadloos apparaat is. Deze pagina toont ook de status en protocollen die worden gebruikt om de verbinding tot stand te brengen.
- De indexpagina toont ook verschillende informatie over de status, bandbreedte en kwaliteit van de verbinding met een draadloos netwerk. Dat werkt ook voor draadloze netwerken die gebruikmaken van WPA / WPA2-PSK of WEP.
- QoS Multi-Queuing:
- De Quality of Service gebruikt nu alle CPU-kernen om verkeer in evenwicht te houden. Voorheen werd slechts één processorkern gebruikt die een langzamere verbinding veroorzaakte op systemen met zwakkere processors zoals de Intel Atom-serie, enz. Maar snelle Ethernet-adapters. Dit is nu veranderd, zodat één processor niet langer een flessenhals meer is.
- Nieuwe crypto-standaardwaarden:
- In veel delen van IPFire spelen cryptografische algoritmen een grote rol. Ze verouderen echter. Daarom hebben we de standaardinstellingen voor nieuwe systemen en voor nieuwe VPN-verbindingen gewijzigd in iets dat nieuwer is en dat als robuuster wordt beschouwd.
- IPsec:
- De nieuwste versie van strongSwan ondersteunt Curve 25519 voor de IKE- en ESP-voorstellen die nu ook beschikbaar is in IPFire en standaard is ingeschakeld.
- Het standaardvoorstel voor nieuwe verbindingen staat nu alleen de expliciet geselecteerde algoritmen toe die de veiligheid maximaliseren maar mogelijk een compatibiliteitsimpact hebben op oudere peers: SHA1 is weggelaten, SHA2 256 of hoger moet worden gebruikt; het groepstype moet een sleutel gebruiken met een lengte van 2048 bit of groter
- Omdat sommige mensen IPFire gebruiken in combinatie met oude apparatuur, is het nu toegestaan om MODP-768 te selecteren in de IKE- en ESP-voorstellen. Dit wordt beschouwd als gebroken en gemarkeerd als.
- OpenVPN:
- OpenVPN gebruikte SHA1 standaard voor integriteit en is nu gewijzigd in SHA512 voor nieuwe installaties. Helaas kan OpenVPN dit niet via de verbinding onderhandelen. Dus als u de SHA512 op een bestaand systeem wilt gebruiken, moet u ook alle clientverbindingen opnieuw downloaden.
- Er zijn verschillende markeringen toegevoegd om te benadrukken dat bepaalde algoritmen (bijvoorbeeld MD5 en SHA1) als gebroken of cryptografisch zwak worden beschouwd.
- Misc.
- IPsec VPN's worden weergegeven als "Verbinden" wanneer ze niet zijn vastgesteld, maar het systeem probeert
- Er is een beveiligingsfout opgelost waardoor het systeem is uitgeschakeld nadat de RODE interface als statisch was geconfigureerd
- De DNSSEC-status wordt nu correct weergegeven op alle systemen
- De volgende pakketten zijn bijgewerkt: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, bestand 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (alleen bugfixes), openvpn 2.3.16 die CVE-2017-7479 en CVE-2017-7478, pcre 8.40 repareert , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, unbound 1.6.2, unzip 60, vnstat 1.17
- Matthias Fischer heeft cosmetische wijzigingen doorgevoerd voor de sectie over firewall-logboeken
- Gabriel Rolland heeft de Italiaanse vertaling verbeterd
- Verschillende onderdelen van het buildsysteem zijn opgeruimd
- Add-ons:
- Nieuwe add-ons:
- ltrace: een hulpmiddel om bibliotheekaanroepen van een binair bestand te traceren
- Bijgewerkte invoegtoepassingen:
- De samba-add-on is hersteld vanwege een beveiligingsprobleem (CVE-2017-7494) waardoor een code op afstand op schrijfbare shares kon worden uitgevoerd.
- ipset 6.32
- libvirt 3.1.0 + python3-libvirt 3.6.1
- git 2.12.1
- nano 2.8.1
- netsnmpd die nu temperatuursensoren ondersteunt met behulp van lm_sensors
- nmap 7.40
- tor 0.3.0.7
Wat is nieuw in versie 2.19 Core 109 / 3.0 Alpha 1:
- DNS-correcties:
- De DNS-proxy die binnen IPFire werkt, is bijgewerkt naar niet-gebonden 1.6.0, die verschillende bugfixes met zich meebrengt. Daarom zijn QNAME-minimalisatie en -harding onder NX-domeinen opnieuw geactiveerd.
- Op het moment van opstarten controleert IPFire nu ook of een router voor IPFire DNS-reacties laat vallen die langer zijn dan een bepaalde drempel (sommige Cisco-apparaten doen dit om DNS te "verharden"). Als dit wordt gedetecteerd, valt de EDNS-buffergrootte bij verkleining die ongebonden maakt terug op TCP voor grotere responsen. Dit kan DNS enigszins vertragen, maar het blijft toch werken in die verkeerd geconfigureerde omgevingen.
- Misc:
- openssl is geüpdatet naar 1.0.2k die een aantal beveiligingsrisico's met "matige" ernst herstelt
- De kernel ondersteunt nu enkele nieuwere eMMC-modules
- Het back-upscript werkt nu betrouwbaarder op alle architecturen
- De netwerkscripts die MACVTAP-bridges hebben gemaakt voor virtualisatie, ondersteunen onder andere nu ook standaard 802.3-bridges
- De firewall-GUI heeft geen subnetten aangemaakt die een subnet waren van een van de standaardnetwerken die zijn gerepareerd
- Matthias Fischer heeft pakketupdates ingediend voor: bind 9.11.0-P2 met een aantal beveiligingsoplossingen, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP module 1.25, snort 2.9.9.0, squid 3.5.24 die lost verschillende bugs op, sysklogd 1.5.1, zlib 1.2.11
- Verder is libpng geüpdatet naar 1.2.57 die enkele beveiligingsrisico's herstelt
- Add-ons:
- Jonatan Schlag heeft Python 3 voor IPFire verpakt
- Hij heeft ook libvirt geüpdatet naar versie 2.5 en qemu naar versie 2.8
- Matthias Fischer heeft een aantal updates ingediend voor de volgende pakketten: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
- tor is bijgewerkt naar 0.2.9.9 die een aantal denial-of-service-kwetsbaarheden herstelt
- sarg is bijgewerkt naar 2.3.10
Wat is nieuw in versie 2.19 Core 108 / 3.0 Alpha 1:
- Asynchrone registratie:
- Asynchrone logboekregistratie is nu standaard ingeschakeld en niet meer configureerbaar. Hierdoor zijn sommige programma's die een groot aantal logberichten opschreven vertraagd en mogelijk niet meer reagerend op het netwerk, wat verschillende problemen veroorzaakt. Dit werd gezien op systemen met zeer trage flashmedia en virtuele omgevingen.
- Overig:
- Bij de controle die DNS-servers test op misconfiguraties werden sommige nameservers gevalideerd, hoewel ze niet en waarschijnlijk helemaal niet werkten. Dit is nu opgelost en systemen die gebruikmaken van deze kapotte naamservers moeten terugvallen naar de recursormodus.
- Er is een probleem opgelost in de firewall-GUI die het toevoegen van een IPsec VPN-verbinding en OpenVPN-verbinding met dezelfde naam aan een firewallgroep verbood.
- Kernpakketten bijgewerkt:
- strongswan is bijgewerkt naar versie 5.5.1 die verschillende fouten herstelt
- ntp is bijgewerkt naar versie 4.2.8p9 die verschillende beveiligingsproblemen oplost
- ddns is bijgewerkt naar versie 008
- Bijgewerkte invoegtoepassingen:
- nano, de teksteditor, is bijgewerkt naar versie 2.7.1
- tor, het anonimiteitsnetwerk, is bijgewerkt naar versie 0.2.8.10
Wat is nieuw in versie 2.19 Core 107 / 3.0 Alpha 1:
- Deze update patches de IPFire Linux-kernel tegen een recentelijk openbaar gemaakte kwetsbaarheid genaamd Dirty COW. Dit is een escalatiebom voor lokale privileges die kan worden gebruikt door een lokale aanvaller om rootprivileges te verkrijgen.
- Een volgende patch repareert Intel-processors met AES-NI, waarbij de hardware versleuteling ondersteunt met sleutellengten van 256 en 192 bits, maar niet goed is geïmplementeerd in de Linux-kernel
- Een correctie om de nieuwe ongebonden DNS-proxy in het loggedeelte van de webgebruikersinterface weer te geven
- hdparm 9.5.0 en libjpeg 1.5.1 zijn bijgewerkt
Wat is nieuw in versie 2.19 Core 105 / 3.0 Alpha 1:
- IPFire 2.19 Core Update 105 herstelt een aantal beveiligingsproblemen in twee cryptografische bibliotheken: openssl en libgcrypt. We raden aan om deze update zo snel mogelijk te installeren en het IPFire-systeem opnieuw op te starten om de update te voltooien.
Wat is nieuw in versie 2.19 Core 103 / 3.0 Alpha 1:
- Web Proxy-verbeteringen:
- De webproxy-inktvis is bijgewerkt naar de 3.5-serie en er zijn verschillende verbeteringen voor stabiliteit en prestaties aangebracht.
- Op machines met trage harde schijven of op installaties met zeer grote caches was het waarschijnlijk dat de cache-index beschadigd raakte toen de proxy werd afgesloten. Dit resulteerde na de volgende start in een onstabiele webproxy.
- De afsluitprocedure was verbeterd, zodat een cache-indexcorruptie nu zeer onwaarschijnlijk is. Daarnaast hebben we middelen geïnstalleerd waarmee we kunnen detecteren of de cache-index is beschadigd en zo ja, dat deze automatisch bij de volgende start opnieuw is opgebouwd. Deze update verwijdert de vermoedelijk beschadigde index op alle installaties en start een herbouw van de index, wat zou kunnen resulteren in een trage werking van de proxy voor een korte tijd na het installeren van de update.
- Misc:
- Herstel de setup-opdracht om correct meer dan 6 netwerkcontrollers weer te geven
- De tijdzone-database is bijgewerkt
- Over het algemeen toestaan underscores in domeinnamen
- Bijgewerkte pakketten: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, less 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
- Bijgewerkte invoegtoepassingen:
- 7zip 15.14.1
- clamav 0.99.2
- hostapd 2.5
- Midnight Commander 4.8.17
- nfs (zal portmap vervangen door rpcbind)
- tor 0.2.7.6
Wat is nieuw in versie 2.19 Core 102 / 3.0 Alpha 1:
Nieuw in IPFire 2.19 Core 101 (3 mei 2016)
Wat is nieuw in versie 2.19 Core 100 / 3.0 Alpha 1:
- Deze update brengt je IPFire 2.19 die we voor de eerste keer voor 64 bit op Intel (x86_64) uitbrengen. Deze release werd vertraagd door de verschillende beveiligingskwetsbaarheden in openssl en glibc, maar zit boordevol verbeteringen onder de motorkap en verschillende bugfixes.
- 64 bit:
- Er zal geen automatisch update-pad zijn van een 32-bits installatie naar een 64-bits installatie. Het is vereist om het systeem handmatig opnieuw te installeren voor degenen die willen wijzigen, maar een eerder gegenereerde back-up kan worden hersteld, zodat de hele procedure gewoonlijk minder dan een half uur in beslag neemt.
- Er zijn niet te veel voordelen ten opzichte van een 64-bits versie, behalve enkele kleine prestatieverbeteringen voor sommige gebruiksgevallen en natuurlijk de mogelijkheid om meer geheugen aan te bieden. IPFire kan tot 64 GB RAM op 32 bit adresseren, dus er is niet veel nodig om te migreren. We raden aan om 64-bits afbeeldingen te gebruiken voor nieuwe installaties en om te blijven met bestaande installaties zoals ze zijn.
- Kernel-update:
- Zoals bij alle belangrijke releases, wordt deze geleverd met een bijgewerkte Linux-kernel om fouten te verhelpen en de hardwarecompatibiliteit te verbeteren. Linux 3.14.65 met veel backported drivers van Linux 4.2 is ook sterker gehard tegen gewone aanvallen zoals stackbuffer overflows.
- Veel firmwareblobs voor draadloze kaarten en andere componenten zijn bijgewerkt net als de hardwaredatabase.
- Prestatiesproblemen met Hyper-V:
- Een backport van een recente versie van de Microsoft Hyper-V netwerkstuurprogrammamodule maakt het mogelijk om gegevens opnieuw met hogere snelheden over te zetten. Eerdere versies hadden slechts een zeer slechte doorvoer op sommige versies van Hyper-V.
- Firewallupdates:
- Het is nu mogelijk om bepaalde modules voor het volgen van verbindingen in of uit te schakelen. Deze Application Layer Gateway (ALG) -modules helpen bepaalde protocollen zoals SIP of FTP om met NAT te werken. Sommige VoIP-telefoons of PBX-systemen hebben daar problemen mee, zodat ze nu kunnen worden uitgeschakeld. Sommigen hebben ze nodig.
- De firewall is ook geoptimaliseerd om meer doorvoer mogelijk te maken met iets minder systeembronnen.
- Misc:
- Veel programma's en hulpmiddelen van de toolchain die zijn gebruikt, zijn bijgewerkt. Een nieuwe versie van de GNU Compiler Collections biedt efficiëntere code, sterkere verharding en compatibiliteit voor C ++ 11
- GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
- dnsmasq, de IPFire-interne DNS-proxy is bijgewerkt en er zijn veel instabiliteitsproblemen opgelost
- openvpn is bijgewerkt naar versie 2.3.7 en de gegenereerde configuratiebestanden zijn bijgewerkt om compatibel te zijn met aankomende versies van OpenVPN
- IPFire wacht nu met opstarten als de tijd moet worden gesynchroniseerd en DHCP wordt gebruikt totdat de verbinding tot stand is gebracht en vervolgens verder gaat met opstarten
- bind is bijgewerkt naar versie 9.10.3-P2
- ntp is bijgewerkt naar versie 4.2.8p5
- tzdata, de database voor tijdzonedefinities, is bijgewerkt naar versie 2016b
- Verschillende cosmetische fixes zijn gedaan op de webgebruikersinterface
- Er is een bug gerepareerd waardoor VLAN-apparaten niet worden gemaakt wanneer de bovenliggende NIC verschijnt
- DHCP-client: het opnieuw instellen van de MTU op gebroken NIC's die de koppeling kwijtraken is gerepareerd
- Een ramdisk voor het opslaan van de databases van de grafieken in de webgebruikersinterface wordt nu standaard opnieuw gebruikt op installaties die de flash-afbeelding gebruiken wanneer er meer dan 400 MB geheugen beschikbaar is
- Er is een probleem opgelost waarbij de Quality of Service niet kon worden gestopt
- Sommige oude code is opgeknapt en sommige ongebruikte code is weggelaten in sommige interne IPFire-componenten
- Add-ons:
- owncloud is bijgewerkt naar versie 7.0.11
- nano is bijgewerkt naar versie 2.5.1
- rsync is bijgewerkt naar versie 3.1.2
Wat is nieuw in versie 2.17 Core 98 / 3.0 Alpha 1:
- Vanwege een onlangs ontdekt beveiligingsprobleem in glibc, geven we deze Core-update vrij die een oplossing bevat voor CVE-2015-7547.
- De interface getaddrinfo () is glibc, de belangrijkste C-bibliotheek van het systeem, wordt gebruikt om namen om te zetten in IP-adressen met behulp van DNS. Een aanvaller kan het proces in het systeem dat dit verzoek uitvoert exploiteren door een te lang antwoord te verzenden dat een stackbufferoverloop veroorzaakt. Code kan mogelijk worden geïnjecteerd en uitgevoerd.
- IPFire kan echter niet direct worden misbruikt door dit beveiligingslek, omdat het een DNS-proxy gebruikt die DNS-antwoorden die te lang zijn, weigert. Dus IPFire zelf en alle systemen op het netwerk die IPFire gebruiken als DNS-proxy worden beschermd door de DNS-proxy. We hebben echter besloten zo snel mogelijk een patch voor dit beveiligingslek uit te zetten.
Wat is nieuw in versie 2.17 Core 94 / 3.0 Alpha 1:
- OpenSSH:
- OpenSSH is bijgewerkt naar versie 7.1p1. Daarmee hebben we ondersteuning toegevoegd voor elliptische curven (ECDSA en ED25519) en ondersteuning voor DSA verwijderd die als verbroken wordt beschouwd. Te kleine RSA-sleutels worden ook verwijderd en geregenereerd. Deze wijzigingen kunnen het nodig maken om de sleutels van het IPFire-systeem opnieuw op uw beheerderscomputer te importeren.
- Interne mailagent
- Er is een interne mailagent toegevoegd die door interne services wordt gebruikt om rapporten of waarschuwingen te verzenden. Tot nu toe gebruiken slechts een paar services dit (zoals de add-on squid-accounting), maar we verwachten in de toekomst meer dingen toe te voegen.
- Dit is een zeer eenvoudige en lichte e-mailagent die kan worden geconfigureerd op de webgebruikersinterface en waarvoor meestal een upstream mailserver nodig is.
- IPsec MOBIKE:
- Een nieuw selectievakje op de pagina met geavanceerde instellingen van een IPsec-verbinding is toegevoegd. Het maakt het mogelijk om met behulp van MOBIKE te dwingen, een technologie voor IPsec om NAT beter te doorkruisen. Soms kunnen er achter defecte routers IPsec-verbindingen tot stand worden gebracht, maar er kunnen geen gegevens worden overgedragen en de verbinding breekt zeer snel (sommige routers hebben moeite met het doorsturen van DPD-pakketten). MOBIKE omzeilt dat door UDP-poort 4500 te gebruiken voor IKE-berichten.
- Misc:
- Verplichte velden zijn nu gemarkeerd met een ster. Voorheen was dit andersom, zodat optionele velden werden gemarkeerd met een ster, die nergens anders meer op het web te zien is.
- Een maandelijkse geforceerde ddns-update wordt verwijderd, omdat ddns zelf zorgt voor het up-to-date houden van alle records en deze zo nodig na 30 dagen kan vernieuwen.
- fireinfo: sommige crashes zijn gerepareerd met ID's die alleen 0xff bevatten
- Bijgewerkte pakketten:
- bind 9.10.2-P4, coreutils 8.24, dnsmasq heeft de nieuwste wijzigingen geïmporteerd, bestand 5.24, glibc (beveiligingsoplossingen), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre (fixes voor meer buffer overflows), rrdtool 1.5.4, squid 3.4.14
Wat is nieuw in versie 2.17 Core 93 / 3.0 Alpha 1:
- DDNS Client Update:
- ddns, onze dynamische DNS-update-client, is bijgewerkt naar versie 008. Deze versie is robuuster tegen netwerkfouten op het pad en serverfouten bij de provider. Updates worden dan vaak opnieuw geprobeerd.
- De providers joker.com en DNSmadeEasy worden nu ondersteund
- Er is een crash gerepareerd tijdens het bijwerken van naamcheap-records
- Misc:
- Pakfire is gerepareerd en trekt nu correct extra afhankelijkheden aan van add-on-pakketten bij het updaten vanaf een oudere versie.
- TRIM is uitgeschakeld op sommige SSD's met bekende firmwarefouten die gegevensverlies veroorzaken.
- squid-accounting: verschillende typfouten in vertalingen corrigeren
- /etc/ipsec.user-post.conf wordt toegevoegd aan de back-up als deze bestaat
- Bijgewerkte pakketten:
- bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (verplaatst naar het kernsysteem vanaf de add-on), libpcap 1.7.4, nettle 3.1.1, pcre (fixes CVE -2015-5073), inktvis 3.4.14
- Add-ons:
- kopjes 2.0.4, maak 4.1, nano 2.4.2
Reacties niet gevonden