pfSense

Software screenshot:
pfSense
Software informatie:
Versie: 2.4.3-p1 Bijgewerkt
Upload datum: 22 Jun 18
Ontwikkelaar: Scott Ullrich
Licentie: Gratis
Populariteit: 2697

Rating: 3.8/5 (Total Votes: 9)

pfSense & reg; is een vrij verspreid en open source BSD-besturingssysteem afgeleid van het welbekende m0n0wall-project, maar met radicaal verschillende doelen zoals het gebruik van Packet Filter en de nieuwste FreeBSD-technologieën.

Het project kan zowel als router als firewall worden gebruikt. Het bevat een pakketsysteem waarmee systeembeheerders eenvoudig het product kunnen uitbreiden zonder potentiële beveiligingsrisico's en zwakte toe te voegen aan de basisdistributie.


Functies in één oogopslag

Belangrijkste functies zijn de state-of-the-art firewall, inkomende / uitgaande load balancing, statustabel, NAT (Network Address Translation), hoge beschikbaarheid, VPN (Virtual Private Network) met ondersteuning voor IPsec, PPTP en OpenVPN, PPPoE server, dynamische DNS, captive portal, rapportage en monitoring.

Het is een actief ontwikkeld firewallbesturingssysteem, gedistribueerd als gz-gearchiveerde Live CD en installatie-only ISO images, USB stick installers, evenals NanoBSD / embedded media. Zowel 64-bit (amd64) als 32-bit (i386) hardwareplatforms worden op dit moment ondersteund.

Verschillende vooraf gedefinieerde opstartopties zijn beschikbaar tijdens het opstartproces, zoals het opstarten van het besturingssysteem met standaardinstellingen, met ACPI uitgeschakeld, met behulp van USB-apparaten, in de veilige modus, in de modus voor één gebruiker, met uitgebreide logboeken, evenals met toegang krijgen tot een shell-prompt of de machine opnieuw opstarten.


Aan de slag met pfSense & reg;

Terwijl de distributie gebruikers vraagt ​​of ze VLAN's (Virtual LANs) vanaf het begin willen instellen, moet er ten minste één toegewezen netwerkinterface werken. Dit betekent dat als u ten minste één interface niet hebt / hebt ingesteld, pfSense & reg; zal zelfs niet starten.

Wordt gebruikt als een firewall voor kleine thuisnetwerken, universiteiten, grote bedrijven of andere organisaties waar de noodzaak om duizenden netwerkapparaten te beschermen uiterst belangrijk is, pfSense & reg; is sinds de start gedownload door meer dan een miljoen gebruikers over de hele wereld.


Bottom line

Het is een van de beste opensource-firewallprojecten die zijn ontwikkeld om gebruikers alle functies te bieden waarmee commerciële firewallproducten worden geleverd. Vandaag, pfSense & reg; wordt gebruikt in tal van hardwarefirewalloplossingen, waaronder Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall of Watchguard.

pfSense & reg; is een gedeponeerd handelsmerk en servicemerk in eigendom van Electric Sheep Fencing LLC. Zie www.electricsheepfencing.com.

Wat is nieuw in deze versie:

  • Beveiliging / Errata
  • Bijgewerkt tot OpenSSL 1.0.2m om CVE-2017-3736 en CVE-2017-3735 aan te pakken
  • FreeBSD-SA-17: 10.kldstat
  • FreeBSD-SA-17: 08.ptrace
  • Fixed a potential XSS vector in status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
  • Fixed a potential XSS vector in diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
  • Fixed a potential XSS vector on index.php via widget sequence parameters # 8000 pfSense-SA-17_09.webgui.asc
  • Fixed a potential XSS in de widgetkey parameter van multi-instantie dashboard-widgets # 7998 pfSense-SA-17_09.webgui.asc
  • Probleem met Clickjacking op de CSRF-foutpagina opgelost
  • Interfaces
  • Vaste PPP-interfaces met een VLAN-ouder bij gebruik van de nieuwe VLAN-namen # 7981
  • Problemen opgelost waarbij QinQ-interfaces niet als actief # 7942
  • werden weergegeven
  • Paniek / crash gerepareerd bij het uitschakelen van een LAGG-interface # 7940
  • Problemen opgelost waarbij LAGG-interfaces hun MAC-adres # 7928
  • kwijtraakten
  • Een crash in radvd verholpen op SG-3100 (ARM) # 8022
  • Probleem met UDP-pakketdruppels op SG-1000 # 7426
  • opgelost
  • Een interface toegevoegd om de ingebouwde switch op de SG-3100 te beheren
  • Meer tekens uit de interfacebeschrijving bijgesneden om het omwikkelen van uitvoermogelijkheden op het consolemenu op een VGA-console te vermijden
  • Vaste afhandeling van de VIP uniqueid-parameter bij het wijzigen van VIP-typen
  • Fixed PPP link parameter field display wanneer een VLAN bovenliggende interface werd geselecteerd # 8098
  • Besturingssysteem
  • Problemen opgelost als gevolg van een handmatig geconfigureerde bestandssysteemlay-out met een afzonderlijke / usr-slice # 8065
  • Problemen opgelost bij het updaten van ZFS-systemen gemaakt ZFS met behulp van een MBR-partitieschema (leeg / boot vanwege bootpool niet geïmporteerd) # 8063
  • Problemen met BGP-sessies opgelost met behulp van MD5 TCP-handtekeningen bij het routeren van daemonpakketten # 7969
  • Bijgewerkt dpinger naar 3.0
  • Verbeterd de keuzes en methoden van de repositoryselectie van de repository
  • De systeemtunables bijgewerkt die aangeven dat het OS geen gegevens verzamelt van interrupts, point-to-point-interfaces en Ethernet-apparaten om de nieuwe naam / indeling voor FreeBSD 11 weer te geven
  • Gewijzigde verwerking van regelsets zodat deze opnieuw wordt geprobeerd als een ander proces midden in een update staat, in plaats van een fout voor te leggen aan de gebruiker
  • Enkele opstartproblemen van UEFI op verschillende platforms opgelost
  • Certificaten
  • Fixed ongeldige ingangen in /etc/ssl/openssl.cnf (alleen beïnvloed niet-standaard gebruik van openssl in de cli / shell) # 8059
  • LDAP-verificatie is opgelost wanneer de server een wereldwijd vertrouwde basis-CA gebruikt (nieuwe CA-selectie voor & quot; Global Root CA List & quot;) # 8044
  • Problemen opgelost bij het maken van een certificaat met een joker CN / SAN # 7994
  • Validatie toegevoegd aan de Certificate Manager om te voorkomen dat een niet-certificaatautoriteitcertificaat werd geïmporteerd in CA-tabblad # 7885
  • IPsec
  • Probleem opgelost met behulp van IPsec CA-certificaten wanneer het onderwerp meerdere RDN's van hetzelfde type # 7929 bevat
  • Probleem verholpen met het inschakelen van IPsec-ondersteuning voor mobiele clients in vertaalde talen # 8043
  • Problemen met IPsec-statusweergave / -uitvoer opgelost, waaronder meerdere vermeldingen (één verbroken, één verbonden) # 8003
  • Vaste weergave van meerdere verbonden mobiele IPsec-clients # 7856
  • Vaste weergave van onderliggende SA-vermeldingen # 7856
  • OpenVPN
  • Een optie toegevoegd voor OpenVPN-servers om & quot; redirect-gateway ipv6 & quot; om op te treden als de standaardgateway voor het verbinden van VPN-clients met IPv6, vergelijkbaar met & quot; redirect-gateway def1 & quot; voor IPv4. # 8082
  • De lijst met intrekkingslijst voor OpenVPN Client Certificate # 8088
  • is opgelost
  • Verkeervormen
  • Er is een fout opgelost bij het configureren van een limiter over 2 Gb / s (nieuwe max is 4 Gb / s) # 7979
  • Problemen met bridge-netwerkinterfaces opgelost die geen ALTQ # 7936 ondersteunen
  • Problemen met vtnet-netwerkinterfaces opgelost die geen ALTQ # 7594 ondersteunen
  • Er is een probleem opgelost met Status & gt; Wachtrijen tonen geen statistieken voor VLAN-interfaces # 8007
  • Er is een probleem opgelost met verkeervormende wachtrijen waardoor het totale aantal wachtrijen voor kinderen niet 100% # 7786
  • is
  • Probleem opgelost waarbij limiters ongeldige fractionele / niet-gehele waarden kregen van beperkende items of zijn doorgegeven aan Captive Portal van RADIUS # 8097
  • Regels / NAT
  • Vaste selectie van IPv6-gateways bij het maken van een nieuwe firewallregel # 8053
  • Fouten verholpen op de configuratiepagina Poort doorsturen die het resultaat is van oude / niet-pfSense cookie / querygegevens # 8039
  • Vaste instelling VLAN Priority via firewallregels # 7973
  • XMLRPC
  • Probleem opgelost met XMLRPC-synchronisatie wanneer de synchronisatie-gebruiker een wachtwoord heeft met spaties # 8032
  • Fixed XMLRPC-problemen met Captive Portal-vouchers # 8079
  • WebGUI
  • Een optie toegevoegd om HSTS uit te schakelen voor de GUI-webserver # 6650
  • De GUI-webservice gewijzigd om rechtstreekse download van .inc-bestanden # 8005
  • te blokkeren
  • Vaste sortering van Services op de dashboardwidget en Servicesstatuspagina # 8069
  • Probleem met een invoer opgelost waar statische IPv6-vermeldingen ongeldige invoer toestonden voor adresvelden # 8024
  • Een JavaScript-syntaxisfout opgelost in verkeersgrafieken wanneer ongeldige gegevens worden aangetroffen (bijvoorbeeld de gebruiker werd afgemeld of de sessie werd gewist) # 7990
  • Fixed sampling errors in verkeersgrafieken # 7966
  • JavaScript-fout opgelost op Status & gt; Monitoring # 7961
  • Een weergaveprobleem met lege tabellen op Internet Explorer 11 # 7978
  • opgelost
  • Configuratiewijzigingen gewijzigd om een ​​uitzondering te gebruiken in plaats van te sterven () wanneer een beschadigde configuratie wordt gedetecteerd
  • Filtering toegevoegd aan de pfTop-pagina
  • Een middel toegevoegd voor pakketten om een ​​modaal voor de gebruiker weer te geven (bijvoorbeeld opnieuw opstarten vereist voordat pakket kan worden gebruikt)
  • Dashboard
  • Vaste weergave van beschikbare updates op de widget Dashboard voor geïnstalleerde pakketten # 8035
  • Probleem met het lettertype opgelost in de widget Widget voor ondersteuning # 7980
  • Opmaak van schijfschijven / partities in de widget Systeeminformatie Dashboard
  • gerepareerd
  • Er is een probleem opgelost met de widget Afbeeldingen wanneer er geen geldige afbeelding is opgeslagen # 7896
  • Packages
  • Vaste weergave van pakketten die uit de repository zijn verwijderd in Package Manager # 7946
  • Probleem verholpen waarbij lokaal geïnstalleerde pakketten worden weergegeven wanneer de externe pakketrepository niet beschikbaar is # 7917
  • Misc
  • Vaste interface binding in ntpd zodat het niet per ongeluk op alle interfaces luistert # 8046
  • Probleem opgelost waarbij het herstarten van de syslogd-service sshlockout_pf weeskinderen # 7984 zou maken
  • Ondersteuning toegevoegd voor de ClouDNS dynamische DNS-provider # 7823
  • Probleem verholpen in de pagina's Gebruikers en Groepsbeheer bij het werken aan items direct na het verwijderen van een item # 7733
  • De installatiewizard gewijzigd zodat de interfaceconfiguratie wordt overgeslagen wanneer deze wordt uitgevoerd op een AWS EC2-instantie # 6459
  • Probleem met IGMP-proxy opgelost met de modus All-multicast op SG-1000 # 7710

Wat is nieuw in versie:

  • Dashboard-updates:
  • Op het 2.3.4-RELEASE-dashboard vindt u enkele extra informatie: de BIOS-leverancier, versie en releasedatum - als de firewall deze kan bepalen - en een Netgate Unieke ID. De unieke Un ID van Netgate is vergelijkbaar met een serienummer, het wordt gebruikt om een ​​instantie van pfSense-software uniek te identificeren voor klanten die ondersteunende diensten willen aanschaffen. Voor hardware die in onze winkel wordt verkocht, kunnen we ook eenheden aan onze productierecords koppelen. Deze ID is consistent op alle platforms (bare metal, virtuele machines en gehoste / cloud-instanties zoals AWS / Azure). Oorspronkelijk waren we van plan om het hardwareserienummer of de UUID te gebruiken die door het besturingssysteem werden gegenereerd, maar we ontdekten dat deze niet betrouwbaar, inconsistent waren en onverwacht konden worden gewijzigd toen het besturingssysteem opnieuw werd geïnstalleerd.
  • Net als bij het serienummer wordt deze ID alleen op het Dashboard weergegeven voor informatiedoeleinden en wordt standaard niet overal automatisch verzonden. In de toekomst kunnen klanten deze ID gebruiken bij het aanvragen van ondersteuningsinformatie van onze medewerkers of systemen.
  • Als je de wijzigingen in 2.3.x nog niet hebt ingehaald, bekijk dan de video over functies en hoogtepunten. Eerdere blogberichten hebben enkele van de wijzigingen behandeld, zoals de prestatieverbeteringen van tryforward en de webGUI-update.
  • Firewall GUI-certificaten:
  • Gebruikers van Chrome 58 en hoger, en in sommige gevallen Firefox 48 en later, hebben mogelijk problemen met de pfSense Web GUI als deze een standaard zelfondertekend certificaat gebruiken dat automatisch wordt gegenereerd door een firewall met pfSense-versie 2.3.3-p1 of eerder. Dit komt omdat Chrome 58 RFC 2818 strikt handhaaft, waarbij alleen hostnamen met namen van Subject Alternative Name (SAN) worden aangevraagd in plaats van het veld Common Name van een certificaat en het standaard zelfondertekende certificaat het SAN-veld niet invult.
  • We hebben de certificaatcode gecorrigeerd om RFC 2818 correct te volgen op een gebruiksvriendelijke manier door automatisch de waarde Common Name van het certificaat toe te voegen als het eerste SAN-item.
  • Firewallbeheerders moeten een nieuw certificaat genereren voor gebruik door de GUI om het nieuwe formaat te gebruiken. Er zijn verschillende manieren om een ​​compatibel certificaat te genereren, waaronder:
  • Genereer en activeer automatisch een nieuw GUI-certificaat vanuit de console of SSsh-shell met behulp van een van onze afspeelscripts:
  • pfSsh.php afspelen generateguicert
  • Gebruik het ACME-pakket om een ​​vertrouwd certificaat voor de GUI te genereren via Let's Encrypt, dat al correct is opgemaakt.
  • Maak handmatig een nieuwe zelfondertekende certificeringsinstantie (CA) en een servercertificaat ondertekend door die CA en gebruik die vervolgens voor de GUI.
  • Activeer de lokale browser & quot; EnableCommonNameFallbackForLocalAnchors & quot; optie in Chrome 58. Deze instelling wordt uiteindelijk door Chrome verwijderd, dus dit is slechts een tijdelijke oplossing.
  • Sommige gebruikers herinneren zich mogelijk dat dit niet de eerste keer is dat de standaardcertificaatindeling problematisch is vanwege browserwijzigingen. Verscheidene jaren geleden veranderde Firefox de manier waarop zij certificaatvertrouwensketens berekenen, waardoor een browser zou kunnen bevriezen of vastlopen bij pogingen om toegang te krijgen tot meerdere firewalls met zelfondertekende certificaten die gemeenschappelijke standaardgegevens bevatten, wat resulteerde in alle dergelijke certificaten die hetzelfde onderwerp bevatten. Opspannen was meer een uitdaging, maar het resulteerde in een veel betere eindgebruikerservaring.

Wat is nieuw in versie 2.3.4:

  • Dashboard-updates:
  • Op het 2.3.4-RELEASE-dashboard vindt u enkele extra informatie: de BIOS-leverancier, versie en releasedatum - als de firewall deze kan bepalen - en een Netgate Unieke ID. De unieke Un ID van Netgate is vergelijkbaar met een serienummer, het wordt gebruikt om een ​​instantie van pfSense-software uniek te identificeren voor klanten die ondersteunende diensten willen aanschaffen. Voor hardware die in onze winkel wordt verkocht, kunnen we ook eenheden aan onze productierecords koppelen. Deze ID is consistent op alle platforms (bare metal, virtuele machines en gehoste / cloud-instanties zoals AWS / Azure). Oorspronkelijk waren we van plan om het hardwareserienummer of de UUID te gebruiken die door het besturingssysteem werden gegenereerd, maar we ontdekten dat deze niet betrouwbaar, inconsistent waren en onverwacht konden worden gewijzigd toen het besturingssysteem opnieuw werd geïnstalleerd.
  • Net als bij het serienummer wordt deze ID alleen op het Dashboard weergegeven voor informatiedoeleinden en wordt standaard niet overal automatisch verzonden. In de toekomst kunnen klanten deze ID gebruiken bij het aanvragen van ondersteuningsinformatie van onze medewerkers of systemen.
  • Als je de wijzigingen in 2.3.x nog niet hebt ingehaald, bekijk dan de video over functies en hoogtepunten. Eerdere blogberichten hebben enkele van de wijzigingen behandeld, zoals de prestatieverbeteringen van tryforward en de webGUI-update.
  • Firewall GUI-certificaten:
  • Gebruikers van Chrome 58 en hoger, en in sommige gevallen Firefox 48 en later, hebben mogelijk problemen met de pfSense Web GUI als deze een standaard zelfondertekend certificaat gebruiken dat automatisch wordt gegenereerd door een firewall met pfSense-versie 2.3.3-p1 of eerder. Dit komt omdat Chrome 58 RFC 2818 strikt handhaaft, waarbij alleen hostnamen met namen van Subject Alternative Name (SAN) worden aangevraagd in plaats van het veld Common Name van een certificaat en het standaard zelfondertekende certificaat het SAN-veld niet invult.
  • We hebben de certificaatcode gecorrigeerd om RFC 2818 correct te volgen op een gebruiksvriendelijke manier door automatisch de waarde Common Name van het certificaat toe te voegen als het eerste SAN-item.
  • Firewallbeheerders moeten een nieuw certificaat genereren voor gebruik door de GUI om het nieuwe formaat te gebruiken. Er zijn verschillende manieren om een ​​compatibel certificaat te genereren, waaronder:
  • Genereer en activeer automatisch een nieuw GUI-certificaat vanuit de console of SSsh-shell met behulp van een van onze afspeelscripts:
  • pfSsh.php afspelen generateguicert
  • Gebruik het ACME-pakket om een ​​vertrouwd certificaat voor de GUI te genereren via Let's Encrypt, dat al correct is opgemaakt.
  • Maak handmatig een nieuwe zelfondertekende certificeringsinstantie (CA) en een servercertificaat ondertekend door die CA en gebruik die vervolgens voor de GUI.
  • Activeer de lokale browser & quot; EnableCommonNameFallbackForLocalAnchors & quot; optie in Chrome 58. Deze instelling wordt uiteindelijk door Chrome verwijderd, dus dit is slechts een tijdelijke oplossing.
  • Sommige gebruikers herinneren zich mogelijk dat dit niet de eerste keer is dat de standaardcertificaatindeling problematisch is vanwege browserwijzigingen. Verscheidene jaren geleden veranderde Firefox de manier waarop zij certificaatvertrouwensketens berekenen, waardoor een browser zou kunnen bevriezen of vastlopen bij pogingen om toegang te krijgen tot meerdere firewalls met zelfondertekende certificaten die gemeenschappelijke standaardgegevens bevatten, wat resulteerde in alle dergelijke certificaten die hetzelfde onderwerp bevatten. Opspannen was meer een uitdaging, maar het resulteerde in een veel betere eindgebruikerservaring.

Wat is nieuw in versie 2.3.3-p1:

  • FreeBSD-SA-16: 26.openssl - Meerdere kwetsbaarheden in OpenSSL. De enige significante impact op pfSense is OCSP voor HAproxy en FreeRADIUS.
  • Verschillende HyperV-gerelateerde Errata in FreeBSD 10.3, FreeBSD-NL-16: 10 tot 16:16. Zie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html voor details.
  • Verschillende ingebouwde pakketten en bibliotheken zijn bijgewerkt, waaronder:
  • PHP tot 5.6.26
  • libidn tot 1,33
  • krullen naar 7.50.3
  • libxml2 t / m 2.9.4
  • Codering toegevoegd aan de parameter 'zone' op Captive Portal-pagina's.
  • Uitvoercodering toegevoegd aan diag_dns.php voor resultaten van DNS. # 6737
  • Heeft een bug rond Chrome doorlopen met reguliere expressie-parsen van tekens met escapecodes in tekensets. Oplossingen & quot; Vergelijk het gewenste formaat & quot; op recente Chrome-versies. # 6762
  • Vaste DHCPv6-servertijdnotatieoptie # 6640
  • Fixed / usr / bin / install ontbreekt in nieuwe installaties. # 6643
  • Verhoogde filterlimiet voor logboekregistratie, zodat bij het zoeken voldoende vermeldingen worden gevonden. # 6652
  • Gereedgemaakte installatiepakketten-widget en HTML verwijderd. # 6601
  • Vaste instellingen voor widgetinstellingen bij het maken van nieuwe instellingen. # 6669
  • Diverse typfouten en formulatiefouten hersteld.
  • Verwijderd links naar de devwiki-site verwijderd. Alles staat nu op https://doc.pfsense.org.
  • Veld toegevoegd aan CA / Cert-pagina's voor OU, hetgeen vereist is door sommige externe CA's en gebruikers. # 6672
  • Vaste redundante HTTP & quot; User-Agent & quot; string in DynDNS updates.
  • Het lettertype voor sorteerbare tabellen opgelost.
  • Controle toegevoegd om te controleren of een interface actief is in een gatewaygroep voordat dynamische DNS wordt bijgewerkt.
  • Vaste tekst van de & quot; Weigeren van & quot; optie voor een DHCP-interface (deze kan alleen adressen aannemen, geen subnetten.) # 6646
  • Foutrapportage voor SMTP-instellingen getest.
  • Vaste besparingen van land-, provider- en planvalies voor PPP-interfaces
  • Vaste controle van ongeldig & quot; Ga naar regel & quot; nummers op diag_edit.php. # 6704
  • Vaste eenmalige fout opgelost met & quot; Rows to Display & quot; op diag_routes.php. # 6705
  • Vaste beschrijving van het filtervak ​​op diag_routes.php om aan te geven dat alle velden doorzoekbaar zijn. # 6706
  • Vaste beschrijving van het vak voor het bestand dat moet worden bewerkt op diag_edit.php. # 6703
  • Vaste beschrijving van het hoofdvenster op diag_reetstate.php. # 6709
  • Vaste waarschuwingsdialoog wanneer een vakje niet is aangevinkt op diag_reetstate.php. # 6710
  • Vaste log-snelkoppeling voor DHCP6-gebieden. # 6700
  • De knop voor het verwijderen van het netwerk verholpen die aangeeft wanneer slechts één rij aanwezig was op services_unbound_acls.php # 6716
  • Probleem met het verdwijnen van Help op herhaalbare rijen opgelost toen de laatste rij werd verwijderd. # 6716
  • Vast dynamisch DNS-domein voor DHCP-vermeldingen van statische kaart
  • Beheer toegevoegd om de vernieuwingsperiode van dashboardwidgets in te stellen
  • Toegevoegd & quot; -C / dev / null & quot; naar de dnsmasq opdrachtregelparameters om te voorkomen dat het een onjuiste standaardconfiguratie oppikt die onze opties zou overschrijven. # 6730
  • Toegevoegd & quot; -l & quot; naar traceroute6 om zowel IP-adressen als hostnamen te tonen bij het oplossen van hops op diag_traceroute.php. # 6715
  • Opmerking toegevoegd over maximale ttl / hoplimiet in broncommentaar op diag_traceroute.php.
  • Verhelderde taal op diag_tables.php. # 6713
  • De tekst op diag_sockets.php opgeschoond. # 6708
  • Vaste weergave van VLAN-interfacenamen tijdens consoletoewijzing. # 6724
  • Vaste domeinnaam-serversoptie die tweemaal wordt weergegeven in pools wanneer deze handmatig wordt ingesteld.
  • Vaste afhandeling van DHCP-opties in andere pools dan het hoofdbereik. # 6720
  • In sommige gevallen zijn de hostnamen vervangen door dhcpdv6. # 6589
  • Verbeterde pid-bestandsafhandeling voor DHCP's.
  • Controles toegevoegd om toegang tot een ongedefinieerde offset in IPv6.inc.
  • te voorkomen
  • De weergave van de aliaspop-up en de bewerkingsopties op de bron en bestemming voor zowel het adres als de poort op de uitgaande NAT verholpen.
  • Vaste afhandeling van het tellen van back-upconfiguraties. # 6771
  • Enkele loshangende PPTP-verwijzingen verwijderd die niet langer relevant zijn.
  • Syslog-gebieden op afstand verrijkt / ingehaald. Toegevoegd & quot; routering & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; resolver & quot ;, fixed & quot; vpn & quot; & quot; om alle VPN-gebieden (IPsec, OpenVPN, L2TP, PPPoE Server) op te nemen. # 6780
  • Vaste selectievakjes in sommige gevallen verholpen bij het toevoegen van rijen op services_ntpd.php. # 6788
  • Herziene service met draaiende / stopgezette pictogrammen.
  • Controle toegevoegd aan CRL-beheer om certificaten uit de vervolgkeuzelijst te verwijderen die al zijn opgenomen in de CRL die wordt bewerkt.
  • Vaste regelscheidingstekens verplaatsen wanneer meerdere firewallregels tegelijkertijd worden verwijderd. # 6801

Wat is nieuw in versie 2.3.3:

  • FreeBSD-SA-16: 26.openssl - Meerdere kwetsbaarheden in OpenSSL. De enige significante impact op pfSense is OCSP voor HAproxy en FreeRADIUS.
  • Verschillende HyperV-gerelateerde Errata in FreeBSD 10.3, FreeBSD-NL-16: 10 tot 16:16. Zie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html voor details.
  • Verschillende ingebouwde pakketten en bibliotheken zijn bijgewerkt, waaronder:
  • PHP tot 5.6.26
  • libidn tot 1,33
  • krullen naar 7.50.3
  • libxml2 t / m 2.9.4
  • Codering toegevoegd aan de parameter 'zone' op Captive Portal-pagina's.
  • Uitvoercodering toegevoegd aan diag_dns.php voor resultaten van DNS. # 6737
  • Heeft een bug rond Chrome doorlopen met reguliere expressie-parsen van tekens met escapecodes in tekensets. Oplossing "Vergelijk de gevraagde indeling" in recente Chrome-versies. # 6762
  • Vaste DHCPv6-servertijdnotatieoptie # 6640
  • Fixed / usr / bin / install ontbreekt in nieuwe installaties. # 6643
  • Verhoogde filterlimiet voor logboekregistratie, zodat bij het zoeken voldoende vermeldingen worden gevonden. # 6652
  • Gereedgemaakte installatiepakketten-widget en HTML verwijderd. # 6601
  • Vaste instellingen voor widgetinstellingen bij het maken van nieuwe instellingen. # 6669
  • Diverse typfouten en formuleringsfouten opgelost.
  • Verwijderd links naar de devwiki-site verwijderd. Alles staat nu op https://doc.pfsense.org.
  • Veld toegevoegd aan CA / Cert-pagina's voor OU, hetgeen vereist is door sommige externe CA's en gebruikers. # 6672
  • Een redundante HTTP-string "User-Agent" opgelost in DynDNS-updates.
  • Het lettertype voor sorteerbare tabellen opgelost.
  • Controle toegevoegd om te controleren of een interface actief is in een gatewaygroep voordat dynamische DNS wordt bijgewerkt.
  • Vaste tekst van de optie "Weiger leases van" voor een DHCP-interface (deze kan alleen adressen aannemen, geen subnetten.) # 6646
  • Foutrapportage voor SMTP-instellingen getest.
  • Vaste besparingen van land-, provider- en planvalies voor PPP-interfaces
  • Vaste controle van ongeldige "Go To Line" -nummers op diag_edit.php. # 6704
  • Vaste eenmalige fout opgelost met "Rows to Display" op diag_routes.php. # 6705
  • Vaste beschrijving van het filtervak ​​op diag_routes.php om aan te geven dat alle velden doorzoekbaar zijn. # 6706
  • Vaste beschrijving van het vak voor het bestand dat moet worden bewerkt op diag_edit.php. # 6703
  • Vaste beschrijving van het hoofdvenster op diag_reetstate.php. # 6709
  • Vaste waarschuwingsdialoog wanneer een vakje niet is aangevinkt op diag_reetstate.php. # 6710
  • Vaste log-snelkoppeling voor DHCP6-gebieden. # 6700
  • De knop voor het verwijderen van het netwerk verholpen die aangeeft wanneer slechts één rij aanwezig was op services_unbound_acls.php # 6716
  • Probleem met het verdwijnen van Help op herhaalbare rijen opgelost toen de laatste rij werd verwijderd. # 6716
  • Vast dynamisch DNS-domein voor DHCP-vermeldingen van statische kaart
  • Beheer toegevoegd om de vernieuwingsperiode van dashboardwidgets in te stellen
  • "-C / dev / null" toegevoegd aan de dnsmasq opdrachtregelparameters om te voorkomen dat het een onjuiste standaardconfiguratie oppikt die onze opties zou overschrijven. # 6730
  • "-l" toegevoegd aan traceroute6 om zowel IP-adressen als hostnamen te tonen bij het oplossen van hops op diag_traceroute.php. # 6715
  • Opmerking toegevoegd over maximale ttl / hoplimiet in broncommentaar op diag_traceroute.php.
  • Verhelderde taal op diag_tables.php. # 6713
  • De tekst op diag_sockets.php opgeschoond. # 6708
  • Vaste weergave van VLAN-interfacenamen tijdens consoletoewijzing. # 6724
  • Vaste domeinnaam-serversoptie die tweemaal wordt weergegeven in pools wanneer deze handmatig wordt ingesteld.
  • Vaste afhandeling van DHCP-opties in andere pools dan het hoofdbereik. # 6720
  • In sommige gevallen zijn de hostnamen vervangen door dhcpdv6. # 6589
  • Verbeterde pid-bestandsafhandeling voor DHCP's.
  • Controles toegevoegd om te voorkomen dat toegang wordt verkregen tot een niet-gedefinieerde offset in IPv6.inc.
  • De weergave van de aliaspop-up en de bewerkingsopties op de bron en bestemming voor zowel het adres als de poort op de uitgaande NAT verholpen.
  • Vaste afhandeling van het tellen van back-upconfiguraties. # 6771
  • Enkele loshangende PPTP-verwijzingen verwijderd die niet langer relevant zijn.
  • Syslog-gebieden op afstand verrijkt / ingehaald. "Routing", "ntpd", "ppp", "resolver", fixed "vpn" toegevoegd om alle VPN-gebieden (IPsec, OpenVPN, L2TP, PPPoE Server) op te nemen. # 6780
  • Vaste selectievakjes in sommige gevallen verholpen bij het toevoegen van rijen op services_ntpd.php. # 6788
  • Herziene service met draaiende / stopgezette pictogrammen.
  • Controle toegevoegd aan CRL-beheer om certificaten uit de vervolgkeuzelijst te verwijderen die al zijn opgenomen in de CRL die wordt bewerkt.
  • Vaste regelscheidingstekens verplaatsen wanneer meerdere firewallregels tegelijkertijd worden verwijderd. # 6801

Wat is nieuw in versie 2.3.2-p1:

  • FreeBSD-SA-16: 26.openssl - Meerdere kwetsbaarheden in OpenSSL. De enige significante impact op pfSense is OCSP voor HAproxy en FreeRADIUS.
  • Verschillende HyperV-gerelateerde Errata in FreeBSD 10.3, FreeBSD-NL-16: 10 tot 16:16. Zie https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html voor details.
  • Verschillende ingebouwde pakketten en bibliotheken zijn bijgewerkt, waaronder:
  • PHP tot 5.6.26
  • libidn tot 1,33
  • krullen naar 7.50.3
  • libxml2 t / m 2.9.4
  • Codering toegevoegd aan de parameter 'zone' op Captive Portal-pagina's.
  • Uitvoercodering toegevoegd aan diag_dns.php voor resultaten van DNS. # 6737
  • Heeft een bug rond Chrome doorlopen met reguliere expressie-parsen van tekens met escapecodes in tekensets. Oplossing "Vergelijk de gevraagde indeling" in recente Chrome-versies. # 6762
  • Vaste DHCPv6-servertijdnotatieoptie # 6640
  • Fixed / usr / bin / install ontbreekt in nieuwe installaties. # 6643
  • Verhoogde filterlimiet voor logboekregistratie, zodat bij het zoeken voldoende vermeldingen worden gevonden. # 6652
  • Gereedgemaakte installatiepakketten-widget en HTML verwijderd. # 6601
  • Vaste instellingen voor widgetinstellingen bij het maken van nieuwe instellingen. # 6669
  • Diverse typfouten en formuleringsfouten opgelost.
  • Verwijderd links naar de devwiki-site verwijderd. Alles staat nu op https://doc.pfsense.org.
  • Veld toegevoegd aan CA / Cert-pagina's voor OU, hetgeen vereist is door sommige externe CA's en gebruikers. # 6672
  • Een redundante HTTP-string "User-Agent" opgelost in DynDNS-updates.
  • Het lettertype voor sorteerbare tabellen opgelost.
  • Controle toegevoegd om te controleren of een interface actief is in een gatewaygroep voordat dynamische DNS wordt bijgewerkt.
  • Vaste tekst van de optie "Weiger leases van" voor een DHCP-interface (deze kan alleen adressen aannemen, geen subnetten.) # 6646
  • Foutrapportage voor SMTP-instellingen getest.
  • Vaste besparingen van land-, provider- en planvalies voor PPP-interfaces
  • Vaste controle van ongeldige "Go To Line" -nummers op diag_edit.php. # 6704
  • Vaste eenmalige fout opgelost met "Rows to Display" op diag_routes.php. # 6705
  • Vaste beschrijving van het filtervak ​​op diag_routes.php om aan te geven dat alle velden doorzoekbaar zijn. # 6706
  • Vaste beschrijving van het vak voor het bestand dat moet worden bewerkt op diag_edit.php. # 6703
  • Vaste beschrijving van het hoofdvenster op diag_reetstate.php. # 6709
  • Vaste waarschuwingsdialoog wanneer een vakje niet is aangevinkt op diag_reetstate.php. # 6710
  • Vaste log-snelkoppeling voor DHCP6-gebieden. # 6700
  • De knop voor het verwijderen van het netwerk verholpen die aangeeft wanneer slechts één rij aanwezig was op services_unbound_acls.php # 6716
  • Probleem met het verdwijnen van Help op herhaalbare rijen opgelost toen de laatste rij werd verwijderd. # 6716
  • Vast dynamisch DNS-domein voor DHCP-vermeldingen van statische kaart
  • Beheer toegevoegd om de vernieuwingsperiode van dashboardwidgets in te stellen
  • "-C / dev / null" toegevoegd aan de dnsmasq opdrachtregelparameters om te voorkomen dat het een onjuiste standaardconfiguratie oppikt die onze opties zou overschrijven. # 6730
  • "-l" toegevoegd aan traceroute6 om zowel IP-adressen als hostnamen te tonen bij het oplossen van hops op diag_traceroute.php. # 6715
  • Opmerking toegevoegd over maximale ttl / hoplimiet in broncommentaar op diag_traceroute.php.
  • Verhelderde taal op diag_tables.php. # 6713
  • De tekst op diag_sockets.php opgeschoond. # 6708
  • Vaste weergave van VLAN-interfacenamen tijdens consoletoewijzing. # 6724
  • Vaste domeinnaam-serversoptie die tweemaal wordt weergegeven in pools wanneer deze handmatig wordt ingesteld.
  • Vaste afhandeling van DHCP-opties in andere pools dan het hoofdbereik. # 6720
  • In sommige gevallen zijn de hostnamen vervangen door dhcpdv6. # 6589
  • Verbeterde pid-bestandsafhandeling voor DHCP's.
  • Controles toegevoegd om te voorkomen dat toegang wordt verkregen tot een niet-gedefinieerde offset in IPv6.inc.
  • De weergave van de aliaspop-up en de bewerkingsopties op de bron en bestemming voor zowel het adres als de poort op de uitgaande NAT verholpen.
  • Vaste afhandeling van het tellen van back-upconfiguraties. # 6771
  • Enkele loshangende PPTP-verwijzingen verwijderd die niet langer relevant zijn.
  • Syslog-gebieden op afstand verrijkt / ingehaald. "Routing", "ntpd", "ppp", "resolver", fixed "vpn" toegevoegd om alle VPN-gebieden (IPsec, OpenVPN, L2TP, PPPoE Server) op te nemen. # 6780
  • Vaste selectievakjes in sommige gevallen verholpen bij het toevoegen van rijen op services_ntpd.php. # 6788
  • Herziene service met draaiende / stopgezette pictogrammen.
  • Controle toegevoegd aan CRL-beheer om certificaten uit de vervolgkeuzelijst te verwijderen die al zijn opgenomen in de CRL die wordt bewerkt.
  • Vaste regelscheidingstekens verplaatsen wanneer meerdere firewallregels tegelijkertijd worden verwijderd. # 6801

Wat is nieuw in versie 2.3.2:

  • Backup / Restore:
  • Sta niet toe dat wijzigingen worden toegepast op de schijfconflicten die niet overeenkomen na de configuratie totdat de herplaatsing is opgeslagen. # 6613
  • Dashboard:
  • Dashboard heeft nu per gebruiker configuratie-opties, gedocumenteerd in Gebruikersbeheer. # 6388
  • DHCP-server:
  • Uitgeschakeld DHCP-cache-drempel om bug te voorkomen in ISC dhcpd 4.3.x cliënterhostnaam uit lease-bestand weg te laten, waardoor dynamische hostnaamregistratie in enkele edge-cases faalt. # 6589
  • Houd er rekening mee dat de DDNS-sleutel HMAC-MD5 moet zijn. # 6622
  • DHCP-relay:
  • Geïmporteerde fix voor dhcrelay relay-aanvragen op de interface waar de doel-DHCP-server zich bevindt. # 6355
  • Dynamische DNS:
  • Sta * toe aan hostnaam met Namecheap. # 6260
  • Interfaces:
  • Fix "kan aangevraagde adres niet toewijzen" tijdens opstarten met track6-interfaces. # 6317
  • Verwijder de verouderde linkopties uit GRE en gif. # 6586, # 6587
  • Gehoorzaam "Verwerp lease van" wanneer DHCP "Geavanceerde opties" is aangevinkt. # 6595
  • Bescherm bijgevoegde scheidingstekens in de geavanceerde configuratie van de DHCP-client, zodat er komma's kunnen worden gebruikt. # 6548
  • Herstel standaardroute op PPPoE-interfaces die in sommige randgevallen ontbreken. # 6495
  • IPsec:
  • strongSwan geüpgraded naar 5.5.0.
  • Voeg agressief toe in ipsec.conf waar IKE-modus automatisch is geselecteerd. # 6513
  • Gateway Monitoring:
  • Vaste "socketnaam te groot" waardoor gatewaycontrole mislukt bij lange interfacenamen en IPv6-adressen. # 6505
  • Limiters:
  • Stel pipe_slot_limit automatisch in op de maximaal geconfigureerde qlimit-waarde. # 6553
  • Monitoring:
  • Vaste geen dataperioden gerapporteerd als 0, scheeftrekkingsgemiddelden. # 6334
  • Fixingtool voor sommige waarden als "none" weergegeven. # 6044
  • Herstel het opslaan van enkele standaard configuratie-opties. # 6402
  • Repareer X-astiktes die niet reageren op de resolutie voor aangepaste tijdsperioden. # 6464
  • OpenVPN:
  • Synchroniseer klantspecifieke configuraties na opslaan van OpenVPN-serverexemplaren om ervoor te zorgen dat hun instellingen overeenkomen met de huidige serverconfiguratie. # 6139
  • Besturingssysteem:
  • Fixed pf fragmentstaten die niet worden opgeschoond, triggering "PF frag entries limit bereikt". # 6499
  • Stel de locatie van het kernbestand zo in dat ze niet in / var / run terecht kunnen komen en de beschikbare ruimte kwijtraken. # 6510
  • Fixed "runtime ging achteruit" log spam in Hyper-V. # 6446
  • Traceroute6 vastgezet met niet reagerende hop in pad. # 3069
  • Symlink /var/run/dmesg.boot toegevoegd voor vm-bhyve. # 6573
  • Stel net.isr.dispatch = direct in op 32-bits systemen met IPsec ingeschakeld om crashen te voorkomen bij het benaderen van services op de host zelf via VPN. # 4754
  • Routeradvertenties:
  • Configuratievelden toegevoegd voor minimale en maximale routeradvertentie-intervallen en levensduur van de router. # 6533
  • Routing:
  • Vaste statische routes met IPv6-link lokale doelrouter om interfacebereik toe te voegen. # 6506
  • Regels / NAT:
  • Vaste tijdelijke locatie van "PPPoE-clients" in regels en NAT en regelsetfout bij gebruik van zwevende regels die de PPPoE-server specificeren. # 6597
  • Fout bij het laden van regelset met URL-tabelaliassen waarvoor een leeg bestand is opgegeven. # 6181
  • Vaste TFTP-proxy met xinetd. # 6315
  • Upgrade:
  • Foutupdates van nanobsd-upgrade opgelost waarbij DNS Forwarder / Resolver niet aan localhost was gebonden. # 6557
  • Virtuele IP's:
  • Prestatieproblemen met grote aantallen virtuele IP's opgelost. # 6515
  • Vaste PHP-geheugenuitputting opgelost op de CARP-statuspagina met grote staatstabellen. # 6364
  • Webinterface:
  • Toegevoegde sortering aan tabel met DHCP-statische toewijzingen. # 6504
  • Vaste bestandsupload van NTP-schrikkelseconden. # 6590
  • IPv6-ondersteuning toegevoegd aan diag_dns.php. # 6561
  • IPv6-ondersteuning toegevoegd aan reverse lookup van filterlogboeken. # 6585
  • Pakketsysteem - behoud veldgegevens bij invoerfout. # 6577
  • Vaste problemen met IPv6-invoervalidatie opgelost die ongeldige IPv6-IP's mogelijk maakten. # 6551, # 6552
  • Enkele DHCPv6-leases opgelost die ontbreken in de GUI-lease-weergave. # 6543
  • Moord op vaste toestand voor 'in' richting en staten met vertaalde bestemming. # 6530, # 6531
  • Herstel invoervalidatie van captive portalzonelamen om ongeldige XML te voorkomen. # 6514
  • Vervangen kalenderdatumkiezer in de gebruikersbeheerder met een die werkt in andere browsers dan Chrome en Opera. # 6516
  • Hersteld proxypoortveld naar OpenVPN-client. # 6372
  • Verduidelijk de beschrijving van ports aliassen. # 6523
  • Vaste vertaaloutput waarbij gettext een lege tekenreeks passeerde. # 6394
  • Selectie met vaste snelheid voor 9600 in NTP GPS-configuratie. # 6416
  • IPv6-IP's alleen toestaan ​​op het NPT-scherm. # 6498
  • Voeg alias import-ondersteuning toe voor netwerken en poorten. # 6582
  • Fixed sortable table header rariteiten. # 6074
  • Netwerkopstartgedeelte van het DHCP-serverscherm opschonen. # 6050
  • Koppel "UNKNOWN" -koppelingen in pakketbeheer. # 6617
  • Herstelt het veld voor ontbrekende bandbreedte voor CBQ-wachtrijen voor verkeersshaper. # 6437
  • UPnP:
  • UPnP-presentatie-URL en modelnummer kunnen nu worden geconfigureerd. # 6002
  • Gebruikersmanager:
  • Verbied beheerders van het verwijderen van hun eigen accounts in de gebruikersbeheerder. # 6450
  • Overig:
  • PHP shell-sessies toegevoegd om persistente CARP-onderhoudsmodus in en uit te schakelen. "playback enablecarpmaint" en "playback disablecarpmaint". # 6560
  • Blootgestelde configuratie van seriële consoles voor VGA met nanoband. # 6291

Wat is nieuw in versie 2.3.1 Update 5:

  • De belangrijkste wijzigingen in deze release zijn een herschrijving van de webGUI die Bootstrap gebruikt en het onderliggende systeem, inclusief het basissysteem en de kernel, die volledig worden geconverteerd naar FreeBSD pkg. De pkg-conversie stelt ons in staat om stukjes van het systeem afzonderlijk vooruit te updaten, in plaats van de monolithische updates uit het verleden. De webGUI-herschrijving biedt een nieuwe responsieve look en feel voor pfSense waarvoor een minimum aan verkleinen of scrollen op een breed scala aan apparaten nodig is, van desktop tot mobiele telefoons.

Wat is nieuw in versie 2.2.6 / 2.3 Alpha:

  • pfSense-SA-15_09.webgui: Beveiliging van lokale bestanden in de pfSense WebGUI
  • pfSense-SA-15_10.captiveportal: beveiligingslek in SQL-injectie in de pfSense-afslag van de captive-portal
  • pfSense-SA-15_11.webgui: meerdere XSS- en CSRF-beveiligingslekken in de pfSense WebGUI
  • Bijgewerkt naar FreeBSD 10.1-RELEASE-p25
  • FreeBSD-SA-15: 26.openssl Meerdere kwetsbaarheden in OpenSSL
  • StrongSwan bijgewerkt naar 5.3.5_2
  • Inclusief fix voor CVE-2015-8023 authenticatie-bypass-kwetsbaarheid in de eap-mschapv2-plug-in.

Wat is nieuw in versie 2.2.5 / 2.3 Alpha:

  • pfSense-SA-15_08.webgui: meerdere opgeslagen XSS-beveiligingslekken in de pfSense WebGUI
  • Bijgewerkt naar FreeBSD 10.1-RELEASE-p24:
  • FreeBSD-SA-15: 25.ntp Meerdere kwetsbaarheden in NTP [REVISED]
  • FreeBSD-SA-15: 14.bsdpatch: Vanwege onvoldoende opschoning van de input patch-stroom, is het mogelijk dat een patch-bestand ervoor zorgt dat patch (1) opdrachten uitvoert naast de gewenste SCCS- of RCS-opdrachten.
  • FreeBSD-SA-15: 16.openssh: OpenSSH-client controleert DNS SSHFP-records niet correct wanneer een server een certificaat aanbiedt. CVE-2014-2653 OpenSSH-servers die zijn geconfigureerd voor wachtwoordverificatie met PAM (standaard), zouden veel wachtwoordpogingen mogelijk maken.
  • FreeBSD-SA-15: 18.bsdpatch: Vanwege onvoldoende opschoning van de input patch-stroom, is het mogelijk dat een patch-bestand ervoor zorgt dat patch (1) bepaalde ed (1) -scripts doorgeeft aan de ed (1) editor, die commando's zou uitvoeren.
  • FreeBSD-SA-15: 20.expat: Meerdere integer-overflows zijn ontdekt in de functie XML_GetBuffer () in de expat-bibliotheek.
  • FreeBSD-SA-15: 21.amd64: Als de kernelmodus IRET-instructie een #SS- of #NP-uitzondering genereert, maar de uitzonderingshandler niet goed garandeert dat de juiste GS-registerbasis voor kernel opnieuw wordt geladen , kan het userland GS-segment worden gebruikt in de context van de kernel-uitzonderingsbehandelaar.
  • FreeBSD-SA-15: 22.openssh: een programmeerfout in het geprivilegieerde monitorproces van de sshd (8) -service kan het mogelijk maken dat de gebruikersnaam van een al-geverifieerde gebruiker wordt overschreven door het onbewezen kindproces. Een use-after-free fout in het gepriviligeerde monitorproces van de sshd (8) -service kan deterministisch worden geactiveerd door de acties van een gecompromitteerd niet-bevoorrecht kindproces. Een use-after-free fout in de sessiemultiplexcode in de sshd (8) -service kan leiden tot onbedoelde beëindiging van de verbinding.

Wat is nieuw in versie 2.2.4:

  • pfSense-SA-15_07.webgui: meerdere opgeslagen XSS-beveiligingslekken in de pfSense WebGUI
  • De volledige lijst met getroffen pagina's en velden wordt weergegeven in de gekoppelde SA.
  • FreeBSD-SA-15: 13.tcp: Uitputting van bronnen vanwege sessies die vastzitten in LAST_ACK-status. Merk op dat dit alleen van toepassing is op scenario's waarbij poorten die luisteren op pfSense zelf (niet dingen die via NAT worden doorgegeven, routing of bridging) worden geopend voor niet-vertrouwde netwerken. Dit is niet van toepassing op de standaardconfiguratie.
  • Opmerking: FreeBSD-SA-15: 13.openssl is niet van toepassing op pfSense. pfSense bevatte geen kwetsbare versie van OpenSSL en was dus niet kwetsbaar.
  • Verdere correcties voor bestandscorruptie in verschillende gevallen tijdens een onreine shutdown (crash, vermogensverlies, enz.). # 4523
  • Vaste pw in FreeBSD om passwd / group corruptie aan te pakken
  • Fixed config.xml-schrijven om fsync correct te gebruiken om gevallen te voorkomen waarin het leeg zou kunnen raken. # 4803
  • De & lsquo; sync'-optie uit bestandssystemen verwijderd voor nieuwe volledige installaties en volledige upgrades nu de echte oplossing is geïnstalleerd.
  • Softupdates en journaling (AKA SU + J) van NanoBSD verwijderd, blijven ze op volledige installaties. # 4822
  • De forcesync-patch voor # 2401 wordt nog steeds beschouwd als schadelijk voor het bestandssysteem en is buitengesloten gebleven. Als zodanig kan er enige merkbare traagheid optreden met NanoBSD op bepaalde langzamere schijven, vooral CF-kaarten en in mindere mate SD-kaarten. Als dit een probleem is, kan het bestandssysteem permanent worden gelezen en geschreven met behulp van de optie op Diagnostiek & gt; NanoBSD. Met de andere bovenstaande wijzigingen is het risico minimaal. We raden u aan het getroffen CF / SD-medium zo snel mogelijk te vervangen door een nieuwe, snellere kaart. # 4822
  • Verbeterde PHP naar 5.5.27 om te reageren op CVE-2015-3152 # 4832
  • Verlaagde SSH LoginGraceTime van 2 minuten tot 30 seconden om de impact van MaxAuthTries-bypass-fout te beperken. Opmerking Sshlockout blokkeert overtredende IP's in alle vorige, huidige en toekomstige versies. # 4875

Wat is nieuw in versie 2.2.3:

  • pfSense-SA-15_06.webgui: meerdere XSS-beveiligingslekken in de pfSense WebGUI
  • De volledige lijst met getroffen pagina's en velden is groot en ze worden allemaal vermeld in de gekoppelde SA.
  • FreeBSD-SA-15: 10.openssl: meerdere OpenSSL-kwetsbaarheden (inclusief Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Wat is nieuw in versie 2.2.2:

  • Deze versie bevat twee beveiligingsupdates met een laag risico:
  • FreeBSD-SA-15: 09.ipv6: Denial of Service met IPv6-routeradvertenties. Wanneer een systeem het WAN-type DHCPv6 gebruikt, kunnen apparaten in hetzelfde broadcastdomein dat WAN ambachtelijke pakketten kan verzenden waardoor het systeem de IPv6-internetverbinding verliest.
  • FreeBSD-SA-15: 06.openssl: meerdere OpenSSL-kwetsbaarheden. De meeste zijn niet van toepassing en de grootste impact is denial of service.

Wat is nieuw in versie 2.2.1:

  • Beveiligingsfixes:
  • pfSense-SA-15_02.igmp: overbelasting van gehele getallen in IGMP-protocol (FreeBSD-SA-15: 04.igmp)
  • pfSense-SA-15_03.webgui: meerdere XSS-beveiligingslekken in de pfSense WebGUI
  • pfSense-SA-15_04.webgui: willekeurige kwetsbaarheid van bestandsverwijdering in de pfSense WebGUI
  • FreeBSD-NL-15: 01.vt: vt (4) crash met onjuiste ioctl-parameters
  • FreeBSD-NL-15: 02.openssl: update om betrouwbaarheidsfixes van OpenSSL toe te voegen
  • Een opmerking over het kwetsbaarheidsprobleem van OpenSSL "FREAK":
  • Heeft geen invloed op de configuratie van de webserver op de firewall omdat er geen exportcoders zijn ingeschakeld.
  • pfSense 2.2 bevatte al OpenSSL 1.0.1k waarmee de kwetsbaarheid van de client werd opgelost.
  • Als pakketten een webserver of een soortgelijk onderdeel bevatten, zoals een proxy, kan dit gevolgen hebben voor een onjuiste gebruikersconfiguratie. Raadpleeg de documentatie of het forum van het pakket voor meer informatie.

Wat is nieuw in versie 2.2:

  • Deze versie biedt verbeteringen in de prestaties en hardware-ondersteuning van het FreeBSD 10.1-basisstation, evenals verbeteringen die we hebben toegevoegd, zoals AES-GCM met AES-NI-versnelling, een aantal andere nieuwe functies en bugfixes.
  • In het kader van het bereiken van de release hebben we 392 totale tickets gesloten (dit aantal bevat 55 functies of taken), 135 bugs gerepareerd die van invloed zijn op 2.1.5 en eerdere versies, nog eens 202 bugs opgelost in 2.2 door het basistarief te verbeteren OS-versie van FreeBSD 8.3 tot 10.1, IPsec-keying daemons veranderen van racoon in strongSwan, de PHP-backend upgraden naar versie 5.5 en deze omschakelen van FastCGI naar PHP-FPM, en de Unbound DNS Resolver en vele kleinere wijzigingen toevoegen.
  • Deze release bevat vier low-impact beveiligingsoplossingen:
  • openssl-update voor FreeBSD-SA-15: 01.openssl
  • Meerdere XSS-kwetsbaarheden in de webinterface. pfSense-SA-15_01
  • OpenVPN-update voor CVE-2014-8104
  • NTP-update FreeBSD-SA-14: 31.ntp - hoewel deze omstandigheden geen effect lijken te hebben op pfSense.

Wat is nieuw in versie 2.1.4:

  • Beveiligingsfixes:
  • pfSense-SA-14_07.openssl
  • FreeBSD-SA-14: 14.openssl
  • pfSense-SA-14_08.webgui
  • pfSense-SA-14_09.webgui
  • pfSense-SA-14_10.webgui
  • pfSense-SA-14_11.webgui
  • pfSense-SA-14_12.webgui
  • pfSense-SA-14_13.packages
  • Pakketten hadden ook hun eigen onafhankelijke oplossingen en moeten worden bijgewerkt. Tijdens het firmware-updateproces worden de pakketten opnieuw geïnstalleerd. Anders verwijdert u pakketten en installeert u ze opnieuw om ervoor te zorgen dat de nieuwste versie van de binaire bestanden in gebruik is.
  • Andere oplossingen:
  • Patch voor pipeno-lek probleem met Captive Portal, wat leidt tot de & lsquo; Maximum login bereikt 'op Captive Portal. # 3062
  • Tekst verwijderen die niet relevant is voor toegestane IP's op de Captive Portal. # 3594
  • Verwijder eenheden uit burst omdat dit altijd wordt opgegeven in bytes. (Per ipfw (8)).
  • Kolom voor interne poort toevoegen op UPnP-statuspagina.
  • Luister naar de interface in plaats van IP optioneel voor UPnP.
  • Markering van geselecteerde regels verhelpen. # 3646
  • Guiconfig toevoegen aan widgets die het niet bevatten. # 3498
  • / etc / version_kernel en / etc / version_base bestaan ​​niet meer, gebruik php_uname om de versie voor XMLRPC-controle te krijgen.
  • Variabele typfout repareren. # 3669
  • Verwijder alle IP-aliassen wanneer een interface is uitgeschakeld. # 3650
  • Behandel de RRD-naam van het archief op de juiste manier tijdens upgrade- en squelch-fouten als dit mislukt.
  • Converteer protocol ssl: // naar https: // bij het maken van HTTP-headers voor XMLRPC.
  • Toon geblokkeerde interfaces wanneer ze al deel uitmaakten van een interfacegroep. Hiermee wordt voorkomen dat in plaats daarvan een willekeurige interface wordt weergegeven en kan de gebruiker deze per ongeluk toevoegen. # 3680
  • De client-config-dir-richtlijn voor OpenVPN is ook handig bij het gebruik van de interne DHCP van OpenVPN tijdens het overbruggen, dus voeg die in dat geval ook toe.
  • Gebruik krul in plaats van fetch om updatebestanden te downloaden. # 3691
  • Escape-variabele voordat deze wordt doorgegeven aan shell van stop_service ().
  • Voeg wat bescherming toe aan parameters die via _GET in servicebeheer binnenkomen
  • Escape-argument bij aanroepen van is_process_running, verwijdert ook enkele onnodige mwexec () -aanroepen.
  • Zorg ervoor dat de naam van de interfacegroep niet groter is dan 15 tekens. # 3208
  • Wees nauwkeuriger om leden van een bridge-interface te matchen, het zou # 3637
  • moeten herstellen
  • Verlopen geen reeds uitgeschakelde gebruikers, het lost # 3644
  • op
  • Valideer het starttijd- en stoptijdformaat op firewall_schedule_edit.php
  • Wees voorzichtig met de hostparameter op diag_dns.php en zorg ervoor dat deze is geëscaped wanneer de callshell functioneert
  • Escape-parameters doorgegeven aan shell_exec () in diag_smart.php en elders
  • Zorg ervoor dat variabelen zijn ontsnapt / ontsmet op status_rrd_graph_img.php
  • Vervang exec-aanroepen om rm uit te voeren door unlink_if_exists () op status_rrd_graph_img.php
  • Vervang alle `hostname`-aanroepen door php_uname (& lsquo; n ') op status_rrd_graph_img.php
  • Vervang alle `date`-oproepen met strftime () op status_rrd_graph_img.php
  • Voeg $ _gb toe om eventueel rommel van exec return op status_rrd_graph_img.php
  • te verzamelen
  • Vermijd directory traversal in pkg_edit.php bij het lezen van pakket xml-bestanden, controleer ook of het bestand bestaat voordat je het probeert te lezen
  • ID = 0 verwijderen uit miniupnpd-menu en snelkoppeling
  • Verwijderen. en / uit de pkg-naam om doorverwijzing van mappen in pkg_mgr_install.php
  • te voorkomen
  • Corrigeer kerndump bij het bekijken van ongeldig pakketlogboek
  • Vermijd doorzending van mappen op system_firmware_restorefullbackup.php
  • Reinig sessie-ID opnieuw bij een succesvolle aanmelding om sessie-fixatie te voorkomen
  • Bescherm rssfeed-parameters met htmlspecialchars () in rss.widget.php
  • Bescherm servicestatusfilterparameter met htmlspecialchars () in services_status.widget.php
  • Stel http-attribuut altijd in voor cookies
  • Stel & lsquo; Schakel webConfigurator login autocomplete in als standaard in voor nieuwe installaties
  • Vereenvoudig de logica, voeg wat bescherming toe aan gebruikersinvoerparameters op log.widget.php
  • Zorg ervoor dat enkele aanhalingstekens gecodeerd zijn en vermijd een javascript-injectie op exec.php
  • Voeg ontbrekende NAT-protocollen toe op firewall_nat_edit.php
  • Extra gegevens na spatie verwijderen in DSCP en pf-regelsyntaxis corrigeren. # 3688
  • Neem alleen een geplande regel op als deze strikt vóór de eindtijd is. # 3558

Wat is nieuw in versie 2.1.1:

  • De grootste verandering is om de volgende beveiligingsproblemen / CVE's te sluiten:
  • FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
  • Anders dan deze, zijn de em / igb / ixgb / ixgbe-stuurprogramma's bijgewerkt om ondersteuning voor i210- en i354-netwerkkaarten toe te voegen. Sommige Intel 10 Gb Ethernet NIC's zullen ook verbeterde prestaties zien.

Vergelijkbare software

live-initramfs
live-initramfs

3 Jun 15

OpenBSD
OpenBSD

17 Aug 18

DruidBSD
DruidBSD

20 Feb 15

Reacties op pfSense

Reacties niet gevonden
Commentaar toe te voegen
Zet op de beelden!