IPFire

IPFire é um sistema operacional de código aberto que foi projetado desde o início para atuar como um sistema de firewall dedicado, seguro e flexível baseado em algumas das melhores tecnologias Linux, como iptables, OpenSSL e OpenSSH.

Esse pequeno sistema operacional pode ser baixado via Softoware ou em seu site oficial (veja o link acima) como uma única imagem ISO de CD de aproximadamente 150MB, marcada apenas para a arquitetura de conjunto de instruções de 32 bits (i586). Embora a distribuição seja inicializada e instalada em plataformas de hardware de 64 bits, ela aceitará apenas aplicativos de 32 bits.

O menu de inicialização bem projetado e bem organizado permitirá que você instale a distribuição diretamente e permanentemente em uma unidade local. Além disso, você poderá instalar o sistema operacional no modo de texto, executar uma instalação autônoma, executar um teste de diagnóstico de memória com o utilitário Memtest86 +, bem como exibir informações detalhadas de hardware com a HDT (Hardware Detection Tool). p>

Programa de instalação em modo de texto muito fácil de usar

Todo o processo de instalação é baseado em texto e exigirá que o usuário selecione apenas um idioma (idiomas suportados incluem inglês, turco, polonês, russo, holandês, espanhol, francês e alemão), aceite a licença e particione o disco (os sistemas de arquivos suportados incluem EXT2, EXT3, EXT4 e ReiserFS).

Após a instalação, é necessário selecionar um layout de teclado e fuso horário, inserir o nome de host e o nome de domínio da máquina, inserir uma senha para a raiz (administrador do sistema) e contas admin, bem como configurar a rede ( inclui configurações de DNS, gateway, endereço IP, drivers e placa de rede).

Resumindo, o IPFire é uma das melhores distribuições de firewall de código aberto do mundo, projetada para oferecer firewall de última geração, gateway VPN e componentes de servidor proxy. Seu design é modular e flexível, o que significa que sua funcionalidade pode ser estendida por meio de plug-ins.

O que há de novo nesta versão:

• Apenas proxy de RAM:
• Em algumas instalações, pode ser desejável permitir que o proxy armazene objetos na memória e não no disco. Especialmente quando a conectividade com a Internet é rápida e o armazenamento é lento, isso é muito útil.
• A interface do usuário da web agora permite definir o tamanho do cache de disco como zero, o que desabilitará totalmente o cache de disco. Obrigado a Daniel por trabalhar nisso.
• OpenVPN 2.4:
• O IPFire migrou para o OpenVPN 2.4, que introduz novas cifras da classe AES-GCM, o que aumentará a taxa de transferência em sistemas com aceleração de hardware. A atualização também traz várias outras melhorias menores.
• Erik tem trabalhado na integração, o que exigiu algum trabalho sob o capô, mas é compatível com qualquer configuração anterior para conexões roadwarrior e conexões net-to-net.
• Criptografia aprimorada:
• A criptografia é uma das bases de um sistema seguro. Atualizamos a distribuição para usar a versão mais recente da biblioteca de criptografia OpenSSL (versão 1.1.0). Isto vem com uma série de novas cifras e refacturing principal da base de código foi conduzida.
• Com essa mudança, decidimos suspender totalmente o SSLv3 e a interface com o usuário da web exigirá o TLSv1.2, que também é o padrão para muitos outros serviços. Nós configuramos uma lista reforçada de cifras que somente usa algoritmos recentes e remove completamente algoritmos quebrados ou fracos como RC4, MD5 e assim por diante.
• Por favor, verifique antes desta atualização se você está confiando em qualquer um desses, e atualize seus sistemas dependentes.
• Vários pacotes no IPFire tiveram que ser corrigidos para poder usar a nova biblioteca. Este importante trabalho foi necessário para fornecer ao IPFire a criptografia mais recente, migrar de algoritmos obsoletos e aproveitar a nova tecnologia. Por exemplo, o ciphersuite ChaCha20-Poly1305 está disponível e funciona mais rapidamente em dispositivos móveis.
• A versão antiga da biblioteca OpenSSL (1.0.2) ainda é deixada no sistema por razões de compatibilidade e continuará a ser mantida por nós por um curto período de tempo. Eventualmente, isso será removido completamente, então, por favor, migre qualquer add-ons customizados para longe usando o OpenSSL 1.0.2.
• Misc:
• Agora, o Pakfire aprendeu quais servidores de espelhamento suportam HTTPS e os contatará automaticamente por HTTPS. Isso melhora a privacidade.
• Também iniciamos a primeira fase da nossa planejada substituição de chave do Pakfire.
• O Path MTU Discovery foi desativado no sistema. Isso criou continuamente problemas com a estabilidade dos túneis IPsec que escolheram caminhos em redes que foram configuradas incorretamente.
• O modelo de QoS pode calcular incorretamente a largura de banda que agora foi corrigida, de modo que a soma da largura de banda garantida em todas as classes não exceda 100%
• Pacotes atualizados:
• bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, não vinculado 1.7.0, vnstat 1.18
• Complementos:
• Esses complementos foram atualizados: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2

O que há de novo na versão:

• OpenSSL 1.0.2n:
• Uma vulnerabilidade moderada e uma de baixa segurança foram corrigidas no OpenSSL 1.0.2n. O comunicado de segurança oficial pode ser encontrado aqui.
• IPsec:
• Agora é possível definir o tempo limite de inatividade quando um túnel VPN IPsec ocioso está sendo fechado
• O suporte para grupos MODP com subgrupos foi eliminado
• A compactação está desativada por padrão porque não é muito eficiente
• strongswan foi atualizado para 5.6.1
• OpenVPN:
• Agora é mais fácil rotear clientes Roadwarrior do OpenVPN para redes VPN IPsec escolhendo rotas na configuração de cada cliente. Isso facilita a configuração dos projetos hub-and-spoke.
• Criar conjunto de ferramentas:
• Alguns scripts de construção foram refatorados para limpar o processo de criação e o conjunto de ferramentas foi movido de / tools para / tools_ & lt; arch & gt;.
• nasm, o Net Assembler, foi atualizado para 2.13.2
• Misc:
• A compactação SSL e os tickets da sessão SSL foram desativados no Apache. Isso melhorará a segurança da interface com o usuário da web.
• Em vários lugares, as informações da GeoIP estão disponíveis onde os endereços IP são mostrados e essas informações são úteis para saber
• A adição de rotas estáticas na interface do usuário da web foi corrigida
• Alguns problemas estéticos nas páginas de configuração do portal cativo foram corrigidos e o portal cativo agora está trabalhando junto com o proxy no modo transparente
• O syslogging para um servidor de remoção agora pode ser configurado para usar TCP ou UDP
• Complementos:
• O Samba foi atualizado para corrigir vários problemas de segurança
• mc foi atualizado para 4.8.20
• nano foi atualizado para 2.9.1
• sslscan, vsftpd e Pound foram descartados porque não são mais mantidos no upstream e incompatíveis com o OpenSSL 1.1.0

O que há de novo na versão 2.19 Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• O projeto OpenSSL lançou a versão 1.0.2m e emitiu dois avisos de segurança na última semana. As duas vulnerabilidades descobertas foram de segurança moderada e baixa, mas decidimos enviar esta atualização o mais rápido possível. Por isso, é recomendável atualizar o mais rapidamente possível.
• A vulnerabilidade mais severa referenciada como CVE-2017-3736 corrige um problema com os modernos processadores Intel Broadwell e AMD Ryzen, nos quais o OpenSSL usa algumas modernas extensões DMI1, DMI2 e ADX e calcula a raiz quadrada incorretamente. Isso poderia ser explorado por um invasor que é capaz de colocar recursos significativos para recuperar uma chave privada mais fácil, embora esse ataque ainda seja considerado virtualmente inviável pela equipe de segurança do OpenSSL.
• A vulnerabilidade menos grave foi causada pela superação de dados de certificado quando um certificado possui uma extensão IPAddressFamily malformada. Isso pode levar à exibição errônea do certificado em formato de texto. Esta vulnerabilidade é rastreada sob o CVE-2017-3735.
• Misc:
• O wget também sofreu duas vulnerabilidades de segurança que permitiram que um invasor executasse um código arbitrário. Eles são referenciados sob CVE-2017-13089 e CVE-2017-13090.
• O apache foi atualizado para a versão 2.4.29, que corrige vários bugs.
• o snort foi atualizado para a versão 2.9.11.

O
• xz também foi atualizado para a versão 5.2.3, que traz várias melhorias.

O que há de novo na versão 2.19 Core 113 / 3.0 Alpha 1:

• Quem está online?:
• Quem está online? (ou WIO em resumo) finalmente chegou ao IPFire. Ele foi portado pelo autor original Stephan Feddersen e Alex Marx e está disponível como um pacote complementar usual chamado wio.
• É um serviço de monitoramento embutido para a rede local que mostra quais dispositivos estão conectados, quais estão on-line e também podem enviar alarmes em vários eventos. Experimente!
• Diversos:
• As chaves raiz do DNS foram atualizadas para fazer com que o DNS funcione além de outubro de 2017 após a substituição da chave DNSSEC ter sido executada
• Consoles de série agora detectam automaticamente a taxa de transmissão após o kernel ter sido inicializado
• Atualizações de pacotes por Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, squid 3.5.26, unbound 1.6.4
• Complementos:
• iftop foi atualizado para 1.0pre4 por Erik Kapfer
• Matthias Fischer atualizado: hostapd 2.6, tor 0.3.0.10

O que há de novo na versão 2.19 Core 112 / 3.0 Alpha 1:

• Esta atualização principal vem principalmente com atualizações sob o capô. As principais bibliotecas do sistema foram atualizadas para novas versões principais e a cadeia de ferramentas de construção recebeu grandes atualizações.
• Estes são:
• glibc 2,25
• Coleção de compiladores GNU 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fusível 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-erro 1.27, libxml2 2.9.4, mdadm 4.0, openss 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , não acoplado 1.6.3, util-linux 2.28.2
• Misc:
• openvpn (2.3.17) recebeu algumas atualizações de segurança que foram descobertas recentemente.
• Uma vulnerabilidade de execução de comando remoto em ids.cgi foi fechada com pode ser usada por usuários autenticados para executar comandos shell com direitos de não-superusuário.
• Agora é possível criar redes no firewall que são uma sub-rede de qualquer uma das zonas internas.
• Os toolchain e scripts de construção também foram limpos e melhorados.
• A inicialização de rede do IPFire foi atualizada para que sempre seja usada a melhor arquitetura para um sistema (ou seja, a versão de 64 bits é instalada quando o sistema a suporta).
• Complementos:
• Atualizado:
• 7zip 16,02
• pássaro 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monit 5.23.0
• O miniupnpd agora está escutando em VERDE por padrão
• tmux 2.5
• tor 3.0.8
• Soltou:
• imspector e tcpick não são mais mantidos no upstream

O que há de novo na versão 2.19 Core 111 / 3.0 Alpha 1:

• Autenticação WPA Enterprise no modo do cliente:
• O firewall agora pode se autenticar com uma rede sem fio que usa o protocolo EAP (Extensible Authentication Protocol). Estes são comumente usados ​​em empresas e exigem um nome de usuário e senha para se conectar à rede.

O
• IPFire suporta PEAP e TTLS, os dois mais comuns. Eles podem ser encontrados no configurado na página "Cliente WiFi", que só aparece quando a interface VERMELHA é um dispositivo sem fio. Esta página também mostra o status e os protocolos usados ​​para estabelecer a conexão.
• A página de índice também mostra várias informações sobre o status, a largura de banda e a qualidade da conexão a uma rede sem fio. Isso também funciona para redes sem fio que usam WPA / WPA2-PSK ou WEP.
• QoS Multi-Enfileiramento:
• Agora, a qualidade do serviço está usando todos os núcleos da CPU para equilibrar o tráfego. Antes, apenas um núcleo de processador era usado, o que causava uma conexão mais lenta em sistemas com processadores mais fracos, como a série Intel Atom, etc., mas com adaptadores Ethernet rápidos. Isso agora foi alterado para que um processador não seja mais um gargalo de garrafa.
• Novos padrões de criptografia:
• Em muitas partes do IPFire, os algoritmos criptográficos desempenham um grande papel. No entanto, eles envelhecem. Por isso, alteramos os padrões em novos sistemas e para novas conexões VPN com algo mais novo e considerado mais robusto.
• IPsec:
• A versão mais recente do strongSwan suporta o Curve 25519 para as propostas IKE e ESP, que também está disponível no IPFire e ativado por padrão.
• A proposta padrão para novas conexões agora permite apenas os algoritmos explicitamente selecionados que maximizam a segurança, mas podem ter um impacto de compatibilidade em pares mais antigos: SHA1 é descartado, SHA2 256 ou superior deve ser usado; o tipo de grupo deve usar uma chave com comprimento de 2048 bits ou maior
• Como algumas pessoas usam o IPFire em associação com equipamentos antigos, agora é permitido selecionar o MODP-768 nas propostas IKE e ESP. Isso é considerado quebrado e marcado.
• OpenVPN:
• O OpenVPN usou o SHA1 para integridade por padrão, que agora foi alterado para SHA512 para novas instalações. Infelizmente o OpenVPN não pode negociar isso na conexão. Então, se você quiser usar o SHA512 em um sistema existente, você terá que baixar novamente todas as conexões do cliente também.
• Vários marcadores foram adicionados para destacar que certos algoritmos (por exemplo, MD5 e SHA1) são considerados quebrados ou criptograficamente fracos.
• Diversos:

As VPNs IPsec
• serão mostradas como "Conectando" quando não estiverem estabelecidas, mas o sistema está tentando
• Foi corrigido um erro de desligamento que atrasou o desligamento do sistema quando a interface RED foi configurada como estática
• O status do DNSSEC agora é exibido corretamente em todos os sistemas
• Os seguintes pacotes foram atualizados: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, arquivo 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (apenas correções de bugs), openvpn 2.3.16 que corrige CVE-2017-7479 e CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, não vinculado 1.6.2, unzip 60, vnstat 1.17
• Matthias Fischer contribuiu com algumas mudanças estéticas para a seção de log do firewall
• Gabriel Rolland melhorou a tradução em italiano
• Várias partes do sistema de compilação foram limpas
• Complementos:
• Novos complementos:
• ltrace: Uma ferramenta para rastrear chamadas de biblioteca de um binário
• Complementos atualizados:
• O addon do samba foi corrigido para uma vulnerabilidade de segurança (CVE-2017-7494) que permitia que um código remoto fosse executado em compartilhamentos graváveis.
• ipset 6.32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd que agora suporta a leitura de sensores de temperatura com a ajuda de lm_sensors
• nmap 7.40
• tor 0.3.0.7

O que há de novo na versão 2.19 Core 109 / 3.0 Alpha 1:

• Correções de DNS:
• O proxy DNS que está trabalhando dentro do IPFire foi atualizado para o 1.6.0 não acoplado, o que traz várias correções de bugs. Portanto, a minimização e o endurecimento de QNAME abaixo dos domínios do NX foram reativados.
• Na hora de início, o IPFire agora também verifica se um roteador na frente do IPFire descarta respostas de DNS que são mais longas do que um determinado limite (alguns dispositivos Cisco fazem isso para "endurecer" o DNS). Se isso for detectado, o tamanho do buffer do EDNS, se reduzido, torna o unbound voltado para o TCP para respostas maiores. Isso pode diminuir o DNS levemente, mas o mantém funcionando depois de tudo nesses ambientes mal configurados.
• Misc:
• O openssl foi atualizado para 1.0.2k, que corrige várias vulnerabilidades de segurança com gravidade "moderada"
• O kernel agora suporta alguns módulos eMMC mais recentes
• O script de backup agora está trabalhando de maneira mais confiável em todas as arquiteturas
• Os scripts de rede que criaram pontes MACVTAP para virtualização entre outras coisas agora também suportam pontes padrão 802.3
• A GUI do firewall negou a criação de sub-redes que eram uma sub-rede de qualquer uma das redes padrão que foram corrigidas
• Matthias Fischer enviou atualizações de pacotes para: bind 9.11.0-P2 com algumas correções de segurança, libpcap 1.8.1, logrotate 3.9.1, módulo perl-GeoIP 1.25, snort 2.9.9.0, squid 3.5.24 que corrige vários bugs, sysklogd 1.5.1, zlib 1.2.11
• Além disso, a libpng foi atualizada para a versão 1.2.57, que corrige algumas vulnerabilidades de segurança
• Complementos:
• Jonatan Schlag empacotou o Python 3 para o IPFire
• Ele também atualizou o libvirt para a versão 2.5 e o qemu para a versão 2.8
• Matthias Fischer enviou várias atualizações para os seguintes pacotes: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
• tor foi atualizado para o 0.2.9.9, que corrige várias vulnerabilidades de negação de serviço
• o sarg foi atualizado para o 2.3.10

O que há de novo na versão 2.19 Core 108 / 3.0 Alpha 1:

• Log assíncrono:
• O registro assíncrono agora está habilitado por padrão e não é mais configurável. Isso fez com que alguns programas que escreviam uma quantidade extensa de mensagens de log diminuíssem a velocidade e pudessem não responder pela rede, o que causa vários problemas. Isso foi visto em sistemas com mídia flash muito lenta e ambientes virtuais.
• Diversos:
• A verificação que testa os servidores DNS em relação a qualquer configuração incorreta pressupõe que alguns servidores de nomes estejam sendo validados, apesar de não estarem e provavelmente não estarem funcionando. Isso foi corrigido agora e os sistemas que usam esses servidores de nomes corrompidos devem retornar ao modo recursor.
• Foi corrigido um problema na GUI do firewall que proibia a adição de uma conexão VPN IPsec e a conexão OpenVPN com o mesmo nome a um grupo de firewalls.
• Pacotes principais atualizados:
• strongswan foi atualizado para a versão 5.5.1, que corrige vários bugs
• O ntp foi atualizado para a versão 4.2.8p9, que corrige vários problemas de segurança
• ddns foi atualizado para a versão 008
• Complementos atualizados:
• nano, o editor de texto, foi atualizado para a versão 2.7.1
• tor, a rede de anonimato, foi atualizada para a versão 0.2.8.10

O que há de novo na versão 2.19 Core 107 / 3.0 Alpha 1:

• Esta atualização corrige o kernel Linux IPFire contra uma vulnerabilidade recentemente divulgada chamada Dirty COW. Esse é um bug de escalação de privilégio local que pode ser usado por um invasor local para obter privilégios de root.
• Um patch adicional corrige os processadores da Intel com o AES-NI, o hardware suporta criptografia com comprimento de chave de 256 e 192 bits, mas não foi implementado corretamente no kernel do Linux
• Uma correção para mostrar o novo proxy DNS não acoplado na seção de log da interface do usuário da web
• o hdparm 9.5.0 e o libjpeg 1.5.1 foram atualizados

O que há de novo na versão 2.19 Core 105 / 3.0 Alpha 1:

O
• IPFire 2.19 Core Update 105 corrige vários problemas de segurança em duas bibliotecas criptográficas: openssl e libgcrypt. Recomendamos instalar essa atualização o mais rápido possível e reinicializar o sistema IPFire para concluir a atualização.

O que há de novo na versão 2.19 Core 103 / 3.0 Alpha 1:

• Melhorias no Web Proxy:
• O squid de proxy da Web foi atualizado para a série 3.5 e várias melhorias para estabilidade e desempenho foram feitas.
• Em máquinas com discos rígidos lentos ou em instalações com caches muito grandes, é provável que o índice de cache tenha sido corrompido quando o proxy foi desligado. Isso resultou em um proxy da web instável após o próximo início.
• A rotina de desligamento foi aprimorada para que uma corrupção do índice de cache seja muito improvável. Além disso, temos meios instalados que nos permitem detectar se o índice de cache foi corrompido e, se assim for, ele será automaticamente reconstruído na próxima partida. Esta atualização excluirá o índice presumivelmente corrompido em todas as instalações e iniciará uma reconstrução do índice, o que poderá resultar em operação lenta do proxy por um curto período após a instalação da atualização.
• Misc:
• Corrigir o comando setup para mostrar corretamente mais de 6 controladores de rede
• O banco de dados de fuso horário foi atualizado
• Geralmente permitem sublinhados em nomes de domínio
• Pacotes atualizados: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, menos 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Complementos atualizados:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Midnight Commander 4.8.17
• nfs (irá substituir o portmap pelo rpcbind)
• tor 0.2.7.6

O que há de novo na versão 2.19 Core 102 / 3.0 Alpha 1:

O que há de novo na versão 2.19 Core 100 / 3.0 Alpha 1:

• Esta atualização trará para você o IPFire 2.19 que lançamos pela primeira vez em 64 bits na Intel (x86_64). Esta versão foi atrasada pelas várias vulnerabilidades de segurança no openssl e glibc, mas está repleta de muitas melhorias sob o capô e várias correções de bugs.
• 64 bits:
• Não haverá caminho de atualização automática de uma instalação de 32 bits para uma instalação de 64 bits. É necessário reinstalar manualmente o sistema para aqueles que desejam alterar, mas um backup gerado anteriormente pode ser restaurado para que todo o procedimento demore normalmente menos de meia hora.
• Não há muitas vantagens sobre uma versão de 64 bits, exceto alguns pequenos aumentos de desempenho para alguns casos de uso e, claro, a capacidade de endereçar mais memória. O IPFire é capaz de endereçar até 64 GB de RAM em 32 bits, portanto, não há muita necessidade de migrar. Recomendamos usar imagens de 64 bits para novas instalações e manter as instalações existentes como elas são.
• Atualização do kernel:
• Como em todos os grandes lançamentos, este vem com um kernel Linux atualizado para corrigir bugs e melhorar a compatibilidade de hardware. O Linux 3.14.65 com muitos drivers backport do Linux 4.2 também é fortalecido com mais força contra ataques comuns, como estouro de buffer de pilha.
• Muitos blobs de firmware para placas sem fio e outros componentes foram atualizados exatamente como o banco de dados de hardware.
• problemas de desempenho do Hyper-V:
• Um backport de uma versão recente do módulo de driver de rede Microsoft Hyper-V permitirá a transferência de dados em velocidades mais altas novamente. As versões anteriores tinham apenas uma taxa de transferência muito baixa em algumas versões do Hyper-V.
• Atualizações do firewall:
• Agora é possível ativar ou desativar determinados módulos de rastreamento de conexão. Esses módulos Application Layer Gateway (ALG) ajudam determinados protocolos, como o SIP ou o FTP, a trabalhar com o NAT. Alguns telefones VoIP ou PBXs têm problemas com eles para que possam ser desativados. Alguns precisam deles.
• O firewall também foi otimizado para permitir maior taxa de transferência com o uso de recursos do sistema um pouco menores.
• Misc:
• Muitos programas e ferramentas do conjunto de ferramentas usados ​​foram atualizados. Uma nova versão do GNU Compiler Collections oferece código mais eficiente, maior resistência e compatibilidade para o C ++ 11
• GCC 4.9.3, binutils 2.24, bisão 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq, o proxy DNS interno do IPFire foi atualizado e muitos problemas de instabilidade foram corrigidos
• o openvpn foi atualizado para a versão 2.3.7 e os arquivos de configuração gerados foram atualizados para serem compatíveis com as versões futuras do OpenVPN
• O IPFire agora aguardará com a inicialização quando o tempo precisar ser sincronizado e o DHCP for usado até que a conexão seja estabelecida e, em seguida, continue a inicialização
• bind foi atualizado para a versão 9.10.3-P2
• O ntp foi atualizado para a versão 4.2.8p5
• tzdata, o banco de dados para definições de fuso horário, foi atualizado para a versão 2016b
• Várias correções cosméticas foram feitas na interface do usuário da web
• Um erro que faz com que dispositivos de VLAN não sejam criados quando a NIC principal é instalada foi corrigido
• Cliente DHCP: A redefinição da MTU em NICs que perderam o link foi corrigida
• Um ramdisk para armazenar os bancos de dados dos gráficos mostrados na interface do usuário da web agora é usado por padrão novamente em instalações que usam a imagem flash quando mais de 400MB de memória estão disponíveis
• Foi corrigido um bug que a qualidade do serviço não conseguiu interromper
• Algum código antigo foi recondicionado e algum código não utilizado foi descartado em alguns componentes internos do IPFire
• Complementos:
• o owncloud foi atualizado para a versão 7.0.11
• o nano foi atualizado para a versão 2.5.1
• O rsync foi atualizado para a versão 3.1.2

O que há de novo na versão 2.17 Core 98 / 3.0 Alpha 1:

• Devido a uma vulnerabilidade de segurança recentemente descoberta na glibc, estamos lançando esta atualização principal que contém uma correção para CVE-2015-7547.
• A interface getaddrinfo () é glibc, a principal biblioteca C do sistema, usada para resolver nomes em endereços IP usando o DNS. Um invasor pode explorar o processo no sistema que está executando essa solicitação enviando uma resposta forjada que é muito longa, causando um estouro de buffer de pilha. Código potencialmente pode ser injetado e executado.

O
• IPFire não é, no entanto, diretamente explorável por esta vulnerabilidade, pois está usando um proxy DNS, que rejeita respostas DNS muito longas. Portanto, o próprio IPFire e todos os sistemas na rede que usam o IPFire como proxy DNS são protegidos pelo proxy DNS. No entanto, decidimos enviar um patch para essa vulnerabilidade o mais rápido possível.

O que há de novo na versão 2.17 Core 94 / 3.0 Alpha 1:

• OpenSSH:
• O OpenSSH foi atualizado para a versão 7.1p1. Com isso, adicionamos suporte a curvas elípticas (ECDSA e ED25519) e removemos o suporte para DSA, que é considerado quebrado. Chaves RSA muito pequenas também são removidas e regeneradas. Essas alterações podem exigir a importação das chaves do sistema IPFire em seu computador administrativo novamente.
• Agente de e-mail interno
• Foi adicionado um agente de correio interno que é usado pelos serviços internos para enviar relatórios ou alertas. Até agora apenas alguns serviços usam isso (como o add-on de contabilidade do squid), mas esperamos adicionar mais coisas no futuro.
• Esse é um agente de e-mail muito simples e leve que pode ser configurado na interface do usuário da web e geralmente requer um servidor de e-mail upstream.
• IPsec MOBIKE:
• Uma nova caixa de seleção na página de configurações avançadas de uma conexão IPsec foi adicionada. Permite forçar o uso de MOBIKE, uma tecnologia para o IPsec atravessar melhor o NAT. Às vezes, quando atrás de roteadores defeituosos, as conexões IPsec podem ser estabelecidas, mas nenhum dado pode ser transferido e a conexão quebra muito rapidamente (alguns roteadores têm dificuldades com o encaminhamento de pacotes DPD). MOBIKE evita isso usando a porta UDP 4500 para mensagens IKE.
• Misc:
• Os campos obrigatórios agora estão marcados com uma estrela. Anteriormente, era o contrário, de modo que os campos opcionais fossem marcados com uma estrela, o que não é mais visto em nenhum lugar da web.
• Uma atualização mensal forçada do ddns é removida, já que a ddns se preocupa em manter todos os registros atualizados e atualizá-los após 30 dias, se necessário.
• fireinfo: algumas falhas foram corrigidas com IDs que contêm apenas 0xff
• Pacotes atualizados:
• bind 9.10.2-P4, coreutils 8.24, dnsmasq obteve as últimas alterações importadas, arquivo 5.24, glibc (correções de segurança), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-erro 1.20, pcre (correções para mais buffer overflows), rrdtool 1.5.4, squid 3.4.14

O que há de novo na versão 2.17 Core 93 / 3.0 Alpha 1:

• Atualização do cliente DDNS:
• O ddns, nosso cliente de atualização de DNS dinâmico, foi atualizado para a versão 008. Essa versão é mais robusta contra erros de rede no caminho e erros de servidor no provedor. As atualizações serão repetidas com frequência.
• Os provedores joker.com e DNSmadeEasy agora são suportados
• Um travamento ao atualizar os registros do namecheap foi corrigido
• Misc:
• O Pakfire foi corrigido e agora obtém dependências adicionais de pacotes complementares ao atualizar a partir de uma versão mais antiga.
• O TRIM está desativado em alguns SSDs com erros de firmware conhecidos que causam perda de dados.
• squid-accounting: Corrigir vários erros de digitação em traduções
• /etc/ipsec.user-post.conf é adicionado ao backup, se existir
• Pacotes atualizados:
• bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (movido para o sistema core do add-on), libpcap 1.7.4, nettle 3.1.1, pcre (corrige CVE -2015-5073), lula 3.4.14
• Complementos:
• xícaras 2.0.4, fazer 4.1, nano 2.4.2