pfSense

Tela Software:
pfSense
Detalhes de Software:
Versão: 2.4.3-p1 Atualizado
Data de upload: 22 Jun 18
Revelador: Scott Ullrich
Licença: Livre
Popularidade: 2697

Rating: 3.8/5 (Total Votes: 9)

pfSense & reg; é um sistema operacional BSD de distribuição livre e de código aberto derivado do conhecido projeto m0n0wall, mas com objetivos radicalmente diferentes, como o uso do Packet Filter e as mais recentes tecnologias do FreeBSD.

O projeto pode ser usado como roteador e firewall. Ele inclui um sistema de pacotes que permite que os administradores do sistema estendam facilmente o produto sem adicionar potenciais vulnerabilidades de segurança e inchaço na distribuição básica.


Recursos em resumo

Os principais recursos incluem firewall de ponta, balanceamento de carga de entrada / saída, tabela de estados, NAT (Network Address Translation), alta disponibilidade, VPN (Virtual Private Network) com suporte a IPsec, PPTP e OpenVPN, PPPoE servidor, DNS dinâmico, portal cativo, relatórios e monitoramento.

Trata-se de um sistema operacional de firewall desenvolvido de maneira ativa, distribuído como Live CD arquivado em gz e imagens ISO somente para instalação, instaladores de pen-drive USB, além de mídia NanoBSD / embedded. Ambas as plataformas de hardware de 64 bits (amd64) e 32 bits (i386) são suportadas no momento.

Várias opções de inicialização predefinidas estão disponíveis durante o processo de inicialização, como inicializar o sistema operacional com configurações padrão, com ACPI desabilitada, usando dispositivos USB, no modo de segurança, no modo de usuário único, com log detalhado, bem como para acesse um prompt de shell ou reinicie a máquina.


Primeiros passos com o pfSense & reg;

Enquanto a distribuição perguntará aos usuários se eles querem configurar VLANs (Virtual LANs) desde o início, será necessário pelo menos uma interface de rede designada para funcionar. Isso significa que, se você não tiver / configurar pelo menos uma interface, pfSense & reg; nem sequer começa.

Sendo usado como um firewall para pequenas redes domésticas, universidades, grandes corporações ou qualquer outra organização onde a necessidade de proteger milhares de dispositivos de rede é extremamente importante, pfSense & reg; foi baixado por mais de um milhão de usuários de todo o mundo, desde a sua criação.


Linha de fundo

É um dos melhores projetos de firewall de código-fonte aberto projetado para fornecer aos usuários todos os recursos que os produtos de firewall comercial vêm com. Hoje, pfSense & reg; é usado em várias soluções de firewall de hardware, incluindo Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall ou Watchguard.

pfSense & reg; é uma marca registrada e marca de serviço de propriedade da Electric Sheep Fencing LLC. Veja www.electricsheepfencing.com.

O que há de novo nesta versão:

  • Segurança / Errata
  • Atualizado para o OpenSSL 1.0.2m para abordar o CVE-2017-3736 e o ​​CVE-2017-3735
  • FreeBSD-SA-17: 10.kldstat
  • FreeBSD-SA-17: 08.ptrace
  • Corrigido um potencial vetor XSS em status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
  • Corrigido um potencial vetor XSS em diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
  • Corrigido um possível vetor XSS no index.php através dos parâmetros de sequência do widget # 8000 pfSense-SA-17_09.webgui.asc
  • Corrigido um possível XSS no parâmetro widgetkey de widgets do painel de várias instâncias # 7998 pfSense-SA-17_09.webgui.asc
  • Corrigido um possível problema de clickjacking na página de erro do CSRF
  • Interfaces
  • Interfaces PPP fixas com um pai de VLAN ao usar os novos nomes de VLAN # 7981
  • Correção de problemas com as interfaces do QinQ não exibidas como ativas # 7942
  • Corrigido o pânico / travamento ao desabilitar uma interface LAGG # 7940
  • Corrigidos problemas com interfaces LAGG perdendo seu endereço MAC # 7928
  • Corrigida uma falha no radvd no SG-3100 (ARM) # 8022
  • Corrigido um problema com pacotes UDP descartados no SG-1000 # 7426
  • Adicionada uma interface para gerenciar o switch embutido no SG-3100
  • Apareceu mais caracteres na descrição da interface para evitar quebra de linha de saída do menu do console em um console VGA
  • Gerenciamento fixo do parâmetro uniqueid VIP ao alterar tipos VIP
  • Campo do parâmetro de link PPP fixo exibido quando uma interface pai VLAN foi selecionada # 8098
  • Sistema operacional
  • Correção de problemas resultantes de um layout do sistema de arquivos configurado manualmente com uma fatia / usr separada # 8065
  • Corrigidos problemas ao atualizar os sistemas ZFS criados ZFS usando um esquema de partição MBR (vazio / boot devido ao bootpool não sendo importado) # 8063
  • Correção de problemas com sessões do BGP utilizando assinaturas TCP MD5 em pacotes de daemon de roteamento # 7969
  • Dirter atualizado para 3,0
  • Aprimorou as opções e métodos de seleção do repositório de atualização
  • Atualizados os ajustes do sistema que informam ao sistema operacional que não coleta dados de interrupções, interfaces ponto-a-ponto e dispositivos Ethernet para refletir o novo nome / formato do FreeBSD 11
  • Alterou o processamento do conjunto de regras para que ele tente novamente se outro processo estiver no meio de uma atualização, em vez de apresentar um erro ao usuário
  • Corrigidos alguns problemas de inicialização do UEFI em várias plataformas
  • Certificados
  • Corrigidas entradas inválidas em /etc/ssl/openssl.cnf (apenas afetou o uso não padrão de openssl no cli / shell) # 8059
  • Autenticação LDAP fixa quando o servidor usa uma autoridade de certificação raiz globalmente confiável (nova seleção de autoridade de certificação para & quot; Lista global de autoridade de certificação raiz) # 8044
  • Corrigidos problemas ao criar um certificado com um curinga CN / SAN # 7994
  • Adicionada validação ao Gerenciador de Certificados para impedir a importação de um certificado de autoridade não certificado para a guia CA nº 7885
  • IPsec
  • Corrigido um problema usando certificados de CA IPsec quando o assunto contém vários RDNs do mesmo tipo # 7929
  • Corrigido um problema com a ativação do suporte ao cliente móvel IPsec em idiomas traduzidos # 8043
  • Correção de problemas com exibição / saída de status do IPsec, incluindo várias entradas (uma desconectada, uma conectada) # 8003
  • Exibição fixa de vários clientes IPsec móveis conectados # 7856
  • Exibição fixa de entradas de SA filho # 7856
  • OpenVPN
  • Adicionada uma opção para servidores OpenVPN utilizarem o & quot; redirect-gateway ipv6 & quot; atuar como o gateway padrão para conectar clientes VPN com IPv6, semelhante a & quot; redirect-gateway def1 & quot; para o IPv4. # 8082
  • Corrigida a opção de lista de certificados de clientes do OpenVPN # 8088
  • Traffic Shaping
  • Corrigido um erro ao configurar um limitador acima de 2Gb / s (o novo max é 4Gb / s) # 7979
  • Correção de problemas com interfaces de rede de bridge que não suportam ALTQ # 7936
  • Correção de problemas com interfaces de rede vtnet que não suportam o ALTQ # 7594
  • Corrigido um problema com Status & gt; Filas que não conseguem exibir estatísticas para interfaces de VLAN # 8007
  • Corrigido um problema com as filas de formatação de tráfego que não permitiam que o total de todas as filas filho fosse 100% # 7786
  • Corrigido um problema com limitadores com valores inválidos fracionários / não inteiros das entradas do limitador ou passados ​​para o Captive Portal do RADIUS # 8097
  • Regras / NAT
  • Corrigida a seleção de gateways IPv6 ao criar uma nova regra de firewall # 8053
  • Corrigidos erros na página de configuração de encaminhamento de porta resultante de dados de cookie / consulta antigos / não-pfSense # 8039
  • Corrigido a configuração da Prioridade de VLAN via regras de firewall # 7973
  • XMLRPC
  • Corrigido um problema com a sincronização de XMLRPC quando o usuário de sincronização tinha uma senha contendo espaços # 8032
  • Corrigidos problemas de XMLRPC com comprovantes do Captive Portal # 8079
  • WebGUI
  • Adicionada uma opção para desativar o HSTS para o servidor da Web da GUI # 6650
  • Alterado o serviço da web da GUI para bloquear o download direto de arquivos .inc # 8005
  • Corrigida a classificação dos Serviços no widget do painel e na página Status dos Serviços # 8069
  • Corrigido um problema de entrada em que entradas IPv6 estáticas permitiam entrada inválida para campos de endereço # 8024
  • Corrigido um erro de sintaxe JavaScript em gráficos de tráfego quando dados inválidos são encontrados (por exemplo, o usuário foi desconectado ou a sessão foi limpa) # 7990
  • Corrigidos erros de amostragem nos gráficos de tráfego # 7966
  • Corrigido um erro de JavaScript no Status & gt; Monitoramento # 7961
  • Corrigido um problema de exibição com tabelas vazias no Internet Explorer 11 # 7978
  • Processamento de configuração alterado para usar uma exceção em vez de die () quando detecta uma configuração corrompida
  • Adicionado filtragem à página do pfTop
  • Adicionado um meio para os pacotes exibirem um modal para o usuário (por exemplo, reinicialização necessária antes que o pacote possa ser usado)
  • Painel
  • Exibição fixa de atualizações disponíveis no widget Painel de Pacotes Instalados # 8035
  • Corrigido um problema de fonte no widget Painel de suporte # 7980
  • Formatação fixa de fatias / partições de disco no widget do Painel de informações do sistema
  • Corrigido um problema com o widget Fotos quando não há imagem válida salva # 7896
  • Pacotes
  • Exibição fixa de pacotes que foram removidos do repositório no Gerenciador de Pacotes # 7946
  • Corrigido um problema ao exibir pacotes instalados localmente quando o repositório de pacotes remoto estava indisponível # 7917
  • Misc
  • Ligação de interface fixa no ntpd para que não seja escutada erroneamente em todas as interfaces # 8046
  • Corrigido um problema em que reiniciar o serviço syslogd tornava sshlockout_pf o processo órfão # 7984
  • Adicionado suporte para o provedor de DNS dinâmico ClouDNS # 7823
  • Corrigido um problema nas páginas do Gerenciador de usuários e grupos ao operar nas entradas imediatamente após a exclusão de uma entrada # 7733
  • Alterou o assistente de configuração para ignorar a configuração da interface quando executado em uma Instância do AWS EC2 # 6459
  • Corrigido um problema de proxy IGMP com o modo Multidifusão no SG-1000 # 7710

O que há de novo na versão:

  • Atualizações do painel:
  • No Painel de Seleção de 2.3.4, você encontrará algumas informações adicionais: O fornecedor do BIOS, versão e data de lançamento - se o firewall puder determiná-los - e um ID Exclusivo do Netgate. O Netgate Unique ID é semelhante a um número de série, ele é usado para identificar de forma exclusiva uma instância do software pfSense para clientes que desejam adquirir serviços de suporte. Para hardware vendido em nossa loja, também nos permite vincular unidades aos nossos registros de fabricação. Essa ID é consistente em todas as plataformas (bare-metal, máquinas virtuais e instâncias hospedadas / na nuvem, como AWS / Azure). Originalmente, pretendíamos usar o número de série do hardware ou o UUID gerado pelo sistema operacional, mas descobrimos que eles não eram confiáveis, eram inconsistentes e poderiam ser alterados inesperadamente quando o sistema operacional fosse reinstalado.
  • Como no número de série, esse identificador só é exibido no Painel para fins informativos e não é transmitido em nenhum lugar automaticamente por padrão. No futuro, os clientes podem usar esse identificador ao solicitar informações de suporte de nossa equipe ou sistemas.
  • Se você ainda não acompanhou as alterações na versão 2.3.x, confira o vídeo Features and Highlights. Postagens passadas do blog abordaram algumas das alterações, como as melhorias de desempenho do tryforward e a atualização da webGUI.
  • Certificados da GUI do firewall:
  • Os usuários do Chrome 58 e posterior, e em alguns casos o Firefox 48 e posterior, podem ter problemas ao acessar a GUI da web do pfSense se usarem um certificado autoassinado padrão gerado automaticamente por um firewall executando a versão 2.3.3-p1 do pfSense ou mais cedo. Isso ocorre porque o Chrome 58 impõe rigidamente o RFC 2818, que exige apenas nomes de host correspondentes usando entradas de Nome alternativo da entidade (SAN) em vez do campo Nome comum de um certificado, e o certificado autoassinado padrão não preencheu o campo SAN. >
  • Corrigimos o código do certificado para seguir corretamente o RFC 2818 de uma maneira amigável ao adicionar automaticamente o valor do Nome Comum do certificado como a primeira entrada da SAN.
  • Os administradores de firewall precisarão gerar um novo certificado para uso pela GUI, a fim de utilizar o novo formato. Existem várias maneiras de gerar um certificado compatível, incluindo:
  • Gere e ative um novo certificado GUI automaticamente a partir do console ou do shell ssh usando um dos nossos scripts de reprodução:
  • pfSsh.php reprodução generateguicert
  • Utilize o pacote ACME para gerar um certificado confiável para a GUI via Let's Encrypt, que já está formatado corretamente.
  • Crie manualmente uma nova autoridade de certificação (CA) auto-assinada e um certificado de servidor assinado por essa autoridade de certificação e use-a para a GUI.
  • Ative o navegador local & quot; AtivarNomeComenteImportanteForLocalAnchors & quot; opção no Chrome 58. Essa configuração será removida pelo Chrome eventualmente, portanto, isso é apenas uma correção temporária.
  • Alguns usuários podem lembrar que essa não é a primeira vez que o formato de certificado padrão é problemático devido a alterações no navegador. Vários anos atrás, o Firefox mudou a forma como calculam cadeias de confiança de certificados, o que poderia fazer com que um navegador parasse de congelar ou travar ao tentar acessar vários firewalls com certificados auto-assinados contendo dados padrão comuns que resultaram em todos os certificados contendo o mesmo Assunto. Consertar isso foi mais um desafio, mas resultou em uma experiência muito melhor para o usuário final.

O que há de novo na versão 2.3.4:

  • Atualizações do painel:
  • No Painel de Seleção de 2.3.4, você encontrará algumas informações adicionais: O fornecedor do BIOS, versão e data de lançamento - se o firewall puder determiná-los - e um ID Exclusivo do Netgate. O Netgate Unique ID é semelhante a um número de série, ele é usado para identificar de forma exclusiva uma instância do software pfSense para clientes que desejam adquirir serviços de suporte. Para hardware vendido em nossa loja, também nos permite vincular unidades aos nossos registros de fabricação. Essa ID é consistente em todas as plataformas (bare-metal, máquinas virtuais e instâncias hospedadas / na nuvem, como AWS / Azure). Originalmente, pretendíamos usar o número de série do hardware ou o UUID gerado pelo sistema operacional, mas descobrimos que eles não eram confiáveis, eram inconsistentes e poderiam ser alterados inesperadamente quando o sistema operacional fosse reinstalado.
  • Como no número de série, esse identificador só é exibido no Painel para fins informativos e não é transmitido em nenhum lugar automaticamente por padrão. No futuro, os clientes podem usar esse identificador ao solicitar informações de suporte de nossa equipe ou sistemas.
  • Se você ainda não acompanhou as alterações na versão 2.3.x, confira o vídeo Features and Highlights. Postagens passadas do blog abordaram algumas das alterações, como as melhorias de desempenho do tryforward e a atualização da webGUI.
  • Certificados da GUI do firewall:
  • Os usuários do Chrome 58 e posterior, e em alguns casos o Firefox 48 e posterior, podem ter problemas ao acessar a GUI da web do pfSense se usarem um certificado autoassinado padrão gerado automaticamente por um firewall executando a versão 2.3.3-p1 do pfSense ou mais cedo. Isso ocorre porque o Chrome 58 impõe rigidamente o RFC 2818, que exige apenas nomes de host correspondentes usando entradas de Nome alternativo da entidade (SAN) em vez do campo Nome comum de um certificado, e o certificado autoassinado padrão não preencheu o campo SAN. >
  • Corrigimos o código do certificado para seguir corretamente o RFC 2818 de uma maneira amigável ao adicionar automaticamente o valor do Nome Comum do certificado como a primeira entrada da SAN.
  • Os administradores de firewall precisarão gerar um novo certificado para uso pela GUI, a fim de utilizar o novo formato. Existem várias maneiras de gerar um certificado compatível, incluindo:
  • Gere e ative um novo certificado GUI automaticamente a partir do console ou do shell ssh usando um dos nossos scripts de reprodução:
  • pfSsh.php reprodução generateguicert
  • Utilize o pacote ACME para gerar um certificado confiável para a GUI via Let's Encrypt, que já está formatado corretamente.
  • Crie manualmente uma nova autoridade de certificação (CA) auto-assinada e um certificado de servidor assinado por essa autoridade de certificação e use-a para a GUI.
  • Ative o navegador local & quot; AtivarNomeComenteImportanteForLocalAnchors & quot; opção no Chrome 58. Essa configuração será removida pelo Chrome eventualmente, portanto, isso é apenas uma correção temporária.
  • Alguns usuários podem lembrar que essa não é a primeira vez que o formato de certificado padrão é problemático devido a alterações no navegador. Vários anos atrás, o Firefox mudou a forma como calculam cadeias de confiança de certificados, o que poderia fazer com que um navegador parasse de congelar ou travar ao tentar acessar vários firewalls com certificados auto-assinados contendo dados padrão comuns que resultaram em todos os certificados contendo o mesmo Assunto. Consertar isso foi mais um desafio, mas resultou em uma experiência muito melhor para o usuário final.

O que há de novo na versão 2.3.3-p1:

  • FreeBSD-SA-16: 26.openssl - Várias vulnerabilidades no OpenSSL. O único impacto significativo no pfSense é o OCSP para o HAproxy e o FreeRADIUS.
  • Várias Erratas relacionadas ao HyperV no FreeBSD 10.3, FreeBSD-PT-16: 10 a 16:16. Veja https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para detalhes.
  • Vários pacotes e bibliotecas internos foram atualizados, incluindo:
  • PHP para 5.6.26
  • libidn para 1,33
  • curl para 7,50,3
  • libxml2 para 2.9.4
  • Adicionada codificação ao parâmetro 'zone' nas páginas do portal cativo.
  • Adicionada codificação de saída a diag_dns.php para resultados retornados do DNS. # 6737
  • Trabalhou com um bug do Chrome com análise de expressão regular de caracteres de escape em conjuntos de caracteres. Correções & quot; Por favor, coincidam com o formato solicitado & quot; nas versões recentes do Chrome. # 6762
  • Opção de formato de hora do servidor DHCPv6 fixo # 6640
  • Corrigido / usr / bin / install ausente de novas instalações. # 6643
  • Aumento do limite de limite de filtragem para registro, portanto, a pesquisa localizará entradas suficientes. # 6652
  • Limpou o widget Pacotes instalados e o HTML. # 6601
  • Correção da corrupção das configurações do widget ao criar novas configurações. # 6669
  • Corrigidos vários erros de digitação e erros de redação.
  • Removidos links desativados para o site devwiki. Tudo está em https://doc.pfsense.org agora.
  • Adicionou um campo a páginas de CA / Cert para OU, o que é exigido por algumas CAs externas e usuários. # 6672
  • Corrigido um HTTP redundante & quot; User-Agent & quot; string nas atualizações do DynDNS.
  • Corrigida a fonte das tabelas classificáveis.
  • Adicionada uma verificação para verificar se uma interface está ativa em um grupo de gateway antes de atualizar o DNS dinâmico.
  • Palavras fixas de "Rejeitar concessões de & quot; opção para uma interface DHCP (só pode ter endereços, não sub-redes). # 6646
  • Relatório de erros corrigido para o teste de configurações de SMTP.
  • Economia de país, provedor e plano de valores para interfaces PPP
  • Verificação fixa de "Ir para linha" inválida números no diag_edit.php. # 6704
  • Corrigido erro "off-by-one" com "Linhas para exibição" em diag_routes.php. # 6705
  • Descrição fixa da caixa de filtro no diag_routes.php para refletir que todos os campos são pesquisáveis. # 6706
  • Descrição fixa da caixa para o arquivo a ser editado em diag_edit.php. # 6703
  • Descrição fixa do painel principal no diag_resetstate.php. # 6709
  • Diálogo de aviso fixo quando uma caixa é desmarcada em diag_resetstate.php. # 6710
  • Atalho de log fixo para áreas DHCP6. # 6700
  • Corrigido o botão de exclusão de rede mostrando quando apenas uma linha estava presente em services_unbound_acls.php # 6716
  • Corrigido texto de ajuda desaparecendo nas linhas repetitivas quando a última linha é excluída. # 6716
  • Corrigido o domínio DNS dinâmico para entradas DHCP do mapa estático
  • Adicionado controle para definir o período de atualização do widget do painel
  • Adicionados & quot; -C / dev / null & quot; para os parâmetros da linha de comando do dnsmasq para evitar que ele receba uma configuração padrão incorreta que anularia nossas opções. # 6730
  • Adicionado & quot; -l & quot; para traceroute6 para mostrar endereços IP e nomes de host ao resolver o salto em diag_traceroute.php. # 6715
  • Adicionada nota sobre max ttl / hop limit no comentário de origem no diag_traceroute.php.
  • Linguagem esclarecida em diag_tables.php. # 6713
  • Limpou o texto em diag_sockets.php. # 6708
  • Exibição fixa de nomes de interface de VLAN durante a atribuição do console. # 6724
  • Opção de servidores de nomes de domínio fixos exibida duas vezes em pools quando definidos manualmente.
  • Manipulação fixa de opções de DHCP em conjuntos diferentes do intervalo principal. # 6720
  • Corrigidos nomes de host ausentes em alguns casos com o dhcpdv6. # 6589
  • Manipulação aprimorada de pidfile para dhcpleases.
  • Adicionadas verificações para impedir o acesso a um deslocamento indefinido em IPv6.inc.
  • Corrigida a exibição do pop-up do alias e as opções de edição na origem e no destino para o endereço e a porta no NAT de saída.
  • Tratamento fixo da contagem de configurações de backup. # 6771
  • Removidas algumas referências de PPTP pendentes que não são mais relevantes.
  • Áreas de syslog remotas / recuperadas. Foram adicionados os termos & quot; encaminhamento & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; resolvedor & quot ;, fixo & quot; vpn & quot; para incluir todas as áreas VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Corrigido caixas de seleção ausentes em alguns casos ao adicionar linhas em services_ntpd.php. # 6788
  • Ícones de execução / interrupção de serviços revisados.
  • Adicionada uma verificação ao gerenciamento da CRL para remover certificados da lista suspensa que já estão contidos na CRL que está sendo editada.
  • Separadores de regras fixos que se movem quando várias regras de firewall são excluídas ao mesmo tempo. # 6801

O que há de novo na versão 2.3.3:

  • FreeBSD-SA-16: 26.openssl - Várias vulnerabilidades no OpenSSL. O único impacto significativo no pfSense é o OCSP para o HAproxy e o FreeRADIUS.
  • Várias Erratas relacionadas ao HyperV no FreeBSD 10.3, FreeBSD-PT-16: 10 a 16:16. Veja https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para detalhes.
  • Vários pacotes e bibliotecas internos foram atualizados, incluindo:
  • PHP para 5.6.26
  • libidn para 1,33
  • curl para 7,50,3
  • libxml2 para 2.9.4
  • Adicionada codificação ao parâmetro 'zone' nas páginas do portal cativo.
  • Adicionada codificação de saída a diag_dns.php para resultados retornados do DNS. # 6737
  • Trabalhou com um bug do Chrome com análise de expressão regular de caracteres de escape em conjuntos de caracteres. Correções "Corresponda ao formato solicitado" nas versões recentes do Chrome. # 6762
  • Opção de formato de hora do servidor DHCPv6 fixo # 6640
  • Corrigido / usr / bin / install ausente de novas instalações. # 6643
  • Aumento do limite de limite de filtragem para registro, portanto, a pesquisa localizará entradas suficientes. # 6652
  • Limpou o widget Pacotes instalados e o HTML. # 6601
  • Correção da corrupção das configurações do widget ao criar novas configurações. # 6669
  • Corrigidos vários erros de digitação e erros de redação.
  • Removidos links desativados para o site devwiki. Tudo está em https://doc.pfsense.org agora.
  • Adicionou um campo a páginas de CA / Cert para OU, o que é exigido por algumas CAs externas e usuários. # 6672
  • Corrigida uma string HTTP "User-Agent" redundante nas atualizações do DynDNS.
  • Corrigida a fonte das tabelas classificáveis.
  • Adicionada uma verificação para verificar se uma interface está ativa em um grupo de gateway antes de atualizar o DNS dinâmico.
  • Palavras fixas da opção "Rejeitar concessões de" para uma interface DHCP (só pode ter endereços, não sub-redes). # 6646
  • Relatório de erros corrigido para o teste de configurações de SMTP.
  • Economia de país, provedor e plano de valores para interfaces PPP
  • Verificação fixa de números inválidos "Ir para linha" em diag_edit.php. # 6704
  • Corrigido erro off-by-one com "Linhas a serem exibidas" em diag_routes.php. # 6705
  • Descrição fixa da caixa de filtro no diag_routes.php para refletir que todos os campos são pesquisáveis. # 6706
  • Descrição fixa da caixa para o arquivo a ser editado em diag_edit.php. # 6703
  • Descrição fixa do painel principal no diag_resetstate.php. # 6709
  • Diálogo de aviso fixo quando uma caixa é desmarcada em diag_resetstate.php. # 6710
  • Atalho de log fixo para áreas DHCP6. # 6700
  • Corrigido o botão de exclusão de rede mostrando quando apenas uma linha estava presente em services_unbound_acls.php # 6716
  • Corrigido texto de ajuda desaparecendo nas linhas repetitivas quando a última linha é excluída. # 6716
  • Corrigido o domínio DNS dinâmico para entradas DHCP do mapa estático
  • Adicionado controle para definir o período de atualização do widget do painel
  • Adicionamos "-C / dev / null" aos parâmetros da linha de comando do dnsmasq para evitar que ele pegasse uma configuração padrão incorreta que substituísse nossas opções. # 6730
  • Adicionado "-l" ao traceroute6 para mostrar endereços IP e nomes de host ao resolver o salto em diag_traceroute.php. # 6715
  • Adicionada nota sobre max ttl / hop limit no comentário de origem no diag_traceroute.php.
  • Linguagem esclarecida em diag_tables.php. # 6713
  • Limpou o texto em diag_sockets.php. # 6708
  • Exibição fixa de nomes de interface de VLAN durante a atribuição do console. # 6724
  • Opção de servidores de nomes de domínio fixos exibida duas vezes em pools quando definidos manualmente.
  • Manipulação fixa de opções de DHCP em conjuntos diferentes do intervalo principal. # 6720
  • Corrigidos nomes de host ausentes em alguns casos com o dhcpdv6. # 6589
  • Manipulação aprimorada de pidfile para dhcpleases.
  • Adicionadas verificações para impedir o acesso a um deslocamento indefinido no IPv6.inc.
  • Corrigida a exibição do pop-up do alias e as opções de edição na origem e no destino para o endereço e a porta no NAT de saída.
  • Tratamento fixo da contagem de configurações de backup. # 6771
  • Removidas algumas referências de PPTP pendentes que não são mais relevantes.
  • Áreas de syslog remotas / recuperadas. Adicionado "roteamento", "ntpd", "ppp", "resolver", corrigido "vpn" para incluir todas as áreas VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Corrigido caixas de seleção ausentes em alguns casos ao adicionar linhas em services_ntpd.php. # 6788
  • Ícones de execução / interrupção de serviços revisados.
  • Adicionada uma verificação ao gerenciamento da CRL para remover certificados da lista suspensa que já estão contidos na CRL que está sendo editada.
  • Separadores de regras fixos que se movem quando várias regras de firewall são excluídas ao mesmo tempo. # 6801

O que há de novo na versão 2.3.2-p1:

  • FreeBSD-SA-16: 26.openssl - Várias vulnerabilidades no OpenSSL. O único impacto significativo no pfSense é o OCSP para o HAproxy e o FreeRADIUS.
  • Várias Erratas relacionadas ao HyperV no FreeBSD 10.3, FreeBSD-PT-16: 10 a 16:16. Veja https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para detalhes.
  • Vários pacotes e bibliotecas internos foram atualizados, incluindo:
  • PHP para 5.6.26
  • libidn para 1,33
  • curl para 7,50,3
  • libxml2 para 2.9.4
  • Adicionada codificação ao parâmetro 'zone' nas páginas do portal cativo.
  • Adicionada codificação de saída a diag_dns.php para resultados retornados do DNS. # 6737
  • Trabalhou com um bug do Chrome com análise de expressão regular de caracteres de escape em conjuntos de caracteres. Correções "Corresponda ao formato solicitado" nas versões recentes do Chrome. # 6762
  • Opção de formato de hora do servidor DHCPv6 fixo # 6640
  • Corrigido / usr / bin / install ausente de novas instalações. # 6643
  • Aumento do limite de limite de filtragem para registro, portanto, a pesquisa localizará entradas suficientes. # 6652
  • Limpou o widget Pacotes instalados e o HTML. # 6601
  • Correção da corrupção das configurações do widget ao criar novas configurações. # 6669
  • Corrigidos vários erros de digitação e erros de redação.
  • Removidos links desativados para o site devwiki. Tudo está em https://doc.pfsense.org agora.
  • Adicionou um campo a páginas de CA / Cert para OU, o que é exigido por algumas CAs externas e usuários. # 6672
  • Corrigida uma string HTTP "User-Agent" redundante nas atualizações do DynDNS.
  • Corrigida a fonte das tabelas classificáveis.
  • Adicionada uma verificação para verificar se uma interface está ativa em um grupo de gateway antes de atualizar o DNS dinâmico.
  • Palavras fixas da opção "Rejeitar concessões de" para uma interface DHCP (só pode ter endereços, não sub-redes). # 6646
  • Relatório de erros corrigido para o teste de configurações de SMTP.
  • Economia de país, provedor e plano de valores para interfaces PPP
  • Verificação fixa de números inválidos "Ir para linha" em diag_edit.php. # 6704
  • Corrigido erro off-by-one com "Linhas a serem exibidas" em diag_routes.php. # 6705
  • Descrição fixa da caixa de filtro no diag_routes.php para refletir que todos os campos são pesquisáveis. # 6706
  • Descrição fixa da caixa para o arquivo a ser editado em diag_edit.php. # 6703
  • Descrição fixa do painel principal no diag_resetstate.php. # 6709
  • Diálogo de aviso fixo quando uma caixa é desmarcada em diag_resetstate.php. # 6710
  • Atalho de log fixo para áreas DHCP6. # 6700
  • Corrigido o botão de exclusão de rede mostrando quando apenas uma linha estava presente em services_unbound_acls.php # 6716
  • Corrigido texto de ajuda desaparecendo nas linhas repetitivas quando a última linha é excluída. # 6716
  • Corrigido o domínio DNS dinâmico para entradas DHCP do mapa estático
  • Adicionado controle para definir o período de atualização do widget do painel
  • Adicionamos "-C / dev / null" aos parâmetros da linha de comando do dnsmasq para evitar que ele pegasse uma configuração padrão incorreta que substituísse nossas opções. # 6730
  • Adicionado "-l" ao traceroute6 para mostrar endereços IP e nomes de host ao resolver o salto em diag_traceroute.php. # 6715
  • Adicionada nota sobre max ttl / hop limit no comentário de origem no diag_traceroute.php.
  • Linguagem esclarecida em diag_tables.php. # 6713
  • Limpou o texto em diag_sockets.php. # 6708
  • Exibição fixa de nomes de interface de VLAN durante a atribuição do console. # 6724
  • Opção de servidores de nomes de domínio fixos exibida duas vezes em pools quando definidos manualmente.
  • Manipulação fixa de opções de DHCP em conjuntos diferentes do intervalo principal. # 6720
  • Corrigidos nomes de host ausentes em alguns casos com o dhcpdv6. # 6589
  • Manipulação aprimorada de pidfile para dhcpleases.
  • Adicionadas verificações para impedir o acesso a um deslocamento indefinido no IPv6.inc.
  • Corrigida a exibição do pop-up do alias e as opções de edição na origem e no destino para o endereço e a porta no NAT de saída.
  • Tratamento fixo da contagem de configurações de backup. # 6771
  • Removidas algumas referências de PPTP pendentes que não são mais relevantes.
  • Áreas de syslog remotas / recuperadas. Adicionado "roteamento", "ntpd", "ppp", "resolver", corrigido "vpn" para incluir todas as áreas VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
  • Corrigido caixas de seleção ausentes em alguns casos ao adicionar linhas em services_ntpd.php. # 6788
  • Ícones de execução / interrupção de serviços revisados.
  • Adicionada uma verificação ao gerenciamento da CRL para remover certificados da lista suspensa que já estão contidos na CRL que está sendo editada.
  • Separadores de regras fixos que se movem quando várias regras de firewall são excluídas ao mesmo tempo. # 6801

O que há de novo na versão 2.3.2:

  • Backup / restauração:
  • Não permita a aplicação de alterações na restauração pós-configuração de incompatibilidade de interface até que a reatribuição seja salva. # 6613
  • Painel:
  • O Dashboard agora tem opções de configuração por usuário, documentadas no Gerenciador de usuários. # 6388
  • Servidor DHCP:
  • Desativado dhcp-cache-threshold para evitar erro no ISC dhcpd 4.3.x omitindo client-hostname do arquivo de concessões, o que faz com que o registro dinâmico de nome de host falhe em alguns casos de borda. # 6589
  • Observe que a chave DDNS deve ser HMAC-MD5. # 6622
  • Retransmissão DHCP:
  • Correção importada para solicitações de retransmissão de dhcrelay na interface em que o servidor DHCP de destino reside. # 6355
  • DNS dinâmico:
  • Permitir * para o nome do host com Namecheap. # 6260
  • Interfaces:
  • Correção "não é possível atribuir o endereço solicitado" durante a inicialização com interfaces track6. # 6317
  • Remova as opções de link reprovadas do GRE e do gif. # 6586, # 6587
  • Obedeça a "Rejeitar concessões de" quando a opção "Opções avançadas" do DHCP estiver marcada. # 6595
  • Proteja os delimitadores delimitados na configuração avançada do cliente DHCP, para que as vírgulas possam ser usadas lá. # 6548
  • Corrigir rota padrão em interfaces PPPoE ausentes em alguns casos de borda. # 6495
  • IPsec:
  • strongSwan atualizado para o 5.5.0.
  • Inclua agressivo no ipsec.conf onde o modo IKE automático está selecionado. # 6513
  • Monitoramento de gateway:
  • Corrigido o "nome do soquete muito grande", fazendo com que o monitoramento do gateway falhe em nomes de interface longos e endereços IPv6. # 6505
  • Limitadores:
  • Defina pipe_slot_limit automaticamente para o valor qlimit máximo configurado. # 6553
  • Monitoramento:
  • Corrigido nenhum período de dados sendo relatado como 0, distorcendo médias. # 6334
  • Corrija a dica de ferramenta exibida como "nenhum" para alguns valores. # 6044
  • Corrigir o salvamento de algumas opções de configuração padrão. # 6402
  • Corrigir os tiques do eixo X que não respondem à resolução para períodos de tempo personalizados. # 6464
  • OpenVPN:
  • Sincronize novamente as configurações específicas do cliente após salvar as instâncias do servidor OpenVPN para garantir que suas configurações reflitam a configuração atual do servidor. # 6139
  • Sistema operacional:
  • Estados de fragmentos de pf fixos não estão sendo eliminados, ativando "limite de entradas de fragmentos de PF atingido". # 6499
  • Defina a localização do arquivo principal para que eles não possam terminar em / var / run e esgotem seu espaço disponível. # 6510
  • Corrigido o spam de log "runtime go backwards" no Hyper-V. # 6446
  • Traceroute6 fixo trava com salto não respondendo no caminho. # 3069
  • Adicionado symlink /var/run/dmesg.boot para vm-bhyve. # 6573
  • Configure net.isr.dispatch = direct em sistemas de 32 bits com o IPsec ativado para evitar travamentos ao acessar serviços no próprio host via VPN. # 4754
  • Anúncios de roteador:
  • Adicionados campos de configuração para intervalos de anúncio de roteador mínimo e máximo e tempo de vida do roteador. # 6533
  • Roteamento:
  • Rotas estáticas fixas com roteador de destino local de link IPv6 para incluir o escopo da interface. # 6506
  • Regras / NAT:
  • Marcador de espaço "PPPoE Clients" corrigido em regras e NAT e erro de conjunto de regras ao usar regras flutuantes especificando o servidor PPPoE. # 6597
  • Corrigida falha ao carregar o conjunto de regras com aliases de tabela de URL em que o arquivo vazio era especificado. # 6181
  • Proxy TFTP fixo com xinetd. # 6315
  • Atualização:
  • Corrigidas falhas de atualização do nanobsd em que o DNS Forwarder / Resolver não se ligava ao host local. # 6557
  • IPs virtuais:
  • Corrigidos problemas de desempenho com um grande número de IPs virtuais. # 6515
  • Corrigido esgotamento de memória do PHP na página de status do CARP com grandes tabelas de estado. # 6364
  • Interface da Web:
  • Adicionada a classificação à tabela de mapeamentos estáticos do DHCP. # 6504
  • Upload de arquivo fixo de NTP leap seconds. # 6590
  • Adicionado suporte a IPv6 para diag_dns.php. # 6561
  • Adicionado suporte a IPv6 para filtrar a pesquisa inversa de logs. # 6585
  • Sistema de pacotes - retém dados de campo no erro de entrada. # 6577
  • Corrigidos vários problemas de validação de entrada IPv6 que permitem IPs IPv6 inválidos. # 6551, # 6552
  • Corrigidas algumas concessões de DHCPv6 ausentes da exibição de concessões de GUI. # 6543
  • Corrigida a morte de estados para a direção 'in' e estados com destino traduzido. # 6530, # 6531
  • Restaurar a validação de entrada de nomes de zonas de portal cativos para evitar XML inválido. # 6514
  • Selecionador de data do calendário substituído no gerenciador de usuários com um que funciona em navegadores diferentes do Chrome e do Opera. # 6516
  • Campo da porta proxy restaurada para o cliente OpenVPN. # 6372
  • Esclareça a descrição dos aliases de portas. # 6523
  • Saída de tradução fixa em que gettext passava uma string vazia. # 6394
  • Seleção de velocidade fixa para 9600 na configuração GPS NTP. # 6416
  • Permitir somente IPv6 IPs na tela NPT. # 6498
  • Adicione suporte a importação de alias para redes e portas. # 6582
  • Esquisitices de encapsulamento de cabeçalho de tabela ordenável. # 6074
  • Limpar a seção Inicialização em rede da tela do servidor DHCP. # 6050
  • Corrigir os links "DESCONHECIDO" no gerenciador de pacotes. # 6617
  • Corrija o campo de largura de banda ausente para as filas do CBQ do shaper de tráfego. # 6437
  • UPnP:
  • URL de apresentação do UPnP e número do modelo agora configurável. # 6002
  • Gerenciador de usuários:
  • Proibir que os administradores excluam suas próprias contas no gerenciador de usuários. # 6450
  • Outro:
  • Adicionadas sessões de shell PHP para ativar e desativar o modo de manutenção persistente do CARP. "playback enablecarpmaint" e "playback disablecarpmaint". # 6560
  • Configuração do console serial exposto para nanobsd VGA. # 6291

O que há de novo na versão 2.3.1 Atualização 5:

  • As mudanças mais significativas nesta versão são uma reescrita da webGUI utilizando o Bootstrap, e o sistema subjacente, incluindo o sistema básico e o kernel, sendo convertido inteiramente para o pacote do FreeBSD. A conversão pkg nos permite atualizar partes do sistema individualmente, em vez de atualizações monolíticas do passado. A reescrita da webGUI traz uma nova aparência responsiva ao pfSense, exigindo um mínimo de redimensionamento ou rolagem em uma ampla variedade de dispositivos, de desktops a telefones celulares.

O que há de novo na versão 2.2.6 / 2.3 Alpha:

  • pfSense-SA-15_09.webgui: Vulnerabilidade de inclusão de arquivos locais na WebGUI do pfSense
  • pfSense-SA-15_10.captiveportal: SQL Injection Vulnerabilidade no logout do portal cativo do pfSense
  • pfSense-SA-15_11.webgui: Várias vulnerabilidades de XSS e CSRF na WebGUI do pfSense
  • Atualizado para o FreeBSD 10.1-RELEASE-p25
  • FreeBSD-SA-15: 26.openssl Múltiplas vulnerabilidades no OpenSSL
  • Updated strongSwan para 5.3.5_2
  • Inclui correção para a vulnerabilidade de desvio de autenticação CVE-2015-8023 no plug-in eap-mschapv2.

O que há de novo na versão 2.2.5 / 2.3 Alpha:

  • pfSense-SA-15_08.webgui: Várias vulnerabilidades de XSS armazenadas na WebGUI do pfSense
  • Atualizado para o FreeBSD 10.1-RELEASE-p24:
  • FreeBSD-SA-15: 25.ntp Múltiplas vulnerabilidades no NTP [REVISADO]
  • FreeBSD-SA-15: 14.bsdpatch: Devido à sanitização insuficiente do fluxo de patch de entrada, é possível que um arquivo de patch faça com que o patch (1) execute comandos além dos comandos SCCS ou RCS desejados. / li>
  • FreeBSD-SA-15: 16.openssh: O cliente OpenSSH não verifica corretamente os registros DNS SSHFP quando um servidor oferece um certificado. CVE-2014-2653 Os servidores OpenSSH configurados para permitir autenticação de senha usando o PAM (padrão) permitiriam muitas tentativas de senha.
  • FreeBSD-SA-15: 18.bsdpatch: Devido a sanitização insuficiente do fluxo de correção de entrada, é possível que um arquivo de correção faça com que o patch (1) passe certos scripts ed (1) para o ed (1) editor, que executaria comandos.
  • FreeBSD-SA-15: 20.expat: Vários overflows inteiros foram descobertos na função XML_GetBuffer () na biblioteca de expatriados.
  • FreeBSD-SA-15: 21.amd64: Se a instrução IRET do modo kernel gerar uma exceção #SS ou #NP, mas o manipulador de exceções não garantir adequadamente que a base de registradores GS correta para o kernel seja recarregada , o segmento userland GS pode ser usado no contexto do manipulador de exceções do kernel.
  • FreeBSD-SA-15: 22.openssh: Um erro de programação no processo de monitor privilegiado do serviço sshd (8) pode permitir que o nome de usuário de um usuário já autenticado seja sobrescrito pelo processo filho não privilegiado. Um erro "usar-depois-livre" no processo de monitor privilegiado do serviço sshd (8) pode ser desencadeado de forma determinista pelas ações de um processo filho não privilegiado comprometido. Um erro use-after-free no código de multiplexação da sessão no serviço sshd (8) pode resultar no encerramento não intencional da conexão.

O que há de novo na versão 2.2.4:

  • pfSense-SA-15_07.webgui: Várias vulnerabilidades de XSS armazenadas na WebGUI do pfSense
  • A lista completa de páginas e campos afetados é listada na SA vinculada.
  • FreeBSD-SA-15: 13.tcp: Esgotamento de recursos devido a sessões presas no estado LAST_ACK. Observe que isso se aplica apenas a cenários em que as portas que escutam o pfSense em si (não as coisas passadas por meio de NAT, roteamento ou bridging) são abertas para redes não confiáveis. Isso não se aplica à configuração padrão.
  • Nota: O FreeBSD-SA-15: 13.openssl não se aplica ao pfSense. O pfSense não incluiu uma versão vulnerável do OpenSSL e, portanto, não estava vulnerável.
  • Correções adicionais para corrupção de arquivos em vários casos durante um desligamento não limpo (travamento, perda de energia, etc.). # 4523
  • Corrigido o pw no FreeBSD para lidar com a corrupção passwd / group
  • Corrigido o arquivo config.xml para usar o fsync corretamente para evitar casos em que ele poderia acabar vazio. # 4803
  • Removida a opção & lsquo; sync 'dos ​​sistemas de arquivos para novas instalações completas e upgrades completos, agora que a correção real está em vigor.
  • Removidos softupdates e journaling (AKA SU + J) do NanoBSD, eles permanecem em instalações completas. # 4822
  • O patch de forceync para o # 2401 ainda é considerado prejudicial ao sistema de arquivos e foi mantido fora. Como tal, pode haver alguma lentidão perceptível com o NanoBSD em determinados discos mais lentos, especialmente cartões CF e, em menor grau, cartões SD. Se isso for um problema, o sistema de arquivos pode ser mantido em modo permanente de leitura / gravação usando a opção em Diagnóstico & gt; NanoBSD Com as outras mudanças acima, o risco é mínimo. Aconselhamos a substituição da mídia CF / SD afetada por um cartão novo e mais rápido, o mais rápido possível. # 4822
  • Atualizou o PHP para 5.5.27 para abordar o CVE-2015-3152 # 4832
  • LogGraceTime de SSH reduzido de 2 minutos a 30 segundos para atenuar o impacto do erro de desvio de MaxAuthTries. Nota O Sshlockout bloqueia os IPs ofensivos em todas as versões anteriores, atuais e futuras. # 4875

O que há de novo na versão 2.2.3:

  • pfSense-SA-15_06.webgui: Várias vulnerabilidades de XSS na WebGUI do pfSense
  • A lista completa de páginas e campos afetados é grande e todos estão listados na SA vinculada.
  • FreeBSD-SA-15: 10.openssl: Várias vulnerabilidades do OpenSSL (incluindo o logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

O que há de novo na versão 2.2.2:

  • Esta versão inclui duas atualizações de segurança de baixo risco:
  • FreeBSD-SA-15: 09.ipv6: Negação de serviço com anúncios do roteador IPv6. Quando um sistema está usando o tipo de WAN DHCPv6, os dispositivos no mesmo domínio de broadcast dessa WAN podem enviar pacotes criados fazendo com que o sistema perca conectividade com a Internet IPv6.
  • FreeBSD-SA-15: 06.openssl: Várias vulnerabilidades do OpenSSL. A maioria não é aplicável e o pior impacto é a negação de serviço.

O que há de novo na versão 2.2.1:

  • Correções de segurança:
  • pfSense-SA-15_02.igmp: Estouro de inteiro no protocolo IGMP (FreeBSD-SA-15: 04.igmp)
  • pfSense-SA-15_03.webgui: Várias vulnerabilidades de XSS na WebGUI do pfSense
  • pfSense-SA-15_04.webgui: Vulnerabilidade arbitrária de exclusão de arquivos na WebGUI do pfSense
  • FreeBSD-PT-15: 01.vt: vt (4) travar com parâmetros ioctl incorretos
  • FreeBSD-PT-15: 02.openssl: atualização para incluir correções de confiabilidade do OpenSSL
  • Uma nota sobre a vulnerabilidade "FREAK" do OpenSSL:
  • Não afeta a configuração do servidor da Web no firewall, pois não possui códigos de exportação ativados.

  • O
  • pfSense 2.2 já incluía o OpenSSL 1.0.1k que abordava a vulnerabilidade do lado do cliente.
  • Se os pacotes incluírem um servidor da Web ou componente semelhante, como um proxy, uma configuração de usuário inadequada poderá ser afetada. Consulte a documentação ou fórum do pacote para detalhes.

O que há de novo na versão 2.2:

  • Esta versão traz melhorias no desempenho e no suporte de hardware da base do FreeBSD 10.1, bem como aprimoramentos que adicionamos, como o AES-GCM com aceleração AES-NI, entre vários outros novos recursos e correções de erros.
  • No processo de lançamento, encerramos o total de 392 tíquetes (esse número inclui 55 recursos ou tarefas), corrigimos 135 bugs afetando o 2.1.5 e versões anteriores, corrigimos outros 202 bugs introduzidos no 2.2 avançando a base Versão do SO do FreeBSD 8.3 para 10.1, mudando os daemons de keying IPsec de racoon para strongSwan, atualizando o backend do PHP para a versão 5.5 e trocando-o de FastCGI para PHP-FPM e adicionando o Unbound DNS Resolver e muitas pequenas alterações.
  • Esta versão contém quatro correções de segurança de baixo impacto:
  • atualização openssl para o FreeBSD-SA-15: 01.openssl
  • Várias vulnerabilidades do XSS na interface da web. pfSense-SA-15_01
  • Atualização do OpenVPN para CVE-2014-8104
  • Atualização do NTP FreeBSD-SA-14: 31.ntp - embora essas circunstâncias não pareçam afetar o pfSense.

O que há de novo na versão 2.1.4:

  • Correções de segurança:
  • pfSense-SA-14_07.openssl
  • FreeBSD-SA-14: 14.openssl
  • pfSense-SA-14_08.webgui
  • pfSense-SA-14_09.webgui
  • pfSense-SA-14_10.webgui
  • pfSense-SA-14_11.webgui
  • pfSense-SA-14_12.webgui
  • pfSense-SA-14_13.packages
  • Os pacotes também tiveram suas próprias correções independentes e precisam ser atualizados. Durante o processo de atualização do firmware, os pacotes serão reinstalados corretamente. Caso contrário, desinstale e reinstale os pacotes para garantir que a versão mais recente dos binários esteja em uso.
  • Outras correções:
  • Correção para problema de vazamento pipeno do Captive Portal que leva ao & lsquo; Login máximo atingido 'no Captive Portal. # 3062
  • Remover texto não relevante para IPs permitidos no portal cativo. # 3594
  • Remover unidades do burst, como sempre é especificado em bytes. (Por ipfw (8)).
  • Adicionar coluna para porta interna na página de status do UPnP.
  • Torne a escuta na interface em vez de IP opcional para UPnP.
  • Corrigir destaque das regras selecionadas. # 3646
  • Adicione o guiconfig aos widgets sem incluí-lo. # 3498
  • / etc / version_kernel e / etc / version_base não existem mais, use php_uname para obter a versão da verificação XMLRPC.
  • Corrigir erro de digitação de variável. # 3669
  • Exclua todos os aliases de IP quando uma interface estiver desativada. # 3650
  • Lidar adequadamente com o arquivo RRD durante os erros de upgrade e squelch, caso ele falhe.
  • Converter o protocolo ssl: // para https: // ao criar cabeçalhos HTTP para XMLRPC.
  • Mostrar interfaces desativadas quando elas já faziam parte de um grupo de interfaces. Isso evita mostrar uma interface aleatória e permitir que o usuário a adicione por engano. # 3680
  • A diretiva client-config-dir para o OpenVPN também é útil ao usar o DHCP interno do OpenVPN durante a ponte, então adicione-o também nesse caso.
  • Use o curl em vez de buscar para baixar os arquivos de atualização. # 3691
  • Escape a variável antes de passar para o shell de stop_service ().
  • Adicione alguma proteção aos parâmetros fornecidos pelo _GET no gerenciamento de serviços.
  • Escape do argumento na chamada para is_process_running, também remove algumas chamadas mwexec () desnecessárias.
  • Não permitir que o nome do grupo de interface seja maior que 15 caracteres. # 3208
  • Seja mais preciso para corresponder aos membros de uma interface de ponte, ele deve corrigir # 3637
  • Não expire usuários já desativados, ele corrige # 3644
  • Validar o formato de hora de início e de término no firewall_schedule_edit.php
  • Tenha mais cuidado com o parâmetro host no diag_dns.php e verifique se ele escapou quando chamar as funções do shell
  • Parâmetros de escape passados ​​para shell_exec () em diag_smart.php e em outro lugar
  • Assegure-se de que as variáveis ​​sejam escapadas / limpas no status_rrd_graph_img.php
  • Substitua as chamadas executadas para executar rm por unlink_if_exists () no status_rrd_graph_img.php
  • Substitua todas as chamadas de `hostname` por php_uname (& lsquo; n ') em status_rrd_graph_img.php
  • Substitua todas as chamadas `data` por strftime () em status_rrd_graph_img.php
  • Adicione $ _gb para coletar possivelmente lixo do retorno exec em status_rrd_graph_img.php
  • Evite o traversal de diretório em pkg_edit.php ao ler arquivos xml de pacotes, verifique também se o arquivo existe antes de tentar lê-lo
  • Remover id = 0 do menu e atalho do miniupnpd
  • Remover. e / do nome do pkg para evitar a travessia do diretório em pkg_mgr_install.php
  • Corrigir o despejo principal ao visualizar o log de pacote inválido
  • Evite a passagem de diretório em system_firmware_restorefullbackup.php
  • Gere novamente o ID da sessão em um login bem-sucedido para evitar a fixação da sessão
  • Proteja os parâmetros do rssfeed com htmlspecialchars () em rss.widget.php
  • Proteja o parâmetro servicestatusfilter com htmlspecialchars () em services_status.widget.php
  • Sempre defina o atributo httponly nos cookies
  • Definir "Desativar autocompletar o login do webConfigurator", como ocorre por padrão, para novas instalações
  • Simplifique a lógica, adicione alguma proteção aos parâmetros de entrada do usuário em log.widget.php
  • Verifique se aspas simples estão codificadas e evite injeção de javascript em exec.php
  • Adicione os protocolos NAT ausentes no firewall_nat_edit.php
  • Remova dados extras após o espaço no DSCP e corrija a sintaxe da regra pf. # 3688
  • Inclua apenas uma regra programada se estiver estritamente antes do horário de término. # 3558

O que há de novo na versão 2.1.1:

  • A maior mudança é fechar os seguintes problemas de segurança / CVEs:
  • FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
  • Além desses, os drivers em / igb / ixgb / ixgbe foram atualizados para adicionar suporte às NICs i210 e i354. Algumas placas de rede Intel 10Gb Ethernet também verão melhor desempenho.

Programas semelhantes

perfmon2
perfmon2

12 May 15

pf-kernel
pf-kernel

20 Feb 15

Comentário para pfSense

Comentários não encontrado
Adicionar comentário
Ligue imagens!