pfSense & рег; е безплатна BSD операционна система с отворен код, произлизаща от добре познатия проект m0n0wall, но с коренно различни цели, като използването на Packet Filter и най-новите FreeBSD технологии.
Проектът може да се използва както като рутер, така и като защитна стена. Тя включва пакетна система, която позволява на системните администратори лесно да разширяват продукта, без да добавят потенциални уязвимости в сигурността и да се раздуват към базовото разпространение.
Характеристики с един поглед
Ключовите характеристики включват най-съвременна защитна стена, балансиране на натоварването от входящ / изходящ поток, държавна таблица, NAT (мрежова адресна превод), висока надеждност, VPN (VPN) сървър, динамичен DNS, включен портал, отчитане и мониторинг.
Тя е активно разработена операционна система за защитна стена, разпространявана като архивирани с gz Live CD и само инсталационни изображения ISO, инсталатори на USB стикове, както и NanoBSD / вградени носители. По това време се поддържат и 64-битови (64-битови) и 32-битови (i386) хардуерни платформи.
Няколко предварително зададени опции за зареждане са налични по време на процеса на зареждане, като например зареждане на операционната система с настройки по подразбиране, с ACPI деактивиран, използване на USB устройства, в безопасен режим, в режим на един потребител с подробно записване, както и достъп до подсказка за обвивката или рестартиране на устройството.
Първи стъпки с pfSense & reg;
Докато разпространението ще поиска от потребителите да настроят VLAN (виртуални локални мрежи) от стартирането, то ще изисква поне един присвоен мрежов интерфейс да функционира. Това означава, че ако нямате / сте инсталирали поне един интерфейс, pfSense & reg; няма да стартира.
Използвайки се като защитна стена за малки домашни мрежи, университети, големи корпорации или всяка друга организация, в която необходимостта от защита на хиляди мрежови устройства е изключително важна, pfSense & reg; е била изтеглена от над един милион потребители от цял свят, от самото начало.
Най-долу
Той е един от най-добрите проекти за защитна стена с отворен код, проектиран да предоставя на потребителите всички функции, с които идват продуктите на защитната стена. Днес, pfSense & reg; се използва в множество хардуерни защитни стени, включително Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall или Watchguard.
pfSense и рег; е регистрирана търговска марка и марка за услуги, собственост на Electric Sheep Fencing LLC. Вижте www.electricsheepfencing.com.
Какво ново в това издание:
- Сигурност / грешка
- Актуализиран на OpenSSL 1.0.2m за адрес CVE-2017-3736 и CVE-2017-3735
- Свободен-SA-17: 10.kldstat
- Свободен-SA-17: 08.ptrace
- Фиксиран потенциален XSS вектор в status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Фиксиран потенциален XSS вектор в diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Фиксира потенциален XSS вектор на index.php чрез параметрите на последователността на джаджа # 8000 pfSense-SA-17_09.webgui.asc
- Коригира потенциален XSS в параметъра widgetkey на джаджи за таблото за управление с множество екземпляри # 7998 pfSense-SA-17_09.webgui.asc
- Коригира евентуален проблем с кликване в страницата за грешки на CSRF
- интерфейси
- Фиксирани PPP интерфейси с родител VLAN при използване на новите VLAN имена # 7981
- Фиксирани проблеми с интерфейси QinQ, които не се показват като активни # 7942
- Коригира паника / катастрофа при деактивиране на интерфейс LAGG # 7940
- Фиксирани проблеми с LAGG интерфейси, загубили техния MAC адрес # 7928
- Фиксирана катастрофа в radvd на SG-3100 (ARM) # 8022
- Отстранен е проблем с капки пакети UDP на SG-1000 # 7426
- Добавен е интерфейс за управление на вградения ключ на SG-3100
- Отстранете повече символи от описанието на интерфейса, за да избегнете опаковането на изходната линия на конзолата на VGA конзола
- Фиксирана обработка на параметъра VIP uniqueid при промяна на VIP типове
- Фиксирано показване на полето на параметъра на връзката PPP, когато е избран родителски интерфейс VLAN # 8098
- Операционна система
- Фиксирани проблеми в резултат на ръчно конфигуриране на оформлението на файловата система с отделен / usr фрейм # 8065
- Фиксирани проблеми при актуализирането на ZFS системите създадоха ZFS, използвайки схема на MBR дял (празна / заредена, тъй като bootpool не се импортира) # 8063
- Фиксирани проблеми с BGP сесии, използващи MD5 TCP подписи в маршрутизиращи демон пакети # 7969
- Актуализирано dpinger до 3.0
- Усъвършенствахте избора и методите за избор на хранилище за обновяване
- Актуализира системните настройки, които казват на операционната система, че не се събират данни от прекъсвания, интерфейси от точка до точка и Ethernet устройства, за да отразят новото име / формат за FreeBSD 11
- Променена обработка на правила за правила, така че да се повтори, ако друг процес е в средата на актуализация, вместо да предяви грешка на потребителя
- Фиксирани са някои проблеми на стартирането на UEFI на различни платформи
- Сертификати
- Фиксирани невалидни записи в /etc/ssl/openssl.cnf (само засегната нестандартна употреба на openssl в кли / черупка) # 8059
- Фиксирано удостоверяване с LDAP, когато сървърът използва глобално надежден главен сертифициращ орган (нов избор на CA за "Global Root CA List") # 8044
- Фиксирани проблеми при създаване на сертификат със заместващ код CN / SAN # 7994
- Добавено е потвърждение в Мениджъра на сертификати, за да се предотврати импортирането на сертификат за сертификат, който не е сертификат, в раздела CA # 7885
- IPsec
- Отстранява се проблем при използване на сертификати за достъп до IPsec CA, когато темата съдържа множество RDN от същия тип # 7929
- Отстранен е проблем с активирането на мобилната клиентска поддръжка на IPsec в преведени езици # 8043
- Фиксирани проблеми с показване / изход на състоянието на IPsec, включително множество записи (един изключен, един свързан) # 8003
- Фиксирано показване на няколко свързани мобилни IPsec клиенти # 7856
- Фиксиран дисплей на записи за деца SA # 7856
- OpenVPN
- Добавена е опция за OpenVPN сървърите да използват "redirect-gateway ipv6" да действа като подразбиращ се шлюз за свързване на VPN клиенти с IPv6, подобно на "redirect-gateway def1" за IPv4. # 8082
- Отпечатана е опцията за отказ на сертификат OpenVPN Client Certificate # 8088
- Трафик Shaping
- Фиксирана грешка при конфигуриране на ограничител над 2Gb / s (новата макс е 4Gb / s) # 7979
- Фиксирани проблеми с мостови мрежови интерфейси, които не поддържат ALTQ # 7936
- Поправени проблеми с интерфейси vtnet, които не поддържат ALTQ # 7594
- Отстранен е проблем със състоянието & gt; Queues не може да показва статистически данни за VLAN интерфейси # 8007
- Фиксиран е проблем с опашки за оформяне на трафика, които не позволяват общата сума на всички опашки за деца да бъде 100% # 7786
- Отстранен е проблем с ограничители, получили невалидни частични / неразделни стойности от записи на ограничители или препратени към Captive Portal от RADIUS # 8097
- правила / NAT
- Фиксиран избор на IPv6 шлюзове при създаване на ново правило за защитна стена # 8053
- Фиксирани грешки на страницата за конфигуриране на Port Forward в резултат на застояли / не-pfSense данни за бисквитки / заявки # 8039
- Фиксирана настройка Приоритет на VLAN чрез правилата на защитната стена # 7973
- XMLRPC
- Отстранява се проблем със синхронизирането на XMLRPC, когато потребителят за синхронизация има парола, съдържаща интервали # 8032
- Въпроси с фиксирани XMLRPC с ваучери за портфейли на Captive # 8079
- WebGUI
- Добавена е опция за деактивиране на HSTS за уеб сървър GUI # 6650
- Променена е GUI уеб услугата, за да блокира директното изтегляне на .inc файлове # 8005
- Фиксирано сортиране на услугите в приспособлението за таблото и страницата за състояние на услугите # 8069
- Коригира проблем с входа, при който статичните IPv6 записи позволяват невалиден вход за полета за адреси # 8024
- Фиксирана е грешка в JavaScript за синтаксис в графиките за трафика при възникване на невалидни данни (например потребител е излязъл от употреба или сесия е изтрит) # 7990
- Фиксирани грешки на извадката в графиците за трафик # 7966
- Отстранена грешка в JavaScript на Status & gt; Мониторинг # 7961
- Коригира проблем с дисплея с празни таблици в Internet Explorer 11 # 7978
- Променена обработка на конфигурацията, за да се използва изключение, вместо да умре (), когато открие повредена конфигурация
- Добавено е филтриране към страницата pfTop
- Добавено е средство за пакети, с които да се показва модал на потребителя (напр. рестартиране, необходимо, преди пакетът да може да се използва)
- таблото
- Фиксирано показване на наличните актуализации в приспособлението за таблото за инсталирания пакет # 8035
- Коригира проблем с шрифта в приспособлението за таблото за поддръжка # 7980
- Фиксирано форматиране на дисковите резета / дялове в приспособлението за таблото за системна информация
- Отстранен е проблем с приспособлението за снимки, когато няма валидна снимка, запазена # 7896
- Пакети
- Фиксирано показване на пакети, които са били премахнати от хранилището в пакета Manager # 7946
- Отстранен е проблем, показващ локално инсталирани пакети, когато хранилището за отдалечен пакет не е налице # 7917
- Други
- Фиксирано свързване на интерфейса в ntpd, така че да не се излъчва погрешно на всички интерфейси # 8046
- Отстранен е проблем, при който рестартирането на услугата syslogd би направило sshlockout_pf процес на сираци # 7984
- Добавена е поддръжка за динамичния DNS доставчик на ClouDNS # 7823
- Отстранен е проблем в страниците на потребителския и груповия мениджър, когато работите върху записите веднага след изтриването на елемент # 7733
- Промени съветника за настройка, така че да прескочи конфигурацията на интерфейса, когато се стартира на инстанция AWS EC2 # 6459
- Коригира проблем с прогр. IGMP с режим All-multicast на SG-1000 # 7710
Какво е новото във версията:
- Актуализации на таблото за управление:
- На таблото за управление 2.3.4-RELEASE ще намерите няколко допълнителни елемента: Продавачът на BIOS, версията и датата на пускане - ако защитната стена може да ги определи - и Netgate Unique ID. Уникалният идентификационен номер на Netgate е подобен на сериен номер, който се използва за уникално идентифициране на потребителски модел на софтуера pfSense за клиенти, които искат да закупят услуги за поддръжка. За хардуера, който се продава в нашия магазин, той ни позволява да свързваме единиците с производствените си записи. Този идентификационен номер е съвместим във всички платформи (гол метал, виртуални машини и хоствани / облакови случаи като AWS / Azure). Първоначално бяхме възнамерявали да използваме серийния номер на хардуера или UUID, генерирани от операционната система, но открихме, че те не са надеждни, непоследователни и биха могли да се променят неочаквано, когато операционната система бъде преинсталирана.
- Както при серийния номер, този идентификатор се показва само в информационното табло само за информация и не се предава никъде автоматично по подразбиране. В бъдеще клиентите могат да използват този идентификатор, когато искат информация за поддръжка от нашия персонал или системи.
- Ако все още не сте постигнали промените в 2.3.x, разгледайте видеоклипа с функции и акценти. Последните публикации в блога са обхванали някои от промените, като например подобренията в ефективността от начинаещи и обновяването на webGUI.
- Сертификати за GUI на защитна стена:
- Потребителите на Chrome 58 и по-късно, а в някои случаи и Firefox 48 и по-нови, може да имат проблеми с достъпа до GUI на pfSense Web, ако използват само сертификат по подразбиране, генериран автоматично от защитна стена с версия pfSense версия 2.3.3-p1 по-рано. Това е така, защото Chrome 58 стриктно налага RFC 2818, който изисква само съвпадащи имена на хостове, които използват записи на име на алтернативна тема (SAN), а не полето Common Name на сертификат, и сертификатът по подразбиране, подписан самостоятелно, не попълва полето SAN. >
- Коригирахме кода на сертификата, за да следваме правилно RFC 2818 по удобен за потребителя начин, като автоматично добавим стойността на сертификата за общо име като първият запис на SAN.
- Администраторите на защитната стена ще трябва да генерират нов сертификат за използване от GUI, за да използват новия формат. Има няколко начина за генериране на съвместим сертификат, включително:
- Създаване и активиране на нов GUI сертификат автоматично от конзолата или ssh shell, използвайки един от нашите скриптове за възпроизвеждане:
- pfSsh.php възпроизвеждане generateguicert
- Използвайте пакета ACME, за да генерирате доверен сертификат за GUI чрез Let's Encrypt, който вече е правилно форматиран.
- Създайте ръчно нов сертифициран орган за сертифициране (СА) и сертификат за сървър, подписан от това УО, след което го използвайте за графичния потребителски интерфейс.
- Активирайте местния браузър "EnableCommonNameFallbackForLocalAnchors" опция в Chrome 58. В крайна сметка тази настройка ще бъде премахната от Chrome, така че това е само временна корекция.
- Някои потребители могат да помнят, че това не е първият път, когато форматът на сертификата по подразбиране е проблематичен поради промените в браузъра. Преди няколко години Firefox промени начина, по който те изчисляват веригите за надеждност на сертификати, което може да накара браузъра да замръзне или да затвори, когато се опитва да осъществи достъп до няколко защитни стени със самоподписани сертификати, съдържащи общи данни по подразбиране, довели до всички такива сертификати, съдържащи един и същи обект. Оправянето беше по-скоро предизвикателство, но резултатът бе много по-добър опит за крайния потребител.
Какво е новото във версия 2.3.4:
- Актуализации на таблото за управление:
- На таблото за управление 2.3.4-RELEASE ще намерите няколко допълнителни елемента: Продавачът на BIOS, версията и датата на пускане - ако защитната стена може да ги определи - и Netgate Unique ID. Уникалният идентификационен номер на Netgate е подобен на сериен номер, който се използва за уникално идентифициране на потребителски модел на софтуера pfSense за клиенти, които искат да закупят услуги за поддръжка. За хардуера, който се продава в нашия магазин, той ни позволява да свързваме единиците с производствените си записи. Този идентификационен номер е съвместим във всички платформи (гол метал, виртуални машини и хоствани / облакови случаи като AWS / Azure). Първоначално бяхме възнамерявали да използваме серийния номер на хардуера или UUID, генерирани от операционната система, но открихме, че те не са надеждни, непоследователни и биха могли да се променят неочаквано, когато операционната система бъде преинсталирана.
- Както при серийния номер, този идентификатор се показва само в информационното табло само за информация и не се предава никъде автоматично по подразбиране. В бъдеще клиентите могат да използват този идентификатор, когато искат информация за поддръжка от нашия персонал или системи.
- Ако все още не сте постигнали промените в 2.3.x, разгледайте видеоклипа с функции и акценти. Последните публикации в блога са обхванали някои от промените, като например подобренията в ефективността от начинаещи и обновяването на webGUI.
- Сертификати за GUI на защитна стена:
- Потребителите на Chrome 58 и по-късно, а в някои случаи и Firefox 48 и по-нови, може да имат проблеми с достъпа до GUI на pfSense Web, ако използват само сертификат по подразбиране, генериран автоматично от защитна стена с версия pfSense версия 2.3.3-p1 по-рано. Това е така, защото Chrome 58 стриктно налага RFC 2818, който изисква само съвпадащи имена на хостове, които използват записи на име на алтернативна тема (SAN), а не полето Common Name на сертификат, и сертификатът по подразбиране, подписан самостоятелно, не попълва полето SAN. >
- Коригирахме кода на сертификата, за да следваме правилно RFC 2818 по удобен за потребителя начин, като автоматично добавим стойността на сертификата за общо име като първият запис на SAN.
- Администраторите на защитната стена ще трябва да генерират нов сертификат за използване от GUI, за да използват новия формат. Има няколко начина за генериране на съвместим сертификат, включително:
- Създаване и активиране на нов GUI сертификат автоматично от конзолата или ssh shell, използвайки един от нашите скриптове за възпроизвеждане:
- pfSsh.php възпроизвеждане generateguicert
- Използвайте пакета ACME, за да генерирате доверен сертификат за GUI чрез Let's Encrypt, който вече е правилно форматиран.
- Създайте ръчно нов сертифициран орган за сертифициране (СА) и сертификат за сървър, подписан от това УО, след което го използвайте за графичния потребителски интерфейс.
- Активирайте местния браузър "EnableCommonNameFallbackForLocalAnchors" опция в Chrome 58. В крайна сметка тази настройка ще бъде премахната от Chrome, така че това е само временна корекция.
- Някои потребители могат да помнят, че това не е първият път, когато форматът на сертификата по подразбиране е проблематичен поради промените в браузъра. Преди няколко години Firefox промени начина, по който те изчисляват веригите за надеждност на сертификати, което може да накара браузъра да замръзне или да затвори, когато се опитва да осъществи достъп до няколко защитни стени със самоподписани сертификати, съдържащи общи данни по подразбиране, довели до всички такива сертификати, съдържащи един и същи обект. Оправянето беше по-скоро предизвикателство, но резултатът бе много по-добър опит за крайния потребител.
Какво е новото във версия 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Няколко уязвимости в OpenSSL. Единственото значително въздействие върху pfSense е OCSP за HAproxy и FreeRADIUS.
- Няколко свързани с HyperV грешки в FreeBSD 10.3, FreeBSD-BG-16: 10 до 16:16. За подробности вижте https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Няколко вградени пакета и библиотеки са актуализирани, включително:
- PHP до 5.6.26
- libidn до 1.33
- навийте до 7.50.3
- libxml2 до 2.9.4
- Добавено е кодиране към параметъра 'zone' на страниците на Captive Portal.
- Добавена е кодиране на изход към diag_dns.php за резултати, върнати от DNS. # 6737
- Обработено около бъг в Chrome с регулярен израз на синтактичен анализ на избягнати знаци в набора от знаци. Коригира "Моля, съответствайте на желания формат" в последните версии на Chrome. # 6762
- Опция за фиксиран формат на време за сървър DHCPv6 # 6640
- Фиксирана / usr / bin / install липсва от нови инсталации. # 6643
- Повишената граница на филтриране на опашката за регистриране, така че търсенето ще намери достатъчно записи. # 6652
- Изчисти инсталираните пакети widget и HTML. # 6601
- Фиксираните настройки на приспособлението за приспособления се създават при създаването на нови настройки. # 6669
- Фиксирани са различни грешки с печатни грешки и формулировки.
- Премахнаха прекъснатите връзки към сайта на devwiki. Всичко е на https://doc.pfsense.org сега.
- Добавено е поле към CA / Cert страници за OU, което се изисква от някои външни CAs и потребители. # 6672
- Фиксирано е излишно HTTP "User-Agent" низ в актуализации на DynDNS.
- Коригира шрифта за таблици с набори.
- Добавена е проверка, за да се провери дали интерфейсът е активен в група от шлюзове, преди да актуализирате динамичния DNS.
- Фиксирана формулировка на "Отхвърляне на лизинг от" опция за DHCP интерфейс (може да приема само адреси, а не подмрежи.) # 6646
- Отчитане на фиксирани грешки за тестване на настройките за SMTP.
- Фиксирано запазване на държава, доставчик и планови планове за PPP интерфейси
- Фиксирана проверка на невалидни "Go To Line" номерата на diag_edit.php. # 6704
- Фиксирана грешка при изключване с "Редове за показване" на diag_routes.php. # 6705
- Фиксирано описание на филтърната кутия на диаграма diag_routes.php, за да се отрази, че всички полета могат да се търсят. # 6706
- Фиксирано описание на полето за редактиране на файла на diag_edit.php. # 6703
- Фиксирано описание на главния панел на diag_resetstate.php. # 6709
- Фиксиран диалогов прозорец за предупреждение, когато кутията не е отметнато на diag_resetstate.php. # 6710
- Фиксирана локална команда за зони DHCP6. # 6700
- Отстранен е бутонът за изтриване на мрежата, показващ, когато има само един ред в services_unbound_acls.php # 6716
- Фиксиран изчезващ помощен текст на повтарящи се редове, когато последният ред е изтрит. # 6716
- Фиксиран динамичен домейн DNS за статични DHCP записи на картата
- Добавен е контрол за задаване на периода за опресняване на джаджа за таблото за управление
- Добавени са "-C / dev / null" към параметрите на командния ред на dnsmasq, за да избегнете набирането на неправилна конфигурация по подразбиране, която би пренебрегнала нашите опции. # 6730
- Добавени са "-l" към traceroute6, за да показва IP адреси и имена на хостове при разрешаването на хмела на diag_traceroute.php. # 6715
- Добавена бележка за максималния лимит на ttl / хоп в коментара за източника на diag_traceroute.php.
- Изяснен език на diag_tables.php. # 6713
- Изчистете текста на diag_sockets.php. # 6708
- Фиксирано показване на имената на VLAN интерфейси при задаване на конзолите. # 6724
- Опцията за фиксирано име на домейн-сървъри, показвана два пъти в пулове, когато е зададена ръчно.
- Фиксирано боравене с DHCP опции в групи, различни от основния обхват. # 6720
- Фиксирани липсващи имена на хостове в някои случаи с dhcpdv6. # 6589
- Подобрена обработка на pidfile за dhcpleases.
- Добавени са проверки, за да се предотврати достъпа до неопределен офсет в IPv6.inc.
- Фиксира дисплея на опциите за изскачащи и редактирани псевдоними на източника и местоназначението както за адреса, така и за порта на изходящата NAT.
- Фиксирано управление на броя на резервните конфигурации. # 6771
- Премахна някои препратки към PPTP, които вече не са подходящи.
- Фиксирани / прихванати отдалечени зони на syslog. Добавени са "маршрутизация", "ntpd", "ppp", "resolver", фиксирана "vpn" да включва всички области на VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Коригирани липсващи квадратчета за отметка в някои случаи, когато добавяте редове в services_ntpd.php. # 6788
- Ревизирани икони за изпълнение / спиране на услугата.
- Добавена е проверка в управлението на CRL за премахване на сертификатите от падащия списък, които вече се съдържат в редактираната CRL.
- Фиксиращите сепаратори на правила се движат, когато няколко правила за защитна стена се изтриват едновременно. # 6801
Какво е новото във версия 2.3.3:
- FreeBSD-SA-16: 26.openssl - Няколко уязвимости в OpenSSL. Единственото значително въздействие върху pfSense е OCSP за HAproxy и FreeRADIUS.
- Няколко свързани с HyperV грешки в FreeBSD 10.3, FreeBSD-BG-16: 10 до 16:16. За подробности вижте https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Няколко вградени пакета и библиотеки са актуализирани, включително:
- PHP до 5.6.26
- libidn до 1.33
- навийте до 7.50.3
- libxml2 до 2.9.4
- Добавено е кодиране към параметъра 'zone' на страниците на Captive Portal.
- Добавена е кодиране на изход към diag_dns.php за резултати, върнати от DNS. # 6737
- Обработено около бъг в Chrome с регулярен израз на синтактичен анализ на избягнати знаци в набора от знаци. Поправя "Моля, съответствайте на желания формат" в последните версии на Chrome. # 6762
- Опция за фиксиран формат на време за сървър DHCPv6 # 6640
- Фиксирана / usr / bin / install липсва от нови инсталации. # 6643
- Повишената граница на филтриране на опашката за регистриране, така че търсенето ще намери достатъчно записи. # 6652
- Изчисти инсталираните пакети widget и HTML. # 6601
- Фиксираните настройки на приспособлението за приспособления се създават при създаването на нови настройки. # 6669
- Фиксирани са различни грешки с печатни грешки и формулировки.
- Премахнаха прекъснатите връзки към сайта на devwiki. Всичко е на https://doc.pfsense.org сега.
- Добавено е поле към CA / Cert страници за OU, което се изисква от някои външни CAs и потребители. # 6672
- Коригира излишък HTTP "User-Agent" низ в DynDNS актуализации.
- Коригира шрифта за таблици с набори.
- Добавена е проверка, за да се провери дали интерфейсът е активен в група от шлюзове, преди да актуализирате динамичния DNS.
- Фиксирана формулировка на опцията "Отхвърляне на лизинг от" за DHCP интерфейс (може да приема само адреси, а не подмрежи.) # 6646
- Отчитане на фиксирани грешки за тестване на настройките за SMTP.
- Фиксирано запазване на държава, доставчик и планови планове за PPP интерфейси
- Фиксирана проверка на невалидни номера "Go To Line" на diag_edit.php. # 6704
- Отстранена е грешка "отгоре-на-един" с "Редове за показване" на diag_routes.php. # 6705
- Фиксирано описание на филтърната кутия на диаграма diag_routes.php, за да се отрази, че всички полета могат да се търсят. # 6706
- Фиксирано описание на полето за редактиране на файла на diag_edit.php. # 6703
- Фиксирано описание на главния панел на diag_resetstate.php. # 6709
- Фиксиран диалогов прозорец за предупреждение, когато кутията не е отметнато на diag_resetstate.php. # 6710
- Фиксирана локална команда за зони DHCP6. # 6700
- Отстранен е бутонът за изтриване на мрежата, показващ, когато има само един ред в services_unbound_acls.php # 6716
- Фиксиран изчезващ помощен текст на повтарящи се редове, когато последният ред е изтрит. # 6716
- Фиксиран динамичен домейн DNS за статични DHCP записи на картата
- Добавен е контрол за задаване на периода за опресняване на джаджа за таблото за управление
- Добавена е "-C / dev / null" в параметрите на командния ред на dnsmasq, за да се избегне набирането на неправилна конфигурация по подразбиране, която би пренебрегнала нашите опции. # 6730
- Добавена е "-l" в traceroute6, за да се показват IP адреси и имена на хостове при разрешаването на хмела на diag_traceroute.php. # 6715
- Добавена бележка за максималния лимит на ttl / хоп в коментара за източника на diag_traceroute.php.
- Изяснен език на diag_tables.php. # 6713
- Изчистете текста на diag_sockets.php. # 6708
- Фиксирано показване на имената на VLAN интерфейси при задаване на конзолите. # 6724
- Опцията за фиксирано име на домейн-сървъри, показвана два пъти в пулове, когато е зададена ръчно.
- Фиксирано боравене с DHCP опции в групи, различни от основния обхват. # 6720
- Фиксирани липсващи имена на хостове в някои случаи с dhcpdv6. # 6589
- Подобрена обработка на pidfile за dhcpleases.
- Добавени са проверки за предотвратяване на достъпа до неопределен офсет в IPv6.inc.
- Фиксира дисплея на опциите за изскачащи и редактиращи псевдоними на източника и местоназначението както за адреса, така и за пристанището на изходящата NAT.
- Фиксирано управление на броя на резервните конфигурации. # 6771
- Премахна някои препратки към PPTP, които вече не са подходящи.
- Фиксирани / прихванати отдалечени зони на syslog. Добавени са "маршрутизация", "ntpd", "ppp", "resolver", фиксирани "vpn", за да включват всички области на VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Коригирани липсващи квадратчета за отметка в някои случаи, когато добавяте редове в services_ntpd.php. # 6788
- Ревизирани икони за изпълнение / спиране на услугата.
- Добавена е проверка в управлението на CRL за премахване на сертификатите от падащия списък, които вече се съдържат в редактираната CRL.
- Фиксиращите сепаратори на правила се движат, когато няколко правила за защитна стена се изтриват едновременно. # 6801
Какво е новото във версия 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Няколко уязвимости в OpenSSL. Единственото значително въздействие върху pfSense е OCSP за HAproxy и FreeRADIUS.
- Няколко свързани с HyperV грешки в FreeBSD 10.3, FreeBSD-BG-16: 10 до 16:16. За подробности вижте https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
- Няколко вградени пакета и библиотеки са актуализирани, включително:
- PHP до 5.6.26
- libidn до 1.33
- навийте до 7.50.3
- libxml2 до 2.9.4
- Добавено е кодиране към параметъра 'zone' на страниците на Captive Portal.
- Добавена е кодиране на изход към diag_dns.php за резултати, върнати от DNS. # 6737
- Обработено около бъг в Chrome с регулярен израз на синтактичен анализ на избягнати знаци в набора от знаци. Поправя "Моля, съответствайте на желания формат" в последните версии на Chrome. # 6762
- Опция за фиксиран формат на време за сървър DHCPv6 # 6640
- Фиксирана / usr / bin / install липсва от нови инсталации. # 6643
- Повишената граница на филтриране на опашката за регистриране, така че търсенето ще намери достатъчно записи. # 6652
- Изчисти инсталираните пакети widget и HTML. # 6601
- Фиксираните настройки на приспособлението за приспособления се създават при създаването на нови настройки. # 6669
- Фиксирани са различни грешки с печатни грешки и формулировки.
- Премахнаха прекъснатите връзки към сайта на devwiki. Всичко е на https://doc.pfsense.org сега.
- Добавено е поле към CA / Cert страници за OU, което се изисква от някои външни CAs и потребители. # 6672
- Коригира излишък HTTP "User-Agent" низ в DynDNS актуализации.
- Коригира шрифта за таблици с набори.
- Добавена е проверка, за да се провери дали интерфейсът е активен в група от шлюзове, преди да актуализирате динамичния DNS.
- Фиксирана формулировка на опцията "Отхвърляне на лизинг от" за DHCP интерфейс (може да приема само адреси, а не подмрежи.) # 6646
- Отчитане на фиксирани грешки за тестване на настройките за SMTP.
- Фиксирано запазване на държава, доставчик и планови планове за PPP интерфейси
- Фиксирана проверка на невалидни номера "Go To Line" на diag_edit.php. # 6704
- Отстранена е грешка "отгоре-на-един" с "Редове за показване" на diag_routes.php. # 6705
- Фиксирано описание на филтърната кутия на диаграма diag_routes.php, за да се отрази, че всички полета могат да се търсят. # 6706
- Фиксирано описание на полето за редактиране на файла на diag_edit.php. # 6703
- Фиксирано описание на главния панел на diag_resetstate.php. # 6709
- Фиксиран диалогов прозорец за предупреждение, когато кутията не е отметнато на diag_resetstate.php. # 6710
- Фиксирана локална команда за зони DHCP6. # 6700
- Отстранен е бутонът за изтриване на мрежата, показващ, когато има само един ред в services_unbound_acls.php # 6716
- Фиксиран изчезващ помощен текст на повтарящи се редове, когато последният ред е изтрит. # 6716
- Фиксиран динамичен домейн DNS за статични DHCP записи на картата
- Добавен е контрол за задаване на периода за опресняване на джаджа за таблото за управление
- Добавена е "-C / dev / null" в параметрите на командния ред на dnsmasq, за да се избегне набирането на неправилна конфигурация по подразбиране, която би пренебрегнала нашите опции. # 6730
- Добавена е "-l" в traceroute6, за да се показват IP адреси и имена на хостове при разрешаването на хмела на diag_traceroute.php. # 6715
- Добавена бележка за максималния лимит на ttl / хоп в коментара за източника на diag_traceroute.php.
- Изяснен език на diag_tables.php. # 6713
- Изчистете текста на diag_sockets.php. # 6708
- Фиксирано показване на имената на VLAN интерфейси при задаване на конзолите. # 6724
- Опцията за фиксирано име на домейн-сървъри, показвана два пъти в пулове, когато е зададена ръчно.
- Фиксирано боравене с DHCP опции в групи, различни от основния обхват. # 6720
- Фиксирани липсващи имена на хостове в някои случаи с dhcpdv6. # 6589
- Подобрена обработка на pidfile за dhcpleases.
- Добавени са проверки за предотвратяване на достъпа до неопределен офсет в IPv6.inc.
- Фиксира дисплея на опциите за изскачащи и редактиращи псевдоними на източника и местоназначението както за адреса, така и за пристанището на изходящата NAT.
- Фиксирано управление на броя на резервните конфигурации. # 6771
- Премахна някои препратки към PPTP, които вече не са подходящи.
- Фиксирани / прихванати отдалечени зони на syslog. Добавени са "маршрутизация", "ntpd", "ppp", "resolver", фиксирани "vpn", за да включват всички области на VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Коригирани липсващи квадратчета за отметка в някои случаи, когато добавяте редове в services_ntpd.php. # 6788
- Ревизирани икони за изпълнение / спиране на услугата.
- Добавена е проверка в управлението на CRL за премахване на сертификатите от падащия списък, които вече се съдържат в редактираната CRL.
- Фиксиращите сепаратори на правила се движат, когато няколко правила за защитна стена се изтриват едновременно. # 6801
Какво е новото във версия 2.3.2:
- архивиране / възстановяване:
- Не допускайте да се прилагат промени в интерфейса за несъответствие между интерфейсите след конфигуриране, докато не бъде запазено пренасочването. # 6613
- таблото:
- Таблото за управление вече има опции за конфигуриране на потребител, документирани в User Manager. # 6388
- DHCP сървър:
- Деактивира се dhcp-cache-threshold, за да се избегне грешка в ISC dhcpd 4.3.x, като се изпуска име на клиент-хост от лизинг файл, което прави регистрацията на динамичен хост не успее в някои крайни случаи. # 6589
- Имайте предвид, че ключът DDNS трябва да е HMAC-MD5. # 6622
- DHCP реле:
- Импортирана корекция за искания за препредаване на dhcrelay на интерфейса, където се намира целевият DHCP сървър. # 6355
- Динамичен DNS:
- Разрешава * за име на хост с Namecheap. # 6260
- интерфейси:
- Коригирайте "не може да зададете поискания адрес" по време на зареждане с интерфейси track6. # 6317
- Премахнете отхвърлените опции за връзка от GRE и gif. # 6586, # 6587
- Спазвайте "Отхвърляне на лизинг от", когато се проверява "Разширени опции" на DHCP. # 6595
- Защитете ограничените разделители в разширената конфигурация на DHCP клиента, така че могат да се използват запетаи. # 6548
- Поправка на стандартния маршрут на PPPoE интерфейса липсва в някои крайни случаи. # 6495
- IPsec:
- strongSwan се надстройва до 5.5.0.
- Включете агресивен в ipsec.conf, където е избран режим IKE auto. # 6513
- Мониторинг на портала:
- Фиксирано "име на гнездото твърде голямо", което прави мониторинга на шлюзовете неуспешен при имената на дългите интерфейси и IPv6 адресите. # 6505
- ограничители:
- Настройте pipe_slot_limit автоматично до максимално конфигурирана стойност qlimit. # 6553
- наблюдение:
- Не са отчетени периоди на данни, които се отчитат като 0, средно наклоняване. # 6334
- Поставете подсказка на инструмента, показваща като "никой" за някои стойности. # 6044
- Коригирайте запазването на някои от опциите за конфигурация по подразбиране. # 6402
- Прикрепете ключа X, който не отговаря на резолюцията за потребителски периоди от време. # 6464
- OpenVPN:
- Повторно синхронизиране на специфични за клиента конфигурации след запазване на OpenVPN сървърни копия, за да се гарантира, че техните настройки отразяват текущата конфигурация на сървъра. # 6139
- Операционна система:
- Фиксираните фрагменти на фрагмента не се изчистват, задействайки "достигането на ограничението за PF frag fragments". # 6499
- Задайте разположението на основното файл, така че да не могат да се окажат в / var / run и да изчерпат наличното пространство. # 6510
- Фиксирано "време на изпълнение отиде назад" регистрира спам в Hyper-V. # 6446
- Фиксираният traceroute6 виси с хоп без отговор. # 3069
- Добавена е symlink /var/run/dmesg.boot за vm-bhyve. # 6573
- Задайте net.isr.dispatch = директно на 32-битови системи с активиран IPsec за предотвратяване на срив при достъп до услуги на самия хост чрез VPN. # 4754
- Реклами за маршрутизатори:
- Добавени полета за конфигурация за минимални и максимални интервали за рутерна реклама и живот на маршрутизатора. # 6533
- Routing:
- Фиксирани статични маршрути с маршрутизатор за локален целеви маршрутизатор за IPv6, включващ обхват на интерфейса. # 6506
- Правила / NAT:
- Фиксирани "PPPoE клиенти" заместител в правилата и NAT и грешка в правилата, когато се използват плаващи правила, определящи PPPoE сървъра. # 6597
- Фиксирана невъзможност за зареждане на набори от правила с псевдоними на таблици за URL адреси, където е зададен празен файл. # 6181
- Фиксиран протокол TFTP с xinetd. # 6315
- Upgrade:
- Проблеми при надграждане на nanoobsd, при които DNS Forwarder / Resolver не е обвързан с localhost. # 6557
- Виртуални IP адреси:
- Фиксирани проблеми с производителността с голям брой виртуални IP адреси. # 6515
- Фиксирана изчерпване на паметта на PHP на страницата за състоянието на CARP с големи държавни таблици. # 6364
- Уеб интерфейс:
- Добавена е сортирането към таблицата за статични карти на DHCP. # 6504
- Фиксиран файл за качване на NTP скокове секунди. # 6590
- Добавена е поддръжка на IPv6 към diag_dns.php. # 6561
- Добавена е поддръжка на IPv6 за филтриране на регистрационните данни за обратното търсене. # 6585
- Система от пакети - запазвайте данни за полетата при входна грешка. # 6577
- Отстранени са няколко проблема за потвърждаване на входовете за IPv6, които позволяват невалидни IPv6 IP адреси. # 6551, # 6552
- Отстранени са някои от отдаване под наем на DHCPv6, които липсват при показване на наеми на GUI. # 6543
- Управление на неподвижно състояние за посока "в" и състояния с преведено местоназначение. # 6530, # 6531
- Възстановяване на валидирането на входните имена на зони на затворени врати, за да се предотврати невалиден XML. # 6514
- Подменен инструмент за избор на дата за календар в мениджъра на потребителя с такъв, който работи в браузъри, различни от Chrome и Opera. # 6516
- Възстановено поле за прокси портове за OpenVPN клиент. # 6372
- Изяснете описанието на псевдонимите на пристанищата. # 6523
- Фиксиран изход за превод, където gettext преминава празен низ. # 6394
- Избор на фиксирана скорост за 9600 в NTP GPS конфигурация. # 6416
- Допускайте IPv6 IP адреси само на екрана на NPT. # 6498
- Добавете поддръжка за импортиране на псевдоними за мрежи и портове. # 6582
- Фиксирани задачи за заглаждане на заглавната част на таблицата. # 6074
- Почистете секцията "Зареждане в мрежа" на екрана на DHCP сървъра. # 6050
- Коригирайте връзките "UNKNOWN" в мениджъра на пакети. # 6617
- Коригирайте липсващото поле за трафик за CBQ опашки за трафика. # 6437
- UPnP:
- URL адресът за показване на UPnP и номерът на модела вече могат да бъдат конфигурирани. # 6002
- Управление на потребителите:
- Забрани на администраторите да изтриват собствените си профили в мениджъра на потребителите. # 6450
- Други:
- Добавени PHP shell сесии, за да активирате и деактивирате постоянния режим CARP за поддръжка. "playcarpmaint" и "playback disablecarpmaint". # 6560
- Конфигурирана серийна конзола за nanobsd VGA. # 6291
Какво е новото във версия 2.3.1 Актуализация 5:
- Най-значимите промени в тази версия са пренаписване на webGUI, използващо Bootstrap, и основната система, включително базовата система и ядрото, която изцяло се трансформира в FreeBSD pkg. Конверсията pkg ни позволява да актуализираме части от системата поотделно, вместо монолитните актуализации на миналото. Презаписът webGUI носи нов и отзивчив външен вид и усещане за pfSense, изискващи минимум преоразмеряване или превъртане на широка гама от устройства от настолен до мобилен телефон.
Какво ново във версия 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Уязвимост на локалното включване на файлове в pfSense WebGUI
- pfSense-SA-15_10.captiveportal: Уязвимост при инжектиране на SQL в изходния изход на портала pfSense
- pfSense-SA-15_11.webgui: Уязвимост на множество XSS и CSRF в pfSense WebGUI
- Актуализиран на FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Няколко уязвимости в OpenSSL
- Обновен strongSwan на 5.3.5_2
- Включва корекция за CVE-2015-8023 уязвимост при заобикаляне на автентичността в приставката eap-mschapv2.
Какво е новото във версия 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Уязвимости на множество запаметени XSS в pfSense WebGUI
- Актуализиран на FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Няколко уязвимости в NTP [REVISED]
- FreeBSD-SA-15: 14.bsdpatch: Поради недостатъчно дезинфекциране на потока от входен пластир е възможно пач файлът да причини кръпка (1) за изпълнение на команди в допълнение към желаните SCCS или RCS команди
- FreeBSD-SA-15: 16.openssh: Клиентът OpenSSH не правилно потвърждава записите SSHFP на DNS, когато сървър предлага сертификат. CVE-2014-2653 OpenSSH сървърите, които са конфигурирани да позволяват удостоверяване чрез PAM (по подразбиране), биха позволили много опити за парола.
- FreeBSD-SA-15: 18.bsdpatch: Поради недостатъчното дезинфекциране на потока от входен пластир е възможно пач файлът да причини кръпка (1) да премине някои ed (1) скриптове към ed (1) редактор, който ще изпълнява команди.
- FreeBSD-SA-15: 20.expat: В функцията XML_GetBuffer () в библиотеката expat са открити множество препълнени числа.
- FreeBSD-SA-15: 21.amd64: Ако инструкцията IRET за ядрото се генерира изключение #SS или #NP, но манипулаторът на изключенията правилно не гарантира, че правилната GS регистрационна база за ядрото е презаредена , GS сегментът на потребителската зона може да се използва в контекста на обработващото устройство за изключения на ядрото.
- FreeBSD-SA-15: 22.openssh: Грешка при програмирането в процеса на привилегирован монитор на услугата sshd (8) може да позволи на потребителското име на вече удостоверен потребител да бъде презаписано от непривилегирования детски процес. Грешка при използване на следната свобода в процеса на привилегирования монитор на услугата sshd (8) може да бъде детерминирано от действията на компрометирания детски процес, който не е привилегирован. Грешка при употреба след отварянето на кода за мултиплексиране на сесията в услугата sshd (8) може да доведе до неволно прекратяване на връзката.
Какво е новото във версия 2.2.4:
- pfSense-SA-15_07.webgui: Няколко уязвимости на XSS, които са съхранени в pfSense WebGUI
- Пълният списък на засегнатите страници и полета е изброен в свързания СА.
- FreeBSD-SA-15: 13.tcp: Изчерпване на ресурсите поради сесии, останали в състояние LAST_ACK. Обърнете внимание, че това се отнася само за сценарии, при които пристанищата, слушащи самия pfSense (не преминават през NAT, маршрутизиране или свързване), се отварят в недоверирани мрежи. Това не важи за конфигурацията по подразбиране.
- Забележка: FreeBSD-SA-15: 13.openssl не се отнася за pfSense. pfSense не включва уязвима версия на OpenSSL и по този начин не е уязвима.
- По-нататъшни корекции за корупция на файловете в различни случаи по време на нечисти изключване (катастрофа, загуба на мощност и т.н.). # 4523
- Фиксиран PW във FreeBSD за справяне с корупцията passwd / group
- Фиксирана конфигурация.xml за писане, за да използвате fsync правилно, за да избегнете случаи, когато това може да стане празно. # 4803
- Премахна опцията "синхронизиране" от файлови системи за нови пълни инсталирания и пълни надстройки, след като съществува истинската корекция.
- Премахнатите софтуери за софтуер и регистрацията (AKA SU + J) от NanoBSD, те остават на пълно инсталиране. # 4822
- Пластирът forceync за # 2401 все още се смята за вредно за файловата система и е бил запазен. Като такава може да има известна бавна скорост с NanoBSD на някои по-бавни дискове, особено CF карти и в по-малка степен SD карти. Ако това е проблем, файловата система може да се съхранява постоянно на четене и писане, като се използва опцията за диагностика & gt; NanoBSD. При останалите по-горе промени рискът е минимален. Препоръчваме замяната на засегнатите CF / SD медии с нова, по-бърза карта възможно най-скоро. # 4822
- Надстроен PHP на 5.5.27 за адрес CVE-2015-3152 # 4832
- Намален SSH LoginGraceTime от 2 минути на 30 секунди, за да смекчи въздействието на бъгове за обхождане MaxAuthTries. Забележка Sshlockout ще блокира незаконните IP адреси във всички минали, текущи и бъдещи версии. # 4875
Какво е новото във версия 2.2.3:
- pfSense-SA-15_06.webgui: Уязвимости на множество XSS в pfSense WebGUI
- Пълният списък на засегнатите страници и полета е голям и всички са изброени в свързания СА.
- FreeBSD-SA-15: 10.openssl: Няколко уязвимости на OpenSSL (включително Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Какво е новото във версия 2.2.2:
- Това издание включва две актуализации за сигурност с нисък риск:
- FreeBSD-SA-15: 09.ipv6: отказ от услуга с реклами за маршрутизатор за IPv6. Когато дадена система използва DHCPv6 WAN тип, устройствата в един и същ разпръскван домейн, като WAN, могат да изпращат изработени пакети, които карат системата да загуби IPv6 Интернет връзка.
- FreeBSD-SA-15: 06.openssl: Няколко уязвимости на OpenSSL. Повечето не са приложими, а най-лошото е отричането на услугата.
Какво е новото във версия 2.2.1:
- Коригирания на сигурността:
- pfSense-SA-15_02.igmp: Препълване на цяло число в протокола IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: Уязвимости на множество XSS в pfSense WebGUI
- pfSense-SA-15_04.webgui: Уязвимост при изтриване на файлове в pfSense WebGUI
- FreeBSD-EN-15: 01.vt: vt (4) катастрофа с неправилни параметри ioctl
- FreeBSD-EN-15: 02.openssl: Актуализиране за включване на корекции за надеждност от OpenSSL
- Бележка за уязвимостта на OpenSSL "FREAK":
- Не засяга конфигурацията на уеб сървъра на защитната стена, тъй като няма активирани шифри за експортиране.
- pfSense 2.2 вече е включило OpenSSL 1.0.1k, което е насочено към уязвимостта на клиента.
- Ако пакетите включват уеб сървър или подобен компонент, като например прокси сървър, може да бъде засегната неправилна конфигурация на потребителя. Консултирайте се с документацията или форума за подробности.
Какво ново във версия 2.2:
- Тази версия осигурява подобрения в производителността и хардуерната поддръжка от базата FreeBSD 10.1, както и подобренията, които сме добавили като AES-GCM с ускорение AES-NI, сред редица други нови функции и корекции на програмни грешки.
- В процеса на постигане на освобождаване, приключихме общо 392 билета (този брой включва 55 функции или задачи), фиксирани 135 бъгове, засягащи 2.1.5 и предишни версии, фиксирани още 202 грешки, въведени в 2.2, Версията на операционната система от FreeBSD от 8.3 до 10.1, смяната на IPsec клавишните демони от racoon на strongSwan, надстройването на PHP backend до версия 5.5 и превключването му от FastCGI към PHP-FPM и добавянето на Unbound DNS Resolver и много по-малки промени.
- Тази версия съдържа четири корекции за сигурност с ниско въздействие:
- Обновяване на OpenSLS за FreeBSD-SA-15: 01.openssl
- Няколко уязвимости на XSS в уеб интерфейса. pfSense-SA-15_01
- Обновяване на OpenVPN за CVE-2014-8104
- Обновяване на NTP FreeBSD-SA-14: 31.ntp - въпреки че тези обстоятелства изглежда не влияят на pfSense.
Какво е новото във версия 2.1.4:
- Коригирания на сигурността:
- pfSense-SA-14_07.openssl
- Свободен-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- Пакетите също имат свои собствени независими поправки и се нуждаят от актуализиране. По време на процеса на обновяване на фърмуера пакетите ще бъдат инсталирани правилно. В противен случай деинсталирайте и след това преинсталирайте пакетите, за да сте сигурни, че се използва най-новата версия на файловете.
- Други поправки:
- Кръпка за проблем с изтичането на пипно за Captive Portal, което води до "Максимално влизане в системата", достигнато на "Капитален портал". # 3062
- Премахнете текста, който не е подходящ за разрешените IP адреси в портала "Вътрешен". # 3594
- Премахване на единиците от пакета, както винаги е посочено в байтове. (За ipfw (8)).
- Добавете колона за вътрешен порт на страницата със състоянието UPnP.
- Настройте по-скоро слушането на интерфейс, а не IP, за UPnP.
- Поправете открояването на избраните правила. # 3646
- Добавете guiconfig към приспособленията, които не го включват. # 3498
- / etc / version_kernel и / etc / version_base вече не съществуват, използвайте php_uname, за да получите версията за проверка XMLRPC.
- Коригирайте променливата печатна грешка. # 3669
- Изтрийте всички ПИ Псевдоними, когато интерфейсът е деактивиран. # 3650
- Правилно се справяте с преименуването на RRD архив по време на грешки при ъпгрейдване и шумоподтискане, ако не успее.
- Конвертиране на протокола ssl: // към https: // при създаване на HTTP заглавки за XMLRPC.
- Показване на забранени интерфейси, когато вече са част от интерфейсна група. Това предотвратява показването на произволен интерфейс и позволява на потребителя да го добави по погрешка. # 3680
- Директивата client-config-dir за OpenVPN също е полезна, когато използвате вътрешния DHCP на OpenVPN, докато го свързвате, така че го добавете и в този случай.
- Използвайте curl, вместо да изтеглите, за да изтеглите актуализираните файлове. # 3691
- Escape променлива, преди да мине в shell от stop_service ().
- Добавете защита към параметрите, които идват чрез _GET в управлението на услугата.
- Аргументът Escape при извикване на is_process_running също премахва някои ненужни обаждания на mwexec ().
- Не позволявайте името на интерфейсната група да бъде по-голямо от 15 символа. # 3208
- Бъдете по-прецизни, за да съответствате на членовете на мостов интерфейс, трябва да поправите # 3637
- Не изтичвайте вече потребителите с увреждания, той поправя # 3644
- Проверете формата за стартиране и за спиране в firewall_schedule_edit.php
- Бъдете по-внимателни с параметъра хост на diag_dns.php и се уверете, че е избягал при функциите на shell shell
- Параметрите на Escape се предават на shell_exec () в diag_smart.php и на други места
- Уверете се, че променливите са избягвани / дезинфекцирани на status_rrd_graph_img.php
- Замени извикванията exec за изпълнение на rm от unlink_if_exists () на status_rrd_graph_img.php
- Замени всички обаждания на хост от php_uname (& lsquo; n ') на status_rrd_graph_img.php
- Замени всички обаждания `от дата` от strftime () на status_rrd_graph_img.php
- Добавете $ _gb за събиране на евентуално боклук от return return на status_rrd_graph_img.php
- Избягвайте прескачане на директории в pkg_edit.php при четене на пакетни xml файлове, проверете дали файлът съществува, преди да опитате да го прочетете
- Премахване на id = 0 от менюто miniupnpd и пряк път
- Премахване. и / от името на pkg, за да избегнете трасирането на директорията в pkg_mgr_install.php
- Коригирайте ядрото на ядрото при преглеждането на невалиден регистър на пакетите
- Избягвайте прескачане на директорията на system_firmware_restorefullbackup.php
- Повторно генериране на ID на сесията при успешно влизане, за да се избегне фиксирането на сесия
- Защитете параметрите rssfeed с htmlspecialchars () в rss.widget.php
- Защитете параметъра servicestatusfilter с htmlspecialchars () в services_status.widget.php
- Винаги задайте httponly атрибут на бисквитки
- Задайте & lsquo; Деактивиране на автоматичното довършване за влизане в webConfigurator 'като включено по подразбиране за нови инсталирания
- Опростете логиката, добавете известна защита към входните параметри на потребителя на log.widget.php
- Уверете се, че единичните кавички са кодирани и избягвайте инжектирането на javascript на exec.php
- Добавете липсващи NAT протоколи в firewall_nat_edit.php
- Премахнете допълнителните данни след интервал в DSCP и коригирайте синтаксиса на правилото pf. # 3688
- Включвайте само правило за планиране, ако то е строго преди края на времето. # 3558
Какво е новото във версия 2.1.1:
- Най-голямата промяна е да се затварят следните проблеми със сигурността / CVEs:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Освен тези, драйверите em / igb / ixgb / ixgbe са надстроени, за да добавят поддръжка за NICs на i210 и i354. Някои NIC от Intel 10Gb Ethernet също ще виждат подобрена производителност.
Коментари не е намерена