pfSense & reg; là một hệ điều hành BSD nguồn mở và phân phối tự do bắt nguồn từ dự án m0n0wall nổi tiếng, nhưng với các mục tiêu hoàn toàn khác nhau như sử dụng Bộ lọc gói và các công nghệ FreeBSD mới nhất.
Dự án có thể được sử dụng làm cả bộ định tuyến và tường lửa. Nó bao gồm một hệ thống gói cho phép các quản trị viên hệ thống dễ dàng mở rộng sản phẩm mà không cần thêm các lỗ hổng bảo mật tiềm ẩn và sưng lên cho bản phân phối cơ sở.
Tính năng trong nháy mắt
Các tính năng chính bao gồm tường lửa tiên tiến, cân bằng tải vào / ra, bảng trạng thái, NAT (Dịch địa chỉ mạng), tính sẵn sàng cao, VPN (Mạng riêng ảo) với hỗ trợ IPsec, PPTP và OpenVPN, PPPoE máy chủ, DNS động, cổng cố định, báo cáo và giám sát.
Nó là một hệ điều hành tường lửa được phát triển tích cực, được phân phối dưới dạng tệp Live CD được lưu trữ gz và các hình ảnh ISO chỉ cài đặt, trình cài đặt thanh USB cũng như các phương tiện nhúng NanoBSD / nhúng. Cả hai nền tảng phần cứng 64 bit (amd64) và 32 bit (i386) đều được hỗ trợ tại thời điểm này.
Một số tùy chọn khởi động được xác định trước có sẵn trong quá trình khởi động, chẳng hạn như khởi động hệ điều hành với cài đặt mặc định, với ACPI bị vô hiệu hóa, sử dụng thiết bị USB, ở chế độ an toàn, ở chế độ người dùng đơn, với ghi chi tiết, cũng như truy cập dấu nhắc trình bao hoặc khởi động lại máy.
Bắt đầu với pfSense & reg;
Mặc dù bản phân phối sẽ hỏi người dùng xem họ có muốn thiết lập VLAN (mạng LAN ảo) không, nó sẽ yêu cầu ít nhất một giao diện mạng được gán để hoạt động. Điều này có nghĩa là nếu bạn không có / thiết lập ít nhất một giao diện, pfSense & reg; thậm chí sẽ không bắt đầu.
Được sử dụng làm tường lửa cho các mạng gia đình nhỏ, các trường đại học, các tập đoàn lớn hoặc bất kỳ tổ chức nào khác nơi cần bảo vệ hàng nghìn thiết bị mạng là cực kỳ quan trọng, pfSense & reg; đã được tải xuống bởi hơn một triệu người dùng từ khắp nơi trên thế giới kể từ khi thành lập.
Tóm lại
Đây là một trong những dự án tường lửa mã nguồn mở tốt nhất được thiết kế để cung cấp cho người dùng tất cả các tính năng mà các sản phẩm tường lửa thương mại đi kèm. Hôm nay, pfSense & reg; được sử dụng trong nhiều giải pháp tường lửa phần cứng, bao gồm Cisco PIX, Cisco ASA, Netgear, Điểm kiểm tra, Juniper, Astaro, Sonicwall hoặc Watchguard.
pfSense & reg; là thương hiệu đã đăng ký và nhãn hiệu dịch vụ thuộc sở hữu của Electric Sheep Fencing LLC. Xem www.electricsheepfencing.com.
Có gì mới trong bản phát hành này:
- Bảo mật / Errata li>
- Đã cập nhật lên OpenSSL 1.0.2m để giải quyết CVE-2017-3736 và CVE-2017-3735
- FreeBSD-SA-17: 10.kldstat
- FreeBSD-SA-17: 08.ptrace
- Đã sửa lỗi vectơ XSS tiềm năng trong status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
- Đã sửa lỗi vectơ XSS tiềm năng trong diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
- Đã sửa lỗi vectơ XSS tiềm năng trên index.php thông qua các tham số chuỗi tiện ích # 8000 pfSense-SA-17_09.webgui.asc
- Đã sửa lỗi XSS tiềm năng trong thông số tiện ích con của tiện ích bảng điều khiển đa đối tượng # 7998 pfSense-SA-17_09.webgui.asc
- Đã khắc phục sự cố nhấp chuột tiềm ẩn trong trang lỗi CSRF
- Giao diện
- Giao diện PPP cố định với cha mẹ VLAN khi sử dụng tên VLAN mới # 7981
- Các sự cố đã khắc phục với giao diện QinQ không hiển thị dưới dạng hoạt động # 7942
- Đã khắc phục sự cố / lỗi khi tắt giao diện LAGG # 7940
- Đã khắc phục sự cố với giao diện LAGG mất địa chỉ MAC của họ # 7928
- Đã khắc phục sự cố xảy ra trên radvd trên SG-3100 (ARM) # 8022
- Đã khắc phục sự cố với gói UDP giảm xuống SG-1000 # 7426
- Đã thêm giao diện để quản lý công tắc tích hợp trên SG-3100
- Đã cắt bớt nhiều ký tự ra khỏi mô tả giao diện để tránh gói dòng đầu ra của menu điều khiển trên bảng điều khiển VGA
- Cố định xử lý thông số VIP uniqueid khi thay đổi loại VIP
- Hiển thị trường tham số liên kết PPP cố định khi giao diện cha mẹ VLAN được chọn # 8098
- Hệ điều hành
- Đã khắc phục các sự cố phát sinh từ việc bố cục hệ thống tệp được định cấu hình theo cách thủ công với một lát / usr riêng biệt # 8065
- Đã khắc phục sự cố khi cập nhật các hệ thống ZFS đã tạo ZFS bằng cách sử dụng lược đồ phân vùng MBR (trống / khởi động do vùng khởi động không được nhập) # 8063
- Đã khắc phục sự cố với phiên BGP sử dụng chữ ký TCP MD5 trong các gói daemon định tuyến # 7969
- Đã cập nhật dpinger thành 3.0
- Tăng cường các lựa chọn và phương thức lựa chọn kho lưu trữ cập nhật
- Đã cập nhật các hệ thống điều chỉnh cho biết hệ điều hành không thu thập dữ liệu từ các ngắt, giao diện điểm-điểm và thiết bị Ethernet để phản ánh tên / định dạng mới cho FreeBSD 11
- Đã thay đổi quy tắc xử lý để nó thử lại nếu quá trình khác đang ở giữa bản cập nhật, thay vì trình bày lỗi cho người dùng
- Đã khắc phục một số sự cố khởi động UEFI trên các nền tảng khác nhau
- Chứng chỉ
- Cố định các mục không hợp lệ trong /etc/ssl/openssl.cnf (chỉ bị ảnh hưởng bởi việc sử dụng openssl không chuẩn trong cli / shell) # 8059
- Xác thực LDAP được xác thực khi máy chủ sử dụng CA gốc đáng tin cậy toàn cầu (lựa chọn CA mới cho & quot; Danh sách CA Gốc Toàn cầu & quot;) # 8044
- Đã khắc phục sự cố khi tạo chứng chỉ với CN / SAN ký tự đại diện # 7994
- Đã thêm xác thực vào Trình quản lý Chứng chỉ để ngăn nhập chứng chỉ của tổ chức phát hành chứng chỉ không vào tab CA # 7885
- IPsec
- Đã khắc phục sự cố khi sử dụng chứng chỉ CA IPsec khi chủ đề chứa nhiều RDN cùng loại # 7929
- Đã khắc phục sự cố với bật hỗ trợ ứng dụng khách IPsec trên điện thoại di động bằng các ngôn ngữ đã dịch # 8043
- Đã khắc phục sự cố với hiển thị / đầu ra trạng thái IPsec, bao gồm nhiều mục nhập (một ngắt kết nối, một mục được kết nối) # 8003
- Hiển thị cố định của nhiều khách hàng IPsec di động được kết nối # 7856
- Hiển thị cố định các mục nhập SA con # 7856
- OpenVPN
- Đã thêm tùy chọn cho các máy chủ OpenVPN để sử dụng & quot; cổng chuyển hướng ipv6 & quot; để hoạt động như cổng mặc định để kết nối các máy khách VPN với IPv6, tương tự như & quot; cổng chuyển hướng def1 & quot; cho IPv4. # 8082
- Đã khắc phục tùy chọn Danh sách Thu hồi Chứng chỉ Ứng dụng khách OpenVPN # 8088
- Định hình Lưu lượng
- Đã sửa lỗi khi định cấu hình giới hạn trên 2Gb / s (tối đa mới là 4Gb / giây) # 7979
- Đã khắc phục sự cố với giao diện mạng cầu nối không hỗ trợ ALTQ # 7936
- Đã khắc phục sự cố với giao diện mạng vtnet không hỗ trợ ALTQ # 7594
- Đã khắc phục sự cố với Trạng thái & gt; Hàng đợi không hiển thị thống kê cho giao diện VLAN # 8007
- Đã khắc phục sự cố với hàng đợi định hình lưu lượng truy cập không cho phép tổng số hàng đợi con là 100% # 7786
- Đã khắc phục sự cố với bộ giới hạn được cung cấp các giá trị phân số / không nguyên không hợp lệ từ các mục nhập giới hạn hoặc được chuyển đến Cổng cố định từ RADIUS # 8097
- Quy tắc / NAT
- Cố định lựa chọn cổng IPv6 khi tạo quy tắc tường lửa mới # 8053
- Đã sửa lỗi trên trang cấu hình Cổng chuyển tiếp do dữ liệu truy vấn / cookie không phải là / không phải pfSense # 8039
- Đã đặt Cố định Mức độ ưu tiên VLAN qua quy tắc tường lửa # 7973
- XMLRPC
- Đã khắc phục sự cố với đồng bộ hóa XMLRPC khi người dùng đồng bộ hóa có mật khẩu chứa dấu cách # 8032
- Các vấn đề XMLRPC đã được khắc phục với chứng từ Cổng cố định # 8079
- WebGUI
- Đã thêm tùy chọn để tắt HSTS cho máy chủ web GUI # 6650
- Đã thay đổi dịch vụ web GUI để chặn tải xuống trực tiếp các tệp .inc # 8005
- Sắp xếp các Dịch vụ cố định trên tiện ích bảng điều khiển và trang Trạng thái dịch vụ # 8069
- Đã khắc phục sự cố đầu vào khi các mục IPv6 tĩnh cho phép nhập không hợp lệ cho các trường địa chỉ # 8024
- Đã sửa lỗi cú pháp JavaScript trong biểu đồ lưu lượng truy cập khi gặp phải dữ liệu không hợp lệ (ví dụ: người dùng đã đăng xuất hoặc xóa phiên) # 7990
- Lỗi lấy mẫu cố định trong Đồ thị Lưu lượng # 7966
- Đã sửa lỗi JavaScript trên Trạng thái & gt; Giám sát # 7961
- Đã khắc phục sự cố hiển thị với các bảng trống trên Internet Explorer 11 # 7978
- Đã thay đổi xử lý cấu hình để sử dụng ngoại lệ thay vì die () khi nó phát hiện cấu hình bị hỏng
- Đã thêm lọc vào trang pfTop
- Đã thêm phương tiện cho các gói để hiển thị một phương thức cho người dùng (ví dụ: yêu cầu khởi động lại trước khi gói có thể được sử dụng)
- Trang tổng quan
- Hiển thị cố định các bản cập nhật có sẵn trên tiện ích Bảng điều khiển Gói đã Cài đặt # 8035
- Đã khắc phục sự cố phông chữ trong tiện ích Bảng điều khiển Hỗ trợ # 7980
- Định dạng đĩa / phân vùng đĩa cố định trong tiện ích Trang tổng quan thông tin hệ thống
- Đã khắc phục sự cố với tiện ích Ảnh khi không có ảnh hợp lệ được lưu # 7896
- Các gói
- Hiển thị cố định các gói đã bị xóa khỏi kho lưu trữ trong Trình quản lý gói # 7946
- Đã khắc phục sự cố hiển thị các gói được cài đặt cục bộ khi kho lưu trữ gói từ xa không khả dụng # 7917
- Misc
- Cố định giao diện ràng buộc trong ntpd để nó không nghe sai trên tất cả các giao diện # 8046
- Đã khắc phục sự cố khi khởi động lại dịch vụ syslogd sẽ làm cho quá trình sshlockout_pf quá trình # 7984
- Đã thêm hỗ trợ cho nhà cung cấp DNS động ClouDNS # 7823
- Đã khắc phục sự cố trong trang Người dùng và Người quản lý Nhóm khi hoạt động trên các mục nhập ngay sau khi xóa mục nhập # 7733
- Đã thay đổi trình hướng dẫn thiết lập để nó bỏ qua cấu hình giao diện khi chạy trên Bản AWS EC2 # 6459
- Đã khắc phục sự cố Proxy IGMP với chế độ All-multicast trên SG-1000 # 7710
Tính năng mới trong phiên bản:
- Cập nhật Trang tổng quan:
- Trên Bảng điều khiển 2.3.4-RELEASE bạn sẽ tìm thấy một vài thông tin bổ sung: Nhà cung cấp BIOS, phiên bản và ngày phát hành - nếu tường lửa có thể xác định chúng - và ID duy nhất của Netgate. ID duy nhất của Netgate tương tự như số sê-ri, nó được sử dụng để nhận dạng duy nhất một phiên bản phần mềm pfSense cho những khách hàng muốn mua dịch vụ hỗ trợ. Đối với phần cứng được bán trong cửa hàng của chúng tôi, nó cũng cho phép chúng tôi liên kết các đơn vị với hồ sơ sản xuất của chúng tôi. ID này nhất quán trên tất cả các nền tảng (kim loại trần, máy ảo và các phiên bản trên máy chủ / đám mây như AWS / Azure). Ban đầu chúng tôi dự định sử dụng số sê-ri phần cứng hoặc UUID được tạo bởi hệ điều hành, nhưng chúng tôi nhận thấy rằng chúng không đáng tin cậy, không nhất quán và chúng có thể thay đổi bất ngờ khi hệ điều hành được cài đặt lại.
- Giống như số sê-ri, số nhận dạng này chỉ được hiển thị trên Trang tổng quan cho mục đích thông tin và không được truyền bất kỳ nơi nào tự động theo mặc định. Trong tương lai, khách hàng có thể sử dụng số nhận dạng này khi yêu cầu thông tin hỗ trợ từ nhân viên hoặc hệ thống của chúng tôi.
- Nếu bạn chưa cập nhật các thay đổi trong 2.3.x, hãy xem video Tính năng và Video nổi bật. Các bài đăng trên blog trước đây đã bao gồm một số thay đổi, chẳng hạn như cải tiến hiệu suất từ tryforward và cập nhật webGUI.
- Chứng chỉ Giao diện Tường lửa:
- Người dùng Chrome 58 trở lên và trong một số trường hợp Firefox 48 trở lên, có thể gặp sự cố khi truy cập vào pfSense Web GUI nếu sử dụng chứng chỉ tự ký mặc định được tạo tự động bởi tường lửa chạy phiên bản pfSense 2.3.3-p1 hoặc sớm hơn. Điều này là do Chrome 58 thực thi nghiêm ngặt RFC 2818 chỉ gọi tên máy chủ phù hợp bằng cách sử dụng các mục nhập Tên thay thế (SAN) thay vì trường Tên chung của chứng chỉ và chứng chỉ tự ký mặc định không điền vào trường SAN.
- Chúng tôi đã sửa mã chứng chỉ để theo đúng RFC 2818 theo cách thân thiện với người dùng bằng cách tự động thêm chứng chỉ Giá trị Tên Phổ biến làm mục nhập SAN đầu tiên.
- Quản trị viên tường lửa sẽ cần phải tạo một chứng chỉ mới để sử dụng bởi GUI để sử dụng định dạng mới. Có một số cách để tạo chứng chỉ tương thích, bao gồm:
- Tạo và kích hoạt chứng chỉ GUI mới tự động từ bảng điều khiển hoặc vỏ ssh bằng cách sử dụng một trong các tập lệnh phát lại của chúng tôi:
- phát lại pfSsh.php generateguicert
- Sử dụng gói ACME để tạo chứng chỉ tin cậy cho GUI thông qua Let's Encrypt, đã được định dạng đúng.
- Tạo thủ công một Tổ chức phát hành chứng chỉ tự ký (CA) mới và Chứng chỉ máy chủ được CA ký, sau đó sử dụng nó cho GUI.
- Kích hoạt trình duyệt cục bộ & quot; EnableCommonNameFallbackForLocalAnchors & quot; trong Chrome 58. Cuối cùng, cài đặt này sẽ bị Chrome xóa, vì vậy đây chỉ là bản sửa lỗi tạm thời.
- Một số người dùng có thể nhớ đây không phải là lần đầu tiên định dạng chứng chỉ mặc định gặp sự cố do thay đổi của trình duyệt. Vài năm trước, Firefox đã thay đổi cách họ tính toán chuỗi tin cậy chứng chỉ, có thể làm cho trình duyệt xuất hiện treo hoặc treo khi cố gắng truy cập nhiều tường lửa với chứng chỉ tự ký chứa dữ liệu mặc định phổ biến dẫn đến tất cả các chứng chỉ đó có cùng Chủ đề. Việc khắc phục đó là nhiều thách thức hơn, nhưng điều đó dẫn đến trải nghiệm người dùng cuối tốt hơn nhiều.
Tính năng mới trong phiên bản 2.3.4:
- Cập nhật Trang tổng quan:
- Trên Bảng điều khiển 2.3.4-RELEASE bạn sẽ tìm thấy một vài thông tin bổ sung: Nhà cung cấp BIOS, phiên bản và ngày phát hành - nếu tường lửa có thể xác định chúng - và ID duy nhất của Netgate. ID duy nhất của Netgate tương tự như số sê-ri, nó được sử dụng để nhận dạng duy nhất một phiên bản phần mềm pfSense cho những khách hàng muốn mua dịch vụ hỗ trợ. Đối với phần cứng được bán trong cửa hàng của chúng tôi, nó cũng cho phép chúng tôi liên kết các đơn vị với hồ sơ sản xuất của chúng tôi. ID này nhất quán trên tất cả các nền tảng (kim loại trần, máy ảo và các phiên bản trên máy chủ / đám mây như AWS / Azure). Ban đầu chúng tôi dự định sử dụng số sê-ri phần cứng hoặc UUID được tạo bởi hệ điều hành, nhưng chúng tôi nhận thấy rằng chúng không đáng tin cậy, không nhất quán và chúng có thể thay đổi bất ngờ khi hệ điều hành được cài đặt lại.
- Giống như số sê-ri, số nhận dạng này chỉ được hiển thị trên Trang tổng quan cho mục đích thông tin và không được truyền bất kỳ nơi nào tự động theo mặc định. Trong tương lai, khách hàng có thể sử dụng số nhận dạng này khi yêu cầu thông tin hỗ trợ từ nhân viên hoặc hệ thống của chúng tôi.
- Nếu bạn chưa cập nhật các thay đổi trong 2.3.x, hãy xem video Tính năng và Video nổi bật. Các bài đăng trên blog trước đây đã bao gồm một số thay đổi, chẳng hạn như cải tiến hiệu suất từ tryforward và cập nhật webGUI.
- Chứng chỉ Giao diện Tường lửa:
- Người dùng Chrome 58 trở lên và trong một số trường hợp Firefox 48 trở lên, có thể gặp sự cố khi truy cập vào pfSense Web GUI nếu sử dụng chứng chỉ tự ký mặc định được tạo tự động bởi tường lửa chạy phiên bản pfSense 2.3.3-p1 hoặc sớm hơn. Điều này là do Chrome 58 thực thi nghiêm ngặt RFC 2818 chỉ gọi tên máy chủ phù hợp bằng cách sử dụng các mục nhập Tên thay thế (SAN) thay vì trường Tên chung của chứng chỉ và chứng chỉ tự ký mặc định không điền vào trường SAN.
- Chúng tôi đã sửa mã chứng chỉ để theo đúng RFC 2818 theo cách thân thiện với người dùng bằng cách tự động thêm chứng chỉ Giá trị Tên Phổ biến làm mục nhập SAN đầu tiên.
- Quản trị viên tường lửa sẽ cần phải tạo một chứng chỉ mới để sử dụng bởi GUI để sử dụng định dạng mới. Có một số cách để tạo chứng chỉ tương thích, bao gồm:
- Tạo và kích hoạt chứng chỉ GUI mới tự động từ bảng điều khiển hoặc vỏ ssh bằng cách sử dụng một trong các tập lệnh phát lại của chúng tôi:
- phát lại pfSsh.php generateguicert
- Sử dụng gói ACME để tạo chứng chỉ tin cậy cho GUI thông qua Let's Encrypt, đã được định dạng đúng.
- Tạo thủ công một Tổ chức phát hành chứng chỉ tự ký (CA) mới và Chứng chỉ máy chủ được CA ký, sau đó sử dụng nó cho GUI.
- Kích hoạt trình duyệt cục bộ & quot; EnableCommonNameFallbackForLocalAnchors & quot; trong Chrome 58. Cuối cùng, cài đặt này sẽ bị Chrome xóa, vì vậy đây chỉ là bản sửa lỗi tạm thời.
- Một số người dùng có thể nhớ đây không phải là lần đầu tiên định dạng chứng chỉ mặc định gặp sự cố do thay đổi của trình duyệt. Vài năm trước, Firefox đã thay đổi cách họ tính toán chuỗi tin cậy chứng chỉ, có thể làm cho trình duyệt xuất hiện treo hoặc treo khi cố gắng truy cập nhiều tường lửa với chứng chỉ tự ký chứa dữ liệu mặc định phổ biến dẫn đến tất cả các chứng chỉ đó có cùng Chủ đề. Việc khắc phục đó là nhiều thách thức hơn, nhưng điều đó dẫn đến trải nghiệm người dùng cuối tốt hơn nhiều.
Tính năng mới trong phiên bản 2.3.3-p1:
- FreeBSD-SA-16: 26.openssl - Nhiều lỗ hổng trong OpenSSL. Tác động đáng kể duy nhất trên pfSense là OCSP cho HAproxy và FreeRADIUS.
- Một số Errata liên quan đến HyperV trong FreeBSD 10.3, FreeBSD-EN-16: 10 đến 16:16. Xem https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html để biết chi tiết.
- Một số gói và thư viện tích hợp đã được cập nhật, bao gồm:
- PHP đến 5.6.26
- libidn thành 1.33
- curl thành 7.50.3
- libxml2 đến 2.9.4
- Đã thêm mã hóa vào tham số 'khu vực' trên các trang Cổng bị khóa.
- Đã thêm mã hóa đầu ra vào diag_dns.php cho kết quả được trả lại từ DNS. # 6737
- Đã làm việc xung quanh lỗi Chrome với phân tích cú pháp biểu thức chính quy của các ký tự thoát trong bộ ký tự. Bản sửa lỗi & quot; Vui lòng khớp với định dạng được yêu cầu & quot; trên các phiên bản Chrome gần đây. # 6762
- Tùy chọn định dạng thời gian máy chủ DHCPv6 Cố định # 6640
- Cố định / usr / bin / install bị thiếu trong cài đặt mới. # 6643
- Đã tăng giới hạn đuôi lọc để ghi nhật ký để tìm kiếm sẽ tìm đủ mục nhập. # 6652
- Đã dọn sạch tiện ích Gói đã cài đặt và HTML. # 6601
- Đã sửa lỗi cài đặt tiện ích con khi tạo cài đặt mới. # 6669
- Đã sửa các lỗi chính tả và lỗi từ ngữ khác nhau.
- Đã xóa liên kết không còn tồn tại thành trang web devwiki. Mọi thứ đều có trên https://doc.pfsense.org ngay bây giờ.
- Đã thêm một trường vào các trang CA / Cert cho OU, được yêu cầu bởi một số CA và người dùng bên ngoài. # 6672
- Đã sửa một HTTP dự phòng & quot; Tác nhân Người dùng & quot; trong các cập nhật DynDNS.
- Cố định phông chữ cho các bảng có thể sắp xếp.
- Đã thêm dấu kiểm để xác minh xem giao diện có đang hoạt động trong nhóm cổng trước khi cập nhật DNS động hay không.
- Cố định từ ngữ của & quot; Từ chối cho thuê từ & quot; tùy chọn cho giao diện DHCP (nó chỉ có thể lấy địa chỉ, không phải mạng con.) # 6646
- Đã báo cáo lỗi cố định cho kiểm tra cài đặt SMTP.
- Cố định tiết kiệm quốc gia, nhà cung cấp và kế hoạch cho các giao diện PPP
- Đã sửa lỗi kiểm tra không hợp lệ & quot; Đường Đến & quot; số trên diag_edit.php. # 6704
- Sửa lỗi từng lần một với & quot; Hàng Hiển thị & quot; trên diag_routes.php. # 6705
- Mô tả cố định của hộp bộ lọc trên diag_routes.php để phản ánh rằng tất cả các trường đều có thể tìm kiếm được. # 6706
- Mô tả cố định của hộp cho tệp để chỉnh sửa trên diag_edit.php. # 6703
- Mô tả cố định của bảng điều khiển chính trên diag_resetstate.php. # 6709
- Hộp thoại cảnh báo cố định khi không chọn hộp trên diag_resetstate.php. # 6710
- Phím tắt nhật ký cố định cho các khu vực DHCP6. # 6700
- Đã sửa nút xóa mạng hiển thị khi chỉ có một hàng trên services_unbound_acls.php # 6716
- Đã sửa văn bản trợ giúp biến mất trên các hàng có thể lặp lại khi hàng cuối cùng bị xóa. # 6716
- Đã sửa tên miền DNS động cho các mục DHCP tĩnh
- Đã thêm kiểm soát để đặt thời gian làm mới tiện ích trang tổng quan
- Đã thêm & quot; -C / dev / null & quot; để các tham số dòng lệnh dnsmasq để tránh nó chọn lên một cấu hình mặc định không chính xác mà sẽ ghi đè lên các tùy chọn của chúng tôi. # 6730
- Đã thêm & quot; -l & quot; để traceroute6 để hiển thị cả hai địa chỉ IP và tên máy chủ khi giải quyết các bước nhảy trên diag_traceroute.php. # 6715
- Đã thêm ghi chú về giới hạn tối đa ttl / hop trong nhận xét nguồn trên diag_traceroute.php.
- Ngôn ngữ đã được làm rõ trên diag_tables.php. # 6713
- Đã dọn sạch văn bản trên diag_sockets.php. # 6708
- Hiển thị cố định tên giao diện VLAN trong quá trình gán bàn điều khiển. # 6724
- Tùy chọn tên miền-máy chủ đã được sửa lỗi hiển thị hai lần trong các nhóm khi được đặt theo cách thủ công.
- Cố định xử lý các tùy chọn DHCP trong các nhóm khác ngoài phạm vi chính. # 6720
- Đã sửa lỗi tên máy chủ bị thiếu trong một số trường hợp với dhcpdv6. # 6589
- Đã xử lý pidfile được cải thiện cho các dhcpleases.
- Đã thêm các kiểm tra để ngăn truy cập vào chênh lệch không xác định trong IPv6.inc.
- Đã sửa hiển thị cửa sổ bí danh và tùy chọn chỉnh sửa trên nguồn và đích cho cả địa chỉ và cổng trên NAT đi.
- Cố định xử lý số cấu hình sao lưu. # 6771
- Đã xóa một số tham chiếu PPTP đang treo không còn liên quan nữa.
- Đã sửa / bắt các vùng syslog từ xa. Đã thêm & quot; định tuyến & quot ;, & quot; ntpd & quot ;, & quot; ppp & quot ;, & quot; trình giải quyết & quot ;, cố định & quot; vpn & quot; bao gồm tất cả các khu vực VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Đã sửa các hộp kiểm bị thiếu trong một số trường hợp khi thêm hàng trên services_ntpd.php. # 6788
- Biểu tượng đang chạy / dừng đã sửa đổi.
- Đã thêm séc vào quản lý CRL để xóa chứng chỉ khỏi danh sách thả xuống đã được chứa trong CRL đang được chỉnh sửa.
- Dấu phân tách quy tắc cố định di chuyển khi nhiều quy tắc tường lửa bị xóa cùng một lúc. # 6801
Tính năng mới trong phiên bản 2.3.3:
- FreeBSD-SA-16: 26.openssl - Nhiều lỗ hổng trong OpenSSL. Tác động đáng kể duy nhất trên pfSense là OCSP cho HAproxy và FreeRADIUS.
- Một số Errata liên quan đến HyperV trong FreeBSD 10.3, FreeBSD-EN-16: 10 đến 16:16. Xem https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html để biết chi tiết.
- Một số gói và thư viện tích hợp đã được cập nhật, bao gồm:
- PHP đến 5.6.26
- libidn thành 1.33
- curl thành 7.50.3
- libxml2 đến 2.9.4
- Đã thêm mã hóa vào tham số 'khu vực' trên các trang Cổng bị khóa.
- Đã thêm mã hóa đầu ra vào diag_dns.php cho kết quả được trả lại từ DNS. # 6737
- Đã làm việc xung quanh lỗi Chrome với phân tích cú pháp biểu thức chính quy của các ký tự thoát trong bộ ký tự. Bản sửa lỗi "Vui lòng khớp với định dạng được yêu cầu" trên các phiên bản Chrome gần đây. # 6762
- Tùy chọn định dạng thời gian máy chủ DHCPv6 Cố định # 6640
- Cố định / usr / bin / install bị thiếu trong cài đặt mới. # 6643
- Đã tăng giới hạn đuôi lọc để ghi nhật ký để tìm kiếm sẽ tìm đủ mục nhập. # 6652
- Đã dọn sạch tiện ích Gói đã cài đặt và HTML. # 6601
- Đã sửa lỗi cài đặt tiện ích con khi tạo cài đặt mới. # 6669
- Đã sửa nhiều lỗi chính tả và lỗi từ ngữ khác nhau.
- Đã xóa liên kết không còn tồn tại thành trang web devwiki. Mọi thứ đều có trên https://doc.pfsense.org ngay bây giờ.
- Đã thêm một trường vào các trang CA / Cert cho OU, được yêu cầu bởi một số CA và người dùng bên ngoài. # 6672
- Đã sửa một chuỗi "Tác nhân Người dùng" HTTP dự phòng trong các cập nhật DynDNS.
- Cố định phông chữ cho các bảng có thể sắp xếp.
- Đã thêm dấu kiểm để xác minh xem giao diện có đang hoạt động trong nhóm cổng trước khi cập nhật DNS động hay không.
- Cố định từ ngữ của tùy chọn "Từ chối thuê từ" cho giao diện DHCP (nó chỉ có thể lấy địa chỉ, chứ không phải mạng con.) # 6646
- Đã báo cáo lỗi cố định cho kiểm tra cài đặt SMTP.
- Cố định tiết kiệm quốc gia, nhà cung cấp và kế hoạch cho các giao diện PPP
- Đã sửa lỗi kiểm tra các số "Go To Line" không hợp lệ trên diag_edit.php. # 6704
- Đã sửa lỗi từng lần một với "Hàng hiển thị" trên diag_routes.php. # 6705
- Mô tả cố định của hộp bộ lọc trên diag_routes.php để phản ánh rằng tất cả các trường đều có thể tìm kiếm được. # 6706
- Mô tả cố định của hộp cho tệp để chỉnh sửa trên diag_edit.php. # 6703
- Mô tả cố định của bảng điều khiển chính trên diag_resetstate.php. # 6709
- Hộp thoại cảnh báo cố định khi không chọn hộp trên diag_resetstate.php. # 6710
- Phím tắt nhật ký cố định cho các khu vực DHCP6. # 6700
- Đã sửa nút xóa mạng hiển thị khi chỉ có một hàng trên services_unbound_acls.php # 6716
- Đã sửa văn bản trợ giúp biến mất trên các hàng có thể lặp lại khi hàng cuối cùng bị xóa. # 6716
- Đã sửa tên miền DNS động cho các mục DHCP tĩnh
- Đã thêm kiểm soát để đặt thời gian làm mới tiện ích trang tổng quan
- Đã thêm "-C / dev / null" vào thông số dòng lệnh dnsmasq để tránh nó nhận được cấu hình mặc định không chính xác sẽ ghi đè tùy chọn của chúng tôi. # 6730
- Đã thêm "-l" vào traceroute6 để hiển thị cả Địa chỉ IP và Tên máy chủ khi giải quyết các bước nhảy trên diag_traceroute.php. # 6715
- Đã thêm ghi chú về giới hạn tối đa ttl / hop trong nhận xét nguồn trên diag_traceroute.php.
- Ngôn ngữ đã được làm rõ trên diag_tables.php. # 6713
- Đã dọn sạch văn bản trên diag_sockets.php. # 6708
- Hiển thị cố định tên giao diện VLAN trong quá trình gán bàn điều khiển. # 6724
- Tùy chọn tên miền-máy chủ đã được sửa lỗi hiển thị hai lần trong các nhóm khi được đặt theo cách thủ công.
- Cố định xử lý các tùy chọn DHCP trong các nhóm khác ngoài phạm vi chính. # 6720
- Đã sửa lỗi tên máy chủ bị thiếu trong một số trường hợp với dhcpdv6. # 6589
- Đã xử lý pidfile được cải thiện cho các dhcpleases.
- Đã thêm các kiểm tra để ngăn truy cập vào chênh lệch không xác định trong IPv6.inc.
- Đã sửa hiển thị cửa sổ bí danh và tùy chọn chỉnh sửa trên nguồn và đích cho cả địa chỉ và cổng trên NAT đi.
- Cố định xử lý số cấu hình sao lưu. # 6771
- Đã xóa một số tham chiếu PPTP đang treo không còn liên quan nữa.
- Đã sửa / bắt các vùng syslog từ xa. Thêm "định tuyến", "ntpd", "ppp", "trình phân giải", cố định "vpn" để bao gồm tất cả các khu vực VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Đã sửa các hộp kiểm bị thiếu trong một số trường hợp khi thêm hàng trên services_ntpd.php. # 6788
- Biểu tượng đang chạy / dừng đã sửa đổi.
- Đã thêm séc vào quản lý CRL để xóa chứng chỉ khỏi danh sách thả xuống đã được chứa trong CRL đang được chỉnh sửa.
- Dấu phân tách quy tắc cố định di chuyển khi nhiều quy tắc tường lửa bị xóa cùng một lúc. # 6801
Tính năng mới trong phiên bản 2.3.2-p1:
- FreeBSD-SA-16: 26.openssl - Nhiều lỗ hổng trong OpenSSL. Tác động đáng kể duy nhất trên pfSense là OCSP cho HAproxy và FreeRADIUS.
- Một số Errata liên quan đến HyperV trong FreeBSD 10.3, FreeBSD-EN-16: 10 đến 16:16. Xem https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html để biết chi tiết.
- Một số gói và thư viện tích hợp đã được cập nhật, bao gồm:
- PHP đến 5.6.26
- libidn thành 1.33
- curl thành 7.50.3
- libxml2 đến 2.9.4
- Đã thêm mã hóa vào tham số 'khu vực' trên các trang Cổng bị khóa.
- Đã thêm mã hóa đầu ra vào diag_dns.php cho kết quả được trả lại từ DNS. # 6737
- Đã làm việc xung quanh lỗi Chrome với phân tích cú pháp biểu thức chính quy của các ký tự thoát trong bộ ký tự. Bản sửa lỗi "Vui lòng khớp với định dạng được yêu cầu" trên các phiên bản Chrome gần đây. # 6762
- Tùy chọn định dạng thời gian máy chủ DHCPv6 Cố định # 6640
- Cố định / usr / bin / install bị thiếu trong cài đặt mới. # 6643
- Đã tăng giới hạn đuôi lọc để ghi nhật ký để tìm kiếm sẽ tìm đủ mục nhập. # 6652
- Đã dọn sạch tiện ích Gói đã cài đặt và HTML. # 6601
- Đã sửa lỗi cài đặt tiện ích con khi tạo cài đặt mới. # 6669
- Đã sửa nhiều lỗi chính tả và lỗi từ ngữ khác nhau.
- Đã xóa liên kết không còn tồn tại thành trang web devwiki. Mọi thứ đều có trên https://doc.pfsense.org ngay bây giờ.
- Đã thêm một trường vào các trang CA / Cert cho OU, được yêu cầu bởi một số CA và người dùng bên ngoài. # 6672
- Đã sửa một chuỗi "Tác nhân Người dùng" HTTP dự phòng trong các cập nhật DynDNS.
- Cố định phông chữ cho các bảng có thể sắp xếp.
- Đã thêm dấu kiểm để xác minh xem giao diện có đang hoạt động trong nhóm cổng trước khi cập nhật DNS động hay không.
- Cố định từ ngữ của tùy chọn "Từ chối thuê từ" cho giao diện DHCP (nó chỉ có thể lấy địa chỉ, chứ không phải mạng con.) # 6646
- Đã báo cáo lỗi cố định cho kiểm tra cài đặt SMTP.
- Cố định tiết kiệm quốc gia, nhà cung cấp và kế hoạch cho các giao diện PPP
- Đã sửa lỗi kiểm tra các số "Go To Line" không hợp lệ trên diag_edit.php. # 6704
- Đã sửa lỗi từng lần một với "Hàng hiển thị" trên diag_routes.php. # 6705
- Mô tả cố định của hộp bộ lọc trên diag_routes.php để phản ánh rằng tất cả các trường đều có thể tìm kiếm được. # 6706
- Mô tả cố định của hộp cho tệp để chỉnh sửa trên diag_edit.php. # 6703
- Mô tả cố định của bảng điều khiển chính trên diag_resetstate.php. # 6709
- Hộp thoại cảnh báo cố định khi không chọn hộp trên diag_resetstate.php. # 6710
- Phím tắt nhật ký cố định cho các khu vực DHCP6. # 6700
- Đã sửa nút xóa mạng hiển thị khi chỉ có một hàng trên services_unbound_acls.php # 6716
- Đã sửa văn bản trợ giúp biến mất trên các hàng có thể lặp lại khi hàng cuối cùng bị xóa. # 6716
- Đã sửa tên miền DNS động cho các mục DHCP tĩnh
- Đã thêm kiểm soát để đặt thời gian làm mới tiện ích trang tổng quan
- Đã thêm "-C / dev / null" vào thông số dòng lệnh dnsmasq để tránh nó nhận được cấu hình mặc định không chính xác sẽ ghi đè tùy chọn của chúng tôi. # 6730
- Đã thêm "-l" vào traceroute6 để hiển thị cả Địa chỉ IP và Tên máy chủ khi giải quyết các bước nhảy trên diag_traceroute.php. # 6715
- Đã thêm ghi chú về giới hạn tối đa ttl / hop trong nhận xét nguồn trên diag_traceroute.php.
- Ngôn ngữ đã được làm rõ trên diag_tables.php. # 6713
- Đã dọn sạch văn bản trên diag_sockets.php. # 6708
- Hiển thị cố định tên giao diện VLAN trong quá trình gán bàn điều khiển. # 6724
- Tùy chọn tên miền-máy chủ đã được sửa lỗi hiển thị hai lần trong các nhóm khi được đặt theo cách thủ công.
- Cố định xử lý các tùy chọn DHCP trong các nhóm khác ngoài phạm vi chính. # 6720
- Đã sửa lỗi tên máy chủ bị thiếu trong một số trường hợp với dhcpdv6. # 6589
- Đã xử lý pidfile được cải thiện cho các dhcpleases.
- Đã thêm các kiểm tra để ngăn truy cập vào chênh lệch không xác định trong IPv6.inc.
- Đã sửa hiển thị cửa sổ bí danh và tùy chọn chỉnh sửa trên nguồn và đích cho cả địa chỉ và cổng trên NAT đi.
- Cố định xử lý số cấu hình sao lưu. # 6771
- Đã xóa một số tham chiếu PPTP đang treo không còn liên quan nữa.
- Đã sửa / bắt các vùng syslog từ xa. Thêm "định tuyến", "ntpd", "ppp", "trình phân giải", cố định "vpn" để bao gồm tất cả các khu vực VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
- Đã sửa các hộp kiểm bị thiếu trong một số trường hợp khi thêm hàng trên services_ntpd.php. # 6788
- Biểu tượng đang chạy / dừng đã sửa đổi.
- Đã thêm séc vào quản lý CRL để xóa chứng chỉ khỏi danh sách thả xuống đã được chứa trong CRL đang được chỉnh sửa.
- Dấu phân tách quy tắc cố định di chuyển khi nhiều quy tắc tường lửa bị xóa cùng một lúc. # 6801
Tính năng mới trong phiên bản 2.3.2:
- Sao lưu / Khôi phục:
- Không cho phép áp dụng các thay đổi trên giao diện sau khi khôi phục cấu hình không khớp cho đến khi việc gán lại được lưu lại. # 6613
- Trang tổng quan:
- Trang tổng quan hiện có tùy chọn cấu hình cho mỗi người dùng, được ghi lại trong Trình quản lý Người dùng. # 6388
- Máy chủ DHCP:
- Ngưỡng dhcp-bộ nhớ cache bị vô hiệu hóa để tránh lỗi trong ISC dhcpd 4.3.x bỏ qua tên máy khách-khách khỏi tệp cho thuê, điều này khiến đăng ký tên máy chủ không thành công trong một số trường hợp cạnh. # 6589
- Lưu ý rằng khóa DDNS phải là HMAC-MD5. # 6622
- DHCP Relay:
- Đã sửa lỗi nhập cho các yêu cầu chuyển tiếp dhcrelay trên giao diện nơi máy chủ DHCP mục tiêu cư trú. # 6355
- DNS động:
- Cho phép * đối với tên máy chủ với Namecheap. # 6260
- Giao diện:
- Khắc phục "không thể gán địa chỉ được yêu cầu" trong khi khởi động với giao diện track6. # 6317
- Xóa các tùy chọn liên kết không được chấp nhận khỏi GRE và gif. # 6586, # 6587
- Tuân theo "Từ chối cho thuê" khi DHCP "Tùy chọn nâng cao" được chọn. # 6595
- Bảo vệ các dấu phân tách kèm theo trong cấu hình nâng cao của máy khách DHCP, do đó, dấu phẩy có thể được sử dụng ở đó. # 6548
- Sửa tuyến mặc định trên giao diện PPPoE bị thiếu trong một số trường hợp cạnh. # 6495
- IPsec:
- strongSwan đã nâng cấp lên 5.5.0.
- Bao gồm tích cực trong ipsec.conf trong đó chế độ IKE tự động được chọn. # 6513
- Giám sát Cổng:
- Cố định "tên ổ cắm quá lớn" khiến việc giám sát cổng không thành công trên các tên giao diện và địa chỉ IPv6 dài. # 6505
- Giới hạn:
- Đặt giá trị pip_slot_limit tự động thành giá trị qlimit được định cấu hình tối đa. # 6553
- Giám sát:
- Cố định không có khoảng thời gian dữ liệu nào được báo cáo là 0, trung bình lệch. # 6334
- Sửa chú giải công cụ hiển thị là "không có" cho một số giá trị. # 6044
- Khắc phục sự cố lưu một số tùy chọn cấu hình mặc định. # 6402
- Khắc phục các lỗi trục X không phản hồi độ phân giải cho các khoảng thời gian tùy chỉnh. # 6464
- OpenVPN:
- Đồng bộ hóa lại cấu hình cụ thể của khách hàng sau khi lưu các phiên bản máy chủ OpenVPN để đảm bảo cài đặt của họ phản ánh cấu hình máy chủ hiện tại. # 6139
- Hệ điều hành:
- Các trạng thái phân đoạn pf cố định không bị xóa, kích hoạt "giới hạn mục nhập PF frag đạt được". # 6499
- Đặt vị trí tệp lõi để chúng không thể kết thúc bằng / var / run và giải phóng dung lượng sẵn có của nó. # 6510
- Đã sửa lỗi "thời gian chạy đã bị lỗi" trong Hyper-V. # 6446
- Cố định traceroute6 treo với hop không đáp ứng trong đường dẫn. # 3069
- Đã thêm symlink /var/run/dmesg.boot cho vm-bhyve. # 6573
- Đặt net.isr.dispatch = trực tiếp trên các hệ thống 32 bit có bật IPsec để ngăn sự cố khi truy cập dịch vụ trên chính máy chủ thông qua VPN. # 4754
- Quảng cáo Bộ định tuyến:
- Đã thêm trường cấu hình cho khoảng thời gian quảng cáo bộ định tuyến tối thiểu và tối đa và tuổi thọ bộ định tuyến. # 6533
- Định tuyến:
- Cố định các tuyến tĩnh với bộ định tuyến đích IPv6 liên kết cục bộ để bao gồm phạm vi giao diện. # 6506
- Quy tắc / NAT:
- Cố định trình giữ chỗ "PPPoE Clients" trong các quy tắc và NAT, và lỗi ruleset khi sử dụng các quy tắc nổi chỉ định máy chủ PPPoE. # 6597
- Cố định không tải được ruleset với các bí danh Bảng URL nơi tệp rỗng được chỉ định. # 6181
- Đã sửa lỗi proxy TFTP với xinetd. # 6315
- Nâng cấp:
- Sửa lỗi nâng cấp nanobsd khi DNS Forwarder / Resolver không bị ràng buộc vào localhost. # 6557
- IP ảo:
- Đã khắc phục sự cố hiệu suất với số lượng lớn IP ảo. # 6515
- Đã sửa lỗi cạn kiệt bộ nhớ PHP trên trang trạng thái CARP với các bảng trạng thái lớn. # 6364
- Giao diện Web:
- Đã thêm sắp xếp vào bảng ánh xạ tĩnh DHCP. # 6504
- Tải lên tệp cố định của giây nhảy vọt NTP. # 6590
- Đã thêm hỗ trợ IPv6 vào diag_dns.php. # 6561
- Đã thêm hỗ trợ IPv6 để lọc tìm kiếm ngược nhật ký. # 6585
- Hệ thống gói - giữ lại dữ liệu trường trên lỗi đầu vào. # 6577
- Đã khắc phục nhiều sự cố xác thực nhập IPv6 cho phép IP IPv6 không hợp lệ. # 6551, # 6552
- Đã sửa một số lỗi DHCPv6 cho thuê bị thiếu từ màn hình cho thuê GUI. # 6543
- Cố định trạng thái giết chết theo hướng 'trong' và các trạng thái có đích đã dịch. # 6530, # 6531
- Khôi phục xác thực đầu vào của các tên vùng cổng bị khóa để ngăn XML không hợp lệ. # 6514
- Công cụ chọn ngày lịch được thay thế trong trình quản lý người dùng với trình chọn hoạt động trong các trình duyệt khác ngoài Chrome và Opera. # 6516
- Đã khôi phục trường cổng proxy thành ứng dụng khách OpenVPN. # 6372
- Làm rõ mô tả các bí danh cổng. # 6523
- Đầu ra bản dịch cố định trong đó gettext đã truyền một chuỗi rỗng. # 6394
- Lựa chọn tốc độ cố định cho 9600 trong cấu hình GPS NTP. # 6416
- Chỉ cho phép IPv6 IP trên màn hình NPT. # 6498
- Thêm hỗ trợ nhập bí danh cho mạng và cổng. # 6582
- Cố định các phần tử bọc tiêu đề bảng có thể sắp xếp. # 6074
- Dọn dẹp phần Khởi động Mạng của màn hình DHCP Server. # 6050
- Khắc phục các liên kết "UNKNOWN" trong trình quản lý gói. # 6617
- Khắc phục trường băng thông bị thiếu cho hàng đợi CBQ của máy cắt lưu lượng truy cập. # 6437
- UPnP:
- URL trình bày và số mô hình UPnP giờ đây có thể định cấu hình được. # 6002
- Trình quản lý Người dùng:
- Cấm quản trị viên xóa tài khoản của chính họ trong trình quản lý người dùng. # 6450
- Khác:
- Đã thêm phiên trình bao trong PHP để bật và tắt chế độ bảo trì CARP liên tục. "phát lại enablecarpmaint" và "phát lại disablecarpmaint". # 6560
- Cấu hình bảng điều khiển nối tiếp được hiển thị cho VGA nanobsd. # 6291
Tính năng mới trong phiên bản 2.3.1 Cập nhật 5:
- Những thay đổi quan trọng nhất trong bản phát hành này là viết lại webGUI sử dụng Bootstrap và hệ thống cơ bản, bao gồm hệ thống cơ sở và hạt nhân, được chuyển đổi hoàn toàn thành ppm FreeBSD. Việc chuyển đổi pkg cho phép chúng tôi cập nhật các phần của hệ thống riêng lẻ, thay vì các bản cập nhật nguyên khối của quá khứ. Viết lại webGUI mang lại giao diện và phản hồi mới cho pfSense yêu cầu tối thiểu thay đổi kích thước hoặc cuộn trên một loạt các thiết bị từ máy tính để bàn đến điện thoại di động.
Tính năng mới trong phiên bản 2.2.6 / 2.3 Alpha:
- pfSense-SA-15_09.webgui: Sự bao gồm tệp cục bộ Lỗ hổng trong pGUSense WebGUI
- pfSense-SA-15_10.captiveportal: Lỗ hổng SQL Injection trong tính năng đăng xuất cổng bị khóa pfSense
- pfSense-SA-15_11.webgui: Nhiều Lỗ hổng XSS và CSRF trong pfSense WebGUI
- Đã cập nhật thành FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15: 26.openssl Nhiều lỗ hổng trong OpenSSL
- Đã cập nhật strongSwan thành 5.3.5_2
- Bao gồm sửa lỗi cho lỗ hổng bỏ qua xác thực CVE-2015-8023 trong plugin eap-mschapv2.
Tính năng mới trong phiên bản 2.2.5 / 2.3 Alpha:
- pfSense-SA-15_08.webgui: Nhiều Lỗ hổng XSS được Lưu trữ trong pGUSense WebGUI
- Đã cập nhật thành FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15: 25.ntp Nhiều lỗ hổng trong NTP [REVISED]
- FreeBSD-SA-15: 14.bsdpatch: Do không đủ vệ sinh của luồng bản vá đầu vào, có thể cho một tệp vá để gây ra bản vá (1) để chạy các lệnh ngoài các lệnh SCCS hoặc RCS mong muốn.
- FreeBSD-SA-15: 16.openssh: OpenSSH máy khách không xác minh chính xác bản ghi DNS SSHFP khi máy chủ cung cấp chứng chỉ. CVE-2014-2653 Các máy chủ OpenSSH được cấu hình để cho phép xác thực mật khẩu bằng PAM (mặc định) sẽ cho phép nhiều lần thử mật khẩu.
- FreeBSD-SA-15: 18.bsdpatch: Do không đủ vệ sinh của luồng bản vá đầu vào, có thể cho một tệp vá gây ra bản vá (1) để truyền một số tập lệnh ed (1) nhất định cho bản chỉnh sửa (1) trình chỉnh sửa sẽ chạy lệnh.
- FreeBSD-SA-15: 20.expat: Nhiều lỗi tràn số nguyên đã được phát hiện trong hàm XML_GetBuffer () trong thư viện người nước ngoài.
- FreeBSD-SA-15: 21.amd64: Nếu lệnh IRET chế độ hạt nhân tạo ra ngoại lệ #SS hoặc #NP, nhưng trình xử lý ngoại lệ không đảm bảo đúng rằng cơ sở đăng ký GS đúng cho hạt nhân được tải lại , phân khúc GS của người dùng có thể được sử dụng trong ngữ cảnh của trình xử lý ngoại lệ hạt nhân.
- FreeBSD-SA-15: 22.openssh: Lỗi lập trình trong quá trình giám sát đặc quyền của dịch vụ sshd (8) có thể cho phép tên người dùng của một người dùng đã được xác thực bị ghi đè bởi tiến trình con không có đặc quyền. Lỗi sử dụng sau khi miễn phí trong quá trình giám sát đặc quyền của dịch vụ sshd (8) có thể được kích hoạt xác định bởi các hành động của một tiến trình con không bị tổn thương bị tổn hại. Lỗi sử dụng sau khi miễn phí trong mã ghép kênh phiên trong dịch vụ sshd (8) có thể dẫn đến chấm dứt kết nối không mong muốn.
Tính năng mới trong phiên bản 2.2.4:
- pfSense-SA-15_07.webgui: Nhiều Lỗ hổng XSS được Lưu trữ trong pGUSense WebGUI
- Danh sách đầy đủ các trang và trường bị ảnh hưởng được liệt kê trong SA được liên kết.
- FreeBSD-SA-15: 13.tcp: cạn kiệt tài nguyên do các phiên bị kẹt trong trạng thái LAST_ACK. Lưu ý rằng điều này chỉ áp dụng cho các tình huống mà các cổng lắng nghe trên chính pfSense (không phải mọi thứ được truyền qua NAT, định tuyến hoặc cầu nối) được mở cho các mạng không tin cậy. Điều này không áp dụng cho cấu hình mặc định.
- Lưu ý: FreeBSD-SA-15: 13.openssl không áp dụng cho pfSense. pfSense không bao gồm phiên bản OpenSSL dễ bị tấn công và do đó không dễ bị tổn thương.
- Các bản sửa lỗi khác cho tham nhũng tệp trong các trường hợp khác nhau trong khi tắt không hoạt động (sự cố, mất điện, v.v.). # 4523
- Cố định pw trong FreeBSD để giải quyết tham nhũng passwd / nhóm
- Sửa văn bản config.xml để sử dụng fsync đúng cách để tránh các trường hợp khi nó có thể bị trống. # 4803
- Đã xóa tùy chọn & lsquo; đồng bộ hóa 'khỏi các hệ thống tệp để cài đặt đầy đủ mới và nâng cấp đầy đủ ngay bây giờ khi sửa chữa thực sự được thực hiện.
- Đã xóa các softupdates và journaling (AKA SU + J) từ NanoBSD, chúng vẫn được cài đặt đầy đủ. # 4822
- Bản vá Forceync cho # 2401 vẫn được coi là có hại cho hệ thống tệp và đã được lưu giữ. Như vậy, có thể có một số chậm đáng chú ý với NanoBSD trên một số đĩa chậm hơn, đặc biệt là thẻ CF và đến một mức độ thấp hơn, thẻ SD. Nếu đây là sự cố, hệ thống tệp có thể được lưu giữ đọc vĩnh viễn bằng cách sử dụng tùy chọn Chẩn đoán & gt; NanoBSD. Với những thay đổi ở trên, rủi ro là tối thiểu. Chúng tôi khuyên bạn nên thay thế thẻ nhớ CF / SD bị ảnh hưởng bằng thẻ mới, nhanh hơn càng sớm càng tốt. # 4822
- Đã nâng cấp PHP thành 5.5.27 để giải quyết CVE-2015-3152 # 4832
- Giảm SSH Đăng nhậpGraceTime từ 2 phút xuống còn 30 giây để giảm thiểu tác động của lỗi bỏ qua MaxAuthTries. Lưu ý Sshlockout sẽ khóa các IP bị lỗi trong tất cả các phiên bản trước đây, hiện tại và tương lai. # 4875
Tính năng mới trong phiên bản 2.2.3:
- pfSense-SA-15_06.webgui: Nhiều Lỗ hổng XSS trong pfSense WebGUI
- Danh sách đầy đủ các trang và trường bị ảnh hưởng lớn và tất cả được liệt kê trong SA được liên kết.
- FreeBSD-SA-15: 10.openssl: Nhiều lỗ hổng OpenSSL (Bao gồm Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000
Tính năng mới trong phiên bản 2.2.2:
- Bản phát hành này bao gồm hai cập nhật bảo mật có rủi ro thấp:
- FreeBSD-SA-15: 09.ipv6: Từ chối dịch vụ với Quảng cáo bộ định tuyến IPv6. Trong trường hợp hệ thống đang sử dụng loại WANv6 WAN, các thiết bị trên cùng một miền phát sóng vì WAN có thể gửi các gói được tạo thủ công khiến hệ thống mất kết nối Internet IPv6.
- FreeBSD-SA-15: 06.openssl: Nhiều lỗ hổng OpenSSL. Hầu hết không áp dụng và tác động xấu nhất là từ chối dịch vụ.
Tính năng mới trong phiên bản 2.2.1:
- Sửa lỗi Bảo mật:
- pfSense-SA-15_02.igmp: Sự tràn số nguyên trong giao thức IGMP (FreeBSD-SA-15: 04.igmp)
- pfSense-SA-15_03.webgui: Nhiều lỗ hổng XSS trong pfSense WebGUI
- pfSense-SA-15_04.webgui: Lỗ hổng xóa tệp tùy ý trong pfSense WebGUI
- Lỗi FreeBSD-EN-15: 01.vt: vt (4) với thông số ioctl không đúng
- FreeBSD-EN-15: 02.openssl: Cập nhật để bao gồm các bản sửa lỗi độ tin cậy từ OpenSSL
- Lưu ý về lỗ hổng "FREAK" của OpenSSL:
- Không ảnh hưởng đến cấu hình máy chủ web trên tường lửa vì nó không bật mật mã xuất.
- pfSense 2.2 đã bao gồm OpenSSL 1.0.1k đã giải quyết lỗ hổng phía máy khách.
- Nếu các gói bao gồm máy chủ web hoặc thành phần tương tự, chẳng hạn như proxy, cấu hình người dùng không đúng có thể bị ảnh hưởng. Tham khảo tài liệu hoặc diễn đàn của gói để biết chi tiết.
Tính năng mới trong phiên bản 2.2:
- Bản phát hành này mang lại những cải tiến về hiệu suất và hỗ trợ phần cứng từ cơ sở FreeBSD 10.1, cũng như các cải tiến mà chúng tôi đã thêm như AES-GCM với tăng tốc AES-NI, trong số một số tính năng mới và sửa lỗi.
- Trong quá trình phát hành, chúng tôi đã đóng 392 tổng số vé (con số này bao gồm 55 tính năng hoặc nhiệm vụ), cố định 135 lỗi ảnh hưởng đến 2.1.5 và các phiên bản trước, sửa thêm 202 lỗi khác được giới thiệu trong 2.2 bằng cách thăng tiến cơ sở Phiên bản hệ điều hành từ FreeBSD 8.3 đến 10.1, thay đổi IPsec keying daemon từ racoon sang strongSwan, nâng cấp chương trình phụ trợ PHP lên phiên bản 5.5 và chuyển nó từ FastCGI sang PHP-FPM và thêm Unbound DNS Resolver và nhiều thay đổi nhỏ hơn.
- Bản phát hành này chứa bốn bản sửa lỗi bảo mật tác động thấp:
- cập nhật openssl cho FreeBSD-SA-15: 01.openssl
- Nhiều lỗ hổng XSS trong giao diện web. pfSense-SA-15_01
- Cập nhật OpenVPN cho CVE-2014-8104
- Cập nhật NTP FreeBSD-SA-14: 31.ntp - mặc dù các trường hợp này dường như không ảnh hưởng đến pfSense.
Tính năng mới trong phiên bản 2.1.4:
- Sửa lỗi Bảo mật:
- pfSense-SA-14_07.openssl
- FreeBSD-SA-14: 14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- Các gói cũng có các bản sửa lỗi độc lập và cần cập nhật. Trong quá trình cập nhật firmware, các gói sẽ được cài đặt lại đúng cách. Nếu không, hãy gỡ cài đặt và sau đó cài đặt lại các gói để đảm bảo rằng phiên bản mới nhất của tệp nhị phân đang được sử dụng.
- Các Bản sửa lỗi Khác:
- Bản vá cho sự cố rò rỉ pipeno của Cổng cố định dẫn đến & lsquo; Đăng nhập tối đa đã đạt được 'trên Cổng bị khóa. # 3062
- Xóa văn bản không liên quan đến IP được phép trên Cổng bị khóa. # 3594
- Xóa các đơn vị khỏi cụm từ vì nó luôn được chỉ định theo byte. (Per ipfw (8)).
- Thêm cột cho cổng nội bộ trên trang trạng thái UPnP.
- Thực hiện nghe trên giao diện thay vì IP tùy chọn cho UPnP.
- Khắc phục sự cố làm nổi bật các quy tắc đã chọn. # 3646
- Thêm guiconfig vào các tiện ích không bao gồm nó. # 3498
- / etc / version_kernel và / etc / version_base không còn tồn tại, sử dụng php_uname để lấy phiên bản cho kiểm tra XMLRPC thay thế.
- Sửa lỗi typo biến. # 3669
- Xóa tất cả Bí danh IP khi một giao diện bị tắt. # 3650
- Xử lý đúng cách đổi tên lưu trữ RRD trong khi nâng cấp và lỗi squelch nếu nó không thành công.
- Chuyển đổi giao thức ssl: // thành https: // khi tạo tiêu đề HTTP cho XMLRPC.
- Hiển thị các giao diện bị vô hiệu hóa khi chúng đã là một phần của một nhóm giao diện. Điều này tránh hiển thị một giao diện ngẫu nhiên thay vào đó và cho phép người dùng thêm nó do nhầm lẫn. # 3680
- Chỉ thị client-config-dir cho OpenVPN cũng hữu ích khi sử dụng DHCP nội bộ của OpenVPN trong khi bắc cầu, vì vậy hãy thêm nó trong trường hợp đó.
- Sử dụng curl thay vì tìm nạp để tải xuống các tệp cập nhật. # 3691
- Biến thoát trước khi chuyển tới shell từ stop_service ().
- Thêm một số bảo vệ cho các tham số đi qua _GET trong quản lý dịch vụ.
- Đối số thoát khi gọi hàm is_process_running, cũng xóa một số cuộc gọi mwexec () không cần thiết.
- Không cho phép tên nhóm giao diện lớn hơn 15 ký tự. # 3208
- Chính xác hơn để khớp các thành viên của giao diện cầu nối, nó sẽ sửa chữa # 3637
- Không hết hạn người dùng đã bị vô hiệu hóa, nó sửa # 3644
- Xác thực định dạng thời gian bắt đầu và thời gian dừng trên firewall_schedule_edit.php
- Hãy cẩn thận hơn với thông số máy chủ lưu trữ trên diag_dns.php và đảm bảo rằng nó được thoát khi các hàm gọi hàm
- Thông số thoát được chuyển đến shell_exec () trong diag_smart.php và các nơi khác
- Đảm bảo các biến được thoát / khử trùng trên status_rrd_graph_img.php
- Thay thế các cuộc gọi exec để chạy rm bởi unlink_if_exists () trên status_rrd_graph_img.php
- Thay thế tất cả các cuộc gọi `tên máy chủ 'bằng php_uname (& lsquo; n') trên status_rrd_graph_img.php
- Thay thế tất cả các cuộc gọi `date` bằng strftime () trên status_rrd_graph_img.php
- Thêm $ _gb để thu thập có thể rác từ exec trở lại trên status_rrd_graph_img.php
- Tránh truyền tải thư mục trong pkg_edit.php khi đọc tệp xml gói, cũng kiểm tra xem tệp có tồn tại hay không trước khi thử đọc nó
- Xóa id = 0 khỏi menu miniupnpd và phím tắt
- Xóa. và / từ tên pkg để tránh truyền tải thư mục trong pkg_mgr_install.php
- Khắc phục sự cố kết xuất lõi khi xem nhật ký gói không hợp lệ
- Tránh truyền tải thư mục trên system_firmware_restorefullbackup.php
- Tạo lại ID phiên trên thông tin đăng nhập thành công để tránh khắc phục phiên
- Bảo vệ thông số rssfeed bằng htmlspecialchars () trong rss.widget.php
- Bảo vệ tham số servicestatusfilter với htmlspecialchars () trong services_status.widget.php
- Luôn đặt thuộc tính httponly trên cookie
- Đặt & lsquo; Tắt tính năng tự động hoàn tất đăng nhập của Trình cấu hình web 'theo mặc định cho các lượt cài đặt mới
- Đơn giản hóa logic, thêm một số bảo vệ cho thông số nhập của người dùng trên log.widget.php
- Đảm bảo các dấu nháy đơn được mã hóa và tránh chèn javascript trên exec.php
- Thêm giao thức NAT bị thiếu trên firewall_nat_edit.php
- Xóa dữ liệu thừa sau dấu cách trong DSCP và sửa cú pháp quy tắc pf. # 3688
- Chỉ bao gồm quy tắc được lập lịch nếu quy tắc này hoàn toàn trước thời gian kết thúc. # 3558
Tính năng mới trong phiên bản 2.1.1:
- Thay đổi lớn nhất là đóng các vấn đề bảo mật / CVE sau:
- FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
- FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
- Khác với các trình điều khiển này, trình điều khiển em / igb / ixgb / ixgbe đã được nâng cấp để thêm hỗ trợ cho i210 và i354 NIC. Một số NIC Ethernet 10Gb Intel cũng sẽ thấy hiệu suất được cải thiện.
Bình luận không