pfSense

Logiciel capture d'écran:
pfSense
Détails logiciels:
Version: 2.4.3-p1 Mise à jour
Date de transfert: 22 Jun 18
Développeur: Scott Ullrich
Licence: Gratuit
Popularité: 2697

Rating: 3.8/5 (Total Votes: 9)

pfSense & reg; est un système d'exploitation BSD open source distribué librement issu du célèbre projet m0n0wall, mais avec des objectifs radicalement différents comme l'utilisation de Packet Filter et les dernières technologies FreeBSD.

Le projet peut être utilisé comme routeur et pare-feu. Il inclut un système de paquetage qui permet aux administrateurs système d'étendre facilement le produit sans ajouter de vulnérabilités de sécurité potentielles et de gonfler la distribution de base.


Caractéristiques en un coup d'oeil

Caractéristiques principales: pare-feu à la pointe de la technologie, équilibrage de la charge entrante / sortante, table d'état, NAT (Network Address Translation), haute disponibilité, VPN (Virtual Private Network) avec IPsec, PPTP et OpenVPN, PPPoE serveur, DNS dynamique, portail captif, création de rapports et surveillance.

Il s'agit d'un système d'exploitation de pare-feu activement développé, distribué sous forme de CD Live archivés gz et d'images ISO installées uniquement, d'installateurs USB, ainsi que de NanoBSD / médias intégrés. Les plates-formes matérielles 64 bits (amd64) et 32 ​​bits (i386) sont prises en charge à ce jour.

Plusieurs options de démarrage prédéfinies sont disponibles pendant le processus de démarrage, telles que le démarrage du système d'exploitation avec les paramètres par défaut, ACPI désactivé, utilisant des périphériques USB, en mode sans échec, en mode mono-utilisateur, avec journalisation détaillée. accéder à une invite du shell ou redémarrer la machine.


Premiers pas avec pfSense & reg;

Alors que la distribution demandera aux utilisateurs s'ils veulent configurer des VLAN (Virtual LAN) dès le départ, il leur faudra au moins une interface réseau assignée pour fonctionner. Cela signifie que si vous n'avez pas configuré / configuré au moins une interface, pfSense & reg; gagné même pas commencer.

Être utilisé comme pare-feu pour les petits réseaux domestiques, les universités, les grandes entreprises ou toute autre organisation où la nécessité de protéger des milliers de périphériques réseau est extrêmement importante, pfSense & reg; a été téléchargé par plus d'un million d'utilisateurs du monde entier, depuis sa création.


Ligne de fond

C'est l'un des meilleurs projets de pare-feu open source conçus pour fournir aux utilisateurs toutes les fonctionnalités offertes par les pare-feu commerciaux. Aujourd'hui, pfSense & reg; est utilisé dans de nombreuses solutions de pare-feu matériel, notamment Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall ou Watchguard.

pfSense & reg; est une marque déposée et une marque de service appartenant à Electric Sheep Fencing LLC. Voir www.electricsheepfencing.com.

Quoi de neuf dans cette version:

  • Sécurité / Errata
  • Mise à jour vers OpenSSL 1.0.2m pour les adresses CVE-2017-3736 et CVE-2017-3735
  • FreeBSD-SA-17: 10.kldstat
  • FreeBSD-SA-17: 08.ptrace
  • Correction d'un vecteur XSS potentiel dans status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
  • Correction d'un vecteur XSS potentiel dans diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
  • Correction d'un vecteur XSS potentiel sur index.php via les paramètres de séquence du widget # 8000 pfSense-SA-17_09.webgui.asc
  • Correction d'un XSS potentiel dans le paramètre widgetkey des widgets de tableau de bord multi-instance # 7998 pfSense-SA-17_09.webgui.asc
  • Correction d'un problème de clickjacking potentiel dans la page d'erreur CSRF
  • Interfaces
  • Correction d'interfaces PPP avec un parent VLAN lors de l'utilisation des nouveaux noms de VLAN # 7981
  • Correction de l'échec de l'affichage des interfaces QinQ # 7942
  • Correction d'une panique / d'un plantage lors de la désactivation d'une interface LAGG # 7940
  • Problèmes résolus avec les interfaces LAGG perdant leur adresse MAC # 7928
  • Correction d'un plantage dans radvd sur SG-3100 (ARM) # 8022
  • Correction d'un problème de paquets UDP sur SG-1000 # 7426
  • Ajout d'une interface pour gérer le commutateur intégré sur le SG-3100
  • Supprime davantage de caractères de la description de l'interface pour éviter l'encapsulation de la ligne de sortie du menu console sur une console VGA
  • Correction du traitement du paramètre VIP uniqueid lors de la modification des types VIP
  • Affichage du champ de paramètre de liaison PPP fixe lors de la sélection d'une interface parent VLAN # 8098
  • Système d'exploitation
  • Problèmes résolus résultant de la configuration manuelle du système de fichiers avec une tranche / usr distincte # 8065
  • Problèmes résolus de mise à jour des systèmes ZFS créés par ZFS à l'aide d'un schéma de partition MBR (vide / démarrage dû à l'importation de la partition d'amorçage) # 8063
  • Problèmes résolus avec les sessions BGP utilisant les signatures TCP MD5 dans les packages de démons de routage # 7969
  • Mise à jour de dpinger vers la version 3.0
  • Amélioration des choix et des méthodes de sélection du référentiel de mise à jour
  • Mise à jour des paramètres système qui indiquent au système d'exploitation de ne pas récupérer les données des interruptions, des interfaces point à point et des périphériques Ethernet pour refléter le nouveau nom / format pour FreeBSD 11
  • Modification du traitement de l'ensemble de règles afin qu'il répète si un autre processus est en cours de mise à jour, plutôt que de présenter une erreur à l'utilisateur
  • Correction de problèmes de démarrage UEFI sur diverses plates-formes
  • Certificats
  • Correction d'entrées invalides dans /etc/ssl/openssl.cnf (uniquement l'utilisation non standard affectée d'openssl dans le cli / shell) # 8059
  • Authentification LDAP fixe lorsque le serveur utilise une autorité de certification racine de confiance globale (nouvelle sélection de l'autorité de certification pour la "liste d'autorité de certification racine globale") # 8044
  • Correction de problèmes lors de la création d'un certificat avec un caractère générique CN / SAN # 7994
  • Ajout de la validation au gestionnaire de certificats pour empêcher l'importation d'un certificat d'autorité sans certificat dans l'onglet CA n ° 7885
  • IPsec
  • Correction d'un problème d'utilisation des certificats de l'autorité de certification IPsec lorsque le sujet contenait plusieurs RDN du même type # 7929
  • Correction d'un problème d'activation de la prise en charge du client mobile IPsec dans les langues traduites # 8043
  • Problèmes résolus avec l'affichage / la sortie d'état IPsec, y compris plusieurs entrées (une déconnectée, une connectée) # 8003
  • Correction de l'affichage de plusieurs clients IPsec mobiles connectés # 7856
  • Correction de l'affichage des entrées enfant SA # 7856
  • OpenVPN
  • Ajout d'une option permettant aux serveurs OpenVPN d'utiliser & quot; redirect-gateway ipv6 & quot; pour agir en tant que passerelle par défaut pour la connexion de clients VPN avec IPv6, similaire à "redirect-gateway def1"; pour IPv4. # 8082
  • Correction de l'option de liste de révocation de certificats client OpenVPN # 8088
  • Façonnage du trafic
  • Correction d'une erreur lors de la configuration d'un limiteur de plus de 2 Gbit / s (le nouveau maximum est de 4 Gbit / s) # 7979
  • Problèmes résolus avec les interfaces réseau de pont ne prenant pas en charge ALTQ # 7936
  • Problèmes résolus avec les interfaces réseau vtnet ne prenant pas en charge ALTQ # 7594
  • Correction d'un problème avec Status & gt; Les files d'attente ne parviennent pas à afficher les statistiques pour les interfaces VLAN # 8007
  • Correction d'un problème avec les files d'attente de mise en forme du trafic qui ne permettaient pas d'obtenir le total de toutes les files d'attente enfants de 100% # 7786
  • Correction d'un problème avec les limiteurs ayant reçu des valeurs fractionnaires / non entières invalides à partir des entrées du limiteur ou passés à Captive Portal à partir de RADIUS # 8097
  • Règles / NAT
  • Correction de la sélection des passerelles IPv6 lors de la création d'une nouvelle règle de pare-feu # 8053
  • Correction d'erreurs sur la page de configuration de Port Forward résultant des cookies / données de requête périmés / non-pfSense # 8039
  • Définition de la priorité VLAN via les règles de pare-feu # 7973
  • XMLRPC
  • Correction d'un problème de synchronisation XMLRPC lorsque l'utilisateur de synchronisation avait un mot de passe contenant des espaces # 8032
  • Problèmes XMLRPC corrigés avec les pièces du portail captif # 8079
  • WebGUI
  • Ajout d'une option pour désactiver HSTS pour le serveur web GUI # 6650
  • Changé le service Web de l'interface graphique pour bloquer le téléchargement direct des fichiers .inc # 8005
  • Correction du tri des services sur le widget Tableau de bord et la page Statut des services # 8069
  • Correction d'un problème d'entrée où les entrées IPv6 statiques permettaient une entrée non valide pour les champs d'adresse # 8024
  • Correction d'une erreur de syntaxe JavaScript dans les graphiques de trafic lorsque des données non valides étaient rencontrées (par exemple, l'utilisateur était déconnecté ou la session supprimée) # 7990
  • Correction d'erreurs d'échantillonnage dans les graphiques de trafic # 7966
  • Correction d'une erreur JavaScript sur Status & gt; Surveillance # 7961
  • Correction d'un problème d'affichage avec des tables vides sur Internet Explorer 11 # 7978
  • Modification du traitement de configuration pour utiliser une exception plutôt que die () lorsqu'il détecte une configuration corrompue
  • Ajout du filtrage à la page pfTop
  • Ajout d'un moyen pour les paquets d'afficher un modal à l'utilisateur (par exemple, redémarrage requis avant que le paquet puisse être utilisé)
  • Tableau de bord
  • Correction de l'affichage des mises à jour disponibles sur le widget Tableau de bord des packages installés # 8035
  • Correction d'un problème de police dans le widget Support Dashboard # 7980
  • Correction du formatage des tranches / partitions de disque dans le widget Dashboard System Information
  • Correction d'un problème avec le widget Images lorsqu'il n'y avait pas d'image valide enregistrée # 7896
  • Paquets
  • Correction de l'affichage des paquets qui ont été retirés du dépôt dans le gestionnaire de paquets # 7946
  • Correction d'un problème d'affichage des packages installés localement lorsque le référentiel de packages distants était indisponible # 7917
  • Divers
  • Correction de la liaison d'interface dans ntpd pour qu'elle n'écoute pas par erreur sur toutes les interfaces # 8046
  • Correction d'un problème où le redémarrage du service syslogd faisait que sshlockout_pf traitait les orphelins # 7984
  • Ajout du support pour le fournisseur DNS dynamique ClouDNS # 7823
  • Correction d'un problème dans les pages User et Group Manager lors de l'exécution d'entrées immédiatement après la suppression d'une entrée # 7733
  • Modification de l'assistant d'installation afin qu'il ignore la configuration de l'interface lorsqu'il est exécuté sur une instance AWS EC2 # 6459
  • Correction d'un problème de proxy IGMP avec le mode All-Multicast sur SG-1000 # 7710

Quoi de neuf dans la version:

  • Mises à jour du tableau de bord:
  • Sur le 2.3.4-RELEASE Dashboard, vous trouverez quelques informations supplémentaires: le fournisseur du BIOS, la version et la date de publication - si le pare-feu peut les déterminer - et un identifiant unique Netgate. L'ID unique Netgate est similaire à un numéro de série. Il sert à identifier de manière unique une instance du logiciel pfSense pour les clients qui souhaitent acheter des services de support. Pour le matériel vendu dans notre magasin, cela nous permet également d'attacher des unités à nos registres de fabrication. Cet ID est cohérent sur toutes les plates-formes (bare metal, machines virtuelles et instances hébergées / cloud telles qu'AWS / Azure). Nous avions initialement prévu d'utiliser le numéro de série du matériel ou l'UUID généré par le système d'exploitation, mais nous avons constaté que ceux-ci étaient peu fiables et incohérents et qu'ils pouvaient changer de façon inattendue lorsque le système d'exploitation était réinstallé.
  • Comme pour le numéro de série, cet identifiant n'est affiché sur le tableau de bord qu'à titre informatif et n'est pas transmis automatiquement par défaut. À l'avenir, les clients peuvent utiliser cet identifiant lorsqu'ils demandent des informations de support de notre personnel ou de nos systèmes.
  • Si vous n'avez pas encore pris connaissance des modifications apportées à la version 2.3.x, consultez la vidéo Fonctionnalités et faits saillants. Les articles de blog précédents ont couvert certains des changements, tels que les améliorations de performance de tryforward, et la mise à jour webGUI.
  • Certificats GUI de pare-feu:
  • Les utilisateurs de Chrome 58 et versions ultérieures, et dans certains cas de Firefox 48 et versions ultérieures, peuvent avoir des problèmes d'accès à l'interface graphique Web pfSense s'il utilise un certificat autosigné par défaut généré automatiquement par un pare-feu exécutant pfSense version 2.3.3-p1 ou plus tôt. En effet, Chrome 58 applique strictement la RFC 2818 qui appelle uniquement les noms d'hôte correspondants en utilisant des entrées SAN (Subject Alternative Name) plutôt que le champ Common Name d'un certificat, et le certificat autosigné par défaut n'a pas rempli le champ SAN.
  • Nous avons corrigé le code du certificat pour qu'il respecte correctement la RFC 2818 en ajoutant automatiquement la valeur du nom commun du certificat en tant que première entrée SAN.
  • Les administrateurs de pare-feu devront générer un nouveau certificat à utiliser par l'interface graphique pour utiliser le nouveau format. Il existe plusieurs façons de générer un certificat compatible, notamment:
  • Générez et activez automatiquement un nouveau certificat GUI à partir de la console ou du shell ssh en utilisant l'un de nos scripts de lecture:
  • pfSsh.php lecture generateguicert
  • Utilisez le package ACME pour générer un certificat de confiance pour l'interface graphique via Let's Encrypt, qui est déjà correctement formaté.
  • Créez manuellement une nouvelle autorité de certification (CA) auto-signée et un certificat de serveur signé par cette autorité de certification, puis utilisez-le pour l'interface graphique.
  • Activer le navigateur local & quot; EnableCommonNameFallbackForLocalAnchors & quot; option dans Chrome 58. Ce paramètre sera éventuellement supprimé par Chrome. Il ne s'agit donc que d'un correctif temporaire.
  • Certains utilisateurs se rappellent peut-être que ce n'est pas la première fois que le format de certificat par défaut a été problématique en raison des modifications du navigateur. Il y a quelques années, Firefox a modifié la façon dont ils calculent les chaînes de confiance des certificats, ce qui peut faire geler ou bloquer un navigateur lors de tentatives d'accès à plusieurs pare-feu avec des certificats auto-signés contenant des données communes par défaut. Corriger cela représentait plus un défi, mais cela s'est traduit par une bien meilleure expérience utilisateur.

Quoi de neuf dans la version 2.3.4:

  • Mises à jour du tableau de bord:
  • Sur le 2.3.4-RELEASE Dashboard, vous trouverez quelques informations supplémentaires: le fournisseur du BIOS, la version et la date de publication - si le pare-feu peut les déterminer - et un identifiant unique Netgate. L'ID unique Netgate est similaire à un numéro de série. Il sert à identifier de manière unique une instance du logiciel pfSense pour les clients qui souhaitent acheter des services de support. Pour le matériel vendu dans notre magasin, cela nous permet également d'attacher des unités à nos registres de fabrication. Cet ID est cohérent sur toutes les plates-formes (bare metal, machines virtuelles et instances hébergées / cloud telles qu'AWS / Azure). Nous avions initialement prévu d'utiliser le numéro de série du matériel ou l'UUID généré par le système d'exploitation, mais nous avons constaté que ceux-ci étaient peu fiables et incohérents et qu'ils pouvaient changer de façon inattendue lorsque le système d'exploitation était réinstallé.
  • Comme pour le numéro de série, cet identifiant n'est affiché sur le tableau de bord qu'à titre informatif et n'est pas transmis automatiquement par défaut. À l'avenir, les clients peuvent utiliser cet identifiant lorsqu'ils demandent des informations de support de notre personnel ou de nos systèmes.
  • Si vous n'avez pas encore pris connaissance des modifications apportées à la version 2.3.x, consultez la vidéo Fonctionnalités et faits saillants. Les articles de blog précédents ont couvert certains des changements, tels que les améliorations de performance de tryforward, et la mise à jour webGUI.
  • Certificats GUI de pare-feu:
  • Les utilisateurs de Chrome 58 et versions ultérieures, et dans certains cas de Firefox 48 et versions ultérieures, peuvent avoir des problèmes d'accès à l'interface graphique Web pfSense s'il utilise un certificat autosigné par défaut généré automatiquement par un pare-feu exécutant pfSense version 2.3.3-p1 ou plus tôt. En effet, Chrome 58 applique strictement la RFC 2818 qui appelle uniquement les noms d'hôte correspondants en utilisant des entrées SAN (Subject Alternative Name) plutôt que le champ Common Name d'un certificat, et le certificat autosigné par défaut n'a pas rempli le champ SAN.
  • Nous avons corrigé le code du certificat pour qu'il respecte correctement la RFC 2818 en ajoutant automatiquement la valeur du nom commun du certificat en tant que première entrée SAN.
  • Les administrateurs de pare-feu devront générer un nouveau certificat à utiliser par l'interface graphique pour utiliser le nouveau format. Il existe plusieurs façons de générer un certificat compatible, notamment:
  • Générez et activez automatiquement un nouveau certificat GUI à partir de la console ou du shell ssh en utilisant l'un de nos scripts de lecture:
  • pfSsh.php lecture generateguicert
  • Utilisez le package ACME pour générer un certificat de confiance pour l'interface graphique via Let's Encrypt, qui est déjà correctement formaté.
  • Créez manuellement une nouvelle autorité de certification (CA) auto-signée et un certificat de serveur signé par cette autorité de certification, puis utilisez-le pour l'interface graphique.
  • Activer le navigateur local & quot; EnableCommonNameFallbackForLocalAnchors & quot; option dans Chrome 58. Ce paramètre sera éventuellement supprimé par Chrome. Il ne s'agit donc que d'un correctif temporaire.
  • Certains utilisateurs se rappellent peut-être que ce n'est pas la première fois que le format de certificat par défaut a été problématique en raison des modifications du navigateur. Il y a quelques années, Firefox a modifié la façon dont ils calculent les chaînes de confiance des certificats, ce qui peut faire geler ou bloquer un navigateur lors de tentatives d'accès à plusieurs pare-feu avec des certificats auto-signés contenant des données communes par défaut. Corriger cela représentait plus un défi, mais cela s'est traduit par une bien meilleure expérience utilisateur.

Quoi de neuf dans la version 2.3.3-p1:

  • FreeBSD-SA-16: 26.openssl - Plusieurs vulnérabilités dans OpenSSL. Le seul impact significatif sur pfSense est OCSP pour HAproxy et FreeRADIUS.
  • Plusieurs errata liées à HyperV dans FreeBSD 10.3, FreeBSD-FR-16: 10 à 16:16. Voir https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html pour plus de détails.
  • Plusieurs progiciels et bibliothèques intégrés ont été mis à jour, y compris:
  • PHP à 5.6.26
  • libidn à 1.33
  • curl à 7.50.3
  • libxml2 à 2.9.4
  • Ajout du codage au paramètre "zone" sur les pages du portail captif.
  • Ajout du codage de sortie à diag_dns.php pour les résultats renvoyés par DNS. # 6737
  • Contournement d'un bogue de Chrome avec l'analyse régulière des caractères échappés dans les jeux de caractères. Corrections & quot; Veuillez faire correspondre le format demandé & quot; sur les dernières versions de Chrome. # 6762
  • Correction de l'option de format d'heure du serveur DHCPv6 # 6640
  • Correction de / usr / bin / installation manquante dans les nouvelles installations. # 6643
  • Augmentation de la limite de fin de filtrage pour la journalisation afin que la recherche permette de localiser suffisamment d'entrées. # 6652
  • Nettoyé le widget Packages installés et HTML. # 6601
  • Correction de la corruption des paramètres de widget lors de la création de nouveaux paramètres. # 6669
  • Correction de plusieurs fautes de frappe et d'erreurs de formulation.
  • Suppression des liens supprimés sur le site devwiki. Tout est sur https://doc.pfsense.org maintenant.
  • Ajout d'un champ aux pages CA / Cert pour l'unité d'organisation, requis par certaines autorités de certification et utilisateurs externes. # 6672
  • Correction d'un HTTP redondant & quot; User-Agent & quot; chaîne dans les mises à jour de DynDNS.
  • Correction de la police pour les tables triables.
  • Ajout d'une vérification pour vérifier si une interface est active dans un groupe de passerelle avant de mettre à jour le DNS dynamique.
  • Correction de la formulation des mots "Rejeter les baux" de & quot; option pour une interface DHCP (elle ne peut prendre que des adresses, pas des sous-réseaux). # 6646
  • Correction du rapport d'erreurs pour le test des paramètres SMTP.
  • Enregistrement fixe des valeurs de pays, de fournisseur et de plan pour les interfaces PPP
  • Correction de la vérification de l'invalide & quot; Go To Line & quot; nombres sur diag_edit.php. # 6704
  • Correction d'une erreur "off-by-one" avec "Rows to Display" sur diag_routes.php. # 6705
  • Correction de la description de la boîte de filtre sur diag_routes.php pour indiquer que tous les champs sont consultables. # 6706
  • Correction de la description de la boîte du fichier à éditer sur diag_edit.php. # 6703
  • Correction de la description du panneau principal sur diag_resetstate.php. # 6709
  • Correction d'une boîte de dialogue d'avertissement lorsqu'une case est décochée sur diag_resetstate.php. # 6710
  • Correction du raccourci du journal pour les zones DHCP6. # 6700
  • Correction du bouton de suppression du réseau indiquant qu'une seule ligne était présente sur services_unbound_acls.php # 6716
  • Correction de la disparition du texte d'aide sur les lignes répétables lorsque la dernière ligne est supprimée. # 6716
  • Domaine DNS dynamique fixe pour les entrées DHCP de mappage statique
  • Ajout d'un contrôle pour définir la période d'actualisation du widget de tableau de bord
  • Ajout & quot; -C / dev / null & quot; aux paramètres de la ligne de commande dnsmasq pour éviter qu'il ne prenne une configuration par défaut incorrecte qui remplacerait nos options. # 6730
  • Ajouté & quot; -l & quot; à traceroute6 pour afficher à la fois les adresses IP et les noms d'hôte lors de la résolution de houblon sur diag_traceroute.php. # 6715
  • Ajout d'une note à propos de la limite maximale de ttl / bond dans le commentaire source sur diag_traceroute.php.
  • Langage clarifié sur diag_tables.php. # 6713
  • Nettoyé le texte sur diag_sockets.php. # 6708
  • Correction de l'affichage des noms d'interface VLAN lors de l'affectation de la console. # 6724
  • Correction de l'option domain-name-servers qui apparaissait deux fois dans les pools lors de la configuration manuelle.
  • Correction de la gestion des options DHCP dans les pools autres que la plage principale. # 6720
  • Correction des noms d'hôtes manquants dans certains cas avec dhcpdv6. # 6589
  • Amélioration de la gestion du fichier pid pour dhcpleases.
  • Ajout de vérifications pour empêcher l'accès à un décalage non défini dans IPv6.inc.
  • Correction de l'affichage de la fenêtre contextuelle d'alias et des options d'édition sur la source et la destination pour l'adresse et le port sur le NAT sortant.
  • Correction du traitement du compte de configuration de sauvegarde. # 6771
  • Suppression de certaines références PPTP qui ne sont plus pertinentes.
  • Correction / rattrapage des zones syslog distantes. On a ajouté "routage", "ntpd", "ppp", "résolveur", "vpn" fixe "". inclure toutes les zones VPN (IPsec, OpenVPN, L2TP, serveur PPPoE). # 6780
  • Correction des cases à cocher manquantes dans certains cas lors de l'ajout de lignes sur services_ntpd.php. # 6788
  • Service révisé en cours d'exécution / arrêt des icônes.
  • Ajout d'une vérification à la gestion de la liste de révocation de certificats pour supprimer les certificats de la liste déroulante déjà contenue dans la liste de révocation de certificats en cours de modification.
  • Les séparateurs de règles fixes se déplaçaient lorsque plusieurs règles de pare-feu étaient supprimées en même temps. # 6801

Quoi de neuf dans la version 2.3.3:

  • FreeBSD-SA-16: 26.openssl - Plusieurs vulnérabilités dans OpenSSL. Le seul impact significatif sur pfSense est OCSP pour HAproxy et FreeRADIUS.
  • Plusieurs errata liées à HyperV dans FreeBSD 10.3, FreeBSD-FR-16: 10 à 16:16. Voir https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html pour plus de détails.
  • Plusieurs progiciels et bibliothèques intégrés ont été mis à jour, y compris:
  • PHP à 5.6.26
  • libidn à 1.33
  • curl à 7.50.3
  • libxml2 à 2.9.4
  • Ajout du codage au paramètre "zone" sur les pages du portail captif.
  • Ajout du codage de sortie à diag_dns.php pour les résultats renvoyés par DNS. # 6737
  • Contournement d'un bogue de Chrome avec l'analyse régulière des caractères échappés dans les jeux de caractères. Corrige "Veuillez faire correspondre le format demandé" sur les versions récentes de Chrome. # 6762
  • Correction de l'option de format d'heure du serveur DHCPv6 # 6640
  • Correction de / usr / bin / installation manquante dans les nouvelles installations. # 6643
  • Augmentation de la limite de fin de filtrage pour la journalisation afin que la recherche permette de localiser suffisamment d'entrées. # 6652
  • Nettoyé le widget Packages installés et HTML. # 6601
  • Correction de la corruption des paramètres de widget lors de la création de nouveaux paramètres. # 6669
  • Correction de plusieurs fautes de frappe et d'erreurs de rédaction.
  • Suppression des liens supprimés sur le site devwiki. Tout est sur https://doc.pfsense.org maintenant.
  • Ajout d'un champ aux pages CA / Cert pour l'unité d'organisation, requis par certaines autorités de certification et utilisateurs externes. # 6672
  • Correction d'une chaîne HTTP "User-Agent" redondante dans les mises à jour de DynDNS.
  • Correction de la police pour les tables triables.
  • Ajout d'une vérification pour vérifier si une interface est active dans un groupe de passerelle avant de mettre à jour le DNS dynamique.
  • Correction du libellé de l'option "Rejeter les baux de" pour une interface DHCP (elle ne peut prendre que des adresses, pas des sous-réseaux.) # 6646
  • Correction du rapport d'erreurs pour le test des paramètres SMTP.
  • Enregistrement fixe des valeurs de pays, de fournisseur et de plan pour les interfaces PPP
  • Correction de la vérification des numéros "Go To Line" invalides sur diag_edit.php. # 6704
  • Correction d'une erreur "off-by-one" avec "Rows to Display" sur diag_routes.php. # 6705
  • Correction de la description de la boîte de filtre sur diag_routes.php pour indiquer que tous les champs sont consultables. # 6706
  • Correction de la description de la boîte du fichier à éditer sur diag_edit.php. # 6703
  • Correction de la description du panneau principal sur diag_resetstate.php. # 6709
  • Correction d'une boîte de dialogue d'avertissement lorsqu'une case est décochée sur diag_resetstate.php. # 6710
  • Correction du raccourci du journal pour les zones DHCP6. # 6700
  • Correction du bouton de suppression du réseau indiquant qu'une seule ligne était présente sur services_unbound_acls.php # 6716
  • Correction de la disparition du texte d'aide sur les lignes répétables lorsque la dernière ligne est supprimée. # 6716
  • Domaine DNS dynamique fixe pour les entrées DHCP de mappage statique
  • Ajout d'un contrôle pour définir la période d'actualisation du widget de tableau de bord
  • Ajout de "-C / dev / null" aux paramètres de la ligne de commande dnsmasq pour éviter qu'il ne prenne une configuration par défaut incorrecte qui remplacerait nos options. # 6730
  • Ajout de "-l" à traceroute6 pour afficher à la fois les adresses IP et les noms d'hôte lors de la résolution de houblon sur diag_traceroute.php. # 6715
  • Ajout d'une note à propos de la limite maximale de ttl / bond dans le commentaire source sur diag_traceroute.php.
  • Langage clarifié sur diag_tables.php. # 6713
  • Nettoyé le texte sur diag_sockets.php. # 6708
  • Correction de l'affichage des noms d'interface VLAN lors de l'affectation de la console. # 6724
  • Correction de l'option domain-name-servers qui apparaissait deux fois dans les pools lors de la configuration manuelle.
  • Correction de la gestion des options DHCP dans les pools autres que la plage principale. # 6720
  • Correction des noms d'hôtes manquants dans certains cas avec dhcpdv6. # 6589
  • Amélioration de la gestion du fichier pid pour dhcpleases.
  • Ajout de vérifications pour empêcher l'accès à un décalage non défini dans IPv6.inc.
  • Correction de l'affichage de la fenêtre contextuelle d'alias et des options de modification sur la source et la destination pour l'adresse et le port sur le NAT sortant.
  • Correction du traitement du compte de configuration de sauvegarde. # 6771
  • Suppression de certaines références PPTP qui ne sont plus pertinentes.
  • Correction / rattrapage des zones syslog distantes. Ajouté "routage", "ntpd", "ppp", "résolveur", fixe "vpn" pour inclure toutes les zones VPN (IPsec, OpenVPN, L2TP, serveur PPPoE). # 6780
  • Correction des cases à cocher manquantes dans certains cas lors de l'ajout de lignes sur services_ntpd.php. # 6788
  • Service révisé en cours d'exécution / arrêt des icônes.
  • Ajout d'une vérification à la gestion de la liste de révocation de certificats pour supprimer les certificats de la liste déroulante déjà contenue dans la liste de révocation de certificats en cours de modification.
  • Les séparateurs de règles fixes se déplaçaient lorsque plusieurs règles de pare-feu étaient supprimées en même temps. # 6801

Nouveautés dans la version 2.3.2-p1:

  • FreeBSD-SA-16: 26.openssl - Plusieurs vulnérabilités dans OpenSSL. Le seul impact significatif sur pfSense est OCSP pour HAproxy et FreeRADIUS.
  • Plusieurs errata liées à HyperV dans FreeBSD 10.3, FreeBSD-FR-16: 10 à 16:16. Voir https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html pour plus de détails.
  • Plusieurs progiciels et bibliothèques intégrés ont été mis à jour, y compris:
  • PHP à 5.6.26
  • libidn à 1.33
  • curl à 7.50.3
  • libxml2 à 2.9.4
  • Ajout du codage au paramètre "zone" sur les pages du portail captif.
  • Ajout du codage de sortie à diag_dns.php pour les résultats renvoyés par DNS. # 6737
  • Contournement d'un bogue de Chrome avec l'analyse régulière des caractères échappés dans les jeux de caractères. Corrige "Veuillez faire correspondre le format demandé" sur les versions récentes de Chrome. # 6762
  • Correction de l'option de format d'heure du serveur DHCPv6 # 6640
  • Correction de / usr / bin / installation manquante dans les nouvelles installations. # 6643
  • Augmentation de la limite de fin de filtrage pour la journalisation afin que la recherche permette de localiser suffisamment d'entrées. # 6652
  • Nettoyé le widget Packages installés et HTML. # 6601
  • Correction de la corruption des paramètres de widget lors de la création de nouveaux paramètres. # 6669
  • Correction de plusieurs fautes de frappe et d'erreurs de rédaction.
  • Suppression des liens supprimés sur le site devwiki. Tout est sur https://doc.pfsense.org maintenant.
  • Ajout d'un champ aux pages CA / Cert pour l'unité d'organisation, requis par certaines autorités de certification et utilisateurs externes. # 6672
  • Correction d'une chaîne HTTP "User-Agent" redondante dans les mises à jour de DynDNS.
  • Correction de la police pour les tables triables.
  • Ajout d'une vérification pour vérifier si une interface est active dans un groupe de passerelle avant de mettre à jour le DNS dynamique.
  • Correction du libellé de l'option "Rejeter les baux de" pour une interface DHCP (elle ne peut prendre que des adresses, pas des sous-réseaux.) # 6646
  • Correction du rapport d'erreurs pour le test des paramètres SMTP.
  • Enregistrement fixe des valeurs de pays, de fournisseur et de plan pour les interfaces PPP
  • Correction de la vérification des numéros "Go To Line" invalides sur diag_edit.php. # 6704
  • Correction d'une erreur "off-by-one" avec "Rows to Display" sur diag_routes.php. # 6705
  • Correction de la description de la boîte de filtre sur diag_routes.php pour indiquer que tous les champs sont consultables. # 6706
  • Correction de la description de la boîte du fichier à éditer sur diag_edit.php. # 6703
  • Correction de la description du panneau principal sur diag_resetstate.php. # 6709
  • Correction d'une boîte de dialogue d'avertissement lorsqu'une case est décochée sur diag_resetstate.php. # 6710
  • Correction du raccourci du journal pour les zones DHCP6. # 6700
  • Correction du bouton de suppression du réseau indiquant qu'une seule ligne était présente sur services_unbound_acls.php # 6716
  • Correction de la disparition du texte d'aide sur les lignes répétables lorsque la dernière ligne est supprimée. # 6716
  • Domaine DNS dynamique fixe pour les entrées DHCP de mappage statique
  • Ajout d'un contrôle pour définir la période d'actualisation du widget de tableau de bord
  • Ajout de "-C / dev / null" aux paramètres de la ligne de commande dnsmasq pour éviter qu'il ne prenne une configuration par défaut incorrecte qui remplacerait nos options. # 6730
  • Ajout de "-l" à traceroute6 pour afficher à la fois les adresses IP et les noms d'hôte lors de la résolution de houblon sur diag_traceroute.php. # 6715
  • Ajout d'une note à propos de la limite maximale de ttl / bond dans le commentaire source sur diag_traceroute.php.
  • Langage clarifié sur diag_tables.php. # 6713
  • Nettoyé le texte sur diag_sockets.php. # 6708
  • Correction de l'affichage des noms d'interface VLAN lors de l'affectation de la console. # 6724
  • Correction de l'option domain-name-servers qui apparaissait deux fois dans les pools lors de la configuration manuelle.
  • Correction de la gestion des options DHCP dans les pools autres que la plage principale. # 6720
  • Correction des noms d'hôtes manquants dans certains cas avec dhcpdv6. # 6589
  • Amélioration de la gestion du fichier pid pour dhcpleases.
  • Ajout de vérifications pour empêcher l'accès à un décalage non défini dans IPv6.inc.
  • Correction de l'affichage de la fenêtre contextuelle d'alias et des options de modification sur la source et la destination pour l'adresse et le port sur le NAT sortant.
  • Correction du traitement du compte de configuration de sauvegarde. # 6771
  • Suppression de certaines références PPTP qui ne sont plus pertinentes.
  • Correction / rattrapage des zones syslog distantes. Ajouté "routage", "ntpd", "ppp", "résolveur", fixe "vpn" pour inclure toutes les zones VPN (IPsec, OpenVPN, L2TP, serveur PPPoE). # 6780
  • Correction des cases à cocher manquantes dans certains cas lors de l'ajout de lignes sur services_ntpd.php. # 6788
  • Service révisé en cours d'exécution / arrêt des icônes.
  • Ajout d'une vérification à la gestion de la liste de révocation de certificats pour supprimer les certificats de la liste déroulante déjà contenue dans la liste de révocation de certificats en cours de modification.
  • Les séparateurs de règles fixes se déplaçaient lorsque plusieurs règles de pare-feu étaient supprimées en même temps. # 6801

Nouveautés dans la version 2.3.2:

  • Sauvegarde / restauration:
  • Ne pas autoriser l'application de modifications sur la restauration post-config d'incompatibilité d'interface tant que la réaffectation n'est pas enregistrée. # 6613
  • Tableau de bord:
  • Dashboard a maintenant des options de configuration par utilisateur, documentées dans le Gestionnaire des utilisateurs. # 6388
  • Serveur DHCP:
  • Désactivé dhcp-cache-threshold pour éviter un bogue dans ISC dhcpd 4.3.x en omettant le nom du client-host du fichier des baux, ce qui fait échouer l'enregistrement du nom d'hôte dynamique dans certains cas. # 6589
  • Notez que la clé DDNS doit être HMAC-MD5. # 6622
  • Relais DHCP:
  • Correctif importé pour les requêtes de relais dhcrelay sur l'interface où réside le serveur DHCP cible. # 6355
  • DNS dynamique:
  • Autoriser * pour le nom d'hôte avec Namecheap. # 6260
  • Interfaces:
  • Correction "impossible d'affecter l'adresse demandée" lors du démarrage avec les interfaces track6. # 6317
  • Supprimez les options de liens obsolètes de GRE et gif. # 6586, # 6587
  • Obéissez "Refuser les baux" lorsque DHCP "Options avancées" est coché. # 6595
  • Protégez les délimiteurs fermés dans la configuration avancée du client DHCP, les virgules peuvent donc être utilisées ici. # 6548
  • Correction de l'itinéraire par défaut sur les interfaces PPPoE manquantes dans certains cas de bordure. # 6495
  • IPsec:
  • strongSwan mis à jour à 5.5.0.
  • Inclure agressif dans ipsec.conf lorsque le mode IKE automatique est sélectionné. # 6513
  • Surveillance de la passerelle:
  • Correction de "nom de socket trop grand", ce qui a fait échouer la surveillance de la passerelle sur les noms d'interface longs et les adresses IPv6. # 6505
  • Limiteurs:
  • Définit automatiquement pipe_slot_limit sur la valeur maximum de qlimit configurée. # 6553
  • Surveillance:
  • Aucune période de données n'a été reportée comme 0, ce qui fausse les moyennes. # 6334
  • Correction de l'info-bulle indiquant "none" pour certaines valeurs. # 6044
  • Correction de l'enregistrement de certaines options de configuration par défaut. # 6402
  • Correction des coches de l'axe X ne répondant pas à la résolution pour les périodes personnalisées. # 6464
  • OpenVPN:
  • Re-synchronisez les configurations spécifiques au client après la sauvegarde des instances de serveur OpenVPN pour vous assurer que leurs paramètres reflètent la configuration actuelle du serveur. # 6139
  • Système d'exploitation:
  • Correction des états de fragments de pf non purgés, déclenchant "la limite d'entrées de frag de PF atteinte". # 6499
  • Définissez l'emplacement du fichier core afin qu'il ne puisse pas se retrouver dans / var / run et épuiser son espace disponible. # 6510
  • Correction du spam "Runtime a été annulé" dans Hyper-V. # 6446
  • Correction de traceroute6 avec le saut de non-réponse dans le chemin. # 3069
  • Ajout du lien symbolique /var/run/dmesg.boot pour vm-bhyve. # 6573
  • Définissez net.isr.dispatch = direct sur les systèmes 32 bits avec IPsec activé pour empêcher le blocage lors de l'accès aux services sur l'hôte lui-même via VPN. # 4754
  • Annonces de routeur:
  • Ajout de champs de configuration pour les intervalles de publicité de routeur minimum et maximum et la durée de vie du routeur. # 6533
  • Routage:
  • Correction d'itinéraires statiques avec le routeur cible local IPv6 pour inclure la portée de l'interface. # 6506
  • Règles / NAT:
  • Correction d'un espace réservé "PPPoE Clients" dans les règles et NAT, et erreur de jeu de règles lors de l'utilisation de règles flottantes spécifiant le serveur PPPoE. # 6597
  • Correction de l'échec du chargement de l'ensemble de règles avec des alias de table d'URL où le fichier vide était spécifié. # 6181
  • Correction d'un proxy TFTP avec xinetd. # 6315
  • Mise à niveau:
  • Correction des échecs de mise à niveau de nanobsd où DNS Forwarder / Resolver n'est pas lié à localhost. # 6557
  • IP virtuelles:
  • Correction de problèmes de performances avec un grand nombre d'adresses IP virtuelles. # 6515
  • Correction de l'épuisement de la mémoire PHP sur la page d'état CARP avec des tables d'état volumineuses. # 6364
  • Interface Web:
  • Ajout du tri à la table des mappages statiques DHCP. # 6504
  • Correction du téléchargement de fichiers de secondes intercalaires NTP. # 6590
  • Ajout du support IPv6 à diag_dns.php. # 6561
  • Ajout du support IPv6 pour la recherche inversée des journaux de filtrage. # 6585
  • Système de paquets - conserve les données de champ en cas d'erreur de saisie. # 6577
  • Correction de plusieurs problèmes de validation d'entrée IPv6 autorisant des IP IPv6 invalides. # 6551, # 6552
  • Correction de quelques baux DHCPv6 manquants dans l'affichage des baux GUI. # 6543
  • Correction d'un état mort pour la direction 'in' et états avec destination traduite. # 6530, # 6531
  • Restaurez la validation des entrées des noms de zone du portail captif pour empêcher le XML non valide. # 6514
  • Remplacé le sélecteur de date du calendrier dans le gestionnaire d'utilisateurs par un sélecteur de date qui fonctionne dans les navigateurs autres que Chrome et Opera. # 6516
  • Champ de port de proxy restauré sur le client OpenVPN. # 6372
  • Clarifiez la description des alias de ports. # 6523
  • Correction de la sortie de traduction où gettext passait une chaîne vide. # 6394
  • Sélection de la vitesse fixe pour 9600 dans la configuration GPS NTP. # 6416
  • Autorisez uniquement les adresses IP IPv6 sur l'écran NPT. # 6498
  • Ajout du support d'importation d'alias pour les réseaux et les ports. # 6582
  • En-tête fixe du tableau triable. # 6074
  • Nettoyez la section Démarrage réseau de l'écran Serveur DHCP. # 6050
  • Correction des liens "UNKNOWN" dans le gestionnaire de paquets. # 6617
  • Correction d'un champ de bande passante manquant pour les files d'attente CBQ de mise en forme de trafic. # 6437
  • UPnP:
  • L'URL de présentation UPnP et le numéro de modèle sont maintenant configurables. # 6002
  • Gestionnaire des utilisateurs:
  • Interdire aux administrateurs de supprimer leurs propres comptes dans le gestionnaire d'utilisateurs. # 6450
  • Autre:
  • Ajout de sessions shell PHP pour activer et désactiver le mode de maintenance CARP persistant. "playback enablecarpmaint" et "lecture disablecarpmaint". # 6560
  • Configuration de la console série exposée pour nanobsd VGA. # 6291

Nouveautés dans la version 2.3.1 Mise à jour 5:

  • Les changements les plus importants dans cette version sont une réécriture du webGUI utilisant Bootstrap, et le système sous-jacent, y compris le système de base et le noyau, est entièrement converti en pkg de FreeBSD. La conversion pkg nous permet de mettre à jour individuellement des parties du système, plutôt que les mises à jour monolithiques du passé. La réécriture webGUI apporte un nouveau look réactif à pfSense nécessitant un minimum de redimensionnement ou de défilement sur un large éventail d'appareils, des ordinateurs de bureau aux téléphones mobiles.

Nouveautés dans la version 2.2.6 / 2.3 Alpha:

  • pfSense-SA-15_09.webgui: Vulnérabilité d'inclusion de fichier local dans l'interface Web de pfSense
  • pfSense-SA-15_10.captiveportal: Vulnérabilité d'injection SQL dans la déconnexion du portail captif pfSense
  • pfSense-SA-15_11.webgui: Vulnérabilités multiples de XSS et de CSRF dans le WebGUI de pfSense
  • Mise à jour vers FreeBSD 10.1-RELEASE-p25
  • FreeBSD-SA-15: 26.openssl Plusieurs vulnérabilités dans OpenSSL
  • Mise à jour de strongSwan vers la version 5.3.5_2
  • Inclut la correction de la vulnérabilité de contournement de l'authentification CVE-2015-8023 dans le plug-in eap-mschapv2.

Nouveautés dans la version 2.2.5 / 2.3 Alpha:

  • pfSense-SA-15_08.webgui: Vulnérabilités XSS multiples stockées dans l'interface graphique Web pfSense
  • Mise à jour vers FreeBSD 10.1-RELEASE-p24:
  • FreeBSD-SA-15: 25.ntp Vulnérabilités multiples dans NTP [REVISED]
  • FreeBSD-SA-15: 14.bsdpatch: En raison d'une désinfection insuffisante du flux de correctifs d'entrée, il est possible qu'un correctif fasse exécuter des commandes patch (1) en plus des commandes SCCS ou RCS désirées. / li>
  • FreeBSD-SA-15: 16.openssh: Le client OpenSSH ne vérifie pas correctement les enregistrements DNS SSHFP lorsqu'un serveur offre un certificat. CVE-2014-2653 Les serveurs OpenSSH configurés pour autoriser l'authentification par mot de passe à l'aide de PAM (par défaut) autorisent de nombreuses tentatives de mot de passe.
  • FreeBSD-SA-15: 18.bsdpatch: En raison de la désinfection insuffisante du flux de correctifs d'entrée, il est possible qu'un correctif fasse pat (1) transmettre certains scripts ed (1) à ed (1) éditeur, qui exécuterait des commandes.
  • FreeBSD-SA-15: 20.expat: Des débordements d'entiers multiples ont été découverts dans la fonction XML_GetBuffer () de la bibliothèque expat.
  • FreeBSD-SA-15: 21.amd64: Si l'instruction IRET en mode noyau génère une exception #SS ou #NP, mais le gestionnaire d'exceptions ne vérifie pas correctement que la base de registre GS de droite pour le noyau est rechargée , le segment GS utilisateur peut être utilisé dans le contexte du gestionnaire d'exception du noyau.
  • FreeBSD-SA-15: 22.openssh: Une erreur de programmation dans le processus de surveillance privilégié du service sshd (8) peut permettre d'écraser le nom d'utilisateur d'un utilisateur déjà authentifié par le processus enfant non privilégié. Une erreur use-after-free dans le processus de surveillance privilégié du service sshd (8) peut être déclenchée de manière déterministe par les actions d'un processus enfant non privilégié compromis. Une erreur use-after-free dans le code de multiplexage de session dans le service sshd (8) peut entraîner une interruption involontaire de la connexion.

Nouveautés dans la version 2.2.4:

  • pfSense-SA-15_07.webgui: Vulnérabilités XSS multiples stockées dans l'interface Web de pfSense
  • La liste complète des pages et champs concernés est répertoriée dans l'association de sécurité liée.
  • FreeBSD-SA-15: 13.tcp: épuisement des ressources dû aux sessions bloquées dans l'état LAST_ACK. Notez que ceci s'applique seulement aux scénarios où les ports écoutant sur pfSense lui-même (pas les choses transitant par le NAT, le routage ou le pontage) sont ouverts aux réseaux non fiables. Cela ne s'applique pas à la configuration par défaut.
  • Remarque: FreeBSD-SA-15: 13.openssl ne s'applique pas à pfSense. pfSense n'incluait pas une version vulnérable d'OpenSSL, et n'était donc pas vulnérable.
  • D'autres correctifs pour la corruption de fichiers dans divers cas lors d'une fermeture non propre (crash, perte de puissance, etc.). # 4523
  • Correction de pw dans FreeBSD pour corriger la corruption de passwd / groupe
  • Correction de l'écriture de config.xml pour utiliser correctement fsync afin d'éviter les cas où il pourrait se retrouver vide. # 4803
  • Suppression de l'option & lsquo; sync 'des systèmes de fichiers pour les nouvelles installations complètes et les mises à niveau complètes maintenant que le correctif réel est en place.
  • Suppression des softupdates et journalisation (AKA SU + J) de NanoBSD, ils restent sur les installations complètes. # 4822
  • Le patch forcesync pour # 2401 est toujours considéré comme dangereux pour le système de fichiers et a été conservé. En tant que tel, il peut y avoir une certaine lenteur notable avec NanoBSD sur certains disques plus lents, en particulier les cartes CF et, dans une moindre mesure, les cartes SD. S'il s'agit d'un problème, le système de fichiers peut être maintenu en lecture-écriture de façon permanente en utilisant l'option Diagnostics & gt; NanoBSD. Avec les autres changements ci-dessus, le risque est minime. Nous vous conseillons de remplacer le support CF / SD concerné par une nouvelle carte plus rapide dès que possible. # 4822
  • Mise à niveau de PHP vers 5.5.27 pour l'adresse CVE-2015-3152 # 4832
  • Abaissé SSH LoginGraceTime de 2 minutes à 30 secondes pour atténuer l'impact du bogue de contournement MaxAuthTries. Remarque Sshlockout verrouille les adresses IP incriminées dans toutes les versions passées, présentes et futures. # 4875

Nouveautés dans la version 2.2.3:

  • pfSense-SA-15_06.webgui: Vulnérabilités XSS multiples dans l'interface graphique Web pfSense
  • La liste complète des pages et des champs affectés est volumineuse et tous sont listés dans la SA liée.
  • FreeBSD-SA-15: 10.openssl: Vulnérabilités OpenSSL multiples (y compris Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Nouveautés dans la version 2.2.2:

  • Cette version inclut deux mises à jour de sécurité à faible risque:
  • FreeBSD-SA-15: 09.ipv6: Déni de service avec les annonces de routeur IPv6. Lorsqu'un système utilise le type WAN DHCPv6, les périphériques du même domaine de diffusion que ce WAN peuvent envoyer des paquets spécialement conçus, ce qui fait perdre au système la connectivité Internet IPv6.
  • FreeBSD-SA-15: 06.openssl: Vulnérabilités OpenSSL multiples. La plupart ne sont pas applicables, et le pire impact est le déni de service.

Quoi de neuf dans la version 2.2.1:

  • Correctifs de sécurité:
  • pfSense-SA-15_02.igmp: Débordement d'entier dans le protocole IGMP (FreeBSD-SA-15: 04.igmp)
  • pfSense-SA-15_03.webgui: Vulnérabilités XSS multiples dans l'interface graphique Web pfSense
  • pfSense-SA-15_04.webgui: Vulnérabilité de suppression arbitraire de fichiers dans le WebGUI pfSense
  • FreeBSD-FR-15: 01.vt: vt (4) crash avec des paramètres ioctl incorrects
  • FreeBSD-FR-15: 02.openssl: Mise à jour pour inclure les correctifs de fiabilité d'OpenSSL
  • Note sur la vulnérabilité OpenSSL "FREAK":
  • N'affecte pas la configuration du serveur Web sur le pare-feu car les chiffrements d'exportation ne sont pas activés.
  • pfSense 2.2 incluait déjà OpenSSL 1.0.1k qui corrigeait la vulnérabilité côté client.
  • Si les packages incluent un serveur Web ou un composant similaire, tel qu'un proxy, une configuration utilisateur incorrecte peut être affectée. Consultez la documentation du package ou le forum pour plus de détails.

Nouveautés dans la version 2.2:

  • Cette version apporte des améliorations en termes de performances et de support matériel de la base FreeBSD 10.1, ainsi que des améliorations que nous avons ajoutées comme AES-GCM avec l'accélération AES-NI, parmi d'autres nouvelles fonctionnalités et corrections de bugs. li>
  • Dans le processus d'atteindre la version finale, nous avons éliminé 392 tickets (ce nombre inclut 55 fonctionnalités ou tâches), corrigé 135 bogues affectant les versions 2.1.5 et antérieures, corrigé 202 autres bugs introduits dans 2.2 en faisant progresser la base Version OS de FreeBSD 8.3 à 10.1, changement des démons IPsec de racoon à strongSwan, mise à jour du backend PHP vers la version 5.5 et passage de FastCGI à PHP-FPM, et ajout du Unbound DNS Resolver, et de nombreuses petites modifications.
  • Cette version contient quatre correctifs de sécurité à faible impact:
  • Mise à jour openssl pour FreeBSD-SA-15: 01.openssl
  • Plusieurs vulnérabilités XSS dans l'interface Web. pfSense-SA-15_01
  • Mise à jour d'OpenVPN pour CVE-2014-8104
  • Mise à jour de NTP FreeBSD-SA-14: 31.ntp - bien que ces circonstances ne semblent pas affecter pfSense.

Nouveautés dans la version 2.1.4:

  • Correctifs de sécurité:
  • pfSense-SA-14_07.openssl
  • FreeBSD-SA-14: 14.openssl
  • pfSense-SA-14_08.webgui
  • pfSense-SA-14_09.webgui
  • pfSense-SA-14_10.webgui
  • pfSense-SA-14_11.webgui
  • pfSense-SA-14_12.webgui
  • pfSense-SA-14_13.packages

  • Les paquets
  • ont également leurs propres correctifs indépendants et doivent être mis à jour. Pendant le processus de mise à jour du micrologiciel, les paquets seront réinstallés correctement. Sinon, désinstallez, puis réinstallez les packages pour vous assurer que la dernière version des binaires est utilisée.
  • Autres correctifs:
  • Patch pour le problème de fuites de Capeno Portal qui conduit à la connexion maximale atteinte sur le portail captif. # 3062
  • Supprimer le texte non pertinent pour les adresses IP autorisées sur le portail captif. # 3594
  • Supprime les unités de la salve car elle est toujours spécifiée en octets. (Par ipfw (8)).
  • Ajouter une colonne pour le port interne sur la page d'état UPnP.
  • Rendez l'écoute sur l'interface plutôt qu'IP facultative pour UPnP.
  • Correction de la mise en évidence des règles sélectionnées. # 3646
  • Ajoutez guiconfig aux widgets ne l'incluant pas. # 3498
  • / etc / version_kernel et / etc / version_base n'existent plus, utilisez php_uname pour obtenir la version de XMLRPC à la place.
  • Correction de la faute de frappe. # 3669
  • Supprimez tous les alias IP lorsqu'une interface est désactivée. # 3650
  • Gérez correctement le renommage de l'archive RRD lors des erreurs de mise à niveau et de silencieux si cela échoue.
  • Convertir le protocole ssl: // en https: // lors de la création d'en-têtes HTTP pour XMLRPC.
  • Afficher les interfaces désactivées lorsqu'elles faisaient déjà partie d'un groupe d'interfaces. Cela évite d'afficher une interface aléatoire à la place et de laisser l'utilisateur l'ajouter par erreur. # 3680
  • La directive client-config-dir pour OpenVPN est également utile lors de l'utilisation du DHCP interne d'OpenVPN lors du pontage, ajoutez-le dans ce cas également.
  • Utilisez curl au lieu de récupérer pour télécharger les fichiers de mise à jour. # 3691
  • Evapore la variable avant de passer au shell à partir de stop_service ().
  • Ajoutez une protection aux paramètres fournis par _GET dans la gestion des services.
  • Argument d'échappement sur appel à is_process_running, supprime également des appels mwexec () inutiles.
  • Ne permettez pas que le nom du groupe d'interface soit supérieur à 15 caractères. # 3208
  • Soyez plus précis pour faire correspondre les membres d'une interface de pont, il devrait corriger # 3637
  • N'expire pas les utilisateurs déjà désactivés, il corrige # 3644
  • Validez le format starttime et stoptime sur firewall_schedule_edit.php
  • Soyez plus prudent avec le paramètre host sur diag_dns.php et assurez-vous qu'il est échappé lorsque les fonctions shell de l'appel
  • Paramètres d'échappement passés à shell_exec () dans diag_smart.php et ailleurs
  • Assurez-vous que les variables sont échappées / nettoyées sur status_rrd_graph_img.php
  • Remplacer les appels exec pour exécuter rm par unlink_if_exists () sur status_rrd_graph_img.php
  • Remplacez tous les appels `hostname` par php_uname (& lsquo; n ') sur status_rrd_graph_img.php
  • Remplace tous les appels `date` par strftime () sur status_rrd_graph_img.php
  • Ajoutez $ _gb pour collecter les ordures du retour exec sur status_rrd_graph_img.php
  • Evitez la traversée de répertoire dans pkg_edit.php lors de la lecture des fichiers xml du paquet, vérifiez également si le fichier existe avant d'essayer de le lire
  • Supprimer id = 0 du menu miniupnpd et raccourci
  • Supprimer. et / de pkg name pour éviter la traversée de répertoire dans pkg_mgr_install.php
  • Correction d'un vidage de la mémoire lors de l'affichage du journal de package invalide
  • Évitez la traversée de répertoire sur system_firmware_restorefullbackup.php
  • Re-générer l'identifiant de session sur une connexion réussie pour éviter la fixation de session
  • Protégez les paramètres de rssfeed avec htmlspecialchars () dans rss.widget.php
  • Protéger le paramètre servicestatusfilter avec htmlspecialchars () dans services_status.widget.php
  • Toujours définir l'attribut httponly sur les cookies
  • Définir & lsquo; Désactiver la saisie semi-automatique de la connexion à webConfigurator 'par défaut pour les nouvelles installations
  • Simplifiez la logique, ajoutez une protection aux paramètres d'entrée de l'utilisateur sur log.widget.php
  • Assurez-vous que les guillemets simples sont encodés et évitez l'injection javascript sur exec.php
  • Ajouter des protocoles NAT manquants sur firewall_nat_edit.php
  • Supprimez les données supplémentaires après l'espace dans DSCP et corrigez la syntaxe de la règle pf. # 3688
  • N'incluez une règle programmée que si elle est strictement antérieure à l'heure de fin. # 3558

Nouveautés dans la version 2.1.1:

  • La plus grande modification consiste à fermer les problèmes de sécurité / CVE suivants:
  • FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
  • En dehors de ceux-ci, les pilotes em / igb / ixgb / ixgbe ont été mis à jour pour prendre en charge les cartes réseau i210 et i354. Certains NIC Ethernet 10Gb d'Intel verront également des performances améliorées.

Logiciel similaire

Linux 2.4-hf
Linux 2.4-hf

3 Jun 15

HeavenOS
HeavenOS

3 Jun 15

Commentaires à pfSense

Commentaires non trouvées
Ajouter un commentaire
Tourner sur les images!