pfSense & reg; 는 널리 알려진 m0n0wall 프로젝트에서 파생되었지만 패킷 필터와 최신 FreeBSD 기술을 사용하는 것과는 근본적으로 다른 목표를 가지고 자유롭게 배포되고 공개 된 BSD 운영 체제입니다.
이 프로젝트는 라우터와 방화벽으로 모두 사용될 수 있습니다. 여기에는 시스템 관리자가 잠재적 보안 취약점을 추가하지 않고 제품을 쉽게 확장하고 기본 배포에 팽창 할 수있게 해주는 패키지 시스템이 포함됩니다.
기능 요약
주요 기능으로는 최첨단 방화벽, 인바운드 / 아웃 바운드로드 밸런싱, 상태 테이블, NAT (네트워크 주소 변환), 고 가용성, IPsec, PPTP 및 OpenVPN을 지원하는 VPN (가상 사설망), PPPoE 서버, 동적 DNS, 포털 포털,보고 및 모니터링.
gz 보관 된 라이브 CD 및 설치 전용 ISO 이미지, USB 스틱 설치 프로그램, NanoBSD / 내장 미디어로 배포되는 적극적으로 개발 된 방화벽 운영 체제입니다. 현재 64 비트 (amd64) 및 32 비트 (i386) 하드웨어 플랫폼이 모두 지원됩니다.
부팅 프로세스 중에는 기본 설정으로 운영 체제를 부팅하고, ACPI를 비활성화하고, USB 장치를 사용하여 안전 모드에서 단일 사용자 모드로 자세한 로깅과 함께 부팅 옵션을 사용할 수 있습니다. 쉘 프롬프트에 액세스하거나 컴퓨터를 재부팅하십시오.
pfSense 시작하기 (& reg;
배포판에서 사용자에게 VLAN (가상 LAN)을 설정할지 묻는 메시지가 표시되지만 할당 된 네트워크 인터페이스가 하나 이상 필요합니다. 즉, 하나 이상의 인터페이스가없는 경우 pfSense & reg; 시작도 안됩니다.
소규모 홈 네트워크, 대학, 대기업 또는 수천 개의 네트워크 장치를 보호해야하는 다른 조직의 방화벽으로 사용되는 경우 pfSense & reg; 설립 이래 전세계에서 백만 명이 넘는 사용자가 다운로드했습니다.
결론
상업용 방화벽 제품과 함께 제공되는 모든 기능을 사용자에게 제공하도록 설계된 최고의 오픈 소스 방화벽 프로젝트 중 하나입니다. 오늘, pfSense & reg; Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall 또는 Watchguard를 포함한 수많은 하드웨어 방화벽 솔루션에 사용됩니다.
pfSense & reg; Electric Sheep Fencing LLC 소유의 등록 상표 및 서비스 마크입니다. www.electricsheepfencing.com을 참조하십시오.
이 릴리스의 새로운 내용 :
보안 / 에라타
CVE-2017-3736 및 CVE-2017-3735를 해결하기 위해 OpenSSL 1.0.2m으로 업데이트되었습니다.
FreeBSD-SA-17 : 10.kldstat
FreeBSD-SA-17 : 08.ptrace
status_monitoring.php # 8037에서 잠재적 인 XSS 벡터를 수정했습니다. pfSense-SA-17_07.packages.asc
diag_dns.php # 7999에서 잠재적 인 XSS 벡터 수정 pfSense-SA-17_08.webgui.asc
위젯 시퀀스 매개 변수를 통해 index.php에 잠재적 인 XSS 벡터 수정 # 8000 pfSense-SA-17_09.webgui.asc
다중 인스턴스 대시 보드 위젯의 widgetkey 매개 변수에서 잠재적 XSS 수정 # 7998 pfSense-SA-17_09.webgui.asc
CSRF 오류 페이지에서 클릭 재킹 문제가 해결되었습니다.
인터페이스
새로운 VLAN 이름을 사용할 때 VLAN 부모와의 고정 PPP 인터페이스 # 7981
QinQ 인터페이스가 활성 상태로 표시되지 않는 문제 수정 # 7942
LAGG 인터페이스 비활성화시 패닉 / 크래시 수정 # 7940
MAC 주소를 잃어버린 LAGG 인터페이스의 문제 해결 # 7928
SG-3100 (ARM) # 8022에서 radvd의 오류 수정
SG-1000 # 7426에서 UDP 패킷 방울 문제 해결
SG-3100에 내장 된 스위치를 관리하기위한 인터페이스가 추가되었습니다.
VIP 유형을 변경할 때 VIP uniqueid 매개 변수의 처리가 수정되었습니다.
VLAN 상위 인터페이스를 선택한 경우 고정 PPP 링크 매개 변수 필드 표시 # 8098
운영 체제
별도의 / usr 슬라이스 # 8065를 사용하여 파일 시스템 레이아웃을 수동으로 구성하여 발생하는 문제 해결
MBR 파티션 구성표를 사용하여 ZFS를 생성 한 ZFS 시스템 업데이트 문제 해결 (부트 풀로 인해 비어 있거나 부트되지 않음) # 8063
라우팅 데몬 패키지에서 MD5 TCP 서명을 사용하는 BGP 세션의 문제 해결 # 7969
dpinger를 3.0으로 업데이트했습니다.
업데이트 저장소 선택 사항 및 방법 개선
OS가 인터럽트, 포인트 - 투 - 포인트 인터페이스 및 이더넷 장치에서 데이터를 수집하지 않고 FreeBSD 11의 새로운 이름 / 형식을 반영하도록 시스템 튜너 블을 업데이트했습니다.
사용자에게 오류를 표시하는 대신 다른 프로세스가 업데이트 중간에 재 시도 할 수 있도록 룰 세트 처리를 변경했습니다.
다양한 플랫폼에서 UEFI 부팅 문제가 해결되었습니다.
인증서/etc/ssl/openssl.cnf의 잘못된 항목을 수정했습니다 (cli / shell에서 openssl의 비표준 사용에만 영향을 미침). # 8059
서버가 전역 적으로 신뢰할 수있는 루트 CA ( "글로벌 루트 CA 목록"에 대한 새로운 CA 선택) # 8044를 사용할 때의 고정 LDAP 인증
와일드 카드 CN / SAN을 사용하여 인증서를 만드는 문제가 해결되었습니다. # 7994
CA 탭에 비 인증서 인증 기관 인증서를 가져 오지 못하도록 인증서 관리자에 유효성 검사를 추가했습니다. # 7885
IPsec
피사체에 동일한 유형의 여러 RDN이 포함되어있을 때 IPsec CA 인증서를 사용하는 문제가 수정되었습니다. # 7929
번역 된 언어로 IPsec 모바일 클라이언트 지원을 사용할 때의 문제 수정 # 8043
여러 항목을 포함하여 IPsec 상태 표시 / 출력 문제가 해결되었습니다 (하나는 연결 끊기, 하나는 연결됨). # 8003
연결된 여러 모바일 IPsec 클라이언트의 고정 표시 # 7856
하위 SA 항목 # 7856의 고정 표시
OpenVPN
"redirect-gateway ipv6"을 활용하기 위해 OpenVPN 서버에 옵션을 추가했습니다. "redirect-gateway def1"과 유사한 VPN 클라이언트를 IPv6과 연결하기위한 기본 게이트웨이로 작동합니다. IPv4 용. # 8082
OpenVPN 클라이언트 인증서 해지 목록 옵션 # 8088 수정통신량 조절
2Gb / s 이상의 리미터를 구성 할 때 오류 수정 (새 최대 값은 4Gb / s) # 7979
ALTQ # 7936을 지원하지 않는 브리지 네트워크 인터페이스의 문제 해결
ALTQ # 7594를 지원하지 않는 vtnet 네트워크 인터페이스 문제 해결
상태 & gt; VLAN 인터페이스 # 8007에 대한 통계를 표시하지 못하는 대기열
모든 자식 대기열의 합계가 100 %가되지 않는 트래픽 형성 대기열 문제 해결 # 7786
리미터 항목에서 유효하지 않은 소수 값 / 비 정수 값을 제공하거나 RADIUS # 8097에서 캡 티브 포털로 전달되는 리미터 문제가 해결되었습니다.
규칙 / NAT
새로운 방화벽 규칙 # 8053을 생성 할 때 IPv6 게이트웨이 고정 선택
오래된 / 비 pSense 쿠키 / 쿼리 데이터로 인한 포트 전달 구성 페이지의 오류 수정 # 8039
방화벽 규칙을 통한 고정 VLAN 설정 우선 순위 # 7973
XMLRPC
동기화 사용자가 스페이스가 포함 된 비밀번호를 사용하는 경우 XMLRPC 동기화 관련 문제 해결 # 8032
고정 포털 바우처의 XMLRPC 문제 수정 # 8079
WebGUI
GUI 웹 서버 # 6650 용 HSTS를 비활성화하는 옵션이 추가되었습니다..inc 파일의 직접 다운로드를 차단하는 GUI 웹 서비스 변경 # 8005
대시 보드 위젯 및 서비스 상태 페이지의 서비스 정렬 고정 # 8069
고정 IPv6 항목이 주소 입력란에 잘못된 입력을 허용하는 입력 문제 수정 # 8024
잘못된 데이터가 발생했을 때 (예 : 사용자가 로그 아웃되거나 세션이 삭제 된 경우) 트래픽 그래프의 JavaScript 구문 오류 수정 # 7990
트래픽 그래프의 샘플링 오류 수정 # 7966
상태 & gt; 자바 스크립트 오류를 수정했습니다. 모니터링 # 7961
Internet Explorer 11 # 7978의 빈 테이블에서 디스플레이 문제가 해결되었습니다.
손상된 구성을 발견했을 때 die () 대신 예외를 사용하도록 구성 처리를 변경했습니다.
pfTop 페이지에 필터링 추가
패키지에 사용자에게 모달을 표시하는 수단 추가 (예 : 패키지를 사용하기 전에 다시 부팅해야 함)
계기반
설치된 패키지 대시 보드 위젯 # 8035에서 사용 가능한 업데이트가 고정적으로 표시되었습니다.
Support Dashboard 위젯 # 7980에서 글꼴 문제가 해결되었습니다.
시스템 정보 대시 보드 위젯에서 디스크 슬라이스 / 파티션의 고정 형식 지정
유효한 그림이 저장되지 않은 경우 그림 위젯의 문제가 수정되었습니다. # 7896
패키지
패키지 관리자에서 저장소에서 제거 된 패키지의 고정 된 표시 # 7946
원격 패키지 리포지토리를 사용할 수 없을 때 로컬로 설치된 패키지를 표시하는 문제 해결 # 7917
기타
ntpd에서 고정 인터페이스 바인딩을 사용하므로 모든 인터페이스에서 잘못 수신하지 않습니다 # 8046
syslogd 서비스를 다시 시작하면 sshlockout_pf 프로세스가 고아가되는 문제 수정 # 7984
ClouDNS 동적 DNS 공급자 # 7823에 대한 추가 지원
항목을 삭제 한 직후 항목을 조작 할 때 사용자 및 그룹 관리자 페이지의 문제가 수정되었습니다. # 7733
AWS EC2 인스턴스 # 6459에서 실행할 때 인터페이스 구성을 생략하도록 설정 마법사를 변경했습니다.
SG-1000 # 7710에서 모든 멀티 캐스트 모드로 IGMP 프록시 문제 수정
버전의 새로운 기능 :
대시 보드 업데이트 :
2.3.4-RELEASE Dashboard에서 몇 가지 추가 정보를 찾을 수 있습니다 : BIOS 공급 업체, 버전 및 릴리스 날짜 - 방화벽에서 확인할 수있는 경우 - Netgate 고유 ID. Netgate 고유 ID는 일련 번호와 유사하며 지원 서비스를 구매하려는 고객을 위해 pfSense 소프트웨어의 인스턴스를 고유하게 식별하는 데 사용됩니다. 우리 매장에서 판매되는 하드웨어의 경우 제조 기록에 단위를 묶을 수도 있습니다. 이 ID는 모든 플랫폼 (베어 메탈, 가상 머신 및 AWS / Azure와 같은 호스팅 / 클라우드 인스턴스)에서 일관됩니다. 우리는 원래 운영 체제에서 생성 된 하드웨어 일련 번호 또는 UUID를 사용하려고했지만 신뢰할 수없고 일관성이 없었으며 운영 체제를 다시 설치할 때 예기치 않게 변경 될 수 있음을 발견했습니다.
일련 번호와 마찬가지로이 식별자는 대시 보드에 정보 목적으로 만 표시되며 기본적으로 자동으로 전송되지 않습니다. 앞으로 고객은 직원 또는 시스템의 지원 정보를 요청할 때이 식별자를 사용할 수 있습니다.
방화벽 GUI 인증서 :
pfSense 버전 2.3.3-p1 또는 이전 버전을 실행하는 방화벽에서 자동으로 생성 된 자체 서명 된 기본 인증서를 사용하는 경우 Chrome 58 이상 및 경우에 따라 Firefox 48 이상 사용자가 pfSense 웹 GUI에 액세스하는 데 문제가있을 수 있습니다. 이는 Chrome 58이 인증서의 일반 이름 필드 대신 주체 대체 이름 (SAN) 항목을 사용하여 일치하는 호스트 이름만을 요구하고 기본 자체 서명 인증서가 SAN 필드를 채우지 않았기 때문에 RFC 2818을 엄격하게 시행하기 때문입니다.
자동으로 인증서 공통 이름 값을 첫 번째 SAN 항목으로 추가하여 사용자 친화적 인 방식으로 RFC 2818을 올바르게 따르도록 인증서 코드를 수정했습니다.
방화벽 관리자는 새로운 형식을 사용하기 위해 GUI에서 사용할 새로운 인증서를 생성해야합니다. 호환되는 인증서를 생성하는 방법은 다음과 같이 여러 가지가 있습니다.
재생 스크립트 중 하나를 사용하여 콘솔 또는 ssh 쉘에서 자동으로 새 GUI 인증서를 생성하고 활성화하십시오.
pfSsh.php 재생 생성기
ACME 패키지를 사용하여 이미 올바른 형식으로되어있는 Let 's Encrypt를 통해 GUI에 대한 신뢰할 수있는 인증서를 생성하십시오.
수동으로 새 자체 서명 CA (인증 기관)와 해당 CA가 서명 한 서버 인증서를 만든 다음 GUI에 사용합니다.
로컬 브라우저 & quot; EnableCommonNameFallbackForLocalAnchors & quot;를 활성화하십시오. 크롬의 옵션입니다.이 설정은 결국 Chrome에 의해 제거되므로 임시 수정 사항 일뿐입니다.
일부 사용자는 브라우저 변경으로 인해 기본 인증서 형식이 문제가있는 것은 이번이 처음이 아님을 기억할 것입니다. 몇 년 전, 파이어 폭스는 인증서 트러스트 체인을 계산하는 방식을 변경하여 공통된 기본 데이터가 포함 된 자체 서명 된 인증서를 사용하여 여러 방화벽에 액세스하려고 시도 할 때 브라우저가 멈추거나 멈추는 결과를 가져올 수 있습니다. 이를 해결하는 것이 더 어려웠지만 최종 사용자 경험이 훨씬 향상되었습니다.
버전 2.3.4의 새로운 기능 :
대시 보드 업데이트 :
2.3.4-RELEASE Dashboard에서 몇 가지 추가 정보를 찾을 수 있습니다 : BIOS 공급 업체, 버전 및 릴리스 날짜 - 방화벽에서 확인할 수있는 경우 - Netgate 고유 ID. Netgate 고유 ID는 일련 번호와 유사하며 지원 서비스를 구매하려는 고객을 위해 pfSense 소프트웨어의 인스턴스를 고유하게 식별하는 데 사용됩니다. 우리 매장에서 판매되는 하드웨어의 경우 제조 기록에 단위를 묶을 수도 있습니다. 이 ID는 모든 플랫폼 (베어 메탈, 가상 머신 및 AWS / Azure와 같은 호스팅 / 클라우드 인스턴스)에서 일관됩니다. 우리는 원래 운영 체제에서 생성 된 하드웨어 일련 번호 또는 UUID를 사용하려고했지만 신뢰할 수없고 일관성이 없었으며 운영 체제를 다시 설치할 때 예기치 않게 변경 될 수 있음을 발견했습니다.
일련 번호와 마찬가지로이 식별자는 대시 보드에 정보 목적으로 만 표시되며 기본적으로 자동으로 전송되지 않습니다. 앞으로 고객은 직원 또는 시스템의 지원 정보를 요청할 때이 식별자를 사용할 수 있습니다.
방화벽 GUI 인증서 :
pfSense 버전 2.3.3-p1 또는 이전 버전을 실행하는 방화벽에서 자동으로 생성 된 자체 서명 된 기본 인증서를 사용하는 경우 Chrome 58 이상 및 경우에 따라 Firefox 48 이상 사용자가 pfSense 웹 GUI에 액세스하는 데 문제가있을 수 있습니다. 이는 Chrome 58이 인증서의 일반 이름 필드 대신 주체 대체 이름 (SAN) 항목을 사용하여 일치하는 호스트 이름만을 요구하고 기본 자체 서명 인증서가 SAN 필드를 채우지 않았기 때문에 RFC 2818을 엄격하게 시행하기 때문입니다.
자동으로 인증서 공통 이름 값을 첫 번째 SAN 항목으로 추가하여 사용자 친화적 인 방식으로 RFC 2818을 올바르게 따르도록 인증서 코드를 수정했습니다.
방화벽 관리자는 새로운 형식을 사용하기 위해 GUI에서 사용할 새로운 인증서를 생성해야합니다. 호환되는 인증서를 생성하는 방법은 다음과 같이 여러 가지가 있습니다.
재생 스크립트 중 하나를 사용하여 콘솔 또는 ssh 쉘에서 자동으로 새 GUI 인증서를 생성하고 활성화하십시오.
pfSsh.php 재생 생성기
ACME 패키지를 사용하여 이미 올바른 형식으로되어있는 Let 's Encrypt를 통해 GUI에 대한 신뢰할 수있는 인증서를 생성하십시오.
수동으로 새 자체 서명 CA (인증 기관)와 해당 CA가 서명 한 서버 인증서를 만든 다음 GUI에 사용합니다.
로컬 브라우저 & quot; EnableCommonNameFallbackForLocalAnchors & quot;를 활성화하십시오. 크롬의 옵션입니다.이 설정은 결국 Chrome에 의해 제거되므로 임시 수정 사항 일뿐입니다.
일부 사용자는 브라우저 변경으로 인해 기본 인증서 형식이 문제가있는 것은 이번이 처음이 아님을 기억할 것입니다. 몇 년 전, 파이어 폭스는 인증서 트러스트 체인을 계산하는 방식을 변경하여 공통된 기본 데이터가 포함 된 자체 서명 된 인증서를 사용하여 여러 방화벽에 액세스하려고 시도 할 때 브라우저가 멈추거나 멈추는 결과를 가져올 수 있습니다. 이를 해결하는 것이 더 어려웠지만 최종 사용자 경험이 훨씬 향상되었습니다.
버전 2.3.3-p1의 새로운 기능 :
FreeBSD-SA-16 : 26.openssl - OpenSSL의 여러 취약점. pfSense에 대한 유일한 영향은 HAproxy 및 FreeRADIUS의 경우 OCSP입니다.
FreeBSD 10.3, FreeBSD-EN-16 : 10 ~ 16:16의 여러 HyperV 관련 에라타. 자세한 내용은 https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html을 참조하십시오.
다음과 같은 몇 가지 기본 제공 패키지 및 라이브러리가 업데이트되었습니다.
PHP to 5.6.26
1.33에 libidn
7.50.3에 컬
libxml2 - 2.9.4
캡 티브 포털 페이지의 'zone'매개 변수에 인코딩을 추가했습니다.
DNS에서 반환 된 결과에 대한 출력 인코딩을 diag_dns.php에 추가했습니다. # 6737
문자 집합 내에서 이스케이프 처리 된 문자를 정규 표현식 구문 분석으로 Chrome 버그를 해결했습니다. & quot; 요청한 형식과 일치하십시오 & quot; 최근 Chrome 버전 # 6762
고정 DHCPv6 서버 시간 형식 옵션 # 6640
새로운 설치에서 / usr / bin / install이 누락되었습니다. # 6643
로깅에 대한 필터링 테일 한도가 높아 지므로 검색을 통해 충분한 항목을 찾을 수 있습니다. # 6652
설치된 패키지 위젯과 HTML을 정리했습니다. # 6601
새 설정을 만들 때 위젯 설정이 손상되는 문제를 수정했습니다. # 6669
다양한 오타 및 문언 오류가 수정되었습니다.
일부 외부 CA 및 사용자가 필요로하는 OU 용 CA / Cert 페이지에 필드를 추가했습니다. # 6672
중복 HTTP "User-Agent" DynDNS 업데이트의 문자열.
정렬 가능한 표의 글꼴을 수정했습니다.
동적 DNS를 업데이트하기 전에 인터페이스가 게이트웨이 그룹에서 활성화되어 있는지 확인하는 검사가 추가되었습니다.
"Reject leases from"의 고정 된 표현. DHCP 인터페이스의 옵션 (서브넷이 아닌 주소 만 사용할 수 있음) # 6646
SMTP 설정 테스트에 대한 오류보고 수정.
PPP 인터페이스에 대한 국가, 제공 업체 및 계획 요금 절약
유효하지 않은 "Go To Line" diag_edit.php의 숫자. # 6704
& quot; 표시 할 행 & quot;의 off-by-one 오류가 고정되었습니다. diag_routes.php. # 6705
모든 필드를 검색 할 수 있음을 반영하여 diag_routes.php의 필터 상자에 대한 설명이 수정되었습니다. # 6706
diag_edit.php에서 편집 할 파일 상자에 대한 설명이 수정되었습니다. # 6703
diag_resetstate.php의 기본 패널에 대한 설명이 수정되었습니다. # 6709
diag_resetstate.php에서 상자가 선택 취소되면 경고 대화 상자가 수정되었습니다. # 6710DHCP6 영역에 대한 로그 단축키가 수정되었습니다. # 6700
services_unbound_acls.php # 6716에 행이 하나만있을 때 표시되는 네트워크 삭제 버튼이 수정되었습니다.
마지막 행이 삭제 될 때 반복 가능한 행에 도움말 텍스트가 사라지는 문제가 수정되었습니다. # 6716
고정 맵 DHCP 항목에 대한 고정 동적 DNS 도메인
대시 보드 위젯 새로 고침 기간을 설정하는 컨트롤이 추가되었습니다.
추가 된 "-C / dev / null" Dnsmasq 커맨드 라인 매개 변수를 사용하여 옵션을 무시하는 잘못된 기본 구성을 선택하지 않도록합니다. # 6730
추가 된 "-l" diag_traceroute.php에서 홉을 해결할 때 traceroute6에 IP 주소와 호스트 이름을 모두 표시합니다. # 6715
diag_traceroute.php의 소스 댓글에 최대 ttl / 홉 제한에 대한 메모를 추가했습니다.
diag_tables.php의 명확한 언어. # 6713
diag_sockets.php의 텍스트를 지 웠습니다. # 6708
콘솔 할당 중 VLAN 인터페이스 이름의 고정 표시. # 6724
수동으로 설정하면 고정 도메인 이름 서버 옵션이 풀에 두 번 표시됩니다.
주요 범위 이외의 풀에서 DHCP 옵션 처리가 수정되었습니다. # 6720
dhcpdv6을 사용하여 호스트 이름이 누락되는 문제를 수정했습니다. # 6589
dhcpleases에 대한 향상된 pidfile 처리.
IPv6.inc에서 정의되지 않은 오프셋에 액세스하지 못하도록하는 검사가 추가되었습니다.
아웃 바운드 NAT의 주소와 포트 모두에 대한 소스 및 대상의 별칭 팝업 및 편집 옵션 표시가 수정되었습니다.
백업 구성 카운트의 처리가 수정되었습니다. # 6771
더 이상 관련이없는 매달린 PPTP 참조를 제거했습니다.
원격 syslog 영역을 수정했습니다. "라우팅", "ntpd", "ppp", "리졸버", 고정 된 "vpn" 모든 VPN 영역 (IPsec, OpenVPN, L2TP, PPPoE 서버)을 포함합니다. # 6780
경우에 따라 services_ntpd.php에 행을 추가 할 때 누락 된 체크 박스가 수정되었습니다. # 6788
실행중인 / 중지 된 아이콘 수정 된 서비스.
편집중인 CRL에 이미 포함되어있는 인증서를 드롭 다운 목록에서 제거하기 위해 CRL 관리에 검사를 추가했습니다.
여러 방화벽 규칙이 동시에 삭제 될 때 이동하는 고정 규칙 구분 기호. # 6801
버전 2.3.3의 새로운 기능 :
FreeBSD-SA-16 : 26.openssl - OpenSSL의 여러 취약점. pfSense에 대한 유일한 영향은 HAproxy 및 FreeRADIUS의 경우 OCSP입니다.FreeBSD 10.3, FreeBSD-EN-16 : 10 ~ 16:16의 여러 HyperV 관련 에라타. 자세한 내용은 https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html을 참조하십시오.
다음과 같은 몇 가지 기본 제공 패키지 및 라이브러리가 업데이트되었습니다.
PHP to 5.6.26
1.33에 libidn
7.50.3에 컬
libxml2 - 2.9.4
캡 티브 포털 페이지의 'zone'매개 변수에 인코딩을 추가했습니다.
DNS에서 반환 된 결과에 대한 출력 인코딩을 diag_dns.php에 추가했습니다. # 6737
문자 집합 내에서 이스케이프 처리 된 문자를 정규 표현식 구문 분석으로 Chrome 버그를 해결했습니다. 최근 Chrome 버전에서 '요청한 형식과 일치하십시오.'수정. # 6762
고정 DHCPv6 서버 시간 형식 옵션 # 6640
새로운 설치에서 / usr / bin / install이 누락되었습니다. # 6643
로깅에 대한 필터링 테일 한도가 높아 지므로 검색을 통해 충분한 항목을 찾을 수 있습니다. # 6652
설치된 패키지 위젯과 HTML을 정리했습니다. # 6601
새 설정을 만들 때 위젯 설정이 손상되는 문제를 수정했습니다. # 6669
다양한 오타 및 문언 오류가 수정되었습니다.devwiki 사이트 링크가 끊어졌습니다. 모든 것이 https://doc.pfsense.org에 있습니다.
일부 외부 CA 및 사용자가 필요로하는 OU 용 CA / Cert 페이지에 필드를 추가했습니다. # 6672
DynDNS 업데이트에 중복 HTTP "User-Agent"문자열이 수정되었습니다.
정렬 가능한 표의 글꼴을 수정했습니다.
동적 DNS를 업데이트하기 전에 인터페이스가 게이트웨이 그룹에서 활성화되어 있는지 확인하는 검사가 추가되었습니다.
DHCP 인터페이스의 "Reject leases from"옵션의 고정 된 문구 (서브넷이 아닌 주소 만 사용할 수 있음) # 6646
SMTP 설정 테스트에 대한 오류보고 수정.
PPP 인터페이스에 대한 국가, 제공 업체 및 계획 요금 절약
diag_edit.php의 잘못된 "Go To Line"번호의 고정 검사. # 6704
diag_routes.php의 "Rows to Display"에 대한 off-by-one 오류가 수정되었습니다. # 6705
모든 필드를 검색 할 수 있음을 반영하여 diag_routes.php의 필터 상자에 대한 설명이 수정되었습니다. # 6706
diag_edit.php에서 편집 할 파일 상자에 대한 설명이 수정되었습니다. # 6703
diag_resetstate.php의 기본 패널에 대한 설명이 수정되었습니다. # 6709
diag_resetstate.php에서 상자가 선택 취소되면 경고 대화 상자가 수정되었습니다. # 6710
DHCP6 영역에 대한 로그 단축키가 수정되었습니다. # 6700services_unbound_acls.php # 6716에 행이 하나만있을 때 표시되는 네트워크 삭제 버튼이 수정되었습니다.
마지막 행이 삭제 될 때 반복 가능한 행에 도움말 텍스트가 사라지는 문제가 수정되었습니다. # 6716
고정 맵 DHCP 항목에 대한 고정 동적 DNS 도메인
대시 보드 위젯 새로 고침 기간을 설정하는 컨트롤이 추가되었습니다.
Dnsmasq 명령 줄 매개 변수에 "-C / dev / null"을 추가하여 옵션을 무시할 잘못된 기본 구성을 선택하지 않도록했습니다. # 6730
diag_traceroute.php에서 홉을 해결할 때 traceroute6에 "-l"을 추가하여 IP 주소와 호스트 이름을 모두 표시합니다. # 6715
diag_traceroute.php의 소스 댓글에 최대 ttl / 홉 제한에 대한 메모를 추가했습니다.
diag_tables.php의 명확한 언어. # 6713
diag_sockets.php의 텍스트를 지 웠습니다. # 6708
콘솔 할당 중 VLAN 인터페이스 이름의 고정 표시. # 6724
수동으로 설정하면 고정 도메인 이름 서버 옵션이 풀에 두 번 표시됩니다.
주요 범위 이외의 풀에서 DHCP 옵션 처리가 수정되었습니다. # 6720
dhcpdv6을 사용하여 호스트 이름이 누락되는 문제를 수정했습니다. # 6589
dhcpleases에 대한 향상된 pidfile 처리.
IPv6.inc에서 정의되지 않은 오프셋에 액세스하지 못하게하는 검사가 추가되었습니다.
아웃 바운드 NAT의 주소와 포트 모두에 대한 소스 및 대상의 별칭 팝업 및 편집 옵션 표시가 수정되었습니다.
백업 구성 카운트의 처리가 수정되었습니다. # 6771
더 이상 관련이없는 매달린 PPTP 참조를 제거했습니다.
원격 syslog 영역을 수정했습니다. 모든 VPN 영역 (IPsec, OpenVPN, L2TP, PPPoE 서버)을 포함하도록 "routing", "ntpd", "ppp", "resolver", 고정 "vpn"을 추가했습니다. # 6780
경우에 따라 services_ntpd.php에 행을 추가 할 때 누락 된 체크 박스가 수정되었습니다. # 6788
실행중인 / 중지 된 아이콘 수정 된 서비스.
편집중인 CRL에 이미 포함되어있는 인증서를 드롭 다운 목록에서 제거하기 위해 CRL 관리에 검사를 추가했습니다.
여러 방화벽 규칙이 동시에 삭제 될 때 이동하는 고정 규칙 구분 기호. # 6801
버전 2.3.2-p1의 새로운 기능 :
FreeBSD-SA-16 : 26.openssl - OpenSSL의 여러 취약점. pfSense에 대한 유일한 영향은 HAproxy 및 FreeRADIUS의 경우 OCSP입니다.FreeBSD 10.3, FreeBSD-EN-16 : 10 ~ 16:16의 여러 HyperV 관련 에라타. 자세한 내용은 https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html을 참조하십시오.
다음과 같은 몇 가지 기본 제공 패키지 및 라이브러리가 업데이트되었습니다.
PHP to 5.6.26
1.33에 libidn
7.50.3에 컬
libxml2 - 2.9.4
캡 티브 포털 페이지의 'zone'매개 변수에 인코딩을 추가했습니다.
DNS에서 반환 된 결과에 대한 출력 인코딩을 diag_dns.php에 추가했습니다. # 6737
문자 집합 내에서 이스케이프 처리 된 문자를 정규 표현식 구문 분석으로 Chrome 버그를 해결했습니다. 최근 Chrome 버전에서 '요청한 형식과 일치하십시오.'수정. # 6762
고정 DHCPv6 서버 시간 형식 옵션 # 6640
새로운 설치에서 / usr / bin / install이 누락되었습니다. # 6643
로깅에 대한 필터링 테일 한도가 높아 지므로 검색을 통해 충분한 항목을 찾을 수 있습니다. # 6652
설치된 패키지 위젯과 HTML을 정리했습니다. # 6601
새 설정을 만들 때 위젯 설정이 손상되는 문제를 수정했습니다. # 6669
다양한 오타 및 문언 오류가 수정되었습니다.devwiki 사이트 링크가 끊어졌습니다. 모든 것이 https://doc.pfsense.org에 있습니다.
일부 외부 CA 및 사용자가 필요로하는 OU 용 CA / Cert 페이지에 필드를 추가했습니다. # 6672
DynDNS 업데이트에 중복 HTTP "User-Agent"문자열이 수정되었습니다.
정렬 가능한 표의 글꼴을 수정했습니다.
동적 DNS를 업데이트하기 전에 인터페이스가 게이트웨이 그룹에서 활성화되어 있는지 확인하는 검사가 추가되었습니다.
DHCP 인터페이스의 "Reject leases from"옵션의 고정 된 문구 (서브넷이 아닌 주소 만 사용할 수 있음) # 6646
SMTP 설정 테스트에 대한 오류보고 수정.
PPP 인터페이스에 대한 국가, 제공 업체 및 계획 요금 절약
diag_edit.php의 잘못된 "Go To Line"번호의 고정 검사. # 6704
diag_routes.php의 "Rows to Display"에 대한 off-by-one 오류가 수정되었습니다. # 6705
모든 필드를 검색 할 수 있음을 반영하여 diag_routes.php의 필터 상자에 대한 설명이 수정되었습니다. # 6706
diag_edit.php에서 편집 할 파일 상자에 대한 설명이 수정되었습니다. # 6703
diag_resetstate.php의 기본 패널에 대한 설명이 수정되었습니다. # 6709
diag_resetstate.php에서 상자가 선택 취소되면 경고 대화 상자가 수정되었습니다. # 6710
DHCP6 영역에 대한 로그 단축키가 수정되었습니다. # 6700services_unbound_acls.php # 6716에 행이 하나만있을 때 표시되는 네트워크 삭제 버튼이 수정되었습니다.
마지막 행이 삭제 될 때 반복 가능한 행에 도움말 텍스트가 사라지는 문제가 수정되었습니다. # 6716
고정 맵 DHCP 항목에 대한 고정 동적 DNS 도메인
대시 보드 위젯 새로 고침 기간을 설정하는 컨트롤이 추가되었습니다.
Dnsmasq 명령 줄 매개 변수에 "-C / dev / null"을 추가하여 옵션을 무시할 잘못된 기본 구성을 선택하지 않도록했습니다. # 6730
diag_traceroute.php에서 홉을 해결할 때 traceroute6에 "-l"을 추가하여 IP 주소와 호스트 이름을 모두 표시합니다. # 6715
diag_traceroute.php의 소스 댓글에 최대 ttl / 홉 제한에 대한 메모를 추가했습니다.
diag_tables.php의 명확한 언어. # 6713
diag_sockets.php의 텍스트를 지 웠습니다. # 6708
콘솔 할당 중 VLAN 인터페이스 이름의 고정 표시. # 6724
수동으로 설정하면 고정 도메인 이름 서버 옵션이 풀에 두 번 표시됩니다.
주요 범위 이외의 풀에서 DHCP 옵션 처리가 수정되었습니다. # 6720
dhcpdv6을 사용하여 호스트 이름이 누락되는 문제를 수정했습니다. # 6589
dhcpleases에 대한 향상된 pidfile 처리.
IPv6.inc에서 정의되지 않은 오프셋에 액세스하지 못하게하는 검사가 추가되었습니다.
아웃 바운드 NAT의 주소와 포트 모두에 대한 소스 및 대상의 별칭 팝업 및 편집 옵션 표시가 수정되었습니다.
백업 구성 카운트의 처리가 수정되었습니다. # 6771
더 이상 관련이없는 매달린 PPTP 참조를 제거했습니다.
원격 syslog 영역을 수정했습니다. 모든 VPN 영역 (IPsec, OpenVPN, L2TP, PPPoE 서버)을 포함하도록 "routing", "ntpd", "ppp", "resolver", 고정 "vpn"을 추가했습니다. # 6780
경우에 따라 services_ntpd.php에 행을 추가 할 때 누락 된 체크 박스가 수정되었습니다. # 6788
실행중인 / 중지 된 아이콘 수정 된 서비스.
편집중인 CRL에 이미 포함되어있는 인증서를 드롭 다운 목록에서 제거하기 위해 CRL 관리에 검사를 추가했습니다.
여러 방화벽 규칙이 동시에 삭제 될 때 이동하는 고정 규칙 구분 기호. # 6801
버전 2.3.2의 새로운 기능 :
백업 / 복원 :재 할당이 저장 될 때까지 구성 변경 후 인터페이스 불일치에 대한 변경 사항 적용을 허용하지 마십시오. # 6613
계기반:
이제 Dashboard에는 사용자 별 구성 옵션이 있으며 사용자 관리자에 설명되어 있습니다. # 6388
DHCP 서버 :
ISC dhcpd 4.3.x의 버그를 피하기 위해 dhcp-cache-threshold를 사용하지 않음으로써 클라이언트 호스트 이름을 임대 파일에서 제외 시켰습니다. 이로 인해 동적 호스트 이름 등록이 일부 경우에서 실패합니다. # 6589
DDNS 키는 HMAC-MD5 여야합니다. # 6622
DHCP 릴레이 :
대상 DHCP 서버가 상주하는 인터페이스에서 dhcrelay 중계 요청에 대한 수정 사항을 가져 왔습니다. # 6355
동적 DNS :
Namecheap에서 호스트 이름에 *를 사용하십시오. # 6260
인터페이스 :
부팅 중에 track6 인터페이스로 "요청 된 주소를 할당 할 수 없습니다"라는 수정. # 6317
GRE 및 gif에서 사용되지 않는 링크 옵션을 제거하십시오. # 6586, # 6587
DHCP "고급 옵션"이 선택된 경우 "임대 거부"를 따르십시오. # 6595
DHCP 클라이언트 고급 구성에서 동봉 된 구분 기호를 보호하므로 쉼표를 사용할 수 있습니다. # 6548
일부 엣지의 경우 PPPoE 인터페이스의 기본 경로를 수정했습니다. # 6495
IPsec :
strongSwan은 5.5.0으로 업그레이드되었습니다.IKE 모드 자동이 선택된 ipsec.conf에 적극적으로 포함하십시오. # 6513
게이트웨이 모니터링 :
긴 소켓 이름과 IPv6 주소에서 게이트웨이 모니터링이 실패하는 "소켓 이름이 너무 큽니다"라는 오류가 수정되었습니다. # 6505
리미터 :
pipe_slot_limit를 최대 구성된 qlimit 값으로 자동 설정하십시오. # 6553
모니터링 :
데이터 기간이 0으로보고되고 평균을 왜곡하지 않도록 수정했습니다. # 6334
일부 값에 대해 "없음"으로 표시되는 툴팁 수정. # 6044
일부 기본 구성 옵션 저장을 수정했습니다. # 6402
사용자 정의 시간대의 해상도에 응답하지 않는 X 축 틱을 수정합니다. # 6464
OpenVPN :
OpenVPN 서버 인스턴스를 저장 한 후 클라이언트 특정 구성을 다시 동기화하여 해당 설정이 현재 서버 구성을 반영하는지 확인합니다. # 6139
운영 체제 :
고정 된 조각 상태가 제거되지 않고 "PF 조각 항목 제한에 도달했습니다"라는 트리거가 수정되었습니다. # 6499
코어 파일 위치를 / var / run으로 끝낼 수 없도록 설정하고 사용 가능한 공간을 다 써 버리십시오. # 6510
Hyper-V에서 "런타임이 거꾸로 간"고정 된 스팸 스팸. # 6446
경로에 응답이없는 홉이있는 고정 traceroute6이 멈 춥니 다. # 3069
vm-bhyve에 대한 /var/run/dmesg.boot라는 심볼릭 링크가 추가되었습니다. # 6573VPN을 통해 호스트 자체의 서비스에 액세스 할 때 크래시를 방지하려면 IPSec이 활성화 된 32 비트 시스템에서 net.isr.dispatch = direct를 설정하십시오. # 4754
라우터 광고 :
최소 및 최대 라우터 알림 간격 및 라우터 수명에 대한 구성 필드를 추가했습니다. # 6533
라우팅 :
인터페이스 범위를 포함하도록 IPv6 링크 로컬 대상 라우터로 고정 경로를 수정했습니다. # 6506
규칙 / NAT :
PPPoE 서버를 지정하는 유동 규칙을 사용할 때 규칙 및 NAT에 "PPPoE 클라이언트"자리 표시 자 및 규칙 집합 오류가 수정되었습니다. # 6597
빈 파일이 지정된 URL 테이블 별칭을 사용하여 룰 세트를로드하는 문제를 수정했습니다. # 6181
xinetd로 TFTP 프록시 수정. # 6315
업그레이드:
DNS 전달자 / 리졸버가 localhost에 연결되지 않은 고정 된 nanobsd 업그레이드 실패 # 6557
가상 IP :
다수의 가상 IP가있는 경우 성능 문제가 해결되었습니다. # 6515
대형 상태 테이블이있는 CARP 상태 페이지에서 PHP 메모리가 고갈되었습니다. # 6364
웹 인터페이스 :
DHCP 정적 매핑 테이블에 정렬을 추가했습니다. # 6504
고정 파일 업로드 NTP 도약 초. # 6590
diag_dns.php에 IPv6 지원이 추가되었습니다. # 6561역방향 조회를 필터링하는 IPv6 지원이 추가되었습니다. # 6585
패키지 시스템 - 입력 오류시 현장 데이터를 보유하십시오. # 6577
잘못된 IPv6 IP를 허용하는 여러 IPv6 입력 유효성 검사 문제가 수정되었습니다. # 6551, # 6552
GUI리스 디스플레이에서 누락 된 일부 DHCPv6리스가 수정되었습니다. # 6543
'in'방향에 대한 고정 상태 종료 및 변환 된 대상에 대한 상태. # 6530, # 6531
잘못된 XML을 방지하기 위해 캡 티브 포털 영역 이름의 입력 유효성 검사를 복원하십시오. # 6514
사용자 관리자의 캘린더 날짜 선택 도구를 Chrome 및 Opera 이외의 브라우저에서 작동하는 날짜 선택 도구로 대체했습니다. # 6516
OpenVPN 클라이언트에 대한 프록시 포트 필드를 복원했습니다. # 6372
포트 별칭에 대한 설명을 명확히하십시오. # 6523
gettext가 빈 문자열을 전달하는 고정 된 번역 출력. # 6394
NTP GPS 구성에서 9600에 대한 고정 속도 선택. # 6416
NPT 화면에서만 IPv6 IP 허용. # 6498
네트워크 및 포트에 대한 별칭 가져 오기 지원을 추가합니다. # 6582
고정 sortable 테이블 헤더 괴짜. # 6074
DHCP Server (DHCP 서버) 화면의 Network Booting (네트워크 부팅) 섹션을 정리합니다. # 6050
패키지 관리자에서 "UNKNOWN"링크를 수정하십시오. # 6617
트래픽 셰이퍼 CBQ 대기열의 누락 대역폭 필드를 수정했습니다. # 6437
UPnP :
UPnP 프리젠 테이션 URL 및 모델 번호가 이제 구성 가능합니다. # 6002
사용자 관리자 :
관리자가 사용자 관리자에서 자신의 계정을 삭제하는 것을 금지합니다. # 6450
다른:
영구적 인 CARP 유지 관리 모드를 활성화하고 비활성화하는 PHP 쉘 세션을 추가했습니다. "재생 enablecarpmaint"및 "재생 disablecarpmaint". # 6560
nanoobsd VGA에 대한 직렬 콘솔 구성이 공개되었습니다. # 6291
버전 2.3.1 업데이트 5의 새로운 기능 :
이 릴리스의 가장 중요한 변경 사항은 부트 스트랩을 사용하는 webGUI를 다시 작성하고 기본 시스템과 커널을 포함하여 기본 시스템을 전적으로 FreeBSD pkg로 변환하는 것입니다. pkg 변환을 사용하면 과거의 획일적 인 업데이트가 아닌 개별적으로 시스템을 업데이트 할 수 있습니다. WebGUI 재 작성은 데스크톱에서 휴대 전화까지 다양한 장치에 대한 최소 크기 조정 또는 스크롤이 필요한 pfSense에 새로운 반응 형 룩앤필을 제공합니다.
버전 2.2.6 / 2.3 알파의 새로운 기능 :
pfSense-SA-15_09.webgui : pfSense WebGUI의 로컬 파일 포함 취약점
pfSense-SA-15_10.captiveportal : pfense 캡 티브 포털 로그 아웃의 SQL 주입 취약점
pfSense-SA-15_11.webgui : pfSense WebGUI의 여러 XSS 및 CSRF 취약점
FreeBSD 10.1-RELEASE-p25로 업데이트되었습니다.
FreeBSD-SA-15 : 26. openssl OpenSSL의 여러 취약점
strongSwan을 5.3.5_2로 업데이트 함
eap-mschapv2 플러그인의 CVE-2015-8023 인증 우회 취약점에 대한 수정 사항이 포함되어 있습니다.
2.2.5 / 2.3 알파 버전의 새로운 기능 :
pfSense-SA-15_08.webgui : pfSense WebGUI의 다중 저장 XSS 보안 취약점FreeBSD 10.1-RELEASE-p24로 업데이트되었습니다 :
FreeBSD-SA-15 : 25.ntp NTP의 여러 취약점 [REVISED]
FreeBSD-SA-15 : 14.bsdpatch : 입력 패치 스트림의 sanitization이 불충분하기 때문에 패치 파일이 patch (1)에 원하는 SCCS 또는 RCS 명령 이외의 명령을 실행할 수 있습니다.
FreeBSD-SA-15 : 16.openssh : OpenSSH 클라이언트가 서버가 인증서를 제공 할 때 DNS SSHFP 레코드를 올바르게 검증하지 않습니다. CVE-2014-2653 PAM (기본값)을 사용하여 암호 인증을 허용하도록 구성된 OpenSSH 서버는 많은 암호 시도를 허용합니다.
FreeBSD-SA-15 : 18.bsdpatch : 입력 패치 스트림의 sanitization이 불충분하기 때문에 patch 파일로 인해 ed (1) 스크립트에 특정 ed (1) 스크립트를 전달할 수 있습니다. 명령을 실행합니다.
FreeBSD-SA-15 : 20.expat : expat 라이브러리의 XML_GetBuffer () 함수에서 여러 정수 오버 플로우가 발견되었습니다.
FreeBSD-SA-15 : 21.amd64 : 커널 모드 IRET 명령어가 #SS 또는 #NP 예외를 생성하지만 예외 핸들러가 커널의 올바른 GS 레지스터 기반이 다시로드되는지 제대로 확인하지 못하면 사용자 영역 GS 세그먼트는 커널 예외 처리기의 컨텍스트에서 사용될 수 있습니다.
FreeBSD-SA-15 : 22.openssh : sshd (8) 서비스의 권한 모니터 프로세스에서 프로그래밍 에러가 발생하면 이미 인증 된 사용자의 사용자 이름을 권한이없는 하위 프로세스가 덮어 쓸 수 있습니다. sshd (8) 서비스의 권한 모니터 프로세스에서 use-after-free 오류는 권한이 부여되지 않은 권한이 부여되지 않은 하위 프로세스의 동작에 의해 결정적으로 트리거 될 수 있습니다. sshd (8) 서비스의 세션 멀티플렉싱 코드에서 use-after-free 오류로 인해 의도하지 않게 연결이 종료 될 수 있습니다.
버전 2.2.4의 새로운 기능 :
pfSense-SA-15_07.webgui : pfSense WebGUI의 다중 저장 XSS 보안 취약점영향을받은 페이지 및 필드의 전체 목록은 링크 된 SA에 나열됩니다.
FreeBSD-SA-15 : 13.tcp : 세션이 LAST_ACK 상태로 멈추었 기 때문에 리소스가 고갈되었습니다. 이는 pfSense 자체에서 수신하는 포트 (NAT, 라우팅 또는 브리징을 통해 전달 된 포트가 아닌 포트)가 신뢰할 수없는 네트워크에 개방되는 경우에만 적용됩니다. 기본 구성에는 적용되지 않습니다.
참고 : FreeBSD-SA-15 : 13.penssl은 pfSense에 적용되지 않습니다. pfSense에는 취약한 OpenSSL 버전이 포함되어 있지 않으므로 취약하지 않았습니다.
더러운 셧다운 (충돌, 전원 손실 등) 중에 다양한 경우의 파일 손상에 대한 추가 수정. # 4523
패스워드 / 그룹 손상을 해결하기위한 FreeBSD의 픽스 수정
빈 상태가 될 수있는 경우를 피하기 위해 fsync를 올바르게 사용하도록 config.xml을 수정했습니다. # 4803
실제 설치가 완료되었으므로 새로운 전체 설치 및 전체 업그레이드를 위해 파일 시스템에서 & lsquo; sync 옵션을 제거했습니다.
NanoBSD에서 제거 된 softupdates와 저널링 (AKA SU + J), 그들은 완전히 설치 상태를 유지합니다. # 4822
# 2401 용 forcesync 패치는 여전히 파일 시스템에 유해한 것으로 간주되어 계속 유지됩니다. 따라서 느린 속도의 특정 디스크, 특히 CF 카드 및 그보다 적은 SD 카드에서 NanoBSD로 인해 느린 속도가 느껴질 수 있습니다. 이것이 문제가되는 경우 파일 시스템은 진단 & gt; 옵션에서 영구적으로 읽기 / 쓰기로 유지할 수 있습니다. NanoBSD. 위의 다른 변경 사항으로 인해 위험이 최소화됩니다. 영향을받는 CF / SD 미디어를 빠른 속도로 새 카드로 교체하는 것이 좋습니다. # 4822
CVE-2015-3152 # 4832를 해결하기 위해 PHP를 5.5.27로 업그레이드했습니다.
MaxAuthTries 우회 버그의 영향을 완화하기 위해 SSH LoginGraceTime을 2 분에서 30 초로 낮 춥니 다. 참고 Sshlockout은 과거, 현재 및 향후 모든 버전에서 문제가되는 IP를 잠급니다. # 4875
버전 2.2.3의 새로운 기능 :
pfSense-SA-15_06.webgui : pfSense WebGUI의 여러 XSS 취약점
영향을받은 페이지와 필드의 전체 목록은 크고 모든 것은 링크 된 SA에 나열됩니다.
FreeBSD-SA-15 : 10.openssl : 다중 OpenSSL 취약점 (Logjam 포함) : CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE- 2015-4000
2.2.2 버전의 새로운 기능 :
이 릴리스에는 위험성이 낮은 두 가지 보안 업데이트가 포함되어 있습니다.
FreeBSD-SA-15 : 09.ipv6 : IPv6 Router Advertisements로 서비스 거부. 시스템이 DHCPv6 WAN 유형을 사용하는 경우 해당 WAN과 동일한 브로드 캐스트 도메인에있는 장치는 조작 된 패킷을 보내 시스템이 IPv6 인터넷 연결을 끊을 수 있습니다.
FreeBSD-SA-15 : 06.openssl : 여러 OpenSSL 취약점. 대부분은 적용 할 수 없으며 최악의 영향은 서비스 거부입니다.
2.2.1 버전의 새로운 기능 :
보안 수정 사항 :
pfSense-SA-15_02.igmp : IGMP 프로토콜의 정수 오버 플로우 (FreeBSD-SA-15 : 04.igmp)
pfSense-SA-15_03.webgui : pfSense WebGUI의 여러 XSS 취약점
pfSense-SA-15_04.webgui : pfSense WebGUI의 임의 파일 삭제 취약점
FreeBSD-EN-15 : 01.vt : 부적절한 ioctl 매개 변수로 인한 vt (4) 충돌
FreeBSD-EN-15 : 02.openssl : OpenSSL의 안정성 픽스를 포함하는 업데이트
OpenSSL "FREAK"취약점에 대한 참고 사항 :
내보내기 암호가 활성화되어 있지 않으므로 방화벽의 웹 서버 구성에는 영향을 미치지 않습니다.
pfSense 2.2에는 이미 클라이언트 측 취약점을 해결 한 OpenSSL 1.0.1k가 포함되어 있습니다.
패키지에 웹 서버 또는 프록시와 같은 유사한 구성 요소가 포함 된 경우 부적절한 사용자 구성이 영향을받을 수 있습니다. 자세한 내용은 패키지 설명서 또는 포럼을 참조하십시오.
버전 2.2의 새로운 기능 :
이 릴리즈는 FreeBSD 10.1 기반의 성능 및 하드웨어 지원을 개선하고 AES-GCM (AES-NI 가속화 포함)과 같은 몇 가지 새로운 기능 및 버그 수정 사항을 추가했습니다.
릴리스에 이르는 과정에서 총 티켓 392 개 (55 개 기능 또는 태스크 포함), 2.1.5 이전 버전에 영향을주는 135 개의 버그 수정, 기본 OS 버전을에서 2.2로 이전 된 2.2 버그를 수정했습니다. FreeBSD 8.3 - 10.1, racoon에서 strongSwan으로의 IPsec 키잉 데몬 변경, PHP 백엔드 버전 5.5 로의 업그레이드, FastCGI에서 PHP-FPM으로 전환, 언 바운드 DNS 리졸버 추가 등이 있습니다.
이 릴리스에는 영향을받지 않는 4 개의 보안 픽스가 포함되어 있습니다.
FreeBSD-SA-15의 openssl 업데이트 : 01.openssl
웹 인터페이스의 여러 XSS 취약점. pfSense-SA-15_01
CVE-2014-8104 용 OpenVPN 업데이트
NTP 업데이트 FreeBSD-SA-14 : 31.ntp - 이러한 상황은 pfSense에 영향을 미치지 않습니다.
버전 2.1.4의 새로운 기능 :
보안 수정 사항 :pfSense-SA-14_07.openssl
FreeBSD-SA-14 : 14.openssl
pfSense-SA-14_08.webgui
pfSense-SA-14_09.webgui
pfSense-SA-14_10.webgui
pfSense-SA-14_11.webgui
pfSense-SA-14_12.webgui
pfSense-SA-14_13.packages
패키지는 자체적으로 독립적 인 수정을했고 업데이트해야합니다. 펌웨어 업데이트 프로세스 중에 패키지가 제대로 다시 설치됩니다. 그렇지 않으면 패키지를 설치 제거한 후 다시 설치하여 최신 버전의 바이너리가 사용되고 있는지 확인하십시오.
기타 수정 사항 :
캡 티브 포털에서 pipeline 포털에서 & nbsp; 최대 로그인 수에 도달하는 문제가 누출되었습니다. # 3062
포로티브 포털에서 허용 된 IP와 관련없는 텍스트를 삭제합니다. # 3594
단위는 항상 바이트로 지정되므로 버스트를 제거하십시오. (ipfw (8)에 따라).
UPnP 상태 페이지의 내부 포트 열을 추가하십시오.
UPnP 용 IP 옵션이 아닌 인터페이스에서 청취합니다.
선택한 규칙의 강조 표시를 수정합니다. # 3646
guiconfig를 포함하지 않는 위젯에 guiconfig를 추가하십시오. # 3498
/ etc / version_kernel 및 / etc / version_base가 더 이상 존재하지 않으면 php_uname을 사용하여 대신 XMLRPC 버전을 확인하십시오.변수 오타를 수정하십시오. # 3669
인터페이스가 비활성화되면 모든 IP 별명을 삭제하십시오. # 3650
업그레이드하는 동안 RRD 아카이브 이름을 올바르게 처리하고 실패 할 경우 오류를 스켈치하십시오.
XMLRPC에 대한 HTTP 헤더를 만들 때 프로토콜 ssl : //을 https : //로 변환합니다.
비활성화 된 인터페이스가 이미 인터페이스 그룹에 속했을 때 표시합니다. 이렇게하면 임의의 인터페이스가 대신 표시되어 사용자가 실수로 추가 할 수 있습니다. # 3680
OpenVPN을위한 client-config-dir 지시문은 또한 브리징 할 때 OpenVPN의 내부 DHCP를 사용할 때 유용하므로이 경우에도 추가하십시오.
가져 오기 대신 컬을 사용하여 업데이트 파일을 다운로드하십시오. # 3691
stop_service ()에서 쉘로 전달하기 전에 변수를 Escape하십시오.
서비스 관리에서 _GET을 통해 오는 매개 변수에 대한 보호 기능을 추가하십시오.
is_process_running에 대한 호출에서 인수를 제거하고, 불필요한 mwexec () 호출도 제거하십시오.
인터페이스 그룹 이름을 15 자보다 크게 허용하지 마십시오. # 3208
브리지 인터페이스의 구성원을 더 정확하게 일치 시키려면 # 3637을 수정해야합니다.
이미 비활성화 된 사용자는 만료하지 말고 # 3644를 수정합니다.
firewall_schedule_edit.php에서 시작 시간 및 정지 시간 포맷 확인diag_dns.php의 호스트 매개 변수에주의하고 쉘 함수 호출시 이스케이프 처리되었는지 확인하십시오.
diag_smart.php와 다른 곳에서 shell_exec ()에 전달 된 이스케이프 매개 변수
status_rrd_graph_img.php에서 변수가 이스케이프 / 위생 처리되는지 확인하십시오.
status_rrd_graph_img.php의 unlink_if_exists ()에 의해 rm을 실행하는 exec 호출 바꾸기
status_rrd_graph_img.php에서 모든 호스트 이름을 php_uname (& lsquo; n ')으로 대체하십시오.
status_rrd_graph_img.php에서 strftime ()에 의한 모든`date` 호출 대체
status_rrd_graph_img.php의 exec return에서 가비지 수집을 위해 $ _gb 추가
패키지 xml 파일을 읽을 때 pkg_edit.php에서 디렉토리 트래버 설을 피하고 읽기 전에 파일이 있는지 확인하십시오
miniupnpd 메뉴와 바로 가기에서 id = 0을 제거하십시오.
제거하십시오. 및 / 또는 pkg_mgr_install.php의 디렉토리 통과를 피하기 위해
잘못된 패키지 로그보기에서 코어 덤프 수정
system_firmware_restorefullbackupup.php에서 디렉토리 탐색을 피하십시오.
세션 고정을 피하기 위해 성공적인 로그인시 세션 ID를 다시 생성하십시오.
rss.widget.php의 htmlspecialchars ()로 rssfeed 매개 변수 보호services_status.widget.php에서 htmlspecialchars ()로 servicestatusfilter 매개 변수를 보호하십시오.
쿠키에 항상 httponly 속성을 설정하십시오.
새 설치에 대해 기본적으로 설정으로 & lsquo; webConfigurator 로그인 자동 완성 사용 안함을 설정합니다.
논리를 단순화하고 log.widget.php의 사용자 입력 매개 변수에 대한 보호 기능 추가
작은 따옴표가 인코딩되어 있는지 확인하고 exec.php에서 자바 스크립트 삽입을 피하십시오.
firewall_nat_edit.php에 누락 된 NAT 프로토콜 추가
DSCP에서 공백 다음 여분의 데이터를 제거하고 pf 규칙 구문을 수정하십시오. # 3688
종료 시간 이전의 규칙 일 경우에만 예약 된 규칙 만 포함하십시오. # 3558
2.1.1 버전의 새로운 기능 :
가장 큰 변화는 다음 보안 문제 / CVE를 닫는 것입니다.
FreeBSD-SA-14 : 01.bsnmpd / CVE-2014-1452
FreeBSD-SA-14 : 02.ntpd / CVE-2013-5211
FreeBSD-SA-14 : 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
이 외에도 em / igb / ixgb / ixgbe 드라이버가 업그레이드되어 i210 및 i354 NIC에 대한 지원이 추가되었습니다. 일부 인텔 10Gb 이더넷 NIC는 향상된 성능을 보입니다.
댓글을 찾을 수 없습니다