pfSense

pfSense & reg; es un sistema operativo BSD de fuente abierta y distribución libre derivado del bien conocido proyecto m0n0wall, pero con objetivos radicalmente diferentes, como el uso del filtro de paquetes y las últimas tecnologías de FreeBSD.

El proyecto se puede usar como enrutador y firewall. Incluye un sistema de paquete que permite a los administradores del sistema extender fácilmente el producto sin agregar posibles vulnerabilidades de seguridad y saturación a la distribución base.

Las características clave incluyen firewall de última generación, balanceo de carga entrante / saliente, tabla de estado, NAT (traducción de direcciones de red), alta disponibilidad, VPN (red privada virtual) con soporte para IPsec, PPTP y OpenVPN, PPPoE servidor, DNS dinámico, portal cautivo, informes y monitoreo.

Es un sistema operativo de cortafuegos desarrollado activamente, distribuido como Live CD archivado en gz e imágenes ISO solo para instalación, instaladores de memoria USB, así como también medios NanoBSD / embedded. Ambas plataformas de hardware de 64 bits (amd64) y 32 bits (i386) son compatibles en este momento.

Varias opciones de inicio predefinidas están disponibles durante el proceso de arranque, como para iniciar el sistema operativo con la configuración predeterminada, con ACPI desactivada, usando dispositivos USB, en modo seguro, en modo de usuario único, con registro detallado, así como para acceder a un indicador de shell o reiniciar la máquina.

Si bien la distribución les preguntará a los usuarios si desean configurar VLAN (LAN virtuales) desde el principio, requerirá al menos una interfaz de red asignada para funcionar. Esto significa que si no tienes / configuras al menos una interfaz, pfSense & reg; ganó & rsquo; t incluso comenzar.

Ser utilizado como un firewall para pequeñas redes domésticas, universidades, grandes corporaciones o cualquier otra organización donde la necesidad de proteger miles de dispositivos de red sea extremadamente importante, pfSense & reg; ha sido descargado por más de un millón de usuarios de todo el mundo, desde su creación.

Es uno de los mejores proyectos de firewall de código abierto diseñado para brindar a los usuarios todas las características que ofrecen los productos de cortafuegos comerciales. Hoy, pfSense & reg; se usa en numerosas soluciones de firewall de hardware, incluyendo Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall o Watchguard.

pfSense & reg; es una marca registrada y una marca de servicio propiedad de Electric Sheep Fencing LLC. Consulte www.electricsheepfencing.com.

Qué hay de nuevo en esta versión:

• Seguridad / Errata
• Actualizado a OpenSSL 1.0.2m para abordar CVE-2017-3736 y CVE-2017-3735
• FreeBSD-SA-17: 10.kldstat
• FreeBSD-SA-17: 08.ptrace
• Se corrigió un posible vector XSS en status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
• Se corrigió un posible vector XSS en diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
• Se corrigió un posible vector XSS en index.php a través de los parámetros de la secuencia de widgets # 8000 pfSense-SA-17_09.webgui.asc
• Se corrigió un XSS potencial en el parámetro widgetkey de los widgets del panel de varias instancias # 7998 pfSense-SA-17_09.webgui.asc
• Se corrigió un posible problema de clickjacking en la página de error de CSRF
• Interfaces
• Se corrigieron las interfaces PPP con un padre VLAN cuando se usan los nuevos nombres de VLAN # 7981
• Se corrigieron los problemas con las interfaces QinQ que no se muestran como activas # 7942
• Se corrigió un problema de pánico / bloqueo al deshabilitar una interfaz LAGG # 7940
• Se corrigieron los problemas con las interfaces LAGG que perdían su dirección MAC # 7928
• Se corrigió un bloqueo en radvd en SG-3100 (ARM) # 8022
• Se corrigió un problema con el paquete UDP cae en SG-1000 # 7426
• Se agregó una interfaz para administrar el conmutador integrado en el SG-3100
• Recortó más caracteres de la descripción de la interfaz para evitar el ajuste de la línea de salida del menú de la consola en una consola VGA
• Se corrigió el manejo del parámetro VIP uniqueid al cambiar los tipos VIP
• Visualización del campo de parámetro de enlace PPP fijo cuando se seleccionó una interfaz padre VLAN # 8098
• Sistema operativo
• Problemas resueltos resultantes de tener un diseño de sistema de archivos configurado manualmente con un segmento / usr separado # 8065
• Se corrigieron los problemas al actualizar los sistemas ZFS. Se creó ZFS utilizando un esquema de partición MBR (vacío / inicio debido a que el grupo de arranque no se importó) # 8063
• Problemas resueltos con sesiones BGP utilizando firmas TCP MD5 en paquetes de enrutamiento daemon # 7969
• dpinger actualizado a 3.0
• Se mejoraron las opciones y métodos de selección de repositorio de actualizaciones
• Se actualizaron los elementos ajustables del sistema que le informan al sistema operativo que no recolectan datos de interrupciones, interfaces punto a punto y dispositivos Ethernet para reflejar el nuevo nombre / formato para FreeBSD 11
• Se modificó el procesamiento del conjunto de reglas para que se vuelva a intentar si otro proceso está en el medio de una actualización, en lugar de presentar un error al usuario
• Se corrigieron algunos problemas de arranque de UEFI en varias plataformas
• Certificados
• Se corrigieron las entradas no válidas en /etc/ssl/openssl.cnf (solo afectaba el uso no estándar de openssl en el cli / shell) # 8059
• Se corrigió la autenticación LDAP cuando el servidor usa una CA raíz de confianza mundial (nueva selección de CA para & quot; Lista de CA raíz mundial & nbsp;) # 8044
• Se corrigieron los problemas al crear un certificado con un comodín CN / SAN # 7994
• Se agregó validación al Administrador de certificados para evitar la importación de un certificado de autoridad no certificado en la pestaña CA # 7885
• IPsec
• Se solucionó un problema al usar certificados de CA de IPsec cuando el sujeto contiene varios RDN del mismo tipo # 7929
• Se corrigió un problema al habilitar la compatibilidad con el cliente móvil de IPsec en los idiomas traducidos # 8043
• Problemas resueltos con la visualización / salida del estado de IPsec, incluidas varias entradas (una desconectada, otra conectada) # 8003
• Visualización fija de múltiples clientes IPsec móviles conectados # 7856
• Visualización fija de las entradas SA secundarias # 7856
• OpenVPN
• Se agregó una opción para que los servidores OpenVPN utilicen & quot; redirect-gateway ipv6 & quot; para actuar como la puerta de enlace predeterminada para conectar clientes VPN con IPv6, similar a & quot; redirect-gateway def1 & quot; para IPv4. # 8082
• Se corrigió la opción de la lista de revocación de certificados de cliente de OpenVPN # 8088
• Traffic Shaping
• Se corrigió un error al configurar un limitador de más de 2 Gb / s (el nuevo máximo es de 4 Gb / s) # 7979
• Problemas solucionados con las interfaces de red puente que no admiten ALTQ # 7936
• Problemas resueltos con las interfaces de red vtnet que no admiten ALTQ # 7594
• Se corrigió un problema con el estado & gt; Colas que no muestran estadísticas para las interfaces de VLAN # 8007
• Se corrigió un problema con las colas de configuración de tráfico que no permitía que el total de todas las colas secundarias fuera 100% # 7786
• Se ha solucionado un problema con los limitadores a los que se daban valores fraccionarios / no enteros inválidos a partir de las entradas del limitador o se pasaban a Portal cautivo desde RADIUS # 8097
• Reglas / NAT
• Selección fija de puertas de enlace IPv6 al crear una nueva regla de firewall # 8053
• Se corrigieron los errores en la página de configuración de Reenvío de puertos a partir de las cookies obsoletas / no pfSense / datos de consulta # 8039
• Configuración fija Prioridad de VLAN mediante reglas de firewall # 7973
• XMLRPC
• Se solucionó un problema con la sincronización XMLRPC cuando el usuario de sincronización tiene una contraseña que contiene espacios # 8032
• Se corrigieron problemas de XMLRPC con cupones de Portal cautivo # 8079
• WebGUI
• Se agregó una opción para deshabilitar HSTS para el servidor web GUI # 6650
• Cambió el servicio web GUI para bloquear la descarga directa de archivos .inc # 8005
• Clasificación de servicios fija en el widget del panel de control y en la página de estado de los servicios # 8069
• Se ha solucionado un problema de entrada en el que las entradas de IPv6 estáticas permitían entradas no válidas para los campos de dirección # 8024
• Se corrigió un error de sintaxis de JavaScript en los gráficos de tráfico cuando se encontraron datos no válidos (por ejemplo, el usuario se desconectó o se borró la sesión) # 7990
• Errores de muestreo corregidos en Traffic Graphs # 7966
• Se corrigió un error de JavaScript en Estado & gt; Monitoreo # 7961
• Se corrigió un problema de visualización con tablas vacías en Internet Explorer 11 # 7978
• Cambió el proceso de configuración para usar una excepción en lugar de die () cuando detecta una configuración dañada
• Filtrado agregado a la página pfTop
• Se agregó un medio para que los paquetes muestren un modal al usuario (por ejemplo, se requiere reiniciar antes de que se pueda usar el paquete)
• Tablero
• Se corrigió la visualización de las actualizaciones disponibles en el widget del Panel de paquetes instalados # 8035
• Se ha solucionado un problema de fuente en el widget del Panel de ayuda # 7980
• Se corrigió el formateo de las divisiones / particiones del disco en el widget del Panel de información del sistema
• Se corrigió un problema con el widget Imágenes cuando no hay una foto válida guardada # 7896
• Paquetes
• Visualización fija de paquetes que se han eliminado del repositorio en el Administrador de paquetes # 7946
• Se ha solucionado un problema que mostraba los paquetes instalados localmente cuando el repositorio de paquetes remoto no está disponible # 7917
• Misc
• Enlace de interfaz fijo en ntpd para que no escuche erróneamente todas las interfaces # 8046
• Se corrigió un problema por el que reiniciar el servicio syslogd haría que los huérfanos del proceso sshlockout_pf # 7984
• Se agregó soporte para el proveedor de DNS dinámico ClouDNS # 7823
• Se corrigió un problema en las páginas del Administrador de grupos y usuarios al operar en las entradas inmediatamente después de eliminar una entrada # 7733
• Cambió el asistente de configuración para que omita la configuración de la interfaz cuando se ejecuta en una instancia de AWS EC2 n.º 6459
• Se corrigió un problema de Proxy IGMP con el modo All-multicast en SG-1000 # 7710

Qué hay de nuevo en la versión:

• Actualizaciones del tablero de instrumentos:
• En el Panel de control 2.3.4-RELEASE encontrará algunos datos adicionales: el proveedor del BIOS, la versión y la fecha de lanzamiento, si el firewall puede determinarlos, y un ID único de Netgate. La identificación única de Netgate es similar a un número de serie, se usa para identificar de manera única una instancia de software pfSense para clientes que desean comprar servicios de soporte. Para hardware vendido en nuestra tienda, también nos permite vincular unidades a nuestros registros de fabricación. Esta ID es coherente en todas las plataformas (bare metal, máquinas virtuales y instancias alojadas / en la nube, como AWS / Azure). Inicialmente teníamos la intención de utilizar el número de serie del hardware o el UUID generado por el sistema operativo, pero descubrimos que no eran confiables, eran inconsistentes y podían cambiar inesperadamente cuando se reinstalaba el sistema operativo.
• Al igual que con el número de serie, este identificador solo se muestra en el Tablero con fines informativos y no se transmite a ningún lugar de forma automática de forma predeterminada. En el futuro, los clientes pueden usar este identificador cuando soliciten información de soporte de nuestro personal o sistemas.
• Si aún no se ha enterado de los cambios en 2.3.x, consulte el video Características y destacados. Las publicaciones anteriores en el blog han cubierto algunos de los cambios, como las mejoras de rendimiento de tryforward y la actualización del webGUI.
• Certificados de GUI de Firewall:
• Los usuarios de Chrome 58 y posterior, y en algunos casos Firefox 48 y posterior, pueden tener problemas para acceder a la GUI web de pfSense si usa un certificado autofirmado predeterminado generado automáticamente por un cortafuegos que ejecuta pfSense versión 2.3.3-p1 o más temprano. Esto se debe a que Chrome 58 aplica estrictamente RFC 2818, que exige solo nombres de host coincidentes con entradas de nombre alternativo del sujeto (SAN) en lugar del campo Nombre común de un certificado, y el certificado autofirmado predeterminado no completó el campo SAN.
• Hemos corregido el código del certificado para seguir correctamente el RFC 2818 de forma fácil de usar agregando automáticamente el valor del Nombre común del certificado como la primera entrada de la SAN.
• Los administradores de firewall necesitarán generar un nuevo certificado para que lo use la GUI para utilizar el nuevo formato. Hay varias formas de generar un certificado compatible, que incluye:
• Genere y active automáticamente un nuevo certificado GUI desde la consola o el shell ssh utilizando uno de nuestros scripts de reproducción:
• pfSsh.php playback generateguicert
• Utilice el paquete ACME para generar un certificado de confianza para la GUI a través de Let's Encrypt, que ya está formateado correctamente.
• Cree manualmente una nueva Autoridad de certificación (CA) autofirmada y un Certificado de servidor firmado por esa CA, luego utilícelo para la GUI.
• Activa el navegador local & quot; EnableCommonNameFallbackForLocalAnchors & quot; opción en Chrome 58. Eventualmente Chrome eliminará esta configuración, por lo que esta es solo una solución temporal.
• Algunos usuarios pueden recordar que esta no es la primera vez que el formato de certificado predeterminado ha sido problemático debido a cambios en el navegador. Hace varios años, Firefox cambió la forma en que calculan las cadenas de confianza de los certificados, lo que podría hacer que un navegador pare o congele al intentar acceder a múltiples firewalls con certificados autofirmados que contienen datos predeterminados comunes que resultaron en todos esos certificados que contienen el mismo Subject. Reparar eso fue más un desafío, pero resultó en una mejor experiencia para el usuario final.

Qué hay de nuevo en la versión 2.3.4:

• Actualizaciones del tablero de instrumentos:
• En el Panel de control 2.3.4-RELEASE encontrará algunos datos adicionales: el proveedor del BIOS, la versión y la fecha de lanzamiento, si el firewall puede determinarlos, y un ID único de Netgate. La identificación única de Netgate es similar a un número de serie, se usa para identificar de manera única una instancia de software pfSense para clientes que desean comprar servicios de soporte. Para hardware vendido en nuestra tienda, también nos permite vincular unidades a nuestros registros de fabricación. Esta ID es coherente en todas las plataformas (bare metal, máquinas virtuales y instancias alojadas / en la nube, como AWS / Azure). Inicialmente teníamos la intención de utilizar el número de serie del hardware o el UUID generado por el sistema operativo, pero descubrimos que no eran confiables, eran inconsistentes y podían cambiar inesperadamente cuando se reinstalaba el sistema operativo.
• Al igual que con el número de serie, este identificador solo se muestra en el Tablero con fines informativos y no se transmite a ningún lugar de forma automática de forma predeterminada. En el futuro, los clientes pueden usar este identificador cuando soliciten información de soporte de nuestro personal o sistemas.
• Si aún no se ha enterado de los cambios en 2.3.x, consulte el video Características y destacados. Las publicaciones anteriores en el blog han cubierto algunos de los cambios, como las mejoras de rendimiento de tryforward y la actualización del webGUI.
• Certificados de GUI de Firewall:
• Los usuarios de Chrome 58 y posterior, y en algunos casos Firefox 48 y posterior, pueden tener problemas para acceder a la GUI web de pfSense si usa un certificado autofirmado predeterminado generado automáticamente por un cortafuegos que ejecuta pfSense versión 2.3.3-p1 o más temprano. Esto se debe a que Chrome 58 aplica estrictamente RFC 2818, que exige solo nombres de host coincidentes con entradas de nombre alternativo del sujeto (SAN) en lugar del campo Nombre común de un certificado, y el certificado autofirmado predeterminado no completó el campo SAN.
• Hemos corregido el código del certificado para seguir correctamente el RFC 2818 de forma fácil de usar agregando automáticamente el valor del Nombre común del certificado como la primera entrada de la SAN.
• Los administradores de firewall necesitarán generar un nuevo certificado para que lo use la GUI para utilizar el nuevo formato. Hay varias formas de generar un certificado compatible, que incluye:
• Genere y active automáticamente un nuevo certificado GUI desde la consola o el shell ssh utilizando uno de nuestros scripts de reproducción:
• pfSsh.php playback generateguicert
• Utilice el paquete ACME para generar un certificado de confianza para la GUI a través de Let's Encrypt, que ya está formateado correctamente.
• Cree manualmente una nueva Autoridad de certificación (CA) autofirmada y un Certificado de servidor firmado por esa CA, luego utilícelo para la GUI.
• Activa el navegador local & quot; EnableCommonNameFallbackForLocalAnchors & quot; opción en Chrome 58. Eventualmente Chrome eliminará esta configuración, por lo que esta es solo una solución temporal.
• Algunos usuarios pueden recordar que esta no es la primera vez que el formato de certificado predeterminado ha sido problemático debido a cambios en el navegador. Hace varios años, Firefox cambió la forma en que calculan las cadenas de confianza de los certificados, lo que podría hacer que un navegador pare o congele al intentar acceder a múltiples firewalls con certificados autofirmados que contienen datos predeterminados comunes que resultaron en todos esos certificados que contienen el mismo Subject. Reparar eso fue más un desafío, pero resultó en una mejor experiencia para el usuario final.

Qué hay de nuevo en la versión 2.3.3-p1:

• FreeBSD-SA-16: 26.openssl - Varias vulnerabilidades en OpenSSL. El único impacto significativo en pfSense es OCSP para HAproxy y FreeRADIUS.
• Varias erratas relacionadas con HyperV en FreeBSD 10.3, FreeBSD-EN-16: de 10 a 16:16. Consulte https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para obtener más detalles.
• Se han actualizado varios paquetes y bibliotecas integradas, que incluyen:
• PHP a 5.6.26
• libidn a 1.33
• curl a 7.50.3
• libxml2 a 2.9.4
• Se agregó una codificación al parámetro 'zona' en las páginas de Portal cautivo.
• Se agregó una codificación de salida a diag_dns.php para los resultados devueltos por DNS. # 6737
• Trabajó alrededor de un error de Chrome con el análisis de expresiones regulares de caracteres escapados dentro de conjuntos de caracteres. Las correcciones & quot; coinciden con el formato solicitado & quot; en las versiones recientes de Chrome. # 6762
• Se corrigió la opción de formato de hora del servidor DHCPv6 # 6640
• Se ha corregido / usr / bin / install en las instalaciones nuevas. # 6643
• Mayor límite de filtrado de cola para el registro, por lo que la búsqueda ubicará suficientes entradas. # 6652
• Se limpió el widget de Paquetes instalados y HTML. # 6601
• Se corrigió la corrupción de configuraciones de widgets al crear nuevas configuraciones. # 6669
• Se corrigieron varios errores tipográficos y de redacción.
• Se eliminaron los enlaces difuntos al sitio devwiki. Todo está ahora en https://doc.pfsense.org.
• Se agregó un campo a las páginas de CA / Cert para OU, que es requerido por algunas CA y usuarios externos. # 6672
• Se corrigió un HTTP & quot; User-Agent redundante & quot; cadena en las actualizaciones de DynDNS.
• Se corrigió la fuente de las tablas ordenables.
• Se agregó una marca de verificación para verificar si una interfaz está activa en un grupo de puerta de enlace antes de actualizar el DNS dinámico.
• Se arregló la redacción de los & quot; Rechazar los arrendamientos de & quot; opción para una interfaz DHCP (solo puede tomar direcciones, no subredes). # 6646
• Informes de errores corregidos para la prueba de configuración SMTP.
• Se corrigió el ahorro de países, proveedores y planes para las interfaces PPP
• Comprobación de no válida & quot; Ir a línea & quot; números en diag_edit.php. # 6704
• Se corrigió el error uno a uno con & quot; Filas para mostrar & quot; en diag_routes.php. # 6705
• Se corrigió la descripción del cuadro de filtro en diag_routes.php para reflejar que todos los campos se pueden buscar. # 6706
• Se corrigió la descripción del cuadro para editar en diag_edit.php. # 6703
• Descripción fija del panel principal en diag_resetstate.php. # 6709
• Se corrigió el cuadro de diálogo de advertencia cuando un recuadro no está marcado en diag_resetstate.php. # 6710
• Atajo de registro fijo para áreas DHCP6. # 6700
• Se corrigió el botón de eliminación de red que se muestra cuando solo había una fila presente en services_unbound_acls.php # 6716
• Se arregló la eliminación del texto de ayuda en las filas repetibles cuando se eliminó la última fila. # 6716
• Dominio DNS dinámico fijo para entradas DHCP de mapas estáticos
• Control agregado para configurar el período de actualización del widget del tablero
• Agregado & quot; -C / dev / null & quot; a los parámetros de la línea de comando dnsmasq para evitar que tome una configuración predeterminada incorrecta que anularía nuestras opciones. # 6730
• Agregado & quot; -l & quot; Traceroute6 para mostrar las direcciones IP y los nombres de host al resolver saltos en diag_traceroute.php. # 6715
• Se agregó una nota sobre el límite máximo de ttl / hop en el comentario fuente en diag_traceroute.php.
• Idioma aclarado en diag_tables.php. # 6713
• Limpió el texto en diag_sockets.php. # 6708
• Visualización fija de los nombres de la interfaz VLAN durante la asignación de la consola. # 6724
• Se corrigió la opción de servidores de nombres de dominio que se mostraba dos veces en las agrupaciones cuando se configuraba manualmente.
• Se corrigió el manejo de las opciones de DHCP en grupos distintos al rango principal. # 6720
• Se corrigieron los nombres de host faltantes en algunos casos con dhcpdv6. # 6589
• Manejo de archivos pid mejorado para dhcpleases.
• Se agregaron cheques para evitar el acceso a un desplazamiento indefinido en IPv6.inc.
• Se corrigió la visualización del alias emergente y las opciones de edición en el origen y el destino para la dirección y el puerto en el NAT de salida.
• Manejo del conteo de configuraciones de respaldo. # 6771
• Eliminó algunas referencias PPTP colgantes que ya no son relevantes.
• Áreas de syslog remotas arregladas / atrapadas. Rutas & quot; rutas agregadas & quot; & quot; ntpd & quot; & quot; ppp & quot ;, & quot; resolver & quot ;, & quot; vpn & quot; fija & quot; para incluir todas las áreas de VPN (IPsec, OpenVPN, L2TP, servidor PPPoE). # 6780
• Se corrigieron las casillas de verificación faltantes en algunos casos al agregar filas en services_ntpd.php. # 6788
• Servicio revisado en ejecución / iconos detenidos.
• Agregó un cheque a la administración de CRL para eliminar certificados de la lista desplegable que ya están contenidos en la CRL que se está editando.
• Se movieron los separadores de reglas cuando se eliminan varias reglas de firewall al mismo tiempo. # 6801

Qué hay de nuevo en la versión 2.3.3:

• FreeBSD-SA-16: 26.openssl - Varias vulnerabilidades en OpenSSL. El único impacto significativo en pfSense es OCSP para HAproxy y FreeRADIUS.
• Varias erratas relacionadas con HyperV en FreeBSD 10.3, FreeBSD-EN-16: de 10 a 16:16. Consulte https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para obtener más detalles.
• Se han actualizado varios paquetes y bibliotecas integradas, que incluyen:
• PHP a 5.6.26
• libidn a 1.33
• curl a 7.50.3
• libxml2 a 2.9.4
• Se agregó una codificación al parámetro 'zona' en las páginas de Portal cautivo.
• Se agregó una codificación de salida a diag_dns.php para los resultados devueltos por DNS. # 6737
• Trabajó alrededor de un error de Chrome con el análisis de expresiones regulares de caracteres escapados dentro de conjuntos de caracteres. Correcciones "Por favor, haga coincidir el formato solicitado" en las versiones recientes de Chrome. # 6762
• Se corrigió la opción de formato de hora del servidor DHCPv6 # 6640
• Se ha corregido / usr / bin / install en las instalaciones nuevas. # 6643
• Mayor límite de filtrado de cola para el registro, por lo que la búsqueda ubicará suficientes entradas. # 6652
• Se limpió el widget de Paquetes instalados y HTML. # 6601
• Se corrigió la corrupción de configuraciones de widgets al crear nuevas configuraciones. # 6669
• Se corrigieron varios errores tipográficos y de redacción.
• Se eliminaron los enlaces difuntos al sitio devwiki. Todo está ahora en https://doc.pfsense.org.
• Se agregó un campo a las páginas de CA / Cert para OU, que es requerido por algunas CA y usuarios externos. # 6672
• Se corrigió una cadena redundante de "Agente de usuario" de HTTP en las actualizaciones de DynDNS.
• Se corrigió la fuente de las tablas ordenables.
• Se agregó una marca de verificación para verificar si una interfaz está activa en un grupo de puerta de enlace antes de actualizar el DNS dinámico.
• Se corrigió la redacción de la opción "Rechazar concesiones de" para una interfaz DHCP (solo puede tomar direcciones, no subredes). # 6646
• Informes de errores corregidos para la prueba de configuración SMTP.
• Se corrigió el ahorro de países, proveedores y planes para las interfaces PPP
• Se corrigió la comprobación de números inválidos de "Ir a línea" en diag_edit.php. # 6704
• Se corrigió el error de uno por uno con "Filas para mostrar" en diag_routes.php. # 6705
• Se corrigió la descripción del cuadro de filtro en diag_routes.php para reflejar que todos los campos se pueden buscar. # 6706
• Se corrigió la descripción del cuadro para editar en diag_edit.php. # 6703
• Descripción fija del panel principal en diag_resetstate.php. # 6709
• Se corrigió el cuadro de diálogo de advertencia cuando un recuadro no está marcado en diag_resetstate.php. # 6710
• Atajo de registro fijo para áreas DHCP6. # 6700
• Se corrigió el botón de eliminación de red que se muestra cuando solo había una fila presente en services_unbound_acls.php # 6716
• Se arregló la eliminación del texto de ayuda en las filas repetibles cuando se eliminó la última fila. # 6716
• Dominio DNS dinámico fijo para entradas DHCP de mapas estáticos
• Control agregado para configurar el período de actualización del widget del tablero
• Agregó "-C / dev / null" a los parámetros de la línea de comandos de dnsmasq para evitar que recoja una configuración predeterminada incorrecta que anularía nuestras opciones. # 6730
• Agregó "-l" a traceroute6 para mostrar direcciones IP y nombres de host al resolver saltos en diag_traceroute.php. # 6715
• Se agregó una nota sobre el límite máximo de ttl / hop en el comentario fuente en diag_traceroute.php.
• Idioma aclarado en diag_tables.php. # 6713
• Limpió el texto en diag_sockets.php. # 6708
• Visualización fija de los nombres de la interfaz VLAN durante la asignación de la consola. # 6724
• Se corrigió la opción de servidores de nombres de dominio que se mostraba dos veces en las agrupaciones cuando se configuraba manualmente.
• Se corrigió el manejo de las opciones de DHCP en grupos distintos al rango principal. # 6720
• Se corrigieron los nombres de host faltantes en algunos casos con dhcpdv6. # 6589
• Manejo de archivos pid mejorado para dhcpleases.
• Se agregaron cheques para evitar el acceso a un desplazamiento indefinido en IPv6.inc.
• Se corrigió la visualización del alias emergente y las opciones de edición en el origen y el destino para la dirección y el puerto en el NAT de salida.
• Manejo del conteo de configuraciones de respaldo. # 6771
• Eliminó algunas referencias PPTP colgantes que ya no son relevantes.
• Áreas de syslog remotas arregladas / atrapadas. Se agregó "enrutamiento", "ntpd", "ppp", "resolver", "vpn" fijo para incluir todas las áreas de VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Se corrigieron las casillas de verificación faltantes en algunos casos al agregar filas en services_ntpd.php. # 6788
• Servicio revisado en ejecución / iconos detenidos.
• Agregó un cheque a la administración de CRL para eliminar certificados de la lista desplegable que ya están contenidos en la CRL que se está editando.
• Se movieron los separadores de reglas cuando se eliminan varias reglas de firewall al mismo tiempo. # 6801

Qué hay de nuevo en la versión 2.3.2-p1:

• FreeBSD-SA-16: 26.openssl - Varias vulnerabilidades en OpenSSL. El único impacto significativo en pfSense es OCSP para HAproxy y FreeRADIUS.
• Varias erratas relacionadas con HyperV en FreeBSD 10.3, FreeBSD-EN-16: de 10 a 16:16. Consulte https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html para obtener más detalles.
• Se han actualizado varios paquetes y bibliotecas integradas, que incluyen:
• PHP a 5.6.26
• libidn a 1.33
• curl a 7.50.3
• libxml2 a 2.9.4
• Se agregó una codificación al parámetro 'zona' en las páginas de Portal cautivo.
• Se agregó una codificación de salida a diag_dns.php para los resultados devueltos por DNS. # 6737
• Trabajó alrededor de un error de Chrome con el análisis de expresiones regulares de caracteres escapados dentro de conjuntos de caracteres. Correcciones "Por favor, haga coincidir el formato solicitado" en las versiones recientes de Chrome. # 6762
• Se corrigió la opción de formato de hora del servidor DHCPv6 # 6640
• Se ha corregido / usr / bin / install en las instalaciones nuevas. # 6643
• Mayor límite de filtrado de cola para el registro, por lo que la búsqueda ubicará suficientes entradas. # 6652
• Se limpió el widget de Paquetes instalados y HTML. # 6601
• Se corrigió la corrupción de configuraciones de widgets al crear nuevas configuraciones. # 6669
• Se corrigieron varios errores tipográficos y de redacción.
• Se eliminaron los enlaces difuntos al sitio devwiki. Todo está ahora en https://doc.pfsense.org.
• Se agregó un campo a las páginas de CA / Cert para OU, que es requerido por algunas CA y usuarios externos. # 6672
• Se corrigió una cadena redundante de "Agente de usuario" de HTTP en las actualizaciones de DynDNS.
• Se corrigió la fuente de las tablas ordenables.
• Se agregó una marca de verificación para verificar si una interfaz está activa en un grupo de puerta de enlace antes de actualizar el DNS dinámico.
• Se corrigió la redacción de la opción "Rechazar concesiones de" para una interfaz DHCP (solo puede tomar direcciones, no subredes). # 6646
• Informes de errores corregidos para la prueba de configuración SMTP.
• Se corrigió el ahorro de países, proveedores y planes para las interfaces PPP
• Se corrigió la comprobación de números inválidos de "Ir a línea" en diag_edit.php. # 6704
• Se corrigió el error de uno por uno con "Filas para mostrar" en diag_routes.php. # 6705
• Se corrigió la descripción del cuadro de filtro en diag_routes.php para reflejar que todos los campos se pueden buscar. # 6706
• Se corrigió la descripción del cuadro para editar en diag_edit.php. # 6703
• Descripción fija del panel principal en diag_resetstate.php. # 6709
• Se corrigió el cuadro de diálogo de advertencia cuando un recuadro no está marcado en diag_resetstate.php. # 6710
• Atajo de registro fijo para áreas DHCP6. # 6700
• Se corrigió el botón de eliminación de red que se muestra cuando solo había una fila presente en services_unbound_acls.php # 6716
• Se arregló la eliminación del texto de ayuda en las filas repetibles cuando se eliminó la última fila. # 6716
• Dominio DNS dinámico fijo para entradas DHCP de mapas estáticos
• Control agregado para configurar el período de actualización del widget del tablero
• Agregó "-C / dev / null" a los parámetros de la línea de comandos de dnsmasq para evitar que recoja una configuración predeterminada incorrecta que anularía nuestras opciones. # 6730
• Agregó "-l" a traceroute6 para mostrar direcciones IP y nombres de host al resolver saltos en diag_traceroute.php. # 6715
• Se agregó una nota sobre el límite máximo de ttl / hop en el comentario fuente en diag_traceroute.php.
• Idioma aclarado en diag_tables.php. # 6713
• Limpió el texto en diag_sockets.php. # 6708
• Visualización fija de los nombres de la interfaz VLAN durante la asignación de la consola. # 6724
• Se corrigió la opción de servidores de nombres de dominio que se mostraba dos veces en las agrupaciones cuando se configuraba manualmente.
• Se corrigió el manejo de las opciones de DHCP en grupos distintos al rango principal. # 6720
• Se corrigieron los nombres de host faltantes en algunos casos con dhcpdv6. # 6589
• Manejo de archivos pid mejorado para dhcpleases.
• Se agregaron cheques para evitar el acceso a un desplazamiento indefinido en IPv6.inc.
• Se corrigió la visualización del alias emergente y las opciones de edición en el origen y el destino para la dirección y el puerto en el NAT de salida.
• Manejo del conteo de configuraciones de respaldo. # 6771
• Eliminó algunas referencias PPTP colgantes que ya no son relevantes.
• Áreas de syslog remotas arregladas / atrapadas. Se agregó "enrutamiento", "ntpd", "ppp", "resolver", "vpn" fijo para incluir todas las áreas de VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Se corrigieron las casillas de verificación faltantes en algunos casos al agregar filas en services_ntpd.php. # 6788
• Servicio revisado en ejecución / iconos detenidos.
• Agregó un cheque a la administración de CRL para eliminar certificados de la lista desplegable que ya están contenidos en la CRL que se está editando.
• Se movieron los separadores de reglas cuando se eliminan varias reglas de firewall al mismo tiempo. # 6801

Qué hay de nuevo en la versión 2.3.2:

• Copia de seguridad / restauración:
• No permita que se apliquen cambios en la interfaz no coincida la restauración posterior a la configuración hasta que se guarde la reasignación. # 6613
• Tablero:
• El panel ahora tiene opciones de configuración por usuario, documentadas en el Administrador de usuarios. # 6388
• Servidor DHCP:
• Disabled dhcp-cache-threshold para evitar errores en ISC dhcpd 4.3.x al omitir client-hostname del archivo de concesiones, lo que hace que el registro del nombre de host dinámico falle en algunos casos extremos. # 6589
• Tenga en cuenta que la clave DDNS debe ser HMAC-MD5. # 6622
• Relé DHCP:
• Solución importada para las solicitudes de retransmisión dhcrelay en la interfaz donde reside el servidor DHCP de destino. # 6355
• DNS dinámico:
• Permitir * para el nombre de host con Namecheap. # 6260
• Interfaces:
• Corregir "no se puede asignar la dirección solicitada" durante el arranque con las interfaces Track6. # 6317
• Elimina las opciones de enlaces obsoletos de GRE y gif. # 6586, # 6587
• Obedece "Rechazar concesiones de" cuando está marcada la opción "Opciones avanzadas" de DHCP. # 6595
• Proteja los delimitadores incluidos en la configuración avanzada del cliente DHCP, para que las comas se puedan usar allí. # 6548
• Repara la ruta predeterminada en las interfaces PPPoE que faltan en algunos casos extremos. # 6495
• IPsec:
• strongSwan actualizado a 5.5.0.
• Incluye agresivo en ipsec.conf donde está seleccionado el modo IKE automático. # 6513
• Monitoreo de puerta de enlace:
• Corregido el "nombre de socket demasiado grande", lo que hace que la supervisión de la puerta de enlace falle en nombres de interfaz largos y direcciones IPv6. # 6505
• Limitadores:
• Establezca pipe_slot_limit automáticamente en el máximo valor de qlimit configurado. # 6553
• Monitoreo:
• No se han corregido los periodos de datos que se informaron como 0, promedios sesgados. # 6334
• Reparar información sobre herramientas que se muestra como "ninguno" para algunos valores. # 6044
• Se corrigió el guardado de algunas opciones de configuración predeterminadas. # 6402
• Corrige las marcas del eje X que no responden a la resolución de los períodos de tiempo personalizados. # 6464
• OpenVPN:
• Vuelva a sincronizar las configuraciones específicas del cliente después de guardar las instancias del servidor OpenVPN para asegurarse de que su configuración refleje la configuración actual del servidor. # 6139
• Sistema operativo:
• Los estados de fragmentos de pf corregidos no se purgaron, lo que desencadenó el "límite de entradas de fragmentación de PF alcanzado". # 6499
• Establezca la ubicación del archivo central para que no puedan terminar en / var / run y agoten su espacio disponible. # 6510
• Corregido el "tiempo de ejecución regresó" al correo no deseado en Hyper-V. # 6446
• Se corrigió el seguimiento de traceroute6 con un salto en el camino que no respondía. # 3069
• Se agregó el enlace simbólico /var/run/dmesg.boot para vm-bhyve. # 6573
• Establezca net.isr.dispatch = direct en sistemas de 32 bits con IPsec habilitado para evitar bloqueos al acceder a servicios en el host a través de VPN. # 4754
• Anuncios de enrutador:
• Se agregaron campos de configuración para los intervalos mínimo y máximo de anuncio del enrutador y la duración del enrutador. # 6533
• Enrutamiento:
• Corrigió las rutas estáticas con el enrutador de destino local del enlace IPv6 para incluir el alcance de la interfaz. # 6506
• Reglas / NAT:
• Se corrigió el marcador de posición "Clientes PPPoE" en reglas y NAT, y el error de conjunto de reglas al usar reglas flotantes que especifican el servidor PPPoE. # 6597
• Se corrigió el error al cargar el conjunto de reglas con los alias de la tabla URL donde se especificó el archivo vacío. # 6181
• Se corrigió el proxy TFTP con xinetd. # 6315
• Actualizar:
• Se corrigieron los fallos de actualización de nanobsd donde DNS Forwarder / Resolver no estaba vinculado a localhost. # 6557
• IP virtuales:
• Se corrigieron los problemas de rendimiento con un gran número de IP virtuales. # 6515
• Se corrigió el agotamiento de la memoria de PHP en la página de estado de CARP con tablas de estado grandes. # 6364
• Interfaz web:
• Agregó clasificación a la tabla de asignaciones estáticas de DHCP. # 6504
• Carga de archivo fija de segundos de salto de NTP. # 6590
• Se agregó compatibilidad con IPv6 a diag_dns.php. # 6561
• Se agregó compatibilidad con IPv6 para filtrar la búsqueda inversa de los registros. # 6585
• Sistema de paquete: retenga los datos de campo en el error de entrada. # 6577
• Se corrigieron varios problemas de validación de entrada de IPv6 que permitían IPs de IPv6 no válidas. # 6551, # 6552
• Se corrigieron algunas concesiones de DHCPv6 que faltan en la pantalla de concesiones de la GUI. # 6543
• Arreglo de estado para la dirección "en" y estados con destino traducido. # 6530, # 6531
• Restaure la validación de entrada de los nombres de zona del portal cautivo para evitar el XML no válido. # 6514
• Se reemplazó el selector de fecha del calendario en el administrador de usuarios con uno que funciona en navegadores distintos de Chrome y Opera. # 6516
• Campo del puerto proxy restaurado al cliente OpenVPN. # 6372
• Aclare la descripción de los alias de puertos. # 6523
• Salida de traducción fija donde gettext pasó una cadena vacía. # 6394
• Selección de velocidad fija para 9600 en la configuración del GPS NTP. # 6416
• Solo permite IPs IPv6 en la pantalla NPT. # 6498
• Agregue soporte de importación de alias para redes y puertos. # 6582
• Cabecera de la tabla ordenable arregla las rarezas. # 6074
• Limpia la sección de inicio de red de la pantalla del servidor DHCP. # 6050
• Repare los enlaces "DESCONOCIDOS" en el administrador de paquetes. # 6617
• Se corrigió el campo de ancho de banda faltante para las colas CBQ del modelador de tráfico. # 6437
• UPnP:
• URL de presentación UPnP y número de modelo ahora configurables. # 6002
• Administrador de usuarios:
• Prohibir a los administradores que eliminen sus propias cuentas en el administrador de usuarios. # 6450
• Otro:
• Se agregaron sesiones de shell de PHP para habilitar y deshabilitar el modo de mantenimiento de CARP persistente. "playback enablecarpmaint" y "playback disablecarpmaint". # 6560
• Configuración de consola serial expuesta para nanobsd VGA. # 6291

Qué hay de nuevo en la versión 2.3.1 Actualización 5:

• Los cambios más importantes en esta versión son una reescritura del webGUI que utiliza Bootstrap, y el sistema subyacente, que incluye el sistema base y kernel, se convierte completamente a FreeBSD pkg. La conversión de pkg nos permite actualizar piezas del sistema de forma individual en el futuro, en lugar de las actualizaciones monolíticas del pasado. La reescritura de webGUI brinda una nueva apariencia receptiva a pfSense que requiere un mínimo cambio de tamaño o desplazamiento en una amplia gama de dispositivos, desde computadoras de escritorio hasta teléfonos móviles.

Qué hay de nuevo en la versión 2.2.6 / 2.3 Alpha:

• pfSense-SA-15_09.webgui: Vulnerabilidad de inclusión de archivos locales en pfSense WebGUI
• pfSense-SA-15_10.captiveportal: vulnerabilidad de inyección SQL en el cierre de sesión del portal cautivo pfSense
• pfSense-SA-15_11.webgui: Múltiples vulnerabilidades XSS y CSRF en pfSense WebGUI
• Actualizado a FreeBSD 10.1-RELEASE-p25
• FreeBSD-SA-15: 26.openssl Varias vulnerabilidades en OpenSSL
• Actualizado strongSwan a 5.3.5_2
• Incluye la corrección para la vulnerabilidad de omisión de autenticación CVE-2015-8023 en el plugin eap-mschapv2.

Qué hay de nuevo en la versión 2.2.5 / 2.3 Alpha:

• pfSense-SA-15_08.webgui: Múltiples vulnerabilidades de XSS almacenadas en pfSense WebGUI
• Actualizado a FreeBSD 10.1-RELEASE-p24:
• FreeBSD-SA-15: 25.ntp Vulnerabilidades múltiples en NTP [REVISADO]
• FreeBSD-SA-15: 14.bsdpatch: debido a una desinfección insuficiente de la secuencia de parches de entrada, es posible que un archivo de parche haga que el parche (1) ejecute comandos además de los comandos SCCS o RCS deseados.
• FreeBSD-SA-15: 16.openssh: el cliente OpenSSH no verifica correctamente los registros DNS SSHFP cuando un servidor ofrece un certificado. CVE-2014-2653 Los servidores OpenSSH que están configurados para permitir la autenticación de contraseña usando PAM (predeterminado) permitirían muchos intentos de contraseña.
• FreeBSD-SA-15: 18.bsdpatch: debido a una desinfección insuficiente de la secuencia de parches de entrada, es posible que un archivo parche haga que el parche (1) pase ciertos scripts ed (1) al editor (1) editor, que ejecutaría comandos.
• FreeBSD-SA-15: 20.expat: se han descubierto desbordamientos de enteros múltiples en la función XML_GetBuffer () en la biblioteca de expat.
• FreeBSD-SA-15: 21.amd64: Si la instrucción IRET en modo kernel genera una excepción #SS o #NP, pero el manejador de excepciones no asegura adecuadamente que se recargue la base de registro GS correcta para kernel , el segmento GS userland se puede usar en el contexto del controlador de excepciones kernel.
• FreeBSD-SA-15: 22.openssh: Un error de programación en el proceso del monitor privilegiado del servicio sshd (8) puede permitir que el proceso secundario sin privilegios sobrescriba el nombre de usuario de un usuario ya autenticado. Un error de uso después de liberación en el proceso del monitor con privilegios del servicio sshd (8) puede ser desencadenado de manera determinista por las acciones de un proceso hijo comprometido no privilegiado. Un error de uso después de liberación en el código de multiplexación de sesión en el servicio sshd (8) puede provocar la terminación involuntaria de la conexión.

Qué hay de nuevo en la versión 2.2.4:

• pfSense-SA-15_07.webgui: Múltiples vulnerabilidades de XSS almacenadas en pfSense WebGUI
• La lista completa de páginas y campos afectados se enumera en la SA vinculada.
• FreeBSD-SA-15: 13.tcp: Agotamiento de recursos debido a sesiones atrapadas en el estado LAST_ACK. Tenga en cuenta que esto solo se aplica a los escenarios en los que los puertos que escuchan en pfSense (que no pasan por NAT, enrutamiento o puente) se abren en redes que no son de confianza. Esto no se aplica a la configuración predeterminada.
• Nota: FreeBSD-SA-15: 13.openssl no se aplica a pfSense. pfSense no incluía una versión vulnerable de OpenSSL, y por lo tanto no era vulnerable.
• Correcciones adicionales para la corrupción de archivos en varios casos durante un cierre sucio (bloqueo, pérdida de alimentación, etc.). # 4523
• Solucionado el problema de pw en FreeBSD para abordar la corrupción de passwd / group
• Se corrigió la escritura de config.xml para usar fsync correctamente para evitar casos en los que podría terminar vacío. # 4803
• Se eliminó la opción & lsquo; sync 'de los sistemas de archivos para nuevas instalaciones completas y actualizaciones completas ahora que la solución real está en su lugar.
• Se eliminaron los softupdates y el diario (AKA SU + J) de NanoBSD, permanecen en instalaciones completas. # 4822
• El parche forcesync para # 2401 todavía se considera perjudicial para el sistema de archivos y se ha mantenido fuera. Como tal, puede haber cierta lentitud notable con NanoBSD en ciertos discos más lentos, especialmente tarjetas CF y, en menor medida, tarjetas SD. Si esto es un problema, el sistema de archivos se puede leer / escribir permanentemente usando la opción de Diagnósticos & gt; NanoBSD. Con los otros cambios anteriores, el riesgo es mínimo. Aconsejamos reemplazar los medios CF / SD afectados por una tarjeta nueva y más rápida tan pronto como sea posible. # 4822
• Actualizado PHP a 5.5.27 para abordar CVE-2015-3152 # 4832
• Disminuyó SSH LoginGraceTime de 2 minutos a 30 segundos para mitigar el impacto del error de omisión de MaxAuthTries. Nota Sshlockout bloqueará IPs ofensivas en todas las versiones pasadas, actuales y futuras. # 4875

Qué hay de nuevo en la versión 2.2.3:

• pfSense-SA-15_06.webgui: Varias vulnerabilidades XSS en pfSense WebGUI
• La lista completa de páginas y campos afectados es grande y todos figuran en la SA vinculada.
• FreeBSD-SA-15: 10.openssl: Varias vulnerabilidades de OpenSSL (incluido Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Qué hay de nuevo en la versión 2.2.2:

• Esta versión incluye dos actualizaciones de seguridad de bajo riesgo:
• FreeBSD-SA-15: 09.ipv6: Denegación de servicio con anuncios de enrutador IPv6. Cuando un sistema utiliza el tipo de WAN DHCPv6, los dispositivos en el mismo dominio de difusión que esa WAN pueden enviar paquetes elaborados y provocar que el sistema pierda la conectividad a Internet IPv6.
• FreeBSD-SA-15: 06.openssl: Varias vulnerabilidades OpenSSL. La mayoría no son aplicables, y el peor impacto es la denegación de servicio.

Qué hay de nuevo en la versión 2.2.1:

• Soluciones de seguridad:
• pfSense-SA-15_02.igmp: desbordamiento de enteros en el protocolo IGMP (FreeBSD-SA-15: 04.igmp)
• pfSense-SA-15_03.webgui: Varias vulnerabilidades XSS en pfSense WebGUI
• pfSense-SA-15_04.webgui: vulnerabilidad de eliminación de archivos arbitrarios en pfSense WebGUI
• FreeBSD-EN-15: 01.vt: vt (4) bloqueo con parámetros ioctl incorrectos
• FreeBSD-EN-15: 02.openssl: actualización para incluir soluciones de confiabilidad de OpenSSL
• Una nota sobre la vulnerabilidad "FREAK" de OpenSSL:
• No afecta la configuración del servidor web en el firewall ya que no tiene habilitados los cifrados de exportación.
• pfSense 2.2 ya incluía OpenSSL 1.0.1k que abordaba la vulnerabilidad del lado del cliente.
• Si los paquetes incluyen un servidor web o un componente similar, como un proxy, una configuración de usuario incorrecta puede verse afectada. Consulte la documentación del paquete o el foro para obtener más detalles.

Qué hay de nuevo en la versión 2.2:

• Esta versión trae mejoras en el rendimiento y soporte de hardware de la base de FreeBSD 10.1, así como mejoras que hemos agregado, como AES-GCM con aceleración AES-NI, entre otras muchas características nuevas y correcciones de errores.
• En el proceso de alcanzar la versión, hemos cerrado 392 tickets en total (este número incluye 55 funciones o tareas), hemos solucionado 135 errores que afectan a 2.1.5 y versiones anteriores, hemos solucionado otros 202 errores introducidos en 2.2 al avanzar la base Versión del sistema operativo de FreeBSD 8.3 a 10.1, cambiando daemons de codificación IPsec de racoon a strongSwan, actualizando el backend PHP a la versión 5.5 y cambiándolo de FastCGI a PHP-FPM, y agregando el resolutor DNS Unbound y muchos cambios más pequeños.
• Esta versión contiene cuatro soluciones de seguridad de bajo impacto:
• actualización de openssl para FreeBSD-SA-15: 01.openssl
• Varias vulnerabilidades XSS en la interfaz web. pfSense-SA-15_01
• Actualización de OpenVPN para CVE-2014-8104
• Actualización de NTP FreeBSD-SA-14: 31.ntp, aunque estas circunstancias no parecen afectar a pfSense.

Qué hay de nuevo en la versión 2.1.4:

• Soluciones de seguridad:
• pfSense-SA-14_07.openssl
• FreeBSD-SA-14: 14.openssl
• pfSense-SA-14_08.webgui
• pfSense-SA-14_09.webgui
• pfSense-SA-14_10.webgui
• pfSense-SA-14_11.webgui
• pfSense-SA-14_12.webgui
• pfSense-SA-14_13.paquetes
• Los paquetes también tenían sus propias correcciones independientes y necesitan actualización. Durante el proceso de actualización del firmware, los paquetes se reinstalarán correctamente. De lo contrario, desinstale y vuelva a instalar los paquetes para asegurarse de que esté en uso la última versión de los binarios.
• Otras reparaciones:
• Parche para el problema de fuga de pipeno de Portal cautivo que lleva a & lsquo; Inicio de sesión máximo alcanzado en el Portal cautivo. # 3062
• Elimina texto no relevante para direcciones IP permitidas en el Portal cautivo. # 3594
• Elimina las unidades de la ráfaga, ya que siempre se especifica en bytes. (Por ipfw (8)).
• Agregue una columna para el puerto interno en la página de estado UPnP.
• Hacer que escuchar en la interfaz en lugar de IP sea opcional para UPnP.
• Corrige el resaltado de las reglas seleccionadas. # 3646
• Agregue guiconfig a widgets sin incluirlo. # 3498
• / etc / version_kernel y / etc / version_base ya no existen, use php_uname para obtener la versión para comprobar XMLRPC en su lugar.
• Corrige el error de la variable. # 3669
• Elimina todos los alias de IP cuando una interfaz está deshabilitada. # 3650
• Maneja adecuadamente el cambio de nombre del archivo RRD durante la actualización y los errores de silenciamiento si falla.
• Convierte el protocolo ssl: // en https: // al crear encabezados HTTP para XMLRPC.
• Mostrar interfaces deshabilitadas cuando ya eran parte de un grupo de interfaz. Esto evita mostrar una interfaz aleatoria y dejar que el usuario lo agregue por error. # 3680
• La directiva client-config-dir para OpenVPN también es útil cuando se usa el DHCP interno de OpenVPN mientras se realiza el puente, así que agrégalo en ese caso también.
• Usa curl en lugar de fetch para descargar archivos de actualización. # 3691
• Escape variable antes de pasar al shell desde stop_service ().
• Agregue protección a los parámetros que vienen a través de _GET en la administración del servicio.
• Escape argumento en llamada a is_process_running, también elimina algunas llamadas mwexec () innecesarias.
• No permita que el nombre del grupo de interfaz sea más grande que 15 caracteres. # 3208
• Sea más preciso para unir los miembros de una interfaz de puente, debería corregir # 3637
• No vence a los usuarios ya inhabilitados, corrige # 3644
• Valide el formato de hora de inicio y de detención en firewall_schedule_edit.php
• Tenga más cuidado con el parámetro de host en diag_dns.php y asegúrese de que se escape cuando las funciones de shell de llamada
• Parámetros de escape pasados ​​a shell_exec () en diag_smart.php y en otro lugar
• Asegúrese de que las variables se escapen / desinfecten en status_rrd_graph_img.php
• Reemplazar llamadas de exec para ejecutar rm por unlink_if_exists () en status_rrd_graph_img.php
• Reemplazar todas las llamadas de `hostname` por php_uname (& lsquo; n ') en status_rrd_graph_img.php
• Reemplaza todas las llamadas de `fecha` por strftime () on status_rrd_graph_img.php
• Agregue $ _gb para recopilar posiblemente basura del regreso del ejecutivo en status_rrd_graph_img.php
• Evite el cruce de directorios en pkg_edit.php al leer los archivos xml del paquete, también verifique si el archivo existe antes de intentar leerlo
• Eliminar id = 0 del menú miniupnpd y acceso directo
• Eliminar. y / del nombre del paquete para evitar el cruce del directorio en pkg_mgr_install.php
• Corrige el volcado del núcleo al ver el registro del paquete no válido
• Evite el cruce de directorios en system_firmware_restorefullbackup.php
• Vuelva a generar la ID de sesión en un inicio de sesión exitoso para evitar la fijación de la sesión
• Proteja los parámetros de rssfeed con htmlspecialchars () en rss.widget.php
• Protege el parámetro servicestatusfilter con htmlspecialchars () en services_status.widget.php
• Establecer siempre el atributo httponly en las cookies
• Establecer & lsquo; Desactivar inicio de sesión de webConfigurator autocompletar 'como está activado de forma predeterminada para nuevas instalaciones
• Simplifique la lógica, agregue algo de protección a los parámetros de entrada del usuario en log.widget.php
• Asegúrese de que las comillas simples estén codificadas y evite la inyección de JavaScript en exec.php
• Agregue los protocolos NAT faltantes en firewall_nat_edit.php
• Elimina los datos adicionales después del espacio en DSCP y corrige la sintaxis de la regla de pf. # 3688
• Solo incluya una regla programada si es estrictamente antes de la hora de finalización. # 3558

Qué hay de nuevo en la versión 2.1.1:

• El mayor cambio es cerrar los siguientes problemas de seguridad / CVE:
• FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
• FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
• FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
• Además de estos, los controladores em / igb / ixgb / ixgbe se han actualizado para agregar compatibilidad con NIC i210 e i354. Algunas NIC Ethernet Intel de 10 Gb también verán un mejor rendimiento.