pfSense

pfSense & рег; представляет собой свободно распространяемую и открытую исходную BSD-систему, полученную из хорошо известного проекта m0n0wall, но с принципиально разными целями, такими как использование Packet Filter и новейших технологий FreeBSD.

Проект может использоваться как как маршрутизатор, так и брандмауэр. Он включает в себя систему пакетов, которая позволяет системным администраторам легко расширять продукт без добавления потенциальных уязвимостей безопасности и раздувания в базовый дистрибутив.

Ключевые функции включают в себя современный брандмауэр, балансировку входящей / исходящей нагрузки, таблицу состояний, NAT (трансляция сетевых адресов), высокую доступность, VPN (виртуальную частную сеть) с поддержкой IPsec, PPTP и OpenVPN, PPPoE сервер, динамический DNS, невольный портал, отчетность и мониторинг.

Это активно разработанная операционная система брандмауэра, распространяемая как gz-архив Live CD и только установочные ISO-изображения, установщики USB-накопителей, а также NanoBSD / embedded media. В настоящее время поддерживаются 64-разрядные (amd64) и 32-разрядные (i386) аппаратные платформы.

В процессе загрузки доступны несколько предопределенных параметров загрузки, таких как загрузка операционной системы с настройками по умолчанию, с отключением ACPI с использованием USB-устройств в безопасном режиме в режиме одного пользователя с подробным протоколированием, а также получить доступ к приглашению оболочки или перезагрузить компьютер.

В то время как распределение спросит пользователей, хотят ли они настроить VLAN (виртуальные локальные сети) из режима get-go, для этого потребуется, по крайней мере, один назначенный сетевой интерфейс. Это означает, что если вы не используете / настроили хотя бы один интерфейс, pfSense & reg; выиграл, даже начал.

Используется в качестве брандмауэра для небольших домашних сетей, университетов, крупных корпораций или любой другой организации, где чрезвычайно важно защитить тысячи сетевых устройств, pfSense & reg; был загружен более чем миллионом пользователей со всего мира с момента его создания.

Это один из лучших проектов брандмауэра с открытым исходным кодом, спроектированный для предоставления пользователям всех функций, которые поставляются в коммерческих продуктах брандмауэра. Сегодня pfSense & reg; используется в многочисленных решениях аппаратного брандмауэра, включая Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall или Watchguard.

pfSense & рег; является зарегистрированным товарным знаком и знаком обслуживания, принадлежащим Electric Sheep Fencing LLC. См. Www.electricsheepfencing.com.

Что нового в этой версии:

• Безопасность / Исправление
• Обновлен до OpenSSL 1.0.2m для обращения к CVE-2017-3736 и CVE-2017-3735
• FreeBSD-SA-17: 10.kldstat
• FreeBSD-SA-17: 08.ptrace
• Исправлен потенциальный вектор XSS в status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
• Исправлен потенциальный вектор XSS в файле diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
• Исправлен потенциальный вектор XSS на index.php через параметры последовательности виджетов # 8000 pfSense-SA-17_09.webgui.asc
• Исправлен потенциальный XSS в параметре widgetkey виджетов панели управления несколькими экземплярами # 7998 pfSense-SA-17_09.webgui.asc
• Исправлена ​​потенциальная проблема с кликнированием на странице ошибок CSRF.
• Интерфейсы
• Исправлены PPP-интерфейсы с родителем VLAN при использовании новых имен VLAN # 7981
• Исправлены проблемы с интерфейсами QinQ, которые не отображались как активные # 7942
• Исправлена ​​паника / сбой при отключении интерфейса LAGG # 7940
• Исправлены проблемы с интерфейсами LAGG, потерявшими свой MAC-адрес # 7928
• Исправлен сбой в режиме radvd на SG-3100 (ARM) # 8022
• Исправлена ​​ошибка с падением пакетов UDP на SG-1000 # 7426
• Добавлен интерфейс для управления встроенным коммутатором на SG-3100
• Обрезать больше символов с описания интерфейса, чтобы избежать обхода строки вывода меню консоли на консоли VGA.
• Исправлена ​​обработка уникального VIP-параметра при изменении VIP-типов.
• Исправлено отображение поля параметра PPP, когда был выбран родительский интерфейс VLAN # 8098
• Операционная система
• Исправлены проблемы, связанные с настройкой вручную настроенной файловой системы с отдельным фрагментом / usr # 8065
• Исправлены проблемы с обновлением ZFS-систем, созданных ZFS, с использованием схемы разделов MBR (пустая / загрузка из-за невозможности импортирования bootpool) # 8063
• Исправлены проблемы с сеансами BGP с использованием сигнатур MD5 TCP в пакетах демона маршрутизации # 7969
• Обновлен dpinger до 3.0
• Расширенные возможности выбора и методы выбора репозитория обновлений.
• Обновлены системные переадресации, которые сообщают ОС не собирать данные с прерываний, двухточечных интерфейсов и Ethernet-устройств, чтобы отразить новое имя / формат для FreeBSD 11
• Изменена обработка набора правил, чтобы повторить попытку, если другой процесс находится в середине обновления, вместо того, чтобы представлять пользователю ошибку.
• Исправлены некоторые проблемы с загрузкой UEFI на разных платформах.
• Сертификаты
• Исправлены недопустимые записи в файле /etc/ssl/openssl.cnf (затрагивалось нестандартное использование openssl в cli / shell) # 8059
• Исправлена ​​аутентификация LDAP, когда сервер использует глобально доверенный корневой центр сертификации (новый выбор CA для «Глобального списка CA CA») # 8044
• Исправлены проблемы с созданием сертификата с подстановочным знаком CN / SAN # 7994
• Добавлена ​​проверка диспетчера сертификатов для предотвращения импорта сертификата сертификации без сертификата на вкладку ЦС # 7885
• IPsec
• Исправлена ​​проблема с использованием сертификатов CA IPsec, когда объект содержит несколько RDN одного типа # 7929
• Исправлена ​​проблема с поддержкой поддержки мобильных клиентов IPsec на переведенных языках # 8043
• Исправлены проблемы с отображением / выводом статуса IPsec, включая несколько записей (один отключен, один подключен) # 8003
• Исправлено отображение нескольких подключенных мобильных клиентов IPsec # 7856
• Исправлено отображение дочерних записей SA # 7856
• OpenVPN
• Добавлена ​​опция для серверов OpenVPN для использования "redirect-gateway ipv6 & quot; действовать в качестве шлюза по умолчанию для подключения VPN-клиентов с IPv6, аналогично «redirect-gateway def1». для IPv4. # 8082
• Исправлена ​​опция OpenVPN Client Revocation List # 8088
• Формирование трафика
• Исправлена ​​ошибка при настройке ограничителя более 2 Гбит / с (новый макс - 4 Гбит / с) # 7979
• Исправлены проблемы с мостовыми сетевыми интерфейсами, не поддерживающими ALTQ # 7936
• Исправлены проблемы с сетевыми интерфейсами vtnet, не поддерживающими ALTQ # 7594
• Исправлена ​​проблема с Status & gt; Очереди, не отображающие статистику для интерфейсов VLAN # 8007
• Исправлена ​​проблема с очередями формирования трафика, которые не позволяли сумме всех дочерних очередей на 100% # 7786
• Исправлена ​​ошибка с ограничениями, заданными недопустимыми дробными / нецелыми значениями из записей лимитера или переданными в Captive Portal из RADIUS # 8097.
• Правила / NAT
• Исправлен выбор шлюзов IPv6 при создании нового правила брандмауэра # 8053
• Исправлены ошибки на странице конфигурации переадресации портов, полученной из данных cookie / запроса устаревших / не-pfSense # 8039
• Исправлена ​​установка приоритета VLAN с помощью правил брандмауэра # 7973
• XMLRPC
• Исправлена ​​проблема с синхронизацией XMLRPC, когда пользователь синхронизации имеет пароль, содержащий пробелы # 8032
• Исправлены проблемы с XMLRPC с ваучерами Captive Portal # 8079.
• WebGUI
• Добавлена ​​опция отключения HSTS для веб-сервера GUI # 6650
• Изменен веб-сервис GUI для блокировки прямой загрузки файлов .inc # 8005
• Исправлена ​​сортировка служб на виджетах панели управления и страница состояния служб # 8069
• Исправлена ​​ошибка ввода, при которой статические записи IPv6 допускали недопустимый ввод для полей адреса # 8024
• Исправлена ​​ошибка синтаксиса JavaScript в графиках трафика, когда встречались недопустимые данные (например, пользователь вышел из системы или очищен сеансом) # 7990
• Исправлены ошибки выборки в диаграммах трафика # 7966
• Исправлена ​​ошибка JavaScript в Status & gt; Мониторинг № 7961
• Исправлена ​​ошибка отображения с пустыми таблицами в Internet Explorer 11 # 7978
• Измененная обработка конфигурации для использования исключения, а не die (), когда он обнаруживает поврежденную конфигурацию
• Добавлена ​​фильтрация на страницу pfTop
• Добавлены средства для отображения модальным способом для пользователя (например, перезагрузка, требуемая до использования пакета)
• Панель управления
• Исправлено отображение доступных обновлений в виджетах Установленных пакетов # 8035
• Исправлена ​​проблема с шрифтом в виджетах Support Dashboard # 7980
• Исправлено форматирование дисковых фрагментов / разделов в виджетах System Information Dashboard
• Исправлена ​​проблема с виджетами «Картинки», когда не было сохранено допустимое изображение # 7896
• Пакеты
• Исправлено отображение пакетов, которые были удалены из репозитория в диспетчере пакетов # 7946
• Исправлена ​​ошибка, отображающая локально установленные пакеты, когда репозиторий удаленного пакета недоступен # 7917
• Разное
• Исправлена ​​привязка интерфейса в ntpd, поэтому он не ошибочно прослушивал все интерфейсы # 8046
• Исправлена ​​проблема, при которой перезапуск службы syslogd приводил бы сиротские сироты sshlockout_pf # 7984
• Добавлена ​​поддержка динамического DNS-провайдера ClouDNS # 7823
• Исправлена ​​ошибка на страницах User и Group Manager при работе с записями сразу после удаления записи # 7733
• Изменен мастер установки, поэтому он пропускает конфигурацию интерфейса при запуске на экземпляре AWS EC2 # 6459
• Исправлена ​​проблема с IGMP-прокси с режимом All-multicast на SG-1000 # 7710

Что нового в версии:

• Обновления панели мониторинга:
• На Панели 2.3.4-RELEASE вы найдете несколько дополнительных сведений: поставщик, версия и дата выпуска BIOS, если брандмауэр может их определить, и идентификатор Netgate Unique. Уникальный идентификатор Netgate похож на серийный номер, он используется для уникальной идентификации экземпляра программного обеспечения pfSense для клиентов, которые хотят приобрести службы поддержки. Для оборудования, продаваемого в нашем магазине, это также позволяет нам связывать единицы с нашими производственными записями. Этот идентификатор согласован во всех платформах (голые металлы, виртуальные машины и хосты / облачные объекты, такие как AWS / Azure). Первоначально мы планировали использовать серийный номер оборудования или UUID, сгенерированный операционной системой, но мы обнаружили, что они были ненадежными, непоследовательными, и они могли неожиданно измениться при переустановке операционной системы.
• Как и в серийном номере, этот идентификатор отображается только на информационной панели в информационных целях и по умолчанию не передается в любом месте автоматически. В будущем клиенты могут использовать этот идентификатор при запросе информации о поддержке у наших сотрудников или систем.
• Если вы еще не догнали изменения в 2.3.x, просмотрите видеоролики «Особенности и основные моменты». Предыдущие записи в блогах охватывали некоторые изменения, такие как улучшения производительности от tryforward и обновление webGUI.
• Сертификаты GUI межсетевого экрана:
• Пользователи Chrome 58 и более поздних версий, а в некоторых случаях Firefox 48 и более поздние могут иметь проблемы с доступом к графическому интерфейсу pfSense Web, если он использует самозаверяющий сертификат по умолчанию, сгенерированный автоматически брандмауэром, работающим под управлением pfSense версии 2.3.3-p1 или ранее. Это связано с тем, что Chrome 58 строго применяет RFC 2818, который требует только совпадения имен хостов с использованием имен объекта альтернативного имени (SAN), а не поля Common Name сертификата, а самозаверяющий сертификат по умолчанию не заполняет поле SAN.
• Мы скорректировали код сертификата, чтобы правильно следовать RFC 2818 в удобном для пользователя способом, автоматически добавив значение Common Name в качестве первой записи SAN.
• Администраторам брандмауэра необходимо будет создать новый сертификат для использования графическим интерфейсом, чтобы использовать новый формат. Существует несколько способов создания совместимого сертификата, в том числе:
• Сгенерировать и активировать новый GUI-сертификат автоматически из консоли или оболочки ssh с помощью одного из наших скриптов воспроизведения:
• pfSsh.php воспроизведение generateguicert
• Используйте пакет ACME для создания доверенного сертификата для GUI через Let's Encrypt, который уже правильно отформатирован.
• Вручную создайте новый самозаверяющий центр сертификации (CA) и сертификат сервера, подписанный этим ЦС, затем используйте его для графического интерфейса.
• Активировать локальный браузер & quot; EnableCommonNameFallbackForLocalAnchors & quot; в Chrome 58. В конечном итоге этот параметр будет удален Chrome, поэтому это временное решение.
• Некоторые пользователи могут помнить, что это не первый случай, когда формат сертификата по умолчанию был проблематичным из-за изменений браузера. Несколько лет назад Firefox изменил способ расчета цепочек доверия доверенных сертификатов, что может заставить браузер зависнуть или зависать при попытке доступа к нескольким брандмауэрам с самозаверяющими сертификатами, содержащими общие данные по умолчанию, в результате чего все такие сертификаты содержат один и тот же Subject. Фиксация этого была более сложной задачей, но это привело к значительно лучшему опыту с конечным пользователем.

Что нового в версии 2.3.4:

• Обновления панели мониторинга:
• На Панели 2.3.4-RELEASE вы найдете несколько дополнительных сведений: поставщик, версия и дата выпуска BIOS, если брандмауэр может их определить, и идентификатор Netgate Unique. Уникальный идентификатор Netgate похож на серийный номер, он используется для уникальной идентификации экземпляра программного обеспечения pfSense для клиентов, которые хотят приобрести службы поддержки. Для оборудования, продаваемого в нашем магазине, это также позволяет нам связывать единицы с нашими производственными записями. Этот идентификатор согласован во всех платформах (голые металлы, виртуальные машины и хосты / облачные объекты, такие как AWS / Azure). Первоначально мы планировали использовать серийный номер оборудования или UUID, сгенерированный операционной системой, но мы обнаружили, что они были ненадежными, непоследовательными, и они могли неожиданно измениться при переустановке операционной системы.
• Как и в серийном номере, этот идентификатор отображается только на информационной панели в информационных целях и по умолчанию не передается в любом месте автоматически. В будущем клиенты могут использовать этот идентификатор при запросе информации о поддержке у наших сотрудников или систем.
• Если вы еще не догнали изменения в 2.3.x, просмотрите видеоролики «Особенности и основные моменты». Предыдущие записи в блогах охватывали некоторые изменения, такие как улучшения производительности от tryforward и обновление webGUI.
• Сертификаты GUI межсетевого экрана:
• Пользователи Chrome 58 и более поздних версий, а в некоторых случаях Firefox 48 и более поздние могут иметь проблемы с доступом к графическому интерфейсу pfSense Web, если он использует самозаверяющий сертификат по умолчанию, сгенерированный автоматически брандмауэром, работающим под управлением pfSense версии 2.3.3-p1 или ранее. Это связано с тем, что Chrome 58 строго применяет RFC 2818, который требует только совпадения имен хостов с использованием имен объекта альтернативного имени (SAN), а не поля Common Name сертификата, а самозаверяющий сертификат по умолчанию не заполняет поле SAN.
• Мы скорректировали код сертификата, чтобы правильно следовать RFC 2818 в удобном для пользователя способом, автоматически добавив значение Common Name в качестве первой записи SAN.
• Администраторам брандмауэра необходимо будет создать новый сертификат для использования графическим интерфейсом, чтобы использовать новый формат. Существует несколько способов создания совместимого сертификата, в том числе:
• Сгенерировать и активировать новый GUI-сертификат автоматически из консоли или оболочки ssh с помощью одного из наших скриптов воспроизведения:
• pfSsh.php воспроизведение generateguicert
• Используйте пакет ACME для создания доверенного сертификата для GUI через Let's Encrypt, который уже правильно отформатирован.
• Вручную создайте новый самозаверяющий центр сертификации (CA) и сертификат сервера, подписанный этим ЦС, затем используйте его для графического интерфейса.
• Активировать локальный браузер & quot; EnableCommonNameFallbackForLocalAnchors & quot; в Chrome 58. В конечном итоге этот параметр будет удален Chrome, поэтому это временное решение.
• Некоторые пользователи могут помнить, что это не первый случай, когда формат сертификата по умолчанию был проблематичным из-за изменений браузера. Несколько лет назад Firefox изменил способ расчета цепочек доверия доверенных сертификатов, что может заставить браузер зависнуть или зависать при попытке доступа к нескольким брандмауэрам с самозаверяющими сертификатами, содержащими общие данные по умолчанию, в результате чего все такие сертификаты содержат один и тот же Subject. Фиксация этого была более сложной задачей, но это привело к значительно лучшему опыту с конечным пользователем.

Что нового в версии 2.3.3-p1:

• FreeBSD-SA-16: 26.openssl - Множественные уязвимости в OpenSSL. Единственное существенное влияние на pfSense - OCSP для HAproxy и FreeRADIUS.
• Несколько ошибок, связанных с HyperV, во FreeBSD 10.3, FreeBSD-EN-16: 10-16.16. Подробнее см. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Обновлено несколько встроенных пакетов и библиотек, в том числе:
• PHP to 5.6.26
• libidn до 1.33
• завиток до 7.50.3
• libxml2 до 2.9.4
• Добавлена ​​кодировка параметра «zone» на страницах Captive Portal.
• Добавлена ​​выходная кодировка diag_dns.php для результатов, возвращаемых из DNS. # 6737
• Работала с ошибкой Chrome с регулярным выражением парсинга экранированных символов в наборах символов. Исправления & quot; Пожалуйста, сопоставьте запрошенный формат & quot; в последних версиях Chrome. # 6762
• Исправлена ​​опция формата времени сервера DHCPv6 # 6640
• Исправлено / usr / bin / install, отсутствующее в новых установках. # 6643
• Увеличенная граница ограничения фильтрации для ведения журнала, поэтому поиск будет содержать достаточное количество записей. # 6652
• Очищенный виджет Installed Packages и HTML. # 6601
• Исправлено изменение настроек виджета при создании новых настроек. # 6669
• Исправлены различные ошибки опечаток и ошибок.
• Удалены неиспользуемые ссылки на сайт devwiki. Теперь все находится на https://doc.pfsense.org.
• Добавлено поле для страниц CA / Cert для OU, которое требуется для некоторых внешних CA и пользователей. # 6672
• Исправлено избыточное HTTP-сообщение "User-Agent & quot; string в обновлениях DynDNS.
• Исправлен шрифт для сортируемых таблиц.
• Добавлена ​​проверка, чтобы проверить, активен ли интерфейс в группе шлюзов перед обновлением динамического DNS.
• Фиксированная формулировка «Отказаться от аренды» вариант для DHCP-интерфейса (он может принимать только адреса, а не подсети.) # 6646
• Исправлено сообщение об ошибках для теста настроек SMTP.
• Исправлено сохранение стран, провайдеров и планов для интерфейсов PPP.
• Исправлена ​​ошибка проверки недействительной & quot; Go To Line & quot; числа на diag_edit.php. # 6704
• Исправлена ​​ошибка «один за другим» с «Строки для отображения». на diag_routes.php. # 6705
• Исправлено описание поля фильтра на diag_routes.php, чтобы отразить, что все поля доступны для поиска. # 6706
• Исправлено описание поля для файла для редактирования на diag_edit.php. # 6703
• Исправлено описание основной панели на diag_resetstate.php. # 6709
• Исправлено диалоговое окно с предупреждением, если флажок не установлен на diag_resetstate.php. # 6710
• Исправлен ярлык журнала для областей DHCP6. # 6700
• Исправлена ​​кнопка удаления сети, показывающая, когда присутствовала только одна строка на services_unbound_acls.php # 6716
• Исправлен исчезающий текст справки о повторяющихся строках при удалении последней строки. # 6716
• Фиксированный динамический домен DNS для статических карт. Запись DHCP
• Добавлен элемент управления для установки периода обновления виджета панели
• Добавлено & quot; -C / dev / null & quot; к параметрам командной строки dnsmasq, чтобы избежать неправильной настройки по умолчанию, которая переопределит наши параметры. # 6730
• Добавлен "-l" to traceroute6, чтобы показать как IP-адреса, так и имена хостов при разрешении hops на diag_traceroute.php. # 6715
• Добавлена ​​заметка о максимальном пределе ttl / hop в комментарии источника на diag_traceroute.php.
• Уточненный язык на diag_tables.php. # 6713
• Очистите текст на diag_sockets.php. # 6708
• Исправлено отображение имен интерфейса VLAN во время назначения консоли. # 6724
• Исправлена ​​опция domain-name-servers, отображаемая дважды в пулах при установке вручную.
• Исправлена ​​обработка опций DHCP в пулах, отличных от основного диапазона. # 6720
• Исправлено удаление имен хостов в некоторых случаях с помощью dhcpdv6. # 6589
• Улучшена обработка pidfile для dhcpleases.
• Добавлены проверки для предотвращения доступа к неопределенному смещению в IPv6.inc.
• Исправлено отображение всплывающих окон псевдонимов и редактирование параметров источника и адресата для адреса и порта исходящего NAT.
• Исправлена ​​обработка подсчета резервных копий. # 6771
• Удалены некоторые оборванные ссылки PPTP, которые больше не актуальны.
• Фиксированные / удаленные области удаленного системного журнала. Добавлена ​​«маршрутизация», «ntpd», «ppp», «resolver», фиксированная «vpn», для включения всех областей VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Исправлены недостающие флажки в некоторых случаях при добавлении строк в services_ntpd.php. # 6788
• Пересмотренные значки запуска / остановки службы.
• Добавлена ​​проверка управления CRL для удаления сертификатов из раскрывающегося списка, которые уже содержатся в редактируемом CRL.
• Фиксированные разделители правил, перемещающиеся при одновременном удалении нескольких правил брандмауэра. # 6801

Что нового в версии 2.3.3:

• FreeBSD-SA-16: 26.openssl - Несколько уязвимостей в OpenSSL. Единственное существенное влияние на pfSense - OCSP для HAproxy и FreeRADIUS.
• Несколько ошибок, связанных с HyperV, во FreeBSD 10.3, FreeBSD-EN-16: 10-16.16. Подробнее см. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Обновлено несколько встроенных пакетов и библиотек, в том числе:
• PHP to 5.6.26
• libidn до 1.33
• завиток до 7.50.3
• libxml2 до 2.9.4
• Добавлена ​​кодировка параметра «zone» на страницах Captive Portal.
• Добавлена ​​выходная кодировка diag_dns.php для результатов, возвращаемых из DNS. # 6737
• Работала с ошибкой Chrome с регулярным выражением парсинга экранированных символов в наборах символов. Исправления «Пожалуйста, сопоставьте запрошенный формат» в последних версиях Chrome. # 6762
• Исправлена ​​опция формата времени сервера DHCPv6 # 6640
• Исправлено / usr / bin / install, отсутствующее в новых установках. # 6643
• Увеличенная граница ограничения фильтрации для ведения журнала, поэтому поиск будет содержать достаточное количество записей. # 6652
• Очищенный виджет Installed Packages и HTML. # 6601
• Исправлено изменение настроек виджета при создании новых настроек. # 6669
• Исправлены различные ошибки опечаток и ошибок.
• Удалены неиспользуемые ссылки на сайт devwiki. Теперь все находится на https://doc.pfsense.org.
• Добавлено поле для страниц CA / Cert для OU, которое требуется для некоторых внешних CA и пользователей. # 6672
• Исправлена ​​избыточная строка HTTP-User-Agent в обновлениях DynDNS.
• Исправлен шрифт для сортируемых таблиц.
• Добавлена ​​проверка, чтобы проверить, активен ли интерфейс в группе шлюзов перед обновлением динамического DNS.
• Фиксированная формулировка опции «Отклонить лизинг от» для интерфейса DHCP (он может принимать только адреса, а не подсетей.) # 6646
• Исправлено сообщение об ошибках для теста настроек SMTP.
• Исправлено сохранение стран, провайдеров и планов для интерфейсов PPP.
• Исправлена ​​ошибка проверки недопустимых номеров «Go To Line» на diag_edit.php. # 6704
• Исправлена ​​ошибка «один за другим» с «Строки для отображения» на diag_routes.php. # 6705
• Исправлено описание поля фильтра на diag_routes.php, чтобы отразить, что все поля доступны для поиска. # 6706
• Исправлено описание поля для файла для редактирования на diag_edit.php. # 6703
• Исправлено описание основной панели на diag_resetstate.php. # 6709
• Исправлено диалоговое окно с предупреждением, если флажок не установлен на diag_resetstate.php. # 6710
• Исправлен ярлык журнала для областей DHCP6. # 6700
• Исправлена ​​кнопка удаления сети, показывающая, когда присутствовала только одна строка на services_unbound_acls.php # 6716
• Исправлен исчезающий текст справки о повторяющихся строках при удалении последней строки. # 6716
• Фиксированный динамический домен DNS для статических карт. Запись DHCP
• Добавлен элемент управления для установки периода обновления виджета панели
• Добавлен параметр -C / dev / null в параметры командной строки dnsmasq, чтобы избежать неправильной настройки по умолчанию, которая бы переопределила наши параметры. # 6730
• Добавлен «-l» в traceroute6, чтобы показывать как IP-адреса, так и имена хостов при разрешении hops на diag_traceroute.php. # 6715
• Добавлена ​​заметка о максимальном пределе ttl / hop в комментарии источника на diag_traceroute.php.
• Уточненный язык на diag_tables.php. # 6713
• Очистите текст на diag_sockets.php. # 6708
• Исправлено отображение имен интерфейса VLAN во время назначения консоли. # 6724
• Исправлена ​​опция domain-name-servers, отображаемая дважды в пулах при установке вручную.
• Исправлена ​​обработка опций DHCP в пулах, отличных от основного диапазона. # 6720
• Исправлено удаление имен хостов в некоторых случаях с помощью dhcpdv6. # 6589
• Улучшена обработка pidfile для dhcpleases.
• Добавлены проверки для предотвращения доступа к неопределенному смещению в IPv6.inc.
• Исправлено отображение всплывающих окон псевдонимов и параметров редактирования для источника и адресата для адреса и порта исходящего NAT.
• Исправлена ​​обработка подсчета резервных копий. # 6771
• Удалены некоторые оборванные ссылки PPTP, которые больше не актуальны.
• Фиксированные / удаленные области удаленного системного журнала. Добавлены «маршрутизация», «ntpd», «ppp», «resolver», фиксированный «vpn» для включения всех областей VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Исправлены недостающие флажки в некоторых случаях при добавлении строк в services_ntpd.php. # 6788
• Пересмотренные значки запуска / остановки службы.
• Добавлена ​​проверка управления CRL для удаления сертификатов из раскрывающегося списка, которые уже содержатся в редактируемом CRL.
• Фиксированные разделители правил, перемещающиеся при одновременном удалении нескольких правил брандмауэра. # 6801

Что нового в версии 2.3.2-p1:

• FreeBSD-SA-16: 26.openssl - Несколько уязвимостей в OpenSSL. Единственное существенное влияние на pfSense - OCSP для HAproxy и FreeRADIUS.
• Несколько ошибок, связанных с HyperV, во FreeBSD 10.3, FreeBSD-EN-16: 10-16.16. Подробнее см. Https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
• Обновлено несколько встроенных пакетов и библиотек, в том числе:
• PHP to 5.6.26
• libidn до 1.33
• завиток до 7.50.3
• libxml2 до 2.9.4
• Добавлена ​​кодировка параметра «zone» на страницах Captive Portal.
• Добавлена ​​выходная кодировка diag_dns.php для результатов, возвращаемых из DNS. # 6737
• Работала с ошибкой Chrome с регулярным выражением парсинга экранированных символов в наборах символов. Исправления «Пожалуйста, сопоставьте запрошенный формат» в последних версиях Chrome. # 6762
• Исправлена ​​опция формата времени сервера DHCPv6 # 6640
• Исправлено / usr / bin / install, отсутствующее в новых установках. # 6643
• Увеличенная граница ограничения фильтрации для ведения журнала, поэтому поиск будет содержать достаточное количество записей. # 6652
• Очищенный виджет Installed Packages и HTML. # 6601
• Исправлено изменение настроек виджета при создании новых настроек. # 6669
• Исправлены различные ошибки опечаток и ошибок.
• Удалены неиспользуемые ссылки на сайт devwiki. Теперь все находится на https://doc.pfsense.org.
• Добавлено поле для страниц CA / Cert для OU, которое требуется для некоторых внешних CA и пользователей. # 6672
• Исправлена ​​избыточная строка HTTP-User-Agent в обновлениях DynDNS.
• Исправлен шрифт для сортируемых таблиц.
• Добавлена ​​проверка, чтобы проверить, активен ли интерфейс в группе шлюзов перед обновлением динамического DNS.
• Фиксированная формулировка опции «Отклонить лизинг от» для интерфейса DHCP (он может принимать только адреса, а не подсетей.) # 6646
• Исправлено сообщение об ошибках для теста настроек SMTP.
• Исправлено сохранение стран, провайдеров и планов для интерфейсов PPP.
• Исправлена ​​ошибка проверки недопустимых номеров «Go To Line» на diag_edit.php. # 6704
• Исправлена ​​ошибка «один за другим» с «Строки для отображения» на diag_routes.php. # 6705
• Исправлено описание поля фильтра на diag_routes.php, чтобы отразить, что все поля доступны для поиска. # 6706
• Исправлено описание поля для файла для редактирования на diag_edit.php. # 6703
• Исправлено описание основной панели на diag_resetstate.php. # 6709
• Исправлено диалоговое окно с предупреждением, если флажок не установлен на diag_resetstate.php. # 6710
• Исправлен ярлык журнала для областей DHCP6. # 6700
• Исправлена ​​кнопка удаления сети, показывающая, когда присутствовала только одна строка на services_unbound_acls.php # 6716
• Исправлен исчезающий текст справки о повторяющихся строках при удалении последней строки. # 6716
• Фиксированный динамический домен DNS для статических карт. Запись DHCP
• Добавлен элемент управления для установки периода обновления виджета панели
• Добавлен параметр -C / dev / null в параметры командной строки dnsmasq, чтобы избежать неправильной настройки по умолчанию, которая бы переопределила наши параметры. # 6730
• Добавлен «-l» в traceroute6, чтобы показывать как IP-адреса, так и имена хостов при разрешении hops на diag_traceroute.php. # 6715
• Добавлена ​​заметка о максимальном пределе ttl / hop в комментарии источника на diag_traceroute.php.
• Уточненный язык на diag_tables.php. # 6713
• Очистите текст на diag_sockets.php. # 6708
• Исправлено отображение имен интерфейса VLAN во время назначения консоли. # 6724
• Исправлена ​​опция domain-name-servers, отображаемая дважды в пулах при установке вручную.
• Исправлена ​​обработка опций DHCP в пулах, отличных от основного диапазона. # 6720
• Исправлено удаление имен хостов в некоторых случаях с помощью dhcpdv6. # 6589
• Улучшена обработка pidfile для dhcpleases.
• Добавлены проверки для предотвращения доступа к неопределенному смещению в IPv6.inc.
• Исправлено отображение всплывающих окон псевдонимов и параметров редактирования для источника и адресата для адреса и порта исходящего NAT.
• Исправлена ​​обработка подсчета резервных копий. # 6771
• Удалены некоторые оборванные ссылки PPTP, которые больше не актуальны.
• Фиксированные / удаленные области удаленного системного журнала. Добавлены «маршрутизация», «ntpd», «ppp», «resolver», фиксированный «vpn» для включения всех областей VPN (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Исправлены недостающие флажки в некоторых случаях при добавлении строк в services_ntpd.php. # 6788
• Пересмотренные значки запуска / остановки службы.
• Добавлена ​​проверка управления CRL для удаления сертификатов из раскрывающегося списка, которые уже содержатся в редактируемом CRL.
• Фиксированные разделители правил, перемещающиеся при одновременном удалении нескольких правил брандмауэра. # 6801

Что нового в версии 2.3.2:

• Резервное копирование / восстановление:
• Не допускайте внесения изменений в несоответствие интерфейса после восстановления конфигурации до тех пор, пока не будет сохранено переназначение. # 6613
• Панель управления:
• Теперь в панели мониторинга есть параметры конфигурации для каждого пользователя, задокументированные в User Manager. # 6388
• Сервер DHCP:
• Отключен порог dhcp-cache, чтобы избежать ошибки в ISC dhcpd 4.3.x, опускающем имя-клиент-хост из файла лизинга, что делает невозможным регистрацию динамического имени хоста в некоторых случаях. # 6589
• Обратите внимание, что ключ DDNS должен быть HMAC-MD5. # 6622
• Реле DHCP:
• Импортированное исправление для ретрансляции запросов dhcrelay на интерфейс, где находится целевой сервер DHCP. # 6355
• Динамический DNS:
• Разрешить * для имени хоста с помощью Namecheap. # 6260
• Интерфейсы:
• Исправление «не может назначить запрошенный адрес» во время загрузки с интерфейсами track6. # 6317
• Удалить устаревшие параметры ссылок из GRE и gif. # 6586, # 6587
• Повесьте «Отклонить лизинг от» при проверке DHCP «Дополнительные параметры». # 6595
• Защитите вложенные разделители в расширенной конфигурации клиента DHCP, поэтому можно использовать запятые. # 6548
• Исправить маршрут по умолчанию на интерфейсах PPPoE, отсутствующих в некоторых случаях. # 6495
• IPsec:
• strongSwan обновлен до 5.5.0.
• Включить агрессию в ipsec.conf, где выбран режим IKE. # 6513
• Мониторинг шлюза:
• Исправлено «слишком большое имя сокета», что привело к сбою мониторинга шлюза при длинных именах интерфейсов и IPv6-адресах. # 6505
• Ограничители:
• Автоматически установите для параметра pipe_slot_limit максимальное значение qlimit. # 6553
• Мониторинг:
• Исправлено отсутствие периодов данных, указываемых как 0, средние значения перекоса. # 6334
• Исправить всплывающую подсказку, показывающую как «none» для некоторых значений. # 6044
• Исправить сохранение некоторых параметров конфигурации по умолчанию. # 6402
• Фиксировать галочки X-оси, не реагируя на разрешение для пользовательских периодов времени. # 6464
• OpenVPN:
• Повторно синхронизировать конфигурации клиента после сохранения экземпляров сервера OpenVPN, чтобы убедиться, что их настройки отражают текущую конфигурацию сервера. # 6139
• Операционная система:
• Фиксированные состояния фрагмента pf не очищаются, вызывая «Достигнутый предел количества флагов PF». # 6499
• Установите местоположение основного файла, чтобы они не могли попасть в / var / run и исчерпать доступное пространство. # 6510
• Исправлен спам журнала «runtime gone backwards» в Hyper-V. # 6446
• Исправлена ​​ошибка traceroute6, зависящая от неответчика в пути. # 3069
• Добавлена ​​символическая ссылка /var/run/dmesg.boot для vm-bhyve. # 6573
• Установить net.isr.dispatch = direct на 32-битных системах с включенным IPsec для предотвращения сбоев при доступе к услугам на самом хосте через VPN. # 4754
• Объявления о маршрутизаторах:
• Добавлены поля конфигурации для минимальных и максимальных интервалов рекламы маршрутизатора и времени работы маршрутизатора. # 6533
• Routing:
• Исправлены статические маршруты с локальным целевым маршрутизатором IPv6 для включения области интерфейса. # 6506
• Правила / NAT:
• Исправлен «Заполнитель PPPoE Clients» в правилах и NAT и ошибка набора правил при использовании плавающих правил, определяющих сервер PPPoE. # 6597
• Исправлена ​​ошибка загрузки наборов правил с псевдонимами таблиц URL, в которых указан пустой файл. # 6181
• Исправлен прокси TFTP с xinetd. # 6315
• Обновление:
• Исправлены сбои обновления nanobsd, когда DNS Forwarder / Resolver не привязан к localhost. # 6557
• Виртуальные IP-адреса:
• Исправлены проблемы с производительностью при большом количестве виртуальных IP-адресов. # 6515
• Исправлено исчерпание памяти PHP на странице статуса CARP с большими таблицами состояний. # 6364
• Веб-интерфейс:
• Добавлена ​​сортировка таблицы статических сопоставлений DHCP. # 6504
• Исправлена ​​загрузка файла в секундах. # 6590
• Добавлена ​​поддержка IPv6 для diag_dns.php. # 6561
• Добавлена ​​поддержка IPv6 для обратного просмотра журналов фильтрации. # 6585
• Система пакетов - сохранить данные поля при ошибке ввода. # 6577
• Исправлено несколько ошибок проверки входных IPv6, позволяющих использовать IPv6 IP-адреса. # 6551, # 6552
• Исправлено лишение аренды DHCPv6 в графическом листе. # 6543
• Исправлено убийство состояния в направлении «в» и состояния с переведенным назначением. # 6530, # 6531
• Восстановить входную проверку имен невольных имен портала, чтобы предотвратить недопустимый XML. # 6514
• Заменена команда выбора даты в менеджере пользователей, которая работает в браузерах, отличных от Chrome и Opera. # 6516
• Восстановлено поле порта прокси-сервера для клиента OpenVPN. # 6372
• Уточнить описание псевдонимов портов. # 6523
• Исправлен вывод перевода, в котором gettext передал пустую строку. # 6394
• Фиксированный выбор скорости для 9600 в конфигурации NTP GPS. # 6416
• Разрешить IPv6 IP-адреса на экране NPT. # 6498
• Добавьте поддержку импорта алиасов для сетей и портов. # 6582
• Исправлены упорядоченные сортировки заголовков таблиц. # 6074
• Откроется раздел «Загрузка сети» на экране DHCP-сервера. # 6050
• Исправить ссылки «UNKNOWN» в диспетчере пакетов. # 6617
• Исправить недостающее поле полосы пропускания для очередей CBQ трассировщика. # 6437
• UPnP:
• URL-адрес презентации и номер модели UPnP теперь настраиваются. # 6002
• Менеджер пользователей:
• Запретить администраторам удалять собственные учетные записи в диспетчере пользователей. # 6450
• Другое:
• Добавлены сеансы оболочки PHP, чтобы включить и отключить постоянный режим обслуживания CARP. «воспроизведение enablecarpmaint» и «воспроизведение disablecarpmaint». # 6560
• Открытая конфигурация последовательной консоли для nanobsd VGA. # 6291

Что нового в версии 2.3.1 Обновление 5:

• Самыми значительными изменениями в этой версии являются переустановка webGUI с использованием Bootstrap, а базовая система, включая базовую систему и ядро, полностью преобразуется в FreeBSD pkg. Преобразование pkg позволяет нам обновлять отдельные части системы в отдельности, а не монолитные обновления прошлого. Переработка webGUI привносит новый отзывчивый взгляд на pfSense, требуя минимального изменения размера или прокрутки на широком диапазоне устройств от настольных компьютеров до мобильных телефонов.

Что нового в версии 2.2.6 / 2.3 Alpha:

• pfSense-SA-15_09.webgui: Уязвимость локального файла в уязвимости в веб-интерфейсе pfSense
• pfSense-SA-15_10.captiveportal: Уязвимость SQL Injection в отладочном выходе портала pfSense
• pfSense-SA-15_11.webgui: множественные уязвимости XSS и CSRF в веб-интерфейсе pfSense
• Обновлен во FreeBSD 10.1-RELEASE-p25
• FreeBSD-SA-15: 26.openssl Несколько уязвимостей в OpenSSL
• Обновлено strongSwan до 5.3.5_2
• Включает исправление уязвимости обхода для CVE-2015-8023 в плагине eap-mschapv2.

Что нового в версии 2.2.5 / 2.3 Alpha:

• pfSense-SA-15_08.webgui: Уязвимости с множественным хранением XSS в веб-интерфейсе pfSense
• Обновлен во FreeBSD 10.1-RELEASE-p24:
• FreeBSD-SA-15: 25.ntp Несколько уязвимостей в NTP [ПЕРЕСМОТРЕННО]
• FreeBSD-SA-15: 14.bsdpatch: из-за недостаточной санитаризации входного потока исправлений файл патча может привести к тому, что патч (1) будет запускать команды в дополнение к требуемым командам SCCS или RCS.
• FreeBSD-SA-15: 16.openssh: клиент OpenSSH неправильно проверяет записи DNS SSHFP, когда сервер предлагает сертификат. CVE-2014-2653. Серверы OpenSSH, которые настроены на авторизацию пароля с использованием PAM (по умолчанию), позволят много попыток ввода пароля.
• FreeBSD-SA-15: 18.bsdpatch: из-за недостаточной саниции входного потока исправлений файл патча может привести к тому, что патч (1) передаст определенные ed (1) скрипты в ed (1) редактор, который будет запускать команды.
• FreeBSD-SA-15: 20.expat: в функции XML_GetBuffer () в библиотеке expat обнаружено множественное целочисленное переполнение.
• FreeBSD-SA-15: 21.amd64: Если инструкция IRET в режиме ядра генерирует исключение #SS или #NP, но обработчик исключений не обеспечивает надлежащую перезагрузку правой базы регистра GS для ядра , сегмент GS пользовательской области может использоваться в контексте обработчика исключений ядра.
• FreeBSD-SA-15: 22.openssh: Ошибка программирования в процессе привилегированного мониторинга службы sshd (8) может позволить перезаписывать имя пользователя уже прошедшего проверку пользователя непривилегированным дочерним процессом. Бесполезная ошибка в процессе привилегированного мониторинга службы sshd (8) может быть детерминистически вызвана действиями скомпрометированного непривилегированного дочернего процесса. Ошибка после использования в сеансовом мультиплексировании в службе sshd (8) может привести к непреднамеренному завершению соединения.

Что нового в версии 2.2.4:

• pfSense-SA-15_07.webgui: Уязвимости с множественным хранением XSS в веб-интерфейсе pfSense
• Полный список затронутых страниц и полей указан в связанном SA.
• FreeBSD-SA-15: 13.tcp: истощение ресурсов из-за сеансов, застрявших в состоянии LAST_ACK. Обратите внимание, что это относится только к сценариям, где порты, прослушивающие сам pfSense (а не объекты, проходящие через NAT, маршрутизацию или мосты), открываются в ненадежные сети. Это не относится к конфигурации по умолчанию.
• Примечание: FreeBSD-SA-15: 13.openssl не относится к pfSense. pfSense не включала уязвимую версию OpenSSL и, следовательно, не была уязвима.
• Дополнительные исправления для повреждения файлов в различных случаях во время нечистого отключения (сбой, потеря мощности и т. д.). # 4523
• Исправлено pw во FreeBSD для устранения повреждения passwd / group
• Исправлена ​​запись в config.xml для правильного использования fsync, чтобы избежать случаев, когда он может оказаться пустым. # 4803
• Удалена опция & lsquo; sync 'из файловых систем для новых полных установок и полных обновлений теперь, когда реальное исправление находится на месте.
• Удаленные обновления и ведение журнала (AKA SU + J) из NanoBSD, они остаются в полной установке. # 4822
• Патч Forceync для # 2401 по-прежнему считается вредным для файловой системы и не поддерживается. Таким образом, может быть заметная медлительность с NanoBSD на некоторых более медленных дисках, особенно CF-картах и, в меньшей степени, SD-картах. Если это проблема, файловая система может постоянно храниться в режиме чтения-записи, используя опцию Diagnostics & gt; NanoBSD. С учетом других изменений риск минимален. Мы рекомендуем как можно скорее заменить поврежденные CF / SD-носители новой, более быстрой карточкой. # 4822
• Модернизированный PHP до 5.5.27 для обращения к CVE-2015-3152 # 4832
• Снижение SSH LoginGraceTime от 2 минут до 30 секунд, чтобы уменьшить влияние ошибки обхода MaxAuthTries. Примечание. Sshlockout блокирует нарушающие IP-адреса во всех прошлых, текущих и будущих версиях. # 4875

Что нового в версии 2.2.3:

• pfSense-SA-15_06.webgui: множественные уязвимости XSS в веб-интерфейсе pfSense
• Полный список затронутых страниц и полей большой, и все они указаны в связанной SA.
• FreeBSD-SA-15: 10.openssl: множественные уязвимости OpenSSL (включая Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Что нового в версии 2.2.2:

• Этот выпуск включает два обновления безопасности с низким уровнем риска:
• FreeBSD-SA-15: 09.ipv6: отказ в обслуживании с рекламой маршрутизаторов IPv6. Если система использует тип DHCPv6 WAN, устройства в том же широковещательном домене, что и эта глобальная сеть, могут отправлять обработанные пакеты, что приводит к тому, что система теряет IPv6-подключение к Интернету.
• FreeBSD-SA-15: 06.openssl: множественные уязвимости OpenSSL. Большинство из них неприменимы, а худшее воздействие - отказ в обслуживании.

Что нового в версии 2.2.1:

• Исправления безопасности:
• pfSense-SA-15_02.igmp: Переполнение целых чисел в протоколе IGMP (FreeBSD-SA-15: 04.igmp)
• pfSense-SA-15_03.webgui: множественные уязвимости XSS в веб-интерфейсе pfSense
• pfSense-SA-15_04.webgui: произвольная уязвимость удаления файлов в веб-интерфейсе pfSense
• FreeBSD-EN-15: 01.vt: vt (4) сбой с неправильными параметрами ioctl
• FreeBSD-EN-15: 02.openssl: обновление для включения исправлений надежности из OpenSSL
• Заметка об уязвимости OpenSSL «FREAK»:
• Не влияет на конфигурацию веб-сервера на брандмауэре, так как он не имеет активированных экспортных шифров.
• pfSense 2.2 уже включил OpenSSL 1.0.1k, который устранял уязвимость на стороне клиента.
• Если пакеты включают веб-сервер или аналогичный компонент, например прокси-сервер, может быть затронута неправильная конфигурация пользователя. Подробнее см. В документации по упаковке или на форуме.

Что нового в версии 2.2:

• Этот выпуск обеспечивает улучшение производительности и аппаратной поддержки с базы FreeBSD 10.1, а также усовершенствования, которые мы добавили, такие как AES-GCM с ускорением AES-NI, среди ряда других новых функций и исправлений ошибок.
• В процессе достижения выпуска мы закрыли 392 общих билета (этот номер включает 55 функций или задач), исправлено 135 ошибок, влияющих на версии 2.1.5 и предыдущие версии, исправлено еще 202 ошибки, внесенных в 2.2, путем продвижения базы OS версии от FreeBSD 8.3 до 10.1, сменив демонов для IPsec от racoon до strongSwan, обновив бэкэнд PHP до версии 5.5 и переключив его с FastCGI на PHP-FPM и добавив Unbound DNS Resolver и множество небольших изменений.
• Этот выпуск содержит четыре исправления безопасности с низким уровнем воздействия:
• Обновление openssl для FreeBSD-SA-15: 01.openssl
• Несколько уязвимостей XSS в веб-интерфейсе. pfSense-SA-15_01
• Обновление OpenVPN для CVE-2014-8104
• Обновление NTP FreeBSD-SA-14: 31.ntp - хотя эти обстоятельства, похоже, не влияют на pfSense.

Что нового в версии 2.1.4:

• Исправления безопасности:
• pfSense-SA-14_07.openssl
• FreeBSD-SA-14: 14.openssl
• pfSense-SA-14_08.webgui
• pfSense-SA-14_09.webgui
• pfSense-SA-14_10.webgui
• pfSense-SA-14_11.webgui
• pfSense-SA-14_12.webgui
• pfSense-SA-14_13.packages
• Пакеты также имели свои собственные исправления и нуждаются в обновлении. Во время процесса обновления прошивки пакеты будут переустановлены правильно. В противном случае удалите и переустановите пакеты, чтобы убедиться, что используется последняя версия двоичных файлов.
• Другие исправления:
• Патч для Captive Portal pipeno утечки проблемы, которая приводит к & lsquo; Максимальный логин достигнут 'на Captive Portal. # 3062
• Удалить текст, не имеющий отношения к разрешенным IP-адресам на Captive Portal. # 3594
• Удалить единицы из пакета, поскольку он всегда указывается в байтах. (Per ipfw (8)).
• Добавить столбец для внутреннего порта на странице состояния UPnP.
• Выполните прослушивание по интерфейсу, а не по IP для UPnP.
• Исправить выделение выбранных правил. # 3646
• Добавьте guiconfig в виджеты, не включая его. # 3498
• / etc / version_kernel и / etc / version_base больше не существуют, используйте php_uname, чтобы вместо этого получить версию для проверки XMLRPC.
• Исправить переменную typo. # 3669
• Удалить все псевдонимы IP при отключении интерфейса. # 3650
• Правильно обрабатывайте переименование архива RRD во время обновления и шумоподавления, если он не работает.
• Преобразование протокола ssl: // в https: // при создании заголовков HTTP для XMLRPC.
• Показать отключенные интерфейсы, когда они уже были частью группы интерфейсов. Это позволяет избежать отображения случайного интерфейса и позволить пользователю добавить его по ошибке. # 3680
• Директива client-config-dir для OpenVPN также полезна при использовании внутреннего DHCP OpenVPN при мостах, поэтому добавьте его и в этом случае.
• Используйте скручивание вместо извлечения для загрузки файлов обновлений. # 3691
• Переместить переменную перед переходом к оболочке из stop_service ().
• Добавьте некоторую защиту для параметров, которые проходят через _GET в управлении службами.
• Аргумент Escape при вызове is_process_running также удаляет ненужные вызовы mwexec ().
• Не разрешать имя группы интерфейсов больше 15 символов. # 3208
• Точнее, чтобы соответствовать членам интерфейса моста, он должен исправить # 3637
• Не истекли уже отключенные пользователи, он исправляет # 3644
• Подтвердить время начала и время останова на firewall_schedule_edit.php
• Будьте осторожны с параметром хоста на diag_dns.php и убедитесь, что он экранирован, когда функции оболочки вызова
• Параметры Escape, переданные в shell_exec () в diag_smart.php и в другом месте
• Убедитесь, что переменные экранированы / дезинфицированы по статусу_rrd_graph_img.php
• Заменить вызовы exec для запуска rm с помощью unlink_if_exists () на status_rrd_graph_img.php
• Заменить все вызовы `hostname` на php_uname (& lsquo; n ') на status_rrd_graph_img.php
• Заменить все `date` вызовы strftime () на status_rrd_graph_img.php
• Добавьте $ _gb для сбора возможного мусора из возврата exec на status_rrd_graph_img.php
• Избегайте обхода каталога в pkg_edit.php при чтении XML-файлов пакета, также проверьте, существует ли файл, прежде чем пытаться его прочитать.
• Удалить id = 0 из меню miniupnpd и ярлыка
• Удалить. и / из имени pkg, чтобы избежать обхода каталога в pkg_mgr_install.php
• Исправить дамп ядра при просмотре неверного журнала пакетов
• Избегайте обхода каталога по адресу system_firmware_restorefullbackup.php
• Повторно сгенерировать идентификатор сеанса при успешном входе во избежание фиксации сеанса
• Защитить параметры rssfeed с помощью htmlspecialchars () в rss.widget.php
• Защитить параметр servicestatusfilter с помощью htmlspecialchars () в services_status.widget.php
• Всегда указывать атрибут httponly для файлов cookie
• Установить & lsquo; Отключить autocomplete входа в систему WebConfigurator 'как по умолчанию для новых установок
• Упростите логику, добавьте некоторую защиту для пользовательских параметров ввода в log.widget.php
• Убедитесь, что одинарные кавычки закодированы и избегают инъекции javascript на exec.php
• Добавьте отсутствующие протоколы NAT в firewall_nat_edit.php
• Удалите лишние данные после пробела в DSCP и исправьте синтаксис правила pf. # 3688
• Включить только запланированное правило, если оно строго до конца. # 3558

Что нового в версии 2.1.1:

• Самое большое изменение - закрыть следующие проблемы безопасности / CVE:
• FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
• FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
• FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
• Кроме этого, драйверы em / igb / ixgb / ixgbe были обновлены, чтобы добавить поддержку i210 и i354 NIC. Некоторые сетевые адаптеры Intel 10Gb Ethernet также будут видеть улучшенную производительность.