pfSense

pfSense & reg; är ett fritt distribuerat och öppen källkod BSD-operativsystem som härrör från det välkända m0n0wall-projektet, men med radikalt olika mål som att använda Packet Filter och de senaste FreeBSD-teknikerna.

Projektet kan användas som både router och brandvägg. Det innehåller ett paketsystem som gör att systemadministratörer enkelt kan förlänga produkten utan att lägga till potentiella säkerhetsproblem och uppblåsa till basdistributionen.

Viktiga funktioner inkluderar toppmoderna brandvägg, inkommande / utgående lastbalansering, statstabell, NAT (Network Address Translation), hög tillgänglighet, VPN (Virtual Private Network) med stöd för IPsec, PPTP och OpenVPN, PPPoE server, dynamisk DNS, captive portal, rapportering och övervakning.

Det är ett aktivt utvecklat brandväggsoperativsystem, distribuerat som gz arkiverad Live CD och bara ISO-bilder, USB-stickinstallationer, samt NanoBSD / inbäddade medier. Både 64-bitars (amd64) och 32-bitars (i386) hårdvaruplattformar stöds nu.

Flera fördefinierade boot-alternativ är tillgängliga under startprocessen, till exempel att starta operativsystemet med standardinställningar, med ACPI-avstängt, med hjälp av USB-enheter, i säkert läge, i enkelanvändarläge, med ordentlig loggning, såväl som få tillgång till en shellprompt eller starta om maskinen.

Medan distributionen kommer att fråga användarna om de vill konfigurera VLAN (Virtual LAN) från get-go, kommer det att kräva att åtminstone ett tilldelat nätverksgränssnitt ska fungera. Detta innebär att om du inte har / konfigurerar minst ett gränssnitt, pfSense & reg; vann inte ens starta.

Används som brandvägg för små hemnätverk, universitet, stora företag eller någon annan organisation där behovet av att skydda tusentals nätverksenheter är oerhört viktigt, pfSense & reg; har laddats ner av över en miljon användare från hela världen, sedan starten.

Det är en av de bästa öppen källväggsprojekt som är konstruerade för att ge användare alla funktioner som kommersiella brandväggsprodukter kommer med. Idag pfSense & reg; används i många hårdvara brandväggslösningar, inklusive Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall eller Watchguard.

pfSense & reg; är ett registrerat varumärke och servicemärke som ägs av Electric Sheep Fencing LLC. Se www.electricsheepfencing.com.

Vad är nytt i den här utgåvan:

• Säkerhet / Errata
• Uppdaterad till OpenSSL 1.0.2m för att adressera CVE-2017-3736 och CVE-2017-3735
• FreeBSD-SA-17: 10.kldstat
• FreeBSD-SA-17: 08.ptrace
• Fäst en potentiell XSS-vektor i status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
• Fäst en potentiell XSS-vektor i diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
• Fäst en potentiell XSS-vektor på index.php via widget sekvensparametrar # 8000 pfSense-SA-17_09.webgui.asc
• Fixat en potentiell XSS i widget-tangentparametern för widgets widgets för flera instanser # 7998 pfSense-SA-17_09.webgui.asc
• Fixat ett potentiellt clickjackingproblem på CSRF-felsidan
• Gränssnitt
• Fasta PPP-gränssnitt med en VLAN-förälder när du använder de nya VLAN-namnen # 7981
• Fasta problem med QinQ-gränssnitt som inte visar som aktiv # 7942
• Fixat en panik / krasch när du inaktiverar ett LAGG-gränssnitt # 7940
• Fasta problem med LAGG-gränssnitt som förlorar MAC-adressen # 7928
• Fixade en krasch i radvd på SG-3100 (ARM) # 8022
• Lös ett problem med UDP-paketdroppar på SG-1000 # 7426
• Lades till ett gränssnitt för att hantera den inbyggda strömbrytaren på SG-3100
• Avklippade fler tecken ur gränssnittsbeskrivningen för att undvika konsolmenyutmatningsledningar på en VGA-konsol
• Fast hantering av VIP uniqueid-parametern vid byte av VIP-typer
• Fasta PPP-länkparameterfältdisplayen när ett VLAN-föräldragränssnitt valdes # 8098
• Operativsystem
• Fasta problem som härrör från att ha en manuellt konfigurerad filsystemlayout med separat / usr-skiva # 8065
• Fasta problem med att uppdatera ZFS-system skapade ZFS med ett MBR-partitionsschema (tom / start på grund av att bootpool inte importeras) # 8063
• Fasta problem med BGP-sessioner som använder MD5 TCP-signaturer i routing-demonpaket # 7969
• Uppdaterad dpinger till 3.0
• Förbättrade valmöjligheter och metoder för uppdatering av repository
• Uppdaterade systeminställningarna som säger att OS inte skördar data från avbrott, punkt-till-punkt-gränssnitt och Ethernet-enheter för att återspegla det nya namnet / formatet för FreeBSD 11
• Ändrad regleruppsättning så att den försöker om en annan process befinner sig i en uppdatering, snarare än att presentera ett fel för användaren
• Fixade några UEFI-boot-problem på olika plattformar
• Certifikat
• Fasta ogiltiga poster i /etc/ssl/openssl.cnf (endast påverkad icke-standard användning av openssl i cli / shell) # 8059
• Fast LDAP-autentisering när servern använder en globalt tillförlitlig root-CA (nytt CA-val för "Global Root CA List") # 8044
• Fasta problem med att skapa ett certifikat med ett jokertecken CN / SAN # 7994
• Tillagd validering till certifikathanteraren för att förhindra att importera ett certifikat för certifikatutfärdande i CA-fliken # 7885
• IPsec
• Lös ett problem med hjälp av IPsec CA-certifikat när motivet innehåller flera RDN-nummer av samma typ # 7929
• Lös ett problem med att möjliggöra IPsec-mobilklientsupport på översatta språk # 8043
• Fasta problem med IPsec-statusvisning / -utmatning, inklusive flera poster (en frånkopplad, en ansluten) # 8003
• Fast visning av flera anslutna mobila IPsec-klienter # 7856
• Fast visning av barn SA-poster # 7856
• OpenVPN
• Tillagde ett alternativ för OpenVPN-servrar att använda "redirect-gateway ipv6 & quot; att fungera som standardgateway för att ansluta VPN-klienter med IPv6, liknande "redirect-gateway def1" för IPv4. # 8082
• Fixera alternativet OpenVPN Client Certificate Revocation List # 8088
• Trafikformning
• Ett fel vid konfigurering av en begränsare över 2Gb / s (ny max är 4Gb / s) # 7979
• Fasta problem med broverksgränssnitt som inte stöder ALTQ # 7936
• Fasta problem med vtnet-nätverksgränssnitt som inte stöder ALTQ # 7594
• Lös ett problem med Status & gt; Köer som inte visar statistik för VLAN-gränssnitt # 8007
• Lös ett problem med trafikformningsköer som inte tillåter att alla barnköer totalt är 100% # 7786
• Lös ett problem med gränsvärdena angivna ogiltiga fraktionella / icke-heltalsvärden från begränsande poster eller vidarebefordras till Captive Portal från RADIUS # 8097
• Regler / NAT
• Fast val av IPv6-gateways när du skapar en ny brandväggsregel # 8053
• Fasta fel på konfigurationssidan Port framåt som följer av inaktuell / icke-pfSense cookie / query data # 8039
• Fast inställning VLAN Prioritet via brandväggsregler # 7973
• XMLRPC
• Lös ett problem med XMLRPC-synkronisering när synkroniseringsanvändaren har ett lösenord som innehåller mellanslag # 8032
• Fasta XMLRPC-problem med Captive Portal-kuponger # 8079
• WebGUI
• Tillagde ett alternativ för att inaktivera HSTS för GUI-webbservern # 6650
• Ändrad webbtjänst för GUI för att blockera direkt nedladdning av .inc-filer # 8005
• Fast sortering av tjänster på instrumentbräd widgeten och Tjänstens status sida # 8069
• Lös en inmatningsproblem där statiska IPv6-poster tillåter ogiltig inmatning för adressfält # 8024
• Fixat ett JavaScript-syntaxfel i trafikgrafer när det uppstått ogiltiga data (t ex användaren loggades ut eller sessionen rensades) # 7990
• Fasta provtagningsfel i trafikgrafer # 7966
• Fixat ett JavaScript-fel på Status & gt; Övervakning # 7961
• Lös ett visningsproblem med tomma tabeller i Internet Explorer 11 # 7978
• Ändrad konfigurationsbehandling för att använda ett undantag snarare än att dö () när det upptäcker en skadad konfiguration
• Tillagd filtrering till pfTop-sidan
• Tillagde ett sätt för paket för att visa en modal för användaren (t.ex. omstart krävs innan paketet kan användas)
• Instrumentbräda
• Fast visning av tillgängliga uppdateringar i widgeten Installerad paket Dashboard # 8035
• Fixa en typsnittsproblem i widgeten Support Dashboard # 7980
• Fasta formatering av skivor / partitioner i widgeten Systeminformation Dashboard
• Lös ett problem med widgeten Bilder när det inte finns någon giltig bild sparad # 7896
• paket
• Fast visning av paket som har tagits bort från förvaret i pakethanteraren # 7946
• Lös ett problem som visar lokalt installerade paket när fjärrpaketet är otillgängligt # 7917
• Misc
• Fast gränssnittsbindning i ntpd så det lyssnar inte felaktigt på alla gränssnitt # 8046
• Fixat ett problem där omstart av syslogd-tjänsten skulle göra sshlockout_pf-processföräldralösa # 7984
• Tillagt stöd för ClouDNS dynamiska DNS-leverantör # 7823
• Lös ett problem på sidorna Användare och grupphanterare när du använder inmatningar omedelbart efter radering av en post # 7733
• Ändrade installationsguiden så att den hoppar över gränssnittskonfigurationen när den körs på en AWS EC2 Instance # 6459
• Fixat en IGMP Proxy-fråga med All-Multicast-läget på SG-1000 # 7710

Vad är nytt i version:

• Dashboarduppdateringar:
• I Dashboard 2.3.4-RELEASE hittar du några ytterligare bitar av information: BIOS-leverantören, versionen och utgivningsdatumet - om brandväggen kan bestämma dem - och ett Netgate-unikt ID. Netgate Unique ID liknar ett serienummer, det används för att unikt identifiera en förekomst av pfSense-programvara för kunder som vill köpa supporttjänster. För hårdvara som säljs i vår butik tillåter vi oss också att koppla enheter till våra tillverkningsrekord. Detta ID överensstämmer över alla plattformar (bara metall, virtuella maskiner och värd / moln instanser som AWS / Azure). Vi hade ursprungligen för avsikt att använda maskinvaru serienummer eller UUID genererade av operativsystemet, men vi fann att dessa var opålitliga, inkonsekventa och de kunde förändras oväntat när operativsystemet installerades igen.
• Liksom med serienumret visas den här identifieraren endast på instrumentpanelen för information och skickas inte som standard automatiskt som standard. I framtiden kan kunderna använda den här identifieraren när de begär supportinformation från våra anställda eller system.
• Om du inte har hunnit komma över ändringarna i 2.3.x, kolla in videon Egenskaper och Highlights. Tidigare blogginlägg har täckt några av ändringarna, till exempel prestandaförbättringarna från försöket och webGUI-uppdateringen.
• GUI-certifikat för brandväggar:
• Användare av Chrome 58 och senare, och i vissa fall Firefox 48 och senare, kan ha problem med åtkomst till pfSense webb GUI om det använder ett automatiskt självtecknat certifikat som automatiskt genereras av en brandvägg som kör pfSense version 2.3.3-p1 eller tidigare. Detta beror på att Chrome 58 strikt tillämpar RFC 2818, vilket kräver att endast matchande värdnamn använder ämnena Alternativa namn (SAN) i stället för fältet Gemensamt namn för ett certifikat, och det standardintecknade certifikatet inte fyllde i SAN-fältet.
• Vi har korrigerat certifikatkoden för att korrekt följa RFC 2818 på ett användarvänligt sätt genom att automatiskt lägga till certifikatet Common Name-värde som den första SAN-posten.
• Firewall-administratörer måste skapa ett nytt certifikat för användning av GUI för att kunna använda det nya formatet. Det finns flera sätt att skapa ett kompatibelt certifikat, inklusive:
• Generera och aktivera ett nytt GUI-certifikat automatiskt från konsolen eller ssh-skalet med hjälp av ett av våra uppspelningsskript:
• pfSsh.php-uppspelning generateguicert
• Använd ACME-paketet för att skapa ett betrodat certifikat för GUI via Låt oss kryptera, vilket redan är korrekt formaterat.
• Skapa manuellt en ny, självsignerad certifikatmyndighet (CA) och ett serverns certifikat som skrivs av den CA, använd sedan det för GUI.
• Aktivera den lokala webbläsaren "EnableCommonNameFallbackForLocalAnchors & quot; alternativet i Chrome 58. Den här inställningen tas bort av Chrome så småningom, så det här är bara en tillfällig åtgärd.
• Vissa användare kanske kommer ihåg att det här inte är första gången som standardcertifikatformatet har varit problematiskt på grund av webbläsarens förändringar. För flera år sedan, Firefox förändrat hur de beräkna betrodda certifikat kedjor, som skulle kunna göra en webbläsare verkar frysa eller hänga när du försöker att få tillgång till flera brandväggar med självsignerade certifikat som innehåller gemensam standard uppgifter som resulterade i alla sådana intyg som innehåller samma ämne. Att fixa det var mer en utmaning, men det resulterade i en mycket bättre slutanvändarupplevelse.

Vad är nytt i version 2.3.4:

• Dashboarduppdateringar:
• I Dashboard 2.3.4-RELEASE hittar du några ytterligare bitar av information: BIOS-leverantören, versionen och utgivningsdatumet - om brandväggen kan bestämma dem - och ett Netgate-unikt ID. Netgate Unique ID liknar ett serienummer, det används för att unikt identifiera en förekomst av pfSense-programvara för kunder som vill köpa supporttjänster. För hårdvara som säljs i vår butik tillåter vi oss också att koppla enheter till våra tillverkningsrekord. Detta ID överensstämmer över alla plattformar (bara metall, virtuella maskiner och värd / moln instanser som AWS / Azure). Vi hade ursprungligen för avsikt att använda maskinvaru serienummer eller UUID genererade av operativsystemet, men vi fann att dessa var opålitliga, inkonsekventa och de kunde förändras oväntat när operativsystemet installerades igen.
• Liksom med serienumret visas den här identifieraren endast på instrumentpanelen för information och skickas inte som standard automatiskt som standard. I framtiden kan kunderna använda den här identifieraren när de begär supportinformation från våra anställda eller system.
• Om du inte har hunnit komma över ändringarna i 2.3.x, kolla in videon Egenskaper och Highlights. Tidigare blogginlägg har täckt några av ändringarna, till exempel prestandaförbättringarna från försöket och webGUI-uppdateringen.
• GUI-certifikat för brandväggar:
• Användare av Chrome 58 och senare, och i vissa fall Firefox 48 och senare, kan ha problem med åtkomst till pfSense webb GUI om det använder ett automatiskt självtecknat certifikat som automatiskt genereras av en brandvägg som kör pfSense version 2.3.3-p1 eller tidigare. Detta beror på att Chrome 58 strikt tillämpar RFC 2818, vilket kräver att endast matchande värdnamn använder ämnena Alternativa namn (SAN) i stället för fältet Gemensamt namn för ett certifikat, och det standardintecknade certifikatet inte fyllde i SAN-fältet.
• Vi har korrigerat certifikatkoden för att korrekt följa RFC 2818 på ett användarvänligt sätt genom att automatiskt lägga till certifikatet Common Name-värde som den första SAN-posten.
• Firewall-administratörer måste skapa ett nytt certifikat för användning av GUI för att kunna använda det nya formatet. Det finns flera sätt att skapa ett kompatibelt certifikat, inklusive:
• Generera och aktivera ett nytt GUI-certifikat automatiskt från konsolen eller ssh-skalet med hjälp av ett av våra uppspelningsskript:
• pfSsh.php-uppspelning generateguicert
• Använd ACME-paketet för att skapa ett betrodat certifikat för GUI via Låt oss kryptera, vilket redan är korrekt formaterat.
• Skapa manuellt en ny, självsignerad certifikatmyndighet (CA) och ett serverns certifikat som skrivs av den CA, använd sedan det för GUI.
• Aktivera den lokala webbläsaren "EnableCommonNameFallbackForLocalAnchors & quot; alternativet i Chrome 58. Den här inställningen tas bort av Chrome så småningom, så det här är bara en tillfällig åtgärd.
• Vissa användare kanske kommer ihåg att det här inte är första gången som standardcertifikatformatet har varit problematiskt på grund av webbläsarens förändringar. För flera år sedan, Firefox förändrat hur de beräkna betrodda certifikat kedjor, som skulle kunna göra en webbläsare verkar frysa eller hänga när du försöker att få tillgång till flera brandväggar med självsignerade certifikat som innehåller gemensam standard uppgifter som resulterade i alla sådana intyg som innehåller samma ämne. Att fixa det var mer en utmaning, men det resulterade i en mycket bättre slutanvändarupplevelse.

Vad är nytt i version 2.3.3-p1:

• FreeBSD-SA-16: 26.openssl - Flera sårbarheter i OpenSSL. Den enda signifikanta effekten på pfSense är OCSP för HAproxy och FreeRADIUS.
• Flera HyperV-relaterade Errata i FreeBSD 10.3, FreeBSD-EN-16: 10 till 16:16. Se https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html för mer information.
• Flera inbyggda paket och bibliotek har uppdaterats, inklusive:
• PHP till 5.6.26
• libidn till 1.33
• curl till 7.50.3
• libxml2 till 2.9.4
• Tillagd kodning till parametern "zon" på Captive Portal-sidor.
• Tillagd kodning till diag_dns.php för resultat som returneras från DNS. # 6737
• Arbetade runt ett Chrome-fel med regelbundet uttryckssparsning av flyktiga tecken inom teckenuppsättningar. Fixes "Vänligen matcha det begärda formatet" på senaste Chrome-versionerna. # 6762
• Fast DHCPv6-serverformatalternativ # 6640
• Fast / usr / bin / install saknas från nya installationer. # 6643
• Ökad filtergräns för loggning, så att sökningen kommer att hitta tillräckliga poster. # 6652
• Uppgraderad installerad paket widget och HTML. # 6601
• Korrekt widget-inställningar för korrigeringar när du skapar nya inställningar. # 6669
• Fasta olika typsnitt och formuleringsfel.
• Avlägsnade borttagna länkar till devwiki-webbplatsen. Allt är på https://doc.pfsense.org nu.
• Lades till ett fält på CA / Cert-sidor för OU, vilket krävs av vissa externa CA och användare. # 6672
• Fixat ett redundant HTTP "User-Agent" sträng i DynDNS-uppdateringar.
• Fixera teckensnittet för sorterbara tabeller.
• Lades till en check för att verifiera om ett gränssnitt är aktivt i en gatewaygrupp innan uppdatering av dynamisk DNS.
• Fast formulering av "Avvisa leasingavtal från" alternativ för ett DHCP-gränssnitt (det kan bara ta adresser, inte subnät.) # 6646
• Felrapportering för SMTP-inställningstest.
• Fast lagring av land, leverantör och planvärden för PPP-gränssnitt
• Fast kontroll av ogiltigt & quot; Gå till linje & quot; siffror på diag_edit.php. # 6704
• Felaktigt fel vid "Rader till bildskärm" på diag_routes.php. # 6705
• Fast beskrivning av filterrutan på diag_routes.php för att återspegla att alla fält är sökbara. # 6706
• Fast beskrivning av rutan för filen som ska redigeras på diag_edit.php. # 6703
• Fast beskrivning av huvudpanelen på diag_resetstate.php. # 6709
• Fasta varningsdialog när en ruta är avmarkerad på diag_resetstate.php. # 6710
• Fast logggenväg för DHCP6-områden. # 6700
• Lös nätverksavbrytningsknappen som visar när endast en rad var närvarande på services_unbound_acls.php # 6716
• Fast försvinnande hjälptext på repeterbara rader när den sista raden raderas. # 6716
• Fast dynamisk DNS-domän för DHCP-poster för statisk karta
• Tillagd kontroll för att ställa in uppdateringsperiod för instrumentbräd widgeten
• Tillagd "-C / dev / null" till parametrarna för dnsmasq-kommandoraden för att undvika att det tar upp en felaktig standardkonfiguration som skulle åsidosätta våra alternativ. # 6730
• Tillagd "-l" till traceroute6 för att visa både IP-adresser och värdnamn när man löser humle på diag_traceroute.php. # 6715
• Tillagd anteckning om max ttl / hoppa gränsen i källkommentaren på diag_traceroute.php.
• Klarat språk på diag_tables.php. # 6713
• Rengörde texten på diag_sockets.php. # 6708
• Fast visning av VLAN-gränssnittsnamn under konsoluppgift. # 6724
• Alternativ för fast domännamn-servrar som visar två gånger i pooler när de ställs in manuellt.
• Fast hantering av DHCP-alternativ i andra pooler än huvudintervallet. # 6720
• Fasta missade värdnamn i vissa fall med dhcpdv6. # 6589
• Förbättrad hantering av pidfile för dhcpleases.
• Tillagda kontroller för att förhindra åtkomst till en odefinierad förskjutning i IPv6.inc.
• Fixera bildskärmen för alias popup och redigera alternativ på käll och destination för både adress och port på utgående NAT.
• Fast hantering av backup-konfigurationsräkning. # 6771
• Ta bort några dangling PPTP-referenser som inte längre är relevanta.
• Fasta upp / fångade upp syslog-områden. Tillägget "routing", "ntpd", "ppp", "resolver", fixed "vpn" att inkludera alla VPN-områden (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Felaktiga kryssrutor i vissa fall när du lägger till rader på services_ntpd.php. # 6788
• Reviderad tjänst kör / stoppad ikoner.
• Tillagde en check till CRL-hanteringen för att ta bort certifikat från rullgardinslistan som redan finns i CRL som redigeras.
• Fasta regelseparatorer som flyttar när flera brandväggsregler raderas samtidigt. # 6801

Vad är nytt i version 2.3.3:

• FreeBSD-SA-16: 26.openssl - Flera sårbarheter i OpenSSL. Den enda signifikanta effekten på pfSense är OCSP för HAproxy och FreeRADIUS.
• Flera HyperV-relaterade Errata i FreeBSD 10.3, FreeBSD-EN-16: 10 till 16:16. Se https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html för mer information.
• Flera inbyggda paket och bibliotek har uppdaterats, inklusive:
• PHP till 5.6.26
• libidn till 1.33
• curl till 7.50.3
• libxml2 till 2.9.4
• Tillagd kodning till parametern "zon" på Captive Portal-sidor.
• Tillagd kodning till diag_dns.php för resultat som returneras från DNS. # 6737
• Arbetade runt ett Chrome-fel med regelbundet uttryckssparsning av flyktiga tecken inom teckenuppsättningar. Lösningar "Vänligen matcha det begärda formatet" på de senaste Chrome-versionerna. # 6762
• Fast DHCPv6-serverformatalternativ # 6640
• Fast / usr / bin / install saknas från nya installationer. # 6643
• Ökad filtergräns för loggning, så att sökningen kommer att hitta tillräckliga poster. # 6652
• Uppgraderad installerad paket widget och HTML. # 6601
• Korrekt widget-inställningar för korrigeringar när du skapar nya inställningar. # 6669
• Fasta olika typsnitt och formuleringsfel.
• Avlägsnade borttagna länkar till devwiki-webbplatsen. Allt är på https://doc.pfsense.org nu.
• Lades till ett fält på CA / Cert-sidor för OU, vilket krävs av vissa externa CA och användare. # 6672
• Fast en överflödig HTTP-användare-agentsträng i DynDNS-uppdateringar.
• Fixera teckensnittet för sorterbara tabeller.
• Lades till en check för att verifiera om ett gränssnitt är aktivt i en gatewaygrupp innan uppdatering av dynamisk DNS.
• Fast formulering av alternativet "Avvisa leasing från" för ett DHCP-gränssnitt (det kan bara ta adresser, inte undernät.) # 6646
• Felrapportering för SMTP-inställningstest.
• Fast lagring av land, leverantör och planvärden för PPP-gränssnitt
• Fast kontroll av ogiltiga "Gå till rad" -nummer på diag_edit.php. # 6704
• Fast felmeddelande med "Rader att visa" på diag_routes.php. # 6705
• Fast beskrivning av filterrutan på diag_routes.php för att återspegla att alla fält är sökbara. # 6706
• Fast beskrivning av rutan för filen som ska redigeras på diag_edit.php. # 6703
• Fast beskrivning av huvudpanelen på diag_resetstate.php. # 6709
• Fasta varningsdialog när en ruta är avmarkerad på diag_resetstate.php. # 6710
• Fast logggenväg för DHCP6-områden. # 6700
• Lös nätverksavbrytningsknappen som visar när endast en rad var närvarande på services_unbound_acls.php # 6716
• Fast försvinnande hjälptext på repeterbara rader när den sista raden raderas. # 6716
• Fast dynamisk DNS-domän för DHCP-poster för statisk karta
• Tillagd kontroll för att ställa in uppdateringsperiod för instrumentbräd widgeten
• Tillagd "-C / dev / null" till kommandoradsparametrarna dnsmasq för att undvika att det tar upp en felaktig standardkonfiguration som skulle överväga våra alternativ. # 6730
• Tillagd "-l" till traceroute6 för att visa både IP-adresser och värdnamn när man löser humle på diag_traceroute.php. # 6715
• Tillagd anteckning om max ttl / hoppa gränsen i källkommentaren på diag_traceroute.php.
• Klarat språk på diag_tables.php. # 6713
• Rengörde texten på diag_sockets.php. # 6708
• Fast visning av VLAN-gränssnittsnamn under konsoluppgift. # 6724
• Alternativ för fast domännamn-servrar som visar två gånger i pooler när de ställs in manuellt.
• Fast hantering av DHCP-alternativ i andra pooler än huvudintervallet. # 6720
• Fasta missade värdnamn i vissa fall med dhcpdv6. # 6589
• Förbättrad hantering av pidfile för dhcpleases.
• Tillagda kontroller för att förhindra åtkomst till en odefinierad förskjutning i IPv6.inc.
• Fixera visningen av alias popup och redigera alternativ på käll och destination för både adress och port på utgående NAT.
• Fast hantering av backup-konfigurationsräkning. # 6771
• Ta bort några dangling PPTP-referenser som inte längre är relevanta.
• Fasta upp / fångade upp syslog-områden. Tillagt "routing", "ntpd", "ppp", "resolver", fast "vpn" för att inkludera alla VPN-områden (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Felaktiga kryssrutor i vissa fall när du lägger till rader på services_ntpd.php. # 6788
• Reviderad tjänst kör / stoppad ikoner.
• Tillagde en check till CRL-hanteringen för att ta bort certifikat från rullgardinslistan som redan finns i CRL som redigeras.
• Fasta regelseparatorer som flyttar när flera brandväggsregler raderas samtidigt. # 6801

Vad är nytt i version 2.3.2-p1:

• FreeBSD-SA-16: 26.openssl - Flera sårbarheter i OpenSSL. Den enda signifikanta effekten på pfSense är OCSP för HAproxy och FreeRADIUS.
• Flera HyperV-relaterade Errata i FreeBSD 10.3, FreeBSD-EN-16: 10 till 16:16. Se https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html för mer information.
• Flera inbyggda paket och bibliotek har uppdaterats, inklusive:
• PHP till 5.6.26
• libidn till 1.33
• curl till 7.50.3
• libxml2 till 2.9.4
• Tillagd kodning till parametern "zon" på Captive Portal-sidor.
• Tillagd kodning till diag_dns.php för resultat som returneras från DNS. # 6737
• Arbetade runt ett Chrome-fel med regelbundet uttryckssparsning av flyktiga tecken inom teckenuppsättningar. Lösningar "Vänligen matcha det begärda formatet" på de senaste Chrome-versionerna. # 6762
• Fast DHCPv6-serverformatalternativ # 6640
• Fast / usr / bin / install saknas från nya installationer. # 6643
• Ökad filtergräns för loggning, så att sökningen kommer att hitta tillräckliga poster. # 6652
• Uppgraderad installerad paket widget och HTML. # 6601
• Korrekt widget-inställningar för korrigeringar när du skapar nya inställningar. # 6669
• Fasta olika typsnitt och formuleringsfel.
• Avlägsnade borttagna länkar till devwiki-webbplatsen. Allt är på https://doc.pfsense.org nu.
• Lades till ett fält på CA / Cert-sidor för OU, vilket krävs av vissa externa CA och användare. # 6672
• Fast en överflödig HTTP-användare-agentsträng i DynDNS-uppdateringar.
• Fixera teckensnittet för sorterbara tabeller.
• Lades till en check för att verifiera om ett gränssnitt är aktivt i en gatewaygrupp innan uppdatering av dynamisk DNS.
• Fast formulering av alternativet "Avvisa leasing från" för ett DHCP-gränssnitt (det kan bara ta adresser, inte undernät.) # 6646
• Felrapportering för SMTP-inställningstest.
• Fast lagring av land, leverantör och planvärden för PPP-gränssnitt
• Fast kontroll av ogiltiga "Gå till rad" -nummer på diag_edit.php. # 6704
• Fast felmeddelande med "Rader att visa" på diag_routes.php. # 6705
• Fast beskrivning av filterrutan på diag_routes.php för att återspegla att alla fält är sökbara. # 6706
• Fast beskrivning av rutan för filen som ska redigeras på diag_edit.php. # 6703
• Fast beskrivning av huvudpanelen på diag_resetstate.php. # 6709
• Fasta varningsdialog när en ruta är avmarkerad på diag_resetstate.php. # 6710
• Fast logggenväg för DHCP6-områden. # 6700
• Lös nätverksavbrytningsknappen som visar när endast en rad var närvarande på services_unbound_acls.php # 6716
• Fast försvinnande hjälptext på repeterbara rader när den sista raden raderas. # 6716
• Fast dynamisk DNS-domän för DHCP-poster för statisk karta
• Tillagd kontroll för att ställa in uppdateringsperiod för instrumentbräd widgeten
• Tillagd "-C / dev / null" till kommandoradsparametrarna dnsmasq för att undvika att det tar upp en felaktig standardkonfiguration som skulle överväga våra alternativ. # 6730
• Tillagd "-l" till traceroute6 för att visa både IP-adresser och värdnamn när man löser humle på diag_traceroute.php. # 6715
• Tillagd anteckning om max ttl / hoppa gränsen i källkommentaren på diag_traceroute.php.
• Klarat språk på diag_tables.php. # 6713
• Rengörde texten på diag_sockets.php. # 6708
• Fast visning av VLAN-gränssnittsnamn under konsoluppgift. # 6724
• Alternativ för fast domännamn-servrar som visar två gånger i pooler när de ställs in manuellt.
• Fast hantering av DHCP-alternativ i andra pooler än huvudintervallet. # 6720
• Fasta missade värdnamn i vissa fall med dhcpdv6. # 6589
• Förbättrad hantering av pidfile för dhcpleases.
• Tillagda kontroller för att förhindra åtkomst till en odefinierad förskjutning i IPv6.inc.
• Fixera visningen av alias popup och redigera alternativ på käll och destination för både adress och port på utgående NAT.
• Fast hantering av backup-konfigurationsräkning. # 6771
• Ta bort några dangling PPTP-referenser som inte längre är relevanta.
• Fasta upp / fångade upp syslog-områden. Tillagt "routing", "ntpd", "ppp", "resolver", fast "vpn" för att inkludera alla VPN-områden (IPsec, OpenVPN, L2TP, PPPoE Server). # 6780
• Felaktiga kryssrutor i vissa fall när du lägger till rader på services_ntpd.php. # 6788
• Reviderad tjänst kör / stoppad ikoner.
• Tillagde en check till CRL-hanteringen för att ta bort certifikat från rullgardinslistan som redan finns i CRL som redigeras.
• Fasta regelseparatorer som flyttar när flera brandväggsregler raderas samtidigt. # 6801

Vad är nytt i version 2.3.2:

• Backup / Restore:
• Tillåt inte att tillämpa ändringar på gränssnittet utan att matcha efterkonfigurationen tills omfördelningen sparas. # 6613
• Instrumentbräda:
• Dashboard har nu konfigurationsalternativ för användaren, dokumenterad i User Manager. # 6388
• DHCP-server:
• Inaktiverad dhcp-cache-tröskel för att undvika bugg i ISC dhcpd 4.3.x utelämnar klient-värdnamn från leasingfil, vilket gör att dynamisk värdnamnregistrering misslyckas i vissa kantfall. # 6589
• Observera att DDNS-tangenten måste vara HMAC-MD5. # 6622
• DHCP-relä:
• Importerad korrigering för dhcrelay-relaying-förfrågningar på gränssnittet där mål DHCP-servern finns. # 6355
• Dynamisk DNS:
• Tillåt * för värdnamn med Namecheap. # 6260
• Gränssnitt:
• Fix "kan inte tilldela önskad adress" vid start med track6-gränssnitt. # 6317
• Ta bort borttagna länkalternativ från GRE och gif. # 6586, # 6587
• Lyssna på "Avvisa hyror från" när DHCP "Advanced Options" är markerat. # 6595
• Skydda bifogade avgränsare i avancerad DHCP-klient, så kommatecken kan användas där. # 6548
• Lös standardrutten på PPPoE-gränssnitt saknas i vissa kantfall. # 6495
• IPsec:
• strongSwan uppgraderas till 5.5.0.
• Inkludera aggressiva i ipsec.conf där IKE-läge auto är vald. # 6513
• Övervakning av gateway:
• Fast "socket namn för stort" vilket gör att gatewayövervakning misslyckas på långa gränssnittsnamn och IPv6-adresser. # 6505
• avgränsare:
• Ställ pipe_slot_limit automatiskt till maximalt konfigurerat qlimit-värde. # 6553
• Övervakning:
• Fasta inga datoperioder rapporteras som 0, skewmedelvärden. # 6334
• Fixa verktygstips som visas som "none" för vissa värden. # 6044
• Fixa spara vissa standardkonfigurationsalternativ. # 6402
• Fixa X-axeln fläckar som inte svarar på upplösning för anpassade tidsperioder. # 6464
• OpenVPN:
• Synkronisera klientspecifika konfigurationer efter att ha sparat i OpenVPN-serverns instanser för att säkerställa att deras inställningar återspeglar den aktuella serverkonfigurationen. # 6139
• Operativsystem:
• Fasta pf-fragmenttillstånd som inte rensas, utlösande "PF-frag-inmatningsgränsen uppnådd". # 6499
• Ställ in kärnfilsplats så att de inte kan hamna i / var / köra och uttömma det lediga rummet. # 6510
• Fast "runtime gick bakåt" logg spam i Hyper-V. # 6446
• Fast traceroute6 hänger med icke-svarande hopp i banan. # 3069
• Tillagd symlink /var/run/dmesg.boot för vm-bhyve. # 6573
• Ställ in net.isr.dispatch = direkt på 32-bitarssystem med IPsec aktiverat för att förhindra krasch när man åtkomst till tjänster på värden själv via VPN. # 4754
• Routerannonser:
• Tillagda konfigurationsfält för minsta och maximala routerannonsintervall och routerens livslängd. # 6533
• Sträckning:
• Fasta statiska rutter med IPv6-länkens lokala målrouter för att inkludera gränssnittets räckvidd. # 6506
• Regler / NAT:
• Fast "PPPoE-klienter" platshållare i regler och NAT, och reglerfel vid användning av flytande regler som anger PPPoE-servern. # 6597
• Fast misslyckande att ladda regler med URL-tabellalias där tom fil anges. # 6181
• Fast TFTP-proxy med xinetd. # 6315
• uppgradering:
• Uppgraderingsfel med fast nanobsd där DNS-föraren / upplösaren inte är bunden till localhost. # 6557
• Virtuella IP: er:
• Fasta prestanda problem med ett stort antal virtuella IP-adresser. # 6515
• Fast PHP-minneutmattning på CARP-statussidan med stora statliga tabeller. # 6364
• Webbgränssnitt:
• Tillagd sortering till DHCP statisk kartläggningstabell. # 6504
• Fast filuppladdning av NTP-språng sekunder. # 6590
• Tillagde IPv6-support till diag_dns.php. # 6561
• Tillagd IPv6-stöd för att filtrera loggar omvänd uppslag. # 6585
• Paket - behåll fältdata på inmatningsfel. # 6577
• Fasta flera IPv6-inmatningsvalideringsproblem som tillåter ogiltiga IPv6-IP-adresser. # 6551, # 6552
• Fasta vissa DHCPv6-hyror saknas från GUI-leasingdisplayen. # 6543
• Fasta staten dödar för 'i' riktning och stater med översatt destination. # 6530, # 6531
• Återställ inmatningsvalidering av captive portalzonnamn för att förhindra ogiltig XML. # 6514
• Ersätt kalenderdatumväljare i användarhanteraren med en som fungerar i andra webbläsare än Chrome och Opera. # 6516
• Återställd proxyportfält till OpenVPN-klienten. # 6372
• Ange beskrivning av portaliaser. # 6523
• Fast översättningsutgång där gettext skickade en tom sträng. # 6394
• Fast hastighetsval för 9600 i NTP GPS-konfiguration. # 6416
• Tillåt endast IPv6 IP-skivor på NPT-skärmen. # 6498
• Lägg till alias-importstöd för nätverk och portar. # 6582
• Fasta sorterbara tabellrubrikrubriker oddities. # 6074
• Rensa upp nätverksstart av DHCP Server-skärmen. # 6050
• Fixa "UNKNOWN" -länkar i pakethanteraren. # 6617
• Fixa fel på bandbreddsfält för CBQ-köer i trafikformat. # 6437
• UPnP:
• UPnP-presentationsadress och modellnummer kan nu konfigureras. # 6002
• Användarhanterare:
• Förhindra administratörer att radera sina egna konton i användarhanteraren. # 6450
• Övrigt:
• Tillagda PHP-shell sessioner för att aktivera och inaktivera persistent CARP-underhållsläge. "uppspelning aktivera" och "uppspelning disablecarpmaint". # 6560
• Exponerad seriell konsolkonfiguration för nanobsd VGA. # 6291

Vad är nytt i version 2.3.1 Update 5:

• De viktigaste förändringarna i denna release är en omskrivning av webGUI med Bootstrap, och det underliggande systemet, inklusive bassystemet och kärnan, omvandlas helt och hållet till FreeBSD pkg. Pkg-omvandlingen gör att vi kan uppdatera delar av systemet individuellt framåt, i stället för de monolitiska uppdateringarna från det förflutna. WebGUI-omskrivningen ger ett nytt lyhört utseende och känsla för att pfSense kräver ett minimum av storlek eller rullning på ett brett utbud av enheter från skrivbord till mobiltelefoner.

Vad är nytt i version 2.2.6 / 2.3 Alpha:

• pfSense-SA-15_09.webgui: Säkerhetsproblem i lokal filintegration i pfSense WebGUI
• pfSense-SA-15_10.captiveportal: Säkerhetsproblem för SQL-injektion i loggfilen för pfSense-fildelning
• pfSense-SA-15_11.webgui: Säkerhetsproblem i flera XSS och CSRF i pfSense WebGUI
• Uppdaterad till FreeBSD 10.1-RELEASE-p25
• FreeBSD-SA-15: 26.openssl Flera sårbarheter i OpenSSL
• Uppdaterad strongSwan till 5.3.5_2
• Innehåller åtgärd för CVE-2015-8023-autentiseringsbypass sårbarhet i eap-mschapv2-plugin.

Vad är nytt i version 2.2.5 / 2.3 Alpha:

• pfSense-SA-15_08.webgui: Säkerhetsfel i flera lagrade XSS i pfSense WebGUI
• Uppdaterad till FreeBSD 10.1-RELEASE-p24:
• FreeBSD-SA-15: 25.ntp Flera sårbarheter i NTP [REVISED]
• FreeBSD-SA-15: 14.bsdpatch: På grund av otillräcklig sanitisering av ingångsladdströmmen är det möjligt för en patchfil att orsaka att patch (1) kör kommandon utöver de önskade SCCS- eller RCS-kommandona.
• FreeBSD-SA-15: 16.openssh: OpenSSH-klienten verifierar inte DNS SSHFP-poster korrekt när en server erbjuder ett certifikat. CVE-2014-2653 OpenSSH-servrar som är konfigurerade för att tillåta lösenordsautentisering med PAM (standard) skulle tillåta många lösenordsförsök.
• FreeBSD-SA-15: 18.bsdpatch: På grund av otillräcklig sanitering av ingångsladdströmmen är det möjligt för en patchfil att orsaka att patch (1) passerar vissa ed (1) skript till Ed (1) redaktör, som skulle köra kommandon.
• FreeBSD-SA-15: 20.expat: Flera heltal överflöden har upptäckts i XML_GetBuffer () -funktionen i expat-biblioteket.
• FreeBSD-SA-15: 21.amd64: Om IRET-instruktionen för kärnläge genererar ett #SS- eller #NP-undantag, men undantagshanteraren inte korrekt ser till att rätt GS-registerbas för kärnan laddas om , användargruppen GS-segmentet kan användas i samband med kärnans undantagshanterare.
• FreeBSD-SA-15: 22.openssh: Ett programmeringsfel i den privilegierade övervakningsprocessen för sshd (8) -tjänsten kan tillåta användarnamnet för en redan autentiserad användare att skrivas över av den obehagliga barnprocessen. Ett nytt användningsfel i den privilegierade övervakningsprocessen för sshd (8) -tjänsten kan utlösas deterministiskt av åtgärderna för en kompromisslös, obefogad barnprocess. Ett nytt användarfel i sessionsmultiplexeringskoden i sshd (8) tjänsten kan leda till oavsiktlig avslutning av anslutningen.

Vad är nytt i version 2.2.4:

• pfSense-SA-15_07.webgui: Säkerhetsfel i flera lagrade XSS i pfSense WebGUI
• Den fullständiga listan över berörda sidor och fält är listad i den länkade SA.
• FreeBSD-SA-15: 13.tcp: Resursutmattning på grund av sessioner som fastnat i LAST_ACK-tillstånd. Observera att detta bara gäller scenarier där portar som lyssnar på pfSense i sig (inte saker som passeras via NAT, routing eller överbryggning) öppnas för otillförlitliga nätverk. Detta gäller inte för standardkonfigurationen.
• Obs! FreeBSD-SA-15: 13.openssl gäller inte pfSense. pfSense inkluderade inte en sårbar version av OpenSSL, och var således inte sårbar.
• Vidare korrigeras för korruptionsfil i olika fall under oren stängning (krasch, strömförlust etc.). # 4523
• Fast pw i FreeBSD för att adressera passwd / gruppkorruption
• Fast config.xml skrivning för att använda fsync korrekt för att undvika fall när det kan sluta tomt. # 4803
• Avlägsnade alternativet "Synkronisering" från filsystem för nya fullständiga installationer och fullständiga uppgraderingar nu när den verkliga korrigeringen är på plats.
• Ta bort mjukvaruuppdateringar och journaling (AKA SU + J) från NanoBSD, de är kvar på fullständiga installationer. # 4822
• Kraftsynkplåstret för # 2401 anses fortfarande vara skadligt för filsystemet och har sparats. Som sådan kan det finnas någon märkbar långsamhet med NanoBSD på vissa långsammare diskar, speciellt CF-kort och i mindre utsträckning SD-kort. Om det här är ett problem kan filsystemet hållas lässkrivet permanent med alternativet Diagnostics & gt; NanoBSD. Med de andra ovanstående förändringarna är risken minimal. Vi rekommenderar att du byter ut det drabbade CF / SD-mediet med ett nytt, snabbare kort så snart som möjligt. # 4822
• Uppgraderad PHP till 5.5.27 för att adressera CVE-2015-3152 # 4832
• Minskade SSH LoginGraceTime från 2 minuter till 30 sekunder för att mildra effekten av MaxAuthTries bypass bug. Obs! Sshlockout kommer att låsa ut överdrivna IP-adresser i alla tidigare, nuvarande och framtida versioner. # 4875

Vad är nytt i version 2.2.3:

• pfSense-SA-15_06.webgui: Säkerhetsproblem i flera XSS i pfSense WebGUI
• Den fullständiga listan över berörda sidor och fält är stor och alla är listade i den länkade SA.
• FreeBSD-SA-15: 10.openssl: Flera OpenSSL-sårbarheter (inklusive logg): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Vad är nytt i version 2.2.2:

• Den här utgåvan innehåller två säkerhetsriskuppdateringar med låg risk:
• FreeBSD-SA-15: 09.ipv6: Denial of Service med IPv6 Routerannonser. Om ett system använder DHCPv6 WAN-typ kan enheter i samma sändningsdomän som WAN skicka utformade paket som gör att systemet förlorar IPv6 Internet-anslutning.
• FreeBSD-SA-15: 06.openssl: Flera OpenSSL-sårbarheter. De flesta är inte tillämpliga, och störst påverkan är förnekelse av tjänsten.

Vad är nytt i version 2.2.1:

• Säkerhetsfixar:
• pfSense-SA-15_02.igmp: Integrerad övergång i IGMP-protokollet (FreeBSD-SA-15: 04.igmp)
• pfSense-SA-15_03.webgui: Säkerhetsproblem för flera XSS i pfSense WebGUI
• pfSense-SA-15_04.webgui: Säkerhetsproblem i godtycklig fil i pfSense WebGUI
• FreeBSD-EN-15: 01.vt: vt (4) krasch med felaktiga ioctl-parametrar
• FreeBSD-EN-15: 02.openssl: Uppdatering för att inkludera pålitlighetsfixar från OpenSSL
• En anteckning om OpenSSL "FREAK" sårbarhet:
• Påverkar inte webbserverns konfiguration på brandväggen eftersom den inte har exportkodor aktiverade.
• pfSense 2.2 inkluderade redan OpenSSL 1.0.1k som åtgärdade sårbarheten hos kunden.
• Om paket innehåller en webbserver eller liknande komponent, till exempel en proxy, kan en felaktig användarkonfiguration påverkas. Se paketdokumentationen eller forumet för detaljer.

Vad är nytt i version 2.2:

• Den här utgåvan ger förbättringar i prestanda- och hårdvaruunderstöd från FreeBSD 10.1-basen, samt förbättringar som vi har lagt till, till exempel AES-GCM med AES-NI-acceleration, bland ett antal andra nya funktioner och buggfixar.
• När vi har klarat utgåvan har vi stängt 392 totala biljetter (detta nummer innehåller 55 funktioner eller uppgifter), fast 135 buggar som påverkar 2.1.5 och tidigare versioner, fixar ytterligare 202 buggar introducerad i 2.2 genom att flytta basen OS-versionen från FreeBSD 8.3 till 10.1, ändra IPsec-tangentdemoner från racoon till strongSwan, uppgradera PHP-backend till version 5.5 och byta den från FastCGI till PHP-FPM och lägga till obundet DNS-resolver och många mindre ändringar.
• Den här utgåvan innehåller fyra säkerhetsåtgärder med låg säkerhet:
• openssl uppdatering för FreeBSD-SA-15: 01.openssl
• Flera XSS-sårbarheter i webbgränssnittet. pfSense-SA-15_01
• OpenVPN-uppdatering för CVE-2014-8104
• NTP-uppdatering FreeBSD-SA-14: 31.ntp - även om dessa omständigheter inte verkar påverka pfSense.

Vad är nytt i version 2.1.4:

• Säkerhetsfixar:
• pfSense-SA-14_07.openssl
• FreeBSD-SA-14: 14.openssl
• pfSense-SA-14_08.webgui
• pfSense-SA-14_09.webgui
• pfSense-SA-14_10.webgui
• pfSense-SA-14_11.webgui
• pfSense-SA-14_12.webgui
• pfSense-SA-14_13.packages
• Paket hade också egna oberoende korrigeringar och behöver uppdateras. Under uppdateringen av programvaran kommer paketen att installeras korrekt. Annars avinstallera och installera sedan om paket för att se till att den senaste versionen av binärerna används.
• Andra korrigeringar:
• Patch för Captive Portal pipeno läckande problem som leder till & lsquo; Maximum login nått "på Captive Portal. # 3062
• Ta bort text som inte är relevant för tillåtna IP-adresser på Captive Portal. # 3594
• Ta bort enheter från brast som det alltid anges i byte. (Per ipfw (8)).
• Lägg till kolumn för intern port på UPnP-status sidan.
• Lyssna på gränssnittet istället för IP-valfritt för UPnP.
• Fixa markering av valda regler. # 3646
• Lägg till guiconfig i widgets som inte innehåller den. # 3498
• / etc / version_kernel och / etc / version_base finns inte längre, använd php_uname för att få versionen för XMLRPC-kontroll istället.
• Fixa variabel typsnitt. # 3669
• Ta bort alla IP-aliaser när ett gränssnitt är inaktiverat. # 3650
• Korrekt hantera RRD-arkivet byta namn under uppgraderings- och squelch-fel om det misslyckas.
• Konvertera protokoll ssl: // till https: // när du skapar HTTP-rubriker för XMLRPC.
• Visa funktionsgränssnitt när de redan var en del av en gränssnittsgrupp. Detta undviker att visa ett slumpmässigt gränssnitt istället och låta användaren lägga till det av misstag. # 3680
• Klient-config-dir-direktivet för OpenVPN är också användbart när du använder OpenVPNs interna DHCP vid överbryggning, så lägg till det i det fallet också.
• Använd curl istället för att hämta för att ladda ner uppdateringsfiler. # 3691
• Flytta variabel innan du skickar till skal från stop_service ().
• Lägg till lite skydd mot parametrar som kommer genom _GET i servicehantering.
• Flytta argumentet för att ringa till is_process_running, ta även bort några oönskade mwexec () samtal.
• Låt inte gränssnittsgruppens namn vara större än 15 tecken. # 3208
• Var mer exakt för att matcha medlemmar i ett brogränssnitt, det ska fixa # 3637
• Utgå inte redan funktionshindrade användare, det fixar # 3644
• Bekräfta starttid och stopptid format på firewall_schedule_edit.php
• Var försiktig med värdparametern på diag_dns.php och se till att det har runnit när call shell fungerar
• Escape-parametrar skickas till shell_exec () i diag_smart.php och på annat håll
• Se till att variabler är räddade / sanitized på status_rrd_graph_img.php
• Ersätt exec-samtal för att köra rm av unlink_if_exists () på status_rrd_graph_img.php
• Byt ut alla `värdnamn`-samtal av php_uname (& lsquo; n ') på status_rrd_graph_img.php
• Byt alla `datum`-samtal av strftime () på status_rrd_graph_img.php
• Lägg till $ _gb för att samla eventuellt skräp från exec return på status_rrd_graph_img.php
• Undvik katalogkorsning i pkg_edit.php när du läser paket xml-filer, kontrollera även om filen finns före försök att läsa den
• Ta bort id = 0 från miniupnpd-menyn och genväg
• Ta bort. och / eller från pkg-namn för att undvika katalogöverföring i pkg_mgr_install.php
• Fixa kärndump vid visning av ogiltigt paketlogg
• Undvik katalogkorsning på system_firmware_restorefullbackup.php
• Återskapa session-ID på en framgångsrik inloggning för att undvika sessionfixering
• Skydda rssfeed parametrar med htmlspecialchars () i rss.widget.php
• Skydda servicestatusfilterparametern med htmlspecialchars () i services_status.widget.php
• Ange alltid httponly-attributet på cookies
• Ange & lsquo; Inaktivera WebConfigurator login autofullständig 'som standard för nya installationer
• Förenkla logiken, lägg till lite skydd för användarinmatningsparametrar på log.widget.php
• Se till att enkla citat är kodade och undvik javascript-injektion på exec.php
• Lägg till saknade NAT-protokoll på firewall_nat_edit.php
• Ta bort extra data efter mellanslag i DSCP och fixa pf regelsyntaxa. # 3688
• Ange bara en schemalagd regel om den är strikt före slutet. # 3558

Vad är nytt i version 2.1.1:

• Den största förändringen är att stänga följande säkerhetsproblem / CVE: s:
• FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
• FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
• FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
• Förutom dessa har drivrutinerna em / igb / ixgb / ixgbe uppgraderats för att lägga till stöd för i210 och i354 NIC. Vissa Intel 10Gb Ethernet NIC-enheter kommer också att se förbättrad prestanda.