2020年3月26日,pfSense2.4.5发布,这一版本修复了安全漏洞,增加了一些新功能,并支持新的Netgate硬件平台,该版本对以前发行版中存在的错误进行了修正。
点击这里下载pfSense2.45,要查看本次发行版本修改的完整列表,请参阅发行说明。
新功能
2.4.5添加了如下的新功能,包括:
操作系统升级:操作系统已升级到FreeBSD 11-STABLE。
添加了排序和搜索/过滤,包括证书管理器,DHCP租约和ARP / NDP表。
添加了DNS解析器(Unbound)Python集成。
添加了IPsec DH和PFS组25、26、27和31。
更改后的UFS文件系统默认为
noatime全新安装,以减少不必要的磁盘写入。设置
autocomplete=new-password包含验证字段的表单,以帮助防止浏览器自动填写不相关的字段。添加了新的动态DNS提供程序Linode和Gandi。
安全修复
pfSense2.4.5修复了以下安全问题:
多个GUI页面中的潜在跨站点脚本(XSS)向量。
特权升级问题,其中,经过身份验证的用户被授予对图片小部件的访问权限,可以运行任意PHP代码或获得对他们没有特权的页面的访问权限。
在升级时为UFS文件系统添加了一个-z参数运行fsck,以解决FreeBSD-SA-19:10.ufs
修复了XMLRPC身份验证失败消息的格式,以便可以通过以下方式对其进行处理
sshguard在重新提交可能有害的数据之前,添加了带有警告和确认提示的自定义CSRF错误页面
解决了FreeBSD发布的安全公告和勘误公告
错误修复
除修复安全问题外,pfSense2.4.5还修正了以下程序错误。
默认的GUI证书有效期已减少到
825天,以符合当前标准。这些标准在iOS 13和macOS 10.15等平台上被严格执行。升级到pfSense软件版本2.4.5后,可以使用以下命令从控制台或SSH生成新的兼容GUI证书pfSsh.php playback generateguicert几个IPsec VTI修复程序,包括改进的IPsec处理,重新启动将中断VTI路由。
修复了状态>监视中的自定义视图管理的几个问题。
解决了串行控制台终端大小处理问题。
修复了权限匹配问题,该问题可能使某些用户无法访问他们应该有权访问的页面,例如用户管理器。
修复了在别名中解析FQDN条目时可能会丢失某些条目的问题。
升级说明
由于此升级中更改的重要性质,因此在升级过程中可能会出现警告和错误消息。特别是在控制台和日志中可能会观察到来自PHP和软件包更新的错误。一般情况下,这些错误都是因为操作系统、库和PHP版本在升级期间系统状态不一致选成的,不影响正常升级。升级完成后,系统将处于一致状态。在升级前,请做好配置的备份。
升级pfSense之前不要更新软件包!在运行升级之前,请删除所有软件包或不更新软件包。
升级需要几分钟时间。确切的时间取决于下载速度,硬件速度和其他因素(例如安装的软件包)。在升级过程中请耐心等待,并让防火墙有足够的时间完成整个过程。更新包下载完成后,可能需要10到20分钟或更长时间,直到升级过程结束。在升级过程中,防火墙可能会重新引导几次。你可以从防火墙控制台监视升级过程,以获取最准确的信息。
如果更新检查失败,或者升级未完成,可以运行pkg install -y pfSense-upgrade来确保pfSense-upgrade存在该更新。
要了解pfSense升级的更多信息,请参阅《升级指南》。
即将发布的2.5.0版本
pfSense 2.5.0会在近期推出。如果要了解2.50版本的详细信息,可以点击这里。2.5版本操作系统将升级到FreeBSD 12.x,OpenSSL升级到 1.1.1,PHP升级到 7.3。
pfSense 2.5.0不再使用内置的负载均衡器,所有相关代码也已删除,因为它与FreeBSD 12.x上的OpenSSL不兼容。你可以使用其他解决方案,如HAProxy插件。
要注意的是,pfSense 2.5.0将再不需要AES-NI。最初的计划是在pfSense 2.5.0中包括一个RESTCONF API,出于安全原因,它需要硬件AES-NI或同等支持。后来计划进行了调整,因为pfSense 2.5.0不包含计划的RESTCONF API,因此删除了AES-NI要求。