Rilasciata la versione pfSense® CE 2.0.1

pfSenseLa versione pfSense® CE 2.0.1 è ora disponibile per il download. Questa versione rappresenta una manutenzione delle versione pfSense® CE 2.0 con aggiornamenti della sicurezza e soluzioni a bug. Questa è la versione raccomandata per tutte le installazioni. Come sempre è possibile aggiornare partendo da ogni precedente versione fino alla pfSense® CE 2.0.1, quindi se non è ancora aggiornata alla versione pfSense® CE 2.0 è possibile aggiornare direttamente alla pfSense® CE 2.0.1. Consigliamo caldamente, in ogni caso di consultare la guida prima di eseguire l’aggiornamento. Questo vale soprattutto per chi aggiorna dalla pfSense® CE 1.2.3.
Per chi usa il certificate manager per la creazione di certificati, prestare la massima attenzione ai problemi di sicurezza riportati qui sotto.

Note sulle vulnerabilità della generazione dei certificati

I certificati generati con il Certificate Manager nella release pfSense® CE 2.0, sono eccessivamente permissivi per i certificati non-CA.
Quei certificati possono essere usati come una Certificate Authority. Ciò significa che un utente può usare i suoi certificati per creare catene di certificati. In pfSense® CE 2.0.1 abbiamo messo di default di non accettare le catene di certificati per mitigare il problema. In ogni caso, se non ci si fida degli utenti ed i certificati sono stati generati con la pfSense® CE 2.0, si consiglia di riemettere il certificato e cancellare il precedente. I certificati generati mediante easy-rsa e importati nella pfSense® CE 2.0 non sono soggetti dal problema.
Se si usano certificati generati con pfSense® CE 2.0 per altri scopi, si dovrebbe revocare i certificati e riemetterli con la versione pfSense® CE 2.0.1. Si deve utilizzare una CRL in questo caso. Per essere proprio sicuro potrebbe essere opportuno rifare una nuova CA dopo aver cancellato la precedente.

Download

I files per le nuove installazioni pfSense® CE 2.0.1 sono disponibili qui. Note: Dalla release 2.0 in avanti abbiamo compilato anche nelle versioni nanoBSD il supporto VGA! Potete trovare la versione con supporto VGA leggendo il nome del file che ha VGA embedded version.

Principali cambiamenti dalla release 2.0 alla pfSense® CE 2.0.1

  • Accurato miglioramento dell’automazione dello state killing in vari casi
  • Varie migliorie ed aggiornamenti
    • Aggiunto allo Status: Services and widget
    • Added ability to kill relayd when restarting
    • Aggiunto il bilanciamento di carico sui DNS
    • Moved relayd logs to their own tab
    • Fixed default SMTP monitor syntax and other send/expect syntax
  • Applicazione delle path di FreeBSD 8.1
  • Vari fix su syslog:
    • Fixed syslogd killing/restarting to improve handling on some systems that were seeing GUI hangs resetting logs
    • Aggiunte opzioni sui server syslog remote
    • Fixed handling of ‘everything’ checkbox
    • Spostamento delle attività wireless nella sezione dedicata
  • Removed/silenced some irrelevant log entries
  • Fixed various typos
  • Aggiornamento per RRD, aggiornamento, migrazione e backup
  • Prevent users from applying NAT to CARP which would break CARP in various ways
  • Aggiornamento delle policy route negation per VPN networks
  • Aggiornamento “Bypass firewall rules for traffic on the same interface”
  • Aggiornamento delle regole VoIP create in automatic dal traffic shaper wizard
  • Fixed uname display in System Info widget
  • Fixed LDAP custom port handling
  • Fixed Status > Gateways to show RTT and loss like the widget
  • Improved certificate handling in OpenVPN to restrict certificate chaining to a specified depth – CVE-2011-4197
  • Improved certificate generation to specify/enforce type of certificate (CA, Server, Client) – CVE-2011-4197
  • Clarified text of serial field when importing a CA
  • Fixed MTU setting on upgrade from 1.2.3, now upgrades properly as MSS adjustment
  • Fixed Captive Portal MAC passthrough rules
  • Added tab under Diagnostics > States to view/clear the source tracking table if sticky is enabled
  • Fixed CARP status widget to properly show “disabled” status
  • Fixed end time of custom timespan RRD graphs
  • Fixed situation where certain NICs would constantly cycle link with MAC spoofing and DHCP
  • Fixed OpenVPN ordering of client/server IPs in Client-Specific Override entries
  • Fixed handling of OpenVPN client bandwidth limit option
  • Fixed handling of LDAP certificates
  • Enforce validity of RRD graph style
  • Fixed crash/panic handling so it will do textdumps and reboot for all, and not drop to a db> prompt
  • Fixed handling of hostnames in DHCP that start with a number
  • Fixed saving of multiple dynamic gateways
  • Fixed handling of routing with unmonitored gateways
  • Fixed Firewall > Shaper, By Queues view
  • Fixed handling of spd.conf with no phase 2′s defined
  • Fixed synchronization of various sections that were leaving the last item on the slave (IPsec phase 1, Aliases, VIPs, etc)
  • Fixed use of quick on internal DHCP rules so DHCP traffic is allowed properly
  • Updated ISC DHCP server to 4.2.3 (#1888) – this fixes a denial of service vulnerability in dhcpd
  • Added patch to mpd to allow multiple PPPoE connections with the same remote gateway
  • Abbassamento delle dimensioni dell’immagine CF per le CF card
  • Clarified text for media selection

Questo documento è stato preso dal sito pfSense® CE e l’originale si trova
a questo indirizzo.