2018年9月24日,
Jim Pingle

我们很高兴地宣布推出pfSense®软件版本2.4.4,现在可用于全新安装和升级!

pfSense2.4.4带来了新的安全补丁,众多新功能,对新Netgate硬件的支持,以及针对先前pfSense 2.4.x分支版本中出现的问题的稳定性修复。

pfSense 2.4.4-RELEASE的更新和安装映像现已发布!

注意

以下列表是pfSense 2.4.4中更改的简要摘要。要查看完整的修改列表并查找更多详细信息,请查发行说明

随着pfSense 2.4.4的发布,所有以前的pfSense Gold内容现在可以公开获得的

  • AutoConfigBackup集成到pfSense版本2.4.4中,它不再是附加包。它现在位于“ 服务”>“自动配置备份”下

  • YouTube上提供所有环聊视频,并使用YouTube直播播放未来的视频群聊。

  • pfSense Book现已在Netgate网站上免费提供

新功能

2.4.4包含许多重要的新功能:

  • 操作系统升级:基础操作系统升级到FreeBSD 11.2-RELEASE-p3。作为迁移到FreeBSD 11.2的一部分,增加了对C3000的硬件的支持。

  • PHP 7.2:PHP升级到7.2版,需要对源代码和软件包中的语法进行大量修改。

  • 路由IPsec(VTI)现在可以使用FreeBSD 虚拟隧道接口(VTI)实现路由IPsecif_ipsec(4)

  • IPsec速度改进:“ IPsec 高级设置”选项卡下的新“ 异步加密选项可以显著提高多核硬件上的IPsec性能。

  • 默认网关组:现在可以使用网关组设置进行故障转移来配置默认网关,这将取代默认网关交换。

  • 限制器AQM /队列调度程序:限制器现在提供了对多个主动队列管理(AQM)方法和队列调度程序配置(如FQ_CODEL)的支持。

  • 证书主题要求:证书管理器和Open×××向导现在只需要设置通用名,所有其他字段都是可选的。

  • DNS over TLS:DNS解析器现在包括对作为客户端和服务器的DNS over TLS的支持,包括域覆盖。

  • 入网门户身份验证:入网门户身份验证现在与用户管理器系统集成。入网门户实例现在可以像其他集成服务一样使用RADIUS、LDAP或本地身份验证。

  • 入网门户网站HTML设计和可用性:默认的入网门户网站页面已经过重新设计。还添加了控件,允许自定义徽标和背景图像以及服务条款文本,而无需编辑和上传自定义HTML代码。

  • 集成交换机改进:带有集成交换机的Netgate设备(如SG-3100XG-7100)现在可以配置每个端口速度和双工设置,离散端口配置接口现在可以连接到交换机端口以实现UP/ 状态,增加对LAGG的支持(仅限负载平衡模式)

  • 新硬件:增加了对SG-5100的支持

  • ...... 更多

安全

此版本包括几个重要的安全补丁:

  • FreeBSD SA for CVE-2018-6922:TCP重组中的资源耗尽FreeBSD-SA-18:08.tcp

  • FreeBSD SA for CVE-2018-3620,CVE-2018-3646:L1终端故障(L1TF)内核信息泄露FreeBSD-SA-18:09.l1tf

  • 用于CVE-2018-6923的FreeBSD SA:IP片段重组中的资源耗尽FreeBSD-SA-18:10.ip

  • FreeBSD SA for CVE-2018-14526:未经身份验证的EAPOL-Key解密漏洞FreeBSD-SA-18:11.hostapd

  • FreeBSD SA for CVE-2018-6924:不正确的ELF头解析FreeBSD-SA-18:12.elf

  • 关于LazyFPU补救的FreeBSD勘误通知导致潜在的数据损坏FreeBSD-EN-18:08.lazyfpu

  • 修复了两个潜在的XSS向量和经过身份验证的命令执行问题。

  • 在基础系统中升级了几个二进制包以解决上游漏洞,包括strongSwan CVE-2018-5388,OpenSSH CVE-2018-15473和cURL CVE 2018-14618

  • 更新了Open×××,IPsec和证书的默认加密设置

  • 将包含的DH组更改为RFC 7919中定义的组

  • 添加了更强的IPsec预共享密钥使用警告,以及用于生成安全PSK的按钮

  • 从改变sshlockout_pfsshguard监视失败的登录和锁定了罪犯,这使得锁定对IPv4和IPv6的工作和添加罪犯块列表时,也终止状态

  • 由于VORACLE,出于安全原因,默认情况下在新实例上禁用Open×××压缩

    • 强烈要求用户在Open×××实例上禁用压缩,如果他们将未加密的数据(如HTTP)传递到任意Internet站点。

值得注意的错误修复

除安全修复程序外,pfSense2.4.4还包括重要的错误修复程序。

  • 修复了ARM硬件在关闭时没有完全停止的问题(SG-3100SG-1000

  • 修复了Minnowboard Turbot硬件上的HDMI热插拔问题(MBT-2220和MBT-4220)

  • 修复了SG-100010baseT速度和双工的自动协商

  • ...... 更多

升级说明

由于此版本的pfSense软件发生了重大变化,因此在升级过程中可能会出现警告和错误消息,尤其是来自PHP和软件包更新的警告和错误消息。几乎在所有情况下,这些错误都是FreeBSD 11.1和11.2之间以及PHP 5.6和PHP 7.2之间变化的无害副作用。

对防火墙进行任何重大更改(例如升级)之前,请先备份防火墙配置

升级将需要几分钟才能完成。确切的时间因下载速度,硬件速度和其他因素(如已安装的软件包)而异。在升级过程中要有耐心,并让防火墙有足够的时间来完成整个过程。更新包完成下载后,可能需要10-20分钟或更长时间才能完成升级过程。防火墙可能会在升级过程中重启几次。从防火墙控制台监控升级,以获得最准确的视图。

有关执行pfSense软件升级的其他信息,请参阅升级指南

有关升级和安装pfSense2.4.0及更高版本的重要信息

如果您尚未升级到pfSense版本2.4.0或更高版本,请在更新之前阅读2.4.0发布公告中的信息,以获取可能影响防火墙升级到pfSense版本2.4.x的能力的重要信息。