Lanzamiento del software pfSense versión 2.4.5

Nos complace anunciar el lanzamiento del software pfSense® versión 2.4.5, ¡ahora disponible para nuevas instalaciones y actualizaciones!

El software pfSense versión 2.4.5 trae parches de seguridad, varias características nuevas, soporte para nuevos modelos de hardware Netgate y soluciones de estabilidad para problemas presentes en versiones anteriores de la rama pfSense 2.4.x.

¡Las actualizaciones de pfSense 2.4.5-RELEASE y las imágenes de instalación ya están disponibles!

Para ver una lista detallada completa de los cambios, consulte las Notas de la versión.

NUEVAS CARACTERÍSTICAS

2.4.5 agrega varias características nuevas, que incluyen:

  • Actualización del sistema operativo: sistema operativo base actualizado a FreeBSD 11-STABLE después de FreeBSD 11.3.
  • Se agregó clasificación y búsqueda / filtrado a varias páginas, incluidos el Administrador de certificados, Arrendamientos DHCP y Tablas ARP / NDP.
  • Integración de Python Resolver DNS (Sin consolidar).
  • Los grupos IPsec DH y PFS 25, 26, 27 y 31.
  • Se cambiaron los valores predeterminados del sistema de archivos UFS a noatime en las nuevas instalaciones para reducir las escrituras innecesarias en el disco.
  • Establecer el autocomplete = new-password para formularios que contienen campos de autenticación para ayudar a evitar que el autocompletado del navegador complete campos irrelevantes.
  • Se agregaron nuevos proveedores de DNS dinámico Linode y Gandi

Para obtener una lista completa de las nuevas funciones, consulte las Notas de la versión.

SEGURIDAD / ERRATA

La versión 2.4.5 del software pfSense aborda varios problemas de seguridad:

  • Posibles vectores de secuencias de comandos entre sitios (XSS) en varias páginas GUI.
  • Un problema de escala de privilegios en el que un usuario autenticado con acceso al widget de imagen podría ejecutar código PHP arbitrario u obtener acceso a páginas para las que de otro modo no tendría privilegios.
  • Se agregó una ejecución fsck con -z para los sistemas de archivos UFS en la actualización para abordar FreeBSD-SA-19: 10.ufs.
  • Se corrigió el formato de los mensajes de error de autenticación XMLRPC para que sshguard pueda actuar sobre ellos.
  • Se agregó una página de error CSRF personalizada con advertencias y mensajes de confirmación antes de volver a enviar datos potencialmente dañinos.
Avisos de seguridad de FreeBSD dirigidos y avisos de erratas

Para obtener detalles completos sobre estos problemas, consulte las Notas de la versión.

CORRECCIONES DE ERROR NOTABLES

Además de las correcciones de seguridad, el software pfSense versión 2.4.5 también incluye correcciones de errores importantes.

  • La vida útil predeterminada del certificado GUI se ha reducido a 825 días, para cumplir con los estándares actuales. Estos estándares se aplican estrictamente en plataformas como iOS 13 y macOS 10.15. Después de actualizar a la versión 2.4.5 del software pfSense, se puede generar un nuevo certificado GUI compatible desde la consola o SSH con el comando pfSsh.php reproducción generateguicert.
  • Varias correcciones de IPsec VTI, incluido el manejo mejorado de reinicios de IPsec que rompen el enrutamiento de VTI.
  • Se corrigieron varios problemas con la administración de vistas personalizadas en Estado> Monitoreo.
  • Se corrigieron problemas de manejo del tamaño de la terminal de la consola.
  • Se corrigieron problemas de coincidencia de privilegios que pueden haber impedido que algunos usuarios accedan a páginas a las que deberían haber tenido acceso, como el Administrador de usuarios.
  • Se corrigió un problema al resolver entradas de FQDN en alias donde podrían faltar algunas entradas.

Para obtener una lista completa de errores corregidos, consulte las Notas de la versión.

Notas de actualización

IMPORTANTE: Proceda con precaución al actualizar el software pfSense mientras las restricciones de viaje por el COVID-19 estén vigentes. Durante este tiempo de limitaciones de viaje, las actualizaciones remotas del software pfSense deben considerarse cuidadosamente y evitarse siempre que sea posible. Las restricciones de viaje pueden complicar cualquier reparación de cualquier problema, incluidos los problemas relacionados con el hardware que hacen que el sistema sea inalcanzable. En caso de que estos problemas requieran acceso físico en el sitio para remediar, la reparación del problema puede no ser posible mientras las restricciones de viaje relacionadas con COVID-19 estén vigentes.

Debido a la naturaleza significativa de los cambios en esta actualización, es probable que aparezcan advertencias y mensajes de error mientras la actualización está en proceso. En particular, se pueden observar errores de PHP y actualizaciones de paquetes en la consola y en los registros. En casi todos los casos, estos errores son un efecto secundario inofensivo del estado inconsistente del sistema durante la actualización de los cambios en el sistema operativo, las bibliotecas y las versiones de PHP. Una vez que se complete la actualización, el sistema volverá a estar en un estado coherente. Solo los errores que persisten después de la actualización son significativos.

Siempre realice una copia de seguridad de la configuración del firewall antes de cualquier cambio importante en el firewall, como una actualización.

¡No actualice los paquetes antes de actualizar pfSense! Elimine todos los paquetes o no actualice los paquetes antes de ejecutar la actualización.

La actualización tardará varios minutos en completarse. El tiempo exacto varía según La actualización tardará varios minutos en completarse. El tiempo exacto varía según la velocidad de descarga, la velocidad del hardware y otros factores como los paquetes instalados. Sea paciente durante la actualización y permita que el firewall tenga tiempo suficiente para completar todo el proceso. Una vez que los paquetes de actualización terminen de descargarse, el proceso de actualización puede tardar entre 10 y 20 minutos o más. El firewall puede reiniciarse varias veces durante el proceso de actualización. Monitoree la actualización desde la consola del firewall para obtener la vista más precisa.

Si la comprobación de actualización falla o la actualización no se completa, ejecute pkg install -y pfSense-upgrade para asegurarse de que pfSense-upgrade esté presente.

Consulte la Guía de actualización para obtener información adicional sobre cómo realizar actualizaciones al software pfSense.

Actualización a pfSense 2.4.5-RELEASE

La actualización de una versión anterior de pfSense 2.4.x a 2.4.5-RELEASE es posible mediante los métodos habituales:

Desde la GUI:

  • Vaya a Sistema> Actualizar
  • Establezca la Rama (Branch) en la última versión estable (2.4.x)
  • Haga clic en Confirmar para comenzar el proceso de actualización.

Desde la consola o ssh:

  • Seleccione la opción 13 o seleccione la opción 8 y ejecute pfSense-upgrade
Actualizar solución de problemas

Consulte Solución de problemas de actualización para obtener la información más actualizada sobre cómo solucionar problemas de actualización.

Si el sistema de actualización no ofrece una actualización a 2.4.5 o la actualización no continuará, siga los siguientes pasos:

  • Vaya a Sistema> Actualizaciones
  • Establecer Rama (Branch) a la última versión estable
  • Actualice la configuración del repositorio y actualice el script ejecutando los siguientes comandos desde la consola o el shell:
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
Planificación para la próxima versión 2.5.0

Se está trabajando duro en la próxima versión de pfSense 2.5.0. Esté atento al borrador de las Notas de la versión 2.5.0 para obtener información sobre los próximos cambios. 2.5.0 traerá una actualización básica del sistema operativo a FreeBSD 12.x, así como actualizaciones a OpenSSL 1.1.1 y PHP 7.3.

El equilibrador de carga incorporado ha quedado en desuso de pfSense 2.5.0 y se ha eliminado todo el código relacionado, ya que no es compatible con OpenSSL en FreeBSD 12.x. Planifique migraciones a soluciones alternativas como el paquete HAProxy ahora.

Tenga en cuenta que pfSense versión 2.5.0 NO requerirá AES-NI. El plan original era incluir una API RESTCONF en pfSense versión 2.5.0, que por razones de seguridad habría requerido hardware AES-NI o ​​soporte equivalente. Los planes han cambiado desde entonces, y pfSense 2.5.0 no contiene la API RESTCONF planificada, por lo que se elimina el requisito de AES-NI.

Informar problemas

Esta versión está lista para su uso en producción. Si surge algún problema con pfSense 2.4.5-RELEASE, publíquelo en el foro o en el subreddit / r / pfSense.

¡Gracias!

El software pfSense es de código abierto

Para aquellos que desean revisar el código fuente con todo detalle, los cambios están disponibles públicamente en tres repositorios en GitHub:

Descargar

Descargas para nuevas instalaciones

Usar el proceso de actualización automática suele ser más fácil que reinstalar para actualizar. Consulte la página de la Guía de actualización para más detalles.

Apoyando el proyecto

Nuestros esfuerzos son posibles gracias al apoyo de nuestros clientes y la comunidad. Puede apoyar nuestros esfuerzos a través de uno o más de los siguientes.

  • Equipos oficiales directamente desde la fuente. Nuestros dispositivos son la forma rápida y fácil de comenzar a funcionar con un firewall totalmente optimizado.
  • Soporte comercial: el soporte de compras de nosotros le proporciona acceso directo al Soporte global de Netgate.
  • Servicios profesionales: para proyectos más complejos y más involucrados fuera del alcance del soporte, nuestros ingenieros más experimentados están disponibles bajo servicios profesionales.

También puede leer nuestro blog anterior y esté al pendiente de nuestra próxima publicación, cualquier duda o comentario puede contactarnos, aquí.