pfSense 2.4.4-RELEASE现已发布！

   

2018年9月24日，
Jim Pingle

我们很高兴地宣布推出pfSense®软件版本2.4.4，现在可用于全新安装和升级！

pfSense2.4.4带来了新的安全补丁，众多新功能，对新Netgate硬件的支持，以及针对先前pfSense 2.4.x分支版本中出现的问题的稳定性修复。

pfSense 2.4.4-RELEASE的更新和安装映像现已发布！

注意

以下列表是pfSense 2.4.4中更改的简要摘要。要查看完整的修改列表并查找更多详细信息，请查发行说明。

随着pfSense 2.4.4的发布，所有以前的pfSense Gold内容现在可以公开获得的！

• AutoConfigBackup集成到pfSense版本2.4.4中，它不再是附加包。它现在位于“ 服务”>“自动配置备份”下。

• YouTube上提供所有环聊视频，并使用YouTube直播播放未来的视频群聊。

• pfSense Book现已在Netgate网站上免费提供。

新功能

2.4.4包含许多重要的新功能：

• 操作系统升级：基础操作系统升级到FreeBSD 11.2-RELEASE-p3。作为迁移到FreeBSD 11.2的一部分，增加了对C3000的硬件的支持。

• PHP 7.2：PHP升级到7.2版，需要对源代码和软件包中的语法进行大量修改。

• 路由IPsec（VTI）：现在可以使用FreeBSD 虚拟隧道接口（VTI）实现路由IPsecif_ipsec(4)。

• IPsec速度改进：“ IPsec 高级设置”选项卡下的新“ 异步加密”选项可以显著提高多核硬件上的IPsec性能。

• 默认网关组：现在可以使用网关组设置进行故障转移来配置默认网关，这将取代默认网关交换。

• 限制器AQM /队列调度程序：限制器现在提供了对多个主动队列管理（AQM）方法和队列调度程序配置（如FQ_CODEL）的支持。

• 证书主题要求：证书管理器和Open×××向导现在只需要设置通用名，所有其他字段都是可选的。

• DNS over TLS：DNS解析器现在包括对作为客户端和服务器的DNS over TLS的支持，包括域覆盖。

• 入网门户身份验证：入网门户身份验证现在与用户管理器系统集成。入网门户实例现在可以像其他集成服务一样使用RADIUS、LDAP或本地身份验证。

• 入网门户网站HTML设计和可用性：默认的入网门户网站页面已经过重新设计。还添加了控件，允许自定义徽标和背景图像以及服务条款文本，而无需编辑和上传自定义HTML代码。

• 集成交换机改进：带有集成交换机的Netgate设备（如SG-3100和XG-7100）现在可以配置每个端口速度和双工设置，离散端口配置接口现在可以连接到交换机端口以实现UP/ 状态，增加对LAGG的支持（仅限负载平衡模式）

• 新硬件：增加了对SG-5100的支持。

• ...... 更多！

安全

此版本包括几个重要的安全补丁：

• FreeBSD SA for CVE-2018-6922：TCP重组中的资源耗尽FreeBSD-SA-18：08.tcp

• FreeBSD SA for CVE-2018-3620，CVE-2018-3646：L1终端故障（L1TF）内核信息泄露FreeBSD-SA-18：09.l1tf

• 用于CVE-2018-6923的FreeBSD SA：IP片段重组中的资源耗尽FreeBSD-SA-18：10.ip

• FreeBSD SA for CVE-2018-14526：未经身份验证的EAPOL-Key解密漏洞FreeBSD-SA-18：11.hostapd

• FreeBSD SA for CVE-2018-6924：不正确的ELF头解析FreeBSD-SA-18：12.elf

• 关于LazyFPU补救的FreeBSD勘误通知导致潜在的数据损坏FreeBSD-EN-18：08.lazyfpu

• 修复了两个潜在的XSS向量和经过身份验证的命令执行问题。

• 在基础系统中升级了几个二进制包以解决上游漏洞，包括strongSwan CVE-2018-5388，OpenSSH CVE-2018-15473和cURL CVE 2018-14618

• 更新了Open×××，IPsec和证书的默认加密设置

• 将包含的DH组更改为RFC 7919中定义的组

• 添加了更强的IPsec预共享密钥使用警告，以及用于生成安全PSK的按钮

• 从改变sshlockout_pf到sshguard监视失败的登录和锁定了罪犯，这使得锁定对IPv4和IPv6的工作和添加罪犯块列表时，也终止状态

• 由于VORACLE，出于安全原因，默认情况下在新实例上禁用Open×××压缩

• 强烈要求用户在Open×××实例上禁用压缩，如果他们将未加密的数据（如HTTP）传递到任意Internet站点。

值得注意的错误修复

除安全修复程序外，pfSense2.4.4还包括重要的错误修复程序。

• 修复了ARM硬件在关闭时没有完全停止的问题（SG-3100和SG-1000）

• 修复了Minnowboard Turbot硬件上的HDMI热插拔问题（MBT-2220和MBT-4220）

• 修复了SG-100010baseT速度和双工的自动协商

• ...... 更多！

升级说明

由于此版本的pfSense软件发生了重大变化，因此在升级过程中可能会出现警告和错误消息，尤其是来自PHP和软件包更新的警告和错误消息。几乎在所有情况下，这些错误都是FreeBSD 11.1和11.2之间以及PHP 5.6和PHP 7.2之间变化的无害副作用。

在对防火墙进行任何重大更改（例如升级）之前，请先备份防火墙配置。

升级将需要几分钟才能完成。确切的时间因下载速度，硬件速度和其他因素（如已安装的软件包）而异。在升级过程中要有耐心，并让防火墙有足够的时间来完成整个过程。更新包完成下载后，可能需要10-20分钟或更长时间才能完成升级过程。防火墙可能会在升级过程中重启几次。从防火墙控制台监控升级，以获得最准确的视图。

有关执行pfSense软件升级的其他信息，请参阅升级指南。

有关升级和安装pfSense2.4.0及更高版本的重要信息

如果您尚未升级到pfSense版本2.4.0或更高版本，请在更新之前阅读2.4.0发布公告中的信息，以获取可能影响防火墙升级到pfSense版本2.4.x的能力的重要信息。