L'équipe de développement du logiciel pfSense® vient d'annoncer la sortie de pfSense v.2.1.1

 

Règles de sécurité

Cette release corrige des problèmes CVEs critiques :

  • FreeBSD-SA-14:01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14:02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14:03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450

 

Cette mise à jour inclus aussi une version des drivers pour les pilotes em/igb/ixgb/ixgbe avec un support pour les cartes réseau i210 et i354.  

Les cartes 10Gb vont aussi bénéficier de meilleurs performances.

Il est possible de télécharger cela sur les mirroirs habituels.

 

  • Utilisation d’HTTPs pour les mises à jour
  • Utilisation de caractère d’échappement pour éviter les injections XSS
  • Ajoute des appels à la fonction escapeshellarg() sur de plus nombreux paramètres exec.
  • Remplacement de certains appels exec() par des fonctions telles que liens symboliques, copie, suppression des liens, …
  • Utilisation d’HTTPs pour les URLs de pfSense.org
  • Protection de la sortie du navigateur par l’utilisation de caractère d’échappement HTML.
  • Amélioration de la vérification des paramètres ‘id’, ‘dup’, et d’autres similaires afin de s’assurer que ce sont bien des nombres entiers, passage à travers la routine  htmlspecialchars avant leur affichage.
  • Supression des caractères spéciaux qui peuvent conduire à des accès shell/XSS grace à l’envoi d’information lors de l’installation de packages
  • Demande validation lors d’opération exécutées sur les packages et demande en utilisant POST pour se protéger des vulnérabilités CSRF.
  • Utilisation d’HTTPS pour la récupération des packages

 

Interfaces

  • Mise à jour des drivers em/igb/ixgb/ixgbe et ajout du support pour les cartes i210, i354 et correction des problèmes avec les cartes ix*
  • Evite des VLANs assignés d’avoir leur tag modifié
  • Correction d’une erreur ifconfig sur certaines interfaces GIF
  • Prévient la conduite d’action si rc.renewwanip est lancé sur une interface qui ne doit pas disposer d’IP. Cela pouvait conduire certaines interfaces à supprimer le lien si elle n’avait pas d’adresse IP
  • Dans rc.newwanip, si l’interface est configurée et non activée, ne rien faire. On a pas besoin de changer quoi que ce soit si une interface est désactivée
  • Ne rien faire dans rc.newwanip si l’interface n’a pas d’adresse IP
  • Règle pkg_edit.php afin de montrer la description de l’interface au lieu de son nom
  • Etre bien certain qu’une interface VLAN existe quand elles sont configurées
  • Limite les choix CIDR à IPv4 pour les interfaces GRE
  • Ne pas détruire une interface quand elle est désactivée
  • Interdit à une interface d’avoir une adresse réseau ou broadcast (console, GUI et wizard)
  • Réduit certaines opérations inutiles et règle le code MTU. Cela permet de régler un boot lent et la bonne prise en compte du MTU pour les VLANs
  • Fournit une passerelle dynamique pour les interfaces IPv6 GIF et GRE afin qu’elles puissent être utilisées dans des règles de firewalling
  • Monte de façon appropriée les interfaces GRE / GIF
  • Evite de supprimer une IP d’une interface GRE associé au niveau de l’OS quant une interface GRE est associé et une adresse IP configurée
  • Quand une interface tombe on essaie d’éteindre les Router Advertisement (RA) et le service DHCP6 sur cette interface
  • Synchronise les interfaces ALTQ dans la liste d'interface
  • Lance rc.newwanipv6 depuis PPPoE quand on obtient une configuration inet6
  • Met à jour la liste des fournisseurs de services mobile (??)
  • Correction afin d’acier ieee802.1x

Gateways/Routing

  • Respecte la gateway par défaut quand l’option est spécifiée depuis la page des interfaces
  • Utilise un message d’erreur plus précis quand on essai d’ajouter / éditer une passerelle qui n’a pas d’adresse IP du bon type
  • Fait en sorte que return_gateways_array() retourne toute les gateways désactivées quand le paramètre $disabled est à ‘vrai’
  • Ne pas « nettoyer » le cache d’une interface à chaque appel de la fonction lors de la vérification de l’état des GW
  • Corrige une erreur qui modifiait des paramètres de la GW lorsque celle-ci était caché
  • Suppression des routes statiques quand ‘monitor IP’ est supprimé, sauvegarde l’IP supervisé quant elle est désactivée
  • Retourne la version du protocole de la Gateway Group IP quand aucune Gateway ne peut être trouvée
  • Supprime la passerelle dysfonctionnelle ‘dynamic6’ - nous disposons déjà d’ipprotocol pour nous dire la version IP, on simplifie en utilisant seulement ‘dynamic’ NAT/Firewall Rules/Aliases
  • Recharge les règles quand on active / désactive dhcpv6
  • S’assurer qu’il n’y a pas d’espace supplémentaire dans les parsing des adresses IP dans les logs car cela peut entrainer des problèmes à d’autres endroits (Easy Rule, …)
  • Utilise (self) plutôt que any pour la destination des règles « anti lockout »
  • Utilise (self) plutôt que any pour la destination des règles « web lockout »
  • Evite les conflits de nom sur les tables pf
  • Règle le problème des URL complètes dans les tables d’URL au niveau du pop-up Alias
  • Rend plus explicite la fonction de ‘update freq.’ pour la table d’alias (l’unité est le jour)
  • Règle un problème de formatage ou la suppression d’un alias et l’ajout d’un nouvel alias entrainait une erreur de formatage
  • S’assurer que les commentaires des règles de pf n’ont jamais plus de 63 caractère

 

Plus d'info à venir…