La version 2.0.1 de pfSense est maintenant disponible. 

Cette version est une version de maintenance qui comporte des corrections de bugs depuis la version 2.0-Release. C'est la version recommandée pour toutes les installations précédentes, y compris les versions pré-2.0.

Si vous n'avez pas mis à jour votre version en 2.0, vous pouvez directement passer à la version 2.0.1. 

Pour ceux qui utilisent le gestionnaire de certificat intégré, lisez bien les notes qui figurent ci-après. Elles intègrent des informations sur des risques potentiels de sécurité sur le gestionnaire de certificats. 

 

Liste des changements depuis la version 2.0-Release : 

  • Amélioration de la suppression d'un état dans certains cas (#1421)
  • Divers patch et amélioration apporté à Relayd
  • Ajout du status > Services et Widget
  • Ajout de la possibilité de "tuer" relayd lors d'un redémarrage (#1913)
  • Ajout des DNS au load balancing
  • Relayd possède désormais son propre onglet de log
  • Réglage de la syntaxe par défaut du monitor SMTP et d'autres syntax d'envoi/réception
  • Rélage du chemin des packages FreeBSD pour la version 8.1

 

Divers réglages dans syslog :

  • Réglages de l'arrête / redemarrage de syslog pour améliorer le support de certain système qui voyait syslog bloqué lors d'un reset des logs. 
  • Ajout de nouvelles options pour la consignation des logs à distance. 
  • Correction de la façon dont l'onglet "everything" fonctionnait
  • Déplacement de Wireless sur son propre onglet 
  • Suppression de log inutiles 
  • Réglage de coquilles (texte)

 

Autres améliorations :

  • Réglage de la migration / sauvegarde de RRD (#1758)
  • Evite que les utilisateurs n'appliquent des règles de NAT à CARP qui peuvent bloquer CARP dans différents cas de figure (#1954)
  • Réglage de la politique de routage pour les réseaux VPN (#1758)
  • Réglages du "Bypass firewall rules for traffic on the same interface" (#1950)
  • Réglage des règles VoIP générées par le Wizzard du Traffic Shapper (#1950)
  • Rélgage de la sortie uname dans le Widget System Info (#1960)
  • Rélgage de la gestion du port LDAP customisé
  • Réglage de Status > Gateways pour afficher le RTT et le taux de perte de paquets
  • Amélioration de la gestion des certificats dans OpenVPN pour restreindre la capacité de chaîner les certificats entre eux - suivant CVE-2011-4197
  • Amélioration de la génération des certificats pour spécifier / forcer le type de certificats (CA, Serveur, Client) - suivant CVE-2011-4197
  • Amélioration de la lisibilité de champ série lors de l'importation d'une CA (#2031)
  • Réglage du MTU lors de la migration de la version 1.2.3, fonctionne maintenant correctement en tant qu'ajustement MSS (#1886)
  • Réglage de la règle de bypass MAC du Portail Captif (#1976)
  • Ajout d'un onglet dans Diagnostic > States pour voir / effacer les sources de tracking is sticky est activé. 
  • Réglage du status CARP dansle widget pour afficher correctement le status "désactivé". 
  • Réglage de la durée finale lors de la production de graphes RRD customisés (#1990)
  • Réglage de cas ou certaines cartes réseaux (NICs) bouclaient avec du MAC spoofing et DHCP (#1752)
  • Réglage de l'ordonencement des IPs client / serveur pour OpenVPN lors de l'ajout de paramètres personnalisés (#2004)
  • Réglage de l'option de limitation de la bande passante pour les client OpenVPN. 
  • Réglage de la gestion des certificats LDAP (#2018, #1052, #1927)
  • Amélioration de la validité des graphes RRD 
  • Réglage d'un crash / panic afin qu'il produise une sortie texte dans tous les cas et reboot sans sortie de prompt type db> prompt. 
  • Réglage de la gestion des noms d'hôtes qui commencaient avec un numéro dans DHCP (#2020)
  • Réglage de la sauvegarde de multiples gateway dynamiques (#1993)
  • Réglage de de la gestion du routage avec des gateway non monitorés (unmonitorred). 
  • Réglage de la vue Firewall > Shapper, vue par Queues 
  • Réglage de spd.conf en l'absence de définition pour la phase 2
  • Réglage de différentes synchronisation entre les sections qui pouvaient laisser des éléments sur l'esclave (IPsec phase 1, Aliases, VIPs, etc). 
  • Réglage de la syntaxe quick sur les règles de DHCP interne afin que le traffic DHCP soit autorisé de façon prioritaire (#2041)
  • Mise à jour du serveur DHCP ISC en version 4.2.3 (#1888) - règle un problème de déni de service au niveau de DHCP. 
  • Ajout de patch à mpd afin d'autoriser de multiple connexion PPPoE avec la même gateway distante. 
  • Diminussion de la taille des images CF afin d'assurer la compatibilité avec des cartes CF de plus en plus petites. 
  • Clarification du texte pour le choix du média lors de l'installation (#1910)

 

Notes pour les vulnérabilités dans génération de certificats :

Les certificats générés avec le gestionnaire de certificat dans toutes les versions 2 précédent la version 2.0.1 sont très (trop) permissif pour les certificats non-CA. Ces certificats peuvent être utilisés en tant qu'autorité de certification, ce qui signifie qu'un utilisateur peut utiliser son propre certificat pour créer une chaîne de certificats. Nous avons configurés OpenVPN afin qu'il refuse les certificats chaînés à partir de la version 2.0.1. ce qui permet de limiter les risques à ce niveau. 

Cependant, si des utilisateurs non reconnus ont des certificats générés avec la version 2.0-Release, nous suggérons de re-générer tous vos certificats afin d'en établir de nouveaux. 

Les certificats établis par easy-rsa et importés dans la version 2.0 ne sont pas affectés. Si vous utilisez des certificats générés par pfSense pour d'autre utilisations, nous vous conseillons de révoquer vos certificats et de générer de nouveaux certificats avec la version 2.0.1 du logiciel. Vous devez utiliser une liste de révocation (CRL) dans ce cas. Afin de garantir le bon fonctionnement de la procédure, vous pouvez souhaiter démarrer de zéro avec une nouvelle Autorité de Certification (CA) et les certificats associés avant de supprimer tous vos anciens certificats. 

Merci à Florent Daigniere pour avoir pointé ce problème et nous avoir permi de la résoudre. 

 

Il est essentiel de bien lire le quide de mise à jour avant de se lancer dans une mise à jour de votre IOS à partir des cersion 1.2.x. 

 

Téléchargement : 

Les fichiers pour les nouvelles installations sont disponibles ici sur les mirroirs

Les fichiers pour les mises à jour sont disponible ici

 

NOTE : avec la version 2.0 Release et les nouvelles versions, nous reconstruisons les versions NanoBSD avec support du VGA. A n'utiliser que sur du hardware qui supporte VGA. La version normale doit être utilisé sur tout matériel qui n'aurait qu'un port Série, comme les fameux boîtiers Alix de PC Engines distribué par OSNet

 

Traduit de l'Anglais par OSNet.eu, lien source disponible ici.