Rilasciata la versione 2.7.2 di pfSense
E' stata rilasciata la versione 2.7 di pfSense a cui sono seguite, nel giro di poche settimane, le minor release 2.7.1 e 2.7.2.
Vediamo quali sono le principali migliorie e i fix più importanti introdotti.
Versione 2.7.0
La versione 2.7.0 (qui i dettagli) ha introdotto diverse novità interessanti, in particolare i major upgrade delle versioni di PHP e del sistema operativo FreeBSD.
In particolare:
- PHP è stato aggiornato dalla versione 7.4.x a 8.2.6.
- Il sistema operativo di base è stato aggiornato a FreeBSD 14-CURRENT
Sono poi state apportate diverse modifiche agli algoritmi accettati dalle VPN Ipsec:
- Sono stati rimossi diversi algoritmi IPsec deprecati, tra cui:
- 3DES Encryption
- Blowfish Encryption
- CAST 128 Encryption
- MD5 HMAC Authentication
Stanti queste modifiche, prima di aggiornare, è importante controllare e riconfigurare le tue connessioni IPsec utilizzando algoritmi di crittografia più sicuri, e testarle.
- E’ stato aggiunto il supporto per la crittografia ChaCha20-Poly1305 con IPsec.
Altre modifiche:
- Captive Portal è stato migrato da IPFW a PF
- E’ stata introdotta una nuova GUI per il Packet Capture
- OpenVPN è stata upgradata alla 2.6.4
NB. Il processo di aggiornamento da versioni più vecchie (2.5.x) prevede la necessità di fare un aggiornamento intermedio alla 2.6.
Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione.
Versioni 2.7.1 e 2.7.2
Le versioni 2.71. e 2.7.2 apportano poche modifiche sostanziali, ma implementano il fix di diverse vulnerabilità:
- 2.7.1 (elenco completo qui)
- Migliora il supporto a SCTP
- PHP è stato aggiornato alla versione 8.2.11.
- Il sistema operativo di base è stato aggiornato a un punto più recente su FreeBSD 14-CURRENT.
- OpenSSL nel sistema base è stato aggiornato dalla versione 1.1.1g a 1.1.1n.
- Risolve la vulnerabilità di tipo remote code execution CVE-2023-42326
- 2.7.2 (elenco completo qui)
- Sono state apportate correzioni per diverse Notices e Security Advisories di FreeBSD, tra cui:
- Vulnerabilità di spoofing TCP in pf (4) (FreeBSD-SA-23:17.pf)
- Possibile corruzione dei dati ZFS (FreeBSD-EN-23:16.openzfs)
- Utilizzo elevato della CPU da parte dei thread del kernel ZFS (FreeBSD-EN-23:18.openzfs)
- Implementazione AES-GCM errata in ossl (4) (FreeBSD-EN-23:17.ossl)
- Problemi di prestazioni in OpenSSL, corretti con accelerazione come AES-NI
- Viene installata la versione 2.6.8 di OpenVPN che risolve le vulnerabilità CVE-2023-46849 e CVE-2023-46850
Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione. Al termine dell’update, installare tramite l'apposito addon le eventuali patch presenti.
Per quanto riguarda gli update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi.
Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da tali pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.
Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti
0 commenti:
Posta un commento