IPFire

IPFire ay isang open source operating system na idinisenyo mula sa lupa hanggang kumilos bilang isang dedikado, secure at nababaluktot na sistema ng firewall batay sa ilan sa mga pinakamahusay na teknolohiya sa Linux, tulad ng iptables, OpenSSL at OpenSSH.

Ibinahagi bilang isang 32-bit na imaheng ISO
Maaaring ma-download ang maliit na OS na ito sa pamamagitan ng Softoware o mula sa opisyal na website nito (tingnan ang link sa itaas) bilang isang solong, maaaring i-install lamang ang CD ISO na imahe ng humigit-kumulang na 150MB ang laki, na naka-tag lamang para sa 32-bit (i586) na set ng pagtuturo architecture. Habang ang distro ay mag-boot at mai-install sa 64-bit na platform ng hardware, tatanggap lamang ito ng 32-bit na mga application.

Mga pagpipilian sa boot

Ang maayos na dinisenyo at maayos na menu ng boot ay magbibigay-daan sa iyo nang direkta at permanenteng i-install ang pamamahagi sa isang lokal na biyahe. Bilang karagdagan, maaari mong i-install ang OS sa text mode, magsagawa ng isang hindi nagagalaw na pag-install, magpatakbo ng isang diagnostic test sa memory gamit ang Memtest86 + na utility, pati na rin upang tingnan ang detalyadong impormasyon ng hardware sa Hardware Detection Tool (HDT).

Napaka-madaling gamitin na programa sa pag-install ng text-mode

Ang buong proseso ng pag-install ay batay sa teksto at hihilingin ang gumagamit na pumili lamang ng isang wika (suportadong mga wika kasama ang Ingles, Turkish, Polish, Ruso, Dutch, Espanyol, Pranses at Aleman), tanggapin ang lisensya, at paghati sa disk (suportado ng mga file system ang EXT2, EXT3, EXT4 at ReiserFS).

Pagkatapos ng pag-install, kinakailangan upang pumili ng isang layout ng keyboard at timezone, ipasok ang hostname at pangalan ng domain ng machine & rsquo; s, ipasok ang isang password para sa ugat (administrator ng system) at mga account ng admin, pati na rin i-configure ang network kasama ang DNS, Gateway, IP Address, Mga setting ng Driver at Mga Network Card).

Ibabang linya

Summing up, ang IPFire ay isa sa pinakamahuhusay na open source firewall distributions ng mundo, na inhinyero upang makapaghatid ng state-of-the-art firewall, VPN gateway at mga proxy server component. Ang disenyo nito ay modular at nababaluktot, na nangangahulugang ang pag-andar nito ay maaaring mapalawak sa pamamagitan ng mga plugin.

Ano ang bagong sa paglabas na ito:

• RAM-lamang na Proxy:
• Sa ilang mga pag-install ay maaaring maging kanais-nais na hayaan lamang ang mga bagay sa cache ng proxy sa memorya at hindi sa disk. Lalo na kapag ang Internet connectivity ay mabilis at ang imbakan ay mabagal na ito ay pinaka-kapaki-pakinabang.
• Pinapayagan ng web UI na ngayon na itakda ang laki ng cache ng cache sa zero na hindi ganap na i-disable ang cache ng disk. Salamat kay Daniel para magtrabaho dito.
• OpenVPN 2.4:
• Ang IPFire ay lumipat sa OpenVPN 2.4 na nagpapakilala sa mga bagong ciphers ng klase ng AES-GCM na magpapataas ng throughput sa mga system na may hardware acceleration para dito. Ang pag-update ay nagdudulot din ng iba pang mas maliit na mga pagpapabuti.
• Nagtatrabaho si Erik sa pagsasama na ito na nangangailangan ng ilang trabaho sa ilalim ng hood ngunit tugma sa anumang mga naunang configuration para sa parehong mga koneksyon sa kalsada at koneksyon sa net-to-net.
• Pinahusay na Cryptography:
• Ang cryptography ay isa sa mga pundasyon sa isang secure na sistema. Na-update namin ang pamamahagi upang magamit ang pinakabagong bersyon ng OpenSSL cryptography library (bersyon 1.1.0). Ito ay may ilang bagong ciphers at pangunahing refacturing ng code base ay isinasagawa.
• Sa pagbabagong ito, nagpasya kaming ganap na magtakwil sa SSLv3 at ang web user interface ay mangangailangan ng TLSv1.2 na kung saan ay din ang default para sa maraming iba pang mga serbisyo. Naayos na namin ang isang hardened na listahan ng mga ciphers na gumagamit lamang ng mga kamakailang algorithm at lubos na nagtanggal ng mga sirang o mahina na mga algorithm tulad ng RC4, MD5 at iba pa.
• Mangyaring suriin bago ang update na ito kung umaasa ka sa alinman sa mga iyon, at i-upgrade ang iyong mga sistema ng umaasa.
• Iba't ibang mga pakete sa IPFire ay kailangang patched upang magamit ang bagong library. Ang pangunahing trabaho na ito ay kinakailangan upang magbigay ng IPFire sa pinakabagong kriptograpiya, lumipat ng layo mula sa mga deprecated algorithm at samantalahin ang bagong teknolohiya. Halimbawa, available ang ChaCha20-Poly1305 ciphersuite na mas mabilis na gumaganap sa mga mobile device.
• Ang lumang bersyon ng library ng OpenSSL (1.0.2) ay iniiwan pa rin sa sistema para sa mga kadahilanan ng compatibility at patuloy na pinananatili ng sa amin sa loob ng maikling panahon. Sa kalaunan, ito ay ganap na aalisin, kaya mangyaring i-migrate ang anumang custom-built na mga add-on ang layo mula sa paggamit ng OpenSSL 1.0.2.
• Misc:
• Natutunan na ngayon ng Pakfire kung aling mga server ng salamin ang sumusuporta sa HTTPS at awtomatikong makikipag-ugnay sa mga ito sa HTTPS. Nagpapabuti ito sa privacy.
• Sinimulan na rin namin ang phase ng isa sa aming pinlano na rollover ng Keyfire.
• Hindi napapagana ang Path Discovery MTU sa system. Ito ay patuloy na lumikha ng mga isyu sa katatagan ng mga tunnel ng IPsec na napili ang mga landas sa mga network na hindi tama ang na-configure.
• Maaaring maling kalkulahin ng template ng QoS ang bandwidth na naayos na ngayon na ang kabuuan ng garantisadong bandwidth sa lahat ng klase ay hindi lalampas sa 100%
• Na-update na mga pakete:
• magbigkis 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, walang hanggan 1.7.0, vnstat 1.18
• Mga Add-on:
• Ang mga add-on ay na-update: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2

Ano ang bagong sa bersyon:

• OpenSSL 1.0.2n:
• Ang isang katamtaman at isang mababang kahinaan sa seguridad ay na-patched sa OpenSSL 1.0.2n. Ang opisyal na advisory ng seguridad ay matatagpuan dito.
• IPsec:
• Posible na ngayon na tukuyin ang oras ng hindi aktibo na oras kapag ang isang idle na IPsec VPN tunnel ay sarado
• Suporta para sa mga pangkat ng MODP na may mga subgroup ay bumaba
• Ang compression ay ngayon ay hindi pinagana sa pamamagitan ng default dahil ito ay hindi masyadong epektibo sa lahat
• strongswan ay na-update sa 5.6.1
• OpenVPN:
• Mas madali nang ruta ang OpenVPN Roadwarrior Clients sa mga IPsec VPN network sa pamamagitan ng pagpili ng mga ruta sa pagsasaayos ng bawat kliyente. Ginagawang mas madaling i-configure ang mga disenyo ng hub-at-spoke.
• Bumuo ng toolchain:
• Ang ilang mga build script ay refactored upang linisin ang proseso ng build at ang toolchain ay inilipat mula sa / mga tool sa / tools_ & lt; arch & gt;.
• nasm, ang Net Assembler, ay na-update sa 2.13.2
• Misc:
• Hindi pinagana sa Apache ang SSL compression at SSL session ticket. Mapapabuti nito ang seguridad ng interface ng gumagamit ng web.
• Sa iba't ibang lugar, magagamit ang impormasyon ng GeoIP kung saan ipinapakita ang mga IP address at ang impormasyong iyon ay kapaki-pakinabang na malaman
• Ang pagdagdag ng mga static na ruta sa interface ng web user ay naayos na
• Ang ilang mga aesthetic na isyu sa mga bihag na pahina ng pagsasaayos ng portal ay naayos na at ang bihag na portal ay nagtatrabaho na ngayon kasama ang proxy sa transparent mode
• Mag-configure na ngayon ang pag-log sa isang pag-alis ng server upang gamitin ang alinman sa paggamit ng TCP o UDP
• Mga Add-on:
• Na-update ang Samba upang ayusin ang maraming mga isyu sa seguridad
• ay na-update ang mc sa 4.8.20
• nano ay na-update sa 2.9.1
• sslscan, vsftpd at Pound ay bumaba dahil wala silang pinapanatili sa ibaba ng agos pa at hindi kaayon sa OpenSSL 1.1.0

Ano ang bago sa bersyon 2.19 Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• Ang proyekto ng OpenSSL ay naglabas ng bersyon 1.0.2m at nagbigay ng dalawang advisories sa seguridad sa nakaraang linggo. Ang dalawang kahinaan na natuklasan ay nasa katamtaman at mababang seguridad, ngunit nagpasya kaming ipadala sa iyo ang update na ito sa lalong madaling panahon. Kaya inirerekomenda itong i-update sa lalong madaling panahon, masyadong.
• Ang mas matinding kahinaan na isinangguni bilang CVE-2017-3736 ay nag-aayos ng isang problema sa mga modernong processor ng Intel Broadwell at AMD Ryzen kung saan gumagamit ang OpenSSL ng ilang mga modernong DMI1, DMI2 at mga extension ng ADX at kinakalkula ang square root nang hindi tama. Ito ay maaaring pinagsamantalahan ng isang pag-atake na maaaring maglagay ng mga makabuluhang mapagkukunan upang mabawi ang isang pribadong susi nang mas madali ang pag-atake na ito ay isinasaalang-alang pa rin na hindi maaaring magamit ng koponan ng seguridad ng OpenSSL.
• Ang mas mahihirap na kahinaan ay sanhi ng sobrang pagbabasa ng data ng sertipiko kapag ang isang sertipiko ay may malformed IPAddressFamily extension. Maaaring humantong ito sa maling pagpapakita ng sertipiko sa format ng teksto. Ang kahinaan na ito ay sinusubaybayan sa ilalim ng CVE-2017-3735.
• Misc:
• Nagdusa din ang wget mula sa dalawang mga kahinaan sa seguridad na nagpapahintulot sa isang magsasalakay na magsagawa ng arbitrary code. Ang mga ito ay isinangguni sa ilalim ng CVE-2017-13089 at CVE-2017-13090.
• Na-update ang apache sa bersyon 2.4.29 na inaayos ang isang bilang ng mga bug.

Ang
• snort ay na-update sa bersyon 2.9.11.
• xz ay na-update din sa bersyon 5.2.3 na nagdudulot ng iba't ibang mga pagpapabuti.

Ano ang bago sa bersyon 2.19 Core 113 / 3.0 Alpha 1:

/ li>

Sino ang Online? (o WIO sa maikling) ay sa wakas ay dumating sa IPFire. Ito ay nai-port sa pamamagitan ng orihinal na may-akda Stephan Feddersen at Alex Marx at magagamit bilang isang karaniwang add-on na pakete na tinatawag na wio.

Ito ay isang builtin monitoring service para sa lokal na network na nagpapakita kung anong mga device ang nakakonekta, kung alin ang online at maaari ring magpadala ng mga alarma sa iba't ibang mga kaganapan. Subukan ito!

Misc::

Ang mga DNS root na key ay na-update upang gawing gumagana ang DNS nang lampas noong Oktubre 2017 pagkatapos maisagawa ang DNSSEC key rollover

Awtomatikong nakita ng mga serial console na awtomatiko ang baudrate pagkatapos na ang booting ang kernel

Mga update sa package ni Matthias Fischer: magbigkis 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, pusit 3.5.26, walang laman 1.6.4

Mga Add-on:

iftop ay na-update sa 1.0pre4 ni Erik Kapfer

Na-update ni Matthias Fischer: hostapd 2.6, tor 0.3.0.10

Ano ang bago sa bersyon 2.19 Core 112 / 3.0 Alpha 1:

• Ang Core Update na ito ay higit sa lahat ay may mga update sa ilalim ng hood. Na-update ang mga pangunahing sistema ng mga aklatan sa mga bagong pangunahing bersyon at ang build toolchain ay nakakuha ng mga pangunahing pag-update.
• Ito ang mga:
• glibc 2.25
• GNU Compiler Collection 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fuse 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, pusit 3.5.26, strongswan 5.5.3 , walang laman 1.6.3, util-linux 2.28.2
• Misc:
• openvpn (2.3.17) ay nakatanggap ng ilang mga update sa seguridad na natuklasan kamakailan.
• Ang isang remote command execution vulnerarbility sa ids.cgi ay sarado na maaaring magamit ng mga napatotohanan na mga gumagamit upang magpatakbo ng mga command shell na may mga di-superuser na karapatan.
• Posible na ngayon na lumikha ng mga network sa firewall na isang subnet ng alinman sa mga panloob na zone.
• Ang toolchain at build script ay nalinis din at pinabuting.

Ang IPFire netboot ay na-update upang palaging ang pinakamahusay na arkitektura para sa isang sistema ay ginagamit (ibig sabihin, naka-install ang 64 bit na bersyon kapag sinusuportahan ito ng system).

• Mga Add-on:
• Na-update:
• 7zip 16.02
• ibon 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monit 5.23.0
• ngayon nakikinig ang miniupnpd sa LUNTIAN bilang default
• tmux 2.5
• tor 3.0.8
• Bumagsak:
• ang imspector at tcpick ay hindi pinananatili sa ibaba ng agos pa

Ano ang bago sa bersyon 2.19 Core 111 / 3.0 Alpha 1:

• WPA Enterprise Authentication sa Client Mode:
• Ang firewall ay maaari na ngayong mapatunayan ang sarili nito sa isang wireless network na gumagamit ng Extensible Authentication Protocol (EAP). Ang mga ito ay karaniwang ginagamit sa mga negosyo at nangangailangan ng isang username at password upang kumonekta sa network.
• IPFire ay sumusuporta sa PEAP at TTLS na kung saan ay ang dalawang pinaka-karaniwang mga. Makikita ang mga ito sa na-configure sa "WiFi Client" na pahina na nagpapakita lamang kapag ang RED interface ay isang wireless na aparato. Ipinapakita rin ng pahinang ito ang kalagayan at mga protocol na ginamit upang maitatag ang koneksyon.
• Ipinapakita rin ng pahina ng index ang iba't ibang impormasyon tungkol sa katayuan, bandwidth at kalidad ng koneksyon sa isang wireless network. Gumagana rin ito para sa mga wireless network na gumagamit ng WPA / WPA2-PSK o WEP.
• QoS Multi-Queuing:
• Ang Kalidad ng Serbisyo ngayon ay gumagamit ng lahat ng core ng CPU upang balansehin ang trapiko. Bago, isa lamang na processor core ang ginamit na naging sanhi ng isang mas mabagal na koneksyon sa mga system na may mga weaker processor tulad ng serye ng Intel Atom, atbp ngunit mabilis na mga adaptor ng Ethernet. Ito ay nabago na ngayon upang ang isang processor ay hindi na isang leeg ng bote.
• Mga default na default ng crypto:
• Sa maraming bahagi ng mga cryptographic algorithm ng IPFire isang malaking papel. Gayunpaman, sila ay edad. Kaya binago namin ang mga default sa mga bagong system at para sa mga bagong koneksyon sa VPN sa isang bagay na mas bago at itinuturing na mas matatag.
• IPsec:
• Ang pinakabagong bersyon ng strongSwan ay sumusuporta sa Curve 25519 para sa mga panukala IKE at ESP na magagamit din sa IPFire ngayon at pinagana sa pamamagitan ng default.
• Ang default na panukala para sa mga bagong koneksyon ay pinahihintulutan lamang ngayon ang mga tahasang piniling mga algorithm na nagpapakinabang sa seguridad ngunit maaaring magkaroon ng isang epekto sa pagiging tugma sa mga nakatatandang kapantay: Ang SHA1 ay bumaba, dapat na gamitin ang SHA2 256 o mas mataas; ang uri ng grupo ay dapat gumamit ng isang susi na may haba na 2048 bit o mas malaki
• Dahil ang ilang mga tao ay gumagamit ng IPFire na may kaugnayan sa sinaunang kagamitan, pinahihintulutan na ngayon na piliin ang MODP-768 sa mga panukala ng IKE at ESP. Ito ay itinuturing na nasira at minarkahan nito.
• OpenVPN:
• Ginamit ng OpenVPN ang SHA1 para sa integridad bilang default na ngayon ay binago sa SHA512 para sa mga bagong pag-install. Sa kasamaang palad, hindi maaaring makipag-ayos ang OpenVPN na ito sa koneksyon. Kaya kung nais mong gamitin ang SHA512 sa isang umiiral na system, kailangan mong muling i-download ang lahat ng mga koneksyon ng client pati na rin.
• Iba't ibang mga marker ang naidagdag upang i-highlight na ang ilang mga algorithm (hal. MD5 at SHA1) ay itinuturing na sira o cryptographically mahina.
• Misc::
• Ipapakita ang IPsec VPN bilang "Kumokonekta" kapag hindi ito itinatag, ngunit sinusubukan ng system na
• Ang isang shutdown bug ay naayos na naantala ang pag-shutdown ng system kapag ang RED interface ay isinaayos bilang static
• Ang katayuan ng DNSSEC ay ipinapakita nang tama sa lahat ng mga system
• Ang mga sumusunod na pakete ay na-update: acpid 2.0.28, magbigkis 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, file 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (bug bug fixes), openvpn 2.3.16 na nag-aayos ng CVE-2017-7479 at CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, unbound 1.6.2, unzip 60, vnstat 1.17
• Nakatulong si Matthias Fischer ng ilang mga kosmetiko na pagbabago para sa seksyon ng log firewall
• Pinabuti ni Gabriel Rolland ang pagsasalin ng Italyano
• Iba't ibang mga bahagi ng sistema ng pagtatayo ay nalinis
• Mga Add-on:
• Bagong Mga Add-on:
• ltrace: Isang tool upang taluntunin ang mga tawag sa library ng isang binary
• Nai-update na Mga Add-on:
Ang samba addon ay nai-patched para sa isang kahinaan sa seguridad (CVE-2017-7494) na nagpapahintulot sa isang remote code na isinasagawa sa mga nabagong pagbabahagi.
• ipset 6.32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd na ngayon ay sumusuporta sa pagbabasa ng mga sensors ng temperatura sa tulong ng lm_sensors
• nmap 7.40
• tor 0.3.0.7

Ano ang bago sa bersyon 2.19 Core 109 / 3.0 Alpha 1:

• Pag-aayos ng DNS:
• Ang DNS proxy na nagtatrabaho sa loob ng IPFire ay na-update sa unbound 1.6.0 na nagdudulot ng iba't ibang mga pag-aayos ng bug. Samakatuwid, ang pag-minimize at pagpapatatag ng QNAME sa ibaba ng mga domain ng NX ay muling-activate.

Sa oras ng pagsisimula, ang IPFire ngayon ay sumusuri din kung ang isang router sa harap ng IPFire ay bumaba sa mga tugon ng DNS na mas mahaba kaysa sa isang tiyak na limitasyon (ginagawa ng ilang mga aparato ng Cisco ang "patigasin" ang DNS). Kung ito ay napansin, ang laki ng buffer ng EDNS kung nabawasan na kung saan ay hindi nakabalik sa TCP para sa mas malaking mga tugon. Maaaring mapabagal ang DNS nang bahagya, ngunit pinapanatili itong gumagana pagkatapos ng lahat sa mga misconfigured na kapaligiran.
• Misc:
• openssl ay na-update sa 1.0.2k na nag-aayos ng isang bilang ng mga kahinaan sa seguridad na may "katamtaman" kalubhaan
• Sinusuportahan na ngayon ng kernel ang ilang mas bagong eMMC modules
• Ang backup na script ay mas nagtatrabaho nang mas mapagkakatiwalaan sa lahat ng mga architectures
• Ang mga script ng network na lumikha ng MACVTAP tulay para sa virtualisasyon bukod sa iba pang mga bagay na ngayon ay sumusuporta sa standard 802.3 tulay, masyadong
• Ang firewall GUI ay tinanggihan ang paglikha ng mga subnet na isang subnet ng alinman sa mga karaniwang network na naayos na
Matthias Fischer ay nagsumite ng mga update ng package para sa: magbigkis 9.11.0-P2 na may ilang mga pag-aayos sa seguridad, libpcap 1.8.1, logrotate 3.9.1, Perl-GeoIP module 1.25, snort 2.9.9.0, pusit 3.5.24 na Inaayos ng iba't ibang mga bug, sysklogd 1.5.1, zlib 1.2.11
• Bukod dito, ang libpng ay na-update sa 1.2.57 na inaayos ang ilang mga kahinaan sa seguridad
• Mga Add-on:
• Si Jonathan Schlag ay nakabalot sa Python 3 para sa IPFire
• Na-update din niya ang libvirt sa bersyon 2.5 at qemu sa bersyon 2.8
• Nagsumite si Matthias Fischer ng maraming mga update para sa mga sumusunod na pakete: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
• ay na-update na sa 0.2.9.9 na nag-aayos ng isang bilang ng mga kahinaan sa serbisyo ng pagtanggi
• sarg ay na-update sa 2.3.10

Ano ang bago sa bersyon 2.19 Core 108 / 3.0 Alpha 1:

• Asynchronous Logging:
• Pinagana na ngayon ang asynchronous na pag-log sa pamamagitan ng default at hindi na ma-configure. Ginawa nito ang ilang mga programa na nagsulat ng isang malawak na halaga ng mga mensahe ng log mabagal at posibleng hindi tumutugon sa network na nagiging sanhi ng iba't ibang mga problema. Nakikita ito sa mga system na may mabagal na flash media at mga virtual na kapaligiran.
• Miscellaneous:
• Ang tseke na sumusubok sa mga server ng DNS para sa anumang maling pag-configure ay ipinapalagay na ang ilang mga server ng pangalan ay nagpapatunay na kahit na sila ay hindi at malamang na hindi gumagana ang lahat. Ito ay naayos ngayon at ang mga sistema gamit ang mga sirang pangalan ng mga server ay dapat na bumalik sa mode ng recursor.
• Ang isang problema sa firewall GUI ay naayos na nagbabawal sa pagdaragdag ng koneksyon ng IPsec VPN at koneksyon sa OpenVPN na may parehong pangalan sa isang grupo ng firewall.
• Na-update na Mga Pakete ng Core:
• strongswan ay na-update sa bersyon 5.5.1 na inaayos ang iba't ibang mga bug
• ntp na-update sa bersyon 4.2.8p9 na nag-aayos ng iba't ibang mga isyu sa seguridad

Ang
ay na-update sa bersyon 008

Nai-update na Mga Add-on:

nano, ang text editor, ay na-update sa bersyon 2.7.1

tor, ang anonymity network, ay na-update sa bersyon 0.2.8.10

Ano ang bago sa bersyon 2.19 Core 107 / 3.0 Alpha 1:

• Ang update na ito ay sumasaklaw sa kernel ng IPFire Linux laban sa kamakailang isiwalat na kahinaan na tinatawag na Dirty COW. Ito ay isang lokal na pribilehiyo bug pag-aalsa na maaaring magamit ng isang lokal na magsasalakay upang makakuha ng mga pribilehiyo ng ugat.
• Pinapatuloy ng karagdagang patch ang mga processor ng Intel gamit ang AES-NI na sumusuporta sa hardware na may encryption na 256 at 192 bit key length, ngunit hindi maayos na ipinatupad sa Linux kernel
• Isang pag-aayos upang ipakita ang bagong unblock na proxy ng DNS sa seksyon ng log ng interface ng gumagamit ng web
• hdparm 9.5.0 at libjpeg 1.5.1 ay na-update

Ano ang bago sa bersyon 2.19 Core 105 / 3.0 Alpha 1:

• IPFire 2.19 Core Update 105 ay nagtatala ng ilang mga isyu sa seguridad sa dalawang cryptographic libaries: openssl at libgcrypt. Inirerekomenda naming i-install ang update na ito sa lalong madaling panahon at i-reboot ang IPFire system upang makumpleto ang pag-update.

Ano ang bago sa bersyon 2.19 Core 103 / 3.0 Alpha 1:

• Mga Pagpapabuti ng Web Proxy:
• Ang web proxy squid ay na-update sa 3.5 series at iba't ibang mga pagpapabuti para sa katatagan at pagganap ay ginawa.
• Sa mga makina na may mabagal na mga harddisk o sa mga pag-install na may napakalaking cache na malamang na mangyari na ang index ng cache ay napinsala kapag ang proxy ay sinara. Nagresulta ito sa isang hindi matatag na web proxy pagkatapos ng susunod na pagsisimula.
• Ang pag-shutdown na gawain ay pinabuting upang ang isang index ng cache ng katiwalian ngayon ay malamang na hindi. Bukod pa rito kami ay may naka-install na paraan na nagbibigay-daan sa amin upang makita kung ang index ng cache ay nasira at kung kaya't awtomatiko itong itinayong muli sa susunod na pagsisimula. Ang update na ito ay magtatanggal ng siguro masira index sa lahat ng mga pag-install at simulan ang muling pagtatayo ng index, na maaaring magresulta sa mabagal na operasyon ng proxy sa loob ng maikling panahon matapos i-install ang update.
• Misc:
• Ayusin ang setup command upang maipakita nang tama ang higit sa 6 na controllers ng network
• Na-update ang database ng timezone
• Pangkalahatang payagan ang mga underscore sa mga domain name
• Nai-update na mga pakete: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, mas mababa 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Nai-update na mga add-on:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Midnight Commander 4.8.17
• nfs (papalitan ang portmap gamit ang rpcbind)
• tor 0.2.7.6

Ano ang bago sa bersyon 2.19 Core 102 / 3.0 Alpha 1:

Bago sa IPFire 2.19 Core 101 (ika-3 ng Mayo, 2016)

Ano ang bago sa bersyon 2.19 Core 100 / 3.0 Alpha 1:

• Ang update na ito ay magdadala sa iyo ng IPFire 2.19 na ilalabas namin para sa 64 bit sa Intel (x86_64) sa unang pagkakataon. Ang paglabas na ito ay naantala ng iba't ibang mga kahinaan sa seguridad sa openssl at glibc, ngunit nakaimpake na may maraming mga pagpapabuti sa ilalim ng hood at iba't ibang mga pag-aayos ng bug.
• 64 bit:
• Hindi magkakaroon ng awtomatikong pag-update ng landas mula sa pag-install ng 32 bit sa isang pag-install na 64 bit. Kinakailangan na manu-manong muling i-install ang system para sa mga nais baguhin, ngunit ang isang naunang nabuong backup ay maaaring maibalik upang ang buong pamamaraan ay tumatagal ng karaniwang mas mababa sa kalahating oras.
• Hindi masyadong maraming mga pakinabang sa isang 64 bit na bersyon maliban sa ilang mga menor de edad na pagtaas ng pagganap para sa ilang mga kaso ng paggamit at siyempre ang kakayahang matugunan ang higit pang memorya. Ang IPFire ay makakapag-address ng hanggang sa 64GB ng RAM sa 32 bit, kaya hindi gaanong kailangang lumipat. Inirerekomenda naming gamitin ang 64 na bit na imahe para sa mga bagong pag-install at manatili sa mga umiiral na pag-install habang ang mga ito.
• Update ng Kernel:
• Tulad ng lahat ng mga pangunahing paglabas, ang isang ito ay may isang na-update na kernel ng Linux upang ayusin ang mga bug at pagbutihin ang pagiging tugma ng hardware. Ang Linux 3.14.65 na may maraming mga backported na driver mula sa Linux 4.2 ay pinatigas din laban sa mga karaniwang pag-atake tulad ng mga overflow na stack buffer.
• Maraming firmware blobs para sa mga wireless card at iba pang mga sangkap na na-update tulad ng database ng hardware.
• Mga isyu sa pagganap ng Hyper-V:
• Ang backport ng isang kamakailang bersyon ng module ng driver ng Hyper-V network ng Microsoft ay magbibigay-daan sa paglilipat ng data sa mas mataas na bilis muli. Ang mga naunang bersyon ay napakahirap lamang sa pamamagitan ng ilang mga bersyon ng Hyper-V.
• Mga Update ng Firewall:
• Posible na ngayong paganahin o huwag paganahin ang ilang mga module sa pagsubaybay sa koneksyon. Ang mga module na ito ng Application Layer Gateway (ALG) ay tumutulong sa ilang mga protocol tulad ng SIP o FTP upang gumana sa Nat. Ang ilang mga telepono ng VoIP o PBXes ay may mga problema sa mga ito upang maaari na ngayong hindi pinagana. Ang ilan ay nangangailangan ng mga ito.
• Ang firewall ay na-optimize na upang payagan ang higit na paghahatid sa paggamit ng bahagyang mas mababa mapagkukunan ng system.
• Misc:
• Maraming mga programa at tool ng toolchain na ginamit ay na-update. Ang isang bagong bersyon ng GNU Compiler Collections ay nag-aalok ng mas mahusay na code, mas malakas na hardening at compatibility para sa C ++ 11
• GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq, ang IPFire-panloob na DNS proxy ay na-update at maraming mga isyu sa instability na naayos
• openvpn ay na-update sa bersyon 2.3.7 at ang nabuong mga file ng pagsasaayos ay na-update upang maging katugma sa mga paparating na bersyon ng OpenVPN
• IPFire ay maghihintay na ngayon sa booting up kapag ang oras na kailangang mag-synchronize at DHCP ay ginagamit hanggang ang koneksyon ay itinatag at pagkatapos ay magpatuloy sa pag-boot up
• Na-update ang pagkakaiba sa bersyon 9.10.3-P2
• ntp na-update sa bersyon 4.2.8p5
• tzdata, ang database para sa mga kahulugan ng timezone, ay na-update sa bersyon 2016b
• Iba't ibang mga pag-aayos sa kosmetiko ang ginawa sa web user interface
• Ang isang bug na nagdudulot ng mga aparatong VLAN na hindi nilikha kapag ang magulang na NIC ay naayos na
• DHCP client: Ang pag-reset sa MTU sa mga nasira NIC na nawala ang link ay naayos na
• Ang isang ramdisk na mag-imbak ng mga database ng mga graph na ipinapakita sa interface ng web user ay ginagamit na ngayon sa pamamagitan ng default muli sa mga pag-install na gumagamit ng flash image kapag mahigit sa 400MB ng memorya ang magagamit
• Ang isang bug na hindi maitigil ang Marka ng Serbisyo ay naayos na
• Ang ilang mga lumang code ay na-renew at ilang hindi nagamit na code ay bumaba sa ilang panloob na mga bahagi ng IPFire
• Mga Add-on:
• na-update ang owncloud sa bersyon 7.0.11
• nano na-update sa bersyon 2.5.1
• Na-update ang rsync sa bersyon 3.1.2

Ano ang bago sa bersyon 2.17 Core 98 / 3.0 Alpha 1:

• Dahil sa isang kamakailan-lamang na natuklasan na kahinaan sa seguridad sa glibc, pinalalabas namin ang Core Update na naglalaman ng fix para sa CVE-2015-7547.
• Ang interface ng getaddrinfo () ay glibc, ang pangunahing library ng system, ay ginagamit upang malutas ang mga pangalan sa mga IP address gamit ang DNS. Maaaring pagsamantalahan ng isang magsasalakay ang proseso sa system na gumaganap ng kahilingang ito sa pamamagitan ng pagpapadala ng isang huwarang tugon na masyadong mahaba na nagdudulot ng overflow ng stack buffer. Ang potensyal ay maaaring ma-injected at maisakatuparan.
• Gayunpaman, ang IPFire ay hindi direktang mapagsamantalahan ng kahinaan na ito dahil gumagamit ito ng DNS proxy, na tumatanggi sa mga tugon ng DNS na masyadong mahaba. Kaya ang IPFire mismo at lahat ng mga sistema sa network na gumagamit ng IPFire bilang DNS proxy ay protektado ng DNS proxy. Gayunpaman, nagpasya kaming itulak ang isang patch para sa kahinaan na ito sa lalong madaling panahon.

Ano ang bago sa bersyon 2.17 Core 94 / 3.0 Alpha 1:

• OpenSSH:
• Na-update ang OpenSSH sa bersyon 7.1p1. Sa pamamagitan ng na idinagdag namin ang suporta para sa tambilugin curves (ECDSA at ED25519) at inalis ang suporta para sa DSA na kung saan ay itinuturing na nasira. Ang mga maliliit na maliliit na RSA na mga key ay tinanggal pati na rin at muling binago. Maaaring mangailangan ng mga pagbabagong ito na i-import ang mga key ng sistema ng IPFire sa iyong admin computer muli.
• Internal agent agent
• Isang ahente sa panloob na mail ay naidagdag na ginagamit ng mga panloob na serbisyo upang magpadala ng mga ulat o alerto. Sa ngayon lamang ng ilang mga serbisyo ang gumagamit nito (tulad ng add-on ng pusit ng accounting), ngunit inaasahan naming magdagdag ng higit pang mga bagay sa hinaharap.
• Ito ay isang napaka-simple at magaan na ahente ng mail na maaaring i-configure sa web user interface at karaniwan ay nangangailangan ng isang upstream mail server.
• IPsec MOBIKE:
• Isang bagong checkbox sa advanced na pahina ng mga setting ng isang koneksyon sa IPsec ang naidagdag. Pinapayagan nito ang paggamit ng MOBIKE, isang teknolohiya para sa IPsec upang mas madali ang pagtawid ng Nat. Minsan kapag nasa likod ng may sira na routers, maaaring maitatag ang mga IPsec na koneksyon, ngunit walang data na maaaring mailipat at ang koneksyon ay napakabilis (ang ilang mga router ay may problema sa pagpapasa ng mga packet ng DPD). MOBIKE circumvents na sa pamamagitan ng paggamit ng UDP port 4500 para sa IKE messages.
• Misc:
• Ang mga kinakailangang patlang ay minarkahan na ngayon ng isang bituin. Noong nakaraan ito ay ang iba pang mga paraan round kaya na opsyonal na mga patlang kung saan minarkahan ng isang bituin, na kung saan ay hindi makikita kahit saan sa web anumang higit pa.
• Ang isang buwanang sapilitang ddns update ay aalisin dahil ang ddns ay nag-aalaga sa sarili ng pagsunod sa lahat ng mga talaan ng hanggang sa petsa at nagre-refresh ang mga ito pagkatapos ng 30 araw kung kinakailangan.
• fireinfo: Ang ilang mga pag-crash ay naayos na may mga ID na naglalaman lamang ng 0xff
• Na-update na mga pakete:
• magbigkis 9.10.2-P4, coreutils 8.24, nakuha ng dnsmasq ang pinakahuling pagbabago na nai-import, file 5.24, glibc (mga pag-aayos ng seguridad), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, para sa higit pang mga buffer overflows), rrdtool 1.5.4, pusit 3.4.14

Ano ang bago sa bersyon 2.17 Core 93 / 3.0 Alpha 1:

• I-update ang Client ng DDNS:
• ddns, ang aming dynamic na DNS update client, ay na-update sa bersyon 008. Ang bersyon na ito ay mas matatag laban sa mga error sa network sa error sa landas at server sa provider. Ang mga update ay pagkatapos ay madalas na muling iniulit.
• Ang provider na joker.com at DNSmadeEasy ay suportado na ngayon
• Ang pag-crash kapag nag-update ng mga tala ng namecheap ay naayos na
• Misc:
• Naayos na ang Pakfire at ngayon ay tama na nakakuha ng mga karagdagang dependency ng mga add-on na pakete kapag nag-a-update mula sa isang mas lumang bersyon.
• TRIM ay hindi pinagana sa ilang mga SSD na may mga kilalang firmware bug na nagdudulot ng pagkawala ng data.
• pusit-accounting: Ayusin ang iba't ibang mga typo sa mga pagsasalin
• /etc/ipsec.user-post.conf ay idinagdag sa backup kung umiiral ito
• Na-update na mga pakete:
• magbigkis 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (inilipat sa core system mula sa add-on), libpcap 1.7.4, nettle 3.1.1, pcre (pag-aayos ng CVE -2015-5073), pusit 3.4.14
• Mga Add-on:
• tasa 2.0.4, gumawa 4.1, nano 2.4.2