2020年3月26日，pfSense 2.4.5 发布。这一版本修复了安全漏洞，增加了一些新功能，并支持新的 Netgate 硬件平台；同时修正了以往版本中的错误。

点击这里下载 pfSense 2.4.5。要查看本次发行版本修改的完整列表，请参阅发行说明。

新功能

2.4.5 添加了如下新功能：

• 操作系统升级：操作系统已升级到 FreeBSD 11-STABLE。
• 添加了排序和搜索/过滤功能，涉及证书管理器、DHCP 租约以及 ARP/NDP 表。
• 添加了 DNS 解析器（Unbound）的 Python 集成。
• 添加了 IPsec DH 和 PFS 组 25、26、27 和 31。
• 全新安装时，UFS 文件系统默认改为 noatime，以减少不必要的磁盘写入。
• 对包含验证字段的表单设置 autocomplete=new-password，帮助阻止浏览器自动填写无关字段。
• 添加了新的动态 DNS 提供商 Linode 和 Gandi。

安全修复

pfSense 2.4.5 修复了以下安全问题：

• 修复了多个 GUI 页面中潜在的跨站脚本（XSS）向量。
• 修复了权限提升问题：经身份验证的用户被授予对图片小部件的访问权限，可能运行任意 PHP 代码或访问其无权限的页面。
• 系统升级时，为 UFS 文件系统添加 -z 参数运行 fsck，以解决 FreeBSD-SA-19:10.ufs。
• 修复了 XMLRPC 认证失败消息的格式，使 sshguard 可以对其进行处理。
• 在重新提交可能有害的数据之前，添加了带有警告和确认提示的自定义 CSRF 错误页面。
• 解决了 FreeBSD 发布的安全公告和勘误公告中涉及的多个问题。

错误修复

除安全问题外，pfSense 2.4.5 还修正了以下程序错误：

• 默认 GUI 证书有效期已减少至 825 天，以符合当前标准。该标准在 iOS 13 和 macOS 10.15 等平台上被严格执行。升级到 pfSense 2.4.5 后，可以通过控制台或 SSH 执行以下命令，重新生成兼容的 GUI 证书：

  pfSsh.php playback generateguicert

• 若干 IPsec VTI 修复，包括改进的 IPsec 处理，解决重启导致 VTI 路由中断的问题。
• 修复了状态 > 监视中自定义视图管理的多个问题。
• 解决了串行控制台终端尺寸处理问题。
• 修复了权限匹配问题：该问题可能使某些用户无法访问本应有权限的页面（例如用户管理器）。
• 修复了在别名中解析 FQDN 条目时可能丢失某些条目的问题。

升级说明

由于此次升级涉及重要更改，升级过程中可能会弹出警告和错误消息。特别是，在控制台和日志中可能观察到来自 PHP 和软件包更新的错误。一般情况下，这些错误是因为升级期间操作系统、库和 PHP 版本状态不一致所致，并不影响正常升级。升级完成后，系统将恢复一致状态。升级前，请做好配置的备份。

升级 pfSense 之前不要更新软件包！在运行升级之前，请删除所有软件包，或保持软件包不更新。

升级需要几分钟时间。确切时间取决于下载速度、硬件速度以及其他因素（例如安装的软件包）。请耐心等待，让防火墙有足够的时间完成整个过程。更新包下载完毕后，可能需要 10 到 20 分钟或更长时间直至升级过程结束。期间防火墙可能会重启数次。可以从防火墙控制台监控升级过程，以获取最准确的信息。

如果更新检查失败，或者升级未完成，可以运行以下命令，确保 pfSense-upgrade 存在于系统中：

pkg install -y pfSense-upgrade

要了解有关 pfSense 升级的更多信息，请参阅《升级指南》。

即将发布的 2.5.0 版本

pfSense 2.5.0 会在近期推出。如需了解 2.5.0 版本的详细信息，可点击这里。2.5 版本将把操作系统升级到 FreeBSD 12.x，OpenSSL 升级至 1.1.1，PHP 升级至 7.3。

pfSense 2.5.0 将不再使用内置的负载均衡器，所有相关代码已被移除，因为它与 FreeBSD 12.x 上的 OpenSSL 不兼容。你可以使用其他解决方案，如 HAProxy 插件。

请注意，pfSense 2.5.0 将不再要求 AES-NI。最初计划在 pfSense 2.5.0 中包含一个 RESTCONF API，出于安全原因，该 API 需要硬件 AES-NI 或同等支持。后来计划调整，2.5.0 不包含计划的 RESTCONF API，因此取消了 AES-NI 要求。