pfSense 2.4.1-RELEASE opravuje chybu KRACK ve WPA2

25. 10. 2017

Včera vyšla opravná verze pfSense 2.4.1-RELEASE. Která reaguje hlavně na již známou chybu ve WPA2 Key Reinstallation Attack známou také jako KRACK. Existence opravy byla oznámena již 20. října 2017 na Twitteru. Vývojáři pfSense reagovali na opravu FreeBSD-SA-17:07.wpa v operačním systému FreeBSD.

Poslední verze pfSense tedy stojí na základech FreeBSD 11.1-RELEASE-p2. Aktualizace je možná skrze menu System > Update nebo v konzoli volba 13. Instalační obrazy Comunity Edition jsou ke stažení na pfsense.org.

New packages to be INSTALLED:
    wpa_supplicant: 2.6_2 [pfSense]
    hostapd: 2.6_1 [pfSense]

Installed packages to be UPGRADED:
    pfSense-rc: 2.4.0 -> 2.4.1 [pfSense-core]
    pfSense-pkg-acme: 0.1.20 -> 0.1.21 [pfSense]
    pfSense-kernel-pfSense: 2.4.0 -> 2.4.1 [pfSense-core]
    pfSense-default-config-serial: 2.4.0 -> 2.4.1 [pfSense-core]
    pfSense-base: 2.4.0 -> 2.4.1 [pfSense-core]
    pfSense: 2.4.0 -> 2.4.1 [pfSense]
    mpd5: 5.8_2 -> 5.8_3 [pfSense]

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

25. 10. 2017 13:09

Lol Phirae (neregistrovaný)

Aktualizaci vřele nedoporučuju komukoliv kdo používá VLAN. Nápad přejmenovat mezi patch verzemi bez testování VLAN rozhraní z fooX_vlanY na fooX.Y byl skutečně geniální.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 13:40

Lukáš Malý

Zlatý podporovatel

Chapu je to neprijemne, ale znakova konvence je dulezita! A sladit to zjevne potrebovali.

Jinak muzete prejit na https://opnsense.org/ tam podle me museli resit stejny problem, pokud teda dovolili, aby nekdo mel v nazvu VLAN "_".
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 14:11

Lol Phirae (neregistrovaný)

Já aktuálně nechci nikam přecházet, já pouze chci, aby někomu neprdlo v kouli a v bugfix release neprováděl naprosto neotestované změny, na které měli předtím rok (!!!), kdy jim to lidi testovali v develoment/beta/rc verzích.

Že firma Netgate prodává jakousi ARM-based srágoru, kde nějaký prudce inteligentní vývojář pojmenoval rozhraní mvneta a pak zjistil, že se mu do limitu ve FreeBSD nevejde VLAN >=1000 je sice smutná story, ale je mi tak nějak u dolní části zad a vzhledem k výkonu té platformy a tomu, jak "dlouho" se to prodává, to postihlo odhadem asi tak celých 10 uživatelů. (Mimochodem, kvůli téhle srágoře už jednou ze stejného důvodu těsně před vydáním finální 2.4.0 dojebali celý OS pokusem o odstranění toho limitu v kernelu, a to tak, že k totální nepoužitelnostosti (byla nutná reinstalace, protože nefungovalo naprosto nic.)

Najít chybu je samozřejmě nemožné, protože soudruzi od Netgate již asi půl roku nedávájí provedené změny ve FreeBSD (včetně kernelu) na svůj GitHub. No hlavně že web mají plný keců o open-source bezpečnosti.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 14:22

Lukáš Malý

Zlatý podporovatel

Ano mate pravdu, delaji nekdy zbytecne chyby. Ale kdo je nedela :-) To jejich uzavirani se jim vymsti :-(
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 14:50

Lol Phirae (neregistrovaný)

To jejich uzavirani se jim vymsti :-(

Ono je to opravdu komické. Tady se pochlubíme, jak jsme to přelicencovali (asi už potřetí) a že teď lidi můžou přispívat bez copyright assignmentu a dalších právních krávovin (no, ale to mohli i předtím, než to cca před třemi roky přelicencovali na jakousi svou 6článkovou zprzněninu BSD licence). Za měsíc tam prdneme nějaký tragikomický pokus o EULA, to se asi dotyčný praštil někde na ranči do palice), proč s tím proboha opruzuje uživatele, ten nic nedistribuuje... No a ve finále si polepíme web halasnými slogany o open-source, přičemž ale tu věc nejde s pomocí publikovaných nástrojů vůbec zkompilovat, a kdyby se to náhodou někomu povedlo, tak mu je to stejně k ničemu, protože kernel ani OS neodpovídá tomu, co je ve skutečnosti ve zkompilovaném produktu použito.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 15:18

Lukáš Malý

Zlatý podporovatel

Tou EULA opruzuji nekutecne. I po upgradu se mi to okno pet otevrelo. Maji vlastni HW a ten je podle me predrazenej a asi se moc neprodava. A nelibi se jim kdyz nekdo instaluje na jiny HW pfSense Comunity Edition a jeste to prodava. Moc je nechapu i takovy user si preci muze koupit support, kterej je taky drahej. Navic ta jejich subscripce resi snad jen zalohovani nekam k nim. S prelicencovanim je to opravdu velmi srandovni.

Kompilovat jsem se take jednou snazil, ale zjevne tam moho veci neni k tomu aby si to nekdo cele sestavil sam.

Otevreni jsou ale tak na pul. Jestli OPNsense je skutecne plne otevrene nevim. Trosku jsem to zkoumal a porovnaval, ale aktivne ZATIM nepouzivam.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 16:10

Lol Phirae (neregistrovaný)

Mimochodem, ještě se vrátím k těm ARM routerům. To je vůbec výborné, když to uživatel brickne po víc než roce (např. po obdobně "povedené" úpravě kernelu, jakou jsem zmínil shora), tak je může použít akorát jako těžítko, protože žádný Community Edition pro ARM neexistuje a image si tak nemá kde stáhnout. Aby si ji mohl stáhnout, tak si může na rok zaplatit 99 USD za jakési "Gold" předplatné. No, a jakže tu srandu inzerují?

fast networking security solution unencumbered by traditional annual contracts, licensing fees, or artificial limitations.

:-(
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 21:28

Lukáš Malý

Zlatý podporovatel

ARM drzi pod poklickou a patrne by jste tezitko musel poslat vyrobci nebo partnerum pro obnovu firmware (systemu) coz je velmi podivne. Je otazkou jak to budou resit po zaruce. Mozna ze casem ARM vydaji jako Comunity Edition. Nevim, ceho se obavaji, snad ze by si to nekdo dal na RPi 3 a mel to jako WiFi s jednim LAN portem.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 21:40

Lol Phirae (neregistrovaný)

snad ze by si to nekdo dal na RPi 3 a mel to jako WiFi s jednim LAN portem.

To vůbec nepadá v úvahu, na tom RPi3 by to ani nenabootovalo a jinak použitelnost WiFi pod FreeBSD je na bodu mrazu, o SDIO vůbec nemluvě.

https://wiki.freebsd.org/arm64/rpi3
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 10. 2017 0:56

hugochavez

opensense asi nebude dobra volba...............videl sem na forech hromady lidi co breceli jak zelvy ze se jim to chova divne, pada to bez duvodu atd.
Dal sem to nezkoumal protoze z PfSense nehodlam odchazet.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 10. 2017 13:35

Lukáš Malý

Zlatý podporovatel

O tom ze prejmenovavaji VLAN jsem nepsal. Ale v oznameni to maji ...
https://www.netgate.com/blog/pfsense-2-4-1-release-now-available.html

--~--
Changed the VLAN interface names to use the ‘dotted’ format now utilized by FreeBSD, which is shorter and helps to keep the interface name smaller than the limit (16) This fixes the 4 digit VLAN issues when the NIC name is 6 bytes long. This change was made not only to fix the name length issue, but also to reduce the differences between how FreeBSD uses VLANs and how they are used by pfSense interface functions.
--~--

Upgradoval jsem router kde VLANy pouzivam. A na problemy jsem nenarazil. Zadne VLAN se mi neprejmenovali.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 10. 2017 1:04

hugochavez

@Lol Phirae
Da se v ty posledni verzi nekde zapnout DNS over TLS ???
Ja provozuju posledni "nano" verzi a nikde to tam nevidim.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 10. 2017 1:32

Lol Phirae (neregistrovaný)

nanobsd je úplně odpískané. Zůstává na FreeBSD 10.x a už jenom bugfixy. Je tam Unbound, používá se jako výchozí, takže tenhle návod by měl fungovat, pokud to chceš používat jako forwarder. Budeš to muset nacpat do Services - DNS Resolver - General Settings - Custom options protože System - General Setup - DNS Servers nastavení portu evidentně nežere, a aktuálně mě soudruzi nasrali tak, že dělat nějakej pull request fakt nemám náladu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 10. 2017 3:31

hugochavez

ja vim ze nano zarizli......neni mi uplne jasny proc. Asi protoze je potreba jit kupredu ke svetlym zitrkum, borit vse stare a neohlizet se zpet na to co fungovalo dobre :o)))

Ptal sem se ciste ze zvedavosti, Unbound v PfSense pouzivam jako vlastni resolver hlavne kvuli DNSSEC.....
Chtel sem jen vyzkouset jak to bude eventuelne rychly protoze mistni typek tady provozuje jako "akt obcanskeho vzdoru" necenzurovany DNS a v lete jim prave pridal tuhle DNS over TLS ficuru.... :o)

https://blog.uncensoreddns.org/

verejnej klic:
https://blog.uncensoreddns.org/blog/32-dns-over-tls-pubkey-pinning-info-for-unicastuncensoreddnsorg/

ten typek himself:
https://ripe65.ripe.net/archives/video/4/

PS: DNS cenzura bylo v tyhle zemi jen zahrivaci kolo, ted ma vlada mnohem lesi napad= celonarodni DNA register vsech obyvatel.............!
Orwell se musi chechtat v hrobe...............a to jdou statni instituce od jednoho data-leak-pruseru ke druhymu.................
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 10. 2017 1:09

hugochavez

BTW kdyz uz je rec o WPA2 KRACK
tady je interview+naky demo s tim typkem co na to prisel, hrabal se ve wifi protokolu 4roky :o))))))

https://twit.tv/shows/tech-news-weekly/episodes/3?autostart=false