关键漏洞信息 Denial-of-Service Vulnerability (CVE-2014-9221) - 固定了一个可以通过包含Diffie-Hellman组1025的IKEv2密钥交换(KE)有效载荷触发的拒绝服务漏洞。 - 所有自4.5.0以来的版本都受到影响。 - 更多信息可以在单独的博客条目中找到。 Post-quantum Bimodal Lattice Signature Scheme (BLISS) - 引入了BLISS,一种下一代公共密钥身份验证方法,适用于IKEv2连接。 - 与NTRU加密为基础的IKE密钥交换方法结合,可以设置具有128位或192位加密强度的IPsec连接,这些连接可以抵抗量子计算机的攻击。 - strongSwan pki工具完全支持生成基于BLISS的密钥对、证书和CRL。 - 参考wiki中的BLISS howto了解详情。 Explicit type prefixes for identities - strongSwan现在接受身份前缀以强制实施显式类型,例如email:或fqdn:。 - 对剩余字符串不进行转换,详情参见conn section reference或ipsec.conf(5)手册页。 Use correct mapping of AH integrity algorithms with IKEv1 - 固定了通过IKEv1协商的AH完整性算法映射,这可能导致连接到旧版本的charon时的互操作性问题。 Other Notable Changes - 固定在IKEv2连接中使用fragmentation=yes时的重新密钥问题。 - 固定处理端实体证书中的无效策略,而不是拒绝整个证书,只使受影响的策略无效(见#453)。 - 支持定义为范围的IP地址池(-)在ipsec.conf和swanctl.conf中,并修复池大小计算和重新分配租约。 - 在IKEv1主模式中发送和处理INITIAL_CONTACT通知。