OpenBSD

Screenshot Software:
OpenBSD
Szczegóły programowe:
Wersja: 6.3 Aktualizowane
Filmu: 17 Aug 18
Wywoływacz: OpenBSD Team
Licencja: Wolny
Popularność: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD to darmowy projekt, który dostarcza wieloplatformowy, podobny do UNIX system operacyjny, przenośny, wydajny, bezpieczny i oparty na platformie 4.4BSD. Jest to potężny produkt serwerowy używany na setkach tysięcy komputerów na całym świecie.


Dostępność, opcje uruchamiania, obsługiwane platformy

System operacyjny jest swobodnie dostępny do pobrania z dedykowanej sekcji (patrz wyżej) w postaci obrazów ISO lub pakietów binarnych, które umożliwiają użytkownikom instalację w sieci. Obrazy ISO można nagrywać na płyty CD, startując bezpośrednio z BIOS-u większości komputerów.

OpenBSD obsługuje binarną emulację większości programów z SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS i HP-UX. Może być zainstalowany na wielu różnych architekturach, w tym i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 i mips64el.

Obraz dysku CD uruchamia się automatycznie bez interakcji użytkownika i zapyta go, czy chce ręcznie zainstalować, zaktualizować lub automatycznie zainstalować system operacyjny, a także zrezygnować z monitu o powłokę.

Ręczna lub automatyczna instalacja

Standardowa (czytaj: ręczna) instalacja będzie wymagać od użytkowników wyboru układu klawiatury, ustawienia nazwy hosta, wybrania interfejsu sieciowego i skonfigurowania go za pomocą IPv4 i / lub IPv6, a także ustawienia nowego hasła dla root ( administrator systemu).

Ponadto możesz uruchomić usługi SSH i NTP po uruchomieniu systemu, wybrać, czy chcesz używać systemu X Window, skonfigurować użytkownika, wybrać strefę czasową, partycję na dysku i zainstalować zestawy .

Spośród dołączonych pakietów oprogramowania dostępnych dla OpenBSD można wymienić środowiska graficzne GNOME, KDE i Xfce, serwery MySQL, PostgreSQL, Postfix i OpenLDAP, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, aplikacje Vim i Chromium, a także języki programowania PHP, Python, Ruby, Tcl / Tk, JDK, Mono i Go.


Dolna linia

Podsumowując, OpenBSD to potężny i wysoko oceniany serwerowy system operacyjny BSD / UNIX, który zapewnia nam najnowocześniejsze oprogramowanie, w tym OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED i mandoc.

Co nowego w tej wersji:

  • Ulepszona obsługa sprzętu, w tym:
  • Obsługa SMP na platformach OpenBSD / arm64.
  • Obsługa VFP i NEON na platformach OpenBSD / armv7.
  • Nowy sterownik acrtc (4) dla kodeka audio X-Powers AC100 i zegara czasu rzeczywistego.
  • Nowy sterownik axppmic (4) dla X-Powers AXP Power Management IC.
  • Nowy sterownik bcmrng (4) dla generatora liczb losowych Broadcom BCM2835 / BCM2836 / BCM2837.
  • Nowy sterownik bcmtemp (4) do monitora temperatury Broadcom BCM2835 / BCM2836 / BCM2837.
  • Nowy sterownik bgw (4) do czujnika ruchu Bosch.
  • Nowy sterownik bwfm (4) dla urządzeń Broadcom i Cypress FullMAC 802.11 (nadal eksperymentalny i domyślnie nie wkompilowany w jądro)
  • Nowy sterownik efi (4) dla usług wykonawczych EFI.
  • Nowy sterownik imxanatop (4) dla zintegrowanego regulatora i.MX6.
  • Nowy sterownik rkpcie (4) dla mostu Hostch / PCIe Rockchip RK3399.
  • Nowy sterownik sxirsb (4) dla kontrolera Allwinner Reduced Serial Bus.
  • Nowy sterownik sxitemp (4) do monitora temperatury Allwinner.
  • Nowy sterownik sxits (4) do czujnika temperatury na kontrolerze touchpad Allwinner A10 / A20.
  • Nowy sterownik sxitwi (4) dla dwuprzewodowej magistrali znaleziony w kilku Allwinner SoC.
  • Nowy sterownik sypwr (4) do regulatora Silergy SY8106A.
  • Obsługa SoCs Rockchip RK3328 została dodana do sterowników dwge (4), rkgrf (4), rkclock (4) i rkpinctrl (4).
  • Obsługa sterowników Rockcutip RK3288 / RK3328 została dodana do sterownika rktemp (4).
  • Obsługa sterowników Allwinner A10 / A20, A23 / A33, A80 i R40 / V40 została dodana do sterownika sxiccmu (4).
  • Obsługa sterowników Allwinner A33, GR8 i R40 / V40 została dodana do sterownika sxipio (4).
  • Wsparcie dla M3RAID SAS3.5 zostało dodane do sterownika mfii (4).
  • Do sterownika em (4) dodano obsługę zintegrowanego portu Ethernet Intel Cannon Lake i Ice Lake.
  • porty cnmac (4) są teraz przypisane do różnych rdzeni procesora dla rozproszonego przetwarzania przerwań.
  • Sterownik pms (4) wykrywa teraz i obsługuje komunikaty resetowania.
  • Na procesorze AMD64 mikrokod CPU jest ładowany podczas uruchamiania i instalowany / aktualizowany przez fw_update (1).
  • Obsługa interfejsu API ciastek przerwań sun4v hypervisor, dodająca obsługę maszyn SPARC T7-1 / 2/4.
  • Dodano obsługę hibernacji dla pamięci SD / MMC podłączonej do kontrolerów sdhc (4).
  • clang (1) jest teraz używany jako kompilator systemowy na armv7, a także jest dostępny na sparc64.

  • Ulepszenia
  • vmm (4) / vmd (8):
  • Dodaj obsługę CD-ROM / DVD ISO do vmd (8) za pośrednictwem vioscsi (4).
  • vmd (8) nie tworzy już interfejsu mostu bazowego dla przełączników wirtualnych zdefiniowanych w pliku vm.conf (5).
  • vmd (8) odbiera informacje o przełącznikach (rdomeny itp.) z interfejsu przełącznika bazowego w połączeniu z ustawieniami w pliku vm.conf (5).
  • Obsługa licznika znaczników czasu (TSC) w maszynach VM gości.
  • Wsparcie dla ukvm / Solo5 w Jądrze (4).
  • Obsługa poprawnych (ale niecodziennych) kodowań instrukcji jest lepsza.
  • Lepsza obsługa stronicowania PAE dla 32-bitowych maszyn gościnnych dla systemu Linux.
  • vmd (8) pozwala teraz na maksymalnie cztery interfejsy sieciowe w każdej maszynie wirtualnej.
  • Dodaj wstrzymaną migrację i obsługę migawki do vmm (4) dla hostów AMD SVM / RVI.
  • Komendy BREAK wysłane przez pty (4) są teraz rozumiane przez vmd (8).
  • Wiele poprawek dotyczących obsługi błędów vmctl (8) i vmd (8).
  • Udoskonalenia stosu bezprzewodowego IEEE 802.11:
  • Sterowniki iwm (4) i iwn (4) będą automatycznie wędrować między punktami dostępu, które mają wspólny ESSID. Wymuszenie adresu MAC określonego AP za pomocą polecenia bssid ifconfig wyłącza roaming.
  • Automatycznie usuwaj skonfigurowane klucze WEP / WPA, gdy skonfigurowany jest nowy ESSID sieci.
  • Usunięto możliwość odczytywania przez userland skonfigurowanych kluczy WEP / WPA z jądra.
  • Sterownik iwm (4) może teraz łączyć się z sieciami z ukrytym identyfikatorem SSID.
  • Urządzenia USB obsługiwane przez sterownik athn (4) teraz używają oprogramowania open source, a tryb hostap działa teraz na tych urządzeniach.
  • Ogólne ulepszenia stosu sieciowego:
  • Stos sieciowy nie działa już z KERNEL_LOCK (), gdy włączony jest IPsec.
  • Przetwarzanie przychodzących pakietów TCP / UDP odbywa się teraz bez KERNEL_LOCK ().
  • Zadanie splicingu gniazd działa bez KERNEL_LOCK ().
  • Oczyszczanie i usuwanie kodu w sys / netinet6, ponieważ automatyczna konfiguracja działa teraz w przestrzeni użytkownika.
  • bridge (4) można teraz uniemożliwić rozmowę ze sobą za pomocą nowej opcji chronionej.
  • Funkcja pf-przekierowania została uproszczona. Opcja gniazda IP_DIVERTFL została usunięta z przekierowania (4).
  • Różne narożne przypadki przekierowań na pf i przekierowań są teraz bardziej spójne.
  • Wymuś w pf (4), że wszystkie sąsiednie pakiety odnajdywania mają 255 w polu limitu przeskoku nagłówka IPv6.
  • Nowa opcja syncookies w pliku pf.conf (5).
  • Obsługa GRE przez IPv6.
  • Nowy sterownik egre (4) dla tuneli Ethernet nad GRE.
  • Obsługa opcjonalnego nagłówka klucza GRE i entropii klucza GRE w gre (4) i egre (4).
  • Nowy sterownik nvgre (4) do wirtualizacji sieci przy użyciu szyfrowania z wykorzystaniem typowej trasy.
  • Obsługa konfigurowania pakietów flagowania "Nie fragmentuj" zawartych w interfejsach tunelowych.
  • Poprawki instalatora:
  • jeśli strona install.site lub upgrade.site nie powiedzie się, powiadom użytkownika i błąd po zapisaniu adresu rand.seed.
  • zezwala na notację CIDR podczas wprowadzania adresów IPv4 i IPv6.
  • wybór naprawy lustra HTTP z listy serwerów lustrzanych.
  • zezwól na "-" w nazwach użytkowników.
  • zadaj pytanie na końcu procesu instalacji / aktualizacji, więc powrót karetki powoduje odpowiednie działanie, np. uruchom ponownie.
  • wyświetla monity trybu (instaluj lub aktualizuj) tak długo, jak długo nie jest znana nazwa hosta.
  • poprawnie wykryj, który interfejs ma domyślną trasę i czy został skonfigurowany przez DHCP.
  • upewnij się, że zestawy można odczytać z obszaru pobierania wstępnego.
  • upewnij się, że przekierowanie adresu URL jest skuteczne w przypadku całej instalacji / uaktualnienia.
  • dodaj serwer proxy HTTP używany podczas pobierania zestawów do rc.firsttime, gdzie fw_update i syspatch mogą je znaleźć i używać.
  • dodaj logikę do obsługi RFC 7217 z SLAAC.
  • upewnij się, że IPv6 jest skonfigurowany dla dynamicznie tworzonych interfejsów sieciowych, takich jak vlan (4).
  • Utwórz poprawną nazwę hosta, jeśli w dzierżawie DHCP udostępniono zarówno nazwę domeny, jak i opcje wyszukiwania domeny.
  • Demony routingu i inne udoskonalenia sieci użytkowników:
  • bgpctl (8) ma nową opcję ssv, która wysyła pozycje żeber jako pojedynczy oddzielony średnikiem, jak w przypadku wyboru przed wyjściem.
  • slaacd (8) generuje losowe, ale stabilne adresy autokonfiguracyjne IPv6 zgodnie z RFC 7217. Są one domyślnie włączone zgodnie z RFC 8064.
  • slaacd (8) podąża za RFC 4862, usuwając sztuczne ograniczenie prefiksów o rozmiarze 64 używając RML 7217 (losowy, ale stabilny) i bezstanowe adresy autokonfiguracyjne w stylu RFC 4941 (prywatność).
  • ospfd (8) może teraz ustawić metrykę trasy w zależności od stanu interfejsu.
  • ifconfig (8) ma nową opcję staticarp, która sprawia, że ​​interfejsy odpowiadają tylko na żądania ARP.
  • ipsecctl (8) może teraz zwinąć wyjścia przepływu mające to samo źródło lub miejsce docelowe.
  • Opcja -n w netstart (8) nie jest już używana z domyślną trasą. Zostało to również udokumentowane.
  • Udoskonalenia zabezpieczeń:
  • Wykorzystaj jeszcze więcej pułapek na różnych architekturach.
  • Większe wykorzystanie .rodata dla stałych zmiennych w źródle zespołu.
  • Przestań używać x86 & quot; repz ret & quot; w zakurzonych zakamarkach drzewa.
  • Przedstaw "execpromises" w zastaw (2).
  • Narzędzie elfrdsetroot używane do budowania serwerów ramdysku i procesu ponownego wychwytywania (8) teraz używa pledge (2).
  • Przygotuj się na wprowadzenie MAP_STACK do mmap (2) po 6.3.
  • Przesyłaj niewielki fragment tekstu jądra związanego z KARL do generatora liczb losowych jako entropię podczas uruchamiania.
  • Umieść małą losową lukę na szczycie stosu wątków, aby napastnicy mieli jeszcze inne obliczenia do wykonania w ramach pracy RPO.
  • Usterka związana z luką w stopie dla procesorów AMd64 marki Intel.
  • OpenBSD / arm64 teraz używa izolacji tablicy strony jądra, aby złagodzić ataki Spectre wariantu 3 (Meltdown).
  • OpenBSD / armv7 i OpenBSD / arm64 teraz opróżniają Branch Buffer (BTB) na procesorach, które wykonują spekulacyjne wykonanie w celu złagodzenia ataków wariantu 2 Spectre.
  • pool_get (9) zakłóca kolejność elementów na nowo przydzielonych stronach, co utrudnia przewidywanie układu sterty jądra.
  • Wywołanie systemowe fktrace (2) zostało usunięte.
  • Poprawki dhclient (8):
  • Parsowanie dhclient.conf (5) nie powoduje już wycieków ciągów SSID, łańcuchów, które są zbyt długie dla bufora analizującego lub powtarzających się opcji i poleceń łańcuchowych.
  • Przechowywanie dzierżaw w dhclient.conf (5) nie jest już obsługiwane.
  • 'DENY' nie jest już poprawny w dhclient.conf (5).
  • dhclient.conf (5) i dhclient.leases (5) komunikaty o błędach parsowania zostały uproszczone i wyjaśnione, z lepszym zachowaniem w obecności nieoczekiwanych średników.
  • Dbamy o to, aby używać wyłącznie informacji o konfiguracji, które zostały pomyślnie przetworzone.
  • '- n' został dodany, co powoduje, że program dhclient (8) kończy pracę po przeanalizowaniu pliku dhclient.conf (5).
  • Domyślne trasy w opcjach classless-static-routes (121) i class-ms-static-routes (249) są teraz poprawnie reprezentowane w plikach dhclient.leases (5).
  • Zastąp plik określony przez "-L" zamiast dołączania do niego.
  • Leasing w dhclient.leases (5) zawiera teraz atrybut "epok" rejestrujący czas dzierżawy, który jest używany do obliczania poprawnych czasów odnowienia, ponownego wiązania i wygaśnięcia.
  • Nie musisz już gawędzić o podkreśleniach nazw naruszających RFC 952.
  • Bezwarunkowo wysyłaj informacje o nazwie hosta podczas żądania dzierżawy, eliminując potrzebę instalacji dhclient.conf (5) w domyślnej instalacji.
  • Domyślnie bądź cicho. Usunięto opcję "-q" i dodano opcję "-v", aby włączyć szczegółowe rejestrowanie.
  • Odrzuć zduplikowane oferty dla żądanego adresu.
  • Bezwarunkowe przechodzenie w tło po upływie limitu czasu łącza.
  • Znacznie redukuje rejestrowanie, gdy jest cicho, ale powoduje, że "-v" rejestruje wszystkie informacje debugowania bez potrzeby kompilowania niestandardowego pliku wykonywalnego.
  • Zignoruj ​​instrukcje "interface" w dhclient.leases (5) i załóż, że wszystkie dzierżawy w pliku dotyczą konfiguracji interfejsu.
  • Wyświetla źródło dzierżawy przypisane do interfejsu.
  • Ignoruj ​​deklaracje 'request' i 'require' w dhclient.conf (5) dodaj teraz określone opcje do odpowiedniej listy zamiast zastępowania listy.
  • Wyeliminuj wyścig startowy, który może spowodować wyjście dhclient (8) bez skonfigurowania interfejsu.
  • Różne ulepszenia:
  • Reorganizacja kodu i inne ulepszenia malloc (3) i przyjaciół, aby zwiększyć ich efektywność.
  • Podczas wykonywania operacji zawieszenia lub hibernacji, upewnij się, że wszystkie systemy plików są poprawnie zsynchronizowane i oznaczone jako czyste, lub jeśli nie można ich umieścić w czystym stanie na dysku (z powodu otwartych i niepowiązanych plików), a następnie oznacz je jako brudne, aby nie powiodło się wznowienie / unhibernate gwarantuje wykonanie fsck (8).
  • acme-client (1) automatycznie wykrywa adres URL umowy i wykonuje 30-krotne przekierowania HTTP.
  • Dodano __cxa_thread_atexit () do obsługi nowoczesnych łańcuchów narzędzi C ++.
  • Dodano obsługę EVFILT_DEVICE do kqueue (2) w celu monitorowania zmian urządzeń drm (4).
  • ldexp (3) teraz poprawnie obsługuje znak liczb dennych64.
  • Nowe funkcje sincos (3) w bibliotece libm.
  • fdisk (8) zapewnia teraz poprawność przesunięć partycji MBR wprowadzonych podczas edycji.
  • fdisk (8) zapewnia teraz, że wartości domyślne mieszczą się w prawidłowym zakresie.
  • less (1) dzieli teraz tylko zmienną środowiskową LESS na "$".
  • less (1) nie tworzy już fałszywego pliku po napotkaniu "$" w początkowym poleceniu.
  • softraid (4) sprawdza teraz liczbę porcji podczas składania woluminu, zapewniając synchronizację metadanych na dysku i w pamięci.
  • disklabel (8) oferuje teraz zawsze edycję rozmiaru fragmentu partycji FFS przed zaoferowaniem edycji bloku.
  • disklabel (8) umożliwia teraz edycję atrybutu cylinder / grupa (cpg) za każdym razem, gdy można edytować rozmiar bloku.
  • disklabel (8) wykrywa teraz ^ D i nieprawidłowe wejście podczas komend (R) esize.
  • disklabel (8) wykrywa teraz niedomogi i przepełnienia, gdy używane są operatory - / +.
  • disklabel (8) omija teraz jeden po drugim obliczenia liczby cylindrów w wolnym kawałku.
  • disklabel (8) sprawdza obecnie żądany rozmiar partycji w stosunku do wielkości największego darmowego fragmentu zamiast całkowitego wolnego miejsca.
  • Obsługa zrzucania transferów USB przez bpf (4).
  • tcpdump (8) może teraz zrozumieć zrzuty transferu USB w formacie USBPcap.
  • Domyślne podpowiedzi csh (1), ksh (1) i sh (1) zawierają teraz nazwę hosta.
  • Przydział pamięci w ksh (1) został przełączony z calloc (3) z powrotem na malloc (3), co ułatwia rozpoznanie niezainicjowanej pamięci. W rezultacie wykryto i naprawiono błąd związany z historią w trybie edycji emacsa.
  • Nowa opcja skryptu (1) -c do uruchomienia polecenia zamiast powłoki.
  • Nowa opcja grep (1) -m, aby ograniczyć liczbę dopasowań.
  • Nowa opcja uniq (1) -i dla porównywania wielkości liter.
  • Ciąg formatu printf (3) nie jest już sprawdzany podczas wyszukiwania% formatów. Na podstawie zatwierdzenia przez Androida i podążania za większością innych systemów operacyjnych.
  • Ulepszono sprawdzanie błędów w vfwprintf (3).
  • Wiele bazowych programów zostało skontrolowanych i naprawionych dla starych deskryptorów plików, w tym cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) i sshd (8).
  • Różne poprawki błędów i ulepszenia jot (1):
  • Arbitralne limity długości dla argumentów dla opcji -b, -s, -w zostały usunięte.
  • Specyfikator formatu% F jest teraz obsługiwany, a błąd w formacie% D został naprawiony.
  • Lepszy zakres kodu w testach regresji.
  • Naprawiono kilka przekroczeń buforów.
  • Narzędzie patch (1) radzi sobie teraz lepiej z plikami git, które tworzą lub usuwają pliki.
  • pkg_add (1) usprawnił teraz obsługę przekierowań HTTP (S), takich jak cdn.openbsd.org.
  • ftp (1) i pkg_add (1) teraz obsługują wznawianie sesji HTTPS w celu zwiększenia prędkości.
  • mandoc (1) - Rozmiar pliku wyjściowego T ps zmniejszony o ponad 50%.
  • syslogd (8) loguje się, jeśli podczas uruchamiania pojawiły się ostrzeżenia.
  • syslogd (8) zaprzestał logowania do plików w pełnym systemie plików. Teraz zapisuje ostrzeżenie i kontynuuje po udostępnieniu miejsca.
  • vmt (4) pozwala teraz na klonowanie i robienie migawek działających tylko na dyskach uruchomionych gości.
  • OpenSMTPD 6.0.4
  • Dodaj opcję spf do smtpctl (8).
  • Różne poprawki i ulepszenia.
  • Liczne ręczne poprawki i ulepszenia stron.
  • OpenSSH 7.7
  • Nowe / zmienione funkcje:
  • All: Dodaj eksperymentalne wsparcie dla kluczy PQC XMSS (Extended Hash-Based Signatures) w oparciu o algorytm opisany na stronie https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Kod podpisu XMSS jest eksperymentalny i domyślnie nie jest kompilowany.
  • sshd (8): dodaj "rdomainę" kryteria dla sshd_config Dopasuj słowo kluczowe, aby umożliwić warunkową konfigurację, która zależy od tego, w której domenie routingu odebrano połączenie (obecnie obsługiwane w OpenBSD i Linux).
  • sshd_config (5): Dodaj opcjonalny kwalifikator rdomain do dyrektywy ListenAddress, aby umożliwić słuchanie w różnych domenach routingu. Jest to obecnie obsługiwane tylko w OpenBSD i Linux.
  • sshd_config (5): Dodaj dyrektywę RDomain, aby umożliwić umieszczenie uwierzytelnionej sesji w jawnej domenie routingu. Jest to obecnie obsługiwane tylko w OpenBSD.
  • sshd (8): Dodaj "czas wygaśnięcia" opcja dla plików authorized_keys, aby umożliwić wygasanie kluczy.
  • ssh (1): Dodaj opcję BindInterface, aby umożliwić powiązanie wychodzącego połączenia z adresem interfejsu (w zasadzie bardziej użyteczny adres BindAddress).
  • ssh (1): Wyeksponuj urządzenie przydzielone do przekazywania tun / tap przez nowe rozszerzenie% T dla LocalCommand. Pozwala to na użycie LocalCommand do przygotowania interfejsu.
  • sshd (8): Ujawnij urządzenie przydzielone do przekazywania tun / tap przez nową zmienną środowiskową SSH_TUNNEL. Umożliwia to automatyczną konfigurację interfejsu i otaczającej konfiguracji sieci automatycznie na serwerze.
  • ssh (1) / scp (1) / sftp (1): Dodaj obsługę URI do ssh, sftp i scp, np. ssh: // użytkownik @ host lub sftp: // użytkownik @ host / ścieżka. Dodatkowe parametry połączenia opisane w projekcie-ietf-secsh-scp-sftp-ssh-uri-04 nie są zaimplementowane, ponieważ format odcisku palca ssh w wersji roboczej używa wycofanego skrótu MD5, bez możliwości określenia jakiegokolwiek innego algorytmu.
  • ssh-keygen (1): Zezwalaj na okresy ważności certyfikatu, które określają tylko czas rozpoczęcia lub zakończenia (zamiast obu).
  • sftp (1): Pozwól na "cd" i "lcd" komendy bez jawnego argumentu ścieżki. lcd zmieni się jak zwykle do katalogu domowego lokalnego użytkownika. cd zmieni się na katalog początkowy sesji (ponieważ protokół nie oferuje możliwości uzyskania katalogu domowego zdalnego użytkownika). bz # 2760
  • sshd (8): Podczas wykonywania testu konfiguracyjnego z sshd-T wymagane są tylko te atrybuty, które są używane w kryteriach dopasowania, a nie (niekompletna lista) wszystkich kryteriów.
  • W tej wersji naprawiono następujące istotne błędy:
  • ssh (1) / sshd (8): Dokładniej sprawdzaj typy sygnatur podczas wymiany kluczy z tym, co zostało wynegocjowane. Zapobiega obniżeniu poziomu podpisów RSA wykonanych SHA-256/512 na SHA-1.
  • sshd (8): Napraw obsługę klienta, który reklamuje wersję protokołu "1.99". (wskazując, że są przygotowani do przyjęcia zarówno SSHv1, jak i SSHv2). Zostało to zerwane w OpenSSH 7.6 podczas usuwania wsparcia SSHv1. bz # 2810
  • ssh (1): Ostrzegaj, gdy agent zwraca podpis ssh-rsa (SHA1), gdy zażądano podpisu rsa-sha2-256 / 512. Ten warunek jest możliwy, gdy używany jest stary lub inny niż OpenSSH agent. bz # 2799
  • ssh-agent (1): Naprawiono regresję w 7.6, która spowodowała, że ​​ssh-agent zakończył się fatalnie, jeśli pojawi się niepoprawny komunikat o żądaniu podpisu.
  • sshd_config (5): Akceptuj opcje flag tak / nie z rozróżnieniem wielkości liter bez zmian, jak to było w przypadku ssh_config (5) przez długi czas. bz # 2664
  • ssh (1): Poprawianie raportowania błędów w przypadku awarii podczas połączenia. W pewnych okolicznościach pojawiały się błędne błędy. bz # 2814
  • ssh-keyscan (1): Dodaj opcję -D, aby umożliwić drukowanie wyników bezpośrednio w formacie SSHFP. bz # 2821
  • testy regresyjne: naprawiono test interakcji PuTTY uszkodzony podczas usuwania SSHv1 ostatniego wydania. bz # 2823
  • ssh (1): Poprawka zgodności dla niektórych serwerów, które błędnie zrzucają połączenie po wysłaniu opcji IUTF8 (RFC8160).
  • scp (1): Wyłącz RemoteCommand i RequestTTY w sesji ssh uruchomionej przez scp (sftp już to robił.)
  • ssh-keygen (1): Odrzuć tworzenie certyfikatu przy użyciu nieużytecznej liczby zleceniodawców.
  • ssh-keygen (1): Zwalnia się, jeśli ssh-keygen nie jest w stanie zapisać całego klucza publicznego podczas generowania klucza. Wcześniej milcząco ignorował błędy podczas pisania komentarza i kończenia znaku nowej linii.
  • ssh (1): Nie modyfikuj argumentów hostname, które są adresami, automatycznie wymuszając na nich małe litery. Zamiast tego mogą je kanonicznie rozwiązać niejednoznaczności (np. :: 0001 => :: 1), zanim zostaną dopasowane do znanych_hostów. bz # 2763
  • ssh (1): nie akceptuj wiadomości-śmieci po "tak" lub "nie" odpowiedzi na monity hostkey. bz # 2803
  • sftp (1): sftp wydrukuje ostrzeżenie o czystości powłoki podczas dekodowania pierwszego pakietu, co jest zwykle spowodowane przez powłoki zanieczyszczające stdout nie-interaktywnych start-upów. bz # 2800
  • ssh (1) / sshd (8): Przełączaj czasomierze w kodzie pakietu, używając czasu na zegarze do czasu monotonicznego, pozwalając, aby warstwa pakietów działała lepiej podczas kroku zegara i unikając ewentualnych przekroczeń liczb całkowitych podczas kroków.
  • Liczne ręczne poprawki i ulepszenia stron.
  • LibreSSL 2.7.2
  • Dodano obsługę wielu interfejsów API OpenSSL 1.0.2 i 1.1, opartych na obserwacjach rzeczywistego użycia w aplikacjach. Są one implementowane równolegle z istniejącymi API OpenSSL 1.0.1 - zmiany widoczności nie zostały wprowadzone do istniejących struktur, dzięki czemu kod napisany dla starszych API OpenSSL nadal działa.
  • Obszerne poprawki, ulepszenia i dodatki do dokumentacji API, w tym nowe publiczne interfejsy API OpenSSL, które nie miały wcześniejszej dokumentacji.
  • Dodano obsługę automatycznej inicjalizacji biblioteki w libcrypto, libssl i libtls. Wsparcie dla pthread_once lub zgodnego odpowiednika jest teraz wymagane od docelowego systemu operacyjnego. Jako efekt uboczny, minimalna obsługa Windows Vista lub wyższa.
  • Konwertowano więcej metod obsługi pakietów na CBB, co zwiększa elastyczność podczas generowania komunikatów TLS.
  • Zakończono przepisywanie rozszerzenia rozszerzenia TLS, poprawiając spójność sprawdzeń w przypadku nieprawidłowo utworzonych i duplikowanych rozszerzeń.
  • Przepisanie ASN1_TYPE_ {get, set} _octetstring () za pomocą ASN.1 w szablonach. Spowoduje to usunięcie ostatniego użycia starego makra M_ASN1_ * (asn1_mac.h) z interfejsu API, który musi nadal istnieć.
  • Dodano obsługę wznowienia sesji po stronie klienta w libtls. Klient libtls może określić deskryptor pliku sesji (zwykły plik z właściwymi prawami własności i uprawnieniami), a libtls będzie zarządzał odczytywaniem i zapisywaniem danych sesji podczas uzgadniania TLS.
  • Ulepszona obsługa ścisłego dopasowania na architekturach ARMv7, warunkowo umożliwiająca montaż w tych przypadkach.
  • Naprawiono przeciek pamięci w libtls podczas ponownego użycia tls_config.
  • Scalono więcej obsługi DTLS w zwykłej ścieżce kodu TLS, usuwając zduplikowany kod.
  • Porty i pakiety:
  • dpb (1) i normalne porty (7) mogą teraz korzystać z tego samego modelu oddzielonego uprawnieniami, ustawiając PORTS_PRIVSEP = Tak
  • Wiele gotowych pakietów dla każdej architektury:
  • aarch64: 7990
  • alpha: 1
  • amd64: 9912
  • ramię: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Niektóre najważniejsze informacje:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 i 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Przejdź 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 i 4.14.3 (wraz z aktualizacjami jądra KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 i 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr i 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 i NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 i 2.4.45
  • PHP 5.6.34 i 7.0.28
  • Postfix 3.3.0 i 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 i 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 i 2.5.0
  • Rdza 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 i 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Jak zwykle, ciągłe ulepszenia stron podręcznika i innych dokumentów.
  • System obejmuje następujące główne komponenty od dostawców zewnętrznych:
  • Xenocara (na X.Org 7.7 z xserver 1.19.6 + freetype plastry, 2.8.1, 2.12.4, Mesa fontconfig 13.0.6, terminalach 330, xkeyboard config 2,20 i więcej)
  • LLVM / Clang 5.0.1 (+ poprawki)
  • GCC 4.2.1 (+) i płaty 3.3.6 (+ plastry)
  • Perl 5.24.3 (+ łaty)
  • NSD 4.1.20
  • Bez ograniczeń 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ łaty)
  • Gdb 6.3 (+ łaty)
  • Awk 10 sierpnia 2011 wersja
  • Expat 2.2.5

Co nowego w wersji 6.2:

  • Nowe / rozszerzone platformy:
  • armv7:
  • Dodany został bootloader EFI, jądra są teraz ładowane z FFS zamiast z systemów plików FAT lub EXT, bez nagłówków U-Boot.
  • Pojedyncze jądro i ramdysk są teraz używane dla wszystkich SoC.
  • Sprzęt jest dynamicznie wyliczany za pomocą drzewa spłaszczonych urządzeń (FDT) zamiast tabel statycznych na podstawie numerów identyfikacyjnych tablic.
  • Obrazy instalatora Miniroot obejmują U-Boot 2016.07 z obsługą ładunków EFI.
  • vax:
  • Usunięto.
  • Ulepszona obsługa sprzętu, w tym:
  • Nowy sterownik bytgpio (4) dla kontrolera GPIO Intel Bay Trail.
  • Nowy sterownik chvgpio (4) dla kontrolera Intel Cherry View GPIO.
  • Nowy sterownik maxrtc (4) dla zegara czasu rzeczywistego Maxim DS1307.
  • Nowy sterownik nvme (4) dla interfejsu kontrolera hosta nieulotnej pamięci (NVMe).
  • Nowy sterownik pcfrtc (4) dla zegara czasu rzeczywistego NXP PCF8523.
  • Nowy sterownik umb (4) dla modelu mobilnego interfejsu szerokopasmowego (MBIM).
  • Nowy sterownik ure (4) do urządzeń Ethernet Ethernet 10/100 RealTek RTL8152.
  • Nowy sterownik utvfu (4) dla urządzeń do przechwytywania audio / wideo w oparciu o Fushicai USBTV007.
  • Sterownik iwm (4) obsługuje teraz urządzenia Intel Wireless 3165 i 8260 i działa niezawodnie w jądrach RAMDISK.
  • Obsługa urządzeń HID I2C z sygnalizowanymi przerwaniami GPIO została dodana do dwiic (4).
  • Obsługa większych szerokości magistrali, szybkich trybów i transferów DMA została dodana do sdmmc (4), rtsx (4), sdhc (4) i imxesdhc (4).
  • Wsparcie dla kontrolerów USB zgodnych z EHCI i OHCI w SoC Octeon II.
  • Wiele sterowników urządzeń USB zostało włączonych w OpenBSD / octeon.
  • Ulepszono obsługę implementacji ACPI o zmniejszonym sprzęcie.
  • Ulepszono obsługę implementacji ACPI 5.0.
  • Kryptografia AES-NI jest teraz wykonywana bez trzymania blokady jądra.
  • Poprawiona obsługa AGP na komputerach PowerPC G5.
  • Dodano obsługę gniazda karty SD w SoCs Intela Bay.
  • Sterownik ichiic (4) teraz ignoruje przerwanie SMBALERT #, aby zapobiec burzom przerywanym z błędnymi implementacjami BIOSu.
  • Naprawiono problemy z podłączaniem urządzeń do sterownika axen (4).
  • Sterownik ral (4) jest bardziej stabilny pod obciążeniem dzięki urządzeniom RT2860.
  • Problemy z martwymi klawiaturami po wznowieniu zostały naprawione w sterowniku pckbd (4).
  • Sterownik rtsx (4) obsługuje teraz urządzenia RTS522A.
  • Dodano obsługę początkową dla MSI-X.
  • Obsługa MSI-X w sterowniku virtio (4).
  • Dodano obejście problemu sprzętowego przekroczenia DMA dla sterownika dc (4).
  • Sterownik acpitz (4) teraz obraca wentylator po schłodzeniu, jeśli ACPI używa histerezy do aktywnego chłodzenia.
  • Sterownik xhci (4) teraz poprawnie wykonuje przełączenie z BIOSu obsługującego standard xHCI.
  • Obsługa wejścia wielodotykowego została dodana do sterownika wsmouse (4).
  • Sterownik uslcom (4) obsługuje teraz konsolę szeregową bezprzewodowych kontrolerów Aruba 7xxx.
  • Sterownik re (4) pracuje teraz nad uszkodzonymi konfiguracjami LED w EEPROMach APU1.
  • Sterownik ehci (4) pracuje teraz nad problemami ze sterownikami ATI USB (np. SB700).
  • Sterownik Xen (4) obsługuje teraz konfigurację domU w systemie Qubes.
  • Udoskonalenia stosu bezprzewodowego IEEE 802.11:
  • Logika bufora odbiorczego HT bloku HT jest zgodna z algorytmem podanym w specyfikacji 802.11-2012.
  • Sterownik iwn (4) teraz śledzi zmiany ochrony HT, gdy jest powiązany z punktem dostępowym 11n.
  • Stos bezprzewodowy i kilka sterowników bardziej agresywnie wykorzystuje RTS / CTS, aby uniknąć interferencji ze starszymi urządzeniami i ukrytymi węzłami.
  • Komenda netstat (1) -W wyświetla teraz informacje o zdarzeniach 802.11n.
  • W trybie hostap nie używaj ponownie identyfikatorów asocjacji węzłów, które są nadal buforowane. Rozwiązuje problem polegający na tym, że punkt dostępowy korzystający ze sterownika ral (4) utknąłby z szybkością 1 Mb / s, ponieważ rozliczanie stawek Tx miało miejsce na niewłaściwym obiekcie węzła.
  • Ogólne ulepszenia stosu sieciowego:
  • Tabela routingu opiera się teraz na ART oferującym szybsze wyszukiwanie.
  • Liczba dróg wyszukiwania na pakiet została zmniejszona do 1 w ścieżce przekazywania.
  • Pole prio na nagłówku VLAN jest teraz poprawnie ustawione na każdym fragmencie pakietu IPv4 wychodzącego na interfejs vlan (4).
  • Włączono klonowanie urządzenia dla bpf (4). Dzięki temu system może mieć tylko jeden węzeł urządzenia bpf w / dev, który obsługuje wszystkich klientów bpf (do 1024).
  • Kolejka Tx sterownika cnmac (4) może być teraz przetwarzana równolegle z resztą jądra.
  • Ścieżka wejścia sieciowego jest teraz uruchamiana w kontekście wątku.
  • Poprawki instalatora:
  • zaktualizowana lista ograniczonych kodów użytkownika
  • install.sh i upgrade.sh połączone w install.sub
  • update automatycznie uruchamia sysmerge (8) w trybie wsadowym przed fw_update (1)
  • pytania i odpowiedzi są rejestrowane w formacie, który może być użyty jako plik odpowiedzi do użycia przez autoinstalację (8)
  • / usr / local jest skonfigurowany tak, aby nie był używany podczas instalacji
  • Demony routingu i inne udoskonalenia sieci użytkowników:
  • Dodaj obsługę tabel routingu do rc.d (8) i rcctl (8).
  • Niech nc (1) obsługuje nazwy usług oprócz numerów portów.
  • Dodaj flagi -M i -m TTL do nc (1).
  • Dodaj obsługę AF_UNIX do tcpbench (1).
  • Naprawiono regresję w rarpd (8). Demon mógł się zawiesić, jeśli był bezczynny przez długi czas.
  • Dodano opcję llprio w ifconfig (8).
  • Wiele programów używających bpf (4) zostało zmodyfikowanych, aby skorzystać z klonowania urządzenia bpf (4) przez otwarcie / dev / bpf0 zamiast przechodzenia przez urządzenia / dev / bpf *. Do tych programów należą arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) i tcpdump (8). Biblioteka biblioteki libpcap również została odpowiednio zmodyfikowana.
  • Udoskonalenia zabezpieczeń:
  • W ^ X jest teraz domyślnie egzekwowane; program może go naruszyć tylko wtedy, gdy plik wykonywalny jest oznaczony jako PT_OPENBSD_WXNEEDED i znajduje się w systemie plików zamontowanym z opcją wxallowed mount (8). Ponieważ wciąż jest zbyt wiele portów, które naruszają W ^ X, instalator montuje / usr / lokalny system plików z pominięciem. Dzięki temu system podstawowy może być bezpieczniejszy, o ile / usr / local jest oddzielnym systemem plików. Jeśli nie korzystasz z programów naruszających W ^ X, rozważ ręczne anulowanie tej opcji.
  • Rodzina funkcji setjmp (3) stosuje teraz pliki cookie XOR do wartości stosu i adresu zwrotnego w jmpbuf na amd64, hppa, i386, mips64 i powerpc.
  • Ograniczenie SROP: sigreturn (2) może teraz być używane tylko przez trampolinę z sygnałem dostarczonym przez jądro, z plikiem cookie wykrywającym próby ponownego użycia.
  • Aby powstrzymać exploity przed ponownym użyciem kodu, rc (8) ponownie łączy bibliotekę libc.so podczas uruchamiania, umieszczając obiekty w losowej kolejności.
  • W rodzinie funkcji getpwnam (3) domyślnie przestań otwierać bazę danych shadow.
  • Zezwalaj na uruchamianie tcpdump (8) -r bez uprawnień root'a.
  • Usuń systrace.
  • Usuń obsługę emulacji Linuksa.
  • Usuń obsługę opcji usermount.
  • Pamięć podręczna TCP SYN od czasu do czasu odbiera losową funkcję skrótu. Zapobiega to obliczaniu przez atakującego rozkładu funkcji hashowania za pomocą ataku synchronizacyjnego.
  • Aby poradzić sobie z atakami typu SYN Flooding, administrator może teraz zmienić rozmiar tablicy haszującej. netstat (1) -s -p tcp pokazuje odpowiednie informacje, aby dostroić pamięć podręczną SYN za pomocą sysctl (8) net.inet.tcp.
  • Administrator może wymagać uprawnień roota do powiązania z niektórymi portami TCP i UDP z sysctl (8) net.inet.tcp.rootonly i sysctl (8) net.inet.udp.rootonly.
  • Usuń wskaźnik funkcji ze struktury danych mbuf (9) i zamiast tego użyj indeksu w tablicy akceptowanych funkcji.
  • Różne ulepszenia:
  • Bibliotekę wątków można teraz załadować do procesu jednowątkowego.
  • Lepsza obsługa symboli i zgodność ze standardami w bibliotece libc. Na przykład, zdefiniowanie funkcji open () nie będzie już kolidowało z działaniem fopen (3).
  • Sekcje PT_TLS są teraz obsługiwane w początkowo załadowanym obiekcie.
  • Lepsza obsługa "bez ścieżek" i "pustą ścieżkę" w fts (3).
  • W pcap (3) podaj funkcje pcap_free_datalinks () i pcap_offline_filter ().
  • Wiele poprawek i strukturalnych porządków w bibliotece editline (3).
  • Usuń starozytne funkcje dbm (3); Pozostaje ndbm (3).
  • Dodaj słowo kluczowe setenv do bardziej wydajnej obsługi środowiska w pliku doas.conf (5).
  • Dodawaj opcje -g i -p do anucat.1, aby pozycjonować w czasie.
  • Przepisz audioctl (1) z prostszym interfejsem użytkownika.
  • Dodaj opcję -F, aby zainstalować (1) na fsync (2) plik przed jego zamknięciem.
  • kdump (1) zrzuca teraz struktury pollfd.
  • Popraw różne szczegóły zgodności z POSS ksh (1).
  • mknod (8) przepisany w stylu przyjaźni (2) i umożliwiający jednoczesne tworzenie wielu urządzeń.
  • Zaimplementuj program rcctl (8), aby uzyskać wszystkie i getdef all.
  • Zaimplementuj flagę rcs (1) -I (interaktywną).
  • W rcs (1) implementuj podstawienie słowa kluczowego Mdocdate.
  • W top (1), pozwól filtrować argumenty procesu, jeśli są wyświetlane.
  • Dodano obsługę UTF-8 do spasowania (1) i rev (1).
  • Włącz kodowanie UTF-8 domyślnie w xterm (1) i pod2man (1).
  • Odfiltruj znaki spoza ASCII na ścianie (1).
  • Obsługuj zmienną środowiskową COLUMNS konsekwentnie w wielu programach.
  • Opcje -c i -k umożliwiają dostarczanie certyfikatów klienta TLS dla syslogd (8) po stronie wysyłającej. Dzięki temu strona odbierająca może zweryfikować, czy logi są autentyczne. Zauważ, że syslogd nie ma jeszcze tej funkcji sprawdzania.
  • Gdy bufor kloga przepełni się, syslogd zapisze komunikat dziennika, aby pokazać, że brakuje niektórych wpisów.
  • W OpenBSD / octeonie włączono buforowanie zapisu bufora CPU, aby zwiększyć wydajność.
  • pkg_add (1) i pkg_info (1) rozumieją teraz pojęcie gałęzi, aby ułatwić wybór niektórych popularnych pakietów, takich jak python lub php, np. powiedz pkg_add python% 3.4, aby wybrać gałąź 3.4 i użyj pkg_info -zm do uzyskaj fuzję wpisu z wyborem gałęzi odpowiednim dla pkg_add -l.
  • fdisk (8) i pdisk (8) natychmiast kończą pracę, chyba że przekazano specjalne urządzenie znakowe
  • st (4) poprawnie śledzi bieżącą liczbę bloków dla bloków o zmiennej wielkości
  • fsck_ext2fs (8) znów działa
  • woluminy softraid (4) można tworzyć z dyskami o rozmiarze sektora innym niż 512 bajtów
  • dhclient (8) DECLINE i odrzuca nieużywane OFERTY.
  • dhclient (8) natychmiast kończy działanie, jeśli jego interfejs (np. mostek (4)) zwróci EAFNOSUPPORT po wysłaniu pakietu.
  • httpd (8) zwraca 400 nieprawidłowych żądań dla żądań HTTP v0.9.

  • Inicjalizacja leniwego węzła
  • ffs2 pozwala uniknąć traktowania losowych danych dyskowych jako i-węzła
  • fcntl (2) wywołania w programach bazowych używają idiomu fcntl (n, F_GETFL) zamiast fcntl (n, F_GETFL, 0)
  • socket (2) i accept4 (2) wywołania w programach bazowych używają SOCK_NONBLOCK, aby wyeliminować potrzebę osobnego fcntl (2).
  • tmpfs nie jest domyślnie włączone
  • semantyka pledge (2) w jądrze została ulepszona na wiele sposobów. Najważniejsze to: nowa obietnica, która pozwala obiecanym programom na ustawienie atrybutów setugid, ściślejsze egzekwowanie obietnicy recvfd i chroot (2) nie jest już dozwolone w przypadku obiecanych programów.
  • naprawiono szereg błędów związanych z przyrzeczeniem (2) (brakujące obietnice, niezamierzone zmiany zachowania, awarie), zwłaszcza w gzip (1), nc (1), sed (1), skeyinit (1), stty (1) i różne narzędzia związane z dyskami, takie jak disklabel (8) i fdisk (8).
  • Poprawiono błędy obliczania rozmiaru bloku w sterowniku audio (4).
  • Sterownik usb (4) buforuje teraz identyfikatory dostawców i produktów. Naprawiono błąd, przez który usbdevs (8) wywoływane w pętli powodowało zatrzymanie działania urządzenia pamięci masowej USB.
  • Sterowniki rsu (4) i ural (4) działają teraz ponownie po ich przypadkowym włamaniu do 5.9.
  • OpenSMTPD 6.0.0
  • Bezpieczeństwo:
  • Implementuj wzorzec fork + exec w smtpd (8).
  • Napraw problem logiczny na komputerze stanu SMTP, który może doprowadzić do nieprawidłowego stanu i spowodować awarię.
  • Podłącz wyciek z pliku, który może doprowadzić do wyczerpania zasobów i spowodować awarię.
  • Używaj automatycznych parametrów DH zamiast stałych.
  • Wyłącz domyślnie DHE, ponieważ jest on kosztowny pod względem obliczeniowym i jest potencjalnym wektorem DoS.
  • W wersji 6.2 wprowadzono następujące ulepszenia:
  • Dodaj opcję -r do enqueuer smtpd (8), aby uzyskać zgodność z mailx.
  • Dodaj brakującą datę lub identyfikator wiadomości podczas odsłuchu na porcie przesyłania.
  • Napraw "kolejkę programu smtpctl" raportowanie "nieprawidłowe" stan koperty.
  • Przerób format "Otrzymano" nagłówek, aby część TLS nie naruszała specyfikacji RFC.
  • Zwiększ liczbę połączeń, które może ustanowić adres lokalny, i zmniejsz opóźnienie między transakcjami w tej samej sesji.
  • Naprawianie dostarczania LMTP do serwerów zwracających linie kontynuacji.
  • Dalsze ulepszanie eksperymentalnego filtra API i rozwiązywanie różnych powiązanych problemów.
  • Rozpocznij ulepszanie i ujednolicanie formatu komunikatów dziennika.
  • Napraw kilka rozbieżności dokumentacji i literówek na stronach podręcznika.
  • OpenSSH 7.3
  • Bezpieczeństwo:
  • sshd (8): Ogranicz potencjalny atak typu "odmowa usługi" do funkcji crypt (3) systemu przez sshd (8). Osoba atakująca może wysyłać bardzo długie hasła, które mogłyby spowodować nadmierne użycie procesora w krypcie (3). sshd (8) odmawia teraz przyjmowania żądań uwierzytelnienia hasła o długości większej niż 1024 znaki.
  • sshd (8): Ogranicza różnice w czasie w uwierzytelnianiu hasłem, które mogą zostać użyte do rozpoznania poprawnych nazw nieprawidłowych kont, gdy długie hasła są wysyłane, a na serwerze używane są specjalne algorytmy mieszania haseł. CVE-2016-6210.
  • ssh (1), sshd (8): Napraw obserwowalne osłabienie taktowania w środkach przeciwdziałających wynurzaniu CBC. Zauważ, że szyfry CBC są domyślnie wyłączone i dołączane tylko w przypadku starszej zgodności.
  • ssh (1), sshd (8): Popraw uporządkowanie weryfikacji MAC dla algorytmów transportu w trybie szyfrowania-MAC (EtM), aby zweryfikować MAC przed odszyfrowaniem dowolnego zaszyfrowanego tekstu. Eliminuje to możliwość różnic czasowych, które powodują wyciek faktów na temat jawnego tekstu, chociaż nie wiadomo, czy taki wyciek jest znany.
  • Nowe / zmienione funkcje:
  • ssh (1): Dodaj opcję ProxyJump i odpowiednią flagę wiersza polecenia -J, aby umożliwić uproszczoną zmianę kierunku przez jeden lub więcej bastionów SSH lub "hostów skoku".
  • ssh (1): Dodaj opcję IdentityAgent, aby zezwolić na określanie konkretnych gniazd agentów, zamiast akceptować je ze środowiska.
  • ssh (1): Pozwól, aby ExitOnForwardFailure i ClearAllForwardings były opcjonalnie zastępowane podczas używania ssh -W. (bz # 2577)
  • ssh (1), sshd (8): Zaimplementuj obsługę trybu terminala IUTF8 zgodnie z projektem-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Dodaj obsługę dodatkowych stałych grup Diffie-Hellmana 2K, 4K i 8K z wersji draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): obsługują sygnatury RSA SHA256 i SHA512 w certyfikatach.
  • ssh (1): Dodaj dyrektywę "Włącz" dla plików ssh_config (5).
  • ssh (1): Zezwalaj na znaki UTF-8 w banerach wstępnego uwierzytelniania wysyłanych z serwera. (bz # 2058)
  • Naprawiono następujące istotne błędy w wersji 6.2:
  • W scp (1) i sftp (1), nie można wkręcać ustawień terminala przez ucieczkę bajtów nie tworzących znaków ASCII lub UTF-8.
  • ssh (1), sshd (8): Zmniejsz poziom syslog niektórych względnie popularnych zdarzeń protokołu z LOG_CRIT. (bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = "& quot; w konfiguracjach i akceptuj AuthenticationMethods = any dla domyślnego zachowania niewymagającego wielokrotnego uwierzytelniania. (bz # 2398)
  • sshd (8): usuń przestarzałe i wprowadzające w błąd "MOŻLIWE ZAKOŃCZENIE PRÓBY!" wiadomość, gdy naprzód i wstecznego DNS nie pasują. (bz # 2585)
  • ssh (1): Zamknij proces w tle ControlPersist stderr z wyjątkiem trybu debugowania lub logowania do syslog. (bz # 1988)
  • misc: Utwórz opis PROTOCOL dla otwartych wiadomości kanału direct-streamlocal@openssh.com z dopasowanym wdrożonym kodem. (bz # 2529)
  • ssh (1): pozycje Deduplicate LocalForward i RemoteForward, aby naprawić awarie, gdy włączona jest zarówno kanonizacja ExitOnForwardFailure, jak i nazwa hosta. (bz # 2562)
  • sshd (8): Usuń rezerwę z modułów na przestarzałe "liczby pierwsze". plik, który został wycofany w 2001. (bz # 2559)
  • sshd_config (5): Prawidłowy opis UseDNS: wpływa na przetwarzanie nazwy hosta ssh dla authorized_keys, no known_hosts. (bz # 2554)
  • ssh (1): Napraw uwierzytelnianie za pomocą samotnych kluczy certyfikatów w agencie bez odpowiednich kluczy prywatnych w systemie plików. (bz # 2550)
  • sshd (8): Wyślij ClientAliveInterval ping, gdy ustawiona jest wartość czasu dla RekeyLimit; poprzednio pakiety keepalive nie były wysyłane. (bz # 2252)
  • OpenNTPD 6.0
  • Po pojedynczym "ograniczeniu" jest określona, ​​wypróbuj wszystkie zwrócone adresy, dopóki nie powiedzie się jeden, a nie pierwszy zwrócony adres.
  • Zmniejszono margines błędu ograniczenia, aby był proporcjonalny do liczby rówieśników NTP, unikaj ciągłych ponownych połączeń, gdy wystąpi zły partner NTP.
  • Usunięto wyłączoną obsługę czujników hotplug (4).
  • Dodano obsługę wykrywania awarii w podprocesach ograniczających.
  • Przeniesiono wykonywanie ograniczeń z procesu ntp do procesu nadrzędnego, umożliwiając lepsze rozdzielenie uprawnień, ponieważ proces ntp można dalej ograniczać.
  • Naprawiono wysokie użycie procesora, gdy sieć nie działała.
  • Naprawiono różne wycieki pamięci.
  • Przełączono na RMS w celu obliczenia drgań.
  • Zunifikowane funkcje logowania z innymi programami podstawowymi OpenBSD.
  • Ustaw MOD_MAXERROR, aby uniknąć niezsynchronizowanego statusu czasu podczas używania ntp_adjtime.
  • Naprawiono przetwarzanie nagłówka HTTP Timestamp, aby używać strptime (3) w bardziej przenośny sposób.
  • Ulepszone protokoły TLS dla więzów ntpd (8), umożliwiające weryfikację nazwy serwera.
  • LibreSSL 2.4.2
  • Funkcje widoczne dla użytkownika:
  • Naprawiono uszkodzone linki do stron man w instalacji docelowej.
  • cert.pem został zreorganizowany i zsynchronizowany ze sklepem certyfikatów Mozilli.
  • Napraw niezawodność, korygując błąd podczas analizowania pewnych elementów ASN.1 o rozmiarze przekraczającym 16k.
  • Zaimplementowano pakiety szyfrów IETF ChaCha20-Poly1305.
  • Naprawiono monity dotyczące hasła z openssl (1), aby poprawnie obsługiwać ^ C.
  • Ulepszenia kodu:
  • Naprawiono problem ze zgodnością nginx przez dodanie docelowego kompilacji "install_sw".
  • Zmiana domyślnej implementacji EVP_aead_chacha20_poly1305 (3) na wersję IETF, która jest teraz domyślna.
  • Opracowano ponownie obsługę błędów w libtls, dzięki czemu błędy konfiguracji są bardziej widoczne.
  • Dodano brakującą obsługę błędów wokół wywołań bn_wexpand (3).
  • Dodano jawne_bzero (3) wywoływanie zwalnianych obiektów ASN.1.
  • Naprawiono X509_ * funkcje set_object zwracające 0 przy niepowodzeniu przydziału.
  • Przestarzałe wewnętrzne użycie EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Naprawiono problem, który uniemożliwiał działanie algorytmu podpisywania DSA w stałym czasie, nawet jeśli ustawiono flagę BN_FLG_CONSTTIME.
  • Naprawiono szereg problemów w kodzie OCSP, które mogły spowodować nieprawidłowe generowanie i analizowanie żądań protokołu OCSP. Eliminuje to brak sprawdzania błędów podczas analizowania czasu w tych funkcjach i zapewnia, że ​​tylko formaty GENERALIZEDTIME są akceptowane dla protokołu OCSP, zgodnie z dokumentem RFC 6960.
  • Naprawiono następujące CVE:
  • CVE-2016-2105-EVP_EncodeUpdate przepełnienie.
  • CVE-2016-2106-EVP_EncryptUpdate przepełnienie.
  • Wyrocznia CVE-2016-2107 w sprawdzaniu MAC AES-NI CBC.
  • CVE-2016-2108-uszkodzenie pamięci w enkoderze ASN.1.
  • CVE-2016-2109-ASN.1 BIO nadmierna alokacja pamięci.
  • Porty i pakiety:
  • Nowe narzędzie proot (1) w drzewie portów do budowania pakietów w chroot.
  • Wiele gotowych pakietów dla każdej architektury:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Niektóre najważniejsze informacje:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 i 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Przejdź 1.6.3
  • Groff 1.22.3
  • JDK 7u80 i 8u72
  • KDE 3.5.10 i 4.14.3 (wraz z aktualizacjami jądra KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 i 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr i 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 i 2.4.44
  • PHP 5.5.37, 5.6.23 i 7.0.8
  • Postfix 3.1.1 i 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 i 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, 2.3.1, a
  • Rdza 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 i 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Jak zwykle, ciągłe ulepszenia stron podręcznika i innych dokumentów.
  • System obejmuje następujące główne komponenty od dostawców zewnętrznych:
  • Xenocara (na X.Org 7.7 z XSERVER 1.18.3 + plastrów, Freetype 2.6.3, 2.11.1 FontConfig Mesa 11.2.2 xterma 322 xkeyboard config 2,18 i więcej)
  • GCC 4.2.1 (+ poprawki) i 3.3.6 (+ poprawki)
  • Perl 5.20.3 (+ łaty)
  • SQLite 3.9.2 (+ łatki)
  • NSD 4.1.10
  • Bez ograniczeń 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ łatki)
  • Gdb 6.3 (+ łaty)
  • Awk 10 sierpnia 2011 wersja
  • Expat 2.1.1

Co nowego w wersji 6.1:

  • Nowe / rozszerzone platformy:
  • armv7:
  • Dodany został bootloader EFI, jądra są teraz ładowane z FFS zamiast z systemów plików FAT lub EXT, bez nagłówków U-Boot.
  • Pojedyncze jądro i ramdysk są teraz używane dla wszystkich SoC.
  • Sprzęt jest dynamicznie wyliczany za pomocą drzewa spłaszczonych urządzeń (FDT) zamiast tabel statycznych na podstawie numerów identyfikacyjnych tablic.
  • Obrazy instalatora Miniroot obejmują U-Boot 2016.07 z obsługą ładunków EFI.
  • vax:
  • Usunięto.
  • Ulepszona obsługa sprzętu, w tym:
  • Nowy sterownik bytgpio (4) dla kontrolera GPIO Intel Bay Trail.
  • Nowy sterownik chvgpio (4) dla kontrolera Intel Cherry View GPIO.
  • Nowy sterownik maxrtc (4) dla zegara czasu rzeczywistego Maxim DS1307.
  • Nowy sterownik nvme (4) dla interfejsu kontrolera hosta nieulotnej pamięci (NVMe).
  • Nowy sterownik pcfrtc (4) dla zegara czasu rzeczywistego NXP PCF8523.
  • Nowy sterownik umb (4) dla modelu mobilnego interfejsu szerokopasmowego (MBIM).
  • Nowy sterownik ure (4) do urządzeń Ethernet Ethernet 10/100 RealTek RTL8152.
  • Nowy sterownik utvfu (4) dla urządzeń przechwytujących audio / wideo oparty na urządzeniu Fushicai USBTV007.
  • Sterownik iwm (4) obsługuje teraz urządzenia Intel Wireless 3165 i 8260 i działa niezawodnie w jądrach RAMDISK.
  • Obsługa urządzeń HID I2C z sygnalizowanymi przerwaniami GPIO została dodana do dwiic (4).
  • Obsługa większych szerokości magistrali, szybkich trybów i transferów DMA została dodana do sdmmc (4), rtsx (4), sdhc (4) i imxesdhc (4).
  • Wsparcie dla kontrolerów USB zgodnych z EHCI i OHCI w SoC Octeon II.
  • Wiele sterowników urządzeń USB zostało włączonych w OpenBSD / octeon.
  • Ulepszono obsługę implementacji ACPI o zmniejszonym sprzęcie.
  • Ulepszono obsługę implementacji ACPI 5.0.
  • Kryptografia AES-NI jest teraz wykonywana bez trzymania blokady jądra.
  • Poprawiona obsługa AGP na komputerach PowerPC G5.
  • Dodano obsługę gniazda karty SD w SoCs Intela Bay.
  • Sterownik ichiic (4) teraz ignoruje przerwanie SMBALERT #, aby zapobiec burzom przerywanym z błędnymi implementacjami BIOSu.
  • Naprawiono problemy z podłączaniem urządzeń do sterownika axen (4).
  • Sterownik ral (4) jest bardziej stabilny pod obciążeniem dzięki urządzeniom RT2860.
  • Problemy z martwymi klawiaturami po wznowieniu zostały naprawione w sterowniku pckbd (4).
  • Sterownik rtsx (4) obsługuje teraz urządzenia RTS522A.
  • Dodano obsługę początkową dla MSI-X.
  • Obsługa MSI-X w sterowniku virtio (4).
  • Dodano obejście problemu sprzętowego przekroczenia DMA dla sterownika dc (4).
  • Sterownik acpitz (4) teraz obraca wentylator po schłodzeniu, jeśli ACPI używa histerezy do aktywnego chłodzenia.
  • Sterownik xhci (4) teraz poprawnie wykonuje przełączenie z BIOSu obsługującego standard xHCI.
  • Obsługa wejścia wielodotykowego została dodana do sterownika wsmouse (4).
  • Sterownik uslcom (4) obsługuje teraz konsolę szeregową bezprzewodowych kontrolerów Aruba 7xxx.
  • Sterownik re (4) pracuje teraz nad uszkodzonymi konfiguracjami LED w EEPROMach APU1.
  • Sterownik ehci (4) pracuje teraz nad problemami ze sterownikami ATI USB (np. SB700).
  • Sterownik Xen (4) obsługuje teraz konfigurację domU w systemie Qubes.
  • Udoskonalenia stosu bezprzewodowego IEEE 802.11:
  • Logika bufora odbiorczego HT bloku HT jest zgodna z algorytmem podanym w specyfikacji 802.11-2012.
  • Sterownik iwn (4) teraz śledzi zmiany ochrony HT, gdy jest powiązany z punktem dostępowym 11n.
  • Stos bezprzewodowy i kilka sterowników bardziej agresywnie wykorzystuje RTS / CTS, aby uniknąć interferencji ze starszymi urządzeniami i ukrytymi węzłami.
  • Komenda netstat (1) -W wyświetla teraz informacje o zdarzeniach 802.11n.
  • W trybie hostap nie używaj ponownie identyfikatorów asocjacji węzłów, które są nadal buforowane. Rozwiązuje problem polegający na tym, że punkt dostępowy korzystający ze sterownika ral (4) utknąłby z szybkością 1 Mb / s, ponieważ rozliczanie stawek Tx miało miejsce na niewłaściwym obiekcie węzła.
  • Ogólne ulepszenia stosu sieciowego:
  • Tabela routingu opiera się teraz na ART oferującym szybsze wyszukiwanie.
  • Liczba dróg wyszukiwania na pakiet została zmniejszona do 1 w ścieżce przekazywania.
  • Pole prio na nagłówku VLAN jest teraz poprawnie ustawione na każdym fragmencie pakietu IPv4 wychodzącego na interfejs vlan (4).
  • Włączono klonowanie urządzenia dla bpf (4). Dzięki temu system może mieć tylko jeden węzeł urządzenia bpf w / dev, który obsługuje wszystkich klientów bpf (do 1024).
  • Kolejka Tx sterownika cnmac (4) może być teraz przetwarzana równolegle z resztą jądra.
  • Ścieżka wejścia sieciowego jest teraz uruchamiana w kontekście wątku.
  • Poprawki instalatora:
  • zaktualizowana lista ograniczonych kodów użytkownika
  • install.sh i upgrade.sh połączone w install.sub
  • update automatycznie uruchamia sysmerge (8) w trybie wsadowym przed fw_update (1)
  • pytania i odpowiedzi są rejestrowane w formacie, który może być użyty jako plik odpowiedzi do użycia przez autoinstalację (8)
  • / usr / local jest skonfigurowany tak, aby nie był używany podczas instalacji
  • Demony routingu i inne udoskonalenia sieci użytkowników:
  • Dodaj obsługę tabel routingu do rc.d (8) i rcctl (8).
  • Niech nc (1) obsługuje nazwy usług oprócz numerów portów.
  • Dodaj flagi -M i -m TTL do nc (1).
  • Dodaj obsługę AF_UNIX do tcpbench (1).
  • Naprawiono regresję w rarpd (8). Demon mógł się zawiesić, jeśli był bezczynny przez długi czas.
  • Dodano opcję llprio w ifconfig (8).
  • Wiele programów używających bpf (4) zostało zmodyfikowanych, aby skorzystać z klonowania urządzenia bpf (4) przez otwarcie / dev / bpf0 zamiast przechodzenia przez urządzenia / dev / bpf *. Do tych programów należą arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) i tcpdump (8). Biblioteka biblioteki libpcap również została odpowiednio zmodyfikowana.
  • Udoskonalenia zabezpieczeń:
  • W ^ X jest teraz domyślnie egzekwowane; program może go naruszyć tylko wtedy, gdy plik wykonywalny jest oznaczony jako PT_OPENBSD_WXNEEDED i znajduje się w systemie plików zamontowanym z opcją wxallowed mount (8). Ponieważ wciąż jest zbyt wiele portów, które naruszają W ^ X, instalator montuje / usr / lokalny system plików z pominięciem. Dzięki temu system podstawowy może być bezpieczniejszy, o ile / usr / local jest oddzielnym systemem plików. Jeśli nie korzystasz z programów naruszających W ^ X, rozważ ręczne anulowanie tej opcji.
  • Rodzina funkcji setjmp (3) stosuje teraz pliki cookie XOR do wartości stosu i adresu zwrotnego w jmpbuf na amd64, hppa, i386, mips64 i powerpc.
  • Ograniczenie SROP: sigreturn (2) może teraz być używane tylko przez trampolinę z sygnałem dostarczonym przez jądro, z plikiem cookie wykrywającym próby ponownego użycia.
  • Aby powstrzymać exploity przed ponownym użyciem kodu, rc (8) ponownie łączy bibliotekę libc.so podczas uruchamiania, umieszczając obiekty w losowej kolejności.
  • W rodzinie funkcji getpwnam (3) domyślnie przestań otwierać bazę danych shadow.
  • Zezwalaj na uruchamianie tcpdump (8) -r bez uprawnień root'a.
  • Usuń systrace.
  • Usuń obsługę emulacji Linuksa.
  • Usuń obsługę opcji usermount.
  • Pamięć podręczna TCP SYN od czasu do czasu odbiera losową funkcję skrótu. Zapobiega to obliczaniu przez atakującego rozkładu funkcji hashowania za pomocą ataku synchronizacyjnego.
  • Aby poradzić sobie z atakami typu SYN Flooding, administrator może teraz zmienić rozmiar tablicy haszującej. netstat (1) -s -p tcp pokazuje odpowiednie informacje, aby dostroić pamięć podręczną SYN za pomocą sysctl (8) net.inet.tcp.
  • Administrator może wymagać uprawnień roota do powiązania z niektórymi portami TCP i UDP z sysctl (8) net.inet.tcp.rootonly i sysctl (8) net.inet.udp.rootonly.
  • Usuń wskaźnik funkcji ze struktury danych mbuf (9) i zamiast tego użyj indeksu w tablicy akceptowanych funkcji.
  • Różne ulepszenia:
  • Bibliotekę wątków można teraz załadować do procesu jednowątkowego.
  • Lepsza obsługa symboli i zgodność ze standardami w bibliotece libc. Na przykład, zdefiniowanie funkcji open () nie będzie już kolidowało z działaniem fopen (3).
  • Sekcje PT_TLS są teraz obsługiwane w początkowo załadowanym obiekcie.
  • Lepsza obsługa "bez ścieżek" i "pustej ścieżki" w fts (3).
  • W pcap (3) podaj funkcje pcap_free_datalinks () i pcap_offline_filter ().
  • Wiele poprawek i strukturalnych porządków w bibliotece editline (3).
  • Usuń starozytne funkcje dbm (3); Pozostaje ndbm (3).
  • Dodaj słowo kluczowe setenv do bardziej wydajnej obsługi środowiska w pliku doas.conf (5).
  • Dodawaj opcje -g i -p do anucat.1, aby pozycjonować w czasie.
  • Przepisz audioctl (1) z prostszym interfejsem użytkownika.
  • Dodaj opcję -F, aby zainstalować (1) na fsync (2) plik przed jego zamknięciem.
  • kdump (1) zrzuca teraz struktury pollfd.
  • Popraw różne szczegóły zgodności z POSS ksh (1).
  • mknod (8) przepisany w stylu przyjaźni (2) i umożliwiający jednoczesne tworzenie wielu urządzeń.
  • Zaimplementuj program rcctl (8), aby uzyskać wszystkie i getdef all.
  • Zaimplementuj flagę rcs (1) -I (interaktywną).
  • W rcs (1) implementuj podstawienie słowa kluczowego Mdocdate.
  • W top (1), pozwól filtrować argumenty procesu, jeśli są wyświetlane.
  • Dodano obsługę UTF-8 do spasowania (1) i rev (1).
  • Włącz kodowanie UTF-8 domyślnie w xterm (1) i pod2man (1).
  • Odfiltruj znaki spoza ASCII na ścianie (1).
  • Obsługuj zmienną środowiskową COLUMNS konsekwentnie w wielu programach.
  • Opcje -c i -k umożliwiają dostarczanie certyfikatów klienta TLS dla syslogd (8) po stronie wysyłającej. Dzięki temu strona odbierająca może zweryfikować, czy logi są autentyczne. Zauważ, że syslogd nie ma jeszcze tej funkcji sprawdzania.
  • Gdy bufor kloga przepełni się, syslogd zapisze komunikat dziennika, aby pokazać, że brakuje niektórych wpisów.
  • W OpenBSD / octeonie włączono buforowanie zapisu bufora CPU, aby zwiększyć wydajność.
  • pkg_add (1) i pkg_info (1) rozumieją teraz pojęcie gałęzi, aby ułatwić wybór niektórych popularnych pakietów, takich jak python lub php, np. powiedz pkg_add python% 3.4, aby wybrać gałąź 3.4 i użyj pkg_info -zm do uzyskaj fuzję wpisu z wyborem gałęzi odpowiednim dla pkg_add -l.
  • fdisk (8) i pdisk (8) natychmiast kończą pracę, chyba że przekazano specjalne urządzenie znakowe
  • st (4) poprawnie śledzi bieżącą liczbę bloków dla bloków o zmiennej wielkości
  • fsck_ext2fs (8) znów działa
  • woluminy softraid (4) można tworzyć z dyskami o rozmiarze sektora innym niż 512 bajtów
  • dhclient (8) DECLINE i odrzuca nieużywane OFERTY.
  • dhclient (8) natychmiast kończy działanie, jeśli jego interfejs (np. mostek (4)) zwróci EAFNOSUPPORT po wysłaniu pakietu.
  • httpd (8) zwraca 400 nieprawidłowych żądań dla żądań HTTP v0.9.

  • Inicjalizacja leniwego węzła
  • ffs2 pozwala uniknąć traktowania losowych danych dyskowych jako i-węzła
  • fcntl (2) wywołania w programach bazowych używają idiomu fcntl (n, F_GETFL) zamiast fcntl (n, F_GETFL, 0)
  • socket (2) i accept4 (2) wywołania w programach bazowych używają SOCK_NONBLOCK, aby wyeliminować potrzebę osobnego fcntl (2).
  • tmpfs nie jest domyślnie włączone
  • semantyka pledge (2) w jądrze została ulepszona na wiele sposobów. Najważniejsze to: nowa obietnica, która pozwala obiecanym programom na ustawienie atrybutów setugid, ściślejsze egzekwowanie obietnicy recvfd i chroot (2) nie jest już dozwolone w przypadku obiecanych programów.
  • naprawiono szereg błędów związanych z przyrzeczeniem (2) (brakujące obietnice, niezamierzone zmiany zachowania, awarie), zwłaszcza w gzip (1), nc (1), sed (1), skeyinit (1), stty (1) i różne narzędzia związane z dyskami, takie jak disklabel (8) i fdisk (8).
  • Poprawiono błędy obliczania rozmiaru bloku w sterowniku audio (4).
  • Sterownik usb (4) buforuje teraz identyfikatory dostawców i produktów. Naprawiono błąd, przez który usbdevs (8) wywoływane w pętli powodowało zatrzymanie działania urządzenia pamięci masowej USB.
  • Sterowniki rsu (4) i ural (4) działają teraz ponownie po ich przypadkowym włamaniu do 5.9.
  • OpenSMTPD 6.0.0
  • Bezpieczeństwo:
  • Implementuj wzorzec fork + exec w smtpd (8).
  • Napraw problem logiczny na komputerze stanu SMTP, który może doprowadzić do nieprawidłowego stanu i spowodować awarię.
  • Podłącz wyciek z pliku, który może doprowadzić do wyczerpania zasobów i spowodować awarię.
  • Używaj automatycznych parametrów DH zamiast stałych.
  • Wyłącz domyślnie DHE, ponieważ jest on kosztowny pod względem obliczeniowym i jest potencjalnym wektorem DoS.
  • W wersji 6.1 wprowadzono następujące ulepszenia:
  • Dodaj opcję -r do enqueuer smtpd (8), aby uzyskać zgodność z mailx.
  • Dodaj brakującą datę lub identyfikator wiadomości podczas odsłuchu na porcie przesyłania.
  • Napraw "kopertę programu" smtpctl show "raportującą" nieprawidłowy "stan koperty.
  • Przerób format nagłówka "Otrzymano", aby część TLS nie naruszała specyfikacji RFC.
  • Zwiększ liczbę połączeń, które może ustanowić adres lokalny, i zmniejsz opóźnienie między transakcjami w tej samej sesji.
  • Naprawianie dostarczania LMTP do serwerów zwracających linie kontynuacji.
  • Dalsze ulepszanie eksperymentalnego filtra API i rozwiązywanie różnych powiązanych problemów.
  • Rozpocznij ulepszanie i ujednolicanie formatu komunikatów dziennika.
  • Napraw kilka rozbieżności dokumentacji i literówek na stronach podręcznika.
  • OpenSSH 7.3
  • Bezpieczeństwo:
  • sshd (8): Ogranicz potencjalny atak typu "odmowa usługi" do funkcji crypt (3) systemu przez sshd (8). Osoba atakująca może wysyłać bardzo długie hasła, które mogłyby spowodować nadmierne użycie procesora w krypcie (3). sshd (8) odmawia teraz przyjmowania żądań uwierzytelnienia hasła o długości większej niż 1024 znaki.
  • sshd (8): Ogranicza różnice w czasie w uwierzytelnianiu hasłem, które mogą zostać użyte do rozpoznania poprawnych nazw nieprawidłowych kont, gdy długie hasła są wysyłane, a na serwerze używane są specjalne algorytmy mieszania haseł. CVE-2016-6210.
  • ssh (1), sshd (8): Napraw obserwowalne osłabienie taktowania w środkach przeciwdziałających wynurzaniu CBC. Zauważ, że szyfry CBC są domyślnie wyłączone i dołączane tylko w przypadku starszej zgodności.
  • ssh (1), sshd (8): Popraw uporządkowanie weryfikacji MAC dla algorytmów transportu w trybie szyfrowania-MAC (EtM), aby zweryfikować MAC przed odszyfrowaniem dowolnego zaszyfrowanego tekstu. Eliminuje to możliwość różnic czasowych, które powodują wyciek faktów na temat jawnego tekstu, chociaż nie wiadomo, czy taki wyciek jest znany.
  • Nowe / zmienione funkcje:
  • ssh (1): Dodaj opcję ProxyJump i odpowiednią flagę wiersza polecenia -J, aby umożliwić uproszczony wybór pośredni przez jeden lub więcej bastionów SSH lub "przeskoki hostów".
  • ssh (1): Dodaj opcję IdentityAgent, aby zezwolić na określanie konkretnych gniazd agentów, zamiast akceptować je ze środowiska.
  • ssh (1): Pozwól, aby ExitOnForwardFailure i ClearAllForwardings były opcjonalnie zastępowane podczas używania ssh -W. (bz # 2577)
  • ssh (1), sshd (8): Zaimplementuj obsługę trybu terminala IUTF8 zgodnie z projektem-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Dodaj obsługę dodatkowych stałych grup Diffie-Hellmana 2K, 4K i 8K z wersji draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): obsługują sygnatury RSA SHA256 i SHA512 w certyfikatach.
  • ssh (1): Dodaj dyrektywę "Włącz" dla plików ssh_config (5).
  • ssh (1): Zezwalaj na znaki UTF-8 w banerach wstępnego uwierzytelniania wysyłanych z serwera. (bz # 2058)
  • Naprawiono następujące istotne błędy w wersji 6.1:
  • W scp (1) i sftp (1), nie można wkręcać ustawień terminala przez ucieczkę bajtów nie tworzących znaków ASCII lub UTF-8.
  • ssh (1), sshd (8): Zmniejsz poziom syslog niektórych względnie popularnych zdarzeń protokołu z LOG_CRIT. (bz # 2585)
  • sshd (8): Odrzuć uwierzytelnianieMethods = "" w konfiguracjach i zaakceptuj AuthenticationMethods = any dla domyślnego zachowania niewymagającego wielokrotnego uwierzytelniania. (bz # 2398)
  • sshd (8): Usuń przestarzałe i wprowadzające w błąd "MOŻLIWE ZAKOŃCZENIE PRÓBY!" wiadomość, gdy naprzód i wstecznego DNS nie pasują. (bz # 2585)
  • ssh (1): Zamknij proces w tle ControlPersist stderr z wyjątkiem trybu debugowania lub logowania do syslog. (bz # 1988)
  • misc: Utwórz opis PROTOCOL dla otwartych wiadomości kanału direct-streamlocal@openssh.com z dopasowanym wdrożonym kodem. (bz # 2529)
  • ssh (1): pozycje Deduplicate LocalForward i RemoteForward, aby naprawić awarie, gdy włączona jest zarówno kanonizacja ExitOnForwardFailure, jak i nazwa hosta. (bz # 2562)
  • sshd (8): Usuń rezerwę z modułów do przestarzałego pliku "priorytetowego", który został wycofany w 2001 roku. (bz # 2559)
  • sshd_config (5): Prawidłowy opis UseDNS: wpływa na przetwarzanie nazwy hosta ssh dla authorized_keys, no known_hosts. (bz # 2554)
  • ssh (1): Napraw uwierzytelnianie za pomocą samotnych kluczy certyfikatów w agencie bez odpowiednich kluczy prywatnych w systemie plików. (bz # 2550)
  • sshd (8): Wyślij ClientAliveInterval ping, gdy ustawiona jest wartość czasu dla RekeyLimit; poprzednio pakiety keepalive nie były wysyłane. (bz # 2252)
  • OpenNTPD 6.0
  • Po określeniu pojedynczego "ograniczenia" spróbuj wszystkich zwróconych adresów, dopóki nie odniesie się jeden z nich, a nie pierwszy zwrócony adres.
  • Zmniejszono margines błędu ograniczenia, aby był proporcjonalny do liczby rówieśników NTP, unikaj ciągłych ponownych połączeń, gdy wystąpi zły partner NTP.
  • Usunięto wyłączoną obsługę czujników hotplug (4).
  • Dodano obsługę wykrywania awarii w podprocesach ograniczających.
  • Przeniesiono wykonywanie ograniczeń z procesu ntp do procesu nadrzędnego, umożliwiając lepsze rozdzielenie uprawnień, ponieważ proces ntp można dalej ograniczać.
  • Naprawiono wysokie użycie procesora, gdy sieć nie działała.
  • Naprawiono różne wycieki pamięci.
  • Przełączono na RMS w celu obliczenia drgań.
  • Zunifikowane funkcje logowania z innymi programami podstawowymi OpenBSD.
  • Ustaw MOD_MAXERROR, aby uniknąć niezsynchronizowanego statusu czasu podczas używania ntp_adjtime.
  • Naprawiono przetwarzanie nagłówka HTTP Timestamp, aby używać strptime (3) w bardziej przenośny sposób.
  • Ulepszone protokoły TLS dla więzów ntpd (8), umożliwiające weryfikację nazwy serwera.
  • LibreSSL 2.4.2
  • Funkcje widoczne dla użytkownika:
  • Naprawiono uszkodzone linki do stron man w instalacji docelowej.
  • cert.pem został zreorganizowany i zsynchronizowany ze sklepem certyfikatów Mozilli.
  • Napraw niezawodność, korygując błąd podczas analizowania pewnych elementów ASN.1 o rozmiarze przekraczającym 16k.
  • Zaimplementowano pakiety szyfrów IETF ChaCha20-Poly1305.
  • Naprawiono monity dotyczące hasła z openssl (1), aby poprawnie obsługiwać ^ C.
  • Ulepszenia kodu:
  • Naprawiono problem ze zgodnością nginx przez dodanie docelowego kompilacji "install_sw".
  • Zmiana domyślnej implementacji EVP_aead_chacha20_poly1305 (3) na wersję IETF, która jest teraz domyślna.
  • Opracowano ponownie obsługę błędów w libtls, dzięki czemu błędy konfiguracji są bardziej widoczne.
  • Dodano brakującą obsługę błędów wokół wywołań bn_wexpand (3).
  • Dodano jawne_bzero (3) wywoływanie zwalnianych obiektów ASN.1.
  • Naprawiono X509_ * funkcje set_object zwracające 0 przy niepowodzeniu przydziału.
  • Przestarzałe wewnętrzne użycie EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Naprawiono problem, który uniemożliwiał działanie algorytmu podpisywania DSA w stałym czasie, nawet jeśli ustawiono flagę BN_FLG_CONSTTIME.
  • Naprawiono szereg problemów w kodzie OCSP, które mogły spowodować nieprawidłowe generowanie i analizowanie żądań protokołu OCSP. Eliminuje to brak sprawdzania błędów podczas analizowania czasu w tych funkcjach i zapewnia, że ​​tylko formaty GENERALIZEDTIME są akceptowane dla protokołu OCSP, zgodnie z dokumentem RFC 6960.
  • Naprawiono następujące CVE:
  • CVE-2016-2105-EVP_EncodeUpdate przepełnienie.
  • CVE-2016-2106-EVP_EncryptUpdate przepełnienie.
  • Wyrocznia CVE-2016-2107 w sprawdzaniu MAC AES-NI CBC.
  • CVE-2016-2108-uszkodzenie pamięci w enkoderze ASN.1.
  • CVE-2016-2109-ASN.1 BIO nadmierna alokacja pamięci.
  • Porty i pakiety:
  • Nowe narzędzie proot (1) w drzewie portów do budowania pakietów w chroot.
  • Wiele gotowych pakietów dla każdej architektury:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Niektóre najważniejsze informacje:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 i 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Przejdź 1.6.3
  • Groff 1.22.3
  • JDK 7u80 i 8u72
  • KDE 3.5.10 i 4.14.3 (wraz z aktualizacjami jądra KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 i 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr i 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 i 2.4.44
  • PHP 5.5.37, 5.6.23 i 7.0.8
  • Postfix 3.1.1 i 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 i 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, 2.3.1, a
  • Rdza 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 i 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Jak zwykle, ciągłe ulepszenia stron podręcznika i innych dokumentów.
  • System obejmuje następujące główne komponenty od dostawców zewnętrznych:
  • Xenocara (na podstawie X.Org 7.7 z xserver 1.18.3 + łatki, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 i więcej)
  • GCC 4.2.1 (+) i płaty 3.3.6 (+ plastry)
  • Perl 5.20.3 (+ łaty)
  • SQLite 3.9.2 (+ łatki)
  • NSD 4.1.10
  • Bez ograniczeń 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ łatki)
  • Gdb 6.3 (+ łaty)
  • Awk 10 sierpnia 2011 wersja
  • Expat 2.1.1

Podobne oprogramowanie

LiveUSB-OpenBSD
LiveUSB-OpenBSD

19 Feb 15

FreeRTOS
FreeRTOS

20 Feb 15

Ubuntu Core
Ubuntu Core

9 Dec 15

Komentarze do OpenBSD

Komentarze nie znaleziono
Dodaj komentarz
Włącz zdjęć!