OpenBSD

Sagteware kiekie:
OpenBSD
Sagteware besonderhede:
Weergawe: 6.3 Opgedateer
Upload datum: 17 Aug 18
Ontwikkelaar: OpenBSD Team
Lisensie: Gratis
Populariteit: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD is 'n gratis projek wat 'n UNIX-bedryfstelsel met verskeie platforms lewer wat draagbaar, doeltreffend, veilig en gebaseer is op die 4.4BSD-platform. Dit is 'n kragtige bedienerproduk wat op honderde duisende rekenaars wêreldwyd gebruik word.


Beskikbaarheid, opstartopsies, ondersteunde platforms

Die bedryfstelsel is vryelik beskikbaar vir aflaai vanaf die toegewyde afdeling (sien hierbo) as ISO-beelde of binêre pakkette waarmee gebruikers dit oor die netwerk kan installeer. Die ISO-beelde kan op CD's gebrand word, wat direk vanaf die BIOS van die meeste rekenaars aangeskakel kan word.

OpenBSD ondersteun binary emulatie van die meeste programme uit SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS en HP-UX. Dit kan geïnstalleer word op 'n wye verskeidenheid argitektuur, insluitende i386, sparc64, alfa, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, wax, mips64 en mips64el.

Die CD-prent begin outomaties sonder gebruikersinteraksie en sal hulle vra of hulle die bedryfstelsel wil installeer, opgradeer of outomaties installeer, sowel as om na 'n dopprompt te gaan.

Handleiding of outomatiese installering

'n Standaard (lees: handleiding) installasie vereis dat gebruikers 'n sleutelborduitleg kies, die gasheernaam instel, 'n netwerkkoppelvlak kies en dit instel met IPv4 en / of IPv6, sowel as om 'n nuwe wagwoord vir die wortel te stel stelseladministrateur) rekening.

Daarbenewens kan u kies om die SSH- en NTP-dienste te begin wanneer die stelsel begin, kies of u die X-vensterstelsel wil gebruik of nie, stel 'n gebruiker op, kies 'n tydsone, skyfspyskaart partisie en installeer stelle .

Onder die ingesluit sagteware pakkette beskikbaar vir OpenBSD, kan ons die GNOME, KDE en Xfce lessenaar omgewings, die MySQL-, PostgreSQL-, Postfix- en OpenLDAP-bedieners, die Mozilla Firefox-, Mozilla Thunderbird-, LibreOffice-, Emacs-, Vim- en Chromium-programme noem, sowel as die PHP, Python, Ruby, Tcl / Tk, JDK, Mono en Go programmeringstale.


Bottom line

Opsomming, OpenBSD is 'n kragtige en hoogs bekende bediener-georiënteerde BSD / UNIX-bedryfstelsel wat ons van die nuutste sagteware voorsien, insluitende OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED en mandoc.

Wat is nuut in hierdie weergawe:

  • Verbeterde hardeware ondersteuning, insluitend:
  • SMP-ondersteuning op OpenBSD / arm64-platforms.
  • VFP en NEON ondersteuning op OpenBSD / armv7 platforms.
  • Nuwe acrtc (4) bestuurder vir X-Power AC100-klankkodek en Real Time Clock.
  • Nuwe aksppmiese (4) bestuurder vir X-Power AXP Power Management IC's.
  • Nuwe bcmrng (4) bestuurder vir Broadcom BCM2835 / BCM2836 / BCM2837 willekeurige getalgenerator.
  • Nuwe bcmtemp (4) bestuurder vir Broadcom BCM2835 / BCM2836 / BCM2837 temperatuurmonitor.
  • Nuwe bgw (4) bestuurder vir die bewegingsensor van Bosch.
  • Nuwe bwfm (4) bestuurder vir Broadcom en Cypress FullMAC 802.11 toestelle (nog steeds eksperimentele en nie standaard by die kern nie)
  • Nuwe efi (4) bestuurder vir EFI runtime dienste.
  • Nuwe imxanatop (4) bestuurder vir i.MX6 geïntegreerde reguleerder.
  • Nuwe rkpcie (4) bestuurder vir Rockchip RK3399-host / PCIe-brug.
  • Nuwe sxirsb (4) bestuurder vir Allwinner Reduced Serial Bus kontroleerder.
  • Nuwe sxitemp (4) bestuurder vir Allwinner temperatuur monitor.
  • Nuwe sxits (4) bestuurder vir temperatuursensor op Allwinner A10 / A20 touchpad kontroleerder.
  • Nuwe sxitwi (4) bestuurder vir twee-draad bus wat op verskeie Allwinner SoCs gevind is.
  • Nuwe sypwr (4) bestuurder vir die Silergy SY8106A reguleerder.
  • Ondersteuning vir Rockchip RK3328 SoCs is bygevoeg aan die bestuurders van dwge (4), rkgrf (4), rkclock (4) en rkpinctrl (4).
  • Ondersteuning vir Rockchip RK3288 / RK3328 SoCs is by die rktemp (4) bestuurder bygevoeg.
  • Ondersteuning vir Allwinner A10 / A20, A23 / A33, A80 en R40 / V40 SoCs is by die bestuurder van die sxcmcmu (4) bygevoeg.
  • Ondersteuning vir Allwinner A33, GR8 en R40 / V40 SoCs is by die sxipio (4) bestuurder bygevoeg.
  • Ondersteuning vir SAS3.5 MegaRAIDs is by die mfii (4) bestuurder gevoeg.
  • Ondersteuning vir Intel Cannon Lake en Ice Lake geïntegreerde Ethernet is by die em (4) bestuurder bygevoeg.
  • cnmac (4) poorte word nou toegeken aan verskillende CPU-kerns vir verspreide onderbrekingsverwerking.
  • Die pms (4) bestuurder ontdek en hanteer tans reset-aankondigings.
  • Die amd64-Intel-CPU-mikrokode word op die selflaai gelaai en geïnstalleer / opgedateer deur fw_update (1).
  • Ondersteun die Sun4v hypervisor interrupt cookie API, voeg ondersteuning vir SPARC T7-1 / 2/4 masjiene.
  • Hibernate-ondersteuning is bygevoeg vir SD / MMC-berging wat aan sdhc (4) beheerders geheg is.
  • clang (1) word nou gebruik as die stelsel samesteller op armv7, en dit word ook op sparc64 verskaf.
  • vmm (4) / vmd (8) verbeteringe:
  • Voeg CD-ROM / DVD ISO-ondersteuning by vmd (8) via vioscsi (4).
  • vmd (8) skep nie meer 'n onderliggende brug koppelvlak vir virtuele skakelaars gedefinieer in vm.conf (5).
  • vmd (8) ontvang skakelinligting (rdomain, ens) van die onderliggende skakelaarkoppelvlak in kombinasie met instellings in vm.conf (5).
  • Tydstempelteller (TSC) ondersteuning in gas VMs.
  • Ondersteun ukvm / Solo5 unikernels in vmm (4).
  • Handhaaf geldige (maar ongewone) instruksie enkodering beter.
  • Beter PAE-bladsye ondersteuning vir 32-bis Linux gas VMs.
  • vmd (8) laat nou tot vier netwerk interfaces in elke VM toe.
  • Voeg pouse-migrasie en snapshotting-ondersteuning by vmm (4) vir AMD SVM / RVI-leërskare.
  • BREAK opdragte wat oor 'n pty gestuur word (4) word nou deur vmd (8) verstaan.
  • Baie oplossings vir vmctl (8) en vmd (8) fouthantering.
  • IEEE 802.11 wireless stapel verbeterings:
  • Die iwm (4) en iwn (4) bestuurders gaan outomaties oor toegangspunte wat 'n ESSID deel. Om 'n spesifieke AP se MAC-adres te dwing met ifconfig se bssid-bevel, skakel roaming af.
  • Maak outomaties WEP / WPA-sleutels skoon wanneer 'n nuwe netwerk ESSID gekonfigureer is.
  • Die vermoë om gebruikerland te verwyder om gekonfigureerde WEP / WPA sleutels van die kern af te lees.
  • Die iwm (4) bestuurder kan nou met netwerke met 'n verborge SSID verbind.
  • USB-toestelle wat deur die athn (4) -bestuurder ondersteun word, gebruik nou 'n oopbron-firmware, en die gasheermodus werk nou met hierdie toestelle.
  • Generiese verbetering van netwerkstapel:
  • Die netwerk stack word nie meer uitgevoer met die KERNEL_LOCK () wanneer IPsec is aangeskakel.
  • Die verwerking van inkomende TCP / UDP pakkette word nou gedoen sonder KERNEL_LOCK ().
  • Die socket splitsing taak loop sonder KERNEL_LOCK ().
  • Opruiming en verwydering van kode in sys / netinet6 aangesien outokonfigurasie nou in userland loop.
  • brug (4) lede kan nou verhinder word om met mekaar te praat met die nuwe beskermde opsie.
  • Die pf-divert-pakket funksie is vereenvoudig. Die opsie IP_DIVERTFL-aansluiting is verwyder van afleiding (4).
  • Verskeie hoekgevalle van pf divert-to en divert-reply is nou meer konsekwent.
  • Beperk in pf (4) dat alle naburige ontdekkingspakkette 255 in hul IPv6-koptekstbeperkingsveld het.
  • Nuwe stel sync cookies opsie in pf.conf (5).
  • Ondersteuning vir GRE oor IPv6.
  • Nuwe egre (4) bestuurder vir Ethernet oor GRE tonnels.
  • Ondersteuning vir die opsionele GRE sleutelopskrif en GRE sleutel entropie in gre (4) en egre (4).
  • Nuwe nvgre (4) -bestuurder vir Netwerk Virtualisering met behulp van Generiese Routing Encapsulation.
  • Ondersteuning vir die konfigureer van die nie-fragment-vlagpakkies wat deur tonnelinterfaces ingekapsel is.
  • Installeerderverbeterings:
  • as install.site of upgrade.site misluk, stel die gebruiker in kennis en fout nadat die rand.seed gestoor is.
  • laat CIDR-notasie toe wanneer u IPv4- en IPv6-adresse invoer.
  • Herstel van 'n HTTP-spieël uit die lys spieëls.
  • toelaat '-' in gebruikers name.
  • Stel 'n vraag aan die einde van die installasie- / opgraderingsproses sodat die terugkeer van die voertuig die toepaslike handeling, bv. reboot.
  • vertoon die modusse (installeer of opgradeer) opdragte so lank as wat geen hostnaam bekend is nie.
  • Korrekteer op watter koppelvlak die standaard roete is en as dit op DHCP ingestel is.
  • Maak seker dat stelle van die prefetch area gelees kan word.
  • verseker dat die herverdeling van URL's effektief is vir die hele installasie / opgradering.
  • Voeg die HTTP-proxy by wanneer u stelle na rc.firsttime gaan haal, waar fw_update en syspatch dit kan vind en gebruik.
  • voeg logika by om RFC 7217 te ondersteun met SLAAC.
  • maak seker dat IPv6 is ingestel vir dinamies geskep netwerk interfaces soos vlan (4).
  • skep die korrekte host naam as beide domeinnaam en domein soek opsies word verskaf in die DHCP-lease.
  • Routing Daemons en ander verbeteringe van gebruikersland netwerk:
  • bgpctl (8) het 'n nuwe ssv opsie wat ribb inskrywings as 'n enkele semikolon geskei soos vir seleksie voor uittree uitset.
  • slaat (8) genereer willekeurige, maar stabiele IPv6-staatlose outokonfigurasie-adresse volgens RFC 7217. Hierdie is per standaard in ooreenstemming met RFC 8064 aangeskakel.
  • slaat (8) volg RFC 4862 deur 'n kunsmatige beperking op / 64 voorvoegsels te verwyder met behulp van RFC 7217 (ewekansige maar stabiele) en RFC 4941 (privaatheid) styl staatlose outokonfigurasie adresse.
  • ospfd (8) kan nou die metrieke vir 'n roete bepaal, afhangende van die status van 'n koppelvlak.
  • ifconfig (8) het 'n nuwe staticarp opsie om interfaces slegs op ARP-versoeke te beantwoord.
  • ipsecctl (8) kan nou vloeiuitsette met dieselfde bron of bestemming ineenstort.
  • Die -n opsie in netstart (8) breek nie meer met die verstekroete nie. Dit word nou ook gedokumenteer.
  • Sekuriteitsverbeterings:
  • Gebruik nog meer valvalle op verskeie argitekture.
  • Meer gebruik van .rodata vir konstante veranderlikes in monteerbron.
  • Stop met x86 "repz ret" in stowwe hoeke van die boom.
  • Stel 'execpromises' bekend. in belofte (2).
  • Die elfrdsetroot-program het ramdisks gebruik en die herhaling (8) moniteringsproses gebruik nou belofte (2).
  • Berei voor vir die bekendstelling van MAP_STACK na mmap (2) na 6.3.
  • Druk 'n klein stuk KARL-gekoppelde kerntekst in die willekeurige getalgenerator as entropie by aanvang.
  • Plaas 'n klein willekeurige gaping aan die bokant van die draadstapels, sodat aanvallers nog 'n berekening vir hul ROP-werk kan uitvoer.
  • Versagting vir Meltdown kwesbaarheid vir Intel merk amd64 CPUs.
  • OpenBSD / arm64 maak nou gebruik van paneel tabel-isolasie om Specter variant 3 (Meltdown) aanvalle te versag.
  • OpenBSD / armv7 en OpenBSD / arm64 spoel nou die Tak Target Buffer (BTB) op verwerkers wat spekulatiewe uitvoering doen om Specter variant 2 aanvalle te versag.
  • pool_get (9) versteur die volgorde van items op nuut toegewysde bladsye, wat die kernhoop-uitleg moeiliker maak om te voorspel.
  • Die fktrace (2) stelseloproep is verwyder.
  • dhclient (8) verbeterings:
  • Parsing dhclient.conf (5) lek nie meer SSID-snare, stringe wat te lank is vir die parseerbuffer of herhaalde stringopsies en opdragte nie.
  • Huurkontrakte in dhclient.conf (5) word nie meer ondersteun nie.
  • 'DENY' is nie meer geldig in dhclient.conf (5).
  • dhclient.conf (5) en dhclient.leases (5) ontleding van foutboodskappe is vereenvoudig en verduidelike, met verbeterde gedrag in die teenwoordigheid van onverwagte semikolons.
  • Meer aandag word besteed aan die gebruik van konfigurasie inligting wat suksesvol is geparseer.
  • '- n' is bygevoeg, wat dhclient (8) veroorsaak om te verlaat na parsing dhclient.conf (5).
  • Standaard roetes in opsies klasselose-statiese roetes (121) en klaslose-ms-statiese roetes (249) word nou korrek voorgestel in dhclient.leases (5) lêers.
  • Oorskryf die lêer wat met '-L' gespesifiseer word, eerder as om dit by te voeg.
  • Huurkontrakte in dhclient.leases (5) bevat nou 'n 'epoch'-kenmerk wat die tyd vasstel waarop die huurkontrak aanvaar is, wat gebruik word om korrekte hernuwings-, herwinnings- en vervaldatums te bereken.
  • Nie meer nag oor onderskrifte in name wat RFC 952 oortree nie.
  • Onvoorwaardelik stuur gasheernaam-inligting wanneer 'n huurkontrak aangevra word, wat die noodsaaklikheid van dhclient.conf (5) in die verstekinstallasie uitskakel.
  • Wees stil as standaard. '-q' is verwyder en '-v' bygevoeg om werklike aanmelding moontlik te maak.
  • Weier dubbele aanbiedings vir die aangevraagde adres.
  • Onvoorwaardelik gaan na die agtergrond na skakel-time-out sekondes.
  • Teken logging af wanneer dit stil is, maar maak '-v' alle debug-inligting in, sonder om 'n aangepaste uitvoerbare weergawe op te stel.
  • Negeer 'koppelvlak'-stellings in dhclient.leases (5) en aanvaar dat alle huurkontrakte in die lêer is vir die koppelvlak wat gekonfigureer word.
  • Wys die bron van die huurkontrak wat aan die koppelvlak gebind is.
  • 'Negeer', 'versoek' en 'vereiste'-verklarings in dhclient.conf (5) voeg nou die gespesifiseerde opsies by die betrokke lys eerder as om die lys te vervang.
  • Skakel 'n opstart ras uit wat dhclient (8) kan verlaat sonder om die koppelvlak te konfigureer.
  • Verskeie verbeteringe:
  • Kodeherorganisasie en ander verbeteringe aan malloc (3) en vriende om hulle doeltreffender te maak.
  • As u skyfies of winterslaapwerk doen, moet u seker maak dat alle lêersisteme behoorlik gesinkroniseer en gemerk is, of as hulle nie op 'n perfekte skoon toestand op die skyf geplaas kan word nie (as gevolg van oop + ontkoppelde lêers), merk hulle dan vuil, sodat 'n mislukte CV / unhibernate is gewaarborg om fsck (8) uit te voer.
  • acme-client (1) outdeeks die ooreenkoms-URL en volg 30x HTTP-aansture.
  • Bygevoeg __cxa_thread_atexit () om moderne C ++-gereedskapskettings te ondersteun.
  • Bygevoeg EVFILT_DEVICE ondersteuning aan kqueue (2) vir die monitering van veranderinge aan drm (4) toestelle.
  • ldexp (3) hanteer nou die teken van denormale getalle korrek op mips64.
  • Nuwe sinkos (3) funksioneer in libm.
  • fdisk (8) verseker nou die geldigheid van MBR partisie-verrekenings wat tydens redigering ingevoer is.
  • fdisk (8) verseker nou dat verstekwaardes binne die geldige reeks val.
  • minder (1) verdeel nou slegs die omgewingsveranderlike MINDER op '$'.
  • minder (1) skep nie meer 'n foutiewe lêer wanneer '$' in die aanvanklike opdrag voorkom nie.
  • softraid (4) bevestig nou die aantal stukke wanneer 'n volume bygevoeg word, sodat die metadata op die skyf en in die geheue gesinkroniseer word.
  • disklabel (8) bied nou altyd 'n FFS-partituurgrootte om te wysig voordat dit aangebied word om die blokgrootte te wysig.
  • disklabel (8) maak dit nou moontlik om die kenmerk cilinders / groep (cpg) te wysig wanneer die partisie blokkeer, kan redigeer.
  • disklabel (8) detecteer nou ^ D en ongeldige invoer tydens (R) esize opdragte.
  • disklabel (8) detecteer nou ondervloei en oorloop wanneer - / + operateurs gebruik word.
  • disklabel (8) vermy nou 'n af-een-een wanneer die aantal silinders in 'n gratis stuk bereken word.
  • disklabel (8) val nou die verlangde partisiegrootte teen die grootte van die grootste gratis stukkie in plaas van die totale vrye ruimte.
  • Ondersteuning vir die storting van USB-oordragte via bpf (4).
  • tcpdump (8) kan nou dumps van USB-oordragte in die USBPcap-formaat verstaan.
  • Die verstekopdragte van csh (1), ksh (1) en sh (1) bevat nou die hostnaam.
  • Geheue toekenning in ksh (1) is oorgeskakel van calloc (3) terug na malloc (3), wat dit makliker maak om ongeregistreerde geheue te herken. As gevolg hiervan is 'n geskiedenisverwante fout in die emacs-redigeermodus ontdek en opgelos.
  • Nuwe script (1) -c opsie om 'n opdrag uit te voer in plaas van 'n dop.
  • Nuwe grep (1) -m opsie om die aantal vuurhoutjies te beperk.
  • Nuwe uniq (1) -i opsie vir geval-ongevoelige vergelyking.
  • Die formaat van printf (3) word nie meer gevalideer as u% formate soek nie. Gebaseer op 'n pleeg deur Android en volg die meeste ander bedryfstelsels.
  • Verbeterde fout kontrole in vfwprintf (3).
  • Baie basiese programme is geouditeer en vasgestel vir die ou lêerbeskrywers, waaronder cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) en sshd (8). >
  • Verskeie foutoplossings en verbeteringe in jot (1):
  • Arbitrêre lengte limiete vir die argumente vir die -b, -s, -w opsies is verwyder.
  • Die% F-formaat spesifiseerder word nou ondersteun en 'n fout in die% D-formaat is vasgestel.
  • Beter kode dekking in regressietoetse.
  • Verskeie bufferoorskrywings is vasgestel.
  • Die patch (1) nut klop nou beter met git diffs wat lêers skep of verwyder.
  • pkg_add (1) het nou verbeterde ondersteuning vir HTTP (S) redirectors soos cdn.openbsd.org.
  • ftp (1) en pkg_add (1) ondersteun nou HTTPS sessie hervatting vir verbeterde spoed.
  • mandoc (1) -T ps uitvoer lêer grootte verminder met meer as 50%.
  • syslogd (8) teken aan of daar waarskuwings tydens die aanvang was.
  • syslogd (8) het gestop by die lêers in 'n volledige lêerstelsel. Nou skryf dit 'n waarskuwing en gaan voort nadat die spasie beskikbaar gestel is.
  • vmt (4) maak dit nou moontlik om klank-en-kliekfoto's van hardlopende gaste te kloneer.
  • OpenSMTPD 6.0.4
  • Voeg SPF-loopopsie by smtpctl (8).
  • Verskeie opruimings en verbeteringe.
  • Talle manuele bladsy regstellings en verbeteringe.
  • OpenSSH 7.7
  • Nuwe / verander eienskappe:
  • Alles: Voeg eksperimentele ondersteuning vir PQC XMSS-sleutels (Uitgebreide Hash-gebaseerde handtekeninge) op grond van die algoritme wat beskryf word in https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Die XMSS-handtekeningkode is eksperimenteel en word nie standaard ingevul nie.
  • sshd (8): Voeg 'n "domeinnaam" by kriteria vir die sshd_config-sleutelwoord om voorwaardelike opset toe te laat wat afhang van watter roetings domein 'n verbinding ontvang is (tans ondersteun op OpenBSD en Linux).
  • sshd_config (5): Voeg 'n opsionele rdomain-kwalifiseerder by die ListenAddress-richtlijn om luister op verskillende roetine-domeine toe te laat. Dit word tans slegs op OpenBSD en Linux ondersteun.
  • sshd_config (5): Voeg RDomain-richtlijn by sodat die geverifieerde sessie in 'n eksplisiete routing-domein geplaas kan word. Dit word tans slegs op OpenBSD ondersteun.
  • sshd (8): Voeg 'vervaldatum' by opsie vir gemagtigde_keys-lêers om toe te laat dat die sleutels verval.
  • ssh (1): Voeg 'n BindInterface opsie toe om die uitgaande verbinding te koppel aan 'n koppelvlak se adres (basies 'n meer bruikbare BindAddress).
  • ssh (1): Ontbloot toestel wat toegeken word vir tun / tik deurstuur via 'n nuwe% T uitbreiding vir LocalCommand. Hierdeur kan LocalCommand gebruik word om die koppelvlak voor te berei.
  • sshd (8): Stel die toestel uit wat toegewys is vir tun / tik deurstuur via 'n nuwe SSH_TUNNEL omgewing veranderlike. Dit laat outomaties die opstelling van die koppelvlak en die omliggende netwerkkonfigurasie outomaties op die bediener toe.
  • ssh (1) / scp (1) / sftp (1): Voeg URI-ondersteuning by ssh, sftp en scp, bv. ssh: // gebruiker @ host of sftp: // gebruiker @ host / path. Bykomende verbindingsparameters beskryf in draft-ietf-secsh-scp-sftp-ssh-uri-04 word nie geïmplementeer nie, aangesien die ssh-vingerafdrukformaat in die konsep die verouderde MD5-hash gebruik sonder om enige ander algoritme te spesifiseer.
  • ssh-keygen (1): Laat die geldigheidsintervalle van sertifikate toe wat slegs 'n begin- of stoptyd spesifiseer (in plaas van beide of nie).
  • sftp (1): Laat "CD" toe en "lcd" opdragte met geen eksplisiete pad argument nie. lcd sal soos gewoonlik na die plaaslike gebruiker se tuisgids verander. CD sal verander na die begin gids vir sessie (omdat die protokol geen manier bied om die tuisgids van die eksterne gebruiker te kry nie). BZ # 2760
  • sshd (8): As u 'n konfigurasietoets met sshd-T doen, benodig u slegs die eienskappe wat eintlik gebruik word in die kriteria van die passing eerder as ('n onvolledige lys van) alle kriteria.
  • Die volgende belangrike foute is in hierdie uitgawe opgelos:
  • ssh (1) / sshd (8): Kontroleer handtekeningstipes strenger tydens sleutelruil teen wat onderhandeld is. Voorkom downgrade van RSA handtekeninge gemaak met SHA-256/512 tot SHA-1.
  • sshd (8): Bevestig ondersteuning vir kliënt wat 'n protokol weergawe van "1,99" adverteer. (wat aandui dat hulle bereid is om beide SSHv1 en SSHv2 te aanvaar). Dit is in OpenSSH 7.6 gebreek tydens die verwydering van SSHv1-ondersteuning. BZ # 2810
  • ssh (1): Waarsku wanneer die agent 'n ssh-rsa (SHA1) handtekening ontvang wanneer 'n rsa-sha2-256 / 512 handtekening aangevra is. Hierdie toestand is moontlik wanneer 'n ou of nie-OpenSSH-agent in gebruik is. BZ # 2799
  • ssh-agent (1): Stel regressie voor in 7.6 wat veroorsaak het dat ssh-agent dodelik verlaat as 'n ongeldige handtekening versoek boodskap aangebied word.
  • sshd_config (5): Aanvaar ja / geen vlag opsies geval-insensitief, soos in ssh_config (5) die geval was. BZ # 2664
  • ssh (1): Verbeter foutverslagdoening vir foute tydens verbinding. Onder sekere omstandighede was misleidende foute aan die toon. BZ # 2814
  • ssh-keyscan (1): Add -D opsie om drukwerk van resultate direk in SSHFP-formaat toe te laat. BZ # 2821
  • regressoetse: stel PuTTY interop toets in gebreek in die SSHv1-verwydering van die laaste weergawe. BZ # 2823
  • ssh (1): Kompatibiliteitsoplossing vir sommige bedieners wat die verbinding foutief laat val wanneer die opsie IUTF8 (RFC8160) gestuur word.
  • scp (1): Skakel RemoteCommand en RequestTTY uit in die ssh-sessie wat deur scp begin (sftp het dit alreeds gedoen.)
  • ssh-keygen (1): Weier om 'n sertifikaat te skep met 'n onbruikbare aantal prinsipale.
  • ssh-keygen (1): Dodelik verlaat as ssh-keygen nie al die publieke sleutel tydens sleutelgenerering kan skryf nie. Voorheen sou dit die foute van die kommentaar en die beëindiging van newline eerder ignoreer.
  • ssh (1): Verander nie gasheernaam-argumente wat adresse aanspreek deur hulle outomaties tot kleinletters te dwing nie. In plaas daarvan kan hulle kanonicaliseer om dubbelsinnighede op te los (bv. :: 0001 => 1) voordat hulle ooreenstem met known_hosts. BZ # 2763
  • ssh (1): Moenie rommel aanvaar nie na "ja" of "nee" antwoorde op hostkey-aanmeldings. BZ # 2803
  • sftp (1): Sftp druk 'n waarskuwing oor dopgehalte wanneer die dekodering van die eerste pakkie misluk, wat gewoonlik veroorsaak word deur skulpe wat besoedeling van nie-interaktiewe aanstellings verontreinig. BZ # 2800
  • ssh (1) / sshd (8): Skakel timers in pakkieskode van die gebruik van die klok tyd tot monotoniese tyd, sodat die pakketlaag beter funksioneer as 'n klokstap en moontlike heelgetalle-oorstromings tydens stappe vermy.
  • Talle manuele bladsy regstellings en verbeteringe.
  • LibreSSL 2.7.2
  • Bygevoeg ondersteuning vir baie OpenSSL 1.0.2 en 1.1 API's, gebaseer op waarnemings van werklike gebruik in toepassings. Dit word geïmplementeer parallel met bestaande OpenSSL 1.0.1 API's. Sigbaarheidsveranderinge is nie gemaak aan bestaande strukture nie, sodat kode wat geskryf is vir ouer OpenSSL API's, voortgaan om te werk.
  • Uitgebreide regstellings, verbeterings en toevoegings tot die API-dokumentasie, insluitend nuwe openbare API's van OpenSSL wat geen voorafgaande dokumentasie gehad het nie.
  • Bygevoeg ondersteuning vir outomatiese biblioteek initialisatie in libcrypto, libssl en libtls. Ondersteuning vir pthread_once of 'n verenigbare ekwivalent word nou vereis van die teikenbedryfstelsel. As 'n newe-effek is die minimum Windows-ondersteuning Vista of hoër.
  • Omskep meer pakkethanteringsmetodes na CBB, wat die veerkragtigheid verbeter wanneer TLS-boodskappe genereer word.
  • Voltooide TLS-uitbreidingshanteringsherskrywing, die verbetering van konsekwentheid van tjeks vir wanvormde en duplikaatuitbreidings.
  • Rewrote ASN1_TYPE_ (kry, stel) _octetstring () met gebruik van die ASP.1-vorm. Dit verwyder die laaste oorblywende gebruik van die ou M_ASN1_ * makros (asn1_mac.h) van API wat nog moet bestaan.
  • Bygevoeg ondersteuning vir kliënt-sessie hervatting in libtls. 'N Libtls-kliënt kan 'n sessie-lêerbeskrywer spesifiseer ('n gereelde lêer met toepaslike eienaarskap en toestemmings) en libtls sal lees en skryf van sessie data oor TLS handshakes bestuur.
  • Verbeterde ondersteuning vir streng belyning op ARMv7-argitektuur, wat voorwaardelik voorsiening maak vir die vergadering.
  • 'n geheue lek in libtls herstel wanneer 'n tls_config hergebruik word.
  • Voeg meer DTLS-ondersteuning saam in die gewone TLS-kodepad, en verwyder dubbele kode.
  • Poorte en pakkette:
  • dpb (1) en normale poorte (7) kan nou dieselfde voorreg-geskeide model geniet deur PORTS_PRIVSEP = Ja te stel
  • Baie vooraf geboude pakkette vir elke argitektuur:
  • aarch64: 7990
  • alfa: 1
  • amd64: 9912
  • arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Enkele hoogtepunte:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 en 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Gaan 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 en 4.14.3 (plus kern opdaterings van KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 en 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr en 59.0.2
  • Mozilla Thunder Bird 52.7.0
  • Mutt 1.9.4 en NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 en 2.4.45
  • PHP 5.6.34 en 7.0.28
  • Postfix 3.3.0 en 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 en 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 en 2.5.0
  • Roest 1.24.0
  • Stuur Mail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 en 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Soos gewoonlik, bestendige verbeteringe in handleidingbladsye en ander dokumentasie.
  • Die stelsel sluit die volgende hoofkomponente van buite verskaffers in:
  • Xenocara (gebaseer op X.Org 7.7 met xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 en meer)
  • LLVM / Clang 5.0.1 (+ patches)
  • GCC 4.2.1 (+ kolle) en 3.3.6 (+ kolle)
  • Perl 5.24.3 (+ patches)
  • NSD 4.1.20
  • Unbound 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ kolle)
  • Gdb 6.3 (+ patches)
  • Awk Aug 10, 2011 weergawe
  • Expat 2.2.5

Wat is nuut in weergawe 6.2:

  • Nuwe / uitgebreide platforms:
  • ARMv7:
  • EFI selflaaiprogram bygevoeg, pitte word nou gelaai vanaf FFS in plaas van FAT of EXT lêersisteme, sonder U-Boot headers.
  • 'n Enkele kern en ramdisk word nou vir alle SoCs gebruik.
  • Hardeware word dinamies opgesom via 'n afgeplatte toestelboom (FDT) in plaas van via statiese tabelle gebaseer op kaart ID-nommers.
  • Miniroot installeerder beelde sluit U-Boot 2016.07 met ondersteuning vir EFI payloads.
  • Vax:
  • verwyder.
  • Verbeterde hardeware ondersteuning, insluitend:
  • Nuwe bytgpio (4) bestuurder vir die Intel Bay-roete GPIO-kontroleerder.
  • Nuwe chvgpio (4) bestuurder vir die Intel Cherry View GPIO kontroleerder.
  • Nuwe maxrtc (4) bestuurder vir die Real Time Clock Maxim DS1307.
  • Nuwe nvme (4) -bestuurder vir die nie-volatiele geheue-ekspressiewe (NVMe) -beheerderkoppelvlak.
  • Nuwe pcfrtc (4) bestuurder vir die NXP PCF8523 real time clock.
  • Nuwe umb (4) bestuurder vir die Mobile Broadband Interface Model (MBIM).
  • Nuwe ure (4) bestuurder vir RealTek RTL8152 gebaseer 10/100 USB Ethernet-toestelle.
  • Nuwe UDVFU (4) bestuurder vir klank- / video-opname toestelle gebaseer op die Fushicai USBTV007.
  • Die iwm (4) bestuurder ondersteun nou Intel Wireless 3165 en 8260 toestelle, en werk betroubaarder in RAMDISK kernels.
  • Ondersteuning vir I2C HID-toestelle met GPIO-gesignaleerde onderbrekings is bygevoeg aan dwiic (4).
  • Ondersteuning vir groter buswydtes, hoë spoedmodusse en DMA-oordragte is by sdmmc (4), rtsx (4), sdhc (4) en imxesdhc (4) gevoeg.
  • Ondersteuning vir EHCI- en OHCI-voldoenende USB-beheerders op Octeon II SoCs.
  • Baie USB-toestelbestuurders is geaktiveer op OpenBSD / octeon.
  • Verbeterde ondersteuning vir hardeware-verminderde ACPI implementasies.
  • Verbeterde ondersteuning vir implementering van ACPI 5.0.
  • AES-NI-kripto is nou gedoen sonder om die kernslot te hou.
  • Verbeterde AGP-ondersteuning op PowerPC G5-masjiene.
  • Bygevoeg ondersteuning vir die SD kaart slot in Intel Bay Trail SoCs.
  • Die bestuurder van ichiic (4) ignoreer nou die SMBALERT # onderbreking om 'n onderbrekende storm met buggy BIOS implementerings te voorkom.
  • Toestelprobleme met die byl (4) bestuurder is opgelos.
  • Die ral (4) bestuurder is stabieler onder laai met RT2860 toestelle.
  • Probleme met dooie sleutelborde na hervat is vasgestel in die pckbd (4) bestuurder.
  • Die rtsx (4) bestuurder ondersteun nou RTS522A toestelle.
  • Aanvanklike ondersteuning vir MSI-X is bygevoeg.
  • Ondersteun MSI-X in die virtio (4) bestuurder.
  • Het 'n oplossing vir hardeware-DMA-oorskryding by die dc (4) bestuurder bygevoeg.
  • Die ACPI (4) bestuurder spoel nou die waaier na afkoeling as ACPI histeres gebruik vir aktiewe verkoeling.
  • Die xhci (4) bestuurder voer nou 'n korrekte weergawe uit van 'n xHCI-geskikte BIOS.
  • Ondersteuning vir multi-touch-invoer is by die wsmouse (4) -bestuurder gevoeg.
  • Die uslcom (4) bestuurder ondersteun nou die seriële konsole van Aruba 7xxx wireless controllers.
  • Die re (4) bestuurder werk nou om gebroke LED-konfigurasies in APU1 EEPROMs.
  • Die ehci (4) bestuurder werk nou probleme met ATI USB-beheerders (bv. SB700).
  • Die xen (4) bestuurder ondersteun nou die domU-konfigurasie onder Qubes OS.
  • IEEE 802.11 wireless stapel verbeterings:
  • Die HT blok akk ontvang buffer logika volg die algoritme wat in die 802.11-2012 spesifikasie spesifikasie gegee word.
  • Die iwn (4) bestuurder hou nou toesig oor HT-beskermingsveranderinge terwyl dit geassosieer word met 'n 11n AP.
  • Die draadlose stapel en verskeie bestuurders maak meer aggressiewe gebruik van RTS / CTS om inmenging van ouer toestelle en verborge nodes te voorkom.
  • Die netstat (1) -W opdrag gee nou inligting oor 802.11n gebeurtenisse.
  • Moenie verenigings-ID's van nodusse wat nog in die kas is, hergebruik in die gasheermodus nie. Bevestig 'n probleem waar 'n toegangspunt met die ral (4) bestuurder by 1 Mbps vasgehou word, aangesien Tx-tariefrekeningkunde op die verkeerde nodobestand plaasgevind het.
  • Generiese verbetering van netwerkstapel:
  • Die roetentabel is nou gebaseer op ART wat 'n vinniger opzoeking bied.
  • Die aantal roete-opsoeke per pakkie is verminder tot 1 in die deurstuurpad.
  • Die prio-veld op VLAN-hoofde is nou korrek ingestel op elke fragment van 'n IPv4-pakket wat op 'n vlan (4) koppelvlak gaan.
  • Geaktiveerde toestel kloning vir bpf (4). Dit stel die stelsel in staat om net een bpf-toestelnodus in / dev te hê wat alle bpf-verbruikers bedien (tot 1024).
  • Die Tx-ry van die bestuurder van die cnmac (4) kan nou parallel van die res van die kern verwerk word.
  • Netwerkinvoerpad word nou in die konteks van die draad uitgevoer.
  • Installeerderverbeterings:
  • Opgedateerde lys van beperkte gebruikers codes
  • installeer.sh en upgrade.sh saamgesmelt in install.sub
  • Opdateer outomaties sysmerge (8) in batch modus voor fw_update (1)
  • vrae en antwoorde word aangeteken in 'n formaat wat as 'n reaksie lêer gebruik kan word vir gebruik deur autoinstall (8)
  • / usr / local word ingestel tydens die installasie
  • Routing Daemons en ander verbeteringe van gebruikersland netwerk:
  • Voeg routing tabel ondersteuning by rc.d (8) en rcctl (8).
  • Laat nc (1) ondersteuningsdiensname bykomend tot poortnommers.
  • Voeg -M en -m TTL-vlae by nc (1).
  • Voeg AF_UNIX-ondersteuning by tcpbench (1).
  • Vaste regressie in rarpd (8). Die daemon kan hang as dit lankal onaktief was.
  • Het die llprio-opsie bygevoeg in ifconfig (8).
  • Veelvuldige programme wat bpf (4) gebruik, is verander om voordeel te trek uit bpf (4) toestelkloning deur open / dev / bpf0 in plaas van om te loop deur / dev / bpf * toestelle. Hierdie programme sluit in arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) en tcpdump (8). Die libpcap-biblioteek is ook dienooreenkomstig gewysig.
  • Sekuriteitsverbeterings:
  • W ^ X word nou as standaard streng toegepas; 'n Program kan dit slegs oortree as die uitvoerbare met PT_OPENBSD_WXNEEDED gemerk is en op 'n lêerstelsel gemonteer is met die opsie vir die berging van die berging (8). Aangesien daar nog te veel hawens is wat W ^ X oortree, word die / usr / local lêersisteem met wxallowed vasgemaak. Dit laat die basisstelsel veiliger wees solank as / usr / local 'n afsonderlike lêerstelsel is. As jy geen W ^ X-oortredingsprogramme gebruik nie, oorweeg dit handmatig om daardie opsie te herroep.
  • Die setjmp (3) familie van funksies pas nou XOR-koekies toe om die waardes van stapel en terugkeer in die jmpbuf op amd64, hppa, i386, mips64 en powerpc te stoor.
  • SROP versagting: Sigreturn (2) kan nou slegs deur die kernspoorstrompolien gebruik word, met 'n koekie om pogings om dit te hergebruik, op te spoor.
  • Om kode hergebruik uitbuiting te voorkom, skakel rc (8) libc.so by opstart en plaas die voorwerpe in 'n ewekansige volgorde.
  • In die getpwnam (3) familie van funksies, stop asb. die skaduwee databasis oop te maak.
  • Laat tcpdump (8) -r toe sonder wortelregte.
  • Verwyder systrace.
  • Verwyder Linux-emuleringsondersteuning.
  • Verwyder ondersteuning vir die usermount opsie.
  • Die TCP SYN-kas herhaal sy willekeurige hash-funksie van tyd tot tyd. Dit verhoed dat 'n aanvaller die verspreiding van die hash-funksie met 'n tydaanval bereken.
  • Om te werk teen SYN oorstromings aanvalle, kan die administrateur die grootte van die hash-array nou verander. netstat (1) -s -p tcp toon die relevante inligting om die SYN-kas te stoor met sysctl (8) net.inet.tcp.
  • Die administrateur kan wortelvoorskrifte benodig om aan sommige TCP- en UDP-poorte te bind met sysctl (8) net.inet.tcp.rootonly en sysctl (8) net.inet.udp.rootonly.
  • Verwyder 'n funksiewyser uit die mbuf (9) datastruktuur en gebruik eerder 'n indeks in 'n verskeidenheid aanvaarbare funksies.
  • Verskeie verbeteringe:
  • Die draadbiblioteek kan nou in 'n enkelgegradeerde proses gelaai word.
  • Verbeterde simbool hantering en nakoming van standaarde in libc. Byvoorbeeld, die definisie van 'n oop () funksie sal nie meer inmeng met die werking van fopen nie (3).
  • PT_TLS-afdelings word nou ondersteun in aanvanklik gelaaide voorwerp.
  • Verbeterde hantering van "geen paaie" en 'leë pad' in fts (3).
  • Gee die funksies pcap_free_datalinks () en pcap_offline_filter () in PCap (3).
  • Baie foute en strukturele opruiming in die editline (3) biblioteek.
  • Verwyder antieke dbm (3) funksies; ndbm (3) bly.
  • Voeg setenv navraag vir meer kragtige omgewingshantering in doas.conf (5).
  • Voeg -g en -p opsies by aucat.1 vir tydposisionering.
  • Omskryf audioctl (1) met 'n eenvoudiger gebruikerskoppelvlak.
  • Voeg -F opsie om te installeer (1) na fsync (2) die lêer voordat dit gesluit word.
  • kdump (1) stort nou pollfd-strukture.
  • Verbeter verskillende besonderhede van ksh (1) POSIX-nakoming.
  • mknod (8) herskryf in 'n pand (2) -vriendelike styl en ondersteun om verskeie toestelle gelyktydig te skep.
  • Implementeer rcctl (8) alles en kry alles.
  • Implementeer die rcs (1) -I (interaktiewe) vlag.
  • In rcs (1), implementeer Mdocdate navraag vervanging.
  • In bo (1), laat prosesargumente toe as dit vertoon word.
  • Bygevoeg UTF-8 ondersteuning om te vou (1) en rev (1).
  • Stel UTF-8 standaard in xterm (1) en pod2man (1).
  • Filter nie-ASCII karakters in muur (1).
  • Hanteer die omgewing-veranderlike COLUMNS konsekwent oor baie programme.
  • Met die opsies -c en -k kan TLS-kliënt sertifikate vir syslogd (8) aan die stuurkant verskaf. Daarmee kan die ontvangs-kant die logboodskappe verifieer, is authentiek. Let daarop dat syslogd nog nie hierdie tjekfunksie het nie.
  • As die klog buffer oorloop, sal syslogd 'n log boodskap skryf om te wys dat sommige inskrywings ontbreek.
  • Op OpenBSD / octeon word die buffering van die CPU-kas geaktiveer om die prestasie te verbeter.
  • pkg_add (1) en pkg_info (1) verstaan ​​nou 'n idee van tak om die keuse van 'n paar gewilde pakkette soos python of php te vergemaklik, bv. sê pkg_add python% 3.4 om die 3.4 tak te kies en gebruik pkg_info -zm om kry 'n fuzzy notering met takke wat geskik is vir pkg_add -l.
  • fdisk (8) en pdisk (8) dadelik verlaat tensy geslaagd vir 'n karakter spesiale toestel
  • st (4) volg die huidige bloktelling korrek vir blokke met veranderlike grootte
  • fsck_ext2fs (8) werk weer
  • Sagte (4) volumes kan saamgestel word met skywe wat 'n sektorgrootte anders as 512 grepe het.
  • dhclient (8) DECLINE's en gooi ongebruikte AANBIEDERS uit.
  • dhclient (8) gaan onmiddellik uit as die koppelvlak (bv. 'n brug (4)) EAFNOSUPPORT teruggee wanneer 'n pakkie gestuur word.
  • httpd (8) gee 400 slegte versoeke vir HTTP v0.9 versoeke.
  • Ffs2 se lui nodusinitialisering vermy die behandeling van willekeurige skyfdata as 'n inode
  • fcntl (2) invokasies in basisprogramme gebruik die idioom fcntl (n, F_GETFL) in plaas van fcntl (n, F_GETFL, 0)
  • socket (2) en accept4 (2) invokasies in basisprogramme gebruik SOCK_NONBLOCK om die behoefte aan 'n afsonderlike fcntl (2) uit te skakel.
  • tmpfs is nie standaard aangeskakel nie
  • Die in-kern-semantiek van belofte (2) is op talle maniere verbeter. Hoogtepunte sluit in: 'n nuwe beloofde belofte wat toegewyde programme toelaat om onbevoegde eienskappe te stel, 'n strenger handhawing van die recvfd-belofte en chroot (2) word nie meer toegelaat vir toegewyde programme nie.
  • 'n Aantal pand (2) -verwante foute (ontbrekende beloftes, onbedoelde veranderinge van gedrag, ineenstortings) is vasgestel, veral in gzip (1), nc (1), sed (1), skeyinit (1), stty (1), en verskeie skyfverwante nuts, soos disklabel (8) en fdisk (8).
  • Berekeningfoute vir blokgrootte in die klankbestuurder (4) is vasgestel.
  • Die usb (4) bestuurder cache nou verskaffers en produk ID's. Regstel 'n probleem waar usbdevs (8) in 'n lus geroep word, sal veroorsaak dat 'n USB-massa berging toestel die bedryf stop.
  • Die rsu (4) en ural (4) bestuurders werk nou weer nadat hulle per ongeluk in 5.9 gebreek het.
  • OpenSMTPD 6.0.0
  • Sekuriteit:
  • Implementeer die vurk + exec-patroon in smtpd (8).
  • Regstel 'n logiese probleem in die SMTP staat masjien wat tot 'n ongeldige toestand kan lei en 'n ongeluk kan veroorsaak.
  • Sluit 'n lêerwyserlek wat kan lei tot die uitputting van hulpbronne en lei tot 'n ongeluk.
  • Gebruik outomatiese DH parameters in plaas van vaste eenhede.
  • Skakel DHE standaard uit omdat dit berekenend duur is en 'n potensiële DoS-vektor.
  • Die volgende verbeteringe is in weergawe 6.2 gebring:
  • Voeg die -r opsie by die smtpd (8) enqueuer vir verenigbaarheid met mailx.
  • Voeg ontbrekende datum of boodskap-ID by wanneer jy op die stuurpoort luister.
  • Fix "smtpctl show queue" verslagdoening "ongeldig" koevert staat.
  • Herwerk die formaat van die "Ontvangen" kop, sodat die TLS deel nie die RFC oortree nie.
  • Verhoog die aantal verbindings waaraan 'n plaaslike adres toegelaat word, en verlaag die vertraging tussen transaksies in dieselfde sessie.
  • Bevestig LMTP-lewering aan bedieners wat die voortsetting van voortsetting lyne terugbring.
  • Verdere verbetering van die nog eksperimentele filter API en maak verskeie verwante kwessies reg.
  • Begin die formaat van log boodskappe te verbeter en te verenig.
  • Maak verskeie dokumentasie verskille en tik in die manbladsye.
  • OpenSSH 7.3
  • Sekuriteit:
  • sshd (8): Vermy 'n moontlike aanval-van-diens aanval teen die stelsel se krip (3) funksie via sshd (8). 'N Aanvaller kan baie lang wagwoorde stuur wat oormatige SVE-gebruik in die grafkrip sou veroorsaak (3). sshd (8) weier nou om wagwoordverifikasie versoeke van langer as 1024 karakters te aanvaar.
  • sshd (8): Verminder tydsbepalingsverskille in wagwoordverifikasie wat gebruik kan word om geldige van ongeldige rekeningname te onderskei wanneer lang wagwoorde gestuur is en spesifieke wagwoordhasningsalgoritmes op die bediener gebruik word. CVE-2016-6210.
  • ssh (1), sshd (8): Bepaal waarneembare tydsberekening swakheid in die CBC padding oracle countermeasures. Let daarop dat CBC-ciphers standaard is afgeskakel en slegs ingesluit word vir nalatenskapskompatibiliteit.
  • ssh (1), sshd (8): Verbeter die bestelling van MAC verifikasie vir die enkripsie-dan-MAC (EtM) modus vervoer-MAC algoritmes om die MAC te verifieer voordat enige ciphertext ontsyfer word. Dit verwyder die moontlikheid van tydsverskille wat feite oor die gewone teks lek, hoewel daar nie so 'n lekkasie is nie.
  • Nuwe / verander eienskappe:
  • ssh (1): Voeg 'n ProxyJump opsie en ooreenstemmende -J command line-vlag toe om vereenvoudigde indireksie deur een of meer SSH bastions of "jump hosts" toe te laat.
  • ssh (1): Voeg 'n IdentityAgent-opsie toe om spesifieke agentkonsepte te spesifiseer in plaas van om een ​​van die omgewing te aanvaar.
  • ssh (1): Laat ExitOnForwardFailure en ClearAllForwardings toe as opsioneel oortree word wanneer u ssh -W gebruik. (BZ # 2577)
  • ssh (1), sshd (8): Implementeer ondersteuning vir die IUTF8 terminale modus soos per konsep-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Ondersteuning vir addisionele vaste Diffie-Hellman 2K, 4K en 8K groepe van draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): ondersteun SHA256 en SHA512 RSA handtekeninge in sertifikate.
  • ssh (1): Voeg 'n richtlijn opneem vir ssh_config (5) lêers.
  • ssh (1): Laat UTF-8 karakters toe in voorverifikasiebande wat vanaf die bediener gestuur word. (BZ # 2058)
  • Die volgende belangrike foute is opgelos in weergawe 6.2:
  • In scp (1) en sftp (1), verhoed dat terminale instellings geskroef word deur die byte te ontsnap wat nie ASCII of UTF-8 karakters vorm nie.
  • ssh (1), sshd (8): Verminder die syslog-vlak van 'n paar relatief algemene protokol gebeure van LOG_CRIT. (BZ # 2585)
  • sshd (8): Refuse AuthenticationMethods = "& quot; in konfigurasies en aanvaar AuthenticationMethods = enige vir die verstekgedrag wat nie meer verifikasie vereis nie. (BZ # 2398)
  • sshd (8): Verwyder verouderde en misleidende "MOONTLIKE BREAK-IN ATTEMPT!" boodskap wanneer vorentoe en omgekeerde DNS nie ooreenstem nie. (BZ # 2585)
  • ssh (1): Sluit ControlPersist agtergrond proses stderr behalwe in debug modus of wanneer u aanteken by syslog. (BZ # 1988)
  • misc: Maak PROTOCOL beskrywing vir direct-streamlocal@openssh.com kanaal oop boodskappe ooreenstem met ontplooide kode. (BZ # 2529)
  • ssh (1): Ontleed LocalForward en RemoteForward-inskrywings om foute op te los wanneer beide ExitOnForwardFailure en hostname canonicalization aangeskakel is. (BZ # 2562)
  • sshd (8): Verwyder terugval van moduli na verouderde "primes" lêer wat in 2001 afgeneem is. (bz # 2559)
  • sshd_config (5): Korrekte beskrywing van UseDNS: dit beïnvloed ssh hostname verwerking vir authorized_keys, not known_hosts. (BZ # 2554)
  • ssh (1): Bevestig verifikasie met behulp van enkel sertifikaat sleutels in 'n agent sonder ooreenstemmende privaat sleutels op die lêerstelsel. (BZ # 2550)
  • sshd (8): Stuur ClientAliveInterval pings wanneer 'n tydgebaseerde RekeyLimit ingestel is; Voorheen houerpakke is nie gestuur nie. (BZ # 2252)
  • OpenNTPD 6.0
  • Wanneer 'n enkele 'beperking' is gespesifiseer, probeer alle terugbesorgde adresse totdat een suksesvol is, eerder as die eerste adres wat u teruggestuur het.
  • Ontspan die beperkingsfoutmarge om eweredig te wees aan die aantal NTP-eweknieë, vermy konstante heraansluitings wanneer daar 'n slegte NTP-eweknie is.
  • Verwyder gestremde hotplug (4) sensor ondersteuning.
  • Bygevoeg ondersteuning vir die opsporing van ineenstortings in beperkte subprosesse.
  • Die uitvoering van beperkinge van die ntp-proses na die ouerproses verskuif, wat voorsiening maak vir beter voorregskeiding omdat die ntp-proses verder beperk kan word.
  • Vaste hoë CPU gebruik wanneer die netwerk af is.
  • Vaste verskillende geheue lekkasies.
  • Geskakel na RMS vir jitterberekeninge.
  • Unified logging funksies met ander OpenBSD basis programme.
  • Stel MOD_MAXERROR om ongesiene tydstatus te voorkom wanneer u ntp_adjtime gebruik.
  • Vaste HTTP-tydskrifkopkopering ontleding om strptime (3) op 'n meer draagbare manier te gebruik.
  • Verharde TLS vir ntpd (8) beperkinge, wat die verifikasie van bedienernaam moontlik maak.
  • LibreSSL 2.4.2
  • Gebruiker-sigbare eienskappe:
  • Vaste gebroke manpagings skakels in die installasie teiken.
  • cert.pem is herorganiseer en gesinkroniseer met Mozilla se sertifikaatwinkel.
  • Betroubaarheid herstel, regstel 'n fout wanneer sekere ASN.1-elemente meer as 16k in parsering ontleed word.
  • Implementeer die IETF ChaCha20-Poly1305-kode.
  • Vaste wagwoord vra van openssl (1) om behoorlik ^ C te hanteer.
  • Kodeverbeterings:
  • Bevestig 'n nginx-verenigbaarheid probleem deur 'n 'install_sw' bou doel te voeg
  • Verander standaard EVP_aead_chacha20_poly1305 (3) implementering na die IETF-weergawe, wat nou die standaard is.
  • Gereedelde fouthantering in libtls sodat konfigurefoute meer sigbaar is.
  • Toegang tot ontbrekende fouthantering rondom bn_wexpand (3) oproepe.
  • Add explicit_bzero (3) vereis vrygestelde ASN.1 voorwerpe.
  • Vaste X509_ * set_object funksies om 0 op toekenningsfout terug te gee.
  • Deprecated intern gebruik van EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Bevestig 'n probleem wat voorkom dat die DSA-teken algoritme in konstante tyd loop, selfs al is die vlag BN_FLG_CONSTTIME ingestel.
  • Vaste probleme in die OCSP-kode opgelos wat kan lei tot die foutiewe opwekking en ontleding van OCSP-versoeke. Dit remedieer 'n gebrek aan fout kontrole op tyd parsering in hierdie funksies, en verseker dat slegs ALGEMENE TYDSKRIF formate vir OCSP aanvaar word, soos per RFC 6960.
  • Die volgende CVE's is opgelos:
  • CVE-2016-2105-EVP_EncodeUpdate oorloop.
  • CVE-2016-2106-EVP_EncryptUpdate oorloop.
  • CVE-2016-2107-padding-orakel in AES-NI CBC MAC-kontrole.
  • CVE-2016-2108-geheue-korrupsie in die ASN.1-encoder.
  • CVE-2016-2109-ASN.1 BIO oormatige geheue toekenning.
  • Poorte en pakkette:
  • Nuwe proot (1) instrument in die hawensboom vir die bou van pakkette in 'n chroot.
  • Baie vooraf geboude pakkette vir elke argitektuur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Enkele hoogtepunte:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 en 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gaan 1.6.3
  • Groff 1.22.3
  • JDK 7u80 en 8u72
  • KDE 3.5.10 en 4.14.3 (plus kern opdaterings van KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 en 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr en 47.0.1
  • Mozilla Thunder Bird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 en 2.4.44
  • PHP 5.5.37, 5.6.23 en 7.0.8
  • Postfix 3.1.1 en 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 en 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 en 2.3.1
  • Rust 1.9.0-20160608
  • Stuur Pos 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 en 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Soos gewoonlik, bestendige verbeteringe in handleidingbladsye en ander dokumentasie.
  • Die stelsel sluit die volgende hoofkomponente van eksterne verskaffers in:
  • Xenocara (gebaseer op X.Org 7.7 met XServer 1.18.3 + kolle, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322 xkeyboard-config 2.18 en meer)
  • GCC 4.2.1 (+ kolle) en 3.3.6 (+ kolle)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Onbevoegd 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ kolle)
  • Gdb 6.3 (+ patches)
  • Awk Aug 10, 2011 weergawe
  • Expat 2.1.1

Wat is nuut in weergawe 6.1:

  • Nuwe / uitgebreide platforms:
  • ARMv7:
  • EFI selflaaiprogram bygevoeg, pitte word nou gelaai vanaf FFS in plaas van FAT of EXT lêersisteme, sonder U-Boot headers.
  • 'n Enkele kern en ramdisk word nou vir alle SoCs gebruik.
  • Hardeware word dinamies opgesom via 'n afgeplatte toestelboom (FDT) in plaas van via statiese tabelle gebaseer op kaart ID-nommers.
  • Miniroot installeerder beelde sluit U-Boot 2016.07 met ondersteuning vir EFI payloads.
  • Vax:
  • verwyder.
  • Verbeterde hardeware ondersteuning, insluitend:
  • Nuwe bytgpio (4) bestuurder vir die Intel Bay-roete GPIO-kontroleerder.
  • Nuwe chvgpio (4) bestuurder vir die Intel Cherry View GPIO kontroleerder.
  • Nuwe maxrtc (4) bestuurder vir die Real Time Clock Maxim DS1307.
  • Nuwe nvme (4) -bestuurder vir die nie-volatiele geheue-ekspressiewe (NVMe) -beheerderkoppelvlak.
  • Nuwe pcfrtc (4) bestuurder vir die NXP PCF8523 real time clock.
  • Nuwe umb (4) bestuurder vir die Mobile Broadband Interface Model (MBIM).
  • Nuwe ure (4) bestuurder vir RealTek RTL8152 gebaseer 10/100 USB Ethernet-toestelle.
  • Nuwe UDVFU (4) bestuurder vir klank- / video-opname toestelle gebaseer op die Fushicai USBTV007.
  • Die iwm (4) bestuurder ondersteun nou Intel Wireless 3165 en 8260 toestelle, en werk betroubaarder in RAMDISK kernels.
  • Ondersteuning vir I2C HID-toestelle met GPIO-gesignaleerde onderbrekings is bygevoeg aan dwiic (4).
  • Ondersteuning vir groter buswydtes, hoë spoedmodusse en DMA-oordragte is by sdmmc (4), rtsx (4), sdhc (4) en imxesdhc (4) gevoeg.
  • Ondersteuning vir EHCI- en OHCI-voldoenende USB-beheerders op Octeon II SoCs.
  • Baie USB-toestelbestuurders is geaktiveer op OpenBSD / octeon.
  • Verbeterde ondersteuning vir hardeware-verminderde ACPI implementasies.
  • Verbeterde ondersteuning vir implementering van ACPI 5.0.
  • AES-NI-kripto is nou gedoen sonder om die kernslot te hou.
  • Verbeterde AGP-ondersteuning op PowerPC G5-masjiene.
  • Bygevoeg ondersteuning vir die SD kaart slot in Intel Bay Trail SoCs.
  • Die bestuurder van ichiic (4) ignoreer nou die SMBALERT # onderbreking om 'n onderbrekende storm met buggy BIOS implementerings te voorkom.
  • Toestelprobleme met die byl (4) bestuurder is opgelos.
  • Die ral (4) bestuurder is stabieler onder laai met RT2860 toestelle.
  • Probleme met dooie sleutelborde na hervat is vasgestel in die pckbd (4) bestuurder.
  • Die rtsx (4) bestuurder ondersteun nou RTS522A toestelle.
  • Aanvanklike ondersteuning vir MSI-X is bygevoeg.
  • Ondersteun MSI-X in die virtio (4) bestuurder.
  • Het 'n oplossing vir hardeware-DMA-oorskryding by die dc (4) bestuurder bygevoeg.
  • Die ACPI (4) bestuurder spoel nou die waaier na afkoeling as ACPI histeres gebruik vir aktiewe verkoeling.
  • Die xhci (4) bestuurder voer nou 'n korrekte weergawe uit van 'n xHCI-geskikte BIOS.
  • Ondersteuning vir multi-touch-invoer is by die wsmouse (4) -bestuurder gevoeg.
  • Die uslcom (4) bestuurder ondersteun nou die seriële konsole van Aruba 7xxx wireless controllers.
  • Die re (4) bestuurder werk nou om gebroke LED-konfigurasies in APU1 EEPROMs.
  • Die ehci (4) bestuurder werk nou probleme met ATI USB-beheerders (bv. SB700).
  • Die xen (4) bestuurder ondersteun nou die domU-konfigurasie onder Qubes OS.
  • IEEE 802.11 wireless stapel verbeterings:
  • Die HT blok akk ontvang buffer logika volg die algoritme wat in die 802.11-2012 spesifikasie spesifikasie gegee word.
  • Die iwn (4) bestuurder hou nou toesig oor HT-beskermingsveranderinge terwyl dit geassosieer word met 'n 11n AP.
  • Die draadlose stapel en verskeie bestuurders maak meer aggressiewe gebruik van RTS / CTS om inmenging van ouer toestelle en verborge nodes te voorkom.
  • Die netstat (1) -W opdrag gee nou inligting oor 802.11n gebeurtenisse.
  • Moenie verenigings-ID's van nodusse wat nog in die kas is, hergebruik in die gasheermodus nie. Bevestig 'n probleem waar 'n toegangspunt met die ral (4) bestuurder by 1 Mbps vasgehou word, aangesien Tx-tariefrekeningkunde op die verkeerde nodobestand plaasgevind het.
  • Generiese verbetering van netwerkstapel:
  • Die roetentabel is nou gebaseer op ART wat 'n vinniger opzoeking bied.
  • Die aantal roete-opsoeke per pakkie is verminder tot 1 in die deurstuurpad.
  • Die prio-veld op VLAN-hoofde is nou korrek ingestel op elke fragment van 'n IPv4-pakket wat op 'n vlan (4) koppelvlak gaan.
  • Geaktiveerde toestel kloning vir bpf (4). Dit stel die stelsel in staat om net een bpf-toestelnodus in / dev te hê wat alle bpf-verbruikers bedien (tot 1024).
  • Die Tx-ry van die bestuurder van die cnmac (4) kan nou parallel van die res van die kern verwerk word.
  • Netwerkinvoerpad word nou in die konteks van die draad uitgevoer.
  • Installeerderverbeterings:
  • Opgedateerde lys van beperkte gebruikers codes
  • installeer.sh en upgrade.sh saamgesmelt in install.sub
  • Opdateer outomaties sysmerge (8) in batch modus voor fw_update (1)
  • vrae en antwoorde word aangeteken in 'n formaat wat as 'n reaksie lêer gebruik kan word vir gebruik deur autoinstall (8)
  • / usr / local word ingestel tydens die installasie
  • Routing Daemons en ander verbeteringe van gebruikersland netwerk:
  • Voeg routing tabel ondersteuning by rc.d (8) en rcctl (8).
  • Laat nc (1) ondersteuningsdiensname bykomend tot poortnommers.
  • Voeg -M en -m TTL-vlae by nc (1).
  • Voeg AF_UNIX-ondersteuning by tcpbench (1).
  • Vaste regressie in rarpd (8). Die daemon kan hang as dit lankal onaktief was.
  • Het die llprio-opsie bygevoeg in ifconfig (8).
  • Veelvuldige programme wat bpf (4) gebruik, is verander om voordeel te trek uit bpf (4) toestelkloning deur open / dev / bpf0 in plaas van om te loop deur / dev / bpf * toestelle. Hierdie programme sluit in arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) en tcpdump (8). Die libpcap-biblioteek is ook dienooreenkomstig gewysig.
  • Sekuriteitsverbeterings:
  • W ^ X word nou as standaard streng toegepas; 'n Program kan dit slegs oortree as die uitvoerbare met PT_OPENBSD_WXNEEDED gemerk is en op 'n lêerstelsel gemonteer is met die opsie vir die berging van die berging (8). Aangesien daar nog te veel hawens is wat W ^ X oortree, word die / usr / local lêersisteem met wxallowed vasgemaak. Dit laat die basisstelsel veiliger wees solank as / usr / local 'n afsonderlike lêerstelsel is. As jy geen W ^ X-oortredingsprogramme gebruik nie, oorweeg dit handmatig om daardie opsie te herroep.
  • Die setjmp (3) familie van funksies pas nou XOR-koekies toe om die waardes van stapel en terugkeer in die jmpbuf op amd64, hppa, i386, mips64 en powerpc te stoor.
  • SROP versagting: Sigreturn (2) kan nou slegs deur die kernspoorstrompolien gebruik word, met 'n koekie om pogings om dit te hergebruik, op te spoor.
  • Om kode hergebruik uitbuiting te voorkom, skakel rc (8) libc.so by opstart en plaas die voorwerpe in 'n ewekansige volgorde.
  • In die getpwnam (3) familie van funksies, stop asb. die skaduwee databasis oop te maak.
  • Laat tcpdump (8) -r toe sonder wortelregte.
  • Verwyder systrace.
  • Verwyder Linux-emuleringsondersteuning.
  • Verwyder ondersteuning vir die usermount opsie.
  • Die TCP SYN-kas herhaal sy willekeurige hash-funksie van tyd tot tyd. Dit verhoed dat 'n aanvaller die verspreiding van die hash-funksie met 'n tydaanval bereken.
  • Om te werk teen SYN oorstromings aanvalle, kan die administrateur die grootte van die hash-array nou verander. netstat (1) -s -p tcp toon die relevante inligting om die SYN-kas te stoor met sysctl (8) net.inet.tcp.
  • Die administrateur kan wortelvoorskrifte benodig om aan sommige TCP- en UDP-poorte te bind met sysctl (8) net.inet.tcp.rootonly en sysctl (8) net.inet.udp.rootonly.
  • Verwyder 'n funksiewyser uit die mbuf (9) datastruktuur en gebruik eerder 'n indeks in 'n verskeidenheid aanvaarbare funksies.
  • Verskeie verbeteringe:
  • Die draadbiblioteek kan nou in 'n enkelgegradeerde proses gelaai word.
  • Verbeterde simbool hantering en nakoming van standaarde in libc. Byvoorbeeld, die definisie van 'n oop () funksie sal nie meer inmeng met die werking van fopen nie (3).
  • PT_TLS-afdelings word nou ondersteun in aanvanklik gelaaide voorwerp.
  • Verbeterde hantering van "geen paaie" en "leë pad" in fts (3).
  • Gee die funksies pcap_free_datalinks () en pcap_offline_filter () in PCap (3).
  • Baie foute en strukturele opruiming in die editline (3) biblioteek.
  • Verwyder antieke dbm (3) funksies; ndbm (3) bly.
  • Voeg setenv navraag vir meer kragtige omgewingshantering in doas.conf (5).
  • Voeg -g en -p opsies by aucat.1 vir tydposisionering.
  • Omskryf audioctl (1) met 'n eenvoudiger gebruikerskoppelvlak.
  • Voeg -F opsie om te installeer (1) na fsync (2) die lêer voordat dit gesluit word.
  • kdump (1) stort nou pollfd-strukture.
  • Verbeter verskillende besonderhede van ksh (1) POSIX-nakoming.
  • mknod (8) herskryf in 'n pand (2) -vriendelike styl en ondersteun om verskeie toestelle gelyktydig te skep.
  • Implementeer rcctl (8) alles en kry alles.
  • Implementeer die rcs (1) -I (interaktiewe) vlag.
  • In rcs (1), implementeer Mdocdate navraag vervanging.
  • In bo (1), laat prosesargumente toe as dit vertoon word.
  • Bygevoeg UTF-8 ondersteuning om te vou (1) en rev (1).
  • Stel UTF-8 standaard in xterm (1) en pod2man (1).
  • Filter nie-ASCII karakters in muur (1).
  • Hanteer die omgewing-veranderlike COLUMNS konsekwent oor baie programme.
  • Met die opsies -c en -k kan TLS-kliënt sertifikate vir syslogd (8) aan die stuurkant verskaf. Daarmee kan die ontvangs-kant die logboodskappe verifieer, is authentiek. Let daarop dat syslogd nog nie hierdie tjekfunksie het nie.
  • As die klog buffer oorloop, sal syslogd 'n log boodskap skryf om te wys dat sommige inskrywings ontbreek.
  • Op OpenBSD / octeon word die buffering van die CPU-kas geaktiveer om die prestasie te verbeter.
  • pkg_add (1) en pkg_info (1) verstaan ​​nou 'n idee van tak om die keuse van 'n paar gewilde pakkette soos python of php te vergemaklik, bv. sê pkg_add python% 3.4 om die 3.4 tak te kies en gebruik pkg_info -zm om kry 'n fuzzy notering met takke wat geskik is vir pkg_add -l.
  • fdisk (8) en pdisk (8) dadelik verlaat tensy geslaagd vir 'n karakter spesiale toestel
  • st (4) volg die huidige bloktelling korrek vir blokke met veranderlike grootte
  • fsck_ext2fs (8) werk weer
  • Sagte (4) volumes kan saamgestel word met skywe wat 'n sektorgrootte anders as 512 grepe het.
  • dhclient (8) DECLINE's en gooi ongebruikte AANBIEDERS uit.
  • dhclient (8) gaan onmiddellik uit as die koppelvlak (bv. 'n brug (4)) EAFNOSUPPORT teruggee wanneer 'n pakkie gestuur word.
  • httpd (8) gee 400 slegte versoeke vir HTTP v0.9 versoeke.
  • Ffs2 se lui nodusinitialisering vermy die behandeling van willekeurige skyfdata as 'n inode
  • fcntl (2) invokasies in basisprogramme gebruik die idioom fcntl (n, F_GETFL) in plaas van fcntl (n, F_GETFL, 0)
  • socket (2) en accept4 (2) invokasies in basisprogramme gebruik SOCK_NONBLOCK om die behoefte aan 'n afsonderlike fcntl (2) uit te skakel.
  • tmpfs is nie standaard aangeskakel nie
  • Die in-kern-semantiek van belofte (2) is op talle maniere verbeter. Hoogtepunte sluit in: 'n nuwe beloofde belofte wat toegewyde programme toelaat om onbevoegde eienskappe te stel, 'n strenger handhawing van die recvfd-belofte en chroot (2) word nie meer toegelaat vir toegewyde programme nie.
  • 'n Aantal pand (2) -verwante foute (ontbrekende beloftes, onbedoelde veranderinge van gedrag, ineenstortings) is vasgestel, veral in gzip (1), nc (1), sed (1), skeyinit (1), stty (1), en verskeie skyfverwante nuts, soos disklabel (8) en fdisk (8).
  • Berekeningfoute vir blokgrootte in die klankbestuurder (4) is vasgestel.
  • Die usb (4) bestuurder cache nou verskaffers en produk ID's. Regstel 'n probleem waar usbdevs (8) in 'n lus geroep word, sal veroorsaak dat 'n USB-massa berging toestel die bedryf stop.
  • Die rsu (4) en ural (4) bestuurders werk nou weer nadat hulle per ongeluk in 5.9 gebreek het.
  • OpenSMTPD 6.0.0
  • Sekuriteit:
  • Implementeer die vurk + exec-patroon in smtpd (8).
  • Regstel 'n logiese probleem in die SMTP staat masjien wat tot 'n ongeldige toestand kan lei en 'n ongeluk kan veroorsaak.
  • Sluit 'n lêerwyserlek wat kan lei tot die uitputting van hulpbronne en lei tot 'n ongeluk.
  • Gebruik outomatiese DH parameters in plaas van vaste eenhede.
  • Skakel DHE standaard uit omdat dit berekenend duur is en 'n potensiële DoS-vektor.
  • Die volgende verbeteringe is in weergawe 6.1 gebring:
  • Voeg die -r opsie by die smtpd (8) enqueuer vir verenigbaarheid met mailx.
  • Voeg ontbrekende datum of boodskap-ID by wanneer jy op die stuurpoort luister.
  • Fix "smtpctl show queue" verslaggewing "ongeldige" koevertstatus.
  • Herwerk die formaat van die "Ontvangste" kop, sodat die TLS deel nie die RFC oortree nie.
  • Verhoog die aantal verbindings waaraan 'n plaaslike adres toegelaat word, en verlaag die vertraging tussen transaksies in dieselfde sessie.
  • Bevestig LMTP-lewering aan bedieners wat die voortsetting van voortsetting lyne terugbring.
  • Verdere verbetering van die nog eksperimentele filter API en maak verskeie verwante kwessies reg.
  • Begin die formaat van log boodskappe te verbeter en te verenig.
  • Maak verskeie dokumentasie verskille en tik in die manbladsye.
  • OpenSSH 7.3
  • Sekuriteit:
  • sshd (8): Vermy 'n moontlike aanval-van-diens aanval teen die stelsel se krip (3) funksie via sshd (8). 'N Aanvaller kan baie lang wagwoorde stuur wat oormatige SVE-gebruik in die grafkrip sou veroorsaak (3). sshd (8) weier nou om wagwoordverifikasie versoeke van langer as 1024 karakters te aanvaar.
  • sshd (8): Verminder tydsbepalingsverskille in wagwoordverifikasie wat gebruik kan word om geldige van ongeldige rekeningname te onderskei wanneer lang wagwoorde gestuur is en spesifieke wagwoordhasningsalgoritmes op die bediener gebruik word. CVE-2016-6210.
  • ssh (1), sshd (8): Bepaal waarneembare tydsberekening swakheid in die CBC padding oracle countermeasures. Let daarop dat CBC-ciphers standaard is afgeskakel en slegs ingesluit word vir nalatenskapskompatibiliteit.
  • ssh (1), sshd (8): Verbeter die bestelling van MAC verifikasie vir die enkripsie-dan-MAC (EtM) modus vervoer-MAC algoritmes om die MAC te verifieer voordat enige ciphertext ontsyfer word. Dit verwyder die moontlikheid van tydsverskille wat feite oor die gewone teks lek, hoewel daar nie so 'n lekkasie is nie.
  • Nuwe / verander eienskappe:
  • ssh (1): Voeg 'n ProxyJump opsie en ooreenstemmende -J command line-vlag toe om vereenvoudigde indireksie deur een of meer SSH-bastions of "jump hosts" toe te laat.
  • ssh (1): Voeg 'n IdentityAgent-opsie toe om spesifieke agentkonsepte te spesifiseer in plaas van om een ​​van die omgewing te aanvaar.
  • ssh (1): Laat ExitOnForwardFailure en ClearAllForwardings toe as opsioneel oortree word wanneer u ssh -W gebruik. (BZ # 2577)
  • ssh (1), sshd (8): Implementeer ondersteuning vir die IUTF8 terminale modus soos per konsep-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Ondersteuning vir addisionele vaste Diffie-Hellman 2K, 4K en 8K groepe van draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): ondersteun SHA256 en SHA512 RSA handtekeninge in sertifikate.
  • ssh (1): Voeg 'n richtlijn opneem vir ssh_config (5) lêers.
  • ssh (1): Laat UTF-8 karakters toe in voorverifikasiebande wat vanaf die bediener gestuur word. (BZ # 2058)
  • Die volgende belangrike foute is opgelos in weergawe 6.1:
  • In scp (1) en sftp (1), verhoed dat terminale instellings geskroef word deur die byte te ontsnap wat nie ASCII of UTF-8 karakters vorm nie.
  • ssh (1), sshd (8): Verminder die syslog-vlak van 'n paar relatief algemene protokol gebeure van LOG_CRIT. (BZ # 2585)
  • sshd (8): Vee AuthenticationMethods = "" in konfigurasies en aanvaar AuthenticationMethods = enige vir die verstekgedrag wat nie meer verifikasie vereis nie. (BZ # 2398)
  • sshd (8): Verwyder verouderde en misleidende "MOONTLIKE BREAK-IN ATTEMPT!" boodskap wanneer vorentoe en omgekeerde DNS nie ooreenstem nie. (BZ # 2585)
  • ssh (1): Sluit ControlPersist agtergrond proses stderr behalwe in debug modus of wanneer u aanteken by syslog. (BZ # 1988)
  • misc: Maak PROTOCOL beskrywing vir direct-streamlocal@openssh.com kanaal oop boodskappe ooreenstem met ontplooide kode. (BZ # 2529)
  • ssh (1): Ontleed LocalForward en RemoteForward-inskrywings om foute op te los wanneer beide ExitOnForwardFailure en hostname canonicalization aangeskakel is. (BZ # 2562)
  • sshd (8): Verwyder terugval van moduli na verouderde "primes" -lêer wat in 2001 verval is. (bz # 2559)
  • sshd_config (5): Korrekte beskrywing van UseDNS: dit beïnvloed ssh hostname verwerking vir authorized_keys, not known_hosts. (BZ # 2554)
  • ssh (1): Bevestig verifikasie met behulp van enkel sertifikaat sleutels in 'n agent sonder ooreenstemmende privaat sleutels op die lêerstelsel. (BZ # 2550)
  • sshd (8): Stuur ClientAliveInterval pings wanneer 'n tydgebaseerde RekeyLimit ingestel is; Voorheen houerpakke is nie gestuur nie. (BZ # 2252)
  • OpenNTPD 6.0
  • As 'n enkele beperking gespesifiseer is, probeer al die terugbesorgde adresse totdat een suksesvol is, eerder as die eerste terugbesorgde adres.
  • Ontspan die beperkingsfoutmarge om eweredig te wees aan die aantal NTP-eweknieë, vermy konstante heraansluitings wanneer daar 'n slegte NTP-eweknie is.
  • Verwyder gestremde hotplug (4) sensor ondersteuning.
  • Bygevoeg ondersteuning vir die opsporing van ineenstortings in beperkte subprosesse.
  • Die uitvoering van beperkinge van die ntp-proses na die ouerproses verskuif, wat voorsiening maak vir beter voorregskeiding omdat die ntp-proses verder beperk kan word.
  • Vaste hoë CPU gebruik wanneer die netwerk af is.
  • Vaste verskillende geheue lekkasies.
  • Geskakel na RMS vir jitterberekeninge.
  • Unified logging funksies met ander OpenBSD basis programme.
  • Stel MOD_MAXERROR om ongesiene tydstatus te voorkom wanneer u ntp_adjtime gebruik.
  • Vaste HTTP-tydskrifkopkopering ontleding om strptime (3) op 'n meer draagbare manier te gebruik.
  • Verharde TLS vir ntpd (8) beperkinge, wat die verifikasie van bedienernaam moontlik maak.
  • LibreSSL 2.4.2
  • Gebruiker-sigbare eienskappe:
  • Vaste gebroke manpagings skakels in die installasie teiken.
  • cert.pem is herorganiseer en gesinkroniseer met Mozilla se sertifikaatwinkel.
  • Betroubaarheid herstel, regstel 'n fout wanneer sekere ASN.1-elemente meer as 16k in parsering ontleed word.
  • Implementeer die IETF ChaCha20-Poly1305-kode.
  • Vaste wagwoord vra van openssl (1) om behoorlik ^ C te hanteer.
  • Kodeverbeterings:
  • Bevestig 'n nginx-verenigbaarheid probleem deur 'n 'install_sw' bou doel te voeg
  • Verander standaard EVP_aead_chacha20_poly1305 (3) implementering na die IETF-weergawe, wat nou die standaard is.
  • Gereedelde fouthantering in libtls sodat konfigurefoute meer sigbaar is.
  • Toegang tot ontbrekende fouthantering rondom bn_wexpand (3) oproepe.
  • Add explicit_bzero (3) vereis vrygestelde ASN.1 voorwerpe.
  • Vaste X509_ * set_object funksies om 0 op toekenningsfout terug te gee.
  • Deprecated intern gebruik van EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Bevestig 'n probleem wat voorkom dat die DSA-teken algoritme in konstante tyd loop, selfs al is die vlag BN_FLG_CONSTTIME ingestel.
  • Vaste probleme in die OCSP-kode opgelos wat kan lei tot die foutiewe opwekking en ontleding van OCSP-versoeke. Dit remedieer 'n gebrek aan fout kontrole op tyd parsering in hierdie funksies, en verseker dat slegs ALGEMENE TYDSKRIF formate vir OCSP aanvaar word, soos per RFC 6960.
  • Die volgende CVE's is opgelos:
  • CVE-2016-2105-EVP_EncodeUpdate oorloop.
  • CVE-2016-2106-EVP_EncryptUpdate oorloop.
  • CVE-2016-2107-padding-orakel in AES-NI CBC MAC-kontrole.
  • CVE-2016-2108-geheue-korrupsie in die ASN.1-encoder.
  • CVE-2016-2109-ASN.1 BIO oormatige geheue toekenning.
  • Poorte en pakkette:
  • Nuwe proot (1) instrument in die hawensboom vir die bou van pakkette in 'n chroot.
  • Baie vooraf geboude pakkette vir elke argitektuur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Enkele hoogtepunte:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 en 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gaan 1.6.3
  • Groff 1.22.3
  • JDK 7u80 en 8u72
  • KDE 3.5.10 en 4.14.3 (plus kern opdaterings van KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 en 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr en 47.0.1
  • Mozilla Thunder Bird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 en 2.4.44
  • PHP 5.5.37, 5.6.23 en 7.0.8
  • Postfix 3.1.1 en 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 en 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 en 2.3.1
  • Rust 1.9.0-20160608
  • Stuur Pos 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 en 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Soos gewoonlik, bestendige verbeteringe in handleidingbladsye en ander dokumentasie.
  • Die stelsel sluit die volgende hoofkomponente van eksterne verskaffers in:
  • Xenocara (gebaseer op X.Org 7.7 met xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 en meer)
  • GCC 4.2.1 (+ kolle) en 3.3.6 (+ kolle)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Onbevoegd 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ kolle)
  • Gdb 6.3 (+ patches)
  • Awk Aug 10, 2011 weergawe
  • Expat 2.1.1

Soortgelyke sagteware

LiveCD-OpenBSD
LiveCD-OpenBSD

19 Feb 15

Moto-Mytouch 4G
Moto-Mytouch 4G

14 Apr 15

LightBSD
LightBSD

20 Feb 15

VirtualBSD
VirtualBSD

15 Apr 15

Kommentaar te OpenBSD

Kommentaar nie gevind
Kommentaar te lewer
Draai op die foto!