OpenBSD

Software screenshot:
OpenBSD
Dettagli del software:
Versione: 6.3 Aggiornato
Data di caricamento: 17 Aug 18
Sviluppatore: OpenBSD Team
Licenza: Libero
Popolarità: 177

Rating: 4.0/5 (Total Votes: 1)

OpenBSD è un progetto gratuito che offre un sistema operativo multi-piattaforma simile a UNIX che è portatile, efficiente, sicuro e basato sulla piattaforma 4.4BSD. È un potente prodotto server utilizzato su centinaia di migliaia di computer in tutto il mondo.


Disponibilità, opzioni di avvio, piattaforme supportate

Il sistema operativo è liberamente disponibile per il download dalla sezione dedicata (vedi sopra) come immagini ISO o pacchetti binari che consentono agli utenti di installarlo sulla rete. Le immagini ISO possono essere masterizzate su dischi CD, avviabili direttamente dal BIOS della maggior parte dei PC.

OpenBSD supporta l'emulazione binaria della maggior parte dei programmi da SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS e HP-UX. Può essere installato su una vasta gamma di architetture, inclusi i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 e mips64el.

L'immagine del CD si avvia automaticamente senza l'interazione dell'utente e chiederà loro se desiderano installare, aggiornare o installare automaticamente il sistema operativo, nonché di passare al prompt della shell.

Installazione manuale o automatica

Un'installazione standard (leggi: manuale) richiederà agli utenti di scegliere un layout di tastiera, impostare il nome host, scegliere un'interfaccia di rete e configurarlo con IPv4 e / o IPv6, nonché impostare una nuova password per la root ( account di sistema).

Inoltre, è possibile scegliere di avviare i servizi SSH e NTP all'avvio del sistema, scegliere se si desidera utilizzare X Window System o meno, configurare un utente, scegliere un fuso orario, partizionare l'unità disco e installare i set .

Tra i pacchetti software inclusi per OpenBSD, possiamo menzionare gli ambienti desktop GNOME, KDE e Xfce, i server MySQL, PostgreSQL, Postfix e OpenLDAP, le applicazioni Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim e Chromium, così come i linguaggi di programmazione PHP, Python, Ruby, Tcl / Tk, JDK, Mono e Go.


Linea di fondo

Riassumendo, OpenBSD è un potente e acclamato sistema operativo BSD / UNIX orientato al server che ci fornisce software all'avanguardia, tra cui OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED e mandoc.

Novità in questa versione:

  • Supporto hardware migliorato, incluso:
  • Supporto SMP su piattaforme OpenBSD / arm64.
  • Supporto VFP e NEON su piattaforme OpenBSD / armv7.
  • Nuovo driver acrtc (4) per codec audio X-Powers AC100 e Real Time Clock.
  • Nuovo driver axppmic (4) per i circuiti integrati di gestione dell'alimentazione AXP X-Powers.
  • Nuovo driver bcmrng (4) per Broadcom BCM2835 / BCM2836 / BCM2837 generatore di numeri casuali.
  • Nuovo driver bcmtemp (4) per monitor di temperatura Broadcom BCM2835 / BCM2836 / BCM2837.
  • Nuovo driver bgw (4) per il sensore di movimento Bosch.
  • Nuovo driver bwfm (4) per dispositivi Broadcom e Cypress FullMAC 802.11 (ancora sperimentali e non compilati nel kernel per impostazione predefinita)
  • Nuovo driver efi (4) per i servizi di runtime EFI.
  • Nuovo driver imxanatop (4) per il regolatore integrato i.MX6.
  • Nuovo driver rkpcie (4) per bridge Hostch / PCIe Rockchip RK3399.
  • Nuovo driver sxirsb (4) per il controller del bus seriale ridotto Allwinner.
  • Nuovo driver sxitemp (4) per il monitor della temperatura Allwinner.
  • Nuovo driver sxits (4) per sensore di temperatura sul controller touchpad Allwinner A10 / A20.
  • Nuovo driver sxitwi (4) per bus a due fili trovato su diversi SoC Allwinner.
  • Nuovo driver sypwr (4) per il regolatore Silergy SY8106A.
  • Il supporto per i SoC Rockchip RK3328 è stato aggiunto ai driver dwge (4), rkgrf (4), rkclock (4) e rkpinctrl (4).
  • Il supporto per Rockchip RK3288 / RK3328 SoC è stato aggiunto al driver rktemp (4).
  • Il supporto per Allwinner A10 / A20, A23 / A33, A80 e R40 / V40 SoC è stato aggiunto al driver sxiccmu (4).
  • Il supporto per i SoC Allwinner A33, GR8 e R40 / V40 è stato aggiunto al driver sxipio (4).
  • Il supporto per SAS3.5 MegaRAIDs è stato aggiunto al driver mfii (4).
  • Il supporto per Ethernet integrata Intel Cannon Lake e Ice Lake è stato aggiunto al driver em (4).
  • cnmac (4) le porte sono ora assegnate a diversi core della CPU per l'elaborazione degli interrupt distribuiti.
  • Il driver pms (4) ora rileva e gestisce gli annunci di ripristino.
  • Su amd64 il microcodice CPU Intel viene caricato all'avvio e installato / aggiornato da fw_update (1).
  • Supporta l'API del cookie di interrupt hypervisor sun4v, aggiungendo il supporto per le macchine SPARC T7-1 / 2/4.
  • È stato aggiunto il supporto per l'ibernazione per la memoria SD / MMC collegata ai controller sdhc (4).
  • clang (1) è ora usato come compilatore di sistema su armv7, ed è anche fornito su sparc64.

  • Miglioramenti
  • vmm (4) / vmd (8):
  • Aggiungi supporto ISO per CD-ROM / DVD a vmd (8) via vioscsi (4).
  • vmd (8) non crea più un'interfaccia bridge sottostante per gli switch virtuali definiti in vm.conf (5).
  • vmd (8) riceve informazioni sullo switch (rdomain, ecc.) dall'interfaccia switch sottostante insieme alle impostazioni in vm.conf (5).
  • Supporto Time Stamp Counter (TSC) nelle macchine virtuali guest
  • Supporta ukvm / Solo5 unikernels in vmm (4).
  • Gestire meglio le codifiche di istruzioni valide (ma non comuni)
  • Migliore supporto di paging PAE per VM guest Linux a 32 bit.
  • vmd (8) ora consente fino a quattro interfacce di rete in ogni VM.
  • Aggiungi migrazione in pausa e supporto snapshotting a vmm (4) per gli host AMD SVM / RVI.
  • I comandi BREAK inviati su pty (4) sono ora compresi da vmd (8).
  • Molte correzioni alla gestione degli errori vmctl (8) e vmd (8).
  • Miglioramenti dello stack wireless IEEE 802.11:
  • I driver iwm (4) e iwn (4) eseguiranno automaticamente il roaming tra i punti di accesso che condividono un ESSID. Forzare un particolare indirizzo MAC di un AP con il comando bssid di ifconfig disabilita il roaming.
  • Cancella automaticamente le chiavi WEP / WPA configurate quando viene configurato un nuovo ESSID di rete.
  • Rimossa la possibilità per l'utente di leggere le chiavi WEP / WPA configurate dal kernel.
  • Il driver iwm (4) ora può connettersi alle reti con un SSID nascosto.
  • I dispositivi USB supportati dal driver athn (4) ora utilizzano un firmware open source e la modalità hostap ora funziona con questi dispositivi.
  • Miglioramenti dello stack di rete generici:
  • Lo stack di rete non viene più eseguito con KERNEL_LOCK () quando IPsec è abilitato.
  • L'elaborazione dei pacchetti TCP / UDP in arrivo viene ora eseguita senza KERNEL_LOCK ().
  • L'attività di giunzione socket viene eseguita senza KERNEL_LOCK ().
  • Pulizia e rimozione del codice in sys / netinet6 poiché la configurazione automatica viene eseguita ora in userland.

  • Ora è possibile impedire a
  • bridge (4) membri di comunicare tra loro con la nuova opzione protetta.
  • La funzione pf di dev-packet è stata semplificata. L'opzione socket IP_DIVERTFL è stata rimossa da divert (4).
  • Vari casi d'angolo di deviazione e deviazione di pf sono ora più coerenti.
  • Imponi in pf (4) che tutti i pacchetti di individuazione dei vicini hanno 255 nel campo del limite dell'hop di intestazione IPv6.
  • Nuova opzione set syncookies in pf.conf (5).
  • Supporto per GRE su IPv6.
  • Nuovo driver per egre (4) per Ethernet su tunnel GRE.
  • Supporto per l'intestazione del tasto GRE opzionale e l'entropia della chiave GRE in gre (4) ed egre (4).
  • Nuovo driver nvgre (4) per la virtualizzazione della rete utilizzando l'incapsulamento del routing generico.
  • Supporto per la configurazione dei pacchetti di flag di Do not Fragment incapsulati dalle interfacce tunnel.
  • Miglioramenti del programma di installazione:
  • se install.site o upgrade.site falliscono, avvisano l'utente ed escono errori dopo aver memorizzato rand.seed.
  • consente la notazione CIDR quando si inseriscono indirizzi IPv4 e IPv6.
  • ripara la selezione di un mirror HTTP dall'elenco dei mirror.
  • consenti "-" nei nomi utente.
  • fai una domanda alla fine del processo di installazione / aggiornamento in modo che il ritorno a capo causi l'azione appropriata, ad es. riavvio.
  • visualizza i prompt della modalità (installa o aggiorna) finché non è noto alcun nome host.
  • rileva correttamente quale interfaccia ha la route predefinita e se è stata configurata tramite DHCP.
  • assicurati che i set possano essere letti dall'area di precaricamento.
  • assicurati che il reindirizzamento dell'URL sia efficace per l'intera installazione / upgrade.
  • aggiungi il proxy HTTP utilizzato durante il recupero dei set su rc.firsttime, dove fw_update e syspatch possono trovarlo e usarlo.
  • aggiungi logica per supportare RFC 7217 con SLAAC.
  • assicurati che IPv6 sia configurato per interfacce di rete create dinamicamente come vlan (4).
  • crea il nome host corretto quando entrambe le opzioni di ricerca del dominio e del dominio sono fornite nel lease DHCP.
  • Demoni di routing e altri miglioramenti della rete userland:
  • bgpctl (8) ha una nuova opzione ssv che restituisce le voci di costola come separazioni separate da punto e virgola come per la selezione prima dell'output.
  • slaacd (8) genera indirizzi di configurazione automatica statici IPv6 casuali ma stabili secondo RFC 7217. Questi sono abilitati per impostazione predefinita in conformità con RFC 8064.
  • slaacd (8) segue RFC 4862 rimuovendo una limitazione artificiale su prefissi di dimensioni / 64 usando gli indirizzi di autoconfigurazione stateless di tipo RFC 7217 (random ma stable) e RFC 4941 (privacy).
  • ospfd (8) può ora impostare la metrica per un percorso in base allo stato di un'interfaccia.
  • ifconfig (8) ha una nuova opzione staticarp per fare in modo che le interfacce rispondano solo alle richieste ARP.
  • ipsecctl (8) ora può comprimere le uscite di flusso che hanno la stessa sorgente o destinazione.
  • L'opzione -n ​​in netstart (8) non ha più problemi con il percorso predefinito. Ora è anche documentato.
  • Miglioramenti della sicurezza:
  • Usa ancora più slittini-trappola su varie architetture.
  • Maggiore utilizzo di .rodata per le variabili costanti nell'origine dell'assembly.
  • Smetti di usare x86 & quot; repz ret & quot; negli angoli polverosi dell'albero.
  • Introduci & quot; execpromises & quot; in pegno (2).
  • L'utilità elfrdsetroot utilizzata per costruire ramdisk e il processo di monitoraggio rebound (8) ora usano pegno (2).
  • Preparati all'introduzione di MAP_STACK in mmap (2) dopo 6.3.
  • Spingi un piccolo frammento di testo del kernel collegato a KARL nel generatore di numeri casuali come entropia all'avvio.
  • Metti un piccolo spazio casuale nella parte superiore delle pile di thread, in modo che gli attaccanti abbiano ancora un altro calcolo da eseguire per il loro lavoro ROP.
  • Attenuazione per la vulnerabilità di Meltdown per le CPU Intel amd64 di marca.
  • OpenBSD / arm64 ora usa l'isolamento della tabella delle pagine del kernel per mitigare gli attacchi di Specter variante 3 (Meltdown).
  • OpenBSD / armv7 e OpenBSD / arm64 ora svuotano il Branch Target Buffer (BTB) sui processori che eseguono l'esecuzione speculativa per mitigare gli attacchi di Specter variant 2.
  • pool_get (9) perturba l'ordine degli elementi sulle pagine appena assegnate, rendendo più difficile prevedere il layout dell'heap del kernel.
  • La chiamata di sistema fktrace (2) è stata cancellata.
  • dhclient (8) miglioramenti:
  • L'analisi di dhclient.conf (5) non perde più le stringhe SSID, stringhe troppo lunghe per il buffer di analisi o le opzioni e i comandi ripetuti della stringa.
  • L'archiviazione dei lease in dhclient.conf (5) non è più supportata.
  • 'DENY' non è più valido in dhclient.conf (5).
  • dhclient.conf (5) e dhclient.leases (5) i messaggi di errore di analisi sono stati semplificati e chiariti, con un comportamento migliorato in presenza di punti e virgola imprevisti.
  • Viene prestata maggiore attenzione a utilizzare solo le informazioni di configurazione che sono state analizzate correttamente.
  • '- n' è stato aggiunto, il che fa sì che dhclient (8) esca dopo aver analizzato dhclient.conf (5).
  • I percorsi predefiniti nelle opzioni classless-static-routes (121) e classless-ms-static-routes (249) sono ora rappresentati correttamente nei file dhclient.leases (5).
  • Sovrascrivi il file specificato con '-L' piuttosto che aggiungerlo ad esso.
  • I contratti di locazione in dhclient.leases (5) ora contengono un attributo 'epoca' che registra il tempo di accettazione del leasing, che viene utilizzato per calcolare i tempi di rinnovo, di legatura e di scadenza corretti.
  • Non si blocca più i trattini bassi nei nomi che violano la RFC 952.
  • Invia in modo incondizionato le informazioni sul nome host quando si richiede un leasing, eliminando la necessità di dhclient.conf (5) nell'installazione predefinita.
  • Fai silenzio per impostazione predefinita. '-q' è stato rimosso e '-v' aggiunto per abilitare la registrazione dettagliata.
  • Rifiuta offerte duplicate per l'indirizzo richiesto.
  • Entra incondizionatamente sullo sfondo dopo i secondi di timeout del collegamento.
  • Riduci significativamente la registrazione quando sei silenzioso, ma fai '-v' registrare tutte le informazioni di debug senza dover compilare un file eseguibile personalizzato.
  • Ignora le istruzioni dell'interfaccia in dhclient.leases (5) e si assume che tutti i lease nel file riguardino l'interfaccia configurata.
  • Visualizza la fonte del lease associato all'interfaccia.

  • Le dichiarazioni
  • "ignora", "richiesta" e "richiesta" in dhclient.conf (5) ora aggiungono le opzioni specificate all'elenco pertinente anziché sostituire l'elenco.
  • Elimina una corsa all'avvio che potrebbe causare l'uscita di dhclient (8) senza configurare l'interfaccia.
  • Miglioramenti assortiti:
  • Riorganizzazione del codice e altri miglioramenti a malloc (3) e agli amici per renderli più efficienti.
  • Quando si eseguono le operazioni di sospensione o ibernazione, assicurarsi che tutti i file system siano correttamente sincronizzati e contrassegnati come puliti, o se non possono essere messi perfettamente puliti sul disco (a causa di file aperti + non collegati) quindi contrassegnarli sporchi, in modo che un curriculum non sia riuscito / unhibernate è garantito per eseguire fsck (8).
  • acme-client (1) rileva automaticamente l'URL del contratto e segue i reindirizzamenti HTTP 30x.
  • Aggiunto __cxa_thread_atexit () per supportare le moderne catene di strumenti C ++.
  • Aggiunto il supporto EVFILT_DEVICE a kqueue (2) per il monitoraggio delle modifiche ai dispositivi drm (4).
  • ldexp (3) ora gestisce correttamente il segno dei numeri denormali su mips64.
  • Nuove funzioni di sincos (3) in libm.
  • fdisk (8) ora garantisce la validità degli offset delle partizioni MBR immessi durante la modifica.
  • fdisk (8) ora garantisce che i valori di default si trovino all'interno dell'intervallo valido.
  • less (1) ora divide solo la variabile di ambiente MENO su '$'.
  • less (1) non crea più un file spurio quando incontra '$' nel comando iniziale.
  • softraid (4) ora convalida il numero di blocchi durante l'assemblaggio di un volume, assicurando che i metadati su disco e in memoria siano sincronizzati.
  • disklabel (8) ora offre sempre la possibilità di modificare la dimensione del frammento di una partizione FFS prima di offrire la modifica del blocco.
  • disklabel (8) ora consente di modificare l'attributo cylinders / group (cpg) ogni volta che è possibile modificare il blocco delle partizioni.
  • disklabel (8) ora rileva ^ D e input non valido durante i comandi (R) esize.
  • disklabel (8) ora rileva underflow e overflow quando vengono utilizzati gli operatori - / +.
  • disklabel (8) ora evita un off-by-one quando si calcola il numero di cilindri in un blocco libero.
  • disklabel (8) ora convalida la dimensione della partizione richiesta rispetto alla dimensione del blocco libero più grande invece dello spazio libero totale.
  • Supporto per lo scarico di trasferimenti USB tramite bpf (4).
  • tcpdump (8) ora può comprendere i dump di trasferimenti USB nel formato USBPcap.
  • I prompt predefiniti di csh (1), ksh (1) e sh (1) ora includono il nome host.
  • L'allocazione della memoria in ksh (1) è passata da calloc (3) a malloc (3), rendendo più facile riconoscere la memoria non inizializzata. Di conseguenza, un errore relativo alla cronologia nella modalità di modifica di emacs è stato scoperto e risolto.
  • Nuova opzione script (1) -c per eseguire un comando invece di una shell.
  • Nuova opzione grep (1) -m per limitare il numero di corrispondenze.
  • Nuova opzione uniq (1) -i per il confronto senza distinzione tra maiuscole e minuscole.
  • La stringa di formato printf (3) non viene più convalidata quando si cercano i formati%. Basato su un commit da parte di Android e seguendo la maggior parte degli altri sistemi operativi.
  • Controllo degli errori migliorato in vfwprintf (3).
  • Molti programmi di base sono stati verificati e risolti per i descrittori di file obsoleti, inclusi cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) e sshd (8).
  • Varie correzioni di bug e miglioramenti in jot (1):
  • I limiti di lunghezza arbitrari per gli argomenti per le opzioni -b, -s, -w sono stati rimossi.
  • Ora l'identificatore di formato% F è ora supportato e un bug nel formato% D è stato corretto.
  • Migliore copertura del codice nei test di regressione.
  • Diversi sovraccarichi del buffer sono stati corretti.
  • L'utilità patch (1) ora funziona meglio con git diffs che creano o eliminano file.
  • pkg_add (1) ora ha un supporto migliorato per i redirector HTTP (S) come cdn.openbsd.org.
  • ftp (1) e pkg_add (1) ora supportano la ripresa della sessione HTTPS per una maggiore velocità.
  • mandoc (1) -T ps dimensione del file di output ridotta di oltre il 50%.
  • syslogd (8) registra se c'erano avvisi durante l'avvio.
  • syslogd (8) ha interrotto la registrazione ai file in un file system completo. Ora scrive un avvertimento e continua dopo che lo spazio è stato reso disponibile.
  • vmt (4) ora consente la clonazione e l'acquisizione di istantanee solo su disco dei guest in esecuzione.
  • OpenSMTPD 6.0.4
  • Aggiungi l'opzione spf walk a smtpctl (8).
  • Pulizie e miglioramenti assortiti.
  • Numerose correzioni e miglioramenti della pagina manuale
  • OpenSSH 7.7
  • Funzioni nuove / modificate:
  • Tutto: aggiungi il supporto sperimentale per le chiavi XMSS PQC (firme basate su hash estese) in base all'algoritmo descritto in https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Il codice della firma XMSS è sperimentale e non compilato per impostazione predefinita.
  • sshd (8): aggiungi un & quot; rdomain & quot; criteri per la parola chiave sshd_config Match per consentire la configurazione condizionale che dipende da quale dominio di routing è stata ricevuta una connessione (attualmente supportata su OpenBSD e Linux).
  • sshd_config (5): aggiungi un qualificatore rdomain opzionale alla direttiva ListenAddress per consentire l'ascolto su diversi domini di routing. Al momento è supportato solo su OpenBSD e Linux.
  • sshd_config (5): Aggiungi la direttiva RDomain per consentire la collocazione della sessione autenticata in un dominio di routing esplicito. Al momento è supportato solo su OpenBSD.
  • sshd (8): aggiungi & quot; tempo di scadenza & quot; opzione per i file authorized_keys per consentire la scadenza delle chiavi.
  • ssh (1): aggiungi un'opzione BindInterface per consentire il binding della connessione in uscita con l'indirizzo di un'interfaccia (in pratica un BindAddress più utilizzabile).
  • ssh (1): espone il dispositivo allocato per tun / tap forwarding tramite una nuova espansione% T per LocalCommand. Ciò consente di utilizzare LocalCommand per preparare l'interfaccia.
  • sshd (8): mostra il dispositivo allocato per tun / tap forwarding tramite una nuova variabile di ambiente SSH_TUNNEL. Ciò consente di configurare automaticamente l'interfaccia e la configurazione della rete circostante automaticamente sul server.
  • ssh (1) / scp (1) / sftp (1): aggiungi il supporto URI a ssh, sftp e scp, ad es. ssh: // utente @ host o sftp: // utente @ host / percorso. I parametri di connessione aggiuntivi descritti in draft-ietf-secsh-scp-sftp-ssh-uri-04 non sono implementati poiché il formato di impronta digitale ssh nella bozza utilizza l'hash MD5 deprecato senza alcun modo per specificare qualsiasi altro algoritmo.
  • ssh-keygen (1): consenti intervalli di validità del certificato che specificano solo un orario di inizio o di fine (invece di entrambi o nessuno dei due).
  • sftp (1): consenti & quot; cd & quot; e & quot; lcd & quot; comandi con nessun argomento di percorso esplicito. lcd cambierà come al solito nella home directory dell'utente locale. cd cambierà nella directory di partenza per la sessione (perché il protocollo non offre alcun modo per ottenere la home directory dell'utente remoto). bz # 2760
  • sshd (8): quando si esegue un test di configurazione con sshd -T, richiedono solo gli attributi effettivamente utilizzati nei criteri di corrispondenza anziché (un elenco incompleto di) tutti i criteri.
  • I seguenti errori significativi sono stati corretti in questa versione:
  • ssh (1) / sshd (8): controlla più rigorosamente i tipi di firma durante lo scambio delle chiavi rispetto a ciò che è stato negoziato. Impedisce il downgrade delle firme RSA realizzate con SHA-256/512 su SHA-1.
  • sshd (8): supporto fisso per client che pubblicizza una versione di protocollo di & quot; 1.99 & quot; (indicando che sono pronti ad accettare sia SSHv1 che SSHv2). Questo problema è stato risolto in OpenSSH 7.6 durante la rimozione del supporto SSHv1. bz # 2810
  • ssh (1): Avvisa quando l'agente restituisce una firma ssh-rsa (SHA1) quando è stata richiesta una firma rsa-sha2-256 / 512. Questa condizione è possibile quando un agente vecchio o non OpenSSH è in uso. bz # 2799
  • ssh-agent (1): Fix regression introdotta in 7.6 che causava la morte fatale di ssh-agent se presentava un messaggio di richiesta di firma non valido.
  • sshd_config (5): accetta le opzioni flag sì / no senza distinzione tra maiuscole e minuscole, come nel caso di ssh_config (5) per un lungo periodo. bz # 2664
  • ssh (1): migliora la segnalazione degli errori per errori durante la connessione. In alcune circostanze si stavano verificando errori fuorvianti. bz # 2814
  • ssh-keyscan (1): aggiungi l'opzione -D per consentire la stampa dei risultati direttamente nel formato SSHFP. bz # 2821
  • regress test: correzione del test di interoperabilità PuTTY interrotto nella rimozione SSHv1 dell'ultima release. bz # 2823
  • ssh (1): correzione della compatibilità per alcuni server che erroneamente abbandonano la connessione quando viene inviata l'opzione IUTF8 (RFC8160).
  • scp (1): disattiva RemoteCommand e RequestTTY nella sessione ssh avviata da scp (lo faceva già sftp).
  • ssh-keygen (1): rifiuta di creare un certificato con un numero inutilizzabile di entità.
  • ssh-keygen (1): esce fatalmente se ssh-keygen non è in grado di scrivere tutta la chiave pubblica durante la generazione della chiave. In precedenza ignorava silenziosamente gli errori durante la scrittura del commento e la terminazione di newline.
  • ssh (1): non modificare gli argomenti del nome host che sono indirizzi forzandoli automaticamente in minuscolo. Invece, canonicalizzali per risolvere le ambiguità (ad es. :: 0001 = & gt; :: 1) prima che vengano confrontati con known_hosts. bz # 2763
  • ssh (1): non accettare posta indesiderata dopo & quot; sì & quot; oppure & quot; no & quot; risposte ai prompt di hostkey. bz # 2803
  • SFTP (1): Avere stampa sftp un avvertimento circa la pulizia di shell quando si decodifica il primo pacchetto non riesce, che di solito è causata da gusci stdout di start-up non interattivi inquinanti. bz # 2800
  • ssh (1) / sshd (8): timer di commutazione nel codice pacchetto da utilizzare tempo wall-clock in volta monotona, consentendo al livello di pacchetto di funzione migliore nel passo orologio ed evitando possibili integer overflow durante fasi
  • Numerose correzioni e miglioramenti della pagina manuale
  • LibreSSL 2.7.2
  • È stato aggiunto il supporto per molte API OpenSSL 1.0.2 e 1.1, in base alle osservazioni sull'utilizzo reale delle applicazioni. Queste sono implementate in parallelo con le API OpenSSL 1.0.1 esistenti: le modifiche alla visibilità non sono state apportate alle strutture esistenti, consentendo al codice scritto per le API OpenSSL precedenti di continuare a funzionare.
  • Corrette correzioni, miglioramenti e aggiunte alla documentazione dell'API, comprese le nuove API pubbliche di OpenSSL che non avevano documentazione preesistente.
  • Aggiunto supporto per l'inizializzazione automatica della libreria in libcrypto, libssl e libtls. Ora è richiesto il supporto per pthread_once o un equivalente compatibile del sistema operativo di destinazione. Come effetto collaterale, il supporto minimo per Windows è Vista o superiore.
  • Conversione di più metodi di gestione dei pacchetti in CBB, che migliora la resilienza durante la generazione dei messaggi TLS.
  • Completata riscrittura dell'estensione TLS, migliorando la coerenza dei controlli per le estensioni malformate e duplicate.
  • Riscrivi ASN1_TYPE_ {ottieni, imposta} _octetstring () utilizzando ASN.1 basato su modello. Ciò rimuove l'ultimo utilizzo residuo delle vecchie macro M_ASN1_ * (asn1_mac.h) dall'API che deve continuare ad esistere.
  • Aggiunto supporto per la ripresa della sessione lato client in libtls. Un client libtls può specificare un descrittore del file di sessione (un file regolare con proprietà e permessi appropriati) e libtls gestirà la lettura e la scrittura dei dati di sessione attraverso gli handshake TLS.
  • Supporto migliorato per un rigoroso allineamento sulle architetture ARMv7, consentendo in tal modo l'assemblaggio in questi casi.
  • Risolto un problema di perdita di memoria in libtls durante il riutilizzo di tls_config.
  • Unita più supporto DTLS nel normale percorso del codice TLS, rimuovendo il codice duplicato.
  • Porte e pacchetti:
  • dpb (1) e le normali porte (7) ora possono godere dello stesso modello con privilegi separati impostando PORTS_PRIVSEP = Sì
  • Molti pacchetti predefiniti per ogni architettura:
  • aarch64: 7990
  • alpha: 1
  • amd64: 9912
  • arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Alcuni punti salienti:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 e 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Vai 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 e 4.14.3 (oltre agli aggiornamenti principali di KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 e 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr e 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 e NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 e 2.4.45
  • PHP 5.6.34 e 7.0.28
  • Postfix 3.3.0 e 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 e 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 e 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 e 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Come al solito, miglioramenti costanti nelle pagine di manuale e in altra documentazione.
  • Il sistema include i seguenti componenti principali di fornitori esterni:
  • Xenocara (basato su X.Org 7.7 con xserver 1.19.6 + patch, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 e altro)
  • LLVM / Clang 5.0.1 (+ patch)
  • GCC 4.2.1 (+ patch) e 3.3.6 (+ patch)
  • Perl 5.24.3 (+ patch)
  • NSD 4.1.20
  • Senza restrizioni 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ patch)
  • Gdb 6.3 (+ patch)
  • Awk 10 agosto 2011 versione
  • Expat 2.2.5

Novità della versione nella versione 6.2:

  • Piattaforme nuove / estese:
  • ARMv7:
  • È stato aggiunto il bootloader EFI, i kernel ora vengono caricati da FFS anziché da file system FAT o EXT, senza intestazioni U-Boot.
  • Un singolo kernel e ramdisk sono ora usati per tutti i SoC.
  • L'hardware viene enumerato dinamicamente tramite Flattened Device Tree (FDT) anziché tramite tabelle statiche basate su numeri di ID scheda.
  • Le immagini di installazione Miniroot includono U-Boot 2016.07 con supporto per i carichi utili EFI.
  • VAX:
  • Rimosso.
  • Supporto hardware migliorato, incluso:
  • Nuovo driver bytgpio (4) per il controller GPIO Intel Bay Trail.
  • Nuovo driver chvgpio (4) per il controller GPIO Intel Cherry View.
  • Nuovo driver maxrtc (4) per l'orologio in tempo reale Maxim DS1307.
  • Nuovo driver nvme (4) per l'interfaccia del controller host Non-Volatile Memory Express (NVMe).
  • Nuovo driver pcfrtc (4) per il clock in tempo reale NXP PCF8523.
  • Nuovo driver umb (4) per il modello di interfaccia a banda larga mobile (MBIM).
  • Nuovo driver ure (4) per dispositivi Ethernet 10/100 USB RealTek basati su RTL8152.
  • Nuovo driver utvfu (4) per dispositivi di acquisizione audio / video basati su USBUS007 di Fushicai.
  • Il driver iwm (4) ora supporta i dispositivi Intel Wireless 3165 e 8260 e funziona in modo più affidabile nei kernel RAMDISK.
  • Il supporto per i dispositivi HID I2C con interrupt GPIO segnalati è stato aggiunto a dwiic (4).
  • Il supporto per larghezze di bus più grandi, modalità ad alta velocità e trasferimenti DMA è stato aggiunto a sdmmc (4), rtsx (4), sdhc (4) e imxesdhc (4).
  • Supporto per controller USB compatibili con EHCI e OHCI su SoC di Octeon II.
  • Molti driver di periferica USB sono stati abilitati su OpenBSD / octeon.
  • Supporto migliorato per implementazioni ACPI ridotte all'hardware.
  • Supporto migliorato per le implementazioni di ACPI 5.0.
  • AES-NI crypto è ora terminato senza bloccare il kernel.
  • Supporto AGP migliorato su macchine PowerPC G5.
  • Aggiunto il supporto per lo slot per schede SD in SoC Intel Bay Trail.
  • Il driver ichiic (4) ora ignora l'interrupt SMBALERT # per impedire una tempesta di interruzioni con buggy implementazioni BIOS.
  • I problemi di collegamento del dispositivo con il driver axen (4) sono stati risolti.
  • Il driver ral (4) è più stabile sotto carico con i dispositivi RT2860.
  • I problemi con le tastiere morte dopo il ripristino sono stati risolti nel driver pckbd (4).
  • Il driver rtsx (4) ora supporta i dispositivi RTS522A.
  • È stato aggiunto il supporto iniziale per MSI-X.
  • Supporta MSI-X nel driver virtio (4).
  • Aggiunta una soluzione alternativa per l'overflow di DMA hardware al driver dc (4).
  • Il driver acpitz (4) gira la ventola verso il basso dopo il raffreddamento se ACPI utilizza l'isteresi per il raffreddamento attivo.
  • Il driver xhci (4) ora esegue correttamente il passaggio da un BIOS compatibile con xHCI.
  • Il supporto per l'input multi-touch è stato aggiunto al driver wsmouse (4).
  • Il driver uslcom (4) ora supporta la console seriale dei controller wireless Aruba 7xxx.
  • Il driver re (4) ora funziona attorno a configurazioni LED rotte nelle EEPROM APU1.
  • Il driver ehci (4) ora funziona attorno ai problemi con i controller USB ATI (ad esempio SB700).
  • Il driver xen (4) ora supporta la configurazione domU sotto il sistema operativo Qubes.
  • Miglioramenti dello stack wireless IEEE 802.11:
  • La logica del buffer di ricezione del blocco HT ac segue l'algoritmo fornito nelle specifiche 802.11-2012 più da vicino.
  • Il driver iwn (4) tiene traccia delle modifiche alla protezione HT mentre è associato a un AP 11n.
  • Lo stack wireless e diversi driver fanno un uso più aggressivo di RTS / CTS per evitare interferenze da dispositivi legacy e nodi nascosti.
  • Il comando netstat (1) -W ora mostra le informazioni sugli eventi 802.11n.
  • In modalità hostap, non riutilizzare gli ID di associazione dei nodi che sono ancora memorizzati nella cache. Risolve un problema in cui un access point che utilizzava il driver ral (4) si bloccava a 1 Mbps perché l'accounting della frequenza Tx si verificava sull'oggetto nodo sbagliato.
  • Miglioramenti dello stack di rete generici:
  • La tabella di routing è ora basata su ART che offre una ricerca più rapida.
  • Il numero di ricerca percorso per pacchetto è stato ridotto a 1 nel percorso di inoltro.
  • Il campo prio sulle intestazioni VLAN ora è impostato correttamente su ciascun frammento di un pacchetto IPv4 che esce su un'interfaccia vlan (4).
  • Attivato clonazione del dispositivo per bpf (4). Ciò consente al sistema di avere un solo nodo di dispositivo bpf in / dev che fornisce servizi a tutti i consumatori bpf (fino a 1024).
  • La coda Tx del driver cnmac (4) può ora essere elaborata in parallelo al resto del kernel.
  • Il percorso di input di rete è ora eseguito nel contesto del thread.
  • Miglioramenti del programma di installazione:
  • elenco aggiornato dei codici di accesso limitati
  • install.sh e upgrade.sh uniti in install.sub
  • update esegue automaticamente sysmerge (8) in modalità batch prima di fw_update (1)
  • le domande e le risposte vengono registrate in un formato che può essere utilizzato come file di risposta per l'uso da autoinstall (8)
  • / usr / local è impostato su wxallowed durante l'installazione
  • Demoni di routing e altri miglioramenti della rete userland:
  • Aggiungi il supporto della tabella di routing a rc.d (8) e rcctl (8).
  • Lascia che nc (1) supporti i nomi dei servizi oltre ai numeri di porta.
  • Aggiungi -M e -m flag TTL su nc (1).
  • Aggiungi il supporto per AF_UNIX a tcpbench (1).
  • Risolto un problema con la regressione in rarpd (8). Il daemon potrebbe bloccarsi se è rimasto inattivo per un lungo periodo.
  • Aggiunta l'opzione llprio in ifconfig (8).
  • Sono stati modificati più programmi che utilizzano bpf (4) per sfruttare la clonazione del dispositivo bpf (4) aprendo / dev / bpf0 invece di eseguire il looping dei dispositivi / dev / bpf *. Questi programmi includono arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) e tcpdump (8). Anche la libreria libpcap è stata modificata di conseguenza.
  • Miglioramenti della sicurezza:
  • W ^ X è ora strettamente applicato per impostazione predefinita; un programma può solo violarlo se l'eseguibile è contrassegnato con PT_OPENBSD_WXNEEDED e si trova su un filesystem montato con l'opzione wxallowed mount (8). Poiché ci sono ancora troppe porte che violano W ^ X, l'installer monta il filesystem / usr / local con wxallowed. Ciò consente al sistema di base di essere più sicuro fintanto che / usr / local è un filesystem separato. Se non utilizzi programmi che violano W ^ X, ti consigliamo di revocare manualmente tale opzione.
  • La famiglia di funzioni setjmp (3) ora applica i cookie XOR per impilare e restituire i valori dell'indirizzo nel jmpbuf su amd64, hppa, i386, mips64 e powerpc.
  • Mitigazione SROP: sigreturn (2) può ora essere utilizzato solo dal trampolino del segnale fornito dal kernel, con un cookie per rilevare i tentativi di riutilizzo.
  • Per dissuadere gli exploit del riutilizzo del codice, rc (8) ricollega libc.so all'avvio, posizionando gli oggetti in un ordine casuale.
  • Nella famiglia di funzioni getpwnam (3), interrompi l'apertura del database shadow per impostazione predefinita.
  • Permetti a tcpdump (8) -r di essere avviato senza i privilegi di root.
  • Rimuovi systrace.
  • Rimuovi il supporto per l'emulazione di Linux.
  • Rimuovi il supporto per l'opzione usermount.
  • La cache TCP SYN esegue di tanto in tanto la sua funzione hash casuale. Ciò impedisce a un utente malintenzionato di calcolare la distribuzione della funzione di hash con un attacco di temporizzazione.
  • Per contrastare gli attacchi di inondazione SYN, l'amministratore può modificare la dimensione dell'hash array ora. netstat (1) -s -p tcp mostra le informazioni rilevanti per sintonizzare la cache SYN con sysctl (8) net.inet.tcp.
  • L'amministratore può richiedere i privilegi di root per l'associazione ad alcune porte TCP e UDP con sysctl (8) net.inet.tcp.rootonly e sysctl (8) net.inet.udp.rootonly.
  • Rimuovere un puntatore a funzione dalla struttura dati mbuf (9) e utilizzare invece un indice in una matrice di funzioni accettabili.
  • Miglioramenti assortiti:
  • La libreria di thread può ora essere caricata in un processo a thread singolo.
  • Migliore gestione dei simboli e conformità agli standard in libc. Ad esempio, la definizione di una funzione open () non interferirà più con l'operazione di fopen (3).
  • Le sezioni PT_TLS ora sono supportate nell'oggetto inizialmente caricato.
  • Migliore gestione di & quot; nessun percorso & quot; e & quot; percorso vuoto & quot; in fts (3).
  • In pcap (3), fornire le funzioni pcap_free_datalinks () e pcap_offline_filter ().
  • Molti bugfix e pulizia strutturale nella libreria editline (3).
  • Rimuovi le antiche funzioni dbm (3); ndbm (3) rimane.
  • Aggiungi la parola chiave setenv per una gestione più potente dell'ambiente in doas.conf (5).
  • Aggiungi le opzioni -g e -p a aucat.1 per il posizionamento temporale.
  • Riscrivi audioctl (1) con un'interfaccia utente più semplice.
  • Aggiungi l'opzione -F per installare (1) su fsync (2) il file prima di chiuderlo.
  • kdump (1) ora esegue il dump delle strutture di pollfd.
  • Migliora i vari dettagli sulla conformità a ksh (1) POSIX.
  • mknod (8) riscritto in stile pegno (2) e per supportare la creazione di più dispositivi contemporaneamente.
  • Implementare rcctl (8) get all e getdef all.
  • Implementa il flag rcs (1) -I (interattivo).
  • In rcs (1), implementa la sostituzione della parola chiave Mdocdate.
  • Nella parte superiore (1), consentire di filtrare gli argomenti del processo se vengono visualizzati.
  • Aggiunto il supporto UTF-8 per fold (1) e rev (1).
  • Abilita UTF-8 per impostazione predefinita in xterm (1) e pod2man (1).
  • Filtra i caratteri non ASCII nel wall (1).
  • Gestisci la variabile d'ambiente di COLUMNS in modo coerente su molti programmi.
  • Le opzioni -c e -k consentono di fornire certificati client TLS per syslogd (8) sul lato mittente. Con ciò il lato ricevente può verificare che i messaggi di log siano autentici. Nota che syslogd non ha ancora questa funzionalità di controllo.
  • Quando il buffer klog fuoriesce, syslogd scriverà un messaggio di log per mostrare che alcune voci sono mancanti.
  • Su OpenBSD / octeon, il buffering di scrittura della cache della CPU è abilitato per migliorare le prestazioni.
  • pkg_add (1) e pkg_info (1) ora comprendono una nozione di ramo per facilitare la selezione di alcuni pacchetti popolari come python o php, ad esempio pkg_add python% 3.4 per selezionare il ramo 3.4 e usare pkg_info -zm per ottenere un elenco fuzzy con la selezione del ramo adatto per pkg_add -l.
  • fdisk (8) e pdisk (8) escono immediatamente a meno che non sia passato un dispositivo speciale per i caratteri
  • st (4) traccia correttamente il numero di blocchi corrente per blocchi di dimensioni variabili
  • fsck_ext2fs (8) funziona di nuovo
  • i volumi di softraid (4) possono essere costruiti con dischi con una dimensione di settore diversa da 512 byte
  • dhclient (8) DECLINA e scarta OFFERTE non utilizzate.
  • dhclient (8) termina immediatamente se la sua interfaccia (ad esempio un bridge (4)) restituisce EAFNOSUPPORT quando viene inviato un pacchetto.
  • httpd (8) restituisce 400 richieste non valide per le richieste HTTP v0.9.

  • L'inizializzazione del nodo pigro di
  • ffs2 evita di trattare i dati casuali del disco come un inode
  • fcntl (2) invocazioni nei programmi di base usano l'idiota fcntl (n, F_GETFL) invece di fcntl (n, F_GETFL, 0)

  • Le chiamate
  • socket (2) e accept4 (2) nei programmi di base utilizzano SOCK_NONBLOCK per eliminare la necessità di un fcntl separato (2).
  • tmpfs non abilitato di default
  • la semantica del pegno (2) nel kernel è stata migliorata in molti modi. I punti salienti includono: una nuova promessa chown che consente ai programmi impegnati di impostare gli attributi setugid, una più stretta applicazione della promessa recvfd e chroot (2) non è più consentita per i programmi in pegno.
  • sono stati corretti alcuni bug relativi a pledge (2) (mancate promesse, modifiche involontarie del comportamento, arresti anomali), in particolare in gzip (1), nc (1), sed (1), skeyinit (1), stty (1) e varie utilità relative al disco, come disklabel (8) e fdisk (8).
  • Errori di calcolo della dimensione del blocco nel driver audio (4) sono stati corretti.
  • Il driver usb (4) memorizza ora il fornitore e gli ID prodotto. Risolve un problema in cui usbdevs (8) chiamato in un ciclo causava l'arresto del dispositivo di archiviazione di massa USB.
  • I driver rsu (4) e ural (4) ora funzionano di nuovo dopo essere stati accidentalmente rotti in 5.9.
  • OpenSMTPD 6.0.0
  • Sicurezza:
  • Implementa il pattern fork + exec in smtpd (8).
  • Risolve un problema logico nella macchina a stati SMTP che può portare a uno stato non valido e provocare un arresto anomalo.
  • Collega una perdita di puntatore di file che può portare all'esaurimento delle risorse e provocare un arresto anomalo.
  • Utilizza i parametri DH automatici invece di quelli fissi.
  • Disabilita DHE di default poiché è computazionalmente costoso e un potenziale vettore DoS.
  • I seguenti miglioramenti sono stati introdotti nella versione 6.2:
  • Aggiungi l'opzione -r all'enqueuer smtpd (8) per la compatibilità con mailx.
  • Aggiungi data o ID messaggio mancanti durante l'ascolto sulla porta di invio.
  • Correzione & quot; smtpctl show queue & quot; segnalazione & quot; non valido & quot; stato dell'inviluppo.
  • Rileva il formato del & quot; Ricevuto & quot; intestazione in modo che la parte TLS non violi la RFC.
  • Aumentare il numero di connessioni consentite da un indirizzo locale e ridurre il ritardo tra le transazioni nella stessa sessione.
  • Correzione del recapito LMTP ai server che restituiscono le righe di continuazione.
  • Migliora ulteriormente l'API del filtro ancora sperimentale e correggi i vari problemi correlati.
  • Inizia a migliorare e unificare il formato dei messaggi di registro.
  • Corregge diverse discrepanze e errori di documentazione nelle pagine man.
  • OpenSSH 7.3
  • Sicurezza:
  • sshd (8): attenua un potenziale attacco denial-of-service contro la funzione crypt (3) del sistema tramite sshd (8). Un utente malintenzionato potrebbe inviare password molto lunghe che causerebbero un uso eccessivo della CPU in crypt (3). sshd (8) ora rifiuta di accettare richieste di autenticazione della password di lunghezza superiore a 1024 caratteri.
  • sshd (8): attenua le differenze temporali nell'autenticazione della password che potrebbero essere utilizzate per distinguere i nomi di account validi da quelli non validi quando sono state inviate lunghe password e sono in uso particolari algoritmi di hash delle password sul server. CVE-2016-6210.
  • ssh (1), sshd (8): correzione della debolezza osservabile della temporizzazione nelle contromisure oracle padding CBC. Tieni presente che i cifrari CBC sono disabilitati per impostazione predefinita e inclusi solo per compatibilità legacy.
  • ssh (1), sshd (8): migliorare l'ordinamento della verifica MAC per gli algoritmi MAC di trasporto in modalità Encrypt-then-MAC (EtM) per verificare il MAC prima di decrittografare qualsiasi testo cifrato. Ciò elimina la possibilità che differenze temporali trapelino fatti sul testo in chiaro, sebbene non sia nota alcuna perdita di questo tipo.
  • Funzioni nuove / modificate:
  • ssh (1): aggiungi un'opzione ProxyJump e il corrispondente flag -J della riga di comando per consentire l'indirezione semplificata attraverso uno o più bastioni SSH o & quot; jump hosts & quot;.
  • ssh (1): aggiungi un'opzione IdentityAgent per consentire di specificare specifici socket dell'agent invece di accettarne uno dall'ambiente.
  • ssh (1): AllowOnForwardFailure e ClearAllForwardings possono essere sovrascritte facoltativamente quando si usa ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): supporto dell'attrezzo per la modalità terminale IUTF8 come da bozza-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): aggiungere il supporto per ulteriori gruppi Diffie-Hellman 2K, 4K e 8K fissi da draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): supporta le firme RSA SHA256 e SHA512 nei certificati.
  • ssh (1): aggiungi una direttiva Include per i file ssh_config (5).
  • ssh (1): consente di utilizzare i caratteri UTF-8 nei banner di pre-autenticazione inviati dal server. (Bz # 2058)
  • I seguenti errori significativi sono stati risolti nella versione 6.2:
  • In scp (1) e sftp (1), impedisci di azzerare le impostazioni del terminale evitando i byte che non formano caratteri ASCII o UTF-8.
  • ssh (1), sshd (8): riduce il livello syslog di alcuni eventi di protocollo relativamente comuni da LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = & quot; & quot; nelle configurazioni e accetta AuthenticationMethods = any per il comportamento predefinito di non richiedere l'autenticazione multipla. (Bz # 2398)
  • sshd (8): rimuovi il tentativo di BREAK-IN POSSIBILE obsoleto e fuorviante & quot; messaggio quando i DNS forward e reverse non corrispondono. (Bz # 2585)
  • ssh (1): chiude il processo in background di ControlPersist stderr tranne che in modalità debug o quando si accede a syslog. (Bz # 1988)
  • misc: crea la descrizione di PROTOCOL per direct-streamlocal@openssh.com i messaggi di apertura del canale corrispondono al codice distribuito. (Bz # 2529)
  • ssh (1): consente di deduplicare le voci LocalForward e RemoteForward per correggere gli errori quando sono abilitati sia ExitOnForwardFailure che canonizzazione di hostname. (Bz # 2562)
  • sshd (8): rimuove il fallback da moduli a obsoleti & quot; primi & quot; file deprecato nel 2001. (bz # 2559)
  • sshd_config (5): descrizione corretta di UseDNS: influenza l'elaborazione del nome host ssh per authorized_keys, non known_hosts. (Bz # 2554)
  • ssh (1): correzione dell'autenticazione mediante chiavi di certificato solitario in un agente senza chiavi private corrispondenti sul filesystem. (Bz # 2550)
  • sshd (8): invia ping ClientAliveInterval quando viene impostato un RekeyLimit basato sul tempo; i pacchetti precedentemente keepalive non venivano inviati. (Bz # 2252)
  • OpenNTPD 6.0
  • Quando un singolo & quot; vincolo & quot; è specificato, prova tutti gli indirizzi restituiti fino a quando ce ne sono riusciti, anziché il primo indirizzo restituito.
  • Rilassato il margine di errore del vincolo per essere proporzionale al numero di peer NTP, evitare riconnessioni costanti quando c'è un peer NTP non valido.
  • Rimosso il supporto del sensore hotplug (4) disabilitato.
  • Aggiunto supporto per il rilevamento degli arresti anomali nei sottoprocessi dei vincoli.
  • Spostato l'esecuzione dei vincoli dal processo ntp al processo principale, consentendo una migliore separazione dei privilegi poiché il processo ntp può essere ulteriormente limitato.
  • Risolto un utilizzo elevato della CPU quando la rete non funziona.
  • Risolti vari problemi di memoria.
  • Passato a RMS per i calcoli del jitter.
  • Funzioni di registrazione unificate con altri programmi di base di OpenBSD.
  • Imposta MOD_MAXERROR per evitare lo stato di ora non sincronizzata quando usi ntp_adjtime.
  • Corretto l'analisi dell'intestazione Timestamp HTTP per utilizzare strptime (3) in modo più portabile.
  • TLS temprato per i vincoli ntpd (8), che consente la verifica del nome del server.
  • LibreSSL 2.4.2
  • Funzioni visibili all'utente:
  • Corretti alcuni collegamenti manpage danneggiati nella destinazione dell'installazione.
  • cert.pem è stato riorganizzato e sincronizzato con l'archivio certificati di Mozilla.
  • Correzione dell'affidabilità, correzione di un errore durante l'analisi di alcuni elementi ASN.1 di dimensioni superiori a 16k.
  • Implementato le suite di crittografia IETF ChaCha20-Poly1305.
  • Corretti i prompt della password da openssl (1) per gestire correttamente ^ C.
  • Miglioramenti del codice:
  • Risolto un problema di compatibilità con nginx aggiungendo un target di build 'install_sw'.
  • Modificata l'implementazione predefinita EVP_aead_chacha20_poly1305 (3) nella versione IETF, che ora è l'impostazione predefinita.
  • Rielaborazione della gestione degli errori in libtls in modo che gli errori di configurazione siano più visibili.
  • Aggiunta la gestione degli errori mancanti attorno alle chiamate bn_wexpand (3).
  • Sono state aggiunte le chiamate esplicite a zero (3) per gli oggetti ASN.1 liberati.
  • Risolto il problema con le funzioni X509_ * set_object per restituire 0 in caso di mancata allocazione.
  • Uso interno deprecato di EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Risolto un problema che impediva l'esecuzione dell'algoritmo di firma DSA in tempo costante anche se il flag BN_FLG_CONSTTIME è impostato.
  • Risolti diversi problemi nel codice OCSP che potevano causare la generazione e l'analisi errate delle richieste OCSP. Questo risolve la mancanza di controllo degli errori sull'analisi del tempo in queste funzioni e garantisce che solo i formati GENERALIZEDTIME siano accettati per OCSP, come da RFC 6960.
  • I seguenti CVE sono stati risolti:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-padding oracle nel controllo MAC CBC AES-NI.
  • CVE-2016-2108-corruzione della memoria nel codificatore ASN.1
  • CVE-2016-2109-ASN.1 BIO allocazione di memoria eccessiva.
  • Porte e pacchetti:
  • Nuovo strumento proot (1) nell'albero dei port per costruire pacchetti in un chroot.
  • Molti pacchetti predefiniti per ogni architettura:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Alcuni punti salienti:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 e 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Vai 1.6.3
  • Groff 1.22.3
  • JDK 7u80 e 8u72
  • KDE 3.5.10 e 4.14.3 (oltre agli aggiornamenti principali di KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 e 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr e 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 e 2.4.44
  • PHP 5.5.37, 5.6.23 e 7.0.8
  • Postfix 3.1.1 e 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 e 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 e 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 e 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Come al solito, miglioramenti costanti nelle pagine di manuale e in altra documentazione.
  • Il sistema include i seguenti componenti principali di fornitori esterni:
  • Xenocara (basata su X.Org 7.7 con xserver 1.18.3 + patch, FreeType 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 e più)
  • GCC 4.2.1 (+ patch) e 3.3.6 (+ patch)
  • Perl 5.20.3 (+ patch)
  • SQLite 3.9.2 (+ patch)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patch)
  • Gdb 6.3 (+ patch)
  • Awk 10 agosto 2011 versione
  • Expat 2.1.1

Novità in nella versione 6.1:

  • Piattaforme nuove / estese:
  • ARMv7:
  • È stato aggiunto il bootloader EFI, i kernel ora vengono caricati da FFS anziché da file system FAT o EXT, senza intestazioni U-Boot.
  • Un singolo kernel e ramdisk sono ora usati per tutti i SoC.
  • L'hardware viene enumerato dinamicamente tramite Flattened Device Tree (FDT) anziché tramite tabelle statiche basate su numeri di ID scheda.
  • Le immagini di installazione Miniroot includono U-Boot 2016.07 con supporto per i carichi utili EFI.
  • VAX:
  • Rimosso.
  • Supporto hardware migliorato, incluso:
  • Nuovo driver bytgpio (4) per il controller GPIO Intel Bay Trail.
  • Nuovo driver chvgpio (4) per il controller GPIO Intel Cherry View.
  • Nuovo driver maxrtc (4) per l'orologio in tempo reale Maxim DS1307.
  • Nuovo driver nvme (4) per l'interfaccia del controller host Non-Volatile Memory Express (NVMe).
  • Nuovo driver pcfrtc (4) per il clock in tempo reale NXP PCF8523.
  • Nuovo driver umb (4) per il modello di interfaccia a banda larga mobile (MBIM).
  • Nuovo driver ure (4) per dispositivi Ethernet 10/100 USB RealTek basati su RTL8152.
  • Nuovo driver utvfu (4) per dispositivi di acquisizione audio / video basato su USBUS007 di Fushicai.
  • Il driver iwm (4) ora supporta i dispositivi Intel Wireless 3165 e 8260 e funziona in modo più affidabile nei kernel RAMDISK.
  • Il supporto per i dispositivi HID I2C con interrupt GPIO segnalati è stato aggiunto a dwiic (4).
  • Il supporto per larghezze di bus più grandi, modalità ad alta velocità e trasferimenti DMA è stato aggiunto a sdmmc (4), rtsx (4), sdhc (4) e imxesdhc (4).
  • Supporto per controller USB compatibili con EHCI e OHCI su SoC di Octeon II.
  • Molti driver di periferica USB sono stati abilitati su OpenBSD / octeon.
  • Supporto migliorato per implementazioni ACPI ridotte all'hardware.
  • Supporto migliorato per le implementazioni di ACPI 5.0.
  • AES-NI crypto è ora terminato senza bloccare il kernel.
  • Supporto AGP migliorato su macchine PowerPC G5.
  • Aggiunto il supporto per lo slot per schede SD in SoC Intel Bay Trail.
  • Il driver ichiic (4) ora ignora l'interrupt SMBALERT # per impedire una tempesta di interruzioni con buggy implementazioni BIOS.
  • I problemi di collegamento del dispositivo con il driver axen (4) sono stati risolti.
  • Il driver ral (4) è più stabile sotto carico con i dispositivi RT2860.
  • I problemi con le tastiere morte dopo il ripristino sono stati risolti nel driver pckbd (4).
  • Il driver rtsx (4) ora supporta i dispositivi RTS522A.
  • È stato aggiunto il supporto iniziale per MSI-X.
  • Supporta MSI-X nel driver virtio (4).
  • Aggiunta una soluzione alternativa per l'overflow di DMA hardware al driver dc (4).
  • Il driver acpitz (4) gira la ventola verso il basso dopo il raffreddamento se ACPI utilizza l'isteresi per il raffreddamento attivo.
  • Il driver xhci (4) ora esegue correttamente il passaggio da un BIOS compatibile con xHCI.
  • Il supporto per l'input multi-touch è stato aggiunto al driver wsmouse (4).
  • Il driver uslcom (4) ora supporta la console seriale dei controller wireless Aruba 7xxx.
  • Il driver re (4) ora funziona attorno a configurazioni LED rotte nelle EEPROM APU1.
  • Il driver ehci (4) ora funziona attorno ai problemi con i controller USB ATI (ad esempio SB700).
  • Il driver xen (4) ora supporta la configurazione domU sotto il sistema operativo Qubes.
  • Miglioramenti dello stack wireless IEEE 802.11:
  • La logica del buffer di ricezione del blocco HT ac segue l'algoritmo fornito nelle specifiche 802.11-2012 più da vicino.
  • Il driver iwn (4) tiene traccia delle modifiche alla protezione HT mentre è associato a un AP 11n.
  • Lo stack wireless e diversi driver fanno un uso più aggressivo di RTS / CTS per evitare interferenze da dispositivi legacy e nodi nascosti.
  • Il comando netstat (1) -W ora mostra le informazioni sugli eventi 802.11n.
  • In modalità hostap, non riutilizzare gli ID di associazione dei nodi che sono ancora memorizzati nella cache. Risolve un problema in cui un access point che utilizzava il driver ral (4) si bloccava a 1 Mbps perché l'accounting della frequenza Tx si verificava sull'oggetto nodo sbagliato.
  • Miglioramenti dello stack di rete generici:
  • La tabella di routing è ora basata su ART che offre una ricerca più rapida.
  • Il numero di ricerca percorso per pacchetto è stato ridotto a 1 nel percorso di inoltro.
  • Il campo prio sulle intestazioni VLAN ora è impostato correttamente su ciascun frammento di un pacchetto IPv4 che esce su un'interfaccia vlan (4).
  • Attivato clonazione del dispositivo per bpf (4). Ciò consente al sistema di avere un solo nodo di dispositivo bpf in / dev che fornisce servizi a tutti i consumatori bpf (fino a 1024).
  • La coda Tx del driver cnmac (4) può ora essere elaborata in parallelo al resto del kernel.
  • Il percorso di input di rete è ora eseguito nel contesto del thread.
  • Miglioramenti del programma di installazione:
  • elenco aggiornato dei codici di accesso limitati
  • install.sh e upgrade.sh uniti in install.sub
  • update esegue automaticamente sysmerge (8) in modalità batch prima di fw_update (1)
  • le domande e le risposte vengono registrate in un formato che può essere utilizzato come file di risposta per l'uso da autoinstall (8)
  • / usr / local è impostato su wxallowed durante l'installazione
  • Demoni di routing e altri miglioramenti della rete userland:
  • Aggiungi il supporto della tabella di routing a rc.d (8) e rcctl (8).
  • Lascia che nc (1) supporti i nomi dei servizi oltre ai numeri di porta.
  • Aggiungi -M e -m flag TTL su nc (1).
  • Aggiungi il supporto per AF_UNIX a tcpbench (1).
  • Risolto un problema con la regressione in rarpd (8). Il daemon potrebbe bloccarsi se è rimasto inattivo per un lungo periodo.
  • Aggiunta l'opzione llprio in ifconfig (8).
  • Sono stati modificati più programmi che utilizzano bpf (4) per sfruttare la clonazione del dispositivo bpf (4) aprendo / dev / bpf0 invece di eseguire il looping dei dispositivi / dev / bpf *. Questi programmi includono arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) e tcpdump (8). Anche la libreria libpcap è stata modificata di conseguenza.
  • Miglioramenti della sicurezza:
  • W ^ X è ora strettamente applicato per impostazione predefinita; un programma può solo violarlo se l'eseguibile è contrassegnato con PT_OPENBSD_WXNEEDED e si trova su un filesystem montato con l'opzione wxallowed mount (8). Poiché ci sono ancora troppe porte che violano W ^ X, l'installer monta il filesystem / usr / local con wxallowed. Ciò consente al sistema di base di essere più sicuro fintanto che / usr / local è un filesystem separato. Se non utilizzi programmi che violano W ^ X, ti consigliamo di revocare manualmente tale opzione.
  • La famiglia di funzioni setjmp (3) ora applica i cookie XOR per impilare e restituire i valori dell'indirizzo nel jmpbuf su amd64, hppa, i386, mips64 e powerpc.
  • Mitigazione SROP: sigreturn (2) può ora essere utilizzato solo dal trampolino del segnale fornito dal kernel, con un cookie per rilevare i tentativi di riutilizzo.
  • Per dissuadere gli exploit del riutilizzo del codice, rc (8) ricollega libc.so all'avvio, posizionando gli oggetti in un ordine casuale.
  • Nella famiglia di funzioni getpwnam (3), interrompi l'apertura del database shadow per impostazione predefinita.
  • Permetti a tcpdump (8) -r di essere avviato senza i privilegi di root.
  • Rimuovi systrace.
  • Rimuovi il supporto per l'emulazione di Linux.
  • Rimuovi il supporto per l'opzione usermount.
  • La cache TCP SYN esegue di tanto in tanto la sua funzione hash casuale. Ciò impedisce a un utente malintenzionato di calcolare la distribuzione della funzione di hash con un attacco di temporizzazione.
  • Per contrastare gli attacchi di inondazione SYN, l'amministratore può modificare la dimensione dell'hash array ora. netstat (1) -s -p tcp mostra le informazioni rilevanti per sintonizzare la cache SYN con sysctl (8) net.inet.tcp.
  • L'amministratore può richiedere i privilegi di root per l'associazione ad alcune porte TCP e UDP con sysctl (8) net.inet.tcp.rootonly e sysctl (8) net.inet.udp.rootonly.
  • Rimuovere un puntatore a funzione dalla struttura dati mbuf (9) e utilizzare invece un indice in una matrice di funzioni accettabili.
  • Miglioramenti assortiti:
  • La libreria di thread può ora essere caricata in un processo a thread singolo.
  • Migliore gestione dei simboli e conformità agli standard in libc. Ad esempio, la definizione di una funzione open () non interferirà più con l'operazione di fopen (3).
  • Le sezioni PT_TLS ora sono supportate nell'oggetto inizialmente caricato.
  • Migliore gestione di "nessun percorso" e "percorso vuoto" in fts (3).
  • In pcap (3), fornire le funzioni pcap_free_datalinks () e pcap_offline_filter ().
  • Molti bugfix e pulizia strutturale nella libreria editline (3).
  • Rimuovi le antiche funzioni dbm (3); ndbm (3) rimane.
  • Aggiungi la parola chiave setenv per una gestione più potente dell'ambiente in doas.conf (5).
  • Aggiungi le opzioni -g e -p a aucat.1 per il posizionamento temporale.
  • Riscrivi audioctl (1) con un'interfaccia utente più semplice.
  • Aggiungi l'opzione -F per installare (1) su fsync (2) il file prima di chiuderlo.
  • kdump (1) ora esegue il dump delle strutture di pollfd.
  • Migliora i vari dettagli sulla conformità a ksh (1) POSIX.
  • mknod (8) riscritto in stile pegno (2) e per supportare la creazione di più dispositivi contemporaneamente.
  • Implementare rcctl (8) get all e getdef all.
  • Implementa il flag rcs (1) -I (interattivo).
  • In rcs (1), implementa la sostituzione della parola chiave Mdocdate.
  • Nella parte superiore (1), consentire di filtrare gli argomenti del processo se vengono visualizzati.
  • Aggiunto il supporto UTF-8 per fold (1) e rev (1).
  • Abilita UTF-8 per impostazione predefinita in xterm (1) e pod2man (1).
  • Filtra i caratteri non ASCII nel wall (1).
  • Gestisci la variabile d'ambiente di COLUMNS in modo coerente su molti programmi.
  • Le opzioni -c e -k consentono di fornire certificati client TLS per syslogd (8) sul lato mittente. Con ciò il lato ricevente può verificare che i messaggi di log siano autentici. Nota che syslogd non ha ancora questa funzionalità di controllo.
  • Quando il buffer klog fuoriesce, syslogd scriverà un messaggio di log per mostrare che alcune voci sono mancanti.
  • Su OpenBSD / octeon, il buffering di scrittura della cache della CPU è abilitato per migliorare le prestazioni.
  • pkg_add (1) e pkg_info (1) ora comprendono una nozione di ramo per facilitare la selezione di alcuni pacchetti popolari come python o php, ad esempio pkg_add python% 3.4 per selezionare il ramo 3.4 e usare pkg_info -zm per ottenere un elenco fuzzy con la selezione del ramo adatto per pkg_add -l.
  • fdisk (8) e pdisk (8) escono immediatamente a meno che non sia passato un dispositivo speciale per i caratteri
  • st (4) traccia correttamente il numero di blocchi corrente per blocchi di dimensioni variabili
  • fsck_ext2fs (8) funziona di nuovo
  • i volumi di softraid (4) possono essere costruiti con dischi con una dimensione di settore diversa da 512 byte
  • dhclient (8) DECLINA e scarta OFFERTE non utilizzate.
  • dhclient (8) termina immediatamente se la sua interfaccia (ad esempio un bridge (4)) restituisce EAFNOSUPPORT quando viene inviato un pacchetto.
  • httpd (8) restituisce 400 richieste non valide per le richieste HTTP v0.9.

  • L'inizializzazione del nodo pigro di
  • ffs2 evita di trattare i dati casuali del disco come un inode
  • fcntl (2) invocazioni nei programmi di base usano l'idiota fcntl (n, F_GETFL) invece di fcntl (n, F_GETFL, 0)

  • Le chiamate
  • socket (2) e accept4 (2) nei programmi di base utilizzano SOCK_NONBLOCK per eliminare la necessità di un fcntl separato (2).
  • tmpfs non abilitato di default
  • la semantica del pegno (2) nel kernel è stata migliorata in molti modi. I punti salienti includono: una nuova promessa chown che consente ai programmi impegnati di impostare gli attributi setugid, una più stretta applicazione della promessa recvfd e chroot (2) non è più consentita per i programmi in pegno.
  • sono stati corretti alcuni bug relativi a pledge (2) (mancate promesse, modifiche involontarie del comportamento, arresti anomali), in particolare in gzip (1), nc (1), sed (1), skeyinit (1), stty (1) e varie utilità relative al disco, come disklabel (8) e fdisk (8).
  • Errori di calcolo della dimensione del blocco nel driver audio (4) sono stati corretti.
  • Il driver usb (4) memorizza ora il fornitore e gli ID prodotto. Risolve un problema in cui usbdevs (8) chiamato in un ciclo causava l'arresto del dispositivo di archiviazione di massa USB.
  • I driver rsu (4) e ural (4) ora funzionano di nuovo dopo essere stati accidentalmente rotti in 5.9.
  • OpenSMTPD 6.0.0
  • Sicurezza:
  • Implementa il pattern fork + exec in smtpd (8).
  • Risolve un problema logico nella macchina a stati SMTP che può portare a uno stato non valido e provocare un arresto anomalo.
  • Collega una perdita di puntatore di file che può portare all'esaurimento delle risorse e provocare un arresto anomalo.
  • Utilizza i parametri DH automatici invece di quelli fissi.
  • Disabilita DHE di default poiché è computazionalmente costoso e un potenziale vettore DoS.
  • I seguenti miglioramenti sono stati apportati nella versione 6.1:
  • Aggiungi l'opzione -r all'enqueuer smtpd (8) per la compatibilità con mailx.
  • Aggiungi data o ID messaggio mancanti durante l'ascolto sulla porta di invio.
  • Correzione "smtpctl show queue" che riporta lo stato della busta "non valido".
  • Rileggi il formato dell'intestazione "Ricevuto" in modo che la parte TLS non violi la RFC.
  • Aumentare il numero di connessioni consentite da un indirizzo locale e ridurre il ritardo tra le transazioni nella stessa sessione.
  • Correzione del recapito LMTP ai server che restituiscono le righe di continuazione.
  • Migliora ulteriormente l'API del filtro ancora sperimentale e correggi i vari problemi correlati.
  • Inizia a migliorare e unificare il formato dei messaggi di registro.
  • Corregge diverse discrepanze e errori di documentazione nelle pagine man.
  • OpenSSH 7.3
  • Sicurezza:
  • sshd (8): attenua un potenziale attacco denial-of-service contro la funzione crypt (3) del sistema tramite sshd (8). Un utente malintenzionato potrebbe inviare password molto lunghe che causerebbero un uso eccessivo della CPU in crypt (3). sshd (8) ora rifiuta di accettare richieste di autenticazione della password di lunghezza superiore a 1024 caratteri.
  • sshd (8): attenua le differenze temporali nell'autenticazione della password che potrebbero essere utilizzate per distinguere i nomi di account validi da quelli non validi quando sono state inviate lunghe password e sono in uso particolari algoritmi di hash delle password sul server. CVE-2016-6210.
  • ssh (1), sshd (8): correzione della debolezza osservabile della temporizzazione nelle contromisure oracle padding CBC. Tieni presente che i cifrari CBC sono disabilitati per impostazione predefinita e inclusi solo per compatibilità legacy.
  • ssh (1), sshd (8): migliorare l'ordinamento della verifica MAC per gli algoritmi MAC di trasporto in modalità Encrypt-then-MAC (EtM) per verificare il MAC prima di decrittografare qualsiasi testo cifrato. Ciò elimina la possibilità che differenze temporali trapelino fatti sul testo in chiaro, sebbene non sia nota alcuna perdita di questo tipo.
  • Funzioni nuove / modificate:
  • ssh (1): aggiungi un'opzione ProxyJump e il corrispondente flag -J della riga di comando per consentire l'indirizzamento semplificato attraverso uno o più bastioni SSH o "host di salto".
  • ssh (1): aggiungi un'opzione IdentityAgent per consentire di specificare specifici socket dell'agent invece di accettarne uno dall'ambiente.
  • ssh (1): AllowOnForwardFailure e ClearAllForwardings possono essere sovrascritte facoltativamente quando si usa ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): supporto dell'attrezzo per la modalità terminale IUTF8 come da bozza-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): aggiungere il supporto per ulteriori gruppi Diffie-Hellman 2K, 4K e 8K fissi da draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): supporta le firme RSA SHA256 e SHA512 nei certificati.
  • ssh (1): aggiungi una direttiva Include per i file ssh_config (5).
  • ssh (1): consente di utilizzare i caratteri UTF-8 nei banner di pre-autenticazione inviati dal server. (Bz # 2058)
  • I seguenti errori significativi sono stati risolti nella versione 6.1:
  • In scp (1) e sftp (1), impedisci di azzerare le impostazioni del terminale evitando i byte che non formano caratteri ASCII o UTF-8.
  • ssh (1), sshd (8): riduce il livello syslog di alcuni eventi di protocollo relativamente comuni da LOG_CRIT. (Bz # 2585)
  • sshd (8): Rifiuta AuthenticationMethods = "" nelle configurazioni e accetta AuthenticationMethods = any per il comportamento predefinito di non richiedere l'autenticazione multipla. (Bz # 2398)
  • sshd (8): rimuovi il tentativo di "BREAK-IN POSSIBILE" obsoleto e fuorviante! " messaggio quando i DNS forward e reverse non corrispondono. (Bz # 2585)
  • ssh (1): chiude il processo in background di ControlPersist stderr tranne che in modalità debug o quando si accede a syslog. (Bz # 1988)
  • misc: crea la descrizione di PROTOCOL per direct-streamlocal@openssh.com i messaggi di apertura del canale corrispondono al codice distribuito. (Bz # 2529)
  • ssh (1): consente di deduplicare le voci LocalForward e RemoteForward per correggere gli errori quando sono abilitati sia ExitOnForwardFailure che canonizzazione di hostname. (Bz # 2562)
  • sshd (8): rimuovi il fallback dai moduli al file "primi" obsoleto che era stato deprecato nel 2001. (bz # 2559)
  • sshd_config (5): descrizione corretta di UseDNS: influenza l'elaborazione del nome host ssh per authorized_keys, non known_hosts. (Bz # 2554)
  • ssh (1): correzione dell'autenticazione mediante chiavi di certificato solitario in un agente senza chiavi private corrispondenti sul filesystem. (Bz # 2550)
  • sshd (8): invia ping ClientAliveInterval quando viene impostato un RekeyLimit basato sul tempo; i pacchetti precedentemente keepalive non venivano inviati. (Bz # 2252)
  • OpenNTPD 6.0
  • Quando viene specificato un singolo "vincolo", prova tutti gli indirizzi restituiti finché non ne viene eseguito uno, anziché il primo indirizzo restituito.
  • Rilassato il margine di errore del vincolo per essere proporzionale al numero di peer NTP, evitare riconnessioni costanti quando c'è un peer NTP non valido.
  • Rimosso il supporto del sensore hotplug (4) disabilitato.
  • Aggiunto supporto per il rilevamento degli arresti anomali nei sottoprocessi dei vincoli.
  • Spostato l'esecuzione dei vincoli dal processo ntp al processo principale, consentendo una migliore separazione dei privilegi poiché il processo ntp può essere ulteriormente limitato.
  • Risolto un utilizzo elevato della CPU quando la rete non funziona.
  • Risolti vari problemi di memoria.
  • Passato a RMS per i calcoli del jitter.
  • Funzioni di registrazione unificate con altri programmi di base di OpenBSD.
  • Imposta MOD_MAXERROR per evitare lo stato di ora non sincronizzata quando usi ntp_adjtime.
  • Corretto l'analisi dell'intestazione Timestamp HTTP per utilizzare strptime (3) in modo più portabile.
  • TLS temprato per i vincoli ntpd (8), che consente la verifica del nome del server.
  • LibreSSL 2.4.2
  • Funzioni visibili all'utente:
  • Corretti alcuni collegamenti manpage danneggiati nella destinazione dell'installazione.
  • cert.pem è stato riorganizzato e sincronizzato con l'archivio certificati di Mozilla.
  • Correzione dell'affidabilità, correzione di un errore durante l'analisi di alcuni elementi ASN.1 di dimensioni superiori a 16k.
  • Implementato le suite di crittografia IETF ChaCha20-Poly1305.
  • Corretti i prompt della password da openssl (1) per gestire correttamente ^ C.
  • Miglioramenti del codice:
  • Risolto un problema di compatibilità con nginx aggiungendo un target di build 'install_sw'.
  • Modificata l'implementazione predefinita EVP_aead_chacha20_poly1305 (3) nella versione IETF, che ora è l'impostazione predefinita.
  • Rielaborazione della gestione degli errori in libtls in modo che gli errori di configurazione siano più visibili.
  • Aggiunta la gestione degli errori mancanti attorno alle chiamate bn_wexpand (3).
  • Sono state aggiunte le chiamate esplicite a zero (3) per gli oggetti ASN.1 liberati.
  • Risolto il problema con le funzioni X509_ * set_object per restituire 0 in caso di mancata allocazione.
  • Uso interno deprecato di EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Risolto un problema che impediva l'esecuzione dell'algoritmo di firma DSA in tempo costante anche se il flag BN_FLG_CONSTTIME è impostato.
  • Risolti diversi problemi nel codice OCSP che potevano causare la generazione e l'analisi errate delle richieste OCSP. Questo risolve la mancanza di controllo degli errori sull'analisi del tempo in queste funzioni e garantisce che solo i formati GENERALIZEDTIME siano accettati per OCSP, come da RFC 6960.
  • I seguenti CVE sono stati risolti:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-padding oracle nel controllo MAC CBC AES-NI.
  • CVE-2016-2108-corruzione della memoria nel codificatore ASN.1
  • CVE-2016-2109-ASN.1 BIO allocazione di memoria eccessiva.
  • Porte e pacchetti:
  • Nuovo strumento proot (1) nell'albero dei port per costruire pacchetti in un chroot.
  • Molti pacchetti predefiniti per ogni architettura:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Alcuni punti salienti:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 e 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Vai 1.6.3
  • Groff 1.22.3
  • JDK 7u80 e 8u72
  • KDE 3.5.10 e 4.14.3 (oltre agli aggiornamenti principali di KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 e 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr e 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 e 2.4.44
  • PHP 5.5.37, 5.6.23 e 7.0.8
  • Postfix 3.1.1 e 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 e 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 e 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 e 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Come al solito, miglioramenti costanti nelle pagine di manuale e in altra documentazione.
  • Il sistema include i seguenti componenti principali di fornitori esterni:
  • Xenocara (basato su X.Org 7.7 con xserver 1.18.3 + patch, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 e altro)
  • GCC 4.2.1 (+ patch) e 3.3.6 (+ patch)
  • Perl 5.20.3 (+ patch)
  • SQLite 3.9.2 (+ patch)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patch)
  • Gdb 6.3 (+ patch)
  • Awk 10 agosto 2011 versione
  • Expat 2.1.1

Programmi simili

MidnightBSD
MidnightBSD

12 Feb 17

ubnhd2
ubnhd2

19 Feb 15

Commenti a OpenBSD

I commenti non trovato
Aggiungi commento
Accendere le immagini!