OpenBSD

Screenshot Software:
OpenBSD
Detalii soft:
Versiune: 6.3 Actualizat
Incarca data: 17 Aug 18
Producător: OpenBSD Team
Licenţă: Gratuit
Popularitate: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD este un proiect gratuit care oferă un sistem de operare multi-platformă UNIX care este portabil, eficient, sigur și bazat pe platforma 4.4BSD. Este un produs de server puternic folosit pe sute de mii de computere din întreaga lume.


Disponibilitate, opțiuni de încărcare, platforme acceptate

Sistemul de operare este disponibil gratuit pentru descărcare din secțiunea dedicată (vezi mai sus) ca imagini ISO sau pachete binare care permit utilizatorilor să le instaleze pe rețea. Imaginile ISO pot fi arse pe discuri CD, care pot fi boot-ate direct din BIOS-ul majorității calculatoarelor.

OpenBSD acceptă emularea binară a majorității programelor de la SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS și HP-UX. Poate fi instalat pe o gamă largă de arhitecturi, inclusiv i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 și mips64el.

Imaginea CD se încarcă automat fără interacțiunea cu utilizatorul și îi va întreba dacă dorește să instaleze manual, să upgradeze sau să instaleze automat sistemul de operare, precum și să renunțe la un prompt shell.

Instalare manuală sau automată

O instalare standard (citire: manuală) va cere utilizatorilor să aleagă un layout de tastatură, să stabilească numele de gazdă, să aleagă o interfață de rețea și să o configureze cu IPv4 și / sau IPv6, precum și să stabilească o parolă nouă pentru root administrator de sistem).

În plus, puteți alege să porniți serviciile SSH și NTP atunci când sistemul pornește, alegeți dacă doriți sau nu să utilizați X Window System, configurați un utilizator, alegeți o fus orar, partiționați unitatea de disc și instalați seturi .

Printre pachetele software disponibile pentru OpenBSD se numără mediile desktop GNOME, KDE și Xfce, serverele MySQL, PostgreSQL, Postfix și OpenLDAP, aplicațiile Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim și Chromium, precum și limbile de programare PHP, Python, Ruby, Tcl / Tk, JDK, Mono și Go.


Linia de fund

Sumar, OpenBSD este un sistem de operare BSD / UNIX orientat spre server, foarte puternic, care ne oferă programe de ultimă oră, inclusiv OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED și mandoc.

Ce este nou în această versiune:

  • Sprijin hardware îmbunătățit, inclusiv:
  • Suport SMP pe platformele OpenBSD / arm64.
  • Suport VFP și NEON pe platformele OpenBSD / armv7.
  • Driver nou acrtc (4) pentru codecul audio X-Powers AC100 și ceasul în timp real.
  • Un nou driver axppmic (4) pentru IC-urile de management al puterii X-Powers AXP.
  • Un nou driver bcmrng (4) pentru generatorul de numere aleatoare Broadcom BCM2835 / BCM2836 / BCM2837.
  • Driver nou bcmtemp (4) pentru monitorul de temperatură Broadcom BCM2835 / BCM2836 / BCM2837.
  • driver nou bgw (4) pentru senzorul de mișcare Bosch.
  • Driver nou bwfm (4) pentru dispozitivele Broadcom și Cypress FullMAC 802.11 (încă experimentale și care nu sunt compilate în mod implicit în kernel)
  • Un nou driver efi (4) pentru serviciile runtime EFI.
  • Un nou driver imxanatop (4) pentru regulatorul integrat i.MX6.
  • Un nou driver rkpcie (4) pentru podul Host / PCIe Rockchip RK3399.
  • Un nou driver sxirsb (4) pentru controllerul Allwinner Reduced Serial Bus.
  • Un nou driver sxitemp (4) pentru monitorul temperaturii Allwinner.
  • nou driver sxits (4) pentru senzor de temperatură pe controlerul touchpad Allwinner A10 / A20.
  • Un nou driver sxitwi (4) pentru o magistrală cu două fire găsită pe mai multe SoCs Allwinner.
  • Un nou driver sypwr (4) pentru regulatorul Silergy SY8106A.
  • Suportul pentru Rockchip RK3328 SoCs a fost adăugat la driverele dwge (4), rkgrf (4), rkclock (4) și rkpinctrl (4).
  • Suportul pentru Rockchip RK3288 / RK3328 SoCs a fost adăugat la driverul rktemp (4).
  • Asistența pentru Allwinner A10 / A20, A23 / A33, A80 și R40 / V40 SoCs a fost adăugată la driverul sxiccmu (4).
  • Asistența pentru Allwinner A33, GR8 și R40 / V40 SoCs a fost adăugată la driverul sxipio (4).
  • Suportul pentru SAS3.5 MegaRAIDs a fost adăugat la driverul mfii (4).
  • Suport pentru Intel Cannon Lake și Ethernet Ethernet Ice Lake a fost adăugat driverului em (4).
  • cnmac (4) porturile sunt acum atribuite diferitelor nuclee de procesoare pentru procesarea distribuită a întreruperilor.
  • Driverul pms (4) detectează și gestionează anunțurile de resetare.
  • Pe amd64, microcodul Intel CPU este încărcat la pornire și instalat / actualizat de fw_update (1).
  • Suporta API-ul cookie-ului de întrerupere a sunetului hypervisor sun4v, adăugând suport pentru mașinile SPARC T7-1 / 2/4.
  • Suportul Hibernate a fost adăugat pentru spațiul de stocare SD / MMC atașat controlorilor sdhc (4).
  • clang (1) este acum folosit ca compilator de sistem pe armv7, și este de asemenea furnizat pe sparc64.
  • vmm (4) / vmd (8) îmbunătățiri:
  • Adăugați suportul CD-ROM / DVD ISO pentru vmd (8) prin intermediul vioscsi (4).
  • vmd (8) nu mai creează o interfață de bază pentru switch-urile virtuale definite în vm.conf (5).
  • vmd (8) primește informații despre comutator (rdomain, etc) din interfața de comutare subiacentă în combinație cu setările din vm.conf (5).
  • Suport Counter Time Stamp (TSC) în VM-urile clienților.
  • Sprijină ukvm / Solo5 unikernels în vmm (4).
  • Faceți mai bine codificări de instrucțiuni valide (dar mai puțin frecvente)
  • Sprijin mai bun pentru paginarea PAE pentru VM-urile clienților Linux pe 32 de biți.
  • vmd (8) permite acum până la patru interfețe de rețea în fiecare VM.
  • Adăugați suportul de migrare pauză și suport instantaneu la vmm (4) pentru gazdele AMD SVM / RVI.
  • Comenzile BREAK trimise pe un pty (4) sunt acum înțelese de vmd (8).
  • Multe remedii pentru manipularea erorilor vmctl (8) și vmd (8).
  • îmbunătățiri stack wireless pentru IEEE 802.11:
  • Driverele iwm (4) și iwn (4) vor naviga automat între punctele de acces care au un ESSID. Forțarea unei adrese MAC a unui anumit AP cu comanda bssid a ifconfig dezactivează roamingul.
  • Ștergeți automat cheile WEP / WPA configurate atunci când este configurată o nouă rețea ESSID.
  • S-a eliminat capacitatea utilizatorului de a citi înapoi cheile WEP / WPA configurate din kernel.
  • Driverul iwm (4) se poate conecta la rețele cu un SSID ascuns.
  • Dispozitivele USB acceptate de driverul athn (4) utilizează acum un firmware open source, iar modul hostap funcționează acum cu aceste dispozitive.
  • Îmbunătățiri privind stațiile de rețea generice:
  • Stack-ul de rețea nu mai rulează cu KERNEL_LOCK () când IPsec este activat.
  • Procesarea pachetelor TCP / UDP primite se face acum fără KERNEL_LOCK ().
  • Sarcina de splicing socket rulează fără KERNEL_LOCK ().
  • Curățarea și eliminarea codului în sys / netinet6, deoarece autoconfigurarea rulează acum în userland.
  • punte (4) membrii pot fi acum împiedicați să discute între ei cu noua opțiune protejată.
  • Caracteristica pf divert-packet a fost simplificată. Opțiunea socket IP_DIVERTFL a fost eliminată din redirecționarea (4).
  • Diferitele cazuri în colțuri ale redirecționării către PF și ale redirecționării răspunsului sunt mai consecvente acum.
  • Aplicați în pf (4) că toate pachetele de descoperire a vecinilor au 255 în câmpul de limită pentru hop hop IPv6.
  • Opțiunea de setare nouă a sincronizărilor din pf.conf (5).
  • Sprijin pentru GRE prin IPv6.
  • Driver nou egre (4) pentru Ethernet prin tuneluri GRE.
  • Suport pentru antetul cheie GRE opțional și entropia cheii GRE în gre (4) și egre (4).
  • Driver nou nvgre (4) pentru virtualizarea rețelei utilizând încapsularea generică a rutelor.
  • Suport pentru configurarea pachetelor de patente Do not Fragment încapsulate de interfețele tunel.
  • Îmbunătățirile instalatorului:
  • dacă install.site sau upgrade.site nu reușește, anunțați utilizatorul și eroare după stocarea rand.seed.
  • permite notația CIDR la introducerea adreselor IPv4 și IPv6.
  • repara selecția unei oglinzi HTTP din lista oglinzilor.
  • permiteți "-" în numele de utilizator.
  • puneți o întrebare la sfârșitul procesului de instalare / actualizare, astfel încât returul de călătorie provoacă acțiunea corespunzătoare, de ex. repornire.
  • Afișează modulul (instalare sau upgrade) solicită shell-ul atâta timp cât nu este cunoscut niciun nume de gazdă.
  • să se detecteze corect ce interfață are traseul implicit și dacă a fost configurat prin DHCP.
  • asigurați-vă că seturile pot fi citite din zona prefetch.
  • asigurați-vă că redirecționarea URL-ului este eficientă pentru întreaga instalare / upgrade.
  • adăugați proxy-ul HTTP folosit la preluarea seturilor în rc.firsttime, unde fw_update și syspatch îl pot găsi și utiliza.
  • adăugați logică pentru a susține RFC 7217 cu SLAAC.
  • asigurați-vă că IPv6 este configurat pentru interfețe de rețea create dinamic, cum ar fi vlan (4).
  • creați un nume de gazdă corect dacă opțiunile de căutare pentru nume de domenii și căutare de domenii sunt furnizate în leasingul DHCP.
  • Daemonii de rutare și alte îmbunătățiri ale rețelei de utilizatori:
  • bgpctl (8) are o nouă opțiune ssv care ține intrările de nervuri ca o singură punct și virgulă separată ca pentru selectarea înainte de ieșire.
  • slaacd (8) generează adrese de autoconfigurare fără stări IPv6, aleatoare, dar stabile, conform RFC 7217. Acestea sunt activate în mod prestabilit în conformitate cu RFC 8064.
  • slaacd (8) urmează RFC 4862 prin eliminarea unei limitări artificiale pe prefixele de dimensiune / 64 folosind adrese de autoconfigurare RFC 7217 (aleatoare, dar stabile) și RFC 4941 (confidențialitate)
  • ospfd (8) poate seta acum o metrică pentru o rută în funcție de starea unei interfețe.
  • ifconfig (8) are o nouă opțiune staticarp pentru a face ca interfețele să răspundă numai solicitărilor ARP.
  • ipsecctl (8) poate acum să colabe ieșirile de debit având aceeași sursă sau destinație.
  • Opțiunea -n din netstart (8) nu mai este încurcată cu ruta implicită. Acesta este acum documentat, de asemenea.
  • Îmbunătățirile de securitate:
  • Utilizați și mai multe sanie de trasabilitate pe diferite arhitecturi.
  • Utilizarea mai multor .rodata pentru variabilele constante din sursa de asamblare.
  • Opriți utilizarea funcției x86 "repz ret" în colțurile prăfuite ale copacului.
  • Introduceți "execpromises" în gaj (2).
  • utilitarul elfrdsetroot utilizat pentru a construi ramdisk-urile și procesul de monitorizare a revenirii (8) utilizează acum gaj (2).
  • Pregătește-te pentru introducerea lui MAP_STACK în mmap (2) după 6.3.
  • Împingeți o mică bucată de text kernel legat de KARL în generatorul de numere aleatorii ca entropie la pornire.
  • Puneți un mic decalaj aleatoriu în partea superioară a stivei de filete, astfel încât atacatorii să aibă încă un calcul pentru a efectua munca lor POR.
  • Reducerea vulnerabilității la Meltdown pentru procesoarele AMD64 de la Intel.
  • OpenBSD / arm64 utilizează acum izolarea tabelului de pagini kernel pentru a atenua atacurile Spectre varianta 3 (Meltdown).
  • OpenBSD / armv7 și OpenBSD / arm64 elimină acum Buffer Target Buffer (BTB) pe procesoare care execută execuții speculative pentru a atenua atacurile Spectre variante 2.
  • pool_get (9) perturbe ordinea elementelor de pe paginile nou alocate, făcând mai greu să prezicăți aspectul heap-ului kernelului.
  • Apelul de sistem fktrace (2) a fost șters.
  • dhclient (8) îmbunătățiri:
  • parsarea dhclient.conf (5) nu mai scurgeri de caractere SSID, șiruri care sunt prea lungi pentru tamponul de analiză sau pentru opțiunile și comenzile șirului repetat.
  • Stocarea contractelor de leasing în dhclient.conf (5) nu mai este acceptată.
  • "DENY" nu mai este valabil în dhclient.conf (5).
  • dhclient.conf (5) și dhclient.leases (5), mesajele de eroare de parsare au fost simplificate și clarificate, cu un comportament îmbunătățit în prezența unor punct și virgulă neașteptate.
  • Se iau mai multe grijă să se utilizeze numai informațiile de configurare care au fost analizate cu succes.
  • '- n' a fost adăugat, ceea ce face ca dhclient (8) să iasă după parcurgerea dhclient.conf (5).
  • Fișierele dhclient.leases (5) sunt reprezentate în mod corect în rubricile dhclient.leases (5) în rubricile opționale fără clasă (121) și fără clasă-ms-statice (249)
  • Suprascrieți fișierul specificat cu '-L', mai degrabă decât să îl adăugați.
  • Leasingurile din dhclient.leases (5) conțin acum un atribut "epocă" care înregistrează timpul în care a fost acceptat contractul de leasing, care este folosit pentru a calcula corecțiile corecte de reînnoire, rebindare și expirare.
  • Nu mai este nevoie de subliniere în nume care încalcă RFC 952.
  • Trimiteți necondiționat informațiile despre numele gazdei atunci când solicitați un contract de leasing, eliminând necesitatea dhclient.conf (5) în instalarea implicită.
  • În mod implicit, liniștește-te. "-q" a fost eliminat și "-v" a fost adăugat pentru a permite logarea detaliată.
  • Refuzați ofertele duplicate pentru adresa solicitată.
  • În mod necondiționat, mergeți în fundal după secunde de expirare a legăturii.
  • Reduceți în mod semnificativ înregistrarea în timp ce sunteți liniștiți, dar faceți '-v' log toate informațiile de depanare fără a fi nevoie să compilați un executabil particularizat.
  • Ignoră instrucțiunile de interfață din dhclient.leases (5) și presupune că toate contractele de leasing din fișier sunt pentru interfața care este configurată.
  • Afișează sursa contractului de leasing legat la interfață.
  • Declarațiile "ignorați", "solicitați" și "solicitați" în dhclient.conf (5) adaugă acum opțiunile specificate în lista respectivă, în loc să înlocuiască lista.
  • Eliminați o cursă de pornire care ar putea duce la ieșirea dhclient (8) fără configurarea interfeței.
  • Îmbunătățiri asortate:
  • Reorganizarea codurilor și alte îmbunătățiri ale malloc (3) și prietenilor pentru a le face mai eficiente.
  • Atunci când efectuați operațiile de suspendare sau de hibernare, asigurați-vă că toate sistemele de fișiere sunt sincronizate corect și că sunt curate sau dacă nu pot fi puse într-o stare perfect curată pe disc (din cauza deschiderii fișierelor neîncărcate), apoi marcați-le murdare, / unhibernate este garantat pentru a efectua fsck (8).
  • acme-client (1) autodetectează adresa URL a acordului și urmează redirecționările HTTP de 30x.
  • A fost adăugat __cxa_thread_atexit () pentru a sprijini lanțurile moderne de instrumente C ++.
  • A fost adăugat suportul EVFILT_DEVICE pentru a coca (2) pentru monitorizarea modificărilor la dispozitivele drm (4).
  • ldexp (3) gestionează acum semnul numerelor denormale corect pe mips64.
  • Noi funcții sincos (3) în libm.
  • fdisk (8) asigură acum validitatea decalajelor partițiilor MBR introduse în timpul editării.
  • fdisk (8) asigură acum că valorile implicite se află în intervalul valid.
  • mai puțin (1) divizează acum doar variabila de mediu mai puțin pe '$'.
  • mai puțin (1) nu mai creează un fișier fals când întâlnește '$' în comanda inițială.
  • softraid (4) validează acum numărul de bucăți atunci când asamblați un volum, asigurând sincronizarea metadatelor pe disc și a metadatelor din memorie.
  • disklabel (8) oferă întotdeauna posibilitatea de a edita o dimensiune a fragmentului FFS înainte de a oferi modificarea dimensiunii blocurilor.
  • disklabel (8) permite acum editarea atributului cilindru / grup (cpg) ori de câte ori poate fi editată blocarea partițiilor
  • disklabel (8) detectează acum ^ D și intrarea nevalidă în timpul comenzilor (R) esize.
  • disklabel (8) detectează acumulările și suprasarsele atunci când se utilizează operatorii - / +.
  • Disklabel (8) acum evită o oprire la un număr atunci când se calculează numărul de butelii dintr-o bucată liberă.
  • disklabel (8) validă acum dimensiunea solicitată a partiției în raport cu dimensiunea celei mai mari bucăți libere în loc de spațiul liber total.
  • Suport pentru transferul de transferuri USB prin bpf (4).
  • tcpdump (8) poate înțelege acum depozitele de transfer USB în format USBPcap.
  • Prompturile implicite de csh (1), ksh (1) și sh (1) includ acum numele de gazdă.
  • Alocarea memoriei în ksh (1) a fost schimbată din calloc (3) înapoi la malloc (3), facilitând recunoașterea memoriei neinitializate. Ca rezultat, o eroare legată de istoric în modul de editare emacs a fost descoperită și rezolvată.
  • Noua opțiune de script (1) -c pentru a rula o comandă în loc de shell.
  • Noua opțiune grep (1) -m pentru a limita numărul de potriviri.
  • Noua opțiune uniq (1) -i pentru compararea cazului insensibilă.
  • Șirul de formate printf (3) nu mai este validat când căutați% formate. Bazat pe o comitere de către Android și urmând cele mai multe alte sisteme de operare.
  • Verificarea îmbunătățită a erorilor în vfwprintf (3).
  • Multe programe de bază au fost auditate și fixate pentru descriptorii fișierelor vechi, inclusiv cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) și sshd (8). >
  • Diferite corecții de erori și îmbunătățiri în jot (1):
  • Limitele de lungime arbitrară pentru argumentele pentru opțiunile -b, -s, -w au fost eliminate.
  • Specificatorul de format% F este acum acceptat și o eroare în formatul% D a fost rezolvată.
  • O acoperire mai bună a codului în teste de regresie.
  • Au fost fixate mai multe depășiri tampon.
  • Utilitarul pentru patch-uri (1) se descurcă mai bine cu git diffs care creează sau șterge fișiere.
  • pkg_add (1) are acum un suport îmbunătățit pentru redirecționările HTTP (S), cum ar fi cdn.openbsd.org.
  • ftp (1) și pkg_add (1) acceptă acum reluarea sesiunii HTTPS pentru o viteză îmbunătățită.
  • mandoc (1) -T ps dimensiunea fișierului de ieșire redusă cu mai mult de 50%.
  • syslogd (8) jurnale dacă au existat avertismente în timpul pornirii.
  • syslogd (8) a oprit logarea la fișiere într-un sistem de fișiere complet. Acum scrie un avertisment și continuă după ce spațiul a fost pus la dispoziție.
  • vmt (4) permite acum clonarea și preluarea instantaneelor ​​de rulare a clienților.
  • OpenSMTPD 6.0.4
  • Adăugați opțiunea de mers spf pentru a smtpctl (8).
  • Curățări și îmbunătățiri asortate.
  • Numeroase remedii și îmbunătățiri ale paginilor manuale.
  • OpenSSH 7.7
  • Caracteristici noi / modificate:
  • Toate: Adăugați suport experimental pentru cheile PQC XMSS (semnături bazate pe extensia Hash), pe baza algoritmului descris în https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Codul de semnătură XMSS este experimental și nu este compilat implicit.
  • sshd (8): adăugați un "rdomain" criterii pentru sshd_config Cuvinte cheie de potrivire pentru a permite configurarea condiționată care depinde de domeniul de rutare la care a fost recepționată o conexiune (actualmente acceptată pe OpenBSD și Linux).
  • sshd_config (5): Adăugați un calificativ rdomain opțional la directiva ListenAddress pentru a permite ascultarea pe diferite domenii de rutare. Acest lucru este acceptat numai pe OpenBSD și Linux în prezent.
  • sshd_config (5): Adăugați direcția RDomain pentru a permite ca sesiunea autentificată să fie plasată într-un domeniu de rutare explicit. Acest lucru este acceptat numai în prezent în OpenBSD.
  • sshd (8): Adăugați "timp de expirare" opțiunea pentru fișierele authorized_keys care să permită terminarea cheilor.
  • ssh (1): Adăugați o opțiune BindInterface pentru a permite legarea conexiunii de ieșire la adresa unei interfețe (practic o adresă BindAddress mai utilizabilă).
  • ssh (1): Expuneți dispozitivul alocat pentru redirecționarea ton / robinet printr-o nouă extindere% T pentru LocalCommand. Acest lucru permite ca LocalCommand să fie utilizat pentru a pregăti interfața.
  • sshd (8): Expuneți dispozitivul alocat pentru redirecționare / atingere prin intermediul unei noi variabile de mediu SSH_TUNNEL. Aceasta permite configurarea automată a interfeței și a configurației rețelei înconjurătoare pe server.
  • ssh (1) / scp (1) / sftp (1): adăugați suportul URI la ssh, sftp și scp, de ex. ssh: // user @ host sau sftp: // user @ host / path. Parametrii suplimentari de conectare descrisi în draft-ietf-secsh-scp-sftp-ssh-uri-04 nu sunt implementați, deoarece formatul de amprentă ssh în schiță utilizează hash-ul MD5 depreciat, fără nici un fel de specificare a altui algoritm.
  • ssh-keygen (1): Permiteți intervalul de valabilitate al certificatului care specifică doar un timp de pornire sau oprire (în loc de ambele sau de oricare dintre acestea).
  • sftp (1): Permiteți "cd" și "lcd" comenzi fără argument argument de cale. lcd se va schimba în directorul de acasă al utilizatorului local, ca de obicei. cd se va schimba în directorul de pornire pentru sesiune (deoarece protocolul nu oferă nici o modalitate de a obține directorul de acasă al utilizatorului la distanță). bz # 2760
  • sshd (8): Atunci când faci un test config cu sshd -T, trebuie să ai atribute care sunt utilizate de fapt în criteriile de potrivire, mai degrabă decât (lista incompletă a tuturor criteriilor).
  • Următoarele erori semnificative au fost rezolvate în această versiune:
  • ssh (1) / sshd (8): Verificați cu strictețe tipurile de semnături în timpul schimbului de chei împotriva celor negociate. Previne retrogradarea semnăturilor RSA realizate cu SHA-256/512 la SHA-1.
  • sshd (8): Fixarea suportului pentru client care promovează o versiune de protocol de "1.99" (indicând faptul că sunt pregătiți să accepte atât SSHv1, cât și SSHv2). Acest lucru a fost rupt în OpenSSH 7.6 în timpul eliminării suportului SSHv1. bz # 2810
  • ssh (1): Avertizați atunci când agentul returnează o semnătură ssh-rsa (SHA1) atunci când a fost solicitată o semnătură rsa-sha2-256 / 512. Această condiție este posibilă atunci când se utilizează un agent vechi sau non-OpenSSH. bz # 2799
  • ssh-agent (1): Fixarea regresiei introduce în 7.6 faptul că a provocat ssh-agent să iasă din greșeală dacă a prezentat un mesaj de cerere de semnătură nevalid.
  • sshd_config (5): Acceptați opțiunile de semnalizare da / no în caz de insensibilitate, așa cum sa întâmplat de mult timp în ssh_config (5). bz # 2664
  • ssh (1): Îmbunătățiți raportarea erorilor pentru defecțiuni în timpul conectării. În anumite circumstanțe erorile eronate au fost prezentate. bz # 2814
  • ssh-keyscan (1): Adăugați opțiunea -D pentru a permite imprimarea directă a rezultatelor în format SSHFP. bz # 2821
  • teste regrese: fixați testul interactiv PuTTY rupt în eliminarea SSHv1 din ultima versiune. bz # 2823
  • ssh (1): Soluție de compatibilitate pentru unele servere care renunță eronat la conectarea opțiunii IUTF8 (RFC8160).
  • scp (1): Dezactivați RemoteCommand și RequestTTY în sesiunea ssh pornită de scp (sftp deja a făcut acest lucru.)
  • ssh-keygen (1): Refuzați să creați un certificat cu un număr de directori inutilizabili.
  • ssh-keygen (1): Ieșiți din greșeală dacă ssh-keygen nu poate scrie toată cheia publică în timpul generării cheilor. Anterior, va ignora în tăcere erorile de scriere a comentariului și terminarea liniei noi.
  • ssh (1): Nu modificați argumentele pentru numele de gazdă care sunt adrese prin forțarea automată a acestora la litere mici. În loc să le canonicezi pentru a rezolva ambiguitățile (de exemplu :: 0001 = & :: :: 1) înainte ca acestea să fie potrivite cu know_hosts. bz # 2763
  • ssh (1): Nu acceptați junk după "da" sau "nu" răspunsuri la solicitările de chei host. bz # 2803
  • sftp (1): Sftp să imprime un avertisment despre curățenia shell-ului atunci când decodează primul pachet eșuează, ceea ce este de obicei cauzat de shell-uri care poluează stdout de startup-uri non-interactive. bz # 2800
  • ssh (1) / sshd (8): Comutarea cronometrelor în codul de pachete de la utilizarea timpului de perete la timpul monotonic, permițând stratului de pachete să funcționeze mai bine pe un pas de ceas și evitând eventualele depășiri întregi în timpul pașilor. >
  • Numeroase remedii și îmbunătățiri ale paginilor manuale.
  • LibreSSL 2.7.2
  • S-a adăugat suport pentru multe API-uri OpenSSL 1.0.2 și 1.1, bazate pe observații privind utilizarea în lumea reală în aplicații. Acestea sunt implementate în paralel cu API-urile OpenSSL 1.0.1 existente - modificările de vizibilitate nu au fost făcute în structurile existente, permițând codul scris pentru API-urile mai vechi OpenSSL să continue să funcționeze.
  • Corecții extinse, îmbunătățiri și adăugiri la documentația API, inclusiv noi API publice din OpenSSL care nu aveau documentație preexistentă.
  • Adăugat suport pentru inițierea automată a bibliotecii în libcrypto, libssl și libtls. Suportul pentru pthread_once sau un echivalent compatibil este acum cerut de sistemul de operare țintă. Ca efect secundar, suportul Windows minim este Vista sau mai mare.
  • Conversia mai multor metode de manipulare a pachetelor către CBB, care îmbunătățește rezistența la generarea mesajelor TLS.
  • Rescrierea terminată a procesării extensiei TLS, îmbunătățind consistența verificărilor pentru extensiile malformate și duplicate.
  • Rewrite ASN1_TYPE_ {get, set} _octetstring () utilizând ASN.1 șablon. Aceasta elimină ultima utilizare rămasă a vechilor macro-uri M_ASN1_ * (asn1_mac.h) din API care trebuie să continue să existe.
  • A fost adăugat suport pentru reluarea sesiunii de client în libtls. Un client libtls poate specifica un descriptor al fișierelor de sesiune (un fișier obișnuit cu proprietatea și permisiunile adecvate) și libtls va gestiona citirea și scrierea datelor sesiunii în timpul strângerii de manevre TLS.
  • Sprijin îmbunătățit pentru alinierea strictă la arhitecturile ARMv7, care permite în mod condiționat asamblarea în aceste cazuri.
  • S-a rezolvat o scurgere de memorie în libtls atunci când reutilizați un tls_config.
  • S-a îmbinat mai mult suport DTLS în calea obișnuită a codului TLS, eliminând codul duplicat.
  • Porturi și pachete:
  • dpb (1) și porturile normale (7) se pot bucura acum de același model separat de privilegii prin setarea PORTS_PRIVSEP = Da
  • Multe pachete pre-construite pentru fiecare arhitectură:
  • aarch64: 7990
  • alfa: 1
  • amd64: 9912
  • braț: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Câteva detalii:
  • AFL 2.52b
  • CMake 3.10.2
  • Crom 65.0.3325.181
  • Emacs 21.4 și 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Du-te 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 și 4.14.3 (plus actualizări de bază KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 și 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr și 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 și NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 și 2.4.45
  • PHP 5.6.34 și 7.0.28
  • Postfix 3.3.0 și 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 și 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 și 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 și 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Ca de obicei, îmbunătățiri constante în paginile manuale și în alte documente.
  • Sistemul include următoarele componente majore de la furnizori externi:
  • Xenocara (bazat pe X.Org 7.7 cu xserver 1.19.6 + patch-uri, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 și mai mult)
  • LLVM / Clang 5.0.1 (+ patch-uri)
  • GCC 4.2.1 (+ patch-uri) și 3.3.6 (+ patch-uri)
  • Perl 5.24.3 (+ patch-uri)
  • NSD 4.1.20
  • Neconsolidat 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ patch-uri)
  • Gdb 6.3 (+ patch-uri)
  • Awk versiunea 10 august 2011
  • Expat 2.2.5

Ce este nou în versiunea 6.2:

  • Platforme noi / extinse:
  • ARMv7:
  • adăugat bootloader EFI, kernelurile sunt acum încărcate din FFS în locul sistemelor de fișiere FAT sau EXT, fără anteturi U-Boot.
  • Un singur kernel și ramdisk sunt acum folosite pentru toate SoC-urile.
  • Hardware-ul este enumerat dinamic prin Arborele de Aplatizare (FDT) în loc de tabelele statice bazate pe numerele de identificare ale bordelor.
  • Imaginile de instalare Miniroot includ U-Boot 2016.07 cu suport pentru încărcăturile EFI.
  • VAX:
  • Eliminat.
  • Sprijin hardware îmbunătățit, inclusiv:
  • Un nou driver pentru driverul Intel GP Trail GPIO
  • driver nou chvgpio (4) pentru controllerul Intel Cherry View GPIO.
  • Șofer nou maxrtc (4) pentru ceasul în timp real Maxim DS1307.
  • Driver nou nvme (4) pentru interfața gazdă non-volatile Express Memory (NVMe).
  • Un nou driver pcfrtc (4) pentru ceasul real NXP PCF8523.
  • Driver nou umb (4) pentru modelul de interfață mobilă de bandă largă (MBIM).
  • driver nou ure (4) pentru dispozitive Ethernet USB 10/100 bazate pe RealTek RTL8152.
  • Un nou driver utvfu (4) pentru dispozitive de captare audio / video pe baza dispozitivului Fushicai USBTV007.
  • IWM (4) conducător auto suportă acum Intel Wireless 3165 și 8260 dispozitive, și funcționează mai fiabil în nucleele RAMDISK.
  • Suportul pentru dispozitivele I2C HID cu întreruperi semnalizate GPIO a fost adăugat la dwiic (4).
  • Suportul pentru lățimile mai mari ale magistralei, modurile de viteză mare și transferurile DMA au fost adăugate la sdmmc (4), rtsx (4), sdhc (4) și imxesdhc (4).
  • Suport pentru controlerele USB compatibile EHCI și OHCI pe SoCs Octeon II.
  • Multe drivere de dispozitive USB au fost activate pe OpenBSD / octeon.
  • Sprijin îmbunătățit pentru implementările ACPI cu reducere hardware.
  • Sprijin îmbunătățit pentru implementările ACPI 5.0.
  • Crypto-ul AES-NI se face acum fără a ține blocarea kernel-ului.
  • Sprijin îmbunătățit AGP pe mașinile PowerPC G5.
  • S-a adăugat suport pentru slotul pentru carduri SD în SoCs pentru Traseele Intel Bay.
  • ichiic (4) conducător auto ignoră acum SMBALERT # întrerupe pentru a preveni o furtuna întrerupere cu implementari buggy BIOS.
  • Problemele legate de atașarea dispozitivului cu driverul axen (4) au fost rezolvate.
  • Driverul ral (4) este mai stabil la încărcare cu dispozitive RT2860.
  • Probleme cu clauzele moarte după reluare au fost rezolvate în driverul pckbd (4).
  • Driverul rtsx (4) suportă acum dispozitivele RTS522A.
  • A fost adăugat suport inițial pentru MSI-X.
  • Suportă MSI-X în driverul virtio (4).
  • A fost adăugată o soluție pentru depășirea depășirilor de hardware DMA la driverul dc (4).
  • Driverul acpitz (4) acum rotește ventilatorul după răcire dacă ACPI utilizează histerezis pentru răcire activă.
  • Driverul xhci (4) efectuează corect transferul de la un BIOS capabil de xHCI.
  • Suportul pentru intrarea multi-touch a fost adăugat la driverul wsmouse (4).
  • Driverul uslcom (4) acceptă acum consola seria controlorilor wireless Aruba 7xxx.
  • Driverul re (4) funcționează acum în jurul configurațiilor LED-urilor defecte în EEPROM-urile APU1.
  • Driverul ehci (4) lucrează acum în jurul problemelor cu controlorii ATI USB (de ex. SB700).
  • Driverul xen (4) acceptă acum configurarea domU sub Qubes OS.
  • îmbunătățiri stack wireless pentru IEEE 802.11:
  • Blocul HT a primi logic-ul tamponului urmează algoritmul dat în spec. 802.11-2012 mai îndeaproape.
  • Șoferul iwn (4) ține acum evidența modificărilor protecției HT în timp ce este asociat unui AP AP 11n.
  • Stack-ul wireless și mai multe drivere fac utilizarea mai agresivă a RTS / CTS pentru a evita interferențele de la dispozitivele vechi și nodurile ascunse.
  • Comanda netstat (1) -W afișează acum informații despre evenimentele 802.11n.
  • În modul hostap, nu reutilizați ID-urile de asociere ale nodurilor care sunt încă stocate în cache. Fixează o problemă în care un punct de acces utilizând driverul ral (4) s-ar fi blocat la 1 Mbps, deoarece contabilitatea ratei Tx sa produs pe obiectul nodului greșit.
  • Îmbunătățiri privind stațiile de rețea generice:
  • Tabela de rutare se bazează acum pe ART care oferă o căutare mai rapidă.
  • Numărul căutării rutei pe pachet a fost redus la 1 în calea de redirecționare.
  • Câmpul prioș pentru anteturile VLAN este acum setat corect pe fiecare fragment al unui pachet IPv4 care iese pe o interfață vlan (4).
  • Clonarea dispozitivului a fost activată pentru bpf (4). Acest lucru permite sistemului să aibă un singur nod de dispozitiv bpf în / dev care să ofere servicii tuturor consumatorilor bpf (până la 1024).
  • Coada Tx a driverului cnmac (4) poate fi procesată în paralel cu restul kernelului.
  • Calea de introducere a rețelei este rulată acum în context de fir.
  • Îmbunătățirile instalatorului:
  • lista actualizată de coduri de utilizator restricționate
  • install.sh și upgrade.sh au fuzionat în install.sub
  • actualizarea rulează automat sysmerge (8) în modul batch înainte de fw_update (1)
  • întrebările și răspunsurile sunt înregistrate într-un format care poate fi folosit ca fișier de răspuns pentru utilizare de către autoinstalați (8)
  • / usr / local este setat la wxallowed în timpul instalării
  • Daemonii de rutare și alte îmbunătățiri ale rețelei de utilizatori:
  • Adăugați suportul tabelului de rutare la rc.d (8) și rcctl (8).
  • Lăsați nc (1) să suporte numele serviciului în plus față de numerele de port.
  • Adăugați steagurile TTL -m și -m la nc (1).
  • Adăugați suportul AF_UNIX la tcpbench (1).
  • Fixată o regresie în rarpd (8). Daemonul ar putea fi suspendat dacă ar fi fost inactiv pentru o lungă perioadă de timp.
  • A fost adăugată opțiunea llprio în ifconfig (8).
  • Mai multe programe care utilizează bpf (4) au fost modificate pentru a profita de clonarea dispozitivului bpf (4) prin deschiderea / dev / bpf0 în loc de looping prin dispozitivele / dev / bpf *. Aceste programe includ arp (8), dhclient (8), dhcpd (8), dhcrelay 8, hostapd 8, mopd 8, npppd 8, rarpd 8 și rcddump (8). Biblioteca libpcap a fost, de asemenea, modificată în consecință.
  • Îmbunătățirile de securitate:
  • W ^ X este acum strict impusă în mod implicit; un program îl poate încălca numai dacă executabilul este marcat cu PT_OPENBSD_WXNEEDED și este localizat pe un sistem de fișiere montat cu opțiunea de montare wxallowed (8). Deoarece există încă prea multe porturi care încalcă W ^ X, instalatorul montează sistemul de fișiere / usr / local cu wxallowed. Acest lucru permite sistemului de bază să fie mai sigur, atâta timp cât / usr / local este un sistem de fișiere separat. Dacă nu folosiți programe care încalcă W ^ X, luați în considerare revocarea manuală a acelei opțiuni.
  • Familia de funcții setjmp (3) aplică acum cookie-urile XOR la ​​valorile stack și return-address în jmpbuf pe amd64, hppa, i386, mips64 și powerpc.
  • Mitigarea SROP: sigreturn (2) poate fi utilizată acum doar de trambulina de semnal furnizată de kernel, cu un cookie pentru a detecta încercările de reutilizare.
  • Pentru a împiedica exploatările de reutilizare a codului, rc (8) re-leagă libc.so la pornire, plasând obiectele într-o ordine aleatorie.
  • În familia de funcții getpwnam (3), opriți deschiderea bazei de date a umbrei în mod implicit.
  • Permiteți pornirea tcpdump (8) -r fără privilegii root.
  • Eliminați systrace.
  • Eliminați suportul pentru emularea Linux.
  • Eliminați suportul pentru opțiunea utilizatoruluimount.
  • Cache-ul TCP SYN resetează din când în când funcția sa hash. Acest lucru împiedică un atacator să calculeze distribuția funcției hash cu un atac de sincronizare.
  • Pentru a lucra împotriva atacurilor SYN de inundații, administratorul poate modifica dimensiunea matricei hash acum. netstat (1) -s -p tcp afișează informațiile relevante pentru a regla cache-ul SYN cu sysctl (8) net.inet.tcp.
  • Administratorul poate cere privilegii root pentru legarea la unele porturi TCP și UDP cu sysctl (8) net.inet.tcp.rootonly și sysctl (8) net.inet.udp.rootonly.
  • Eliminați un indicator al funcției din structura de date mbuf (9) și folosiți un index într-o serie de funcții acceptabile.
  • Îmbunătățiri asortate:
  • Biblioteca de fișiere poate fi acum încărcată într-un proces cu un singur file.
  • Îmbunătățirea manipulării simbolurilor și respectarea standardelor în libc. De exemplu, definirea unei funcții open () nu va mai interfera cu funcționarea fopen (3).
  • secțiunile PT_TLS sunt acum acceptate în obiectul încărcat inițial.
  • Îmbunătățirea manipulării "fără căi" și "calea goală" în fts (3).
  • În pcap (3), furnizați funcțiile pcap_free_datalinks () și pcap_offline_filter ().
  • Multe bug-uri și curățare structurală în biblioteca editline (3).
  • Eliminați funcțiile anterioare dbm (3); ndbm (3) rămâne.
  • Adăugați un cuvânt cheie setenv pentru o manipulare mai puternică a mediului în doas.conf (5).
  • Adăugați opțiunile -g și -p la aucat.1 pentru poziționarea în timp.
  • Rescrieți audioctl (1) cu o interfață de utilizator mai simplă.
  • Adăugați opțiunea -F pentru a instala (1) fsync (2) fișierul înainte de al închide.
  • kdump (1) acumulează structuri pollfd.
  • Îmbunătățiți diferitele detalii ale respectării POSIX (1) POSIX.
  • mknod (8) a fost rescris într-un stil de angajament (2) și este compatibil cu crearea mai multor dispozitive simultan.
  • Implementați rcctl (8) obțineți tot și obțineți toate.
  • Implementați pavilionul rcs (1) -I (interactiv).
  • În rcs (1), implementați substituția de cuvinte cheie Mdocdate.
  • În partea superioară (1), permiteți filtrarea argumentelor procesului dacă acestea sunt afișate.
  • S-a adăugat suportul UTF-8 pentru fold (1) și rev (1).
  • Activați implicit UTF-8 în xterm (1) și pod2man (1).
  • Filtrați caracterele non-ASCII în perete (1).
  • Manipulați constant variabila de mediu COLUMNS în multe programe.
  • Opțiunile -c și -k permit să furnizeze certificate client TLS pentru syslogd (8) pe partea de expediere. Cu aceasta, partea receptoare poate verifica dacă mesajele din jurnal sunt autentice. Rețineți că syslogd încă nu are această caracteristică de verificare.
  • Atunci când tamponul klog depășește, syslogd va scrie un mesaj de jurnal pentru a arăta că lipsesc unele intrări.
  • Pe OpenBSD / octeon, buffer-ul de scriere a cache-ului CPU este activat pentru a îmbunătăți performanța.
  • pkg_add (1) și pkg_info (1) înțelegem acum o noțiune de ramură pentru a ușura selectarea unor pachete populare cum ar fi python sau php, de exemplu, spune pkg_add python% 3.4 pentru a selecta ramura 3.4 și folosiți pkg_info -zm obțineți o listă fuzzy cu selecție ramură potrivită pentru pkg_add -l.
  • fdisk (8) și pdisk (8) ieșesc imediat dacă nu a trecut un dispozitiv special caracter
  • st (4) urmărește corect blocul curent pentru blocurile cu dimensiuni variabile
  • fsck_ext2fs (8) funcționează din nou
  • volumele softraid (4) pot fi construite cu discuri care au o dimensiune a sectorului altul decât 512 octeți
  • dhclient (8) DECLINE și elimină OFERTELE neutilizate.
  • dhclient (8) iese imediat dacă interfața sa (de exemplu, un pod (4)) returnează EAFNOSUPPORT atunci când este trimis un pachet.
  • httpd (8) returnează 400 Solicitare incorectă pentru cererile HTTP v0.9.
  • inițializarea nodului leneș al ffs2 evită tratarea datelor aleatoare ale discului ca inode
  • fcntl (2) invocările în programele de bază folosesc idiomul fcntl (n, F_GETFL) în loc de fcntl (n, F_GETFL, 0)
  • socket (2) și accept4 (2) invocații în programele de bază folosesc SOCK_NONBLOCK pentru a elimina necesitatea unui fcntl separat (2).
  • tmpfs nu este activat în mod implicit
  • semantica în kernel a gajului (2) a fost îmbunătățită în numeroase moduri. Printre acestea se numără: o promisiune nouă care permite programelor angajate să stabilească atributele setugid, nu mai este permisă o aplicare mai strictă a promisiunii recvfd și chroot (2) pentru programele angajate.
  • un număr de gaj (2) (promisiuni legate de gândaci lipsă, modificările neintenționate ale comportamentului, accidente) au fost fixate, în special în gzip (1), nc (1), sed (1), skeyinit (1), stty (1) și diverse utilități legate de disc, cum ar fi disklabel (8) și fdisk (8).
  • Au fost rezolvate erorile de calcul al dimensiunii blocului din driverul audio (4).
  • Driverul USB (4) stochează acum ID-urile de furnizor și de produse. Corectează o problemă în care usbdevs (8) chemat într-o buclă ar cauza un dispozitiv USB de stocare în masă pentru a opri funcționarea.
  • Driverele rsu (4) și ural (4) lucrează din nou după ce au fost sparte accidental în 5.9.
  • OpenSMTPD 6.0.0
  • Securitate:
  • Implementați modelul fork + exec în smtpd (8).
  • Remediați o problemă logică în mașina de stare SMTP care poate duce la o stare nevalidă și poate duce la un accident.
  • Conectați o scurgere de indicatori de fișiere care poate duce la epuizarea resurselor și poate duce la un accident.
  • Folosiți parametrii DH automat în locul celor fixe.
  • Dezactivați DHE în mod implicit, deoarece aceasta este computațional costisitoare și un vector potențial DoS.
  • Următoarele îmbunătățiri au fost aduse în versiunea 6.2:
  • Adăugați opțiunea -r la enqueuerul smtpd (8) pentru compatibilitatea cu mailx.
  • Adăugați data lipsă sau ID-ul mesajului atunci când ascultați pe portul de trimitere.
  • Fixați "coadă de afișare smtpctl" raportarea "nevalidă" starea plicului.
  • Redimensionați formatul mesajului "Primit" antet astfel încât partea TLS să nu încalce RFC.
  • Creșteți numărul de conexiuni pe care le poate stabili o adresă locală și reduceți întârzierea dintre tranzacții în aceeași sesiune.
  • Fixați livrarea LMTP către servere care returnează linii de continuare.
  • Îmbunătățiți în continuare API-ul pentru filtre experimentale și remediați diferite probleme legate de acesta.
  • Începeți îmbunătățirea și unificarea formatului mesajelor din jurnal.
  • Fixați mai multe discrepanțe de documentație și greșeli în paginile manuale.
  • OpenSSH 7.3
  • Securitate:
  • sshd (8): Reducerea unui atac potențial de negare a serviciului împotriva funcției de criptare a sistemului (3) prin intermediul sshd (8). Un atacator ar putea trimite parole foarte lungi care ar cauza utilizarea CPU excesivă în criptă (3). sshd (8) refuză acum să accepte cereri de autentificare cu parolă cu o lungime mai mare de 1024 de caractere.
  • sshd (8): Reducerea diferențelor de timp în autentificarea parolei care ar putea fi utilizată pentru a discerne valabil din numele contului nevalid atunci când au fost trimise parole lungi și algoritmii de hash de parole specifici sunt utilizați pe server. CVE-2016-6210.
  • ssh (1), sshd (8): Fixați o slăbiciune temporizabilă observabilă în contramăsurile orbitei CBC. Rețineți că cipurile CBC sunt dezactivate în mod prestabilit și sunt incluse numai pentru compatibilitatea cu versiuni vechi.
  • ssh (1), sshd (8): Îmbunătățirea modului de comandă a verificării MAC pentru algoritmii MAC pentru criptare-apoi-MAC (EtM) pentru a verifica MAC-ul înainte de a decripta orice text cipher. Aceasta elimină posibilitatea ca diferențele de timp să scape de fapte despre textul plaintext, deși nu este cunoscută o astfel de scurgere.
  • Caracteristici noi / modificate:
  • ssh (1): Adăugați o opțiune ProxyJump și steagul corespunzător pentru linia de comandă -J pentru a permite o indirecție simplificată printr-una sau mai multe bastioane SSH sau "gazde de salt".
  • ssh (1): Adăugați o opțiune IdentityAgent pentru a permite specificarea socketurilor specifice de agenți în loc să acceptați una din mediul înconjurător.
  • ssh (1): Permiteți ca opțiunile ExitOnForwardFailure și ClearAllForwardings să fie suprimate opțional atunci când se utilizează ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementați suportul pentru modul terminale IUTF8 ca pe draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): adăugați suport pentru grupuri Diffie-Hellman fixe 2K, 4K și 8K din draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh (1): Adăugați o directivă Include pentru fișierele ssh_config (5).
  • ssh (1): Permiteți caracterele UTF-8 în bannerele de pre-autentificare trimise de la server. (Bz # 2058)
  • Următoarele erori semnificative au fost rezolvate în versiunea 6.2:
  • În scp (1) și sftp (1), împiedicați ștergerea setărilor terminalelor prin scăparea octeților care nu formează caractere ASCII sau UTF-8.
  • ssh (1), sshd (8): Reduceți nivelul syslog al unor evenimente relativ comune din LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = & quot; în configurații și să accepte AuthenticationMethods = orice pentru comportamentul implicit de a nu necesita autentificare multiplă. (Bz # 2398)
  • sshd (8): eliminați "depășită și înșelătoare" "ATTEMPT POSIBIL BREAK-IN!" mesaj când DNS înainte și înapoi nu se potrivesc. (Bz # 2585)
  • ssh (1): Închiderea procesului de fundal ControlPersist stderr, cu excepția modului de depanare sau a conectării la syslog. (Bz # 1988)
  • misc: Faceți descrierea PROTOCOL pentru direct-streamlocal@openssh.com mesajele deschise ale canalului se potrivesc cu codul desfășurat. (Bz # 2529)
  • ssh (1): intrări Deduplicate LocalForward și RemoteForward pentru a remedia defecțiunile atunci când sunt activate ExitOnForwardFailure și canonicalisation. (Bz # 2562)
  • sshd (8): Eliminați backback-ul de la moduli la "primes" fișier care a fost depreciat în 2001. (bz # 2559)
  • sshd_config (5): Descrierea corectă a UseDNS: afectează procesarea numelui de gazdă ssh pentru cheile authorized_keys, not known_hosts. (Bz # 2554)
  • ssh (1): Fixați autentificarea folosind chei de certificat lone într-un agent fără chei private corespunzătoare pe sistemul de fișiere. (Bz # 2550)
  • sshd (8): Trimite ClientAliveInterval ping-uri atunci când este setat un RekeyLimit bazat pe timp; pachetele păstrate anterior nu au fost trimise. (Bz # 2252)
  • OpenNTPD 6.0
  • Când o singură "constrângere" este specificat, încercați toate adresele returnate până când unul reușește, mai degrabă decât prima adresă returnată.
  • S-a relaxat marja de eroare a constrângerilor pentru a fi proporțională cu numărul de colegi NTP, evitând reconectarea constantă atunci când există un peer NTP rău.
  • S-a eliminat suportul pentru senzori hotplug (4).
  • Suport adăugat pentru detectarea accidentelor în subprocesele de constrângere.
  • Mutarea executării constrângerilor de la procesul ntp la procesul părinte, permițând o mai bună separare a privilegiilor, deoarece procesul ntp poate fi restricționat în continuare.
  • Utilizarea CPU fixă ​​mare când rețeaua nu funcționează.
  • S-au fixat diferite scurgeri de memorie.
  • Comutat la RMS pentru calculele de bruiaj.
  • Funcții de logare unificate cu alte programe de bază OpenBSD.
  • Setați MOD_MAXERROR pentru a evita starea de timp nesincronizată atunci când utilizați ntp_adjtime.
  • Analiza antetului fix de timbru HTTP pentru a utiliza strptime (3) într-un mod mai portabil.
  • TLS întărite pentru constrângerile ntpd (8), care permit verificarea numelui serverului.
  • LibreSSL 2.4.2
  • Caracteristici vizibile de utilizator:
  • S-au corectat unele link-uri de manageri rupte în țintă de instalare.
  • cert.pem a fost reorganizat și sincronizat cu magazinul de certificate al companiei Mozilla.
  • Fixarea fiabilității, corectând o eroare la parsarea anumitor elemente ASN.1 de peste 16k.
  • Implementarea suitelor de cifru IETF ChaCha20-Poly1305.
  • Parola fixă ​​solicită din openssl (1) să se ocupe corect de ^ C.
  • Îmbunătățirile codului:
  • A fost rezolvată o problemă de compatibilitate nginx prin adăugarea unei ținte de instalare "install_sw".
  • Modificarea implicită a implementării EVP_aead_chacha20_poly1305 (3) la versiunea IETF, care este acum implicită.
  • Manipularea erorilor reduse în libtls, astfel încât erorile de configurare să fie mai vizibile.
  • A fost adăugată o eroare de eroare în jurul bn_wexpand (3) de apeluri.
  • Adăugat explicit_bzero (3) solicită obiecte eliberate ASN.1.
  • Fixed X509_ * funcțiile set_object pentru a returna 0 la eșecul alocării.
  • Utilizarea internă internată a EVP_ [Cifra | Criptare | Decodare] _Final.
  • S-a rezolvat o problemă care împiedică executarea algoritmului de semnare DSA în timp constant, chiar dacă este setat stegul BN_FLG_CONSTTIME.
  • S-au rezolvat mai multe probleme în codul OCSP care ar putea duce la generarea și parsarea incorectă a cererilor OCSP. Acest lucru remediază lipsa de verificare a erorilor privind analiza timpului în aceste funcții și asigură că numai formatele GENERALIZEDTIME sunt acceptate pentru OCSP, conform RFC 6960.
  • Următoarele CVE-uri au fost reparate:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-oracle de umplutură în verificarea MAC AES-NI CBC.
  • Corupția memoriei CVE-2016-2108 în codificatorul ASN.1
  • CVE-2016-2109-ASN.1 BIO alocare excesivă a memoriei.
  • Porturi și pachete:
  • Un nou instrument proot (1) din arborele de porturi pentru construirea pachetelor într-un chroot.
  • Multe pachete pre-construite pentru fiecare arhitectură:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Câteva detalii:
  • Afl 2.19b
  • Crom 51.0.2704.106
  • Emacs 21.4 și 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Mergeți la 1.6.3
  • Groff 1.22.3
  • JDK 7u80 și 8u72
  • KDE 3.5.10 și 4.14.3 (plus actualizări de bază KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 și 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr și 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 și 2.4.44
  • PHP 5.5.37, 5.6.23 și 7.0.8
  • Postfix 3.1.1 și 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 și 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 și 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 și 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Ca de obicei, îmbunătățiri constante în paginile manuale și în alte documente.
  • Sistemul include următoarele componente majore de la furnizori externi:
  • Xenocara (bazat pe X.Org 7.7 cu XServer 1.18.3 + plasturi, Freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 și mai mult)
  • GCC 4.2.1 (+ patch-uri) și 3.3.6 (+ patch-uri)
  • Perl 5.20.3 (+ patch-uri)
  • SQLite 3.9.2 (+ patch-uri)
  • NSD 4.1.10
  • Neconsolidat 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patch-uri)
  • Gdb 6.3 (+ patch-uri)
  • Awk versiunea 10 august 2011
  • Expat 2.1.1

Ce este nou în versiunea 6.1:

  • Platforme noi / extinse:
  • ARMv7:
  • adăugat bootloader EFI, kernelurile sunt acum încărcate din FFS în locul sistemelor de fișiere FAT sau EXT, fără anteturi U-Boot.
  • Un singur kernel și ramdisk sunt acum folosite pentru toate SoC-urile.
  • Hardware-ul este enumerat dinamic prin Arborele de Aplatizare (FDT) în loc de tabelele statice bazate pe numerele de identificare ale bordelor.
  • Imaginile de instalare Miniroot includ U-Boot 2016.07 cu suport pentru încărcăturile EFI.
  • VAX:
  • Eliminat.
  • Sprijin hardware îmbunătățit, inclusiv:
  • Un nou driver pentru driverul Intel GP Trail GPIO
  • driver nou chvgpio (4) pentru controllerul Intel Cherry View GPIO.
  • Șofer nou maxrtc (4) pentru ceasul în timp real Maxim DS1307.
  • Driver nou nvme (4) pentru interfața gazdă non-volatile Express Memory (NVMe).
  • Un nou driver pcfrtc (4) pentru ceasul real NXP PCF8523.
  • Driver nou umb (4) pentru modelul de interfață mobilă de bandă largă (MBIM).
  • driver nou ure (4) pentru dispozitive Ethernet USB 10/100 bazate pe RealTek RTL8152.
  • Un nou driver utvfu (4) pentru dispozitive de captare audio / video pe baza dispozitivului Fushicai USBTV007.
  • IWM (4) conducător auto suportă acum Intel Wireless 3165 și 8260 dispozitive, și funcționează mai fiabil în nucleele RAMDISK.
  • Suportul pentru dispozitivele I2C HID cu întreruperi semnalizate GPIO a fost adăugat la dwiic (4).
  • Suportul pentru lățimile mai mari ale magistralei, modurile de viteză mare și transferurile DMA au fost adăugate la sdmmc (4), rtsx (4), sdhc (4) și imxesdhc (4).
  • Suport pentru controlerele USB compatibile EHCI și OHCI pe SoCs Octeon II.
  • Multe drivere de dispozitive USB au fost activate pe OpenBSD / octeon.
  • Sprijin îmbunătățit pentru implementările ACPI cu reducere hardware.
  • Sprijin îmbunătățit pentru implementările ACPI 5.0.
  • Crypto-ul AES-NI se face acum fără a ține blocarea kernel-ului.
  • Sprijin îmbunătățit AGP pe mașinile PowerPC G5.
  • S-a adăugat suport pentru slotul pentru carduri SD în SoCs pentru Traseele Intel Bay.
  • ichiic (4) conducător auto ignoră acum SMBALERT # întrerupe pentru a preveni o furtuna întrerupere cu implementari buggy BIOS.
  • Problemele legate de atașarea dispozitivului cu driverul axen (4) au fost rezolvate.
  • Driverul ral (4) este mai stabil la încărcare cu dispozitive RT2860.
  • Probleme cu clauzele moarte după reluare au fost rezolvate în driverul pckbd (4).
  • Driverul rtsx (4) suportă acum dispozitivele RTS522A.
  • A fost adăugat suport inițial pentru MSI-X.
  • Suportă MSI-X în driverul virtio (4).
  • A fost adăugată o soluție pentru depășirea depășirilor de hardware DMA la driverul dc (4).
  • Driverul acpitz (4) acum rotește ventilatorul după răcire dacă ACPI utilizează histerezis pentru răcire activă.
  • Driverul xhci (4) efectuează corect transferul de la un BIOS capabil de xHCI.
  • Suportul pentru intrarea multi-touch a fost adăugat la driverul wsmouse (4).
  • Driverul uslcom (4) acceptă acum consola seria controlorilor wireless Aruba 7xxx.
  • Driverul re (4) funcționează acum în jurul configurațiilor LED-urilor defecte în EEPROM-urile APU1.
  • Driverul ehci (4) lucrează acum în jurul problemelor cu controlorii ATI USB (de ex. SB700).
  • Driverul xen (4) acceptă acum configurarea domU sub Qubes OS.
  • îmbunătățiri stack wireless pentru IEEE 802.11:
  • Blocul HT a primi logic-ul tamponului urmează algoritmul dat în spec. 802.11-2012 mai îndeaproape.
  • Șoferul iwn (4) ține acum evidența modificărilor protecției HT în timp ce este asociat unui AP AP 11n.
  • Stack-ul wireless și mai multe drivere fac utilizarea mai agresivă a RTS / CTS pentru a evita interferențele de la dispozitivele vechi și nodurile ascunse.
  • Comanda netstat (1) -W afișează acum informații despre evenimentele 802.11n.
  • În modul hostap, nu reutilizați ID-urile de asociere ale nodurilor care sunt încă stocate în cache. Fixează o problemă în care un punct de acces utilizând driverul ral (4) s-ar fi blocat la 1 Mbps, deoarece contabilitatea ratei Tx sa produs pe obiectul nodului greșit.
  • Îmbunătățiri privind stațiile de rețea generice:
  • Tabela de rutare se bazează acum pe ART care oferă o căutare mai rapidă.
  • Numărul căutării rutei pe pachet a fost redus la 1 în calea de redirecționare.
  • Câmpul prioș pentru anteturile VLAN este acum setat corect pe fiecare fragment al unui pachet IPv4 care iese pe o interfață vlan (4).
  • Clonarea dispozitivului a fost activată pentru bpf (4). Acest lucru permite sistemului să aibă un singur nod de dispozitiv bpf în / dev care să ofere servicii tuturor consumatorilor bpf (până la 1024).
  • Coada Tx a driverului cnmac (4) poate fi procesată în paralel cu restul kernelului.
  • Calea de introducere a rețelei este rulată acum în context de fir.
  • Îmbunătățirile instalatorului:
  • lista actualizată de coduri de utilizator restricționate
  • install.sh și upgrade.sh au fuzionat în install.sub
  • actualizarea rulează automat sysmerge (8) în modul batch înainte de fw_update (1)
  • întrebările și răspunsurile sunt înregistrate într-un format care poate fi folosit ca fișier de răspuns pentru utilizare de către autoinstalați (8)
  • / usr / local este setat la wxallowed în timpul instalării
  • Daemonii de rutare și alte îmbunătățiri ale rețelei de utilizatori:
  • Adăugați suportul tabelului de rutare la rc.d (8) și rcctl (8).
  • Lăsați nc (1) să suporte numele serviciului în plus față de numerele de port.
  • Adăugați steagurile TTL -m și -m la nc (1).
  • Adăugați suportul AF_UNIX la tcpbench (1).
  • Fixată o regresie în rarpd (8). Daemonul ar putea fi suspendat dacă ar fi fost inactiv pentru o lungă perioadă de timp.
  • A fost adăugată opțiunea llprio în ifconfig (8).
  • Mai multe programe care utilizează bpf (4) au fost modificate pentru a profita de clonarea dispozitivului bpf (4) prin deschiderea / dev / bpf0 în loc de looping prin dispozitivele / dev / bpf *. Aceste programe includ arp (8), dhclient (8), dhcpd (8), dhcrelay 8, hostapd 8, mopd 8, npppd 8, rarpd 8 și rcddump (8). Biblioteca libpcap a fost, de asemenea, modificată în consecință.
  • Îmbunătățirile de securitate:
  • W ^ X este acum strict impusă în mod implicit; un program îl poate încălca numai dacă executabilul este marcat cu PT_OPENBSD_WXNEEDED și este localizat pe un sistem de fișiere montat cu opțiunea de montare wxallowed (8). Deoarece există încă prea multe porturi care încalcă W ^ X, instalatorul montează sistemul de fișiere / usr / local cu wxallowed. Acest lucru permite sistemului de bază să fie mai sigur, atâta timp cât / usr / local este un sistem de fișiere separat. Dacă nu folosiți programe care încalcă W ^ X, luați în considerare revocarea manuală a acelei opțiuni.
  • Familia de funcții setjmp (3) aplică acum cookie-urile XOR la ​​valorile stack și return-address în jmpbuf pe amd64, hppa, i386, mips64 și powerpc.
  • Mitigarea SROP: sigreturn (2) poate fi utilizată acum doar de trambulina de semnal furnizată de kernel, cu un cookie pentru a detecta încercările de reutilizare.
  • Pentru a împiedica exploatările de reutilizare a codului, rc (8) re-leagă libc.so la pornire, plasând obiectele într-o ordine aleatorie.
  • În familia de funcții getpwnam (3), opriți deschiderea bazei de date a umbrei în mod implicit.
  • Permiteți pornirea tcpdump (8) -r fără privilegii root.
  • Eliminați systrace.
  • Eliminați suportul pentru emularea Linux.
  • Eliminați suportul pentru opțiunea utilizatoruluimount.
  • Cache-ul TCP SYN resetează din când în când funcția sa hash. Acest lucru împiedică un atacator să calculeze distribuția funcției hash cu un atac de sincronizare.
  • Pentru a lucra împotriva atacurilor SYN de inundații, administratorul poate modifica dimensiunea matricei hash acum. netstat (1) -s -p tcp afișează informațiile relevante pentru a regla cache-ul SYN cu sysctl (8) net.inet.tcp.
  • Administratorul poate cere privilegii root pentru legarea la unele porturi TCP și UDP cu sysctl (8) net.inet.tcp.rootonly și sysctl (8) net.inet.udp.rootonly.
  • Eliminați un indicator al funcției din structura de date mbuf (9) și folosiți un index într-o serie de funcții acceptabile.
  • Îmbunătățiri asortate:
  • Biblioteca de fișiere poate fi acum încărcată într-un proces cu un singur file.
  • Îmbunătățirea manipulării simbolurilor și respectarea standardelor în libc. De exemplu, definirea unei funcții open () nu va mai interfera cu funcționarea fopen (3).
  • secțiunile PT_TLS sunt acum acceptate în obiectul încărcat inițial.
  • Manipularea îmbunătățită a "fără căi" și "calea goală" în fts (3).
  • În pcap (3), furnizați funcțiile pcap_free_datalinks () și pcap_offline_filter ().
  • Multe bug-uri și curățare structurală în biblioteca editline (3).
  • Eliminați funcțiile anterioare dbm (3); ndbm (3) rămâne.
  • Adăugați un cuvânt cheie setenv pentru o manipulare mai puternică a mediului în doas.conf (5).
  • Adăugați opțiunile -g și -p la aucat.1 pentru poziționarea în timp.
  • Rescrieți audioctl (1) cu o interfață de utilizator mai simplă.
  • Adăugați opțiunea -F pentru a instala (1) fsync (2) fișierul înainte de al închide.
  • kdump (1) acumulează structuri pollfd.
  • Îmbunătățiți diferitele detalii ale respectării POSIX (1) POSIX.
  • mknod (8) a fost rescris într-un stil de angajament (2) și este compatibil cu crearea mai multor dispozitive simultan.
  • Implementați rcctl (8) obțineți tot și obțineți toate.
  • Implementați pavilionul rcs (1) -I (interactiv).
  • În rcs (1), implementați substituția de cuvinte cheie Mdocdate.
  • În partea superioară (1), permiteți filtrarea argumentelor procesului dacă acestea sunt afișate.
  • S-a adăugat suportul UTF-8 pentru fold (1) și rev (1).
  • Activați implicit UTF-8 în xterm (1) și pod2man (1).
  • Filtrați caracterele non-ASCII în perete (1).
  • Manipulați constant variabila de mediu COLUMNS în multe programe.
  • Opțiunile -c și -k permit să furnizeze certificate client TLS pentru syslogd (8) pe partea de expediere. Cu aceasta, partea receptoare poate verifica dacă mesajele din jurnal sunt autentice. Rețineți că syslogd încă nu are această caracteristică de verificare.
  • Atunci când tamponul klog depășește, syslogd va scrie un mesaj de jurnal pentru a arăta că lipsesc unele intrări.
  • Pe OpenBSD / octeon, buffer-ul de scriere a cache-ului CPU este activat pentru a îmbunătăți performanța.
  • pkg_add (1) și pkg_info (1) înțelegem acum o noțiune de ramură pentru a ușura selectarea unor pachete populare cum ar fi python sau php, de exemplu, spune pkg_add python% 3.4 pentru a selecta ramura 3.4 și folosiți pkg_info -zm obțineți o listă fuzzy cu selecție ramură potrivită pentru pkg_add -l.
  • fdisk (8) și pdisk (8) ieșesc imediat dacă nu a trecut un dispozitiv special caracter
  • st (4) urmărește corect blocul curent pentru blocurile cu dimensiuni variabile
  • fsck_ext2fs (8) funcționează din nou
  • volumele softraid (4) pot fi construite cu discuri care au o dimensiune a sectorului altul decât 512 octeți
  • dhclient (8) DECLINE și elimină OFERTELE neutilizate.
  • dhclient (8) iese imediat dacă interfața sa (de exemplu, un pod (4)) returnează EAFNOSUPPORT atunci când este trimis un pachet.
  • httpd (8) returnează 400 Solicitare incorectă pentru cererile HTTP v0.9.
  • inițializarea nodului leneș al ffs2 evită tratarea datelor aleatoare ale discului ca inode
  • fcntl (2) invocările în programele de bază folosesc idiomul fcntl (n, F_GETFL) în loc de fcntl (n, F_GETFL, 0)
  • socket (2) și accept4 (2) invocații în programele de bază folosesc SOCK_NONBLOCK pentru a elimina necesitatea unui fcntl separat (2).
  • tmpfs nu este activat în mod implicit
  • semantica în kernel a gajului (2) a fost îmbunătățită în numeroase moduri. Printre acestea se numără: o promisiune nouă care permite programelor angajate să stabilească atributele setugid, nu mai este permisă o aplicare mai strictă a promisiunii recvfd și chroot (2) pentru programele angajate.
  • un număr de gaj (2) (promisiuni legate de gândaci lipsă, modificările neintenționate ale comportamentului, accidente) au fost fixate, în special în gzip (1), nc (1), sed (1), skeyinit (1), stty (1) și diverse utilități legate de disc, cum ar fi disklabel (8) și fdisk (8).
  • Au fost rezolvate erorile de calcul al dimensiunii blocului din driverul audio (4).
  • Driverul USB (4) stochează acum ID-urile de furnizor și de produse. Corectează o problemă în care usbdevs (8) chemat într-o buclă ar cauza un dispozitiv USB de stocare în masă pentru a opri funcționarea.
  • Driverele rsu (4) și ural (4) lucrează din nou după ce au fost sparte accidental în 5.9.
  • OpenSMTPD 6.0.0
  • Securitate:
  • Implementați modelul fork + exec în smtpd (8).
  • Remediați o problemă logică în mașina de stare SMTP care poate duce la o stare nevalidă și poate duce la un accident.
  • Conectați o scurgere de indicatori de fișiere care poate duce la epuizarea resurselor și poate duce la un accident.
  • Folosiți parametrii DH automat în locul celor fixe.
  • Dezactivați DHE în mod implicit, deoarece aceasta este computațional costisitoare și un vector potențial DoS.
  • Următoarele îmbunătățiri au fost aduse în versiunea 6.1:
  • Adăugați opțiunea -r la enqueuerul smtpd (8) pentru compatibilitatea cu mailx.
  • Adăugați data lipsă sau ID-ul mesajului atunci când ascultați pe portul de trimitere.
  • Fixați "smtpctl show queue", care raportează starea "plicului nevalabil".
  • Redimensionați formatul antetului "Primit" astfel încât partea TLS să nu încalce RFC.
  • Creșteți numărul de conexiuni pe care le poate stabili o adresă locală și reduceți întârzierea dintre tranzacții în aceeași sesiune.
  • Fixați livrarea LMTP către servere care returnează linii de continuare.
  • Îmbunătățiți în continuare API-ul pentru filtre experimentale și remediați diferite probleme legate de acesta.
  • Începeți îmbunătățirea și unificarea formatului mesajelor din jurnal.
  • Fixați mai multe discrepanțe de documentație și greșeli în paginile manuale.
  • OpenSSH 7.3
  • Securitate:
  • sshd (8): Reducerea unui atac potențial de negare a serviciului împotriva funcției de criptare a sistemului (3) prin intermediul sshd (8). Un atacator ar putea trimite parole foarte lungi care ar cauza utilizarea CPU excesivă în criptă (3). sshd (8) refuză acum să accepte cereri de autentificare cu parolă cu o lungime mai mare de 1024 de caractere.
  • sshd (8): Reducerea diferențelor de timp în autentificarea parolei care ar putea fi utilizată pentru a discerne valabil din numele contului nevalid atunci când au fost trimise parole lungi și algoritmii de hash de parole specifici sunt utilizați pe server. CVE-2016-6210.
  • ssh (1), sshd (8): Fixați o slăbiciune temporizabilă observabilă în contramăsurile orbitei CBC. Rețineți că cipurile CBC sunt dezactivate în mod prestabilit și sunt incluse numai pentru compatibilitatea cu versiuni vechi.
  • ssh (1), sshd (8): Îmbunătățirea modului de comandă a verificării MAC pentru algoritmii MAC pentru criptare-apoi-MAC (EtM) pentru a verifica MAC-ul înainte de a decripta orice text cipher. Aceasta elimină posibilitatea ca diferențele de timp să scape de fapte despre textul plaintext, deși nu este cunoscută o astfel de scurgere.
  • Caracteristici noi / modificate:
  • ssh (1): Adăugați o opțiune ProxyJump și flag-ul corespunzător pentru linia de comandă -J pentru a permite o indirecție simplificată printr-una sau mai multe bastionări SSH sau "sari gazde".
  • ssh (1): Adăugați o opțiune IdentityAgent pentru a permite specificarea socketurilor specifice de agenți în loc să acceptați una din mediul înconjurător.
  • ssh (1): Permiteți ca opțiunile ExitOnForwardFailure și ClearAllForwardings să fie suprimate opțional atunci când se utilizează ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementați suportul pentru modul terminale IUTF8 ca pe draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): adăugați suport pentru grupuri Diffie-Hellman fixe 2K, 4K și 8K din draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh (1): Adăugați o directivă Include pentru fișierele ssh_config (5).
  • ssh (1): Permiteți caracterele UTF-8 în bannerele de pre-autentificare trimise de la server. (Bz # 2058)
  • Următoarele erori semnificative au fost rezolvate în versiunea 6.1:
  • În scp (1) și sftp (1), împiedicați ștergerea setărilor terminalelor prin scăparea octeților care nu formează caractere ASCII sau UTF-8.
  • ssh (1), sshd (8): Reduceți nivelul syslog al unor evenimente relativ comune din LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = "" în configurații și acceptați AuthenticationMethods = oricare pentru comportamentul implicit de a nu necesita mai multe autentificări. (Bz # 2398)
  • sshd (8): Îndepărtați depășirea și înșelăciunea "ATENȚIE POSIBILĂ DE BREAK"! mesaj când DNS înainte și înapoi nu se potrivesc. (Bz # 2585)
  • ssh (1): Închiderea procesului de fundal ControlPersist stderr, cu excepția modului de depanare sau a conectării la syslog. (Bz # 1988)
  • misc: Faceți descrierea PROTOCOL pentru direct-streamlocal@openssh.com mesajele deschise ale canalului se potrivesc cu codul desfășurat. (Bz # 2529)
  • ssh (1): intrări Deduplicate LocalForward și RemoteForward pentru a remedia defecțiunile atunci când sunt activate ExitOnForwardFailure și canonicalisation. (Bz # 2562)
  • sshd (8): Eliminați backback-ul de la moduli la fișierul "primes" depășit în 2001. (bz # 2559)
  • sshd_config (5): Descrierea corectă a UseDNS: afectează procesarea numelui de gazdă ssh pentru cheile authorized_keys, not known_hosts. (Bz # 2554)
  • ssh (1): Fixați autentificarea folosind chei de certificat lone într-un agent fără chei private corespunzătoare pe sistemul de fișiere. (Bz # 2550)
  • sshd (8): Trimite ClientAliveInterval ping-uri atunci când este setat un RekeyLimit bazat pe timp; pachetele păstrate anterior nu au fost trimise. (Bz # 2252)
  • OpenNTPD 6.0
  • Când este specificată o singură "constrângere", încercați toate adresele returnate, până când o reușiți, mai degrabă decât prima adresă returnată.
  • S-a relaxat marja de eroare a constrângerilor pentru a fi proporțională cu numărul de colegi NTP, evitând reconectarea constantă atunci când există un peer NTP rău.
  • S-a eliminat suportul pentru senzori hotplug (4).
  • Suport adăugat pentru detectarea accidentelor în subprocesele de constrângere.
  • Mutarea executării constrângerilor de la procesul ntp la procesul părinte, permițând o mai bună separare a privilegiilor, deoarece procesul ntp poate fi restricționat în continuare.
  • Utilizarea CPU fixă ​​mare când rețeaua nu funcționează.
  • S-au fixat diferite scurgeri de memorie.
  • Comutat la RMS pentru calculele de bruiaj.
  • Funcții de logare unificate cu alte programe de bază OpenBSD.
  • Setați MOD_MAXERROR pentru a evita starea de timp nesincronizată atunci când utilizați ntp_adjtime.
  • Analiza antetului fix de timbru HTTP pentru a utiliza strptime (3) într-un mod mai portabil.
  • TLS întărite pentru constrângerile ntpd (8), care permit verificarea numelui serverului.
  • LibreSSL 2.4.2
  • Caracteristici vizibile de utilizator:
  • S-au corectat unele link-uri de manageri rupte în țintă de instalare.
  • cert.pem a fost reorganizat și sincronizat cu magazinul de certificate al companiei Mozilla.
  • Fixarea fiabilității, corectând o eroare la parsarea anumitor elemente ASN.1 de peste 16k.
  • Implementarea suitelor de cifru IETF ChaCha20-Poly1305.
  • Parola fixă ​​solicită din openssl (1) să se ocupe corect de ^ C.
  • Îmbunătățirile codului:
  • A fost rezolvată o problemă de compatibilitate nginx prin adăugarea unei ținte de instalare "install_sw".
  • Modificarea implicită a implementării EVP_aead_chacha20_poly1305 (3) la versiunea IETF, care este acum implicită.
  • Manipularea erorilor reduse în libtls, astfel încât erorile de configurare să fie mai vizibile.
  • A fost adăugată o eroare de eroare în jurul bn_wexpand (3) de apeluri.
  • Adăugat explicit_bzero (3) solicită obiecte eliberate ASN.1.
  • Fixed X509_ * funcțiile set_object pentru a returna 0 la eșecul alocării.
  • Utilizarea internă internată a EVP_ [Cifra | Criptare | Decodare] _Final.
  • S-a rezolvat o problemă care împiedică executarea algoritmului de semnare DSA în timp constant, chiar dacă este setat stegul BN_FLG_CONSTTIME.
  • S-au rezolvat mai multe probleme în codul OCSP care ar putea duce la generarea și parsarea incorectă a cererilor OCSP. Acest lucru remediază lipsa de verificare a erorilor privind analiza timpului în aceste funcții și asigură că numai formatele GENERALIZEDTIME sunt acceptate pentru OCSP, conform RFC 6960.
  • Următoarele CVE-uri au fost reparate:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-oracle de umplutură în verificarea MAC AES-NI CBC.
  • Corupția memoriei CVE-2016-2108 în codificatorul ASN.1
  • CVE-2016-2109-ASN.1 BIO alocare excesivă a memoriei.
  • Porturi și pachete:
  • Un nou instrument proot (1) din arborele de porturi pentru construirea pachetelor într-un chroot.
  • Multe pachete pre-construite pentru fiecare arhitectură:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Câteva detalii:
  • Afl 2.19b
  • Crom 51.0.2704.106
  • Emacs 21.4 și 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Mergeți la 1.6.3
  • Groff 1.22.3
  • JDK 7u80 și 8u72
  • KDE 3.5.10 și 4.14.3 (plus actualizări de bază KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 și 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr și 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 și 2.4.44
  • PHP 5.5.37, 5.6.23 și 7.0.8
  • Postfix 3.1.1 și 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 și 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 și 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 și 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Ca de obicei, îmbunătățiri constante în paginile manuale și în alte documente.
  • Sistemul include următoarele componente majore de la furnizori externi:
  • Xenocara (bazat pe X.Org 7.7 cu xserver 1.18.3 + patch-uri, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 și altele)
  • GCC 4.2.1 (+ patch-uri) și 3.3.6 (+ patch-uri)
  • Perl 5.20.3 (+ patch-uri)
  • SQLite 3.9.2 (+ patch-uri)
  • NSD 4.1.10
  • Neconsolidat 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patch-uri)
  • Gdb 6.3 (+ patch-uri)
  • Awk versiunea 10 august 2011
  • Expat 2.1.1

Software similare

Ubuntu Core
Ubuntu Core

9 Dec 15

TrueOS
TrueOS

12 Jul 17

MccM MixTheme MT
MccM MixTheme MT

15 Apr 15

GhostBSD LXDE
GhostBSD LXDE

20 Feb 15

Comentarii la OpenBSD

Comentariile nu a fost găsit
Adauga comentarii
Porniţi pe imagini!