OpenBSD

Screenshot der Software:
OpenBSD
Softwarebeschreibung:
Version: 6.3 Aktualisiert
Upload-Datum: 17 Aug 18
Entwickler: OpenBSD Team
Lizenz: Frei
Popularität: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD ist ein kostenloses Projekt, das ein plattformunabhängiges UNIX-ähnliches Betriebssystem bietet, das portabel, effizient, sicher und auf der 4.4BSD-Plattform basiert. Es ist ein leistungsfähiges Serverprodukt, das weltweit auf Hunderttausenden von Computern verwendet wird.


Verfügbarkeit, Startoptionen, unterstützte Plattformen

Das Betriebssystem kann kostenlos aus dem dedizierten Abschnitt (siehe oben) als ISO-Images oder Binärpakete heruntergeladen werden, die Benutzern die Installation über das Netzwerk ermöglichen. Die ISO-Images können auf CD-Discs gebrannt werden, die direkt aus dem BIOS der meisten PCs gestartet werden können.

OpenBSD unterstützt die binäre Emulation der meisten Programme von SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS und HP-UX. Es kann auf einer Vielzahl von Architekturen installiert werden, einschließlich i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 und mips64el.

Das CD-Image wird automatisch ohne Benutzerinteraktion gestartet und fragt Sie, ob das Betriebssystem manuell installiert, aktualisiert oder automatisch installiert werden soll und ob eine Shell-Eingabeaufforderung angezeigt werden soll.

Manuelle oder automatische Installation

Bei einer Standardinstallation (Lesen: manuell) müssen Benutzer ein Tastaturlayout auswählen, den Hostnamen festlegen, eine Netzwerkschnittstelle auswählen und sie mit IPv4 und / oder IPv6 konfigurieren sowie ein neues Kennwort für den Stamm festlegen ( Systemadministrator).

Darüber hinaus können Sie wählen, ob die SSH- und NTP-Dienste beim Systemstart gestartet werden sollen, ob Sie das X Window System verwenden möchten oder nicht, einen Benutzer einrichten, eine Zeitzone auswählen, das Festplattenlaufwerk partitionieren und Sets installieren .

Unter den enthaltenen Softwarepaketen für OpenBSD können wir die Desktop-Umgebungen GNOME, KDE und Xfce, die Server MySQL, PostgreSQL, Postfix und OpenLDAP, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim und Chromium erwähnen, sowie die Programmiersprachen PHP, Python, Ruby, Tcl / Tk, JDK, Mono und Go.


Endeffekt

Zusammenfassend ist OpenBSD ein leistungsstarkes und vielbeachtetes server-orientiertes BSD / UNIX-Betriebssystem, das uns State-of-the-Art-Software zur Verfügung stellt, einschließlich OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED und mandoc.

Was ist neu in dieser Version:

  • Verbesserte Hardware-Unterstützung, einschließlich:
  • SMP-Unterstützung auf OpenBSD / arm64-Plattformen.
  • VFP- und NEON-Unterstützung auf OpenBSD / armv7-Plattformen.
  • Neuer acrtc (4) Treiber für X-Powers AC100 Audio Codec und Echtzeituhr.
  • Neuer axppmic (4) Treiber für X-Power AXP Power Management ICs.
  • Neuer bcmrng (4) Treiber für den Broadcom BCM2835 / BCM2836 / BCM2837 Zufallsgenerator.
  • Neuer bcmtemp (4) Treiber für Broadcom BCM2835 / BCM2836 / BCM2837 Temperaturmonitor.
  • Neuer bgw (4) Treiber für Bosch Bewegungssensor.
  • Neuer bwfm (4) Treiber für Broadcom und Cypress FullMAC 802.11 Geräte (immer noch experimentell und nicht standardmäßig in den Kernel kompiliert)
  • Neuer efi (4) -Treiber für EFI-Laufzeitdienste.
  • Neuer imxanatop (4) -Treiber für den integrierten i.MX6-Regler.
  • Neuer rkpcie (4) Treiber für Rockchip RK3399 Host / PCIe Brücke.
  • Neuer sxirsb (4) Treiber für den Allwinner Reduced Serial Bus Controller.
  • Neuer sxitemp (4) Treiber für den Allwinner Temperaturmonitor.
  • Neuer sxits (4) Treiber für Temperatursensor auf Allwinner A10 / A20 Touchpad Controller.
  • Neuer sxitwi (4) -Treiber für Zweidraht-Bus, der auf mehreren Allwinner-SoCs gefunden wurde.
  • Neuer sypwr (4) Treiber für den Silergy SY8106A Regler.
  • Die Unterstützung für Rockchip RK3328 SoCs wurde den Treibern dwge (4), rkgrf (4), rkclock (4) und rkpinctrl (4) hinzugefügt.
  • Unterstützung für Rockchip RK3288 / RK3328 SoCs wurde dem rktemp (4) -Treiber hinzugefügt.
  • Unterstützung für Allwinner A10 / A20-, A23 / A33-, A80- und R40 / V40-SoCs wurde dem sicxcmu (4) -Treiber hinzugefügt.
  • Unterstützung für Allwinner A33, GR8 und R40 / V40 SoCs wurde dem sxipio (4) Treiber hinzugefügt.
  • Unterstützung für SAS3.5 MegaRAIDs wurde dem mfii (4) -Treiber hinzugefügt.
  • Unterstützung für Intel Cannon Lake und Ice Lake integriertes Ethernet wurde dem em (4) Treiber hinzugefügt.
  • cnmac (4) -Ports sind jetzt verschiedenen CPU-Kernen für verteilte Interrupt-Verarbeitung zugewiesen.
  • Der pms (4) -Treiber erkennt jetzt Reset-Ansagen und behandelt sie.
  • Amd64 wird der Intel CPU-Mikrocode beim Booten geladen und von fw_update (1) installiert / aktualisiert.
  • Unterstützen Sie die Sun4v-Hypervisor-Interrupt-Cookie-API und fügen Sie Unterstützung für SPARC T7-1 / 2/4-Maschinen hinzu.
  • Die Unterstützung von Hibernate wurde für SD / MMC-Speicher hinzugefügt, die an SDHC-Controller (4) angeschlossen sind.
  • clang (1) wird jetzt als System-Compiler für armv7 verwendet und wird auch auf sparc64 bereitgestellt.
  • vmm (4) / vmd (8) Verbesserungen:
  • Fügen Sie CD-ROM / DVD-ISO-Unterstützung für vmd (8) über vioscsi (4) hinzu.
  • vmd (8) erstellt keine zugrunde liegende Bridge-Schnittstelle mehr für virtuelle Switches, die in vm.conf (5) definiert sind.
  • vmd (8) empfängt Switch-Informationen (rdomain usw.) von der zugrunde liegenden Switch-Schnittstelle in Verbindung mit den Einstellungen in vm.conf (5).
  • Unterstützung von Zeitstempel-Counter (TSC) in Gast-VMs.
  • Unterstützung von ukvm / Solo5 in vmm (4).
  • Behandle gültige (aber ungewöhnliche) Befehlskodierungen besser.
  • Bessere PAE-Paging-Unterstützung für 32-Bit-Linux-Gast-VMs.
  • vmd (8) erlaubt jetzt bis zu vier Netzwerkschnittstellen in jeder VM.
  • Fügen Sie pausierte Migrations- und Snapshot-Unterstützung für AMD SVM / RVI-Hosts zu vmm (4) hinzu.
  • BREAK-Befehle, die über pty (4) gesendet werden, werden jetzt von vmd (8) verstanden.
  • Viele Fehlerbehebungen in vmctl (8) und vmd (8) Fehlerbehandlung.
  • IEEE 802.11 Wireless Stack-Verbesserungen:
  • Die Treiber iwm (4) und iwn (4) roamen automatisch zwischen Access Points, die sich eine ESSID teilen. Durch das Erzwingen der MAC-Adresse eines bestimmten AP mit dem Befehl bssid von ifconfig wird das Roaming deaktiviert.
  • Löscht automatisch konfigurierte WEP / WPA-Schlüssel, wenn eine neue Netzwerk-ESSID konfiguriert ist.
  • Die Benutzerland-Funktion zum Lesen der konfigurierten WEP / WPA-Schlüssel vom Kernel wurde entfernt.
  • Der iwm (4) -Treiber kann jetzt Verbindungen zu Netzwerken mit einer versteckten SSID herstellen.
  • USB-Geräte, die vom athn (4) -Treiber unterstützt werden, verwenden jetzt eine Open-Source-Firmware, und der Host-Modus funktioniert nun mit diesen Geräten.
  • Generische Netzwerk-Stack-Verbesserungen:
  • Der Netzwerkstack wird nicht mehr mit KERNEL_LOCK () ausgeführt, wenn IPsec aktiviert ist.
  • Die Verarbeitung eingehender TCP / UDP-Pakete erfolgt jetzt ohne KERNEL_LOCK ().
  • Die Socket-Spleißaufgabe wird ohne KERNEL_LOCK () ausgeführt.
  • Bereinigung und Entfernung von Code in sys / netinet6, da die Autokonfiguration jetzt im Benutzerland ausgeführt wird.
  • bridge (4) Mitglieder können jetzt daran gehindert werden, mit der neuen geschützten Option miteinander zu kommunizieren.
  • Die Funktion "pf divert-packet" wurde vereinfacht. Die Socket-Option IP_DIVERTFL wurde aus der Umleitung (4) entfernt.
  • Verschiedene Fälle von pf divert-to und divert-reply sind jetzt konsistenter.
  • Erzwingen Sie in pf (4), dass alle Neighbor Discovery-Pakete 255 in ihrem IPv6-Header-Hop-Limit-Feld haben.
  • Neu set syncookies Option in pf.conf (5).
  • Unterstützung für GRE über IPv6.
  • Neuer egre (4) -Treiber für Ethernet über GRE-Tunnel.
  • Unterstützung für den optionalen GRE-Schlüsselheader und die GRE-Schlüsselentropie in gre (4) und egre (4).
  • Neuer nvgre (4) -Treiber für die Netzwerkvirtualisierung mit generischer Routing-Kapselung.
  • Unterstützung für die Konfiguration der Do not Fragment Flag-Pakete, die von Tunnel-Interfaces gekapselt sind.
  • Installer-Verbesserungen:
  • Wenn install.site oder upgrade.suite fehlschlägt, benachrichtigen Sie den Benutzer und geben Sie nach dem Speichern von rand.seed einen Fehler aus.
  • erlaubt CIDR-Notation bei der Eingabe von IPv4- und IPv6-Adressen.
  • Reparatur Auswahl eines HTTP-Spiegels aus der Liste der Spiegel.
  • erlauben Sie '-' in Benutzernamen.
  • Stellen Sie am Ende des Installations- / Upgradeprozesses eine Frage, sodass die Wagenrückgabe die entsprechende Aktion auslöst, z. Neustart.
  • zeigt die Eingabeaufforderungen für den Modus (Installation oder Upgrade) an, solange kein Hostname bekannt ist.
  • erkennt korrekt, welche Schnittstelle die Standardroute hat und ob sie über DHCP konfiguriert wurde.
  • Stellen Sie sicher, dass Sätze aus dem Prefetch-Bereich gelesen werden können.
  • Stellen Sie sicher, dass die URL-Umleitung für die gesamte Installation / Aktualisierung wirksam ist.
  • Fügen Sie den HTTP-Proxy hinzu, der beim Abrufen von Sätzen in rc.firsttime verwendet wird, wobei fw_update und syspatch sie finden und verwenden können.
  • fügen Sie Logik hinzu, um RFC 7217 mit SLAAC zu unterstützen.
  • stellen Sie sicher, dass IPv6 für dynamisch erstellte Netzwerkschnittstellen wie vlan (4) konfiguriert ist.
  • Erstellen Sie den richtigen Hostnamen, wenn sowohl Domänennamen- als auch Domänensuchoptionen in der DHCP-Lease bereitgestellt werden.
  • Routing-Dämonen und andere Benutzerland-Netzwerk-Verbesserungen:
  • bgpctl (8) hat eine neue ssv-Option, die Rib-Einträge als ein einzelnes Semikolon ausgibt, wie bei der Auswahl vor der Ausgabe.
  • slaacd (8) erzeugt zufällige, aber stabile IPv6 statuslose Autokonfigurationsadressen nach RFC 7217. Diese sind standardmäßig gemäß RFC 8064 aktiviert.
  • slaacd (8) folgt RFC 4862, indem eine künstliche Beschränkung für / 64-dimensionale Präfixe mit statuslosen Autokonfigurationsadressen RFC 7217 (zufällig, aber stabil) und RFC 4941 (Privacy) entfernt wird.
  • ospfd (8) kann nun die Metrik für eine Route abhängig vom Status einer Schnittstelle festlegen.
  • ifconfig (8) verfügt über eine neue staticarp-Option, mit der Interfaces nur auf ARP-Anfragen antworten können.
  • ipsecctl (8) kann jetzt Flow-Ausgaben mit derselben Quelle oder demselben Ziel ausblenden.
  • Die Option -n in netstart (8) führt nicht mehr zur Standardroute. Es ist jetzt auch dokumentiert.
  • Sicherheitsverbesserungen:
  • Verwenden Sie noch mehr Trap-Schlitten auf verschiedenen Architekturen.
  • Weitere Verwendung von .rodata für konstante Variablen in der Assembly-Quelle.
  • Beenden Sie die Verwendung von x86 "repz ret". in staubigen Ecken des Baumes.
  • Führen Sie "execompromises" ein. in Versprechen (2).
  • Das Dienstprogramm elffrdsetroot, das zum Erstellen von Ramdisks und dem Überwachungsprozess von rebound (8) verwendet wird, verwendet jetzt pledge (2).
  • Bereiten Sie sich auf die Einführung von MAP_STACK in mmap (2) nach 6.3 vor.
  • Schieben Sie einen kleinen Teil KARL-verknüpften Kernel-Text als Entropie beim Start in den Zufallsgenerator.
  • Setzen Sie eine kleine zufällige Lücke oben auf die Thread-Stacks, damit Angreifer noch eine weitere Berechnung für ihre ROP-Arbeit ausführen können.
  • Schadensbegrenzung für die Meltdown-Schwachstelle für Intel-AMD64-CPUs.
  • OpenBSD / arm64 verwendet nun die Kernel-Seitentabellen-Isolation, um Angriffe der Spectre-Variante 3 (Meltdown) zu mildern.
  • OpenBSD / armv7 und OpenBSD / arm64 spülen jetzt den Branch Target Buffer (BTB) auf Prozessoren, die eine spekulative Ausführung durchführen, um Spectre-Variante-2-Attacken abzuschwächen.
  • pool_get (9) stört die Reihenfolge der Elemente auf neu zugewiesenen Seiten, wodurch das Kernel-Heap-Layout schwerer vorhersagbar wird.
  • Der Systemaufruf fktrace (2) wurde gelöscht.
  • dhclient (8) Verbesserungen:
  • Das Parsen von dhclient.conf (5) führt nicht mehr zu SSID-Zeichenfolgen, Zeichenfolgen, die für den Analysepuffer zu lang sind, oder zu wiederholten Zeichenfolgenoptionen und -befehlen.
  • Das Speichern von Leases in dhclient.conf (5) wird nicht mehr unterstützt.
  • 'DENY' ist in dhclient.conf (5) nicht mehr gültig.
  • dhclient.conf (5) und dhclient.leases (5) Parsing-Fehlermeldungen wurden vereinfacht und verdeutlicht, mit verbessertem Verhalten bei unerwarteten Semikolons.
  • Es wird mehr darauf geachtet, nur Konfigurationsinformationen zu verwenden, die erfolgreich analysiert wurden.
  • '- n' wurde hinzugefügt, wodurch dhclient (8) nach der Analyse von dhclient.conf (5) beendet wird.
  • Standardrouten in den Optionen classless-static-routes (121) und classless-ms-static-routes (249) werden nun korrekt in dhclient.leases (5) -Dateien dargestellt.
  • Überschreibe die mit '-L' angegebene Datei, anstatt sie anzuhängen.
  • Leasingverträge in dhclient.leases (5) enthalten jetzt ein "epoch" -Attribut, das den Zeitpunkt aufzeichnet, an dem der Leasingvertrag angenommen wurde, der zur Berechnung korrekter Verlängerungs-, Neubindungs- und Ablaufzeiten verwendet wird.
  • Kein Wort mehr über Unterstriche in Namen, die RFC 952 verletzen.
  • Senden Sie bei der Anforderung eines Leases bedingungslos Host-Name-Informationen, sodass die Option dhclient.conf (5) in der Standardinstallation nicht mehr benötigt wird.
  • Sei standardmäßig ruhig. '-q' wurde entfernt und '-v' hinzugefügt, um eine ausführliche Protokollierung zu ermöglichen.
  • Ablehnen doppelte Angebote für die angeforderte Adresse.
  • Unbedingt nach Link-Timeout Sekunden in den Hintergrund treten.
  • Verringern Sie die Protokollierung erheblich, wenn Sie still sind, aber machen Sie '-v', um alle Debug-Informationen zu protokollieren, ohne dass Sie eine benutzerdefinierte ausführbare Datei kompilieren müssen.
  • Ignoriere 'interface'-Anweisungen in dhclient.leases (5) und gehe davon aus, dass alle Leases in der Datei für die zu konfigurierende Schnittstelle sind.
  • Zeigen Sie die Quelle der an die Schnittstelle gebundenen Leases an.
  • Die Deklarationen "ignore", "request" und "require" in dhclient.conf (5) fügen jetzt die angegebenen Optionen der relevanten Liste hinzu, anstatt die Liste zu ersetzen.
  • Beseitigen Sie ein Startup-Rennen, das dazu führen könnte, dass dhclient (8) beendet wird, ohne die Schnittstelle zu konfigurieren.
  • Verschiedene Verbesserungen:
  • Code-Reorganisation und andere Verbesserungen für malloc (3) und Freunde, um sie effizienter zu machen.
  • Stellen Sie bei Suspend- oder Hibernate-Vorgängen sicher, dass alle Dateisysteme ordnungsgemäß synchronisiert und als sauber gekennzeichnet sind oder wenn sie nicht vollständig in den Zustand "sauber" versetzt werden können (wegen geöffneter + nicht verknüpfter Dateien) und als fehlerhaft gekennzeichnet werden / unhibernate wird garantiert fsck (8) ausführen.
  • acme-client (1) erkennt automatisch die Übereinstimmungs-URL und folgt 30x HTTP-Weiterleitungen.
  • Es wurde __cxa_thread_atexit () hinzugefügt, um moderne C ++ - Werkzeugketten zu unterstützen.
  • EVFILT_DEVICE Unterstützung für kqueue (2) hinzugefügt, um Änderungen an drm (4) Geräten zu überwachen.
  • ldexp (3) behandelt jetzt das Vorzeichen von Denormalzahlen auf mips64 korrekt.
  • Neue sincos (3) Funktionen in libm.
  • fdisk (8) stellt jetzt die Gültigkeit von MBR-Partitionsoffsets sicher, die während der Bearbeitung eingegeben wurden.
  • fdisk (8) stellt jetzt sicher, dass die Standardwerte innerhalb des gültigen Bereichs liegen.
  • less (1) spaltet jetzt nur die Umgebungsvariable LESS für '$'.
  • less (1) erstellt keine unechte Datei mehr, wenn im Anfangsbefehl '$' auftritt.
  • softraid (4) überprüft jetzt die Anzahl der Chunks beim Zusammenstellen eines Volumes und stellt sicher, dass die Metadaten auf der Festplatte und im Arbeitsspeicher synchronisiert sind.
  • disklabel (8) bietet jetzt immer an, die Fragmentgröße einer FFS-Partition zu bearbeiten, bevor die Bearbeitung der Blockgröße angeboten wird.
  • disklabel (8) erlaubt nun das Bearbeiten des Attributes cylinders / group (cpg), wenn die Partition blocksize bearbeitet werden kann.
  • disklabel (8) erkennt jetzt ^ D und ungültige Eingaben während (R) esize-Befehlen.
  • disklabel (8) erkennt jetzt Unterläufe und Überläufe, wenn - / + Operatoren verwendet werden.
  • disklabel (8) vermeidet jetzt ein "Off-by-One" bei der Berechnung der Anzahl der Zylinder in einem freien Chunk.
  • disklabel (8) validiert jetzt die angeforderte Partitionsgröße gegen die Größe des größten freien Chunks anstelle des gesamten freien Speicherplatzes.
  • Unterstützung für das Ablegen von USB-Übertragungen über bpf (4).
  • tcpdump (8) kann jetzt Dumps von USB-Übertragungen im USBPcap-Format verstehen.
  • Die Standardaufforderungen von csh (1), ksh (1) und sh (1) enthalten jetzt den Hostnamen.
  • Die Speicherzuweisung in ksh (1) wurde von calloc (3) zurück in malloc (3) geändert, was das Erkennen von nicht initialisiertem Speicher erleichtert. Als Ergebnis wurde ein Fehler im Emacs-Bearbeitungsmodus entdeckt und behoben.
  • Neues Skript (1) -c Option, um einen Befehl anstelle einer Shell auszuführen.
  • Neue Option grep (1) -m, um die Anzahl der Übereinstimmungen zu begrenzen.
  • Neue Option uniq (1) -i für Vergleiche ohne Berücksichtigung der Groß- und Kleinschreibung.
  • Die Zeichenkette printf (3) wird nicht mehr überprüft, wenn nach% formats gesucht wird. Basierend auf einem Commit von Android und den meisten anderen Betriebssystemen folgen.
  • Verbesserte Fehlerprüfung in vfwprintf (3).
  • Viele Basisprogramme wurden überprüft und für veraltete Dateideskriptoren korrigiert, einschließlich cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) und sshd (8).
  • Verschiedene Bugfixes und Verbesserungen in jot (1):
  • Beliebige Längenbeschränkungen für die Argumente für die Optionen -b, -s, -w wurden entfernt.
  • Der Formatbezeichner% F wird jetzt unterstützt und ein Fehler im% D-Format wurde behoben.
  • Bessere Codeabdeckung in Regressionstests.
  • Mehrere Pufferüberläufe wurden behoben.
  • Das Dienstprogramm patch (1) wird nun besser mit Git-Diffs fertig, die Dateien erstellen oder löschen.
  • pkg_add (1) hat jetzt die Unterstützung für HTTP (S) -Redirectors wie cdn.openbsd.org.
  • verbessert
  • ftp (1) und pkg_add (1) unterstützen jetzt die HTTPS-Sitzungswiederaufnahme für verbesserte Geschwindigkeit.
  • mandoc (1) - Die Ausgabedateigröße für ps wird um mehr als 50% reduziert.
  • syslogd (8) protokolliert, ob beim Start Warnungen aufgetreten sind.
  • syslogd (8) hat die Protokollierung in Dateien in einem vollständigen Dateisystem gestoppt. Jetzt schreibt es eine Warnung und fährt fort, nachdem Speicherplatz verfügbar gemacht wurde.
  • vmt (4) ermöglicht nun das Klonen und das Aufnehmen von reinen Plattenschnappschüssen laufender Gäste.
  • OpenSMTPD 6.0.4
  • Fügen Sie sfp walk -Option zu smtpctl (8) hinzu.
  • Sortierte Aufräumarbeiten und Verbesserungen.
  • Zahlreiche manuelle Seitenbehebungen und Verbesserungen.
  • OpenSSH 7.7
  • Neue / geänderte Funktionen:
  • Alle: Fügen Sie experimentelle Unterstützung für PQC XMSS-Schlüssel (Extended Hash-Based Signatures) basierend auf dem in https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures beschriebenen Algorithmus hinzu -12 Der XMSS-Signaturcode ist experimentell und wird standardmäßig nicht kompiliert.
  • sshd (8): Fügt eine & quot; rdomain & quot; Kriterien für das Match-Schlüsselwort sshd_config, um eine bedingte Konfiguration zu ermöglichen, die davon abhängt, auf welcher Routing-Domain eine Verbindung empfangen wurde (derzeit von OpenBSD und Linux unterstützt).
  • sshd_config (5): Fügen Sie der ListenAddress-Direktive ein optionales rdomain-Qualifikationsmerkmal hinzu, um das Abhören verschiedener Routing-Domänen zu ermöglichen. Dies wird derzeit nur unter OpenBSD und Linux unterstützt.
  • sshd_config (5): Fügen Sie die RDomain-Anweisung hinzu, damit die authentifizierte Sitzung in einer expliziten Routingdomäne platziert werden kann. Dies wird derzeit nur von OpenBSD unterstützt.
  • sshd (8): Addiere & lt; Ablaufzeit & quot; Option für authorized_keys-Dateien, um auslaufende Schlüssel zuzulassen.
  • ssh (1): Fügen Sie eine BindInterface-Option hinzu, mit der die ausgehende Verbindung an die Adresse einer Schnittstelle gebunden werden kann (im Grunde eine besser verwendbare BindAddress).
  • ssh (1): Zeigt das Gerät an, das für die Tun / Tap-Weiterleitung über eine neue% T-Erweiterung für LocalCommand zugewiesen wurde. Dadurch kann LocalCommand zur Vorbereitung der Schnittstelle verwendet werden.
  • sshd (8): Zeigen Sie das Gerät an, das für die Tun / Tap-Weiterleitung über eine neue Umgebungsvariable SSH_TUNNEL zugewiesen wurde. Dies ermöglicht die automatische Einrichtung der Schnittstelle und der umgebenden Netzwerkkonfiguration automatisch auf dem Server.
  • ssh (1) / scp (1) / sftp (1): Hinzufügen von URI-Unterstützung zu ssh, sftp und scp, z. ssh: // Benutzer @ Host oder sftp: // Benutzer @ Host / Pfad. Zusätzliche Verbindungsparameter, die in Entwurf-ietf-secsh-scp-sftp-ssh-uri-04 beschrieben sind, werden nicht implementiert, da das ssh-Fingerabdruckformat im Entwurf den veralteten MD5-Hash verwendet, ohne die Möglichkeit, einen anderen Algorithmus anzugeben.
  • ssh-keygen (1): Zulassen von Zertifikatsgültigkeitsintervallen, die nur eine Start- oder Stoppzeit angeben (anstelle von beiden oder keiner).
  • sftp (1): Zulassen "cd" & quot; und & quot; lcd & quot; Befehle ohne explizites Pfadargument. lcd wechselt wie gewohnt zum Heimatverzeichnis des lokalen Benutzers. cd wechselt in das Startverzeichnis für die Sitzung (weil das Protokoll keine Möglichkeit bietet, das Home-Verzeichnis des Remote-Benutzers zu erhalten). bz # 2760
  • sshd (8): Wenn Sie einen Konfigurationstest mit sshd -T durchführen, benötigen Sie nur die Attribute, die tatsächlich in Übereinstimmungskriterien verwendet werden, und nicht (eine unvollständige Liste) aller Kriterien.
  • Die folgenden wichtigen Fehler wurden in dieser Version behoben:
  • ssh (1) / sshd (8): Überprüfen Sie die Signaturtypen beim Schlüsselaustausch strenger mit dem, was ausgehandelt wurde. Verhindert das Downgrade von RSA-Signaturen, die mit SHA-256/512 auf SHA-1 erstellt wurden.
  • sshd (8): Repariere die Unterstützung für den Client, der eine Protokollversion von "1.99" ankündigt. (zeigt an, dass sie bereit sind, sowohl SSHv1 als auch SSHv2 zu akzeptieren). Dies wurde in OpenSSH 7.6 während der Entfernung der SSHv1-Unterstützung unterbrochen. bz # 2810
  • ssh (1): Warnt, wenn der Agent eine ssh-rsa (SHA1) -Signatur zurückgibt, wenn eine rsa-sha2-256 / 512-Signatur angefordert wurde. Diese Bedingung ist möglich, wenn ein alter oder kein OpenSSH-Agent verwendet wird. bz # 2799
  • ssh-agent (1): Fixe Regression in 7.6 einführen, die dazu führte, dass ssh-agent fatal beendet wurde, wenn eine ungültige Signaturanforderungsnachricht angezeigt wurde.
  • sshd_config (5): Akzeptieren Sie Ja / Nein-Flag-Optionen case-insensitiv, wie es in ssh_config (5) für eine lange Zeit der Fall war. bz # 2664
  • ssh (1): Verbessert die Fehlerberichterstattung für Fehler während der Verbindung. Unter bestimmten Umständen wurden irreführende Fehler gezeigt. bz # 2814
  • ssh-keyscan (1): Fügen Sie die Option -D hinzu, um das Ausdrucken von Ergebnissen direkt im SSHFP-Format zu ermöglichen. bz # 2821
  • Regressionstests: Behebung des PuTTY-Interop-Tests, der in der SSHv1-Entfernung der letzten Version behoben wurde. bz # 2823
  • ssh (1): Kompatibilitätsfix für einige Server, die fälschlicherweise die Verbindung trennen, wenn die IUTF8 (RFC8160) -Option gesendet wird.
  • scp (1): Deaktivieren Sie RemoteCommand und RequestTTY in der von scp gestarteten ssh-Sitzung (sftp tat dies bereits.)
  • ssh-keygen (1): Weigere dich, ein Zertifikat mit einer unbrauchbaren Anzahl von Prinzipalen zu erstellen.
  • ssh-keygen (1): Fatal beenden, wenn ssh-keygen während der Schlüsselgenerierung nicht den gesamten öffentlichen Schlüssel schreiben kann. Zuvor ignorierte es stillschweigend Fehler beim Schreiben des Kommentars und Beenden von Newline.
  • ssh (1): Ändern Sie Hostnamenargumente, die Adressen sind, nicht, indem Sie sie automatisch in Kleinbuchstaben umsetzen. Stattdessen kanalisieren sie sie, um Mehrdeutigkeiten aufzulösen (z. B. :: 0001 = & gt; :: 1), bevor sie mit bekannten_Hosts verglichen werden. bz # 2763
  • ssh (1): Akzeptiere keinen Junk nach & quot; yes & quot; oder & quot; nein & quot; Antworten auf Hostkey-Eingabeaufforderungen. bz # 2803
  • sftp (1): Lassen Sie sftp eine Warnung über Shell-Sauberkeit drucken, wenn das Decodieren des ersten Pakets fehlschlägt, was normalerweise durch Shells verursacht wird, die nicht interaktive Startups verschmutzen. bz # 2800
  • ssh (1) / sshd (8): Schalte Timer im Paketcode von der Wandzeit bis zur monotonen Zeit, damit die Paketschicht besser über einen Taktschritt funktioniert und mögliche Integerüberläufe während der Schritte vermieden werden.
  • Zahlreiche manuelle Seitenbehebungen und Verbesserungen.
  • LibreSSL 2.7.2
  • Unterstützung für viele OpenSSL 1.0.2- und 1.1-APIs wurde hinzugefügt, basierend auf Beobachtungen der realen Anwendung in Anwendungen. Diese werden parallel zu vorhandenen OpenSSL 1.0.1-APIs implementiert - Sichtbarkeitsänderungen wurden nicht an vorhandenen Strukturen vorgenommen, sodass Code, der für ältere OpenSSL-APIs geschrieben wurde, weiter funktioniert.
  • Umfangreiche Korrekturen, Verbesserungen und Ergänzungen der API-Dokumentation, einschließlich neuer öffentlicher APIs von OpenSSL, für die noch keine Dokumentation vorhanden war.
  • Unterstützung für automatische Bibliotheksinitialisierung in libcrypto, libssl und libtls hinzugefügt. Für das Zielbetriebssystem ist jetzt Unterstützung für pthread_once oder ein kompatibles Äquivalent erforderlich. Als Nebeneffekt ist die minimale Windows-Unterstützung Vista oder höher.
  • Konvertierte mehr Pakethandhabungsmethoden zu CBB, was die Ausfallsicherheit beim Generieren von TLS-Nachrichten verbessert.
  • Abgeschlossene TLS-Erweiterung, die das Neuschreiben behandelt und die Konsistenz der Prüfungen auf fehlerhafte und doppelte Erweiterungen verbessert.
  • ASN1_TYPE_ {get, set} _octetstring () wurde mit dem ASN.1-Template neu geschrieben. Dadurch wird die letzte verbleibende Verwendung der alten M_ASN1_ * -Makros (asn1_mac.h) aus der API entfernt, die weiterhin bestehen muss.
  • Unterstützung für clientseitige Sitzungswiederherstellung in libtls hinzugefügt. Ein libtls-Client kann einen Deskriptor für eine Session-Datei angeben (eine reguläre Datei mit entsprechenden Besitzrechten und Berechtigungen), und libtls verwaltet das Lesen und Schreiben von Sitzungsdaten über TLS-Handshakes hinweg.
  • Verbesserte Unterstützung für die strikte Ausrichtung auf ARMv7-Architekturen, wodurch die Assemblierung in diesen Fällen bedingt möglich ist.
  • Es wurde ein Speicherleck in libtls behoben, wenn eine tls_config erneut verwendet wurde.
  • Mehr DTLS-Unterstützung wurde in den regulären TLS-Codepfad integriert, doppelter Code wird entfernt.
  • Ports und Pakete:
  • dpb (1) und normale Ports (7) können jetzt dasselbe privilegierte Modell verwenden, indem Sie PORTS_PRIVSEP = Yes
  • setzen
  • Viele vordefinierte Pakete für jede Architektur:
  • aarch64: 7990
  • alpha: 1
  • amd64: 9912
  • Arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Einige Highlights:
  • AFL 2.52b
  • CMake 3.10.2
  • Chrom 65.0.3325.181
  • Emacs 21.4 und 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Gehe 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 und 4.14.3 (plus KDE4-Kernupdates)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 und 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr und 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 und NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 und 2.4.45
  • PHP 5.6.34 und 7.0.28
  • Postfix 3.3.0 und 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 und 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 und 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 und 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Wie üblich, stetige Verbesserungen in manuellen Seiten und anderen Dokumentationen.
  • Das System enthält die folgenden Hauptkomponenten von externen Lieferanten:
  • Xenocara (basierend auf X.Org 7.7 mit xserver 1.19.6 + Patches, FreeType 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 und mehr)
  • LLVM / Clang 5.0.1 (+ Patches)
  • GCC 4.2.1 (+ patches) und 3.3.6 (+ patches)
  • Perl 5.24.3 (+ patches)
  • NSD 4.1.20
  • Ungebunden 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ Patches)
  • Gdb 6.3 (+ Patches)
  • Awk 10. August 2011 Version
  • Expat 2.2.5

Was ist neu in Version 6.2:

  • Neue / erweiterte Plattformen:
  • armv7:
  • EFI-Bootloader hinzugefügt, Kernel werden jetzt von FFS anstelle von FAT- oder EXT-Dateisystemen ohne U-Boot-Header geladen.
  • Ein einzelner Kernel und eine Ramdisk werden jetzt für alle SoCs verwendet.
  • Hardware wird dynamisch über FDT (Flattened Device Tree) aufgezählt, anstatt über statische Tabellen auf der Basis von Board-ID-Nummern.
  • Miniroot-Installer-Images enthalten U-Boot 2016.07 mit Unterstützung für EFI-Payloads.
  • vax:
  • Entfernt.
  • Verbesserte Hardware-Unterstützung, einschließlich:
  • Neuer bytgpio (4) Treiber für den Intel Bay Trail GPIO Controller.
  • Neuer chvgpio (4) Treiber für den Intel Cherry View GPIO Controller.
  • Neuer maxrtc (4) Treiber für die Maxim DS1307 Echtzeituhr.
  • Neuer nvme (4) -Treiber für die Host-Controller-Schnittstelle NVMe (Non-Volatile Memory Express).
  • Neuer pcfrtc (4) Treiber für die NXP PCF8523 Echtzeituhr.
  • Neuer UMB (4) Treiber für das Mobile Broadband Interface Model (MBIM).
  • Neuer ure (4) Treiber für RealTek RTL8152 basierte 10/100 USB Ethernet Geräte.
  • Neuer utvfu (4) -Treiber für Audio- / Video-Aufnahmegeräte basierend auf dem Fushicai USBTV007.
  • Der iwm (4) -Treiber unterstützt jetzt Intel Wireless 3165- und 8260-Geräte und arbeitet zuverlässiger in RAMDISK-Kernen.
  • Unterstützung für I2C-HID-Geräte mit GPIO-signalisierten Interrupts wurde zu dwiic (4) hinzugefügt.
  • Unterstützung für größere Busbreiten, Hochgeschwindigkeitsmodi und DMA-Übertragungen wurde zu sdmmc (4), rtsx (4), sdhc (4) und imxesdhc (4) hinzugefügt.
  • Unterstützung für EHCI- und OHCI-kompatible USB-Controller auf Octeon II-SoCs.
  • Viele USB-Gerätetreiber wurden unter OpenBSD / octeon aktiviert.
  • Verbesserte Unterstützung für Hardware-reduzierte ACPI-Implementierungen.
  • Verbesserte Unterstützung für ACPI 5.0-Implementierungen.
  • AES-NI crypto ist jetzt fertig, ohne die Kernelsperre zu halten.
  • Verbesserte AGP-Unterstützung auf PowerPC G5-Rechnern.
  • Unterstützung für den SD-Kartensteckplatz in Intel Bay Trail SoCs.
  • Der iichic (4) -Treiber ignoriert jetzt den SMBALERT # -Interrupt, um einen Interrupt-Sturm mit fehlerhaften BIOS-Implementierungen zu verhindern.
  • Probleme mit der Befestigung von Geräten mit dem axen (4) -Treiber wurden behoben.
  • Der Treiber ral (4) ist unter Last mit RT2860-Geräten stabiler.
  • Probleme mit toten Tastaturen nach dem Fortsetzen wurden im Treiber pckbd (4) behoben.
  • Der rtsx (4) -Treiber unterstützt jetzt RTS522A-Geräte.
  • Erste Unterstützung für MSI-X wurde hinzugefügt.
  • Unterstützt MSI-X im virtio (4) -Treiber.
  • Es wurde eine Problemumgehung für Hardware-DMA-Überschreitungen des DC (4) -Treibers hinzugefügt.
  • Der acpitz (4) -Treiber spinnt jetzt den Lüfter nach dem Abkühlen, wenn ACPI Hysterese für aktive Kühlung verwendet.
  • Der xhci (4) -Treiber führt jetzt die korrekte Übergabe von einem xHCI-fähigen BIOS aus.
  • Unterstützung für Multitouch-Eingaben wurde dem Treiber wsmouse (4) hinzugefügt.
  • Der uslcom (4) Treiber unterstützt jetzt die serielle Konsole von Aruba 7xxx Wireless Controllern.
  • Der Treiber re (4) funktioniert jetzt bei defekten LED-Konfigurationen in EEPROMs der APU1.
  • Der ehci (4) -Treiber funktioniert jetzt bei Problemen mit ATI-USB-Controllern (z. B. SB700).
  • Der xen (4) -Treiber unterstützt nun die DomU-Konfiguration unter Qubes OS.
  • IEEE 802.11 Wireless Stack-Verbesserungen:
  • Die HT-Block-Ack-Empfangspufferlogik folgt genauer dem in der Spezifikation 802.11-2012 angegebenen Algorithmus.
  • Der iwn (4) -Treiber verfolgt nun HT-Schutzänderungen, während er mit einem 11n AP verbunden ist.
  • Der Wireless-Stack und mehrere Treiber verwenden RTS / CTS aggressiver, um Interferenzen von älteren Geräten und versteckten Knoten zu vermeiden.
  • Der Befehl netstat (1) -W zeigt jetzt Informationen zu 802.11n-Ereignissen an.
  • Verwenden Sie im Hostab-Modus keine Assoziations-IDs von Knoten, die noch zwischengespeichert sind. Behebt ein Problem, bei dem ein Zugriffspunkt, der den ral (4) -Treiber verwendet, bei 1 Mbps hängen bleiben würde, weil die Tx-Ratenabrechnung auf dem falschen Knotenobjekt stattgefunden hat.
  • Generische Netzwerk-Stack-Verbesserungen:
  • Die Routing-Tabelle basiert nun auf ART und bietet eine schnellere Suche.
  • Die Anzahl der Routensuchen pro Paket wurde im Weiterleitungspfad auf 1 reduziert.
  • Das prio-Feld in VLAN-Headern ist nun korrekt für jedes Fragment eines IPv4-Pakets eingestellt, das an einer vlan (4) -Schnittstelle ausgeht.
  • Aktiviertes Geräteklonen für bpf (4). Dies ermöglicht dem System, nur einen bpf-Geräteknoten in / dev zu haben, der alle bpf-Verbraucher bedient (bis zu 1024).
  • Die Tx-Queue des cnmac (4) -Treibers kann nun parallel zum Rest des Kernels verarbeitet werden.
  • Der Netzwerkeingabepfad wird jetzt im Threadkontext ausgeführt.
  • Installer-Verbesserungen:
  • aktualisierte Liste der eingeschränkten Benutzercodes
  • install.sh und upgrade.sh wurden in install
  • zusammengeführt
  • update führt sysmerge (8) automatisch im Batch-Modus vor fw_update (1)
  • aus
  • Fragen und Antworten werden in einem Format protokolliert, das als Antwortdatei für die Verwendung durch autoinstall (8)
  • verwendet werden kann
  • / usr / local ist während der Installation auf eingestellt
  • Routing-Dämonen und andere Benutzerland-Netzwerk-Verbesserungen:
  • Fügen Sie Unterstützung für Routing-Tabellen zu rc.d (8) und rcctl (8) hinzu.
  • Lassen Sie nc (1) Dienstnamen zusätzlich zu den Portnummern unterstützen.
  • Fügen Sie -M und TT-Flags zu nc (1) hinzu.
  • Fügen Sie tcpbench (1) AF_UNIX-Unterstützung hinzu.
  • Eine Regression in rarpd (8) wurde behoben. Der Daemon könnte hängen bleiben, wenn er lange Zeit inaktiv war.
  • Die Option llprio wurde in ifconfig (8) hinzugefügt.
  • Mehrere Programme, die bpf (4) verwenden, wurden modifiziert, um bpf (4) Device Cloning zu nutzen, indem Sie / dev / bpf0 öffnen, anstatt durch / dev / bpf * Geräte zu loopen. Diese Programme umfassen arp (8), dhclient (8), dhcpd (8), dhcreelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) und tcpdump (8). Die Bibliothek libpcap wurde ebenfalls entsprechend modifiziert.
  • Sicherheitsverbesserungen:
  • W ^ X wird jetzt standardmäßig strikt durchgesetzt. Ein Programm kann es nur verletzen, wenn die ausführbare Datei mit PT_OPENBSD_WXNEEDED markiert ist und sich in einem Dateisystem befindet, das mit der Option wxallowed mount (8) bereitgestellt wird. Da immer noch zu viele Ports vorhanden sind, die W ^ X verletzen, hängt das Installationsprogramm das Verzeichnis / usr / local mit wxallowed an. Dadurch kann das Basissystem sicherer sein, solange / usr / local ein separates Dateisystem ist. Wenn Sie keine W ^ X-verletzenden Programme verwenden, erwägen Sie, diese Option manuell zu widerrufen.
  • Die Funktionenfamilie setjmp (3) wendet jetzt XOR-Cookies auf Stack- und Return-Address-Werte im jmpbuf auf amd64, hppa, i386, mips64 und powerpc an.
  • SROP-Minderung: sigreturn (2) kann nun nur noch von dem vom Kernel bereitgestellten Signal-Trampolin verwendet werden, mit einem Cookie, um Versuche zur Wiederverwendung zu erkennen.
  • Um Code-Wiederverwendung-Exploits zu verhindern, verbindet rc (8) libc.so beim Start neu und platziert die Objekte in zufälliger Reihenfolge.
  • Öffnen Sie in der getpwnam (3) -Familie von Funktionen standardmäßig die Schattendatenbank.
  • Erlaube, dass tcpdump (8) -r ohne Root-Rechte gestartet wird.
  • Entfernen Sie systrace.
  • Entfernen Sie die Linux-Emulationsunterstützung.
  • Entfernen Sie die Unterstützung für die usermount-Option.
  • Der TCP-SYN-Cache setzt von Zeit zu Zeit seine zufällige Hash-Funktion zurück. Dies verhindert, dass ein Angreifer die Verteilung der Hash-Funktion mit einem Timing-Angriff berechnen kann.
  • Um gegen SYN-Flooding-Angriffe zu arbeiten, kann der Administrator jetzt die Größe des Hash-Arrays ändern. netstat (1) -s -p tcp zeigt die relevanten Informationen zur Optimierung des SYN-Cache mit sysctl (8) net.inet.tcp.
  • an
  • Der Administrator kann root-Rechte für die Bindung an einige TCP- und UDP-Ports mit sysctl (8) net.inet.tcp.rootonly und sysctl (8) net.inet.udp.rootonly.
  • verlangen
  • Entfernen Sie einen Funktionszeiger aus der mbuf (9) -Datenstruktur und verwenden Sie stattdessen einen Index in ein Array von akzeptablen Funktionen.
  • Verschiedene Verbesserungen:
  • Die Thread-Bibliothek kann jetzt in einen single-threaded-Prozess geladen werden.
  • Verbesserte Symbolbehandlung und Einhaltung von Standards in libc. Wenn Sie beispielsweise eine Funktion open () definieren, wird die Operation fopen (3) nicht mehr beeinträchtigt.
  • PT_TLS-Abschnitte werden jetzt im anfänglich geladenen Objekt unterstützt.
  • verbesserte Handhabung von & quot; keine Pfade & quot; und & quot; leerer Pfad & quot; in fts (3).
  • Stellen Sie in pcap (3) die Funktionen pcap_free_datalinks () und pcap_offline_filter ().
  • bereit
  • Viele Bugfixes und strukturelle Bereinigung in der Bibliothek editline (3).
  • Entferne alte dbm (3) Funktionen; ndbm (3) bleibt übrig.
  • Fügen Sie in doas.conf (5) das Schlüsselwort setenv für eine leistungsfähigere Umgebung hinzu.
  • Fügen Sie zur Zeitpositionierung -g und -p options zu aucat.1 hinzu.
  • Überschreiben Sie audioctl (1) mit einer einfacheren Benutzeroberfläche.
  • Fügen Sie die Option -F hinzu, um (1) fsync (2) die Datei vor dem Schließen zu installieren.
  • kdump (1) löscht nun polpfd Strukturen.
  • Verbessern Sie verschiedene Details der ksh (1) POSIX-Konformität.
  • mknod (8) umgeschrieben in einem Versprechen (2) -freundlichen Stil und zur Unterstützung der Erstellung mehrerer Geräte gleichzeitig.
  • Implementieren Sie rcctl (8) alle und getdef alle.
  • Implementieren Sie das Flag rcs (1) -I (interaktiv).
  • Implementieren Sie in rcs (1) die Schlüsselwortsubstitution Mdocdate.
  • Lassen Sie im oberen Bereich (1) Prozessargumente filtern, wenn diese angezeigt werden.
  • UTF-8-Unterstützung für falten (1) und rev (1) hinzugefügt.
  • Aktivieren Sie UTF-8 standardmäßig in xterm (1) und pod2man (1).
  • Filtern Sie Nicht-ASCII-Zeichen in der Wand (1).
  • Behandle die Umgebungsvariable COLUMNS konsistent über viele Programme hinweg.
  • Die Optionen -c und -k erlauben es, TLS-Client-Zertifikate für syslogd (8) auf der sendenden Seite bereitzustellen. Damit kann die Empfangsseite überprüfen, ob Log-Nachrichten authentisch sind. Beachten Sie, dass syslogd diese Überprüfungsfunktion noch nicht hat.
  • Wenn der Klog-Puffer überläuft, schreibt syslogd eine Protokollnachricht, um zu zeigen, dass einige Einträge fehlen.
  • Unter OpenBSD / octeon wird die Schreibpufferung des CPU-Caches aktiviert, um die Leistung zu verbessern.
  • pkg_add (1) und pkg_info (1) verstehen jetzt eine Vorstellung von branch, um die Auswahl einiger populärer Pakete wie python oder php zu erleichtern, zB pkg_add python% 3.4 um den 3.4 Zweig auszuwählen und pkg_info -zm um eine Fuzzy-Liste mit einer für pkg_add -l geeigneten Verzweigungsauswahl erhalten.
  • fdisk (8) und pdisk (8) werden sofort beendet, es sei denn, es wurde ein zeichenspezifisches Gerät
  • übergeben
  • st (4) verfolgt die aktuelle Blockanzahl für Blöcke variabler Größe
  • korrekt
  • fsck_ext2fs (8) funktioniert wieder
  • softraid (4) Volumes können mit Festplatten erstellt werden, die eine andere Sektorgröße als 512 Byte haben
  • dhclient (8) DECLINE und löscht nicht verwendete ANGEBOTE.
  • dhclient (8) wird sofort beendet, wenn seine Schnittstelle (z. B. eine Brücke (4)) EAFNOSUPPORT zurückgibt, wenn ein Paket gesendet wird.
  • httpd (8) gibt 400 Ungültige Anforderung für HTTP v0.9-Anfragen zurück.
  • Die lazy-node-Initialisierung von ffs2 verhindert, dass zufällige Daten auf dem Datenträger als Inode behandelt werden
  • fcntl (2) -Aufrufe in Basisprogrammen verwenden das Idiom fcntl (n, F_GETFL) anstelle von fcntl (n, F_GETFL, 0)
  • socket (2) und accept4 (2) Aufrufe in Basisprogrammen verwenden SOCK_NONBLOCK, um die Notwendigkeit eines separaten fcntl (2) zu eliminieren.
  • tmpfs ist standardmäßig nicht aktiviert
  • Die In-Kernel-Semantik von pledge (2) wurde auf vielfältige Weise verbessert. Zu den Highlights gehören: ein neues Versprechen, das es verpfändeten Programmen erlaubt, setugid-Attribute zu setzen, eine strengere Durchsetzung des recvfd-Versprechens und chroot (2) ist für verpfändete Programme nicht mehr erlaubt.
  • eine Reihe von Pfand (2) -bezogenen Bugs (fehlende Versprechen, unbeabsichtigte Verhaltensänderungen, Abstürze) wurden behoben, insbesondere in gzip (1), nc (1), sed (1), skeyinit (1), stty (1), und verschiedene plattenbezogene Dienstprogramme wie disclabel (8) und fdisk (8).
  • Fehler bei der Blockgrößenberechnung im audio (4) -Treiber wurden behoben.
  • Der usb (4) -Treiber speichert jetzt die Hersteller- und Produkt-IDs zwischen. Behebt ein Problem, bei dem usbdevs (8), das in einer Schleife aufgerufen wurde, dazu führen würde, dass ein USB-Massenspeichergerät den Betrieb stoppt.
  • Die Treiber rsu (4) und ural (4) funktionieren jetzt wieder, nachdem sie in 5.9 versehentlich unterbrochen wurden.
  • OpenSMTPD 6.0.0
  • Sicherheit:
  • Implementiere das fork + exec-Muster in smtpd (8).
  • Behebung eines logischen Problems in der SMTP-Statusmaschine, das zu einem ungültigen Status und einem Absturz führen kann.
  • Schließen Sie ein Dateizeiger-Leck an, das zu Ressourcenauslastung und einem Absturz führen kann.
  • Verwenden Sie automatische DH-Parameter anstelle von festen.
  • Deaktivieren Sie DHE standardmäßig, da es rechenintensiv und ein potentieller DoS-Vektor ist.
  • Die folgenden Verbesserungen wurden in Version 6.2 eingeführt:
  • Fügen Sie die Option -r dem SMTP-Enqueuer hinzu, um die Kompatibilität mit mailx zu gewährleisten.
  • Fügen Sie fehlendes Datum oder Nachrichten-ID hinzu, wenn Sie den Sende-Port abhören.
  • Fix & quot; smtpctl show queue & quot; Meldung "ungültig" Umschlagszustand.
  • Überarbeiten Sie das Format des & quot; Erhalten & quot; Header, so dass der TLS-Teil nicht gegen den RFC verstößt.
  • Erhöhen Sie die Anzahl der Verbindungen, die eine lokale Adresse herstellen darf, und verringern Sie die Verzögerung zwischen Transaktionen in derselben Sitzung.
  • Fix LMTP-Lieferung an Server, die Fortsetzungszeilen zurückgeben.
  • Verbessere weiterhin die noch experimentelle Filter-API und behebe verschiedene verwandte Probleme.
  • Beginnen Sie, das Format von Protokollnachrichten zu verbessern und zu vereinheitlichen.
  • Behebt mehrere Dokumentationsdiskrepanzen und Tippfehler in den man-Seiten.
  • OpenSSH 7.3
  • Sicherheit:
  • sshd (8): Mildern Sie einen potenziellen Denial-of-Service-Angriff gegen die crypt (3) -Funktion des Systems über sshd (8). Ein Angreifer könnte sehr lange Kennwörter senden, die eine übermäßige CPU-Auslastung in crypt verursachen würden (3). sshd (8) verweigert nun die Annahme von Passwort-Authentifizierungsanfragen mit einer Länge von mehr als 1024 Zeichen.
  • sshd (8): Timing-Unterschiede bei der Passwortauthentifizierung verringern, die verwendet werden könnten, um gültige von ungültigen Kontonamen zu erkennen, wenn lange Passwörter gesendet wurden und spezielle Passwort-Hashing-Algorithmen auf dem Server verwendet werden. CVE-2016-6210.
  • ssh (1), sshd (8): Korrigieren Sie beobachtbare Timing-Schwächen in den CBC-Padding-Orakel-Gegenmaßnahmen. Beachten Sie, dass CBC-Verschlüsselungen standardmäßig deaktiviert und nur für die Kompatibilität mit älteren Versionen enthalten sind.
  • ssh (1), sshd (8): Verbessern der Reihenfolge der MAC-Verifizierung für MAC-Algorithmen zum Verschlüsseln-dann-MAC (EtM) -Modus, um den MAC vor dem Entschlüsseln eines verschlüsselten Texts zu verifizieren. Dies beseitigt die Möglichkeit der zeitlichen Differenzen undichte Fakten über den Klartext, obwohl keine solche Leckage bekannt ist.
  • Neue / geänderte Funktionen:
  • ssh (1): Fügen Sie eine ProxyJump-Option und das entsprechende -J-Befehlszeilen-Flag hinzu, um eine vereinfachte Indirektion durch eine oder mehrere SSH-Bastionen oder "Sprung-Hosts" zu ermöglichen.
  • ssh (1): Fügen Sie eine IdentityAgent-Option hinzu, mit der Sie bestimmte Agenten-Sockets angeben können, anstatt sie aus der Umgebung zu akzeptieren.
  • ssh (1): Erlaube, dass ExitOnForwardFailure und ClearAllForwardings optional überschrieben werden, wenn ssh -W verwendet wird. (bz # 2577)
  • ssh (1), sshd (8): Implementieren Sie die Unterstützung für den IUTF8-Terminalmodus gemäß Entwurf-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Fügen Sie Unterstützung für weitere fixierte Diffie-Hellman 2K-, 4K- und 8K-Gruppen von draft-ietf-caldle-ssh-kex-sha2-03 hinzu.
  • ssh-keygen (1), ssh (1), sshd (8): unterstützen SHA256- und SHA512-RSA-Signaturen in Zertifikaten.
  • ssh (1): Fügen Sie eine Include-Anweisung für ssh_config (5) -Dateien hinzu.
  • ssh (1): Erlaube UTF-8-Zeichen in Vor-Authentifizierungsbannern, die vom Server gesendet werden. (bz # 2058)
  • Die folgenden wesentlichen Fehler wurden in Version 6.2 behoben:
  • Vermeiden Sie in scp (1) und sftp (1), die Terminaleinstellungen zu verscherzen, indem Sie Bytes umgehen, die keine ASCII- oder UTF-8-Zeichen bilden.
  • ssh (1), sshd (8): Verringern Sie die Syslog-Ebene einiger relativ häufiger Protokollereignisse von LOG_CRIT. (bz # 2585)
  • sshd (8): Ablehnen von AuthenticationMethods = & quot; in Konfigurationen und akzeptieren Sie AuthenticationMethods = any für das Standardverhalten, dass keine Mehrfachauthentifizierung erforderlich ist. (bz # 2398)
  • sshd (8): Entferne veraltete und irreführende "MÖGLICHE EINBRUCH-VERSUCHE!" Nachricht, wenn Vorwärts- und Rückwärts-DNS nicht übereinstimmen. (bz # 2585)
  • ssh (1): Schließen Sie den ControlPersist-Hintergrundprozess stderr, außer im Debug-Modus oder beim Anmelden an syslog. (bz # 1988)
  • misc: Die PROTOCOL-Beschreibung für direct-streamlocal@openssh.com channel open-Nachrichten entsprechen dem bereitgestellten Code. (bz # 2529)
  • ssh (1): Deduplizieren Sie LocalForward- und RemoteForward-Einträge, um Fehler zu beheben, wenn sowohl ExitOnForwardFailure als auch Hostname-Kanonisierung aktiviert sind. (bz # 2562)
  • sshd (8): Entfernen von Fallback von Moduli zu veralteten "Primes" & quot; Datei, die im Jahr 2001 veraltet war. (bz # 2559)
  • sshd_config (5): Korrekte Beschreibung von UseDNS: Es beeinflusst ssh Hostname Verarbeitung für authorized_keys, not known_hosts. (bz # 2554)
  • ssh (1): Korrigieren Sie die Authentifizierung mit einzelnen Zertifikatsschlüsseln in einem Agenten ohne entsprechende private Schlüssel im Dateisystem. (bz # 2550)
  • sshd (8): Sende ClientAliveInterval-Pings, wenn ein zeitbasiertes RekeyLimit gesetzt ist; zuvor wurden Keepalive-Pakete nicht gesendet. (bz # 2252)
  • OpenNTPD 6.0
  • Wenn eine einzelne & rdquo; Einschränkung & quot; angegeben wird, versuchen Sie alle zurückgegebenen Adressen, bis die erste Adresse zurückgegeben wird.
  • Entspannt die Randbedingungsfehlermarge, um proportional zur Anzahl der NTP-Peers zu sein, vermeiden Sie konstante Wiederverbindungen, wenn es einen schlechten NTP-Peer gibt.
  • Die deaktivierte hotplug (4) Sensorunterstützung wurde entfernt.
  • Unterstützung für das Erkennen von Abstürzen in Constraint-Subprozessen wurde hinzugefügt.
  • Die Ausführung von Integritätsbedingungen vom ntp-Prozess in den übergeordneten Prozess wurde verschoben, was eine bessere Trennung von Berechtigungen ermöglicht, da der ntp-Prozess weiter eingeschränkt werden kann.
  • Es wurde eine hohe CPU-Auslastung behoben, wenn das Netzwerk ausgefallen ist.
  • Verschiedene Speicherlecks wurden behoben.
  • Für Jitter-Berechnungen auf RMS umgeschaltet.
  • Unified Logging-Funktionen mit anderen OpenBSD-Basisprogrammen.
  • Setzen Sie MOD_MAXERROR, um bei Verwendung von ntp_adjtime den Status nicht synchronisierter Zeit zu vermeiden.
  • Es wurde eine HTTP-Timestamp-Header-Analyse korrigiert, um strptime (3) portabler zu verwenden.
  • Gehärtete TLS für ntpd (8) - Einschränkungen, die die Verifizierung des Servernamens ermöglichen.
  • LibreSSL 2.4.2
  • Benutzer sichtbare Funktionen:
  • Einige kaputte Manpage-Links im Installationsziel wurden behoben.
  • cert.pem wurde reorganisiert und mit Mozillas Zertifikatspeicher synchronisiert.
  • Zuverlässigkeits-Korrektur, die einen Fehler beim Parsen bestimmter ASN.1-Elemente über 16k korrigiert.
  • Implementiert die IETF ChaCha20-Poly1305 Cipher Suites.
  • Fehler bei der Eingabe von Passwörtern von openssl (1) behoben, um richtig mit ^ C.
  • umgehen zu können
  • Code Verbesserungen:
  • Ein Problem mit der nginx-Kompatibilität wurde behoben, indem ein Build-Ziel 'install_sw' hinzugefügt wurde.
  • Die Standard-EVP_aead_chacha20_poly1305 (3) -Implementierung wurde in die IETF-Version geändert, die jetzt die Standardeinstellung ist.
  • Überarbeitete Fehlerbehandlung in libtls, so dass Konfigurationsfehler besser sichtbar sind.
  • Fehlende Fehlerbehandlung bei bn_wexpand (3) -Aufrufen wurde hinzugefügt.
  • Explizite_bzero (3) Aufrufe für freigegebene ASN.1-Objekte hinzugefügt.
  • Behoben: X509_ * set_object-Funktionen, um 0 bei fehlgeschlagenem Zuweisen zurückzugeben.
  • Veraltete interne Verwendung von EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Es wurde ein Problem behoben, das verhinderte, dass der DSA-Signaturalgorithmus in einer konstanten Zeit ausgeführt wurde, selbst wenn das Flag BN_FLG_CONSTTIME gesetzt war.
  • Mehrere Probleme im OCSP-Code wurden behoben, die zu einer fehlerhaften Generierung und Analyse von OCSP-Anfragen führen konnten. Dadurch wird das Fehlen der Fehlerprüfung beim Zeitparsing in diesen Funktionen beseitigt und sichergestellt, dass nur die Formate von GENERALIZEDTIME für OCSP gemäß RFC 6960 akzeptiert werden.
  • Die folgenden CVEs wurden behoben:
  • CVE-2016-2105-EVP_EncodeUpdate Überlauf.
  • CVE-2016-2106-EVP_EncryptUpdate Überlauf.
  • CVE-2016-2107-Padding Orakel in AES-NI CBC MAC-Prüfung.
  • CVE-2016-2108 - Speicherfehler im ASN.1-Encoder.
  • CVE-2016-2109-ASN.1 BIO übermäßige Speicherzuweisung.
  • Ports und Pakete:
  • Neues proot (1) Werkzeug in der Ports-Struktur zum Erstellen von Paketen in einer Chroot.
  • Viele vordefinierte Pakete für jede Architektur:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerPC: 8318
  • sparc64: 8570
  • Einige Highlights:
  • Afl 2.19b
  • Chrom 51.0.2704.106
  • Emacs 21.4 und 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gehe 1.6.3
  • Groff 1.22.3
  • JDK 7u80 und 8u72
  • KDE 3.5.10 und 4.14.3 (plus KDE4-Kernupdates)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 und 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr und 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 und 2.4.44
  • PHP 5.5.37, 5.6.23 und 7.0.8
  • Postfix 3.1.1 und 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 und 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 und 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 und 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Wie üblich, stetige Verbesserungen in manuellen Seiten und anderen Dokumentationen.
  • Das System enthält die folgenden Hauptkomponenten von externen Lieferanten:
  • Xenocara (basierend auf X.Org 7.7 mit X-Server 1.18.3 + Patches, Freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 und mehr)
  • GCC 4.2.1 (+ patches) und 3.3.6 (+ patches)
  • Perl 5.20.3 (+ Patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Nicht konsolidiert 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ Patches)
  • Gdb 6.3 (+ Patches)
  • Awk 10. August 2011 Version
  • Expat 2.1.1

Was ist neu in Version 6.1:

  • Neue / erweiterte Plattformen:
  • armv7:
  • EFI-Bootloader hinzugefügt, Kernel werden jetzt von FFS anstelle von FAT- oder EXT-Dateisystemen ohne U-Boot-Header geladen.
  • Ein einzelner Kernel und eine Ramdisk werden jetzt für alle SoCs verwendet.
  • Hardware wird dynamisch über FDT (Flattened Device Tree) aufgezählt, anstatt über statische Tabellen auf der Basis von Board-ID-Nummern.
  • Miniroot-Installer-Images enthalten U-Boot 2016.07 mit Unterstützung für EFI-Payloads.
  • vax:
  • Entfernt.
  • Verbesserte Hardware-Unterstützung, einschließlich:
  • Neuer bytgpio (4) Treiber für den Intel Bay Trail GPIO Controller.
  • Neuer chvgpio (4) Treiber für den Intel Cherry View GPIO Controller.
  • Neuer maxrtc (4) Treiber für die Maxim DS1307 Echtzeituhr.
  • Neuer nvme (4) -Treiber für die Host-Controller-Schnittstelle NVMe (Non-Volatile Memory Express).
  • Neuer pcfrtc (4) Treiber für die NXP PCF8523 Echtzeituhr.
  • Neuer UMB (4) Treiber für das Mobile Broadband Interface Model (MBIM).
  • Neuer ure (4) Treiber für RealTek RTL8152 basierte 10/100 USB Ethernet Geräte.
  • Neuer utvfu (4) -Treiber für Audio- / Video-Aufnahmegeräte basierend auf dem Fushicai USBTV007.
  • Der iwm (4) -Treiber unterstützt jetzt Intel Wireless 3165- und 8260-Geräte und arbeitet zuverlässiger in RAMDISK-Kernen.
  • Unterstützung für I2C-HID-Geräte mit GPIO-signalisierten Interrupts wurde zu dwiic (4) hinzugefügt.
  • Unterstützung für größere Busbreiten, Hochgeschwindigkeitsmodi und DMA-Übertragungen wurde zu sdmmc (4), rtsx (4), sdhc (4) und imxesdhc (4) hinzugefügt.
  • Unterstützung für EHCI- und OHCI-kompatible USB-Controller auf Octeon II-SoCs.
  • Viele USB-Gerätetreiber wurden unter OpenBSD / octeon aktiviert.
  • Verbesserte Unterstützung für Hardware-reduzierte ACPI-Implementierungen.
  • Verbesserte Unterstützung für ACPI 5.0-Implementierungen.
  • AES-NI crypto ist jetzt fertig, ohne die Kernelsperre zu halten.
  • Verbesserte AGP-Unterstützung auf PowerPC G5-Rechnern.
  • Unterstützung für den SD-Kartensteckplatz in Intel Bay Trail SoCs.
  • Der iichic (4) -Treiber ignoriert jetzt den SMBALERT # -Interrupt, um einen Interrupt-Sturm mit fehlerhaften BIOS-Implementierungen zu verhindern.
  • Probleme mit der Befestigung von Geräten mit dem axen (4) -Treiber wurden behoben.
  • Der Treiber ral (4) ist unter Last mit RT2860-Geräten stabiler.
  • Probleme mit toten Tastaturen nach dem Fortsetzen wurden im Treiber pckbd (4) behoben.
  • Der rtsx (4) -Treiber unterstützt jetzt RTS522A-Geräte.
  • Erste Unterstützung für MSI-X wurde hinzugefügt.
  • Unterstützt MSI-X im virtio (4) -Treiber.
  • Es wurde eine Problemumgehung für Hardware-DMA-Überschreitungen des DC (4) -Treibers hinzugefügt.
  • Der acpitz (4) -Treiber spinnt jetzt den Lüfter nach dem Abkühlen, wenn ACPI Hysterese für aktive Kühlung verwendet.
  • Der xhci (4) -Treiber führt jetzt die korrekte Übergabe von einem xHCI-fähigen BIOS aus.
  • Unterstützung für Multitouch-Eingaben wurde dem Treiber wsmouse (4) hinzugefügt.
  • Der uslcom (4) Treiber unterstützt jetzt die serielle Konsole von Aruba 7xxx Wireless Controllern.
  • Der Treiber re (4) funktioniert jetzt bei defekten LED-Konfigurationen in EEPROMs der APU1.
  • Der ehci (4) -Treiber funktioniert jetzt bei Problemen mit ATI-USB-Controllern (z. B. SB700).
  • Der xen (4) -Treiber unterstützt nun die DomU-Konfiguration unter Qubes OS.
  • IEEE 802.11 Wireless Stack-Verbesserungen:
  • Die HT-Block-Ack-Empfangspufferlogik folgt genauer dem in der Spezifikation 802.11-2012 angegebenen Algorithmus.
  • Der iwn (4) -Treiber verfolgt nun HT-Schutzänderungen, während er mit einem 11n AP verbunden ist.
  • Der Wireless-Stack und mehrere Treiber verwenden RTS / CTS aggressiver, um Interferenzen von älteren Geräten und versteckten Knoten zu vermeiden.
  • Der Befehl netstat (1) -W zeigt jetzt Informationen zu 802.11n-Ereignissen an.
  • Verwenden Sie im Hostab-Modus keine Assoziations-IDs von Knoten, die noch zwischengespeichert sind. Behebt ein Problem, bei dem ein Zugriffspunkt, der den ral (4) -Treiber verwendet, bei 1 Mbps hängen bleiben würde, weil die Tx-Ratenabrechnung auf dem falschen Knotenobjekt stattgefunden hat.
  • Generische Netzwerk-Stack-Verbesserungen:
  • Die Routing-Tabelle basiert nun auf ART und bietet eine schnellere Suche.
  • Die Anzahl der Routensuchen pro Paket wurde im Weiterleitungspfad auf 1 reduziert.
  • Das prio-Feld in VLAN-Headern ist nun korrekt für jedes Fragment eines IPv4-Pakets eingestellt, das an einer vlan (4) -Schnittstelle ausgeht.
  • Aktiviertes Geräteklonen für bpf (4). Dies ermöglicht dem System, nur einen bpf-Geräteknoten in / dev zu haben, der alle bpf-Verbraucher bedient (bis zu 1024).
  • Die Tx-Queue des cnmac (4) -Treibers kann nun parallel zum Rest des Kernels verarbeitet werden.
  • Der Netzwerkeingabepfad wird jetzt im Threadkontext ausgeführt.
  • Installer-Verbesserungen:
  • aktualisierte Liste der eingeschränkten Benutzercodes
  • install.sh und upgrade.sh wurden in install
  • zusammengeführt
  • update führt sysmerge (8) automatisch im Batch-Modus vor fw_update (1)
  • aus
  • Fragen und Antworten werden in einem Format protokolliert, das als Antwortdatei für die Verwendung durch autoinstall (8)
  • verwendet werden kann
  • / usr / local ist während der Installation auf eingestellt
  • Routing-Dämonen und andere Benutzerland-Netzwerk-Verbesserungen:
  • Fügen Sie Unterstützung für Routing-Tabellen zu rc.d (8) und rcctl (8) hinzu.
  • Lassen Sie nc (1) Dienstnamen zusätzlich zu den Portnummern unterstützen.
  • Fügen Sie -M und TT-Flags zu nc (1) hinzu.
  • Fügen Sie tcpbench (1) AF_UNIX-Unterstützung hinzu.
  • Eine Regression in rarpd (8) wurde behoben. Der Daemon könnte hängen bleiben, wenn er lange Zeit inaktiv war.
  • Die Option llprio wurde in ifconfig (8) hinzugefügt.
  • Mehrere Programme, die bpf (4) verwenden, wurden modifiziert, um bpf (4) Device Cloning zu nutzen, indem Sie / dev / bpf0 öffnen, anstatt durch / dev / bpf * Geräte zu loopen. Diese Programme umfassen arp (8), dhclient (8), dhcpd (8), dhcreelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) und tcpdump (8). Die Bibliothek libpcap wurde ebenfalls entsprechend modifiziert.
  • Sicherheitsverbesserungen:
  • W ^ X wird jetzt standardmäßig strikt durchgesetzt. Ein Programm kann es nur verletzen, wenn die ausführbare Datei mit PT_OPENBSD_WXNEEDED markiert ist und sich in einem Dateisystem befindet, das mit der Option wxallowed mount (8) bereitgestellt wird. Da immer noch zu viele Ports vorhanden sind, die W ^ X verletzen, hängt das Installationsprogramm das Verzeichnis / usr / local mit wxallowed an. Dadurch kann das Basissystem sicherer sein, solange / usr / local ein separates Dateisystem ist. Wenn Sie keine W ^ X-verletzenden Programme verwenden, erwägen Sie, diese Option manuell zu widerrufen.
  • Die Funktionenfamilie setjmp (3) wendet jetzt XOR-Cookies auf Stack- und Return-Address-Werte im jmpbuf auf amd64, hppa, i386, mips64 und powerpc an.
  • SROP-Minderung: sigreturn (2) kann nun nur noch von dem vom Kernel bereitgestellten Signal-Trampolin verwendet werden, mit einem Cookie, um Versuche zur Wiederverwendung zu erkennen.
  • Um Code-Wiederverwendung-Exploits zu verhindern, verbindet rc (8) libc.so beim Start neu und platziert die Objekte in zufälliger Reihenfolge.
  • Öffnen Sie in der getpwnam (3) -Familie von Funktionen standardmäßig die Schattendatenbank.
  • Erlaube, dass tcpdump (8) -r ohne Root-Rechte gestartet wird.
  • Entfernen Sie systrace.
  • Entfernen Sie die Linux-Emulationsunterstützung.
  • Entfernen Sie die Unterstützung für die usermount-Option.
  • Der TCP-SYN-Cache setzt von Zeit zu Zeit seine zufällige Hash-Funktion zurück. Dies verhindert, dass ein Angreifer die Verteilung der Hash-Funktion mit einem Timing-Angriff berechnen kann.
  • Um gegen SYN-Flooding-Angriffe zu arbeiten, kann der Administrator jetzt die Größe des Hash-Arrays ändern. netstat (1) -s -p tcp zeigt die relevanten Informationen zur Optimierung des SYN-Cache mit sysctl (8) net.inet.tcp.
  • an
  • Der Administrator kann root-Rechte für die Bindung an einige TCP- und UDP-Ports mit sysctl (8) net.inet.tcp.rootonly und sysctl (8) net.inet.udp.rootonly.
  • verlangen
  • Entfernen Sie einen Funktionszeiger aus der mbuf (9) -Datenstruktur und verwenden Sie stattdessen einen Index in ein Array von akzeptablen Funktionen.
  • Verschiedene Verbesserungen:
  • Die Thread-Bibliothek kann jetzt in einen single-threaded-Prozess geladen werden.
  • Verbesserte Symbolbehandlung und Einhaltung von Standards in libc. Wenn Sie beispielsweise eine Funktion open () definieren, wird die Operation fopen (3) nicht mehr beeinträchtigt.
  • PT_TLS-Abschnitte werden jetzt im anfänglich geladenen Objekt unterstützt.
  • Verbesserte Behandlung von "keine Pfade" und "leeren Pfad" in fts (3).
  • Stellen Sie in pcap (3) die Funktionen pcap_free_datalinks () und pcap_offline_filter ().
  • bereit
  • Viele Bugfixes und strukturelle Bereinigung in der Bibliothek editline (3).
  • Entferne alte dbm (3) Funktionen; ndbm (3) bleibt übrig.
  • Fügen Sie in doas.conf (5) das Schlüsselwort setenv für eine leistungsfähigere Umgebung hinzu.
  • Fügen Sie zur Zeitpositionierung -g und -p options zu aucat.1 hinzu.
  • Überschreiben Sie audioctl (1) mit einer einfacheren Benutzeroberfläche.
  • Fügen Sie die Option -F hinzu, um (1) fsync (2) die Datei vor dem Schließen zu installieren.
  • kdump (1) löscht nun polpfd Strukturen.
  • Verbessern Sie verschiedene Details der ksh (1) POSIX-Konformität.
  • mknod (8) umgeschrieben in einem Versprechen (2) -freundlichen Stil und zur Unterstützung der Erstellung mehrerer Geräte gleichzeitig.
  • Implementieren Sie rcctl (8) alle und getdef alle.
  • Implementieren Sie das Flag rcs (1) -I (interaktiv).
  • Implementieren Sie in rcs (1) die Schlüsselwortsubstitution Mdocdate.
  • Lassen Sie im oberen Bereich (1) Prozessargumente filtern, wenn diese angezeigt werden.
  • UTF-8-Unterstützung für falten (1) und rev (1) hinzugefügt.
  • Aktivieren Sie UTF-8 standardmäßig in xterm (1) und pod2man (1).
  • Filtern Sie Nicht-ASCII-Zeichen in der Wand (1).
  • Behandle die Umgebungsvariable COLUMNS konsistent über viele Programme hinweg.
  • Die Optionen -c und -k erlauben es, TLS-Client-Zertifikate für syslogd (8) auf der sendenden Seite bereitzustellen. Damit kann die Empfangsseite überprüfen, ob Log-Nachrichten authentisch sind. Beachten Sie, dass syslogd diese Überprüfungsfunktion noch nicht hat.
  • Wenn der Klog-Puffer überläuft, schreibt syslogd eine Protokollnachricht, um zu zeigen, dass einige Einträge fehlen.
  • Unter OpenBSD / octeon wird die Schreibpufferung des CPU-Caches aktiviert, um die Leistung zu verbessern.
  • pkg_add (1) und pkg_info (1) verstehen jetzt eine Vorstellung von branch, um die Auswahl einiger populärer Pakete wie python oder php zu erleichtern, zB pkg_add python% 3.4 um den 3.4 Zweig auszuwählen und pkg_info -zm um eine Fuzzy-Liste mit einer für pkg_add -l geeigneten Verzweigungsauswahl erhalten.
  • fdisk (8) und pdisk (8) werden sofort beendet, es sei denn, es wurde ein zeichenspezifisches Gerät
  • übergeben
  • st (4) verfolgt die aktuelle Blockanzahl für Blöcke variabler Größe
  • korrekt
  • fsck_ext2fs (8) funktioniert wieder
  • softraid (4) Volumes können mit Festplatten erstellt werden, die eine andere Sektorgröße als 512 Byte haben
  • dhclient (8) DECLINE und löscht nicht verwendete ANGEBOTE.
  • dhclient (8) wird sofort beendet, wenn seine Schnittstelle (z. B. eine Brücke (4)) EAFNOSUPPORT zurückgibt, wenn ein Paket gesendet wird.
  • httpd (8) gibt 400 Ungültige Anforderung für HTTP v0.9-Anfragen zurück.
  • Die lazy-node-Initialisierung von ffs2 verhindert, dass zufällige Daten auf dem Datenträger als Inode behandelt werden
  • fcntl (2) -Aufrufe in Basisprogrammen verwenden das Idiom fcntl (n, F_GETFL) anstelle von fcntl (n, F_GETFL, 0)
  • socket (2) und accept4 (2) Aufrufe in Basisprogrammen verwenden SOCK_NONBLOCK, um die Notwendigkeit eines separaten fcntl (2) zu eliminieren.
  • tmpfs ist standardmäßig nicht aktiviert
  • Die In-Kernel-Semantik von pledge (2) wurde auf vielfältige Weise verbessert. Zu den Highlights gehören: ein neues Versprechen, das es verpfändeten Programmen erlaubt, setugid-Attribute zu setzen, eine strengere Durchsetzung des recvfd-Versprechens und chroot (2) ist für verpfändete Programme nicht mehr erlaubt.
  • eine Reihe von Pfand (2) -bezogenen Bugs (fehlende Versprechen, unbeabsichtigte Verhaltensänderungen, Abstürze) wurden behoben, insbesondere in gzip (1), nc (1), sed (1), skeyinit (1), stty (1), und verschiedene plattenbezogene Dienstprogramme wie disclabel (8) und fdisk (8).
  • Fehler bei der Blockgrößenberechnung im audio (4) -Treiber wurden behoben.
  • Der usb (4) -Treiber speichert jetzt die Hersteller- und Produkt-IDs zwischen. Behebt ein Problem, bei dem usbdevs (8), das in einer Schleife aufgerufen wurde, dazu führen würde, dass ein USB-Massenspeichergerät den Betrieb stoppt.
  • Die Treiber rsu (4) und ural (4) funktionieren jetzt wieder, nachdem sie in 5.9 versehentlich unterbrochen wurden.
  • OpenSMTPD 6.0.0
  • Sicherheit:
  • Implementiere das fork + exec-Muster in smtpd (8).
  • Behebung eines logischen Problems in der SMTP-Statusmaschine, das zu einem ungültigen Status und einem Absturz führen kann.
  • Schließen Sie ein Dateizeiger-Leck an, das zu Ressourcenauslastung und einem Absturz führen kann.
  • Verwenden Sie automatische DH-Parameter anstelle von festen.
  • Deaktivieren Sie DHE standardmäßig, da es rechenintensiv und ein potentieller DoS-Vektor ist.
  • Die folgenden Verbesserungen wurden in Version 6.1 eingeführt:
  • Fügen Sie die Option -r dem SMTP-Enqueuer hinzu, um die Kompatibilität mit mailx zu gewährleisten.
  • Fügen Sie fehlendes Datum oder Nachrichten-ID hinzu, wenn Sie den Sende-Port abhören.
  • Repariere "smtpctl show queue" und melde "ungültigen" Hüllkurvenstatus.
  • Überarbeiten Sie das Format des Headers "Empfangen", damit der TLS-Teil nicht gegen den RFC verstößt.
  • Erhöhen Sie die Anzahl der Verbindungen, die eine lokale Adresse herstellen darf, und verringern Sie die Verzögerung zwischen Transaktionen in derselben Sitzung.
  • Fix LMTP-Lieferung an Server, die Fortsetzungszeilen zurückgeben.
  • Verbessere weiterhin die noch experimentelle Filter-API und behebe verschiedene verwandte Probleme.
  • Beginnen Sie, das Format von Protokollnachrichten zu verbessern und zu vereinheitlichen.
  • Behebt mehrere Dokumentationsdiskrepanzen und Tippfehler in den man-Seiten.
  • OpenSSH 7.3
  • Sicherheit:
  • sshd (8): Mildern Sie einen potenziellen Denial-of-Service-Angriff gegen die crypt (3) -Funktion des Systems über sshd (8). Ein Angreifer könnte sehr lange Kennwörter senden, die eine übermäßige CPU-Auslastung in crypt verursachen würden (3). sshd (8) verweigert nun die Annahme von Passwort-Authentifizierungsanfragen mit einer Länge von mehr als 1024 Zeichen.
  • sshd (8): Timing-Unterschiede bei der Passwortauthentifizierung verringern, die verwendet werden könnten, um gültige von ungültigen Kontonamen zu erkennen, wenn lange Passwörter gesendet wurden und spezielle Passwort-Hashing-Algorithmen auf dem Server verwendet werden. CVE-2016-6210.
  • ssh (1), sshd (8): Korrigieren Sie beobachtbare Timing-Schwächen in den CBC-Padding-Orakel-Gegenmaßnahmen. Beachten Sie, dass CBC-Verschlüsselungen standardmäßig deaktiviert und nur für die Kompatibilität mit älteren Versionen enthalten sind.
  • ssh (1), sshd (8): Verbessern der Reihenfolge der MAC-Verifizierung für MAC-Algorithmen zum Verschlüsseln-dann-MAC (EtM) -Modus, um den MAC vor dem Entschlüsseln eines verschlüsselten Texts zu verifizieren. Dies beseitigt die Möglichkeit der zeitlichen Differenzen undichte Fakten über den Klartext, obwohl keine solche Leckage bekannt ist.
  • Neue / geänderte Funktionen:
  • ssh (1): Fügen Sie eine ProxyJump-Option und das entsprechende -J-Befehlszeilen-Flag hinzu, um eine vereinfachte Indirektion durch eine oder mehrere SSH-Bastionen oder "Host-Sprung" zu ermöglichen.
  • ssh (1): Fügen Sie eine IdentityAgent-Option hinzu, mit der Sie bestimmte Agenten-Sockets angeben können, anstatt sie aus der Umgebung zu akzeptieren.
  • ssh (1): Erlaube, dass ExitOnForwardFailure und ClearAllForwardings optional überschrieben werden, wenn ssh -W verwendet wird. (bz # 2577)
  • ssh (1), sshd (8): Implementieren Sie die Unterstützung für den IUTF8-Terminalmodus gemäß Entwurf-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Fügen Sie Unterstützung für weitere fixierte Diffie-Hellman 2K-, 4K- und 8K-Gruppen von draft-ietf-caldle-ssh-kex-sha2-03 hinzu.
  • ssh-keygen (1), ssh (1), sshd (8): unterstützen SHA256- und SHA512-RSA-Signaturen in Zertifikaten.
  • ssh (1): Fügen Sie eine Include-Anweisung für ssh_config (5) -Dateien hinzu.
  • ssh (1): Erlaube UTF-8-Zeichen in Vor-Authentifizierungsbannern, die vom Server gesendet werden. (bz # 2058)
  • Die folgenden signifikanten Fehler wurden in Version 6.1 behoben:
  • Vermeiden Sie in scp (1) und sftp (1), die Terminaleinstellungen zu verscherzen, indem Sie Bytes umgehen, die keine ASCII- oder UTF-8-Zeichen bilden.
  • ssh (1), sshd (8): Verringern Sie die Syslog-Ebene einiger relativ häufiger Protokollereignisse von LOG_CRIT. (bz # 2585)
  • sshd (8): Verweigern Sie AuthenticationMethods = "" in Konfigurationen und akzeptieren Sie AuthenticationMethods = any für das Standardverhalten, dass keine Mehrfachauthentifizierung erforderlich ist. (bz # 2398)
  • sshd (8): Entfernen Sie veraltete und irreführende "MÖGLICHE EINBRUCH-VERSUCHE!" Nachricht, wenn Vorwärts- und Rückwärts-DNS nicht übereinstimmen. (bz # 2585)
  • ssh (1): Schließen Sie den ControlPersist-Hintergrundprozess stderr, außer im Debug-Modus oder beim Anmelden an syslog. (bz # 1988)
  • misc: Die PROTOCOL-Beschreibung für direct-streamlocal@openssh.com channel open-Nachrichten entsprechen dem bereitgestellten Code. (bz # 2529)
  • ssh (1): Deduplizieren Sie LocalForward- und RemoteForward-Einträge, um Fehler zu beheben, wenn sowohl ExitOnForwardFailure als auch Hostname-Kanonisierung aktiviert sind. (bz # 2562)
  • sshd (8): Entfernen Sie das Fallback von Moduli in veraltete "Primes" -Dateien, die 2001 veraltet waren. (bz # 2559)
  • sshd_config (5): Korrekte Beschreibung von UseDNS: Es beeinflusst ssh Hostname Verarbeitung für authorized_keys, not known_hosts. (bz # 2554)
  • ssh (1): Korrigieren Sie die Authentifizierung mit einzelnen Zertifikatsschlüsseln in einem Agenten ohne entsprechende private Schlüssel im Dateisystem. (bz # 2550)
  • sshd (8): Sende ClientAliveInterval-Pings, wenn ein zeitbasiertes RekeyLimit gesetzt ist; zuvor wurden Keepalive-Pakete nicht gesendet. (bz # 2252)
  • OpenNTPD 6.0
  • Wenn eine einzelne "Einschränkung" angegeben ist, versuchen Sie alle zurückgegebenen Adressen, bis eine erfolgreich ist, und nicht die erste zurückgegebene Adresse.
  • Entspannt die Randbedingungsfehlermarge, um proportional zur Anzahl der NTP-Peers zu sein, vermeiden Sie konstante Wiederverbindungen, wenn es einen schlechten NTP-Peer gibt.
  • Die deaktivierte hotplug (4) Sensorunterstützung wurde entfernt.
  • Unterstützung für das Erkennen von Abstürzen in Constraint-Subprozessen wurde hinzugefügt.
  • Die Ausführung von Integritätsbedingungen vom ntp-Prozess in den übergeordneten Prozess wurde verschoben, was eine bessere Trennung von Berechtigungen ermöglicht, da der ntp-Prozess weiter eingeschränkt werden kann.
  • Es wurde eine hohe CPU-Auslastung behoben, wenn das Netzwerk ausgefallen ist.
  • Verschiedene Speicherlecks wurden behoben.
  • Für Jitter-Berechnungen auf RMS umgeschaltet.
  • Unified Logging-Funktionen mit anderen OpenBSD-Basisprogrammen.
  • Setzen Sie MOD_MAXERROR, um bei Verwendung von ntp_adjtime den Status nicht synchronisierter Zeit zu vermeiden.
  • Es wurde eine HTTP-Timestamp-Header-Analyse korrigiert, um strptime (3) portabler zu verwenden.
  • Gehärtete TLS für ntpd (8) - Einschränkungen, die die Verifizierung des Servernamens ermöglichen.
  • LibreSSL 2.4.2
  • Benutzer sichtbare Funktionen:
  • Einige kaputte Manpage-Links im Installationsziel wurden behoben.
  • cert.pem wurde reorganisiert und mit Mozillas Zertifikatspeicher synchronisiert.
  • Zuverlässigkeits-Korrektur, die einen Fehler beim Parsen bestimmter ASN.1-Elemente über 16k korrigiert.
  • Implementiert die IETF ChaCha20-Poly1305 Cipher Suites.
  • Fehler bei der Eingabe von Passwörtern von openssl (1) behoben, um richtig mit ^ C.
  • umgehen zu können
  • Code Verbesserungen:
  • Ein Problem mit der nginx-Kompatibilität wurde behoben, indem ein Build-Ziel 'install_sw' hinzugefügt wurde.
  • Die Standard-EVP_aead_chacha20_poly1305 (3) -Implementierung wurde in die IETF-Version geändert, die jetzt die Standardeinstellung ist.
  • Überarbeitete Fehlerbehandlung in libtls, so dass Konfigurationsfehler besser sichtbar sind.
  • Fehlende Fehlerbehandlung bei bn_wexpand (3) -Aufrufen wurde hinzugefügt.
  • Explizite_bzero (3) Aufrufe für freigegebene ASN.1-Objekte hinzugefügt.
  • Behoben: X509_ * set_object-Funktionen, um 0 bei fehlgeschlagenem Zuweisen zurückzugeben.
  • Veraltete interne Verwendung von EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Es wurde ein Problem behoben, das verhinderte, dass der DSA-Signaturalgorithmus in einer konstanten Zeit ausgeführt wurde, selbst wenn das Flag BN_FLG_CONSTTIME gesetzt war.
  • Mehrere Probleme im OCSP-Code wurden behoben, die zu einer fehlerhaften Generierung und Analyse von OCSP-Anfragen führen konnten. Dadurch wird das Fehlen der Fehlerprüfung beim Zeitparsing in diesen Funktionen beseitigt und sichergestellt, dass nur die Formate von GENERALIZEDTIME für OCSP gemäß RFC 6960 akzeptiert werden.
  • Die folgenden CVEs wurden behoben:
  • CVE-2016-2105-EVP_EncodeUpdate Überlauf.
  • CVE-2016-2106-EVP_EncryptUpdate Überlauf.
  • CVE-2016-2107-Padding Orakel in AES-NI CBC MAC-Prüfung.
  • CVE-2016-2108 - Speicherfehler im ASN.1-Encoder.
  • CVE-2016-2109-ASN.1 BIO übermäßige Speicherzuweisung.
  • Ports und Pakete:
  • Neues proot (1) Werkzeug in der Ports-Struktur zum Erstellen von Paketen in einer Chroot.
  • Viele vordefinierte Pakete für jede Architektur:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerPC: 8318
  • sparc64: 8570
  • Einige Highlights:
  • Afl 2.19b
  • Chrom 51.0.2704.106
  • Emacs 21.4 und 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gehe 1.6.3
  • Groff 1.22.3
  • JDK 7u80 und 8u72
  • KDE 3.5.10 und 4.14.3 (plus KDE4-Kernupdates)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 und 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr und 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 und 2.4.44
  • PHP 5.5.37, 5.6.23 und 7.0.8
  • Postfix 3.1.1 und 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 und 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 und 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 und 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Wie üblich, stetige Verbesserungen in manuellen Seiten und anderen Dokumentationen.
  • Das System enthält die folgenden Hauptkomponenten von externen Lieferanten:
  • Xenocara (basierend auf X.Org 7.7 mit xserver 1.18.3 + Patches, Freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 und mehr)
  • GCC 4.2.1 (+ patches) und 3.3.6 (+ patches)
  • Perl 5.20.3 (+ Patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Nicht konsolidiert 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ Patches)
  • Gdb 6.3 (+ Patches)
  • Awk 10. August 2011 Version
  • Expat 2.1.1

Ähnliche Software

Kommentare zu OpenBSD

Kommentare nicht gefunden
Kommentar hinzufügen
Schalten Sie auf die Bilder!