OpenBSD

Software kuvakaappaus:
OpenBSD
Ohjelmiston tiedot:
Versio: 6.3 Päivitetty
Lähetyksen päivämäärä: 17 Aug 18
Kehittäjä: OpenBSD Team
Lupa: Vapaa
Suosio: 177

Rating: 4.0/5 (Total Votes: 1)

OpenBSD on ilmainen projekti, joka toimittaa monipuolisen UNIX-kaltaisen käyttöjärjestelmän, joka on kannettava, tehokas, turvallinen ja joka perustuu 4.4BSD-alustalle. Se on tehokas palvelintuote, jota käytetään sadoissa tuhansissa tietokoneissa maailmanlaajuisesti.


Saatavuus, käynnistysvaihtoehdot, tuetut alustat

Käyttöjärjestelmä on vapaasti ladattavissa omalta osastolta (ks. edellä) ISO-kuvina tai binäärisiä paketteja, joiden avulla käyttäjät voivat asentaa sen verkkoon. ISO-kuvat voidaan polttaa CD-levyille, jotka voidaan käynnistää suoraan useimpien tietokoneiden BIOS-ohjelmasta.

OpenBSD tukee useimpien SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS ja HP-UX -ohjelmien binääristä emulointia. Se voidaan asentaa useisiin arkkitehtuureihin, kuten i386, sparc64, alfa, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 ja mips64el.

CD-kuva käynnistyy automaattisesti ilman käyttäjän vuorovaikutusta ja kysyy heiltä, ​​haluavatko asentaa, päivittää tai asentaa käyttöjärjestelmän automaattisesti manuaalisesti sekä pudottaa komentoriville.

Manuaalinen tai automaattinen asennus

Standardi (lue: manuaalinen) asennus edellyttää, että käyttäjät voivat valita näppäimistöasettelun, asettaa isäntänimen, valita verkkoyhteyden ja määrittää sen IPv4: llä ja / tai IPv6: lla sekä asettaa uuden salasanan juurelle ( järjestelmän ylläpitäjä) tili.

Lisäksi voit aloittaa SSH- ja NTP-palvelut käynnistyksen yhteydessä, valita, haluatko käyttää X Window System -ohjelmaa vai ei, asentaa käyttäjän, valita aikavyöhykkeen, osata levyaseman ja asentaa asetuksia .

Mukana olevista OpenBSD-ohjelmistokokonaisuuksista voidaan mainita GNOME-, KDE- ja Xfce-työpöytäympäristöt, MySQL-, PostgreSQL-, Postfix- ja OpenLDAP-palvelimet, Mozilla Firefox-, Mozilla Thunderbird-, LibreOffice-, Emacs-, Vim- ja Chromium -sovellukset, samoin kuin PHP, Python, Ruby, Tcl / Tk, JDK, Mono ja Go -ohjelmointikielet.


Bottom line

Yhteenvetona OpenBSD on voimakas ja arvostettu palvelinlähtöinen BSD / UNIX-käyttöjärjestelmä, joka tarjoaa meille huippuluokan ohjelmiston, mukaan lukien OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED ja mandoc.

Mitä uutta on tässä versiossa:

  • Parannettu laitteistotuki, mukaan lukien:
  • SMP-tuki OpenBSD / arm64-alustoille.
  • VFP- ja NEON-tuki OpenBSD / armv7-alustoille.
  • Uusi ACrtc (4) -ohjain X-Power AC100-äänikoodekille ja reaaliaikakellolle.
  • Uusi axppmic (4) -ohjain X-Power AXP Power Management IC: lle.
  • Uusi bcmrng (4) -ohjain Broadcom BCM2835 / BCM2836 / BCM2837 satunnaislukugeneraattorille.
  • Uusi bcmtemp (4) -ohjain Broadcom BCM2835 / BCM2836 / BCM2837 lämpötilan valvontalaitteelle.
  • Uusi Bosch-liiketunnistin bgw (4).
  • Uusi bwfm (4) -ohjain Broadcom- ja Cypress FullMAC 802.11 -laitteille (vielä koe ja joita ei ole koottu ytimeen oletuksena)
  • Uusi efi (4) -ohjain EFI-suoratoistopalveluille.
  • Uusi imxanatop (4) ohjain i.MX6-integroidulle säätimelle.
  • Uusi rkpcie (4) -ohjain Rockchip RK3399 Host / PCIe -sillalle.
  • Uusi sxirsb (4) -ohjain Allwinner Reduced Serial Bus -ohjaimelle.
  • Uusi sxitemp (4) ohjain Allwinner-lämpötilan valvontalaitteelle.
  • Uusi sxits (4) ohjain lämpötila-anturille Allwinner A10 / A20-kosketuslevyohjaimelle.
  • Uusi sxitwi (4) ohjain kaksivideiselle väylälle, joka löytyy useammalta Allwinner SoCsilta.
  • Uusi sypwr (4) -ohjain Silergy SY8106A -säätimelle.
  • Rockchip RK3328 SoCs-tuki on lisätty dwge (4), rkgrf (4), rkclock (4) ja rkpinctrl (4) ohjaimiin.
  • Rockchip RK3288 / RK3328 SoCs-tuki on lisätty rktemp (4) -ohjaimeen.
  • Ohjaimen sxiccmu (4) -ohjaimelle on lisätty Allwinner A10 / A20, A23 / A33, A80 ja R40 / V40 SoC: ien tuki.
  • Tuki Allwinner A33, GR8 ja R40 / V40 SoCs on lisätty sxipio (4) -ohjaimeen.
  • Tuki SAS3.5 MegaRAIDille on lisätty mfii (4) -ohjaimeen.
  • Em (4) -ohjaimelle on lisätty tuki Intel Cannon Lake- ja Ice Lake -ympäristölle.
  • cnmac (4) -portit on nyt määritetty eri CPU-ytimiin hajautetun keskeytyksen käsittelylle.
  • PMs (4) -ohjain havaitsee ja käsittelee uudelleenilmoituksia.
  • AMD64-prosessorin Intel-mikroskoodilla ladataan käynnistyksen yhteydessä ja asennetaan / päivittää fw_update (1).
  • Tukee Sun4v hypervisorin keskeytystekki-API, joka lisää SPARC T7-1 / 2/4 -laitteiden tuen.
  • Sdc (4) -ohjaimille liitetty SD / MMC-tallennustila on lisätty horrostilaa varten.
  • clang (1) on nyt käytössä järjestelmäversioon armv7, ja se toimitetaan myös sparc64: ssä.
  • vmm (4) / vmd (8) parannukset:
  • Lisätä CD-ROM / DVD ISO-tuki vmd (8): n kautta vioscsi (4).
  • vmd (8) ei enää luo vm.conf (5): ssa määriteltyä virtuaalikytkinten taustalla olevaa komentosillan käyttöliittymää.
  • vmd (8) vastaanottaa kytkintiedot (rdomain jne.) alla olevasta kytkentärajapinnasta vm.conf (5): n asetusten yhteydessä.
  • Time Stamp Counterin (TBS) tuki vierasviesteissä.
  • Tukea ukvm / Solo5 unikernels vmm (4): ssa.
  • Hallitse päteviä (mutta harvinaisia) käskykoodeja paremmin.
  • Parempi PAE-hakutuki 32-bittiselle Linux-vierailijamallille.
  • vmd (8) sallii aina neljä verkkoliitäntää kussakin VM: ssä.
  • Lisää AMD SVM / RVI -palvelimille AMD SVM / RVI -palvelimille vakiotiedostojen siirto ja napsautustuki vmm (4).
  • PTY: ssä (4) lähetetyt BREAK-komennot ymmärretään nyt vmd: llä (8).
  • Monet korjaa vmctl (8): n ja vmd (8) virheenkäsittelyn.
  • IEEE 802.11 langattoman stack -parannukset:
  • Ajurit (iwm (4) ja iwn (4) ajavat automaattisesti ESSID: n kanssa jakavien tukiasemien välillä. Tietyn AP: n MAC-osoitteen pakottaminen ifconfig: n bssid-komennolla estää verkkovierailun.
  • Poista automaattisesti määritetyt WEP / WPA-avaimet, kun uusi verkko ESSID on määritetty.
  • Poistettiin kyky, jolla käyttäjämaa lukee määritetyt WEP / WPA-avaimet takaisin ytimestä.
  • Iwm (4) -ohjain voi nyt muodostaa yhteyden verkkoihin, joissa on piilotettu SSID.
  • athn (4) -ohjaimen tukemat USB-laitteet käyttävät nyt avoimen lähdekoodin ohjelmistoa ja hostap-tila toimii nyt näiden laitteiden kanssa.
  • Generic network stack -parannukset:
  • Verkon pino ei enää toimi KERNEL_LOCK () -ohjelmalla, kun IPsec on käytössä.
  • Saapuvat TCP / UDP-paketit käsitellään nyt ilman KERNEL_LOCK ().
  • Liitäntäliitäntä toimii ilman KERNEL_LOCK ().
  • koodin puhdistaminen ja poistaminen sys / netinet6: ssä, koska automaattinen määritys toimii nyt käyttäjäalueella.
  • Sillan (4) jäsentä voidaan nyt estää puhumalla toisilleen uudella suojatulla toiminnolla.
  • pf divert-packet -ominaisuutta on yksinkertaistettu. IP_DIVERTFL-liitäntävaihtoehto on poistettu siirrosta (4).
  • Useat kulmakohdat pf-siirto-ja-siirtää-vastaus ovat nykyään johdonmukaisempia.
  • Varmista pf: ssä (4), että kaikki naapurin havaintopaketit ovat 255 IPv6-otsikon hop limit -kentässä.
  • Uusi set syncookies -vaihtoehto pf.conf (5).
  • Tuki GRE: lle IPv6: n kautta.
  • Uusi egre (4) -ohjain Ethernetin kautta GRE-tunneleihin.
  • Lisävarusteena saatavan GRE-avaimen otsikon ja GRE-avaimen entropian tukeminen gre (4) ja egre (4).
  • Uusi nvgre (4) -ohjain verkko-virtualisoinnille yleisen reitityskapseloinnin avulla.
  • Tunneliyhteyksien ympäröimän ei-fragmentin lippupakettien määrittämisen tuki.
  • Asennuksen parannukset:
  • jos asennus- tai päivitys-sivusto epäonnistuu, ilmoita käyttäjälle ja poista se rand.seed-tallennuksen jälkeen.
  • sallivat CIDR-merkinnän kirjoitettaessa IPv4- ja IPv6-osoitteita.
  • HTTP-peilin korjaus valikoimasta peilien luettelosta.
  • Salli "-" käyttäjänimissä.
  • kysy kysymys asennus- / päivitysprosessin lopusta, jolloin kuljetuksen palautus aiheuttaa asianmukaisen toiminnan, esim. reboot.
  • näytä tila (asenna tai päivitä) kuorikyselyjä, kunhan mikään hostname ei ole tiedossa.
  • havaitsee oikein, mikä käyttöliittymä on oletusreitti ja jos se on määritetty DHCP: n kautta.
  • Varmista, että asetuksia voidaan lukea esihakemistoalueelta.
  • Varmista, että URL-osoitteen uudelleenohjaus on tehokas koko asennuksen / päivityksen kannalta.
  • Lisää HTTP-välityspalvelin, jota käytetään, kun haetaan asetuksia rc.firsttime, jossa fw_update ja syspatch voivat löytää ja käyttää sitä.
  • Lisää logiikka RFC 7217: n tukemiseksi SLAAC: n kanssa.
  • Varmista, että IPv6 on määritetty dynaamisesti luotuihin verkkoliittymiin, kuten vlan (4).
  • luo oikea isäntänimi, kun DHCP-leasing tarjoaa sekä verkkotunnuksen nimen että verkkotunnusten hakuvaihtoehdot.
  • Reititysdiemonit ja muut käyttäjäverkoston parannukset:
  • bgpctl (8): lla on uusi ssv-vaihtoehto, joka tuottaa riviosat yksittäisiksi puolipisteiksi, jotka on erotettu toisistaan ​​valinnan suhteen ennen lähtöä.
  • slaacd (8) synnyttää satunnaiset mutta vakavat IPv6-statuksettomat automaattisen määritysosoitteet RFC 7217: n mukaan. Nämä ovat käytössä oletusarvoisesti RFC 8064: n mukaisesti.
  • slaacd (8) seuraa RFC 4862 poistamalla keinotekoisen rajoituksen / 64-kokoiselle etuliitteelle käyttämällä RFC 7217: n (satunnaista mutta vakaa) ja RFC 4941 (privacy) tyyliä unhotonta määritystiedostoa.
  • ospfd (8) voi nyt asettaa reitin riville riippuen käyttöliittymän tilasta.
  • ifconfig (8) on uusi staticarp-vaihtoehto, jotta rajapinnat vastaisivat vain ARP-pyyntöihin.
  • ipsecctl (8) voi nyt tyhjentää lähdöt, joilla on sama lähde tai kohde.
  • Netstartin (8) -n -vaihtoehdolla ei enää ole virheitä oletusreitillä. Se on nyt dokumentoitu.
  • Turvallisuusparannukset:
  • Käytä vielä useampia ankkurikellot eri arkkitehtuureissa.
  • Lisää .rodata-sovelluksen käyttöä jatkuvissa muuttujissa kokoonpanolähteessä.
  • Lopeta käyttäminen x86 "reps ret" puun pölyisissä kulmissa.
  • Esittele & quot; execpromises & quot; panttiin (2).
  • Ramdisksin ja rebound (8) seurantaprosessin rakentamiseen käytetty elfrdsetroot-apuohjelma käyttää nyt panttia (2).
  • Valmistele MAP_STACK: n lisäämiseksi mmap (2): een 6.3. jälkeen.
  • Työnnä pieni kappale KARL-linkitettyyn ytimen tekstiin satunnaislukugeneraattoriin entropiana käynnistyksen yhteydessä.
  • Laita pienet satunnaiset aukot langan pinon yläosaan niin, että hyökkääjät tekevät vielä toisen laskutoimituksen ROP-työnsä suorittamiseksi.
  • Mittamuutos Intelin tuotemerkin amd64-suorittimien sulamisen haavoittuvuudelle.
  • OpenBSD / arm64 käyttää nyt ytimen sivupohjan eristystä Specter-muunnoksen 3 (Meltdown) hyökkäysten vähentämiseksi.
  • OpenBSD / armv7 ja OpenBSD / arm64 nyt huuhtele Branch Target Puskurin (BTB) prosessoreihin, jotka tekevät spekulatiivista suoritusta Specter-muunnoksen 2 hyökkäysten vähentämiseksi.
  • pool_get (9) häiritsee kohteiden järjestystä hiljattain allokoiduilla sivuilla, mikä tekee ytimen kasakokoonpanon vaikeammaksi ennustaa.
  • Fktrace (2) järjestelmäpuhelu poistettiin.
  • dhclient (8) parannukset:
  • Analyysin dhclient.conf (5) ei enää vuota SSID-merkkijonoja, jotka ovat liian pitkät jäsentämispuskuriin tai toistuviin merkkijonoihin ja komentoihin.
  • Dhclient.conf: n (5) vuokrasopimusten säilyttäminen ei ole enää tuettua.
  • DENY ei ole enää voimassa dhclient.conf (5): ssa.
  • dhclient.conf (5) ja dhclient.leases (5) jäsentelyvirhesanomia on yksinkertaistettu ja selkeytetty, parannettu käyttäytyminen odottamattomien puolipisteiden läsnä ollessa.
  • Varmistetaan vain sellaisten asetustietojen käsittely, jotka on analysoitu onnistuneesti.
  • '- n' on lisätty, mikä aiheuttaa dhclient (8) poistuaksesi jäsentämisen jälkeen dhclient.conf (5).
  • Oletusreitit vaihtoehdoissa luokatonta-staattisia reittejä (121) ja luokkatonta-ms-staattisia reittejä (249) on nyt oikein esitetty dhclient.leases (5) -tiedostoissa.
  • Korvaa määritetty tiedosto '-L': llä sen sijaan, että se liitettiin siihen.
  • Dhclient.leases (5) -vuokrasopimukset sisältävät nyt "epoch" -ominaisuuden, joka tallentaa vuokra-ajan, jota käytetään oikean uusimisen, kaventamisen ja vanhentumisajan laskemiseen.
  • Et enää kiihkeä merkkejä RFC 952: n rikkomisesta.
  • Lähetä ehdottomasti isäntänimiä koskevia tietoja pyytämällä vuokrasopimusta poistamalla dhclient.conf: n (5) tarve oletusasennuksessa.
  • Ole hiljainen oletuksena. '-q' on poistettu ja lisätään '-v', jotta tarkka kirjaus voidaan tehdä.
  • Vähennä haettujen osoitteiden päällekkäisiä tarjouksia.
  • Vapauta taustalla ilman linkin aikakatkaisun sekuntia.
  • Vähennä huomattavasti kirjautumista hiljaisuudessa, mutta tee '-v' kirjaa kaikki virheenkorjaustiedot ilman, että tarvitsee kääntää mukautettua suoritustiedostoa.
  • Ohita rajapinnan lausekkeet dhclient.leases (5): ssa ja ota olettaa, että tiedostossa kaikki leasingsopimukset on määritetty.
  • Näytä käyttöliittymälle sidotun leasinglähde.
  • "dhclient.conf (5) -tiedonannot" ignore "," request "ja" require "-ilmoitukset lisäävät nyt määritetyt vaihtoehdot kyseiseen luetteloon sen sijaan, että ne korvaisivat luettelon.
  • Poistetaan käynnistyskisaa, joka voi johtaa dhclient (8): n poistuessa määrittämättä käyttöliittymää.
  • Useita parannuksia:
  • Koodin uudelleenorganisointi ja muut malloc (3) ja ystävien parannukset niiden tehostamiseksi.
  • Varmista, että kaikki tiedostojärjestelmät ovat oikein synkronoituja ja merkittyjä, tai jos niitä ei voi laittaa levylle täysin puhtaaksi (avointen tai irrotettujen tiedostojen vuoksi), merkitse ne likaiset, jotta epäonnistunut jatkaminen / unhibernate taataan suorittamalla fsck (8).
  • acme-client (1) tunnistaa sopimuksen URL-osoitteen ja seuraa 30x HTTP-uudelleenohjauksia.
  • Lisätty __cxa_thread_atexit () tukemaan nykyaikaisia ​​C ++ -työkaluketjuja.
  • Lisättiin EVFILT_DEVICE-tuki kqueue (2): een drm (4) -laitteiden muutosten seuraamiseksi.
  • ldexp (3) käsittelee nyt denormalinumerojen merkin mips64: llä.
  • Uusi sincos (3) toimii libm: ssä.
  • fdisk (8) varmistaa nyt MBR-osiomuutosten oikeellisuuden muokatessa.
  • fdisk (8) varmistaa nyt, että oletusarvot ovat voimassa olevan alueen sisällä.
  • vähemmän (1) jakaa vain ympäristömuuttujan LESS arvoon "$".
  • vähemmän (1) ei enää luo väärää tiedostoa, kun kohtaat '$' alkuperäisessä komennossa.
  • pehmeäpari (4) vahvistaa nyt palojen lukumäärän, kun kokoa volyymi, varmistamalla, että levylle ja muistissa olevat metatiedot ovat synkronoituna.
  • disklabel (8) tarjoaa nyt aina editoida FFS-osion fragmenttikokoa ennen lohkon lohkon muokkaamista.
  • disklabel (8) sallii nyt sylinterien / ryhmän (cpg) attribuutin muokkaamisen aina, kun osion lohkon kokoa voidaan muokata.
  • disklabel (8) havaitsee ^ D ja virheellisen syötteen (R) esize -komentojen aikana.
  • disklabel (8) tunnistaa alivirtaukset ja ylivuodot, kun käytetään operaattoreita - / +.
  • disklabel (8) välttää nyt pois päältä, kun laskee sylinterien lukumäärän vapaassa osassa.
  • disklabel (8) vahvistaa nyt vaaditun osion koon suurimman vapaakappaleen koon sijaan koko vapaata tilaa.
  • Tuki USB-siirtojen polttamiselle bpf: n (4) kautta.
  • tcpdump (8) voi nyt ymmärtää USBPcap-muodon USB-siirtojen kaatopaikkoja.
  • Esimerkiksi csh (1), ksh (1) ja sh (1) oletusohjeet sisältävät palvelimen nimen.
  • Muistin kohdistaminen ksh (1): ssä vaihdettiin calloc (3) takaisin malloc (3): ksi, mikä helpotti tunnistamattoman muistin tunnistamista. Tämän seurauksena havaittiin ja korjattu historiatietoinen virhe emacs-muokkaustilassa.
  • Uusi komentosarja (1) -c-komento komentorivin suorittamiseksi.
  • Uusi grep (1) -m vaihtoehto rajoittaa otteluiden määrää.
  • Uusi uniq (1) -i -vaihtoehto tapauksettoman vertailuun.
  • Printf (3) -muotoinen merkkijono ei ole enää vahvistettu, kun etsit% -muotoja. Perustuu Androidin sitoutumiseen ja useimpien muiden käyttöjärjestelmien seuraamiseen.
  • Parannettu virhetarkistus vfwprintf: ssä (3).
  • Monet perusohjelmat on auditoitu ja korjattu vanhentuneiden tiedostojen kuvaajille, kuten cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) ja sshd (8). >
  • Erilaiset virheenkorjaukset ja parannukset jot (1):
  • -b, -s, -w -vaihtoehtojen argumentteja koskevat mielivaltaiset pituusrajoitukset poistettiin.
  • % F -muodon määrittimet on nyt tuettu ja% D -muotoinen vika on korjattu.
  • Parempi koodin kattavuus regressiotesteissä.
  • Useita puskurin ylityksiä on korjattu.
  • Laastari (1) -apuohjelma kohtaa paremmin git-diffumeja, jotka luovat tai poistavat tiedostoja.
  • pkg_add (1) on nyt parantanut HTTP (S) -suuntaajien, kuten cdn.openbsd.orgin, tukemista.
  • ftp (1) ja pkg_add (1) tukevat nyt HTTPS-istunnon uudelleenkäynnistystä nopeammin.
  • mandoc (1) -T ps -tiedoston koko pienenee yli 50%.
  • syslogd (8) kirjaa, jos käynnistyksen yhteydessä oli varoituksia.
  • syslogd (8) keskeytti kirjautumisen tiedostoihin koko tiedostossa. Nyt se kirjoittaa varoituksen ja jatkaa sen jälkeen, kun tila on asetettu saataville.
  • vmt (4) sallii nyt kloonauksen ja vain levytilaisten tilannekuvien ottamisen vierailijoille.
  • OpenSMTPD 6.0.4
  • Lisää spf walk -vaihtoehto smtpctl (8).
  • Sekalaiset puhdistukset ja parannukset.
  • Useita manuaalisia sivun korjauksia ja parannuksia.
  • OpenSSH 7.7
  • Uudet / muuttuneet ominaisuudet:
  • Kaikki: Lisää kokeellista tukea PQC XMSS-avaimille (Extended Hash-Based Signatures), joka perustuu https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 XMSS-allekirjoituskoodi on kokeileva eikä sitä ole koottu oletuksena.
  • sshd (8): Lisää "rdomain" kriteerit sshd_config Match-avainsanalle ehdollisen määrityksen sallimiseksi riippuen siitä, mikä reititysdomeeni yhteys vastaanotettiin (tällä hetkellä tuetaan OpenBSD: ssä ja Linuxissa).
  • sshd_config (5): Lisää valinnainen rdomain-karsinta ListenAddress-direktiiviin, jotta kuuntelisi eri reititysalueilla. Tätä tuetaan vain OpenBSD: ssä ja Linuxissa tällä hetkellä.
  • sshd_config (5): Lisää RDomain-direktiivi sallimaan todennetun istunnon sijoittamisen nimenomaan reititysdomeeniin. Tätä tuetaan tällä hetkellä vain OpenBSD: ssä.
  • sshd (8): Lisää & quot; vanhentumisaika & quot; vaihtoehto sallitut_keys-tiedostoille, jotta avaimet voidaan päättää.
  • ssh (1): Lisää BindInterface-vaihtoehto sallimaan lähtevän yhteyden sitomisen käyttöliittymän osoitteeseen (periaatteessa käyttökelpoisempi BindAddress).
  • ssh (1): Määritä laite, joka on varattu tun / napauttamalla eteenpäin uuden% T-laajennuksen avulla LocalCommandille. Tämä sallii LocalCommandin käytön liitännän valmistelussa.
  • sshd (8): Määritä laite, joka on varattu tun- tai pikalähetykselle uuden SSH_TUNNEL-ympäristömuuttujan avulla. Tämä mahdollistaa käyttöliittymän ja ympäröivän verkkoasetusten automaattisen määrittämisen automaattisesti palvelimelle.
  • ssh (1) / scp (1) / sftp (1): Lisää URI-tuki ssh: lle, sftp: lle ja scp: lle, esim. ssh: // käyttäjä @ isäntä tai sftp: // käyttäjä @ isäntä / polku. Luonnoksessa ietf-secsh-scp-sftp-ssh-uri-04 kuvattuja muita yhteysparametreja ei ole toteutettu, koska ssh-sormenjäljen muoto luonnoksessa käyttää vanhentuneita MD5-hajautuksia ilman mitään muuta algoritmia.
  • ssh-keygen (1): Salli todistuksen voimassaoloajan, joka määrittää vain käynnistys- tai lopetusaikaa (molempien sijaan tai ei).
  • sftp (1): Salli "cd" ja "lcd" komentoja, joilla ei ole eksplisiittistä polun argumenttia. lcd muuttuu paikallisen käyttäjän kotihakemistoon tavalliseen tapaan. cd vaihtaa istunnon aloituskansioon (koska protokolla ei ole mahdollisuutta hankkia etäkäyttäjän kotihakemistoa). BZ # 2760
  • sshd (8): Kun suoritat config-testiä sshd-T: llä, tarvitset vain attribuutit, jotka ovat todellisuudessa käytössä Match-kriteereissä, eivätkä ne täytä kaikkia kriteerejä.
  • Tässä julkaisussa on määritetty seuraavat merkittävät virheet:
  • ssh (1) / sshd (8): Tarkista tarkemmin allekirjoitusmuodot avaimen vaihdon aikana neuvotteluja vastaan. Estää SHA-256/512: n kanssa tehtyjen RSA-allekirjoitusten alentamisen SHA-1: een.
  • sshd (8): Korjaa asiakastuki, joka mainostaa protokollan version & quot; 1.99 & quot; (mikä osoittaa, että ne ovat valmiita hyväksymään sekä SSHv1: n että SSHv2: n). Tämä rikkoutui OpenSSH 7.6: ssa SSHv1-tuen poistamisen aikana. BZ # 2810
  • ssh (1): Varoittaa, kun agentti palauttaa ssh-rsa (SHA1) -kirjan, kun rsa-sha2-256 / 512-allekirjoitusta pyydettiin. Tämä ehto on mahdollinen, kun käytössä on vanha tai ei-OpenSSH-agentti. BZ # 2799
  • ssh-agentti (1): Fix-regressio esittelee 7.6, joka aiheutti ssh-agentin lopettamista fatalasti, jos se on antanut virheellisen allekirjoituspyyntösanoman.
  • sshd_config (5): Hyväksy kyllä ​​/ ei lippumärävaihtoehtoja tapauksettomasti, kuten on tapahtunut ssh_config (5) pitkään aikaan. BZ # 2664
  • ssh (1): Virheilmoitusten parantaminen virheiden yhteydessä yhteyden aikana. Joissakin tapauksissa harhaanjohtavat virheet olivat esityksiä. BZ # 2814
  • ssh-keyscan (1): Lisää -D-vaihtoehto, joka mahdollistaa tulostamisen suoraan SSHFP-muodossa. BZ # 2821
  • regressiokokeet: Korjaa PuTTY-interop-testi, joka on rikki viimeisen julkaisun SSHv1-poistoon. BZ # 2823
  • ssh (1): Yhteensopivuuskorjaus eräille palvelimille, jotka virheellisesti pudottavat yhteyden, kun IUTF8 (RFC8160) -vaihtoehto lähetetään.
  • scp (1): Poista RemoteCommand ja RequestTTY ssh-istunnosta, jonka aloitti scp (sftp jo teki tämän.)
  • ssh-keygen (1): Kieltäytyä luomasta sertifikaattia käyttämättömällä määrällä päämiehiä.
  • ssh-keygen (1): Poistu, jos ssh-keygen ei pysty kirjoittamaan kaikkia julkisia avaimia avainten luomisen aikana. Aikaisemmin se hiljaa jättäisi kommenttien kirjoitusvirheet ja lopettaisi uuden rivin.
  • ssh (1): Älä muokkaa isäntänimeä argumentteja, jotka ovat osoitteita, pakottamalla heidät automaattisesti pienikokoisiin. Sen sijaan kanonisoitavat heidät ratkaisemaan epäselvyydet (esim. 0001 = & gt; :: 1) ennen kuin heidät sovitetaan tunnettujenhostit vastaan. BZ # 2763
  • ssh (1): Älä hyväksy roskaruokaa sen jälkeen & quot; kyllä ​​& quot; tai "ei" vastaukset isäntäkysymyksen kehotteisiin. BZ # 2803
  • sftp (1): Kirjoita sftp: lle varoitus kuoren puhtaudesta dekoodattaessa ensimmäistä pakettia epäonnistui, mikä johtuu tavallisesti kuoreista, jotka saastuttavat ei-vuorovaikutteisten käynnistysten stdoutia. BZ # 2800
  • ssh (1) / sshd (8): Vaihda ajastimet pakettikoodissa käyttämällä seinäkellon aikaa monotoniseen aikaan, jolloin pakettikerros toimii paremmin kellotaajuudella ja välttää mahdolliset kokonaisluvun ylivuodot vaiheiden aikana. >
  • Useita manuaalisia sivun korjauksia ja parannuksia.
  • LibreSSL 2.7.2
  • Lisätuki monille OpenSSL 1.0.2- ja 1.1-sovellusliittymille, jotka perustuvat sovellusten reaaliaikaisen käytön havaintoihin. Nämä toteutetaan rinnakkain olemassa olevien OpenSSL 1.0.1 -ohjelmistojen kanssa - näkyvyyden muutoksia ei ole tehty olemassa oleviin rakenteisiin, joten vanhojen OpenSSL-sovelluspiirien kirjoituskoodit voivat jatkaa työskentelyään.
  • API-dokumentaation laajat korjaukset, parannukset ja lisäykset, mukaan lukien OpenSSL: n julkiset sovellusliittymät, joilla ei ollut olemassa olevia asiakirjoja.
  • Lisätty tuki automaattiselle kirjaston alustukselle libcrypto, libssl ja libtls. Tavoite käyttöjärjestelmää varten tarvitaan nyt pthread_once-yhteensopivaa tai yhteensopivaa vastaavaa tukea. Sivuvaikutuksena Windows-tuen vähimmäismäärä on Vista tai suurempi.
  • Muuntaa enemmän pakettikäsittelymenetelmiä CBB: lle, mikä parantaa joustavuutta TLS-viestejä luotaessa.
  • Täydennetty TLS-laajennuksen käsittely uudelleenkirjoittaa parantaen virheellisiä ja kaksoiskappaleita koskevien tarkistusten yhdenmukaisuutta.
  • Uudelleen ASN1_TYPE_ {get, set} _octetstring () mallinnettu ASN.1. Tämä poistaa vanhojen M_ASN1_ * makrojen (asn1_mac.h) jäljellä olevan käyttöliittymän sovellusliittymästä, joka on edelleen olemassa.
  • Lisättiin asiakastason istuntojen uudelleenkäynnistystuki libtlissä. Libtls-asiakas voi määrittää istuntotiedoston kuvaajan (tavallinen tiedosto, jolla on asianmukainen omistusoikeus ja käyttöoikeudet) ja libtls hallitsee istuntojen tietojen lukemista ja kirjoittamista TLS-kättelyissä.
  • Parannettu tuki ARMv7-arkkitehtuurien tiukalle kohdistamiselle, mikä mahdollistaa kokoonpanon ehdottomasti näissä tapauksissa.
  • Korjasi muistivuotoa libtls: ssä uudestaan ​​tls_config uudelleen.
  • Yhdistettiin lisää DTLS-tukea tavalliseen TLS-koodireittiin poistamalla päällekkäinen koodi.
  • Portit ja paketit:
  • dpb (1) ja normaalit portit (7) voivat nyt käyttää samaa etuoikeuserottua mallia asettamalla PORTS_PRIVSEP = Kyllä
  • Monet valmiiksi rakennettuja paketteja jokaiselle arkkitehtuurille:
  • aarch64: 7990
  • alfa: 1
  • amd64: 9912
  • käsi: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Jotkut kohokohdat:
  • AFL 2.52b
  • CMake 3.10.2
  • Kromi 65.0.3325.181
  • Emacs 21.4 ja 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Siirry 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 ja 4.14.3 (sekä KDE4-ytimen päivitykset)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 ja 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr ja 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 ja NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 ja 2.4.45
  • PHP 5.6.34 ja 7.0.28
  • Postfix 3.3.0 ja 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 ja 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 ja 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 ja 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Kuten tavallista, tasaiset parannukset manuaalisissa sivuissa ja muissa asiakirjoissa.
  • Järjestelmä sisältää seuraavat tärkeät komponentit ulkopuolisilta toimittajilta:
  • Xenocara (perustuu X.Org 7.7: n kanssa xserver 1.19.6 + korjaustiedostoilla, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 ja paljon muuta)
  • LLVM / Clang 5.0.1 (+ korjaustiedostot)
  • GCC 4.2.1 (+ korjaustiedostot) ja 3.3.6 (+ korjaukset)
  • Perl 5.24.3 (+ korjaustiedostot)
  • NSD 4.1.20
  • Ei sitoumuksia 1.6.8
  • Ncurses 5.7
  • Binutils 2,17 (+ laastaria)
  • Gdb 6.3 (+ korjaustiedostot)
  • Awk 10. elokuuta 2011 versio
  • Expat 2.2.5

Uutta versiossa 6.2:

  • Uudet / laajennetut alustat:
  • ARMv7:
  • Lisätään EFI-käynnistyslataaja, ytimet ladataan FFS: stä FAT- tai EXT-tiedostojärjestelmien sijaan ilman U-Boot -otsikoita.
  • Nykyään käytetään kaikkia ytimiä ja ramppia.
  • Laitteisto on dynaamisesti lueteltu Flattened Device Tree (FDT) avulla staattisten pöytien sijaan kortin tunnusten perusteella.
  • Pienoisohjelmien asennuskuvissa on U-Boot 2016.07, joka tukee EFI-hyötykuormia.
  • VAX:
  • poistaa.
  • Parannettu laitteistotuki, mukaan lukien:
  • Uusi bytgpio (4) ohjain Intel Bay Trail GPIO -ohjaimelle.
  • Uusi chvgpio (4) -ohjain Intel Cherry View GPIO -ohjaimelle.
  • Uusi maxrtc (4) ajuri Maxim DS1307 reaaliaikakellolle.
  • Uusi nvme (4) -ohjain ei-haihtuvien muistitikkujen (NVMe) isäntäohjaimen käyttöliittymälle.
  • Uusi pcfrtc (4) -ohjain NXP PCF8523 reaaliaikakellolle.
  • Uusi umb (4) ajuri mobiililaajakaistaliittymämallille (MBIM).
  • Uusi ure (4) -ohjain RealTek RTL8152-pohjaisille 10/100 USB Ethernet -laitteille.
  • Uuden utvfu (4) -ohjain ääni- ja videolaitteille Fushicai USBTV007: n perusteella.
  • Iwm (4) -ohjain tukee Intel Wireless 3165- ja 8260 -laitteita ja toimii luotettavammin RAMDISK-ytimissä.
  • DIOIC (4) on lisätty tukemaan I2C HID -laitteita, joissa on GPIO-signaloidut keskeytykset.
  • Sdmmc (4), rtsx (4), sdhc (4) ja imxesdhc (4) on lisätty tukemaan suurempia väylän leveyksiä, nopeita tiloja ja DMA-siirtoja.
  • Tuki EHCI- ja OHCI-yhteensopiville USB-ohjaimille Octeon II SoCs -järjestelmissä.
  • Useissa USB-laiteohjaimissa on otettu käyttöön OpenBSD / octeon.
  • Parannettu tuki laitteistosta vähennetyille ACPI-toteutuksille.
  • Parannettu tuki ACPI 5.0: n toteutuksille.
  • AES-NI-salaus tehdään nyt pitämättä ydinlukkoa.
  • Parannettu AGP-tuki PowerPC G5-koneilla.
  • Lisätuki Intel Bay Trail SoCs SD-korttipaikkaan.
  • ichiic (4) -ohjain ohittaa SMBALERT # -interruptin estääkseen keskeytysmyrskyn vikoillaan BIOS-toteutuksilla.
  • Laitteen kiinnitysongelmat akselin (4) kuljettajan kanssa on korjattu.
  • Ral (4) -ajuri on vakaampi RT2860-laitteiden kuormituksella.
  • Ongelma kuolleiden näppäimistöjen kanssa jatkamisen jälkeen on korjattu pckbd (4) -ohjaimessa.
  • rtsx (4) -ohjain tukee nyt RTS522A-laitteita.
  • MSI-X: n alkuperäinen tuki on lisätty.
  • Tukee MSI-X virtio (4) -ohjaimessa.
  • Lisätty kiertotie laitteiston DMA-ylityksille dc (4) -ohjaimelle.
  • Acpitz (4) -ohjain pyöri nyt tuulettimen jäähtymisen jälkeen, jos ACPI käyttää hystereesiä aktiiviseen jäähdytykseen.
  • xhci (4) -ohjain suorittaa nyt kanavanvaihdon xHCI-yhteensopivasta BIOS-ohjelmasta.
  • Wsmouse (4) -ohjaimelle on lisätty monikosketustulon tuki.
  • Palvelun (4) ohjain tukee nyt Aruba 7xxx -ohjaimien sarjakonsolissa.
  • Re (4) -ohjain toimii nyt rikkoutuneiden LED-kokoonpanojen ympärillä APU1 EEPROMissa.
  • Ehci (4) -ohjain toimii nyt ATI USB -ohjainten ongelmien (esim. SB700) kanssa.
  • xen (4) -ohjain tukee nyt domU-määritystä Qubes-käyttöjärjestelmässä.
  • IEEE 802.11 langattoman stack -parannukset:
  • HT block ack-vastaanottopuskuri-logiikka noudattaa tarkemmin 802.11-2012 -esimerkissä määritettyä algoritmia.
  • Nurmikko (4) -ohjain seuraa nyt HT-suojauksen muutoksia, kun se on liitetty 11n AP: ään.
  • Langaton pino ja useat ohjaimet käyttävät RTS / CTS-tekniikkaa entistä aggressiivisemmin, jotta vältetään vanhojen laitteiden ja piilotettujen solmujen häiriöt.
  • Netstat (1) -W -komento näyttää nyt tietoja 802.11n-tapahtumista.
  • Hostap-tilassa älä käytä uudelleen välimuistiin tallennettujen solmujen tunnisteita. Korjaa ongelman, jossa ral (4) -ohjaimen käyttöpiste jumissa 1 Mbps: ssä, koska Tx-nopeuslaskenta tapahtui väärässä solmukohdassa.
  • Generic network stack -parannukset:
  • Reititystaulukko perustuu nyt ART: ään, joka tarjoaa nopeamman haun.
  • Reittihakutapahtumien määrä pakettia kohti on vähennetty välityspolulla 1.
  • VLAN-otsakkeiden prio-kenttä on nyt oikein määritetty jokaiselle vlan (4) -liittymälle menevän IPv4-paketin fragmenttiin.
  • Käytetään laitekloonausta bpf: lle (4). Tämä mahdollistaa sen, että järjestelmässä on vain yksi bpf-laitteen solmu / dev-palvelu, joka tarjoaa kaikki bpf-kuluttajat (enintään 1024).
  • cnmac (4) -ohjaimen Tx-jonossa voidaan nyt käsitellä rinnakkain ydinosan kanssa.
  • Verkon syöttöpolku on nyt käynnissä thread-kontekstissa.
  • Asennuksen parannukset:
  • päivitetty luettelo rajoitetuista käyttäjäkoodeista
  • asenna.sh ja upgrade.sh yhdistyvät install.sub
  • päivittää automaattisesti sysmerge (8) erätilassa ennen fw_update (1)
  • Kysymykset ja vastaukset kirjataan sellaiseen muotoon, jota voidaan käyttää vastaustiedostona, jota autoinstall (8) käyttää.
  • / usr / local asetetaan wxallowed asennuksen aikana
  • Reititysdiemonit ja muut käyttäjäverkoston parannukset:
  • Lisää reititystaulukon tuki rc.d (8): lle ja rcctl: lle (8).
  • Anna nc (1) tukipalvelun nimiä porttien numeroiden lisäksi.
  • Lisää -M ja -m TTL-lippuja nc (1).
  • Lisää AF_UNIX-tuki tcpbench (1): lle.
  • Korjataan regressiota rarpd (8): ssa. Demoni voisi jäädä kiinni, jos se on ollut käyttämättömänä pitkään.
  • Lisätty llprio-asetus ifconfig (8).
  • Useita bpf: n (4) käyttäviä ohjelmia on muokattu hyödyntämään bpf: n (4) laitekloonausta avaamalla / dev / bpf0 sen sijaan, että luotaisit / dev / bpf * -laitteita. Nämä ohjelmat sisältävät arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ja tcpdump (8). Myös libpcap-kirjastoa on muutettu.
  • Turvallisuusparannukset:
  • W ^ X on nyt noudatettava tiukasti oletusarvoisesti; ohjelma voi vain rikkoa sitä, jos suoritustiedosto on merkitty PT_OPENBSD_WXNEEDED ja se sijaitsee tiedostojärjestelmällä, joka on asennettu wxallowed mount (8) -vaihtoehdolla. Koska vielä on liian monta porttia, joka rikkoo W ^ X: tä, asentaja kiinnittää / usr / local -tiedostojärjestelmän wxallowed: lla. Tämä mahdollistaa perusjärjestelmän turvallisuuden niin kauan kuin / usr / local on erillinen tiedostojärjestelmä. Jos et käytä mitään W ^ X -vastausohjelmaa, harkitse tämän vaihtoehdon manuaalista peruuttamista.
  • Asetusten setjmp (3) -ryhmä käyttää nyt XOR-evästeitä pino- ja palautusosoitteen arvoihin jmpbufissa amd64, hppa, i386, mips64 ja powerpc.
  • SROP: n lieventäminen: sigreturn (2) voidaan nyt käyttää vain ytimen mukana toimitetulla signaalipoipoliinilla, jonka eväste tunnistaa yritykset käyttää sitä uudelleen.
  • Jotta koodin uudelleenkäytön esteet voidaan estää, rc (8) liittää uudelleen libc.so: n käynnistykseen asettaen objektit satunnaiseen järjestykseen.
  • Lopeta shadow-tietokannan avaaminen getpwnam (3) -perheessä.
  • Salli tcpdump (8) -r käynnistää ilman root-oikeuksia.
  • Poista systrace.
  • Poista Linuxemulaation tuki.
  • Poista tuen usermount-vaihtoehtoa varten.
  • TCP SYN -välimuisti paljastaa satunnaisen hajautusfunktion aika ajoin. Tämä estää hyökkääjän laskemasta hajautusfunktion jakauman ajoitusuralla.
  • Voit vastata SYN-tulva-iskuihin, mutta ylläpitäjä voi muuttaa hajautusjoukon kokoa nyt. netstat (1) -s -p tcp näyttää relevantit tiedot SYN-välimuistin virittämiseen sysctl (8) net.inet.tcp: llä.
  • Järjestelmänvalvoja voi edellyttää pääkäyttäjän oikeuksia sitovaan joihinkin TCP- ja UDP-portteihin sysctl (8) net.inet.tcp.rootonly ja sysctl (8) net.inet.udp.rootonly kanssa.
  • Poista funktio osoitin mbuf (9) -tietorakenteesta ja käytä indeksiä joukkoon hyväksyttäviä toimintoja.
  • Useita parannuksia:
  • Lankakirjasto voidaan nyt ladata yksiriviseen prosessiin.
  • Parannettu symbolin käsittely ja standardien noudattaminen libc: ssä. Esimerkiksi avoimen () toiminnon määrittäminen ei enää häiritse fopen (3): n toimintaa.
  • PT_TLS-osioita tuetaan nyt alun perin ladatussa esineessä.
  • Parannettu "ei polkujen" käsittely ja "tyhjä polku" (3).
  • Tee pcap_free_datalinks () - ja pcap_offline_filter () -toiminnossa pcap (3).
  • Monet bugikorjaukset ja rakenteellinen siivous muokkauslinjassa (3).
  • Poista vanhat dbm (3) -toiminnot; ndbm (3) pysyy.
  • Lisää setenv-avainsana tehokkaampaan ympäristönhallintaan doas.conf: ssä (5).
  • Lisää -g ja -p-vaihtoehtoja aucat.1 varten ajan asettamiseksi.
  • Korvaa audioctl (1) yksinkertaisemmalla käyttöliittymällä.
  • Lisää -F-asennus (1) fsync-tiedostoon (2) ennen sulkemista.
  • kdump (1) nyt kaataa pollfd-rakenteet.
  • Paranna ksh (1) POSIX-yhteensopivuuden eri yksityiskohtia.
  • mknod (8) kirjoitetaan uudestaan ​​lupaavaan (2) ystävälliseen tyyliin ja tukee useiden laitteiden luomista kerralla.
  • Toteuta rcctl (8) kaikki ja getdef all.
  • Toteuta rcs (1) -I (interaktiivinen) lippu.
  • Korvaa rcs (1) Mdocdate-avainsanan korvaaminen.
  • Yläosassa (1) sallitaan suodattaa prosessin argumentteja, jos ne näytetään.
  • Lisätty UTF-8-tuki kertaalleen (1) ja rev (1).
  • Ota käyttöön UTF-8 oletusarvoisesti xterm (1) ja pod2man (1).
  • Suojaa ei-ASCII-merkkejä seinässä (1).
  • Hallitse COLUMNS-ympäristömuuttuja johdonmukaisesti monissa ohjelmissa.
  • Asetukset -c ja -k sallivat TLS-asiakastodistukset syslogdille (8) lähettävälle puolelle. Sen avulla vastaanottava puoli voi tarkistaa, että lokiviestit ovat aitoja. Huomaa, että syslogdilla ei vielä ole tätä tarkistusominaisuutta.
  • Kun klogpuskuri ylivuoto, syslogd kirjoittaa lokiviestin, joka näyttää, että jotkut merkinnät puuttuvat.
  • Käytössä OpenBSD / octeon CPU-välimuistin kirjoituspuskurointi mahdollistaa suorituskyvyn parantamisen.
  • pkg_add (1) ja pkg_info (1) ymmärtävät nyt haarakonttorin käsitteen helpottaakseen joidenkin suosittujen pakettien, kuten python- tai php-valinnan, esim. sanovat pkg_add python% 3.4 valitaksesi 3.4-haaran ja käytä pkg_info -zm to saat sumean listan pkg_add -l: n kanssa sopivalla haaraliikkeellä.
  • fdisk (8) ja pdisk (8) poistuvat välittömästi, ellei ohitettu merkkikohtaista laitetta
  • st (4) seuraa oikein lohkon määrää muuttuvien kokoisten lohkojen osalta
  • fsck_ext2fs (8) toimii uudelleen
  • pehmeää (4) volyymiä voidaan rakentaa levyillä, joiden sektorikoko on muu kuin 512 tavua
  • dhclient (8) DECLINE ja hylkää käyttämättömät TARJOUKSET.
  • dhclient (8) poistuu välittömästi, jos sen käyttöliittymä (esim. silta (4)) palauttaa EAFNOSUPPORTin, kun paketti lähetetään.
  • httpd (8) palauttaa 400 Bad Request for HTTP v0.9 pyyntöä.
  • ffs2: n laiska solmun alustus estää satunnaisten levytietojen käsittelyn inode
  • fcntl (2) kutsut perusohjelmissa käytä fcntl (n, F_GETFL, 0) sijasta idiom fcntl (n, F_GETFL)
  • socket (2) ja accept4 (2) kutsut perusohjelmissa käytä SOCK_NONBLOCK poistaa erillisen fcntl (2) tarpeen.
  • tmpfs ei ole oletusarvoisesti käytössä
  • lupauksen (2) in-kernel-semantiikkaa parannettiin monin tavoin. Kohokohdat ovat: uusi chown-lupaus, joka sallii lupaavien ohjelmien asettaa setugid-attribuuttien, recvfd-lupauksen ja chrootin (2) tiukentaminen ei enää ole sallittuja ohjelmia.
  • Kiinnitettiin useita lupauksia (2) liittyviä virheitä (puuttuvat lupaukset, tahattomat käyttäytymisen muutokset, kaatumiset), erityisesti gzip (1), nc (1), sed (1), skeyinit (1), stty (1) ja erilaiset levykohtaiset apuohjelmat, kuten diskatibel (8) ja fdisk (8).
  • Äänen (4) ohjaimen lohkojen lohkojen virheet on korjattu.
  • Usb (4) -ohjain kätkee nyt myyjän ja tuotetunnukset. Korjaa ongelman, jossa usbdevs (8) kutsui silmukan, aiheuttaisi USB-massamuistilaitteen toiminnan pysäyttämisen.
  • Rsu (4) ja ural (4) -ohjaimet toimivat nyt uudelleen, kun ne on vahingossa rikki 5.9.
  • OpenSMTPD 6.0.0
  • Suojaus:
  • Suorita haarukan + exec-malli smtpd: ssä (8).
  • Ratkaise SMTP-tilakoneeseen looginen ongelma, joka voi johtaa virheelliseen tilaan ja johtaa kaatumiseen.
  • Liitä tiedosto-osoittimen vuoto, joka voi johtaa resurssien uupumiseen ja johtaa kaatumiseen.
  • Käytä automaattisia DH-parametreja kiinteiden sijaan.
  • Poista ET käytöstä oletuksena, koska se on laskennallisesti kallista ja mahdollinen DoS-vektori.
  • Seuraavat parannukset saatiin versioon 6.2:
  • Lisää -r-asetus smtpd (8) -työkaluun yhteensopivaksi mailx: n kanssa.
  • Lisää puuttuva päivämäärä tai viesti-tunnus kuunnellessasi lähetysporttiin.
  • Korjaa "smtpctl show -jono" raportointi & quot; virheellinen & quot; kirjekuoren tila.
  • Työnnä uudelleen & quot; Vastaanotetut & quot; otsikko niin, että TLS-osa ei riko RFC: tä.
  • Lisää paikallisen osoitteen sallittujen yhteyksien lukumäärää ja vähennä viiveen samassa istunnossa tapahtuneiden tapahtumien välillä.
  • Korjaa LMTP-toimitukset palvelimille, jotka palauttavat jatkolinjojen.
  • Paranna entisestään kokeellista suodatusliittymää ja korjaa useita aiheeseen liittyviä ongelmia.
  • Aloita lokiviestien muodon parantaminen ja yhdistäminen.
  • Korjaa useita dokumentaatioeroja ja kirjoitusvirheet man-sivuilla.
  • OpenSSH 7.3
  • Suojaus:
  • sshd (8): Vähennä potentiaalista palvelunestohyökkäystä järjestelmän krypta (3) -toimintoon sshd: n (8) kautta. Hyökkääjä voi lähettää erittäin pitkiä salasanoja, jotka aiheuttaisivat liiallista CPU: n käyttöä kryptissä (3). sshd (8) kieltäytyy hyväksymästä salasanan todennuspyyntöjä, joiden pituus on yli 1024 merkkiä.
  • sshd (8): Vähennä ajoituksen eroja salasanatunnistuksessa, jota voidaan käyttää havaitsemaan pätevät virheellisiltä tilien nimiltä, ​​kun pitkät salasanat on lähetetty ja tietyt salasanan hajautusalgoritmit ovat käytössä palvelimessa. CVE-2016-6210.
  • ssh (1), sshd (8): Korjaa havaittavissa oleva ajoituksen heikkous CBC-pehmusteiden oraklen vastamäärityksissä. Huomaa, että CBC-salakirjoitukset on oletusarvoisesti poistettu käytöstä, ja ne sisältyvät vain vanhaan yhteensopivuuteen.
  • ssh (1), sshd (8): Paranna MAC-vahvistuksen tilaamista Encrypt-then-MAC (EtM) -tilan siirtämiseen MAC-algoritmeja MAC: n varmentamiseksi ennen salakirjoitustekstin salauksen purkamista. Tämä poistaa mahdollisuuden ajoituseroihin, jotka vuotavat tosiseikkoja tavallisesta tekstistä, vaikka tällaista vuodosta ei tiedetä.
  • Uudet / muuttuneet ominaisuudet:
  • ssh (1): Lisää ProxyJump-vaihtoehto ja vastaava -J komentorivin lippu sallimaan yksinkertaistetun suorien suuntauksen yhden tai useamman SSH-bastion tai "hypätä isäntänä".
  • ssh (1): Lisää IdentityAgent-vaihtoehto, jonka avulla voit määritellä tietyn agentin pistorasiat sen sijaan, että hyväksyisit jonkin ympäristön.
  • ssh (1): Anna ExitOnForwardFailure ja ClearAllForwardingsin valinnaisesti ohitettavia käyttäessäsi ssh-W: tä. (BZ # 2577)
  • ssh (1), sshd (8): Tuetaan IUTF8-päätemoodin tukea draft-sgtatham-secsh-iutf8-00 mukaisesti.
  • ssh (1), sshd (8): Lisää tukea kiinteille Diffie-Hellman 2K-, 4K- ja 8K-ryhmille draft-ietf-curdle-ssh-kex-sha2-03 -ohjelmistosta.
  • ssh-keygen (1), ssh (1), sshd (8): tukee varmenteissa SHA256 ja SHA512 RSA-allekirjoituksia.
  • ssh (1): Lisää ssh_config (5) -tiedostojen Sisällytä koskeva direktiivi.
  • ssh (1): Salli UTF-8-merkkiä palvelimelta lähetetyissä ennakkohyväksynnän bannereissa. (BZ # 2058)
  • Seuraavat merkittävät virheet on korjattu versiossa 6.2:
  • Varmista, että scp (1) ja sftp (1) ruuvatta pääteasetuksia poistumalla tavut, jotka eivät muodosta ASCII- tai UTF-8-merkkejä.
  • ssh (1), sshd (8): Vähennä joidenkin suhteellisen yleisten protokollatapahtumien syslog-tasoa LOG_CRIT: stä. (BZ # 2585)
  • sshd (8): Refuse AuthenticationMethods = & quot; & quot; konfiguroinnissa ja hyväksy AuthenticationMethods = mikä tahansa oletus käyttäytymistä varten, joka ei edellytä useampaa todennusta. (BZ # 2398)
  • sshd (8): Poista vanhentunut ja harhaanjohtava "POSSIBLE BREAK-IN ATTEMPT!" viesti, kun eteenpäin ja käänteinen DNS ei täsmää. (BZ # 2585)
  • ssh (1): Sulje ControlPersist-taustaprosessi stderr paitsi debug-tilassa tai kirjautumalla syslogiin. (BZ # 1988)
  • misc: Tee PROTOCOL-kuvaus suoraan-streamlocal@openssh.com -kanavien avoimille viesteille sovitun koodin kanssa. (BZ # 2529)
  • ssh (1): Deduplicate LocalForward ja RemoteForward merkinnät virheiden korjaamiseen, kun sekä ExitOnForwardFailure että hostname-kanonisaatio ovat käytössä. (BZ # 2562)
  • sshd (8): Poista korvaus moduulista vanhentuneisiin "primes" -koodeihin. tiedosto, joka oli vanhentunut vuonna 2001. (bz # 2559)
  • sshd_config (5): Korjattu UseDNS: n kuvaus: se vaikuttaa ssh-isäntänimen käsittelyyn sallitut_keys-tiedostot, not known_hosts. (BZ # 2554)
  • ssh (1): Korjaa todennus käyttämällä yksinostosanoja avaimessa, jolla ei ole vastaavia yksityisiä avaimia tiedostojärjestelmässä. (BZ # 2550)
  • sshd (8): Lähetä ClientAliveInterval pings kun aikapohjainen RekeyLimit on asetettu; aiemmin pidätettyjä paketteja ei lähetetty. (BZ # 2252)
  • OpenNTPD 6.0
  • Kun yksittäinen "rajoitin" on määritetty, kokeile kaikkia palautettuja osoitteita, kunnes onnistuu, eikä ensimmäinen palautusosoite.
  • Vähennä rajoittavaa virhemarginaalia, jotta se olisi verrannollinen NTP-vertaisten lukumäärään, vältä jatkuvaa uudelleenliittämistä, kun on huono NTP-vertainen.
  • Poistettu käytöstä poistetun hotplug (4) anturin tuki.
  • Lisätty tuki kaatumien havaitsemiseksi rajoittavien aliprosessien yhteydessä.
  • Siirsi rajoitusten suorittamisen ntp-prosessista emoprosessiin, mikä mahdollistaa paremman etuoikeuden erottamisen, koska ntp-prosessia voidaan edelleen rajoittaa.
  • Suuri CPU-käyttö, kun verkko on alas.
  • Kiinteät eri muistivuodot.
  • Siirtyi RMS: ään jitterlaskutoimituksille.
  • Yhdistetyt kirjautumistoiminnot muiden OpenBSD-pohjaohjelmien kanssa.
  • Aseta MOD_MAXERROR, jotta vältät synkronoitua ajan tilaa ntp_adjtimeä käytettäessä.
  • Kiinteä HTTP-aikaleiman otsikkotiedosto jäsentää usean kannettavan muodon (3) käyttöä.
  • Karkaistu TLS ntpd (8) -rajoituksille, mikä mahdollistaa palvelimen nimen vahvistamisen.
  • LibreSSL 2.4.2
  • Käyttäjän näkyvät ominaisuudet:
  • Korjattu joitain rikki manpage-linkkejä asennuskohteeseen.
  • cert.pem on uudelleenjärjestelty ja synkronoitu Mozillan varmenteen myymällä.
  • Luotettavuuskorjaus, virheen korjaaminen, kun jäsennetään tiettyjä ASN.1-elementtejä yli 16 k: n kokoisina.
  • Toteutti IETF ChaCha20-Poly1305 -suojasovellukset.
  • Kiinteät salasanat openssl (1): sta käsittelemään oikein ^ C.
  • Koodien parannukset:
  • Kiinteä nginx-yhteensopivuusongelma lisäämällä "install_sw" -objektiivitavoite.
  • Muutettu oletus EVP_aead_chacha20_poly1305 (3) toteutus IETF-versioon, joka on nyt oletusarvo.
  • Työnnä virheenkäsittely libtl: ssä niin, että määritysvirheet näkyvät paremmin.
  • Lisätty puuttuva virheenkäsittely noin bn_wexpand (3) puhelut.
  • Lisätty explicit_bzero (3) vaatii vapautettuja ASN.1-objekteja.
  • Kiinteät X509_ * set_object-toiminnot palauttavat 0 allokoinnin epäonnistumisesta.
  • EVP_: n käytöstä epäonnistunut sisäinen käyttö [Cipher | Encrypt | Decrypt] _Final.
  • On korjattu ongelma, joka estää DSA-allekirjoituksen algoritmien toimimisen jatkuvana ajankohtana, vaikka lippu BN_FLG_CONSTTIME on asetettu.
  • OCSP-koodissa korjasi useita ongelmia, jotka voisivat johtaa OCSP-pyyntöjen virheelliseen generointiin ja jäsentämiseen. Tämä korjaa virheenkorjauksen puuttumisen näissä toiminnoissa tapahtuvaa jäsentelyä varten ja varmistaa, että OCSP: lle hyväksytään vain GENERALIZEDTIME -formaatit RFC 6960: n mukaisesti.
  • Seuraavat CVE: t on vahvistettu:
  • CVE-2016-2105-EVP_EncodeUpdate ylivuoto.
  • CVE-2016-2106-EVP_EncryptUpdate ylivuoto.
  • CVE-2016-2107-tyynyn orakkeli AES-NI CBC MAC -tarkistuksessa.
  • CVE-2016-2108-muistin vioittuminen ASN.1-kooderissa.
  • CVE-2016-2109-ASN.1 BIO liiallinen muistiallennus
  • Portit ja paketit:
  • Uusi proot (1) -työkalu satamapuussa rakennustarjoajien chrootissa.
  • Monet valmiiksi rakennettuja paketteja jokaiselle arkkitehtuurille:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Jotkut kohokohdat:
  • Afl 2.19b
  • Kromi 51.0.2704.106
  • Emacs 21.4 ja 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Siirry 1.6.3
  • Groff 1.22.3
  • JDK 7u80 ja 8u72
  • KDE 3.5.10 ja 4.14.3 (sekä KDE4-ytimen päivitykset)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 ja 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr ja 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 ja 2.4.44
  • PHP 5.5.37, 5.6.23 ja 7.0.8
  • Postfix 3.1.1 ja 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 ja 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 ja 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 ja 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Kuten tavallista, tasaiset parannukset manuaalisissa sivuissa ja muissa asiakirjoissa.
  • Järjestelmä sisältää seuraavat pääkomponentit ulkoisilta toimittajilta:
  • Xenocara (perustuen X.Org 7,7 xserver 1.18.3 + laastareita, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 ja enemmän)
  • GCC 4.2.1 (+ korjaustiedostot) ja 3.3.6 (+ korjaustiedostot)
  • Perl 5.20.3 (+ korjaustiedostot)
  • SQLite 3.9.2 (+ korjaustiedostot)
  • NSD 4.1.10
  • Ei sitoumuksia 1.5.9
  • Ncurses 5.7
  • Binutils 2,17 (+ laastaria)
  • Gdb 6.3 (+ korjaustiedostot)
  • Awk 10. elokuuta 2011 versio
  • Expat 2.1.1

Uutta versiossa 6.1:

  • Uudet / laajennetut alustat:
  • ARMv7:
  • Lisätään EFI-käynnistyslataaja, ytimet ladataan FFS: stä FAT- tai EXT-tiedostojärjestelmien sijaan ilman U-Boot -otsikoita.
  • Nykyään käytetään kaikkia ytimiä ja ramppia.
  • Laitteisto on dynaamisesti lueteltu Flattened Device Tree (FDT) avulla staattisten pöytien sijaan kortin tunnusten perusteella.
  • Pienoisohjelmien asennuskuvissa on U-Boot 2016.07, joka tukee EFI-hyötykuormia.
  • VAX:
  • poistaa.
  • Parannettu laitteistotuki, mukaan lukien:
  • Uusi bytgpio (4) ohjain Intel Bay Trail GPIO -ohjaimelle.
  • Uusi chvgpio (4) -ohjain Intel Cherry View GPIO -ohjaimelle.
  • Uusi maxrtc (4) ajuri Maxim DS1307 reaaliaikakellolle.
  • Uusi nvme (4) -ohjain ei-haihtuvien muistitikkujen (NVMe) isäntäohjaimen käyttöliittymälle.
  • Uusi pcfrtc (4) -ohjain NXP PCF8523 reaaliaikakellolle.
  • Uusi umb (4) ajuri mobiililaajakaistaliittymämallille (MBIM).
  • Uusi ure (4) -ohjain RealTek RTL8152-pohjaisille 10/100 USB Ethernet -laitteille.
  • Uuden utvfu (4) ohjain ääni- ja videolaitteille Fushicai USBTV007: n perusteella.
  • Iwm (4) -ohjain tukee Intel Wireless 3165- ja 8260 -laitteita ja toimii luotettavammin RAMDISK-ytimissä.
  • DIOIC (4) on lisätty tukemaan I2C HID -laitteita, joissa on GPIO-signaloidut keskeytykset.
  • Sdmmc (4), rtsx (4), sdhc (4) ja imxesdhc (4) on lisätty tukemaan suurempia väylän leveyksiä, nopeita tiloja ja DMA-siirtoja.
  • Tuki EHCI- ja OHCI-yhteensopiville USB-ohjaimille Octeon II SoCs -järjestelmissä.
  • Useissa USB-laiteohjaimissa on otettu käyttöön OpenBSD / octeon.
  • Parannettu tuki laitteistosta vähennetyille ACPI-toteutuksille.
  • Parannettu tuki ACPI 5.0: n toteutuksille.
  • AES-NI-salaus tehdään nyt pitämättä ydinlukkoa.
  • Parannettu AGP-tuki PowerPC G5-koneilla.
  • Lisätuki Intel Bay Trail SoCs SD-korttipaikkaan.
  • ichiic (4) -ohjain ohittaa SMBALERT # -interruptin estääkseen keskeytysmyrskyn vikoillaan BIOS-toteutuksilla.
  • Laitteen kiinnitysongelmat akselin (4) kuljettajan kanssa on korjattu.
  • Ral (4) -ajuri on vakaampi RT2860-laitteiden kuormituksella.
  • Ongelma kuolleiden näppäimistöjen kanssa jatkamisen jälkeen on korjattu pckbd (4) -ohjaimessa.
  • rtsx (4) -ohjain tukee nyt RTS522A-laitteita.
  • MSI-X: n alkuperäinen tuki on lisätty.
  • Tukee MSI-X virtio (4) -ohjaimessa.
  • Lisätty kiertotie laitteiston DMA-ylityksille dc (4) -ohjaimelle.
  • Acpitz (4) -ohjain pyöri nyt tuulettimen jäähtymisen jälkeen, jos ACPI käyttää hystereesiä aktiiviseen jäähdytykseen.
  • xhci (4) -ohjain suorittaa nyt kanavanvaihdon xHCI-yhteensopivasta BIOS-ohjelmasta.
  • Wsmouse (4) -ohjaimelle on lisätty monikosketustulon tuki.
  • Palvelun (4) ohjain tukee nyt Aruba 7xxx -ohjaimien sarjakonsolissa.
  • Re (4) -ohjain toimii nyt rikkoutuneiden LED-kokoonpanojen ympärillä APU1 EEPROMissa.
  • Ehci (4) -ohjain toimii nyt ATI USB -ohjainten ongelmien (esim. SB700) kanssa.
  • xen (4) -ohjain tukee nyt domU-määritystä Qubes-käyttöjärjestelmässä.
  • IEEE 802.11 langattoman stack -parannukset:
  • HT block ack-vastaanottopuskuri-logiikka noudattaa tarkemmin 802.11-2012 -esimerkissä määritettyä algoritmia.
  • Nurmikko (4) -ohjain seuraa nyt HT-suojauksen muutoksia, kun se on liitetty 11n AP: ään.
  • Langaton pino ja useat ohjaimet käyttävät RTS / CTS-tekniikkaa entistä aggressiivisemmin, jotta vältetään vanhojen laitteiden ja piilotettujen solmujen häiriöt.
  • Netstat (1) -W -komento näyttää nyt tietoja 802.11n-tapahtumista.
  • Hostap-tilassa älä käytä uudelleen välimuistiin tallennettujen solmujen tunnisteita. Korjaa ongelman, jossa ral (4) -ohjaimen käyttöpiste jumissa 1 Mbps: ssä, koska Tx-nopeuslaskenta tapahtui väärässä solmukohdassa.
  • Generic network stack -parannukset:
  • Reititystaulukko perustuu nyt ART: ään, joka tarjoaa nopeamman haun.
  • Reittihakutapahtumien määrä pakettia kohti on vähennetty välityspolulla 1.
  • VLAN-otsakkeiden prio-kenttä on nyt oikein määritetty jokaiselle vlan (4) -liittymälle menevän IPv4-paketin fragmenttiin.
  • Käytetään laitekloonausta bpf: lle (4). Tämä mahdollistaa sen, että järjestelmässä on vain yksi bpf-laitteen solmu / dev-palvelu, joka tarjoaa kaikki bpf-kuluttajat (enintään 1024).
  • cnmac (4) -ohjaimen Tx-jonossa voidaan nyt käsitellä rinnakkain ydinosan kanssa.
  • Verkon syöttöpolku on nyt käynnissä thread-kontekstissa.
  • Asennuksen parannukset:
  • päivitetty luettelo rajoitetuista käyttäjäkoodeista
  • asenna.sh ja upgrade.sh yhdistyvät install.sub
  • päivittää automaattisesti sysmerge (8) erätilassa ennen fw_update (1)
  • Kysymykset ja vastaukset kirjataan sellaiseen muotoon, jota voidaan käyttää vastaustiedostona, jota autoinstall (8) käyttää.
  • / usr / local asetetaan wxallowed asennuksen aikana
  • Reititysdiemonit ja muut käyttäjäverkoston parannukset:
  • Lisää reititystaulukon tuki rc.d (8): lle ja rcctl: lle (8).
  • Anna nc (1) tukipalvelun nimiä porttien numeroiden lisäksi.
  • Lisää -M ja -m TTL-lippuja nc (1).
  • Lisää AF_UNIX-tuki tcpbench (1): lle.
  • Korjataan regressiota rarpd (8): ssa. Demoni voisi jäädä kiinni, jos se on ollut käyttämättömänä pitkään.
  • Lisätty llprio-asetus ifconfig (8).
  • Useita bpf: n (4) käyttäviä ohjelmia on muokattu hyödyntämään bpf: n (4) laitekloonausta avaamalla / dev / bpf0 sen sijaan, että luotaisit / dev / bpf * -laitteita. Nämä ohjelmat sisältävät arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ja tcpdump (8). Myös libpcap-kirjastoa on muutettu.
  • Turvallisuusparannukset:
  • W ^ X on nyt noudatettava tiukasti oletusarvoisesti; ohjelma voi vain rikkoa sitä, jos suoritustiedosto on merkitty PT_OPENBSD_WXNEEDED ja se sijaitsee tiedostojärjestelmällä, joka on asennettu wxallowed mount (8) -vaihtoehdolla. Koska vielä on liian monta porttia, joka rikkoo W ^ X: tä, asentaja kiinnittää / usr / local -tiedostojärjestelmän wxallowed: lla. Tämä mahdollistaa perusjärjestelmän turvallisuuden niin kauan kuin / usr / local on erillinen tiedostojärjestelmä. Jos et käytä mitään W ^ X -vastausohjelmaa, harkitse tämän vaihtoehdon manuaalista peruuttamista.
  • Asetusten setjmp (3) -ryhmä käyttää nyt XOR-evästeitä pino- ja palautusosoitteen arvoihin jmpbufissa amd64, hppa, i386, mips64 ja powerpc.
  • SROP: n lieventäminen: sigreturn (2) voidaan nyt käyttää vain ytimen mukana toimitetulla signaalipoipoliinilla, jonka eväste tunnistaa yritykset käyttää sitä uudelleen.
  • Jotta koodin uudelleenkäytön esteet voidaan estää, rc (8) liittää uudelleen libc.so: n käynnistykseen asettaen objektit satunnaiseen järjestykseen.
  • Lopeta shadow-tietokannan avaaminen getpwnam (3) -perheessä.
  • Salli tcpdump (8) -r käynnistää ilman root-oikeuksia.
  • Poista systrace.
  • Poista Linuxemulaation tuki.
  • Poista tuen usermount-vaihtoehtoa varten.
  • TCP SYN -välimuisti paljastaa satunnaisen hajautusfunktion aika ajoin. Tämä estää hyökkääjän laskemasta hajautusfunktion jakauman ajoitusuralla.
  • Voit vastata SYN-tulva-iskuihin, mutta ylläpitäjä voi muuttaa hajautusjoukon kokoa nyt. netstat (1) -s -p tcp näyttää relevantit tiedot SYN-välimuistin virittämiseen sysctl (8) net.inet.tcp: llä.
  • Järjestelmänvalvoja voi edellyttää pääkäyttäjän oikeuksia sitovaan joihinkin TCP- ja UDP-portteihin sysctl (8) net.inet.tcp.rootonly ja sysctl (8) net.inet.udp.rootonly kanssa.
  • Poista funktio osoitin mbuf (9) -tietorakenteesta ja käytä indeksiä joukkoon hyväksyttäviä toimintoja.
  • Useita parannuksia:
  • Lankakirjasto voidaan nyt ladata yksiriviseen prosessiin.
  • Parannettu symbolin käsittely ja standardien noudattaminen libc: ssä. Esimerkiksi avoimen () toiminnon määrittäminen ei enää häiritse fopen (3): n toimintaa.
  • PT_TLS-osioita tuetaan nyt alun perin ladatussa esineessä.
  • Parempaa käsittelyä "ei polkuja" ja "tyhjää polkua" fts: ssä (3).
  • Tee pcap_free_datalinks () - ja pcap_offline_filter () -toiminnossa pcap (3).
  • Monet bugikorjaukset ja rakenteellinen siivous muokkauslinjassa (3).
  • Poista vanhat dbm (3) -toiminnot; ndbm (3) pysyy.
  • Lisää setenv-avainsana tehokkaampaan ympäristönhallintaan doas.conf: ssä (5).
  • Lisää -g ja -p-vaihtoehtoja aucat.1 varten ajan asettamiseksi.
  • Korvaa audioctl (1) yksinkertaisemmalla käyttöliittymällä.
  • Lisää -F-asennus (1) fsync-tiedostoon (2) ennen sulkemista.
  • kdump (1) nyt kaataa pollfd-rakenteet.
  • Paranna ksh (1) POSIX-yhteensopivuuden eri yksityiskohtia.
  • mknod (8) kirjoitetaan uudestaan ​​lupaavaan (2) ystävälliseen tyyliin ja tukee useiden laitteiden luomista kerralla.
  • Toteuta rcctl (8) kaikki ja getdef all.
  • Toteuta rcs (1) -I (interaktiivinen) lippu.
  • Korvaa rcs (1) Mdocdate-avainsanan korvaaminen.
  • Yläosassa (1) sallitaan suodattaa prosessin argumentteja, jos ne näytetään.
  • Lisätty UTF-8-tuki kertaalleen (1) ja rev (1).
  • Ota käyttöön UTF-8 oletusarvoisesti xterm (1) ja pod2man (1).
  • Suojaa ei-ASCII-merkkejä seinässä (1).
  • Hallitse COLUMNS-ympäristömuuttuja johdonmukaisesti monissa ohjelmissa.
  • Asetukset -c ja -k sallivat TLS-asiakastodistukset syslogdille (8) lähettävälle puolelle. Sen avulla vastaanottava puoli voi tarkistaa, että lokiviestit ovat aitoja. Huomaa, että syslogdilla ei vielä ole tätä tarkistusominaisuutta.
  • Kun klogpuskuri ylivuoto, syslogd kirjoittaa lokiviestin, joka näyttää, että jotkut merkinnät puuttuvat.
  • Käytössä OpenBSD / octeon CPU-välimuistin kirjoituspuskurointi mahdollistaa suorituskyvyn parantamisen.
  • pkg_add (1) ja pkg_info (1) ymmärtävät nyt haarakonttorin käsitteen helpottaakseen joidenkin suosittujen pakettien, kuten python- tai php-valinnan, esim. sanovat pkg_add python% 3.4 valitaksesi 3.4-haaran ja käytä pkg_info -zm to saat sumean listan pkg_add -l: n kanssa sopivalla haaraliikkeellä.
  • fdisk (8) ja pdisk (8) poistuvat välittömästi, ellei ohitettu merkkikohtaista laitetta
  • st (4) seuraa oikein lohkon määrää muuttuvien kokoisten lohkojen osalta
  • fsck_ext2fs (8) toimii uudelleen
  • pehmeää (4) volyymiä voidaan rakentaa levyillä, joiden sektorikoko on muu kuin 512 tavua
  • dhclient (8) DECLINE ja hylkää käyttämättömät TARJOUKSET.
  • dhclient (8) poistuu välittömästi, jos sen käyttöliittymä (esim. silta (4)) palauttaa EAFNOSUPPORTin, kun paketti lähetetään.
  • httpd (8) palauttaa 400 Bad Request for HTTP v0.9 pyyntöä.
  • ffs2: n laiska solmun alustus estää satunnaisten levytietojen käsittelyn inode
  • fcntl (2) kutsut perusohjelmissa käytä fcntl (n, F_GETFL, 0) sijasta idiom fcntl (n, F_GETFL)
  • socket (2) ja accept4 (2) kutsut perusohjelmissa käytä SOCK_NONBLOCK poistaa erillisen fcntl (2) tarpeen.
  • tmpfs ei ole oletusarvoisesti käytössä
  • lupauksen (2) in-kernel-semantiikkaa parannettiin monin tavoin. Kohokohdat ovat: uusi chown-lupaus, joka sallii lupaavien ohjelmien asettaa setugid-attribuuttien, recvfd-lupauksen ja chrootin (2) tiukentaminen ei enää ole sallittuja ohjelmia.
  • Kiinnitettiin useita lupauksia (2) liittyviä virheitä (puuttuvat lupaukset, tahattomat käyttäytymisen muutokset, kaatumiset), erityisesti gzip (1), nc (1), sed (1), skeyinit (1), stty (1) ja erilaiset levykohtaiset apuohjelmat, kuten diskatibel (8) ja fdisk (8).
  • Äänen (4) ohjaimen lohkojen lohkojen virheet on korjattu.
  • Usb (4) -ohjain kätkee nyt myyjän ja tuotetunnukset. Korjaa ongelman, jossa usbdevs (8) kutsui silmukan, aiheuttaisi USB-massamuistilaitteen toiminnan pysäyttämisen.
  • Rsu (4) ja ural (4) -ohjaimet toimivat nyt uudelleen, kun ne on vahingossa rikki 5.9.
  • OpenSMTPD 6.0.0
  • Suojaus:
  • Suorita haarukan + exec-malli smtpd: ssä (8).
  • Ratkaise SMTP-tilakoneeseen looginen ongelma, joka voi johtaa virheelliseen tilaan ja johtaa kaatumiseen.
  • Liitä tiedosto-osoittimen vuoto, joka voi johtaa resurssien uupumiseen ja johtaa kaatumiseen.
  • Käytä automaattisia DH-parametreja kiinteiden sijaan.
  • Poista ET käytöstä oletuksena, koska se on laskennallisesti kallista ja mahdollinen DoS-vektori.
  • Seuraavat parannukset saatiin versioon 6.1:
  • Lisää -r-asetus smtpd (8) -työkaluun yhteensopivaksi mailx: n kanssa.
  • Lisää puuttuva päivämäärä tai viesti-tunnus kuunnellessasi lähetysporttiin.
  • Korjaa "smtpctl show queue" raportointi "virheellinen" kirjekuoren tila.
  • Palauta "vastaanotetun" otsikon muoto, niin että TLS-osa ei riko RFC: tä.
  • Lisää paikallisen osoitteen sallittujen yhteyksien lukumäärää ja vähennä viiveen samassa istunnossa tapahtuneiden tapahtumien välillä.
  • Korjaa LMTP-toimitukset palvelimille, jotka palauttavat jatkolinjojen.
  • Paranna entisestään kokeellista suodatusliittymää ja korjaa useita aiheeseen liittyviä ongelmia.
  • Aloita lokiviestien muodon parantaminen ja yhdistäminen.
  • Korjaa useita dokumentaatioeroja ja kirjoitusvirheet man-sivuilla.
  • OpenSSH 7.3
  • Suojaus:
  • sshd (8): Vähennä potentiaalista palvelunestohyökkäystä järjestelmän krypta (3) -toimintoon sshd: n (8) kautta. Hyökkääjä voi lähettää erittäin pitkiä salasanoja, jotka aiheuttaisivat liiallista CPU: n käyttöä kryptissä (3). sshd (8) kieltäytyy hyväksymästä salasanan todennuspyyntöjä, joiden pituus on yli 1024 merkkiä.
  • sshd (8): Vähennä ajoituksen eroja salasanatunnistuksessa, jota voidaan käyttää havaitsemaan pätevät virheellisiltä tilien nimiltä, ​​kun pitkät salasanat on lähetetty ja tietyt salasanan hajautusalgoritmit ovat käytössä palvelimessa. CVE-2016-6210.
  • ssh (1), sshd (8): Korjaa havaittavissa oleva ajoituksen heikkous CBC-pehmusteiden oraklen vastamäärityksissä. Huomaa, että CBC-salakirjoitukset on oletusarvoisesti poistettu käytöstä, ja ne sisältyvät vain vanhaan yhteensopivuuteen.
  • ssh (1), sshd (8): Paranna MAC-vahvistuksen tilaamista Encrypt-then-MAC (EtM) -tilan siirtämiseen MAC-algoritmeja MAC: n varmentamiseksi ennen salakirjoitustekstin salauksen purkamista. Tämä poistaa mahdollisuuden ajoituseroihin, jotka vuotavat tosiseikkoja tavallisesta tekstistä, vaikka tällaista vuodosta ei tiedetä.
  • Uudet / muuttuneet ominaisuudet:
  • ssh (1): Lisää ProxyJump-vaihtoehto ja vastaava -J komentorivin lippu sallimaan yksinkertaistetun suorien yhteyden yhden tai useamman SSH-bastion tai "hyppää isäntä" kautta.
  • ssh (1): Lisää IdentityAgent-vaihtoehto, jonka avulla voit määritellä tietyn agentin pistorasiat sen sijaan, että hyväksyisit jonkin ympäristön.
  • ssh (1): Anna ExitOnForwardFailure ja ClearAllForwardingsin valinnaisesti ohitettavia käyttäessäsi ssh-W: tä. (BZ # 2577)
  • ssh (1), sshd (8): Tuetaan IUTF8-päätemoodin tukea draft-sgtatham-secsh-iutf8-00 mukaisesti.
  • ssh (1), sshd (8): Lisää tukea kiinteille Diffie-Hellman 2K-, 4K- ja 8K-ryhmille draft-ietf-curdle-ssh-kex-sha2-03 -ohjelmistosta.
  • ssh-keygen (1), ssh (1), sshd (8): tukee varmenteissa SHA256 ja SHA512 RSA-allekirjoituksia.
  • ssh (1): Lisää ssh_config (5) -tiedostojen Sisällytä koskeva direktiivi.
  • ssh (1): Salli UTF-8-merkkiä palvelimelta lähetetyissä ennakkohyväksynnän bannereissa. (BZ # 2058)
  • Seuraavat merkittävät virheet on korjattu versiossa 6.1:
  • Varmista, että scp (1) ja sftp (1) ruuvatta pääteasetuksia poistumalla tavut, jotka eivät muodosta ASCII- tai UTF-8-merkkejä.
  • ssh (1), sshd (8): Vähennä joidenkin suhteellisen yleisten protokollatapahtumien syslog-tasoa LOG_CRIT: stä. (BZ # 2585)
  • sshd (8): hylkää AuthenticationMethods = "" kokoonpanoissa ja hyväksy AuthenticationMethods = jokin oletuskäyttäytymisestä, joka ei edellytä useampaa todennusta. (BZ # 2398)
  • sshd (8): Poista vanhentunut ja harhaanjohtava "POSSIBLE BREAK-IN ATTEMPT!" viesti, kun eteenpäin ja käänteinen DNS ei täsmää. (BZ # 2585)
  • ssh (1): Sulje ControlPersist-taustaprosessi stderr paitsi debug-tilassa tai kirjautumalla syslogiin. (BZ # 1988)
  • misc: Tee PROTOCOL-kuvaus suoraan-streamlocal@openssh.com -kanavien avoimille viesteille sovitun koodin kanssa. (BZ # 2529)
  • ssh (1): Deduplicate LocalForward ja RemoteForward merkinnät virheiden korjaamiseen, kun sekä ExitOnForwardFailure että hostname-kanonisaatio ovat käytössä. (BZ # 2562)
  • sshd (8): Poista varatoimitus moduulista vanhentuneeseen "primes" -tiedostoon, joka oli vanhentunut vuonna 2001. (bz # 2559)
  • sshd_config (5): Korjattu UseDNS: n kuvaus: se vaikuttaa ssh-isäntänimen käsittelyyn sallitut_keys-tiedostot, not known_hosts. (BZ # 2554)
  • ssh (1): Korjaa todennus käyttämällä yksinostosanoja avaimessa, jolla ei ole vastaavia yksityisiä avaimia tiedostojärjestelmässä. (BZ # 2550)
  • sshd (8): Lähetä ClientAliveInterval pings kun aikapohjainen RekeyLimit on asetettu; aiemmin pidätettyjä paketteja ei lähetetty. (BZ # 2252)
  • OpenNTPD 6.0
  • Kun määritetään yksi "rajoitin", kokeile kaikkia palautettuja osoitteita, kunnes onnistuu, eikä ensimmäistä palautettua osoitetta.
  • Vähennä rajoittavaa virhemarginaalia, jotta se olisi verrannollinen NTP-vertaisten lukumäärään, vältä jatkuvaa uudelleenliittämistä, kun on huono NTP-vertainen.
  • Poistettu käytöstä poistetun hotplug (4) anturin tuki.
  • Lisätty tuki kaatumien havaitsemiseksi rajoittavien aliprosessien yhteydessä.
  • Siirsi rajoitusten suorittamisen ntp-prosessista emoprosessiin, mikä mahdollistaa paremman etuoikeuden erottamisen, koska ntp-prosessia voidaan edelleen rajoittaa.
  • Suuri CPU-käyttö, kun verkko on alas.
  • Kiinteät eri muistivuodot.
  • Siirtyi RMS: ään jitterlaskutoimituksille.
  • Yhdistetyt kirjautumistoiminnot muiden OpenBSD-pohjaohjelmien kanssa.
  • Aseta MOD_MAXERROR, jotta vältät synkronoitua ajan tilaa ntp_adjtimeä käytettäessä.
  • Kiinteä HTTP-aikaleiman otsikkotiedosto jäsentää usean kannettavan muodon (3) käyttöä.
  • Karkaistu TLS ntpd (8) -rajoituksille, mikä mahdollistaa palvelimen nimen vahvistamisen.
  • LibreSSL 2.4.2
  • Käyttäjän näkyvät ominaisuudet:
  • Korjattu joitain rikki manpage-linkkejä asennuskohteeseen.
  • cert.pem on uudelleenjärjestelty ja synkronoitu Mozillan varmenteen myymällä.
  • Luotettavuuskorjaus, virheen korjaaminen, kun jäsennetään tiettyjä ASN.1-elementtejä yli 16 k: n kokoisina.
  • Toteutti IETF ChaCha20-Poly1305 -suojasovellukset.
  • Kiinteät salasanat openssl (1): sta käsittelemään oikein ^ C.
  • Koodien parannukset:
  • Kiinteä nginx-yhteensopivuusongelma lisäämällä "install_sw" -objektiivitavoite.
  • Muutettu oletus EVP_aead_chacha20_poly1305 (3) toteutus IETF-versioon, joka on nyt oletusarvo.
  • Työnnä virheenkäsittely libtl: ssä niin, että määritysvirheet näkyvät paremmin.
  • Lisätty puuttuva virheenkäsittely noin bn_wexpand (3) puhelut.
  • Lisätty explicit_bzero (3) vaatii vapautettuja ASN.1-objekteja.
  • Kiinteät X509_ * set_object-toiminnot palauttavat 0 allokoinnin epäonnistumisesta.
  • EVP_: n käytöstä epäonnistunut sisäinen käyttö [Cipher | Encrypt | Decrypt] _Final.
  • On korjattu ongelma, joka estää DSA-allekirjoituksen algoritmien toimimisen jatkuvana ajankohtana, vaikka lippu BN_FLG_CONSTTIME on asetettu.
  • OCSP-koodissa korjasi useita ongelmia, jotka voisivat johtaa OCSP-pyyntöjen virheelliseen generointiin ja jäsentämiseen. Tämä korjaa virheenkorjauksen puuttumisen näissä toiminnoissa tapahtuvaa jäsentelyä varten ja varmistaa, että OCSP: lle hyväksytään vain GENERALIZEDTIME -formaatit RFC 6960: n mukaisesti.
  • Seuraavat CVE: t on vahvistettu:
  • CVE-2016-2105-EVP_EncodeUpdate ylivuoto.
  • CVE-2016-2106-EVP_EncryptUpdate ylivuoto.
  • CVE-2016-2107-tyynyn orakkeli AES-NI CBC MAC -tarkistuksessa.
  • CVE-2016-2108-muistin vioittuminen ASN.1-kooderissa.
  • CVE-2016-2109-ASN.1 BIO liiallinen muistiallennus
  • Portit ja paketit:
  • Uusi proot (1) -työkalu satamapuussa rakennustarjoajien chrootissa.
  • Monet valmiiksi rakennettuja paketteja jokaiselle arkkitehtuurille:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Jotkut kohokohdat:
  • Afl 2.19b
  • Kromi 51.0.2704.106
  • Emacs 21.4 ja 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Siirry 1.6.3
  • Groff 1.22.3
  • JDK 7u80 ja 8u72
  • KDE 3.5.10 ja 4.14.3 (sekä KDE4-ytimen päivitykset)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 ja 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr ja 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 ja 2.4.44
  • PHP 5.5.37, 5.6.23 ja 7.0.8
  • Postfix 3.1.1 ja 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 ja 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 ja 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 ja 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Kuten tavallista, tasaiset parannukset manuaalisissa sivuissa ja muissa asiakirjoissa.
  • Järjestelmä sisältää seuraavat pääkomponentit ulkoisilta toimittajilta:
  • Xenocara (perustuu X.Org 7.7: n kanssa xserver 1.18.3 + korjaustiedostoilla, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 ja paljon muuta)
  • GCC 4.2.1 (+ korjaustiedostot) ja 3.3.6 (+ korjaukset)
  • Perl 5.20.3 (+ korjaustiedostot)
  • SQLite 3.9.2 (+ korjaustiedostot)
  • NSD 4.1.10
  • Ei sitoumuksia 1.5.9
  • Ncurses 5.7
  • Binutils 2,17 (+ laastaria)
  • Gdb 6.3 (+ korjaustiedostot)
  • Awk 10. elokuuta 2011 versio
  • Expat 2.1.1

Vastaavia ohjelmistoja

MccM HD
MccM HD

15 Apr 15

BackDroid
BackDroid

19 Feb 15

Quetzal
Quetzal

3 Jun 15

FreeVPS
FreeVPS

3 Jun 15

Kommentit OpenBSD

Kommentteja ei löytynyt
Lisää kommentti
Ota kuvia!