OpenBSD

Skjermbilde programvare:
OpenBSD
Prog.varedetaljer:
Versjon: 6.3 Oppdatert
Last opp dato: 17 Aug 18
Utvikler: OpenBSD Team
Lisens: Gratis
Popularitet: 177

Rating: 4.0/5 (Total Votes: 1)

OpenBSD er et gratis prosjekt som leverer et UNIX-lignende operativsystem med flere plattformer som er bærbar, effektiv, sikker og basert på 4.4BSD-plattformen. Det er et kraftig serverprodukt som brukes på hundretusener av datamaskiner over hele verden.


Tilgjengelighet, oppstartsalternativer, støttede plattformer

Operativsystemet er fritt tilgjengelig for nedlasting fra den dedikerte delen (se ovenfor) som ISO-bilder eller binære pakker som tillater brukere å installere den over nettverket. ISO-bildene kan brennes på CD-plater, oppstartbar direkte fra BIOS på de fleste PCer.

OpenBSD støtter binær emulering av de fleste programmer fra SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS og HP-UX. Den kan installeres på et bredt spekter av arkitekturer, inkludert i386, sparc64, alfa, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 og mips64el.

CD-bildet starter automatisk uten brukermedvirkning, og vil spørre om de vil installere, oppgradere eller automatisk installere operativsystemet manuelt, så vel som å slippe til en shellprompt.

Manuell eller automatisk installasjon

En standardinstallasjon (les: manuell) vil kreve at brukerne velger et tastaturlayout, angir vertsnavnet, velger et nettverksgrensesnitt og konfigurerer det med IPv4 og / eller IPv6, samt å angi et nytt passord for roten ( systemadministrator) konto.

I tillegg kan du velge å starte SSH- og NTP-tjenestene når systemet starter, velg om du vil bruke X Window System eller ikke, sett opp en bruker, velg en tidssone, partisjoner harddisken og installer sett .

Blant de inkluderte programvarepakker som er tilgjengelige for OpenBSD, kan vi nevne skrivebordsmiljøene GNOME, KDE og Xfce, MySQL, PostgreSQL, Postfix og OpenLDAP-servere, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim og Chrom apps, samt PHP, Python, Ruby, Tcl / Tk, JDK, Mono og Go programmeringsspråk.


Bunnlinjen

Oppsummering, OpenBSD er et kraftig og anerkjent serverrettet BSD / UNIX-operativsystem som gir oss toppmoderne programvare, inkludert OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED og mandoc.

Hva er nytt i denne versjonen:

  • Forbedret maskinvarestøtte, inkludert:
  • SMP-støtte på OpenBSD / arm64-plattformer.
  • VFP og NEON-støtte på OpenBSD / armv7 plattformer.
  • Ny acrtc (4) driver for X-Powers AC100 lydkodesett og Real Time Clock.
  • Ny axppmic (4) driver for X-Powers AXP Power Management ICs.
  • Ny bcmrng (4) driver for Broadcom BCM2835 / BCM2836 / BCM2837 tilfeldig talgenerator.
  • Ny bcmtemp (4) driver for Broadcom BCM2835 / BCM2836 / BCM2837 temperaturmonitor.
  • Ny bgw (4) driver for Bosch bevegelsessensor.
  • Ny bwfm (4) driver for Broadcom og Cypress FullMAC 802.11-enheter (fremdeles eksperimentelle og ikke samlet i kjernen som standard)
  • Ny efi (4) driver for EFI runtime-tjenester.
  • Ny imxanatop (4) driver for i.MX6 integrert regulator.
  • Ny rkpcie (4) driver for Rockchip RK3399 Host / PCIe-bro.
  • Ny sxirsb (4) driver for Allwinner Reduced Serial Bus-kontroller.
  • Ny sxitemp (4) driver for Allwinner temperaturmonitor.
  • Ny sxits (4) driver for temperaturføler på Allwinner A10 / A20 touchpad controller.
  • Ny sxitwi (4) driver for to-leders buss funnet på flere Allwinner SoCs.
  • Ny sypwr (4) driver for Silergy SY8106A regulator.
  • Støtte for Rockchip RK3328 SoCs har blitt lagt til i driverne dwge (4), rkgrf (4), rkclock (4) og rkpinctrl (4).
  • Støtte for Rockchip RK3288 / RK3328 SoCs er lagt til i rktemp (4) driveren.
  • Støtte for Allwinner A10 / A20, A23 / A33, A80 og R40 / V40 SoCs er lagt til i sxiccmu (4) driveren.
  • Støtte for Allwinner A33, GR8 og R40 / V40 SoCs er lagt til i driveren sxipio (4).
  • Støtte for SAS3.5 MegaRAIDs er lagt til i mfii (4) driveren.
  • Støtte for Intel Cannon Lake og Ice Lake integrert Ethernet har blitt lagt til em (4) driveren.
  • cnmac (4) porter er nå tilordnet forskjellige CPU-kjerner for distribuert avbrytbehandling.
  • Driveren pms (4) registrerer og håndterer nå tilbakestillingsmeldinger.
  • På amd64 Intel CPU-mikrokoden er lastet på oppstart og installert / oppdatert av fw_update (1).
  • Støtt Sun4v hypervisor Interrupt Cookie API, og legg til støtte for SPARC T7-1 / 2/4 maskiner.
  • Dvalemodusstøtte er lagt til for SD / MMC-lagring festet til sdhc (4) controllere.
  • clang (1) brukes nå som systemkompilator på armv7, og den leveres også på sparc64.
  • VMM (4) / VMD (8) forbedringer:
  • Legg til CD-ROM / DVD ISO-støtte til vmd (8) via vioscsi (4).
  • vmd (8) lager ikke lenger et underliggende brogrensesnitt for virtuelle brytere definert i vm.conf (5).
  • vmd (8) mottar bryterinformasjon (rdomain etc) fra underliggende brytergrensesnitt i forbindelse med innstillinger i vm.conf (5).
  • Tidsstempel teller (TSC) støtte i gjest VM.
  • Støt ukvm / Solo5 unikernels i vmm (4).
  • Behandle gyldige (men uvanlige) instruksjonskodinger bedre.
  • Bedre PAE personsøkingsstøtte for 32-bits Linux-gjest VM.
  • vmd (8) tillater nå opptil fire nettverksgrensesnitt i hver VM.
  • Legg til midlertidig overføring og snapshotting-støtte til vmm (4) for AMD SVM / RVI-verter.
  • BREAK-kommandoer sendt over et pty (4) forstås nå av vmd (8).
  • Mange feilrettinger til vmctl (8) og vmd (8) feilhåndtering.
  • IEEE 802.11 trådløse stabelforbedringer:
  • Driverne iwm (4) og iwn (4) vil automatisk bevege seg mellom tilgangspunkter som deler et ESSID. Tvinge en bestemt APs MAC-adresse med ifconfigs bssid-kommando deaktiverer roaming.
  • Slett automatisk konfigurerte WEP / WPA-nøkler når et nytt nettverk ESSID er konfigurert.
  • Fjernet muligheten for userland til å lese konfigurerte WEP / WPA-nøkler tilbake fra kjernen.
  • Driveren iwm (4) kan nå koble til nettverk med skjult SSID.
  • USB-enheter støttet av athn (4) driveren bruker nå en åpen kildekode-firmware, og vertsmodus fungerer nå med disse enhetene.
  • Generiske forbedringer av nettverksstabler:
  • Nettverksstakken kjører ikke lenger med KERNEL_LOCK () når IPsec er aktivert.
  • Behandling av innkommende TCP / UDP-pakker er nå gjort uten KERNEL_LOCK ().
  • Stikkontaktoppgaven kjører uten KERNEL_LOCK ().
  • Opprydding og fjerning av kode i sys / netinet6 siden autokonfigurasjon kjører i userland nå.
  • bro (4) medlemmer kan nå forhindres i å snakke med hverandre med det nye beskyttede alternativet.
  • Pf-omstillingspakken har blitt forenklet. IP_DIVERTFL socket-alternativet er fjernet fra viderekobling (4).
  • Forskjellige hjørne tilfeller av pf viderekobling til og viderekobling-svar er mer konsistente nå.
  • Gjør i pf (4) at alle nabooppdagelsespakker har 255 i deres IPv6-headerhoppgrensefelt.
  • Nytt sett syncookies-alternativet i pf.conf (5).
  • Støtte for GRE over IPv6.
  • Ny egre (4) driver for Ethernet over GRE tunneler.
  • Støtte for valgfri GRE-nøkkelhodet og GRE-nøkkel entropi i gre (4) og egre (4).
  • Ny nvgre (4) driver for nettverks virtualisering ved hjelp av generisk routing Encapsulation.
  • Støtte for konfigurering av ikke-fragmenterings-flaggpakker innkapslet av tunnelgrensesnitt.
  • Installer forbedringer:
  • Hvis install.site eller upgrade.site mislykkes, varsler brukeren og feilmeldingen etter lagring rand.seed.
  • Tillat CIDR-notering når du skriver inn IPv4- og IPv6-adresser.
  • reparer utvalg av et HTTP-speil fra listen over speil.
  • tillat '-' i brukernavn.
  • Still et spørsmål på slutten av installasjons- / oppgraderingsprosessen, slik at vognretur gir den rette tiltak, f.eks. omstart.
  • vise modusen (installer eller oppgrader) skallen ber om så lenge ingen vertsnavn er kjent.
  • Korrekt oppdag hvilket grensesnitt som har standard rute og hvis det ble konfigurert via DHCP.
  • Sørg for at settene kan leses fra prefetch-området.
  • Kontroller at URL-omadressering er effektiv for hele installeringen / oppgraderingen.
  • Legg til HTTP-proxyen som brukes når du henter inn sett til rc.firsttime, hvor fw_update og syspatch kan finne og bruke den.
  • legg til logikk for å støtte RFC 7217 med SLAAC.
  • Kontroller at IPv6 er konfigurert for dynamisk opprettede nettverksgrensesnitt som vlan (4).
  • Opprett riktig vertsnavn når både domenenavn og domenesøkalternativer leveres i DHCP-leasen.
  • Routing daemons og andre forbedringer for brukerlandsnettverket:
  • bgpctl (8) har et nytt ssv-alternativ som utfører ribboppføringer som en enkelt semikolonseparert som for valg før utdata.
  • slaacd (8) genererer tilfeldige, men stabile IPv6 statløse autokonfigurasjonsadresser i henhold til RFC 7217. Disse er aktivert per standard i samsvar med RFC 8064.
  • slaacd (8) følger RFC 4862 ved å fjerne en kunstig begrensning på / 64-format prefikser ved hjelp av RFC 7217 (tilfeldig, men stabil) og RFC 4941 (privatlivsstil) statløse autokonfigurasjonsadresser.
  • ospfd (8) kan nå angi metrikken for en rute avhengig av statusen til et grensesnitt.
  • ifconfig (8) har et nytt staticarp-alternativ for å bare få grensesnitt til å svare på ARP-forespørsler.
  • ipsecctl (8) kan nå kollapse strømningsutganger med samme kilde eller destinasjon.
  • Alternativet -n i nettstart (8) bryter ikke lenger med standardruten. Det er nå også dokumentert.
  • Sikkerhetsforbedringer:
  • Bruk enda flere fellingsleder på ulike arkitekturer.
  • Mer bruk av .rodata for konstante variabler i samlingskilden.
  • Slutt å bruke x86 "repz ret" i støvete hjørner av treet.
  • Innfør "execpromises" i løfte (2).
  • Elfrdsetroot-verktøyet som ble brukt til å bygge ramdisks og rebound (8) overvåkingsprosessen bruker nå løfte (2).
  • Forbered deg for introduksjon av MAP_STACK til mmap (2) etter 6.3.
  • Skyv et lite stykke KARL-koblet kjernekst i tilfeldig talgeneratoren som entropi ved oppstart.
  • Sett et lite tilfeldig mellomrom øverst på trådstabler, slik at angriperne har enda en beregning å utføre for sitt ROP-arbeid.
  • Avhjelp for smeltesvikt for Intel merker amd64 CPUer.
  • OpenBSD / arm64 bruker nå kjerne sidebord isolasjon for å redusere Specter variant 3 (Meltdown) angrep.
  • OpenBSD / armv7 og OpenBSD / arm64 spoler nå Branch Target Buffer (BTB) på prosessorer som gjør spekulativ utførelse for å redusere Specter variant 2-angrep.
  • pool_get (9) forstyrrer rekkefølgen på elementer på nylig tildelte sider, noe som gjør kjernehulloppsettet vanskeligere å forutsi.
  • Systemet for fktrace (2) ble slettet.
  • dhclient (8) forbedringer:
  • Analysering av dhclient.conf (5) lekker ikke lenger SSID-strenger, strenger som er for lange for parsingbufferen eller gjentatte strengalternativer og kommandoer.
  • Lagring av leieavtaler i dhclient.conf (5) støttes ikke lenger.
  • 'DENY' er ikke lenger gyldig i dhclient.conf (5).
  • dhclient.conf (5) og dhclient.leases (5) parsing feilmeldinger har blitt forenklet og avklart, med forbedret oppførsel i nærvær av uventede semikoloner.
  • Det er mer forsiktig å bare bruke konfigurasjonsinformasjon som ble analysert.
  • '- n' er lagt til, noe som fører til at dhclient (8) avslutter etter analyse av dhclient.conf (5).
  • Standardruter i klasseløs-statiske ruter (121) og klasseløs-ms-statiske ruter (249) er nå riktig representert i dhclient.leases (5) filer.
  • Overskrive filen som er spesifisert med '-L' i stedet for å legge til den.
  • Leieavtaler i dhclient.leases (5) inneholder nå et "epoke" -attributt som registrerer tidspunktet for leieavtalen, som brukes til å beregne korrekt fornyelse, tilbaketrekning og utløpstid.
  • Ikke lenger nag om underskrifter i navn som bryter med RFC 952.
  • Ubetinget send vertsnavninformasjon når du ber om en leieavtale, eliminerer behovet for dhclient.conf (5) i standardinstallasjonen.
  • Vær stille som standard. '-q' er fjernet og '-v' lagt til for å aktivere verbose logging.
  • Avslutt dupliserte tilbud for den forespurte adressen.
  • Ubetinget gå inn i bakgrunnen etter koblingstidsavbrudd sekunder.
  • Signifikant redusere logging når du er stille, men gjør '-v' logg all feilsøkingsinformasjon uten å måtte kompilere en egendefinert kjørbar.
  • Ignorer grensesnittoppsett i dhclient.leases (5) og antar at alle leiekontrakter i filen er for grensesnittet er konfigurert.
  • Vis kilden til leieavtalen som er bundet til grensesnittet.
  • "ignorer", "forespørsel" og "krav" -deklarasjoner i dhclient.conf (5) legger nå de angitte alternativene til den aktuelle listen i stedet for å erstatte listen.
  • Eliminer et oppstartsløp som kan føre til at dhclient (8) utgår uten å konfigurere grensesnittet.
  • Blandede forbedringer:
  • Kodeomorganisering og andre forbedringer til malloc (3) og venner for å gjøre dem mer effektive.
  • Når du utfører suspensjon eller dvalemodus, må du forsikre deg om at alle filsystemene er riktig synkronisert og merket rent, eller hvis de ikke kan plasseres i helt ren tilstand på disken (på grunn av åpne + sammenkoblede filer) merker du dem skitne, slik at et mislykket CV / unhibernate er garantert å utføre fsck (8).
  • acme-klient (1) autodetekter avtaleadressen og følger 30x HTTP-omdirigeringer.
  • Lagt til __cxa_thread_atexit () for å støtte moderne C ++-verktøykjeder.
  • Lagt til EVFILT_DEVICE-støtte til kqueue (2) for overvåking av endringer i drm (4) enheter.
  • ldexp (3) håndterer nå tegn på denormal tallene riktig på mips64.
  • Nye sinkoser (3) fungerer i libm.
  • fdisk (8) sørger nå for gyldigheten av MBR-partisjonskompensasjoner som er angitt under redigering.
  • fdisk (8) sikrer nå at standardverdiene ligger innenfor det gjeldende området.
  • mindre (1) deler nå bare miljøvariabelen MINDRE på '$'.
  • mindre (1) lager ikke lenger en falsk fil når den møter '$' i den opprinnelige kommandoen.
  • softraid (4) bekrefter nå antall biter ved montering av et volum, slik at metadataene på disken og i minnet synkroniseres.
  • disklabel (8) tilbyr nå alltid å redigere en FFS partisjonens fragmentstørrelse før den tilbyr å redigere blokkstørrelsen.
  • disklabel (8) lar nå redigere sylinder / gruppe (cpg) attributtet når partisjonen blokkerer kan redigeres.
  • disklabel (8) oppdager nå ^ D og ugyldig inngang under (R) esize kommandoer.
  • disklabel (8) registrerer nå understrømmer og overløp når - / + operatører brukes.
  • disklabel (8) unngår nå en off-by-one ved beregning av antall sylindere i en fri bit.
  • disklabel (8) validerer nå den forespurte partisjonsstørrelsen mot størrelsen på den største gratis chunken i stedet for total ledig plass.
  • Støtte for dumping USB-overføringer via bpf (4).
  • tcpdump (8) kan nå forstå dumper av USB-overføringer i USBPcap-formatet.
  • Standardprompten til csh (1), ksh (1) og sh (1) inneholder nå vertsnavnet.
  • Minneallokering i ksh (1) ble byttet fra calloc (3) tilbake til malloc (3), noe som gjør det lettere å gjenkjenne uninitialisert minne. Som et resultat ble det oppdaget og fikset en historierelatert feil i emacs-redigeringsmodus.
  • Nytt skript (1) -c alternativ for å kjøre en kommando i stedet for et skall.
  • Nytt grep (1) -m alternativ for å begrense antall treff.
  • Nytt uniq (1) -i alternativ for tilfellefeilig sammenligning.
  • Formatet strengen printf (3) er ikke lenger validert når du ser etter% formater. Basert på en forpliktelse fra android og etter de fleste andre operativsystemer.
  • Forbedret feilkontroll i vfwprintf (3).
  • Mange baseprogrammer er revidert og fastlagt for uaktuelle filbeskrivere, inkludert cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) og sshd (8).
  • Diverse feilrettinger og forbedringer i jot (1):
  • Vilkårene for lengdebegrensning for argumentene for alternativene -b, -s, -w ble fjernet.
  • Spesifikasjonsfrekvensen for% F støttes nå, og en feil i formatet% D ble løst.
  • Bedre kodedekning i regresjonstester.
  • Flere bufferoverskridelser ble løst.
  • Verktøyet for oppdatering (1) klarer nå bedre med git diffs som lager eller sletter filer.
  • pkg_add (1) har nå forbedret støtte for HTTP (S) omadressere som cdn.openbsd.org.
  • ftp (1) og pkg_add (1) støtter nå HTTPS-sessionsgjenopptak for forbedret hastighet.
  • mandoc (1) -T ps utdatafil størrelse redusert med mer enn 50%.
  • syslogd (8) logger om det var advarsler under oppstart.
  • syslogd (8) sluttet å logge på filer i et fullt filsystem. Nå skriver det en advarsel og fortsetter etter at rom har blitt gjort tilgjengelig.
  • vmt (4) gjør det nå mulig å klone og ta bare skivbilder av løpende gjester.
  • OpenSMTPD 6.0.4
  • Legg til spf-turvalg til smtpctl (8).
  • Blandede opprydninger og forbedringer.
  • Mange manuelle siderettelser og forbedringer.
  • OpenSSH 7.7
  • Nye / endrede funksjoner:
  • Alle: Legg til eksperimentell støtte for PQC XMSS-nøkler (Extended Hash-Based Signatures) basert på algoritmen beskrevet i https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 XMSS-signaturkoden er eksperimentell og ikke kompilert som standard.
  • sshd (8): Legg til en "rdomain" kriteriene for sshd_config Match-søkeordet for å tillate betinget konfigurasjon som avhenger av hvilket rutingsdomene en tilkobling ble mottatt på (for øyeblikket støttet på OpenBSD og Linux).
  • sshd_config (5): Legg til en valgfri rdomain-kvalifisering til ListenAddress-direktivet for å tillate lytte på forskjellige rutedomener. Dette støttes bare på OpenBSD og Linux for øyeblikket.
  • sshd_config (5): Legg til RDomain-direktiv for å tillate at den autentiserte økten plasseres i et eksplisitt rutedomene. Dette støttes kun på OpenBSD for øyeblikket.
  • sshd (8): Legg til "utløps tid" alternativ for authorized_keys-filer for å tillate utgående nøkler.
  • ssh (1): Legg til et BindInterface-alternativ for å tillate binding av den utgående tilkoblingen til et grensesnittets adresse (i utgangspunktet en mer brukbar BindAddress).
  • ssh (1): Exponere enhet som er tildelt for tun / tap videresending via en ny% T utvidelse for LocalCommand. Dette gjør at LocalCommand kan brukes til å forberede grensesnittet.
  • sshd (8): Utsett enheten som er tilordnet for tun / trykk videresending via en ny SSH_TUNNEL miljøvariabel. Dette tillater automatisk oppsett av grensesnittet og den omkringliggende nettverkskonfigurasjonen automatisk på serveren.
  • ssh (1) / scp (1) / sftp (1): Legg til URI-støtte til ssh, sftp og scp, f.eks. ssh: // user @ host eller sftp: // user @ host / path. Ytterligere tilkoblingsparametere som beskrives i utkast-ietf-secsh-scp-sftp-ssh-uri-04, implementeres ikke siden ssh-fingeravtrykksformatet i utkastet bruker den utdaterte MD5-hash uten å angi hvilken som helst annen algoritme.
  • ssh-keygen (1): Tillat sertifikatgyldighetsintervall som bare angir en start- eller stopptid (i stedet for begge eller ingen).
  • sftp (1): Tillat "cd" og "lcd" kommandoer uten eksplisitt bane argument. lcd vil endres til den lokale brukerens hjemmekatalog som vanlig. CD vil skifte til startkatalogen for økt (fordi protokollen ikke gir noen måte å oppnå den eksterne brukerens hjemmekatalog). bz # 2760
  • sshd (8): Når du gjør en config-test med sshd -T, krever bare de attributter som faktisk brukes i Match kriterier i stedet for (en ufullstendig liste over) alle kriterier.
  • Følgende betydelige feil har blitt løst i denne versjonen:
  • ssh (1) / sshd (8): Kontroller strengere signaturtyper under nøkkelutveksling mot det som ble forhandlet. Forhindrer nedgradering av RSA-signaturer laget med SHA-256/512 til SHA-1.
  • sshd (8): Løs støtte for klient som annonserer en protokollversjon av "1,99" (som indikerer at de er klare til å akseptere både SSHv1 og SSHv2). Dette ble brutt i OpenSSH 7.6 under fjerning av SSHv1-støtte. bz # 2810
  • ssh (1): Advarsel når agenten returnerer en ssh-rsa (SHA1) signatur når en rsa-sha2-256 / 512 signatur ble forespurt. Denne tilstanden er mulig når en gammel eller ikke-OpenSSH-agent er i bruk. bz # 2799
  • ssh-agent (1): Fiks regresjon introduser i 7.6 som forårsaket at ssh-agent falt ut hvis han presenterte en ugyldig signaturforespørselsmelding.
  • sshd_config (5): Godta ja / nei flaggalternativer saksomfattende, slik det har vært tilfelle i ssh_config (5) i lang tid. bz # 2664
  • ssh (1): Forbedre feilrapportering for feil under tilkobling. Under noen omstendigheter ble misvisende feil vist. bz # 2814
  • ssh-keyscan (1): Add -D-alternativ for å tillate utskrift av resultater direkte i SSHFP-format. bz # 2821
  • tilbaketrekningstester: reparer PuTTY-interop-test som er brutt i SSHv1-fjerning for sist utgivelse. bz # 2823
  • ssh (1): Kompatibilitetskorrigering for noen servere som feilaktig slipper forbindelsen når alternativet IUTF8 (RFC8160) sendes.
  • scp (1): Deaktiver RemoteCommand og RequestTTY i ssh-sesjonen startet av scp (sftp gjorde allerede dette.)
  • ssh-keygen (1): Nekter å opprette et sertifikat med et ubrukbart antall oppdragsgivere.
  • ssh-keygen (1): Utgå fett hvis ssh-keygen ikke kan skrive all offentlig nøkkel under nøkkelgenerering. Tidligere ville det tydeligvis ignorere feilene som skriver kommentaren og avslutte newline.
  • ssh (1): Ikke endre vertsnavnargumenter som er adresser ved å automatisk tvinge dem til små bokstaver. I stedet kan de kanonicalisere dem for å løse tvetydigheter (for eksempel :: 0001 => :: 1) før de matches mot known_hosts. bz # 2763
  • ssh (1): Ikke godta søppel etter "ja" eller "nei" svar på hostkey-meldinger. bz # 2803
  • sftp (1): Har sftp skrive ut en advarsel om skallrengjøring når dekoding av den første pakken feiler, noe som vanligvis skyldes skjell som forurenser stdout av ikke-interaktive oppstart. bz # 2800
  • ssh (1) / sshd (8): Bytt timere i pakkekode fra å bruke klokketiden til monotonisk tid, slik at pakkelaget bedre kan fungere over et klokkeslett og unngå mulige heltallstrømmer under trinnene.
  • Mange manuelle siderettelser og forbedringer.
  • LibreSSL 2.7.2
  • Lagt til støtte for mange OpenSSL 1.0.2 og 1.1 APIer, basert på observasjoner av bruk i virkeligheten i applikasjoner. Disse implementeres parallelt med eksisterende OpenSSL 1.0.1 APIer - synlighetsendringer er ikke gjort i eksisterende strukturer, slik at kode som er skrevet for eldre OpenSSL-APIer, fortsetter å virke.
  • Omfattende korrigeringer, forbedringer og tillegg til API-dokumentasjonen, inkludert nye offentlige APIer fra OpenSSL som ikke hadde eksisterende dokumentasjon.
  • Lagt til støtte for automatisk bibliotekinitialisering i libcrypto, libssl og libtls. Støtte for pthread_once eller en kompatibel ekvivalent kreves nå av mål operativsystemet. Som en bivirkning er minimum Windows-støtte Vista eller høyere.
  • Konvertert flere pakkehåndteringsmetoder til CBB, noe som forbedrer fleksibiliteten når du genererer TLS-meldinger.
  • Fullført TLS-utvidelseshåndtering omskrivning, forbedring av konsistensen av sjekker for feilformede og dupliserte utvidelser.
  • Rewrote ASN1_TYPE_ {get, set} _octetstring () ved hjelp av templet ASN.1. Dette fjerner den siste gjenværende bruken av de gamle M_ASN1_ * makroene (asn1_mac.h) fra API som må fortsette å eksistere.
  • Lagt til støtte for gjenopptakelse på klientsiden i libtls. En libtls-klient kan spesifisere en sessionsfilbeskrivelse (en vanlig fil med riktig eierskap og tillatelser) og libtls vil administrere lesing og skriving av øktdata over TLS-håndtrykk.
  • Forbedret støtte for strenge tilpasninger på ARMv7-arkitekturer, som gjør det mulig å montere i slike tilfeller.
  • Fikset en minnelekkasje i libtls når du bruker en tls_config.
  • Samlet mer DTLS-støtte i den vanlige TLS-kodebanen, fjerner duplisert kode.
  • Porter og pakker:
  • dpb (1) og normale porter (7) kan nå nyte samme privilegiseparerte modell ved å sette PORTS_PRIVSEP = Ja
  • Mange forhåndsbygde pakker for hver arkitektur:
  • aarch64: 7990
  • alfa: 1
  • amd64: 9912
  • arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Noen høydepunkter:
  • AFL 2.52b
  • CMake 3.10.2
  • krom 65.0.3325.181
  • Emacs 21.4 og 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Gå 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 og 4.14.3 (i tillegg til KDE4-kjerneoppdateringer)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 og 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr og 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 og NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 og 2.4.45
  • PHP 5.6.34 og 7.0.28
  • Postfix 3.3.0 og 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 og 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 og 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 og 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Som vanlig, stadig forbedringer i manuelle sider og annen dokumentasjon.
  • Systemet inneholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (basert på X.Org 7.7 med xserver 1.19.6 + patcher, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 og mer)
  • LLVM / Clang 5.0.1 (+ patcher)
  • GCC 4.2.1 (+ oppdateringer) og 3.3.6 (+ oppdateringer)
  • Perl 5.24.3 (+ oppdateringer)
  • NSD 4.1.20
  • Ubundet 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ oppdateringer)
  • Gdb 6.3 (+ oppdateringer)
  • Awk 10. august 2011 versjon
  • Expat 2.2.5

Hva er nytt i versjon 6.2:

  • Nye / utvidede plattformer:
  • ARMv7:
  • EFI bootloader lagt til, kjerner er nå lastet fra FFS i stedet for FAT eller EXT filsystemer, uten U-Boot headers.
  • En enkeltkjerne og ramdisk brukes nå for alle SoCs.
  • Maskinvare registreres dynamisk via flatt enhetstreet (FDT) i stedet for via statiske tabeller basert på ID-nummer på bordet.
  • Minipro installasjonsbilder inkluderer U-Boot 2016.07 med støtte for EFI nyttelast.
  • VAX:
  • Fjernet.
  • Forbedret maskinvarestøtte, inkludert:
  • Ny bytgpio (4) driver for Intel Bay Trail GPIO-kontrolleren.
  • Ny chvgpio (4) driver for Intel Cherry View GPIO-kontrolleren.
  • Ny maxrtc (4) driver for Maxim DS1307 sanntidsklokke.
  • Ny nvme (4) driver for det ikke-flyktige Memory Express (NVMe) -administrator-grensesnittet.
  • Ny pcfrtc (4) driver for NXP PCF8523 sanntidsklokke.
  • Ny umb (4) driver for Mobile Broadband Interface Model (MBIM).
  • Ny ure (4) driver for RealTek RTL8152 basert 10/100 USB Ethernet-enheter.
  • Ny utvfu (4) driver for lyd / videoopptaksenheter basert på Fushicai USBTV007.
  • Driveren iwm (4) støtter nå Intel Wireless 3165 og 8260 enheter, og fungerer mer pålitelig i RAMDISK-kjerner.
  • Støtte for I2C HID-enheter med GPIO signerte avbrudd er lagt til i dwiic (4).
  • Støtte for større bussbredder, høyhastighetsmoduser og DMA-overføringer er lagt til i sdmmc (4), rtsx (4), sdhc (4) og imxesdhc (4).
  • Støtte for EHCI- og OHCI-kompatible USB-kontrollere på Octeon II SoCs.
  • Mange USB-enhetsdrivere er aktivert på OpenBSD / octeon.
  • Forbedret støtte for maskinvare-reduserte ACPI-implementeringer.
  • Forbedret støtte for implementeringer av ACPI 5.0.
  • AES-NI krypto er nå gjort uten å holde kernelåsen.
  • Forbedret AGP-støtte på PowerPC G5-maskiner.
  • Lagt til støtte for SD-kortsporet i Intel Bay Trail SoCs.
  • Den ichiic (4) driveren ignorerer nå SMBALERT # -avbrudd for å hindre en forstyrrende storm med buggy-BIOS-implementeringer.
  • Enhetsvedleggsproblemer med aksen (4) driveren er løst.
  • Ral (4) -driveren er mer stabil under belastning med RT2860-enheter.
  • Problemer med døde tastaturer etter CV har blitt løst i driveren pckbd (4).
  • Driveren rtsx (4) støtter nå RTS522A-enheter.
  • Initial støtte for MSI-X er lagt til.
  • Støtte MSI-X i driveren virtio (4).
  • Lagt opp en løsning for maskinvare DMA overruns til dc (4) driveren.
  • Acceleratoren (4) driver nå viften ned etter kjøling hvis ACPI bruker hysterese for aktiv kjøling.
  • Driveren xhci (4) utfører nå overlevering fra et xHCI-kompatibelt BIOS på riktig måte.
  • Støtte for multi-touch-inngang er lagt til i wsmouse (4) -driveren.
  • Driveren uslcom (4) støtter nå seriekonsollen av Aruba 7xxx trådløse kontroller.
  • Re (4) driveren jobber nå rundt ødelagte LED-konfigurasjoner i APU1 EEPROMs.
  • Driveren ehci (4) jobber nå med problemer med ATI USB-kontrollere (for eksempel SB700).
  • Driveren xen (4) støtter nå domU-konfigurasjon under Qubes OS.
  • IEEE 802.11 trådløse stabelforbedringer:
  • HT-blokken akk mottar bufferlogikk følger algoritmen gitt i 802.11-2012-spesifikasjonen nærmere.
  • Den iwn (4) driveren overvåker nå HT beskyttelse endringer i forbindelse med en 11n AP.
  • Den trådløse stakken og flere drivere gjør mer aggressiv bruk av RTS / CTS for å unngå forstyrrelser fra eldre enheter og skjulte noder.
  • Netstat (1) -W-kommandoen viser nå informasjon om 802.11n-hendelser.
  • I hostap-modus må du ikke gjenbruke forenings-IDer for noder som fortsatt er cached. Løser et problem der et tilgangspunkt ved hjelp av ral (4) driveren vil bli sittende fast ved 1 Mbps fordi Tx rate regnskap skjedde på feil knutepunkt.
  • Generiske forbedringer av nettverksstabler:
  • Rutingstabellen er nå basert på ART som gir raskere oppslag.
  • Antall ruteoppslag per pakke er redusert til 1 i viderekoblingsbanen.
  • Prio-feltet på VLAN-hoder er nå riktig satt på hvert fragment av en IPv4-pakke som går ut på et vlan (4) grensesnitt.
  • Aktivert enhet kloning for bpf (4). Dette gjør det mulig for systemet å ha bare én bpf-enhetskode i / dev som tjener alle bpf-forbrukere (opptil 1024).
  • Tx-køen til cnmac-driveren (4) kan nå behandles parallelt med resten av kjernen.
  • Nettverksinputsbanen kjøres nå i trådkontekst.
  • Installer forbedringer:
  • oppdatert liste over begrensede brukerkoder
  • install.sh og upgrade.sh slått sammen til install.sub
  • oppdatering kjører automatisk sysmerge (8) i batchmodus før fw_update (1)
  • Spørsmål og svar logges inn i et format som kan brukes som en svarfil for bruk av autoinstall (8)
  • / usr / local er satt til wxallowed under installasjonen
  • Routing daemons og andre forbedringer for brukerlandsnettverket:
  • Legg til rutetabellstøtte til rc.d (8) og rcctl (8).
  • La nc (1) støtter servicenavn i tillegg til portnumre.
  • Legg til -M og -m TTL-flagg til nc (1).
  • Legg til AF_UNIX-støtte til tcpbench (1).
  • Fast en regresjon i rarpd (8). Daemonen kan henge hvis den var idle i lang tid.
  • Lagt til llprio-alternativet i ifconfig (8).
  • flere programmer som bruker BPF (4) er blitt modifisert for å dra nytte av BPF (4) innretning kloning ved å åpne / dev / bpf0 i stedet for gjennomgående sløyfe / dev / bpf * -enheter. Disse programmene inkluderer arp (8), dhclient (8), DHCP (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8), og tcpdump (8). Libpcap-biblioteket har også blitt endret tilsvarende.
  • Sikkerhetsforbedringer:
  • W ^ X er nå strenge håndhevet som standard; et program kan bare krenke det hvis kjørbarheten er merket med PT_OPENBSD_WXNEEDED og ligger på et filsystem montert med alternativet wxallowed mount (8). Fordi det fortsatt er for mange porter som bryter med W ^ X, monterer installatøren / usr / local filsystemet med wxallowed. Dette gjør at basesystemet kan være sikrere så lenge / usr / local er et eget filsystem. Hvis du ikke bruker W ^ X-bruddprogrammer, bør du vurdere å tilbakekalle dette alternativet manuelt.
  • Setjmp-funksjonen (3) bruker nå XOR-informasjonskapsler til å stable og returnere adresseværdier i jmpbufen på amd64, hppa, i386, mips64 og powerpc.
  • SROP-reduksjon: Sigreturn (2) kan nå bare brukes av den kjernedrevne signaltrampoline, med en informasjonskapsel for å oppdage forsøk på å gjenbruke den.
  • For å avskrekke gjenbruk av kode, rc (8) kobler til libc.so ved oppstart, og plasserer objektene i en tilfeldig rekkefølge.
  • I getpwnam-funksjonen (3), må du slutte å åpne skyggedatabasen som standard.
  • Tillat tcpdump (8) -r å bli startet uten root privilegier.
  • Fjern systrace.
  • Fjern Linux-emuleringsstøtte.
  • Fjern støtte for usermount-alternativet.
  • TCP SYN-cachen gjenoppretter sin tilfeldige hashfunksjon fra tid til annen. Dette forhindrer en angriper i å beregne fordelingen av hashfunksjonen med et tidsangrep.
  • For å arbeide mot SYN-flomangrep kan administratoren endre størrelsen på hash-arrayet nå. netstat (1) -s -p tcp viser relevant informasjon for å stille inn SYN-cachen med sysctl (8) net.inet.tcp.
  • Administratoren kan kreve rotasjonsrettigheter for å binde til noen TCP- og UDP-porter med sysctl (8) net.inet.tcp.rootonly og sysctl (8) net.inet.udp.rootonly.
  • Fjern en funksjonspeker fra mbuf (9) datastrukturen og bruk en indeks i en rekke akseptable funksjoner i stedet.
  • Blandede forbedringer:
  • Trådbiblioteket kan nå lastes inn i en gjenget prosess.
  • Forbedret symbolhåndtering og standardoverholdelse i libc. For eksempel vil definering av en åpen () -funksjon ikke lenger forstyrre driften av fopen (3).
  • PT_TLS-seksjoner støttes nå i opprinnelig lastet objekt.
  • Forbedret håndtering av "ingen baner" og "tom bane" i fts (3).
  • I PCAP (3), gi funksjonene pcap_free_datalinks () og PCap_offline_filter ().
  • Mange feilrettinger og strukturell opprydding i editline (3) biblioteket.
  • Fjern gamle dbm (3) funksjoner; ndbm (3) forblir.
  • Legg til setenv-søkeord for mer kraftfull miljøhåndtering i doas.conf (5).
  • Legg til -g og -p alternativer til aucat.1 for tidsposisjonering.
  • Omskrive audioctl (1) med et enklere brukergrensesnitt.
  • Legg til -F alternativ for å installere (1) til fsync (2) filen før du lukker den.
  • kdump (1) dumper nå pollfd strukturer.
  • Forbedre ulike detaljer om ksh (1) POSIX-samsvar.
  • mknod (8) rewritten i en pant (2) -friendly stil og for å støtte opprette flere enheter samtidig.
  • Implementer rcctl (8) få alt og getdef alle.
  • Implementér rcs (1) -I (interaktivt) flagg.
  • I rcs (1) implementerer du Mdocdate-søkeordsubstitusjon.
  • I topp (1), tillat å filtrere prosessargumenter hvis de blir vist.
  • Lagt til UTF-8-støtte for å brette (1) og rev (1).
  • Aktiver UTF-8 som standard i xterm (1) og pod2man (1).
  • Filtrer ikke-ASCII-tegn i veggen (1).
  • Behandle miljøvarianten COLUMNS konsekvent gjennom mange programmer.
  • Alternativene -c og -k tillater å levere TLS-klientsertifikater for syslogd (8) på sendingssiden. Med den mottakende siden kan verifisere loggmeldinger er autentiske. Merk at syslogd ikke har denne sjekkfunksjonen ennå.
  • Når klogbufferen overløper, vil syslogd skrive en loggmelding for å vise at noen oppføringer mangler.
  • På OpenBSD / octeon er CPU-cache-skrivebuffering aktivert for å forbedre ytelsen.
  • pkg_add (1) og pkg_info (1) forstår nå et begrep av gren for å lette utvalget av noen populære pakker som python eller php, for eksempel si pkg_add python% 3.4 for å velge 3.4 grenen, og bruk pkg_info -zm til få en fuzzy liste med grenvalg som passer for pkg_add -l.
  • fdisk (8) og pdisk (8) avslutt umiddelbart hvis ikke bestått en tegnspesial enhet
  • st (4) sporer riktig blokkertall for blokker med variabel størrelse
  • fsck_ext2fs (8) fungerer igjen
  • Softraid (4) volumer kan bygges med disker som har en sektorstørrelse på andre enn 512 byte
  • dhclient (8) DECLINE er og kasserer ubrukt TILBUDER.
  • dhclient (8) utgår umiddelbart hvis grensesnittet (for eksempel en bro (4)) returnerer EAFNOSUPPORT når en pakke sendes.
  • httpd (8) returnerer 400 dårlig forespørsel om HTTP v0.9 forespørsler.
  • Ffs2s lat node-initialisering unngår behandling av tilfeldig diskdata som en inode
  • fcntl (2) tilkoblinger i baseprogrammer bruker idiomet fcntl (n, F_GETFL) i stedet for fcntl (n, F_GETFL, 0)
  • socket (2) og accept4 (2) påkallinger i baseprogrammer bruker SOCK_NONBLOCK for å eliminere behovet for en separat fcntl (2).
  • tmpfs ikke aktivert som standard
  • Innehavets semantikk av løftet (2) ble forbedret på mange måter. Høydepunkter inkluderer: Et nytt løftet løfte som tillater løfteprogrammer å sette sanne attributter, en strengere håndheving av recvfd-løftet og chroot (2) er ikke lenger tillatt for pantsatte programmer.
  • Et antall pantsatte (2) -relaterte feil (manglende løfter, utilsiktede endringer i atferd, krasjer) ble løst, spesielt i gzip (1), nc (1), sed (1), skeyinit (1), stty (1) og ulike diskrelaterte verktøy, for eksempel disklabel (8) og fdisk (8).
  • Beregningsfeil i blokkstørrelse i lyd (4) -driveren er løst.
  • Driveren for USB (4) caches nå leverandør og produkt ID. Løser et problem hvor usbdevs (8) kalles i en loop, vil føre til at en USB-masselagringsenhet stopper driften.
  • Rsu (4) og ural (4) drivere jobber nå igjen etter at de ved et uhell ble brutt i 5.9.
  • OpenSMTPD 6.0.0
  • Sikkerhet:
  • Implementér gaffel + exec-mønsteret i smtpd (8).
  • Løs et logisk problem i SMTP-tilstandsmaskinen som kan føre til en ugyldig tilstand og føre til et krasj.
  • Koble til en filpeker lekkasje som kan føre til ressursutmattelse og føre til et krasj.
  • Bruk automatiske DH-parametere i stedet for faste.
  • Deaktiver DHE som standard siden det er beregningsvennlig og en potensiell DoS-vektor.
  • Følgende forbedringer ble brakt i versjon 6.2:
  • Legg til -r alternativet til smtpd (8) enqueuer for kompatibilitet med mailx.
  • Legg til manglende dato eller meldings-ID når du lytter på sendeporten.
  • Fix "smtpctl show queue" rapportering "ugyldig" konvoluttstatus.
  • Omarbeider formatet for "Mottatt" header slik at TLS-delen ikke bryter med RFC.
  • Øk antall tilkoblinger som en lokal adresse har lov til å etablere, og reduser forsinkelsen mellom transaksjoner i samme økt.
  • Lag LMTP-levering til servere som returnerer fortsettelseslinjer.
  • Fortsett å forbedre API-en for eksperimentell filter og fikse ulike relaterte problemer.
  • Begynn å forbedre og forene formatet av loggmeldinger.
  • Løs opp flere dokumentasjonsavvik og -tastaturer på mannssidene.
  • OpenSSH 7.3
  • Sikkerhet:
  • sshd (8): Formidle et potensielt avslag på tjenesten mot systemets krypteringsfunksjon (3) via sshd (8). En angriper kan sende svært lange passord som ville føre til overdreven bruk av CPU i kryptering (3). sshd (8) nekter nå å godta passordautentiseringsforespørsler med lengde større enn 1024 tegn.
  • sshd (8): Mitigate timing forskjeller i passord autentisering som kan brukes til å skille gyldig fra ugyldige kontonavn når lange passord ble sendt og spesielle passord hashing algoritmer er i bruk på serveren. CVE-2016-6210.
  • ssh (1), sshd (8): Fiks observerbar tidssvikt i CBC polstring av oracle countermeasures. Merk at CBC-cifre er deaktivert som standard og bare inkludert for eldre kompatibilitet.
  • ssh (1), sshd (8): Forbedre rekkefølgen av MAC-verifisering for krypterings-da-MAC (EtM) modus transport-MAC-algoritmer for å verifisere MAC før dekryptering av eventuell krypteringstekst. Dette fjerner muligheten for tidsforskjeller som fører til fakta om ren tekst, selv om det ikke er kjent slik lekkasje.
  • Nye / endrede funksjoner:
  • ssh (1): Legg til et ProxyJump-alternativ og tilsvarende -J-kommandolinjeflagg for å tillate forenklet indireksjon gjennom en eller flere SSH-bastioner eller "jump hosts".
  • ssh (1): Legg til et IdentityAgent-alternativ for å tillate spesifisering av bestemte agentkontakter i stedet for å godta en fra miljøet.
  • ssh (1): Tillat at ExitOnForwardFailure og ClearAllForwardings eventuelt overstyres når du bruker ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementér støtte for IUTF8-terminalmodusen som i utkast til sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Legg til støtte for ytterligere faste Diffie-Hellman 2K, 4K og 8K grupper fra draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): støtte SHA256 og SHA512 RSA signaturer i sertifikater.
  • ssh (1): Legg til et Inkluderingsdirektiv for ssh_config (5) filer.
  • ssh (1): Tillat UTF-8 tegn i pre-autentisering bannere sendt fra serveren. (Bz # 2058)
  • Følgende betydelige feil har blitt løst i versjon 6.2:
  • I scp (1) og sftp (1), forhindrer du å skru opp terminalinnstillingene ved å rømme byte som ikke danner ASCII eller UTF-8 tegn.
  • ssh (1), sshd (8): Reduser syslognivået for noen relativt vanlige protokollhendelser fra LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = "& quot; i konfigurasjoner og godta AuthenticationMethods = noen for standard oppførsel som ikke krever flere autentiseringer. (Bz # 2398)
  • sshd (8): Fjern utdatert og villedende "MULIG BREAK-IN ATTEMPT!" melding når fremover og omvendt DNS ikke samsvarer. (Bz # 2585)
  • ssh (1): Lukk ControlPersist bakgrunnsprosess stderr unntatt i feilsøkingsmodus eller når du logger på syslog. (Bz # 1988)
  • Diverse: Lag PROTOCOL beskrivelse for direct-streamlocal@openssh.com kanal åpne meldinger samsvarer med distribuert kode. (Bz # 2529)
  • ssh (1): Dedupliser LocalForward og RemoteForward-oppføringer for å fikse feil når både ExitOnForwardFailure og hostname canonicalization er aktivert. (Bz # 2562)
  • sshd (8): Fjern tilbakebetaling fra modul til foreldet "primer" fil som ble avskrevet i 2001. (bz # 2559)
  • sshd_config (5): Korrekt beskrivelse av UseDNS: Det påvirker ssh-vertsnavnbehandling for authorized_keys, not known_hosts. (Bz # 2554)
  • ssh (1): Fiks autentisering ved hjelp av lone sertifikatnøkler i en agent uten tilsvarende private nøkler på filsystemet. (Bz # 2550)
  • sshd (8): Send ClientAliveInterval pings når en tidsbasert RekeyLimit er satt; Tidligere holdbare pakker ble ikke sendt. (Bz # 2252)
  • OpenNTPD 6.0
  • Når en enkelt "begrensning" er spesifisert, prøv alle returnerte adresser til en lykkes, i stedet for den første returnerte adressen.
  • Avsluttet begrensningsfeilmarginen til å være proporsjonal med antall NTP-jevnaldrende, unngå konstant tilbakekobling når det er en dårlig NTP-jevnlig hilsen.
  • Fjernet deaktivert hotplug (4) sensorstøtte.
  • Lagt til støtte for å oppdage krasjer i begrensede delprosesser.
  • Flyttet gjennomføringen av begrensninger fra ntp-prosessen til overordnet prosess, noe som muliggjør bedre privilegiseparasjon siden ntp-prosessen kan begrenses ytterligere.
  • Fast høy CPU-bruk når nettverket er nede.
  • Faste forskjellige minnelekkasjer.
  • Byttet til RMS for jitterberegninger.
  • Samlede loggfunksjoner med andre OpenBSD-baseprogrammer.
  • Angi MOD_MAXERROR for å unngå usynkronisert tidstatus når du bruker ntp_adjtime.
  • Hastig HTTP Timestamp header parsing for å bruke strptime (3) på en mer bærbar måte.
  • Herdet TLS for ntpd (8) begrensninger, som muliggjør verifikasjon av servernavn.
  • LibreSSL 2.4.2
  • Brukersynlige funksjoner:
  • Fikser noen ødelagte manpage-koblinger i installasjonsmålet.
  • cert.pem har blitt omorganisert og synkronisert med Mozillas sertifikatbutikk.
  • Pålitelighetskorrigering, korrigering av en feil ved analyse av bestemte ASN.1-elementer over 16k i størrelse.
  • Implementerte IETF ChaCha20-Poly1305 krypteringspakker.
  • Fast passordoppfordringer fra openssl (1) for å håndtere ^ C.
  • Kodeforbedringer:
  • Fiks et nginx-kompatibilitetsproblem ved å legge til et "install_sw" byggemål.
  • Endret standard EVP_aead_chacha20_poly1305 (3) implementering til IETF-versjonen, som nå er standard.
  • Omarbeidet feilhåndtering i libtls slik at konfigurasjonsfeilene er mer synlige.
  • Lagt til manglende feilhåndtering rundt bn_wexpand (3) samtaler.
  • Lagt til explicit_bzero (3) krever frigjorte ASN.1 objekter.
  • Faste X509_ * set_object-funksjoner for å returnere 0 ved tildelingsfeil.
  • Utdatert intern bruk av EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Løst et problem som forhindrer DSA signeringsalgoritmen i å kjøre i konstant tid, selv om flagget BN_FLG_CONSTTIME er satt.
  • Fiks flere problemer i OCSP-koden som kan føre til feil generering og analyse av OCSP-forespørsler. Dette løser mangel på feilkontroll ved tidsparsing i disse funksjonene, og sikrer at bare GENERALIZEDTIME-formater aksepteres for OCSP, i henhold til RFC 6960.
  • Følgende CVEer er blitt løst:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-padding oracle i AES-NI CBC MAC-sjekk.
  • CVE-2016-2108-minne korrupsjon i ASN.1-encoderen.
  • CVE-2016-2109-ASN.1 BIO overdreven minneallokering.
  • Porter og pakker:
  • Nytt proot (1) verktøy i havnetreet for å bygge pakker i en chroot.
  • Mange forhåndsbygde pakker for hver arkitektur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Noen høydepunkter:
  • Afl 2.19b
  • krom 51.0.2704.106
  • Emacs 21.4 og 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gå 1.6.3
  • Groff 1.22.3
  • JDK 7u80 og 8u72
  • KDE 3.5.10 og 4.14.3 (i tillegg til KDE4-kjerneoppdateringer)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 og 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr og 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 og 2.4.44
  • PHP 5.5.37, 5.6.23 og 7.0.8
  • Postfix 3.1.1 og 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 og 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 og 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 og 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Som vanlig, stadig forbedringer i manuelle sider og annen dokumentasjon.
  • Systemet inneholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (basert på X.Org 7,7 med XSERVER 1.18.3 + plaster, Freetype 2.6.3, 2.11.1 Fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-konfig 2,18 og mer)
  • GCC 4.2.1 (+ oppdateringer) og 3.3.6 (+ oppdateringer)
  • Perl 5.20.3 (+ oppdateringer)
  • SQLite 3.9.2 (+ oppdateringer)
  • NSD 4.1.10
  • Ubundet 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ oppdateringer)
  • Gdb 6.3 (+ oppdateringer)
  • Awk 10. august 2011 versjon
  • Expat 2.1.1

Hva er nytt i versjon 6.1:

  • Nye / utvidede plattformer:
  • ARMv7:
  • EFI bootloader lagt til, kjerner er nå lastet fra FFS i stedet for FAT eller EXT filsystemer, uten U-Boot headers.
  • En enkeltkjerne og ramdisk brukes nå for alle SoCs.
  • Maskinvare registreres dynamisk via flatt enhetstreet (FDT) i stedet for via statiske tabeller basert på ID-nummer på bordet.
  • Minipro installasjonsbilder inkluderer U-Boot 2016.07 med støtte for EFI nyttelast.
  • VAX:
  • Fjernet.
  • Forbedret maskinvarestøtte, inkludert:
  • Ny bytgpio (4) driver for Intel Bay Trail GPIO-kontrolleren.
  • Ny chvgpio (4) driver for Intel Cherry View GPIO-kontrolleren.
  • Ny maxrtc (4) driver for Maxim DS1307 sanntidsklokke.
  • Ny nvme (4) driver for det ikke-flyktige Memory Express (NVMe) -administrator-grensesnittet.
  • Ny pcfrtc (4) driver for NXP PCF8523 sanntidsklokke.
  • Ny umb (4) driver for Mobile Broadband Interface Model (MBIM).
  • Ny ure (4) driver for RealTek RTL8152 basert 10/100 USB Ethernet-enheter.
  • Ny utvfu (4) driver for lyd / videoopptak enheter basert på Fushicai USBTV007.
  • Driveren iwm (4) støtter nå Intel Wireless 3165 og 8260 enheter, og fungerer mer pålitelig i RAMDISK-kjerner.
  • Støtte for I2C HID-enheter med GPIO signerte avbrudd er lagt til i dwiic (4).
  • Støtte for større bussbredder, høyhastighetsmoduser og DMA-overføringer er lagt til i sdmmc (4), rtsx (4), sdhc (4) og imxesdhc (4).
  • Støtte for EHCI- og OHCI-kompatible USB-kontrollere på Octeon II SoCs.
  • Mange USB-enhetsdrivere er aktivert på OpenBSD / octeon.
  • Forbedret støtte for maskinvare-reduserte ACPI-implementeringer.
  • Forbedret støtte for implementeringer av ACPI 5.0.
  • AES-NI krypto er nå gjort uten å holde kernelåsen.
  • Forbedret AGP-støtte på PowerPC G5-maskiner.
  • Lagt til støtte for SD-kortsporet i Intel Bay Trail SoCs.
  • Den ichiic (4) driveren ignorerer nå SMBALERT # -avbrudd for å hindre en forstyrrende storm med buggy-BIOS-implementeringer.
  • Enhetsvedleggsproblemer med aksen (4) driveren er løst.
  • Ral (4) -driveren er mer stabil under belastning med RT2860-enheter.
  • Problemer med døde tastaturer etter CV har blitt løst i driveren pckbd (4).
  • Driveren rtsx (4) støtter nå RTS522A-enheter.
  • Initial støtte for MSI-X er lagt til.
  • Støtte MSI-X i driveren virtio (4).
  • Lagt opp en løsning for maskinvare DMA overruns til dc (4) driveren.
  • Acceleratoren (4) driver nå viften ned etter kjøling hvis ACPI bruker hysterese for aktiv kjøling.
  • Driveren xhci (4) utfører nå overlevering fra et xHCI-kompatibelt BIOS på riktig måte.
  • Støtte for multi-touch-inngang er lagt til i wsmouse (4) -driveren.
  • Driveren uslcom (4) støtter nå seriekonsollen av Aruba 7xxx trådløse kontroller.
  • Re (4) driveren jobber nå rundt ødelagte LED-konfigurasjoner i APU1 EEPROMs.
  • Driveren ehci (4) jobber nå med problemer med ATI USB-kontrollere (for eksempel SB700).
  • Driveren xen (4) støtter nå domU-konfigurasjon under Qubes OS.
  • IEEE 802.11 trådløse stabelforbedringer:
  • HT-blokken akk mottar bufferlogikk følger algoritmen gitt i 802.11-2012-spesifikasjonen nærmere.
  • Den iwn (4) driveren overvåker nå HT beskyttelse endringer i forbindelse med en 11n AP.
  • Den trådløse stakken og flere drivere gjør mer aggressiv bruk av RTS / CTS for å unngå forstyrrelser fra eldre enheter og skjulte noder.
  • Netstat (1) -W-kommandoen viser nå informasjon om 802.11n-hendelser.
  • I hostap-modus må du ikke gjenbruke forenings-IDer for noder som fortsatt er cached. Løser et problem der et tilgangspunkt ved hjelp av ral (4) driveren vil bli sittende fast ved 1 Mbps fordi Tx rate regnskap skjedde på feil knutepunkt.
  • Generiske forbedringer av nettverksstabler:
  • Rutingstabellen er nå basert på ART som gir raskere oppslag.
  • Antall ruteoppslag per pakke er redusert til 1 i viderekoblingsbanen.
  • Prio-feltet på VLAN-hoder er nå riktig satt på hvert fragment av en IPv4-pakke som går ut på et vlan (4) grensesnitt.
  • Aktivert enhet kloning for bpf (4). Dette gjør det mulig for systemet å ha bare én bpf-enhetskode i / dev som tjener alle bpf-forbrukere (opptil 1024).
  • Tx-køen til cnmac-driveren (4) kan nå behandles parallelt med resten av kjernen.
  • Nettverksinputsbanen kjøres nå i trådkontekst.
  • Installer forbedringer:
  • oppdatert liste over begrensede brukerkoder
  • install.sh og upgrade.sh slått sammen til install.sub
  • oppdatering kjører automatisk sysmerge (8) i batchmodus før fw_update (1)
  • Spørsmål og svar logges inn i et format som kan brukes som en svarfil for bruk av autoinstall (8)
  • / usr / local er satt til wxallowed under installasjonen
  • Routing daemons og andre forbedringer for brukerlandsnettverket:
  • Legg til rutetabellstøtte til rc.d (8) og rcctl (8).
  • La nc (1) støtter servicenavn i tillegg til portnumre.
  • Legg til -M og -m TTL-flagg til nc (1).
  • Legg til AF_UNIX-støtte til tcpbench (1).
  • Fast en regresjon i rarpd (8). Daemonen kan henge hvis den var idle i lang tid.
  • Lagt til llprio-alternativet i ifconfig (8).
  • flere programmer som bruker BPF (4) er blitt modifisert for å dra nytte av BPF (4) innretning kloning ved å åpne / dev / bpf0 i stedet for gjennomgående sløyfe / dev / bpf * -enheter. Disse programmene inkluderer arp (8), dhclient (8), DHCP (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8), og tcpdump (8). Libpcap-biblioteket har også blitt endret tilsvarende.
  • Sikkerhetsforbedringer:
  • W ^ X er nå strenge håndhevet som standard; et program kan bare krenke det hvis kjørbarheten er merket med PT_OPENBSD_WXNEEDED og ligger på et filsystem montert med alternativet wxallowed mount (8). Fordi det fortsatt er for mange porter som bryter med W ^ X, monterer installatøren / usr / local filsystemet med wxallowed. Dette gjør at basesystemet kan være sikrere så lenge / usr / local er et eget filsystem. Hvis du ikke bruker W ^ X-bruddprogrammer, bør du vurdere å tilbakekalle dette alternativet manuelt.
  • Setjmp-funksjonen (3) bruker nå XOR-informasjonskapsler til å stable og returnere adresseværdier i jmpbufen på amd64, hppa, i386, mips64 og powerpc.
  • SROP-reduksjon: Sigreturn (2) kan nå bare brukes av den kjernedrevne signaltrampoline, med en informasjonskapsel for å oppdage forsøk på å gjenbruke den.
  • For å avskrekke gjenbruk av kode, rc (8) kobler til libc.so ved oppstart, og plasserer objektene i en tilfeldig rekkefølge.
  • I getpwnam-funksjonen (3), må du slutte å åpne skyggedatabasen som standard.
  • Tillat tcpdump (8) -r å bli startet uten root privilegier.
  • Fjern systrace.
  • Fjern Linux-emuleringsstøtte.
  • Fjern støtte for usermount-alternativet.
  • TCP SYN-cachen gjenoppretter sin tilfeldige hashfunksjon fra tid til annen. Dette forhindrer en angriper i å beregne fordelingen av hashfunksjonen med et tidsangrep.
  • For å arbeide mot SYN-flomangrep kan administratoren endre størrelsen på hash-arrayet nå. netstat (1) -s -p tcp viser relevant informasjon for å stille inn SYN-cachen med sysctl (8) net.inet.tcp.
  • Administratoren kan kreve rotasjonsrettigheter for å binde til noen TCP- og UDP-porter med sysctl (8) net.inet.tcp.rootonly og sysctl (8) net.inet.udp.rootonly.
  • Fjern en funksjonspeker fra mbuf (9) datastrukturen og bruk en indeks i en rekke akseptable funksjoner i stedet.
  • Blandede forbedringer:
  • Trådbiblioteket kan nå lastes inn i en gjenget prosess.
  • Forbedret symbolhåndtering og standardoverholdelse i libc. For eksempel vil definering av en åpen () -funksjon ikke lenger forstyrre driften av fopen (3).
  • PT_TLS-seksjoner støttes nå i opprinnelig lastet objekt.
  • Forbedret håndtering av "ingen veier" og "tom vei" i fts (3).
  • I PCAP (3), gi funksjonene pcap_free_datalinks () og PCap_offline_filter ().
  • Mange feilrettinger og strukturell opprydding i editline (3) biblioteket.
  • Fjern gamle dbm (3) funksjoner; ndbm (3) forblir.
  • Legg til setenv-søkeord for mer kraftfull miljøhåndtering i doas.conf (5).
  • Legg til -g og -p alternativer til aucat.1 for tidsposisjonering.
  • Omskrive audioctl (1) med et enklere brukergrensesnitt.
  • Legg til -F alternativ for å installere (1) til fsync (2) filen før du lukker den.
  • kdump (1) dumper nå pollfd strukturer.
  • Forbedre ulike detaljer om ksh (1) POSIX-samsvar.
  • mknod (8) rewritten i en pant (2) -friendly stil og for å støtte opprette flere enheter samtidig.
  • Implementer rcctl (8) få alt og getdef alle.
  • Implementér rcs (1) -I (interaktivt) flagg.
  • I rcs (1) implementerer du Mdocdate-søkeordsubstitusjon.
  • I topp (1), tillat å filtrere prosessargumenter hvis de blir vist.
  • Lagt til UTF-8-støtte for å brette (1) og rev (1).
  • Aktiver UTF-8 som standard i xterm (1) og pod2man (1).
  • Filtrer ikke-ASCII-tegn i veggen (1).
  • Behandle miljøvarianten COLUMNS konsekvent gjennom mange programmer.
  • Alternativene -c og -k tillater å levere TLS-klientsertifikater for syslogd (8) på sendingssiden. Med den mottakende siden kan verifisere loggmeldinger er autentiske. Merk at syslogd ikke har denne sjekkfunksjonen ennå.
  • Når klogbufferen overløper, vil syslogd skrive en loggmelding for å vise at noen oppføringer mangler.
  • På OpenBSD / octeon er CPU-cache-skrivebuffering aktivert for å forbedre ytelsen.
  • pkg_add (1) og pkg_info (1) forstår nå et begrep av gren for å lette utvalget av noen populære pakker som python eller php, for eksempel si pkg_add python% 3.4 for å velge 3.4 grenen, og bruk pkg_info -zm til få en fuzzy liste med grenvalg som passer for pkg_add -l.
  • fdisk (8) og pdisk (8) avslutt umiddelbart hvis ikke bestått en tegnspesial enhet
  • st (4) sporer riktig blokkertall for blokker med variabel størrelse
  • fsck_ext2fs (8) fungerer igjen
  • Softraid (4) volumer kan bygges med disker som har en sektorstørrelse på andre enn 512 byte
  • dhclient (8) DECLINE er og kasserer ubrukt TILBUDER.
  • dhclient (8) utgår umiddelbart hvis grensesnittet (for eksempel en bro (4)) returnerer EAFNOSUPPORT når en pakke sendes.
  • httpd (8) returnerer 400 dårlig forespørsel om HTTP v0.9 forespørsler.
  • Ffs2s lat node-initialisering unngår behandling av tilfeldig diskdata som en inode
  • fcntl (2) tilkoblinger i baseprogrammer bruker idiomet fcntl (n, F_GETFL) i stedet for fcntl (n, F_GETFL, 0)
  • socket (2) og accept4 (2) påkallinger i baseprogrammer bruker SOCK_NONBLOCK for å eliminere behovet for en separat fcntl (2).
  • tmpfs ikke aktivert som standard
  • Innehavets semantikk av løftet (2) ble forbedret på mange måter. Høydepunkter inkluderer: Et nytt løftet løfte som tillater løfteprogrammer å sette sanne attributter, en strengere håndheving av recvfd-løftet og chroot (2) er ikke lenger tillatt for pantsatte programmer.
  • Et antall pantsatte (2) -relaterte feil (manglende løfter, utilsiktede endringer i atferd, krasjer) ble løst, spesielt i gzip (1), nc (1), sed (1), skeyinit (1), stty (1) og ulike diskrelaterte verktøy, for eksempel disklabel (8) og fdisk (8).
  • Beregningsfeil i blokkstørrelse i lyd (4) -driveren er løst.
  • Driveren for USB (4) caches nå leverandør og produkt ID. Løser et problem hvor usbdevs (8) kalles i en loop, vil føre til at en USB-masselagringsenhet stopper driften.
  • Rsu (4) og ural (4) drivere jobber nå igjen etter at de ved et uhell ble brutt i 5.9.
  • OpenSMTPD 6.0.0
  • Sikkerhet:
  • Implementér gaffel + exec-mønsteret i smtpd (8).
  • Løs et logisk problem i SMTP-tilstandsmaskinen som kan føre til en ugyldig tilstand og føre til et krasj.
  • Koble til en filpeker lekkasje som kan føre til ressursutmattelse og føre til et krasj.
  • Bruk automatiske DH-parametere i stedet for faste.
  • Deaktiver DHE som standard siden det er beregningsvennlig og en potensiell DoS-vektor.
  • Følgende forbedringer ble hentet i versjon 6.1:
  • Legg til -r alternativet til smtpd (8) enqueuer for kompatibilitet med mailx.
  • Legg til manglende dato eller meldings-ID når du lytter på sendeporten.
  • Fiks "smtpctl show queue" rapportering "ugyldig" konvoluttstatus.
  • Omarbeider formatet til "Mottatt" header slik at TLS-delen ikke bryter med RFC.
  • Øk antall tilkoblinger som en lokal adresse har lov til å etablere, og reduser forsinkelsen mellom transaksjoner i samme økt.
  • Lag LMTP-levering til servere som returnerer fortsettelseslinjer.
  • Fortsett å forbedre API-en for eksperimentell filter og fikse ulike relaterte problemer.
  • Begynn å forbedre og forene formatet av loggmeldinger.
  • Løs opp flere dokumentasjonsavvik og -tastaturer på mannssidene.
  • OpenSSH 7.3
  • Sikkerhet:
  • sshd (8): Formidle et potensielt avslag på tjenesten mot systemets krypteringsfunksjon (3) via sshd (8). En angriper kan sende svært lange passord som ville føre til overdreven bruk av CPU i kryptering (3). sshd (8) nekter nå å godta passordautentiseringsforespørsler med lengde større enn 1024 tegn.
  • sshd (8): Mitigate timing forskjeller i passord autentisering som kan brukes til å skille gyldig fra ugyldige kontonavn når lange passord ble sendt og spesielle passord hashing algoritmer er i bruk på serveren. CVE-2016-6210.
  • ssh (1), sshd (8): Fiks observerbar tidssvikt i CBC polstring av oracle countermeasures. Merk at CBC-cifre er deaktivert som standard og bare inkludert for eldre kompatibilitet.
  • ssh (1), sshd (8): Forbedre rekkefølgen av MAC-verifisering for krypterings-da-MAC (EtM) modus transport-MAC-algoritmer for å verifisere MAC før dekryptering av eventuell krypteringstekst. Dette fjerner muligheten for tidsforskjeller som fører til fakta om ren tekst, selv om det ikke er kjent slik lekkasje.
  • Nye / endrede funksjoner:
  • ssh (1): Legg til et ProxyJump-alternativ og tilsvarende -J-kommandolinjeflagg for å tillate forenklet indireksjon gjennom en eller flere SSH-bastioner eller "jump hosts".
  • ssh (1): Legg til et IdentityAgent-alternativ for å tillate spesifisering av bestemte agentkontakter i stedet for å godta en fra miljøet.
  • ssh (1): Tillat at ExitOnForwardFailure og ClearAllForwardings eventuelt overstyres når du bruker ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementér støtte for IUTF8-terminalmodusen som i utkast til sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Legg til støtte for ytterligere faste Diffie-Hellman 2K, 4K og 8K grupper fra draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): støtte SHA256 og SHA512 RSA signaturer i sertifikater.
  • ssh (1): Legg til et Inkluderingsdirektiv for ssh_config (5) filer.
  • ssh (1): Tillat UTF-8 tegn i pre-autentisering bannere sendt fra serveren. (Bz # 2058)
  • Følgende betydelige feil har blitt løst i versjon 6.1:
  • I scp (1) og sftp (1), forhindrer du å skru opp terminalinnstillingene ved å rømme byte som ikke danner ASCII eller UTF-8 tegn.
  • ssh (1), sshd (8): Reduser syslognivået for noen relativt vanlige protokollhendelser fra LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = "" i konfigurasjoner og godta AuthenticationMethods = noen for standard oppførsel uten å kreve flere autentiseringer. (Bz # 2398)
  • sshd (8): Fjern utdatert og villedende "MULIG BREAK-IN ATTEMPT!" melding når fremover og omvendt DNS ikke samsvarer. (Bz # 2585)
  • ssh (1): Lukk ControlPersist bakgrunnsprosess stderr unntatt i feilsøkingsmodus eller når du logger på syslog. (Bz # 1988)
  • Diverse: Lag PROTOCOL beskrivelse for direct-streamlocal@openssh.com kanal åpne meldinger samsvarer med distribuert kode. (Bz # 2529)
  • ssh (1): Dedupliser LocalForward og RemoteForward-oppføringer for å fikse feil når både ExitOnForwardFailure og hostname canonicalization er aktivert. (Bz # 2562)
  • sshd (8): Fjern tilbakestilling fra moduli til foreldet "primes" -fil som ble avviklet i 2001. (bz # 2559)
  • sshd_config (5): Korrekt beskrivelse av UseDNS: Det påvirker ssh-vertsnavnbehandling for authorized_keys, not known_hosts. (Bz # 2554)
  • ssh (1): Fiks autentisering ved hjelp av lone sertifikatnøkler i en agent uten tilsvarende private nøkler på filsystemet. (Bz # 2550)
  • sshd (8): Send ClientAliveInterval pings når en tidsbasert RekeyLimit er satt; Tidligere holdbare pakker ble ikke sendt. (Bz # 2252)
  • OpenNTPD 6.0
  • Når en enkelt "begrensning" er spesifisert, prøv alle returnerte adresser til en lykkes, i stedet for den første returnerte adressen.
  • Avsluttet begrensningsfeilmarginen til å være proporsjonal med antall NTP-jevnaldrende, unngå konstant tilbakekobling når det er en dårlig NTP-jevnlig hilsen.
  • Fjernet deaktivert hotplug (4) sensorstøtte.
  • Lagt til støtte for å oppdage krasjer i begrensede delprosesser.
  • Flyttet gjennomføringen av begrensninger fra ntp-prosessen til overordnet prosess, noe som muliggjør bedre privilegiseparasjon siden ntp-prosessen kan begrenses ytterligere.
  • Fast høy CPU-bruk når nettverket er nede.
  • Faste forskjellige minnelekkasjer.
  • Byttet til RMS for jitterberegninger.
  • Samlede loggfunksjoner med andre OpenBSD-baseprogrammer.
  • Angi MOD_MAXERROR for å unngå usynkronisert tidstatus når du bruker ntp_adjtime.
  • Hastig HTTP Timestamp header parsing for å bruke strptime (3) på en mer bærbar måte.
  • Herdet TLS for ntpd (8) begrensninger, som muliggjør verifikasjon av servernavn.
  • LibreSSL 2.4.2
  • Brukersynlige funksjoner:
  • Fikser noen ødelagte manpage-koblinger i installasjonsmålet.
  • cert.pem har blitt omorganisert og synkronisert med Mozillas sertifikatbutikk.
  • Pålitelighetskorrigering, korrigering av en feil ved analyse av bestemte ASN.1-elementer over 16k i størrelse.
  • Implementerte IETF ChaCha20-Poly1305 krypteringspakker.
  • Fast passordoppfordringer fra openssl (1) for å håndtere ^ C.
  • Kodeforbedringer:
  • Fiks et nginx-kompatibilitetsproblem ved å legge til et "install_sw" byggemål.
  • Endret standard EVP_aead_chacha20_poly1305 (3) implementering til IETF-versjonen, som nå er standard.
  • Omarbeidet feilhåndtering i libtls slik at konfigurasjonsfeilene er mer synlige.
  • Lagt til manglende feilhåndtering rundt bn_wexpand (3) samtaler.
  • Lagt til explicit_bzero (3) krever frigjorte ASN.1 objekter.
  • Faste X509_ * set_object-funksjoner for å returnere 0 ved tildelingsfeil.
  • Utdatert intern bruk av EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Løst et problem som forhindrer DSA signeringsalgoritmen i å kjøre i konstant tid, selv om flagget BN_FLG_CONSTTIME er satt.
  • Fiks flere problemer i OCSP-koden som kan føre til feil generering og analyse av OCSP-forespørsler. Dette løser mangel på feilkontroll ved tidsparsing i disse funksjonene, og sikrer at bare GENERALIZEDTIME-formater aksepteres for OCSP, i henhold til RFC 6960.
  • Følgende CVEer er blitt løst:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • CVE-2016-2107-padding oracle i AES-NI CBC MAC-sjekk.
  • CVE-2016-2108-minne korrupsjon i ASN.1-encoderen.
  • CVE-2016-2109-ASN.1 BIO overdreven minneallokering.
  • Porter og pakker:
  • Nytt proot (1) verktøy i havnetreet for å bygge pakker i en chroot.
  • Mange forhåndsbygde pakker for hver arkitektur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Noen høydepunkter:
  • Afl 2.19b
  • krom 51.0.2704.106
  • Emacs 21.4 og 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gå 1.6.3
  • Groff 1.22.3
  • JDK 7u80 og 8u72
  • KDE 3.5.10 og 4.14.3 (i tillegg til KDE4-kjerneoppdateringer)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 og 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr og 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 og 2.4.44
  • PHP 5.5.37, 5.6.23 og 7.0.8
  • Postfix 3.1.1 og 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 og 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 og 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 og 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Som vanlig, stadig forbedringer i manuelle sider og annen dokumentasjon.
  • Systemet inneholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (basert på X.Org 7.7 med xserver 1.18.3 + patcher, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 og mer)
  • GCC 4.2.1 (+ oppdateringer) og 3.3.6 (+ oppdateringer)
  • Perl 5.20.3 (+ oppdateringer)
  • SQLite 3.9.2 (+ oppdateringer)
  • NSD 4.1.10
  • Ubundet 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ oppdateringer)
  • Gdb 6.3 (+ oppdateringer)
  • Awk 10. august 2011 versjon
  • Expat 2.1.1

Lignende programvare

Optimus Kernel
Optimus Kernel

14 Apr 15

HD2 NDT MIUI
HD2 NDT MIUI

14 Apr 15

RAFDROID HD
RAFDROID HD

14 Apr 15

Kommentarer til OpenBSD

Kommentarer ikke funnet
Legg til kommentar
Slå på bilder!