OpenBSD yra nemokamas projektas, kuris teikia daug platformų UNIX panaši operacinę sistemą, kuri yra nešiojama, veiksminga, saugi ir pagrįsta 4.4BSD platforma. Tai galingas serverio produktas, naudojamas šimtui tūkstančių kompiuterių visame pasaulyje.
Prieinamumas, įkrovos parinktys, palaikomos platformos
Operacinė sistema yra laisvai prieinama atsisiųsti iš specialaus skyriaus (žr. aukščiau) kaip ISO atvaizdus ar dvejetainius paketus, kurie leidžia vartotojams jį įdiegti tinkle. ISO atvaizdus galima įrašyti į kompaktinius diskus, kuriuos galima įkelti iš daugelio kompiuterių BIOS.
"OpenBSD" palaiko dvejetainę emuliaciją daugumoje programų iš SVR4 ("Solaris"), "FreeBSD", "Linux", "BSD", "SunOS" ir "HP-UX". Jis gali būti įdiegtas įvairioms architektūroms, įskaitant i386, sparc64, alpha, m68k, sh, amd64, powerpc, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 ir mips64el.
CD atvaizdas bus įkeltas automatiškai be vartotojo sąveikos ir paprašys jų, ar jie norės rankiniu būdu įdiegti, atnaujinti ar automatiškai įdiegti operacinę sistemą, taip pat paleisti į lukšto raginimą.
Rankinis arba automatinis diegimas
Standartinis (skaityti: rankinis) diegimas reikalauja, kad vartotojai pasirinktų klaviatūros išdėstymą, nustatytų kompiuterio pavadinimą, pasirinktų tinklo sąsają ir sukonfigūruotų ją naudodamiesi IPv4 ir / arba IPv6, taip pat nustatytų naują slaptažodį root ( sistemos administratorius).
Be to, paleidus SSH ir NTP paslaugas galite pasirinkti, ar norite naudoti X Window System, ar ne, konfigūruoti vartotoją, pasirinkti laiko juostą, disko diską ir įdiegti rinkinius .
Tarp siūlomų "OpenBSD" programinės įrangos paketų galime paminėti GNOME, KDE ir Xfce darbalaukio aplinką, "MySQL", "PostgreSQL", "Postfix" ir "OpenLDAP" serverius, "Mozilla Firefox", "Mozilla Thunderbird", "LibreOffice", "Emacs", "Vim" ir "Chromium" taip pat PHP, Python, Ruby, Tcl / Tk, JDK, Mono ir Go programavimo kalbos.
Bottom line
Apibendrinant, "OpenBSD" yra galinga ir labai vertinama serverio orientuota BSD / UNIX operacinė sistema, kuri suteikia mums naujausią programinę įrangą, įskaitant "OpenSSH", "OpenNTPD", "OpenSMTPD", "OpenBGPD", "OpenIKED" ir "mandoc".
Kas naujo šiame leidime:
- Patobulinta techninė pagalba, įskaitant:
- "SMP" palaikymas "OpenBSD" / "arm64" platformose.
- "VFP" ir "NEON" palaikymas "OpenBSD" / "armv7" platformose.
- Naujas acktc (4) "X-Powers AC100" garso kodekas ir realaus laiko laikrodis.
- Naujas "X-Powers" AXP galios valdymo ICs "axppmic" (4) tvarkyklė.
- Naujas "Broadcom BCM2835 / BCM2836 / BCM2837 atsitiktinių skaičių generatorius" naujasis bcmrng (4) tvarkyklė.
- Naujas "Broadcom BCM2835 / BCM2836 / BCM2837" temperatūros monitoriaus bcmtemp (4) tvarkyklė.
- Naujas "Bosch" judesio jutiklio bgw (4) tvarkyklė.
- Naujas "Broadcom" ir "Cypress FullMAC 802.11" įrenginių bwfm (4) tvarkyklės (dar eksperimentinės ir nepaskirstytos į branduolį pagal nutylėjimą)
- Naujas efi (4) EFI paleidimo paslaugų tvarkyklė.
- Naujas "i.MX6" integruoto reguliatoriaus imxanatop (4) tvarkyklė.
- "Rockchip RK3399 Host / PCIe" tilto naujasis rkpcie (4) tvarkyklė.
- Naujas "Allwinner" nuosekliosios prieigos reguliatoriaus tvarkyklės "sxirsb" (4) tvarkyklė.
- Naujas "Allwinner" temperatūros monitoriaus "sxitemp" (4) tvarkyklė.
- Naujas "Allwinner A10 / A20" jutiklinio takelio valdiklio temperatūros jutiklis "sxits" (4).
- Naujas sxitwi (4) dviejų laidų autobusų vairuotojas rasti keliuose Allwinner SOC.
- Naujas SYPWR (4) tvarkyklė "Silergy SY8106A" reguliatoriams.
- "Rockchip RK3328 SoCs" palaikymas buvo įtrauktas į dwge (4), rkgrf (4), rkclock (4) ir rkpinctrl (4) tvarkykles.
- "rctemp" (4) tvarkyklėje buvo pridėta "Rockchip RK3288 / RK3328 SoCs" parama.
- "Squidcmu" (4) tvarkyklė buvo pridėta "Allwinner A10 / A20", "A23 / A33", "A80" ir "R40 / V40 SoC" parama.
- "Sxipio" (4) tvarkyklė buvo pridėta "Allwinner A33", "GR8" ir "R40 / V40 SoC" parama.
- "SAS3.5 MegaRAID" palaikymas buvo pridėtas prie "mfii" (4) tvarkyklės.
- Integruotas "Ethernet" "Intel Cannon Lake" ir "Ice Lake" palaikymas buvo įtrauktas į "em" (4) tvarkyklę.
- "cnmac" (4) prievadai dabar priskiriami skirtingiems procesoriaus gyslams paskirstytosios pertrūkio apdorojimui.
- Dabar "pms" (4) tvarkyklė aptinka ir tvarko naikinimo pranešimus.
- Į "amd64" "Intel" procesoriaus mikrokodą įkeliama paleidžiant ir įdiegiama / atnaujinama fw_update (1).
- Palaikykite "sun4v hypervisor" pertraukties slapukų API, pridedant "SPARC T7-1 / 2/4" įrenginių palaikymą.
- Hibernate palaikymas buvo pridėtas prie SD / MMC saugyklos, prijungtos prie SDHC (4) valdiklių.
- clang (1) dabar naudojamas kaip sisteminis kompiliatorius armv7, ir jis taip pat pateikiamas sparc64.
- vmm (4) / vmd (8) patobulinimai:
- Pridėkite CD-ROM / DVD ISO palaikymą su vmd (8) per "vioscsi" (4).
- VMD (8) nebėra sukurta pagrindinė tilto sąsaja virtualiems komutatoriams, apibrėžtiems vm.conf (5).
- Vmd (8) gauna perjungimo informaciją (rdomain ir tt) iš pagrindinės perjungimo sąsajos kartu su nustatymų vm.conf (5).
- "Time Stamp Counter" (TSC) palaikymas svečių kompiuteriuose.
- Palaikykite "ukvm / Solo5" unikernels versijoje vmm (4).
- Geriau valdyti galiojančius (bet neįprastus) nurodymų kodus.
- Geresnis PAE ieškos palaikymas 32 bitų "Linux" svečių VM.
- VMD (8) dabar leidžia iki keturių tinklo sąsajų kiekvienoje VM.
- Pridėkite pristabdytos migracijos ir fotografavimo palaikymą "AMD SVM / RVI" kompiuterių vmm (4).
- BREAK komandos, išsiųstos per pty (4), dabar yra suprantamos pagal vmd (8).
- Daugybė pataisymų, susijusių su "vmctl (8) ir vmd (8) klaidų tvarkymu".
- IEEE 802.11 belaidžio kamino patobulinimai:
- "iwm" (4) ir "iwn" (4) vairuotojai automatiškai persikelia tarp prieigos taškų, kurie turi ESSID. Priverstinis konkrečios AP MAC adresas su ifconfig komandos bssid atjungia tarptinklinį ryšį.
- Automatiškai išvalyti konfigūruotus WEP / WPA raktus, kai yra sukonfigūruotas naujas tinklo ESSID.
- Pašalinta galimybė vartotojui skaityti sukonfigūruotus WEP / WPA raktus atgal nuo branduolio.
- Dabar "iwm" (4) tvarkyklė gali prisijungti prie tinklų su paslėptu SSID.
- USB įrenginiai, kuriuos palaiko ATHN (4) tvarkyklė, dabar naudoja atvirojo kodo programinę įrangą, o šiuo metu veikia "hostap" režimas.
- Bendrieji tinklo kaminų patobulinimai:
- Kai IPsec įjungtas, tinklo lenta neveikia su KERNEL_LOCK ().
- Gaunamų TCP / UDP paketų apdorojimas dabar atliekamas be KERNEL_LOCK ().
- "Socket splicing" užduotis veikia be "KERNEL_LOCK" ().
- Išvalyti ir pašalinti kodą sistemoje sys / netinet6, nes dabar automatinė konfigūracija paleidžiama vartotojui.
- tilto (4) nariams dabar neleidžiama kalbėtis su kitais nauja saugoma parinktimi.
- Pf paketų peradresavimo funkcija buvo supaprastinta. IP_DIVERTFL lizdo parinktis buvo pašalinta iš peradresavimo (4).
- Dabar įvairūs kampiniai pf nukreipimo ir nukreipimo atsakymo atvejai yra nuoseklūs.
- Įplaukite į pf (4), kad visi kaimynų atradimų paketai turi 255 savo IPv6 antraštės apėjimo ribų lauke.
- Nauja pasirinkta sincookies parinktis pf.conf (5).
- GRE per IPv6 palaikymas.
- Naujas "Ethernet" "egre" (4) tvarkyklė per GRE tunelius.
- Parama pasirinktinai GRE klavišų antraštėms ir GRE klaviatūros entropijai gre (4) ir egre (4).
- Naujas "nvgre" (4) tinklo virtualizacijos tvarkyklė, naudojant bendrąją maršruto integravimo priemonę.
- Parama, kaip konfigūruoti nepažymėtų fragmentų paketų, įtrauktų į tunelio sąsajas.
- Diegimo programos patobulinimai:
- jei įdiegiate.pagrindinė arba naujovinta. nepavyksta, praneša naudotojui ir atsiranda klaidos po saugojimo rand.seed.
- leisti CIDR žymėjimą, kai įvedate IPv4 ir IPv6 adresus.
- atkurkite HTTP veidrodžio parinkimą iš veidrodžių sąrašo.
- leisti "-" naudotojų varduose.
- uždėkite klausimą diegimo / naujovinimo proceso pabaigoje, todėl vežimėlio grąža sukelia tinkamą veiksmą, pvz., paleiskite.
- rodyti režimą (įdiegti arba atnaujinti) lukšto raginimus, jei nėra žinomo kompiuterio pavadinimo.
- teisingai nustato, kuri sąsaja yra numatytojo maršruto ir ar ji buvo sukonfigūruota naudojant DHCP.
- Įsitikinkite, kad rinkinius galima perskaityti iš prefetch srities.
- užtikrinkite, kad URL peradresavimas būtų veiksmingas visam įdiegimui / naujovinimui.
- pridėkite HTTP tarpinį serverį, naudojamą renkant rinkinius rc.firsttime, kur fw_update ir syspatch gali jį rasti ir naudoti.
- pridėti logiką RFC 7217 palaikymui su SLAAC.
- įsitikinkite, kad IPv6 yra sukonfigūruotas dinamiškai sukurtoms tinklo sąsajoms, pvz., "vlan" (4).
- kurti teisingą vardą, kai DHCP nuoma teikia tiek domeno vardo, tiek domeno paieškos funkcijas.
- Routing daemonai ir kiti vartotojų tinklo patobulinimai:
- bgpctl (8) turi naują ssv parinktį, kuri išvesties šonkaulių įrašus atskiria kabliataškiu atskiriama kaip parinktis prieš išvedant.
- slaacd (8) generuoja atsitiktinius, bet stabilius IPv6 autonominius automatinio konfigūravimo adresus pagal RFC 7217. Tai yra įjungta pagal nutylėjimą pagal RFC 8064.
- slaacd (8) seka RFC 4862, išbraukiant dirbtinį apribojimą / 64 dydžio prefiksuose, naudojant RFC 7217 (atsitiktinius, bet stabilius) ir RFC 4941 (privatumo) stiliaus be kodavimo autoconfigūravimo adresus.
- ospfd (8) dabar gali nustatyti maršruto metriką, priklausomai nuo sąsajos būsenos.
- ifconfig (8) turi naują statikarų parinktį, kad sąsajos atitiktų tik ARP užklausas.
- "ipsecctl" (8) dabar gali sutraukti srauto išvestis, turinčias tą patį šaltinį ar paskirties vietą.
- "-n" parinktis "netstart" (8) nebepasiekia numatytojo maršruto. Tai jau yra dokumentuota.
- Apsaugos patobulinimai:
- Naudokite dar daugiau gaudyklių keltuvus įvairiose architektūrose.
- Daugiau naudoti .rodatus nuolatiniams kintamiesiems surinkimo šaltinyje.
- Nutraukite x86 "repz ret" dulkėtose medžio kampuose.
- Įveskite "įvykdžiusius" & quot; įkeičiant (2).
- "elfrdsetroot" įrankis, naudojamas ramdiskų kūrimui ir atkūrimo (8) stebėjimo procesui, dabar naudojamas įkeitimu (2).
- Pasiruoškite įdiegti MAP_STACK į mmap (2) po 6.3.
- Paleiskite mažą gabalėlį su KARL susietu branduolio tekstu į atsitiktinių skaičių generatorių kaip entropiją paleisties metu.
- Suteikite nedidelį atsitiktinį atotrūkį smeigių grupių viršuje, kad užpuolikai atliktų dar vieną skaičiavimą, atlikdami jų ROP darbą.
- "Intel" branduolio "amd64" procesorių mažinimo silpninimas.
- "OpenBSD / arm64" dabar naudoja "kernel" puslapio stalo izoliaciją, siekiant sušvelninti "Spectre" varianto 3 ("Meltdown") išpuolius.
- "OpenBSD" / "armv7" ir "OpenBSD" / "arm64" dabar atleisk filtro tikslinį buferį (BTB) procesoriams, kurie atlieka spekuliacinį vykdymą, siekiant sušvelninti Spectre 2 variantą.
- pool_get (9) pasipiktino elementų eiliškumą naujai paskirstytuose puslapiuose, todėl sunkiau numatyti branduolio krūvos išdėstymą.
- "fktrace" (2) sistemos skambutis buvo ištrintas.
- "dhclient" (8) patobulinimai:
- Analizuojant dhclient.conf (5), SSID eilutės nebėra, nėra pernelyg ilgos analizuojančio buferio eilutės ar pakartotinių eilučių parinkčių ir komandų.
- Dhclient.conf (5) nuomos sandėlis nebepalaikomas.
- "DENY" nebegalioja dhclient.conf (5).
- dhclient.conf (5) ir dhclient.leases (5) buvo supaprastinti ir paaiškinti klaidų pranešimų analizatoriai, kurių elgsena buvo pagerinta, kai buvo netikėtų kabliataškių.
- Dar labiau pasirūpinta, kad būtų naudojama tik konfigūracijos informacija, kuri buvo sėkmingai paruošta.
- '-n' buvo pridėta, o dhclient.conf (5) analizuojant dhclient (.5) išeina dhclient (8).
- "dhclient.leases (5) failai" dabar teisingai pateikiami numatytuose maršrutuose, kuriuose naudojami "classless-static-routes" (121) ir "classless-ms-static-routes" (249).
- Perrašykite failą, nurodytą "-L", o ne pridėkite prie jo.
- Nuoma dhclient.leases (5) dabar turi atributą "epochą", kuriame įrašomas laikas, kai nuoma buvo priimta, kuri naudojama teisingam atnaujinimui, pakartotiniam susiejimui ir galiojimo laiko skaičiavimui.
- Nebereikės pamiršti vardų, pažeidžiančių RFC 952.
- Be besąlygiško siuntimo prašant nuomos, išsiųsdami informaciją apie priimančiosios vardo duomenis, numatytuoju diegimu panaikins dhclient.conf (5) poreikį.
- Pagal numatytuosius nustatymus, būkite ramūs. "-q" buvo pašalintas ir "-v" buvo pridėtas, kad įgalintumėte verbavimą.
- Atmeskite prašomo adreso pasikartojančius pasiūlymus.
- Neteisėtai pereikite prie fono, kai sulaukiate laiko nuorodų sekundžių.
- Žymiai sumažinkite registravimą ramybės metu, bet "-v" įrašykite visą derinimo informaciją, nereikalaudami surinkti pasirinktino vykdomojo failo.
- Ignoruoti "sąsajos" teiginius dhclient.leases (5) ir manyti, kad visos failo nuomos sutartys yra konfigūruotos.
- Rodyti sąsajos privalomą nuomos šaltinį.
- ignoruoti, prašyti ir reikalauti deklaracijų dhclient.conf (5) dabar pridėkite nurodytas parinktis į atitinkamą sąrašą, o ne pakeiskite sąrašą.
- Pašalinkite paleisties lenktynes, kurios gali baigtis "dhclient" (8), nesukonfigūruojate sąsajos.
- įvairūs patobulinimai:
- Kodėl reorganizuoti ir kitus "malloc" (3) ir draugų patobulinimus, kad jie taptų veiksmingesni.
- Atliekant sustabdymo ar žiemos užduotis, užtikrinkite, kad visos failų sistemos būtų tinkamai sinchronizuotos ir pažymėtos švarios arba jei jos negalės būti įdedamos į visiškai švarią būseną diske (dėl atidarytų + nesusietų failų), tada pažymėkite juos nešvariais, kad nepavyko atnaujinti / unhibernate garantuojamas fsck (8).
- acme-client (1) automatiškai nustato susitarimo URL ir seka 30x HTTP peradresavimais.
- Pridėta __cxa_thread_atexit (), kad būtų palaikomos modernios C + + įrankių grandinės.
- Pridėjo EVFILT_DEVICE palaikymą kqueue (2), kad stebėtų DRM (4) įrenginių pakeitimus.
- Dabar "ldexp" (3) teisingai įveda denormalių skaičių ženklą "mips64".
- Nauji sincos (3) funkcijos yra "libm".
- "fdisk" (8) dabar užtikrina MBR skaidinio kompensavimo galiojimą, įvestą redaguojant.
- "fdisk" (8) dabar užtikrina, kad numatytosios vertės yra galiojančiame diapazone.
- mažiau (1) dabar padalija tik aplinkos kintamąjį LESS į "$".
- mažesnis (1) nebėra sukurtas klaidingas failas, kai pradinėje komandoje susiduria su "$".
- "softraid" (4) dabar patvirtina gabalėlių skaičių surinkus tūrį, užtikrinant, kad metaduomenys diske ir atmintyje būtų sinchronizuoti.
- disklabel (8) dabar visada siūlo redaguoti FFS skaidinio fragmento dydį prieš siūlant redaguoti blokelių dydį.
- disklabel (8) dabar leidžia redaguoti atributą cilindrus / grupę (cpg), kai galima redaguoti skirsnį "blockize".
- disklabel (8) dabar nustato ^ D ir neteisingą įvestį (R) komandų metu.
- disklabel (8) dabar aptinka neveikimą ir perpildymą, kai naudojami operatoriai - / +.
- disklabel (8) dabar, kai skaičiuojame balionų skaičių laisvoje rupūje, vengia "vieno langelio".
- disklabel (8) dabar patvirtina reikalaujamą skirsnio dydį pagal didžiausio nemokamo rėmo dydį, o ne bendrą laisvą erdvę.
- Parama USB duomenų perkėlimui per bpf (4).
- "tcpdump" (8) dabar gali suprasti "USB" perkėlimų išsiuntimus USBPcap formatu.
- Pagal numatytuosius csh (1), ksh (1) ir sh (1) raktinius žodžius dabar priskiriamas prieglobos pavadinimas.
- Atminties paskirstymas ksh (1) buvo pakeistas iš calloc (3) atgal į malloc (3), todėl lengviau atpažinti neinitializuotą atmintį. Dėl to buvo aptiktos ir ištaisytos istorijos klaidos, susijusios su emacs redagavimo režimu.
- Naujas scenarijus (1) -c parinktis paleisti komandą, o ne apvalkalo.
- Nauja grep (1) -m parinktis apriboti rungtynių skaičių.
- Naujas uniq (1) -i variantas palyginimui be atsitiktinių žodžių.
- Printf (3) formatų eilutė nebėra patvirtinta ieškant% formatų. Remiantis "Android" ir daugelio kitų operacinių sistemų įsipareigojimais.
- Geresnis klaidų tikrinimas naudojant "vfwprintf" (3).
- Daugelis bazinių programų buvo patikrintos ir ištaisytos seniems failų deskriptoriams, įskaitant cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) ir sshd (8).
- Įvairių klaidų taisymai ir patobulinimai (1):
- Pasirinktinių ilgių apribojimai parinktims -b, -s, -w buvo pašalinti.
- Dabar palaikomas% F formato specifikatorius ir nustatytas% D formato klaida
- Geresnis kodo aprėptis regresijos testuose.
- Nustatyta keletas buferinių pertraukų.
- Pataisa (1) nauda dabar geriau susidoroja su "git diffs", kuri sukuria ar ištrina failus.
- pkg_add (1) dabar patobulino HTTP (S) redirektorių palaikymą, pvz., cdn.openbsd.org.
- ftp (1) ir pkg_add (1) dabar palaiko HTTPS seansą atnaujinant, kad būtų pagerintas greitis.
- mandoc (1) -T ps išvesties failo dydis sumažinamas daugiau nei 50%.
- syslogd (8) žurnalai, jei paleidimo metu buvo įspėjimų.
- syslogd (8) nustojo prisijungti prie failų visoje failų sistemoje. Dabar jis rašo perspėjimą ir tęsia, kai bus paskelbta vieta.
- "vmt" (4) dabar leidžia klonuoti ir naudoti tik disko vaizdus.
- OpenSMTPD 6.0.4
- Įtraukti spf perėjimo parinktį į smtpctl (8).
- įvairūs valymai ir patobulinimai.
- Daugybė rankinių puslapio pataisymų ir patobulinimų.
- OpenSSH 7.7
- Naujos / pakeistos funkcijos:
- Visi: pridėkite eksperimentinę paramą PQC "XMSS" raktams (išplėstiniai "Hash" parašai), remiantis algoritmu, aprašytu https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 "XMSS" parašo kodas yra eksperimentinis, o ne kompiliavimas pagal numatytuosius nustatymus.
- sshd (8): pridėti "rdomainą" sshd_config kriterijai Susieti raktažodį, kad būtų galima sąlyginė konfigūracija, kuri priklauso nuo to, kuris maršruto domenas buvo gautas ryšys (šiuo metu palaikomas "OpenBSD" ir "Linux").
- sshd_config (5): įtraukite neprivalomą rdomaino žymeklį į "ListenAddress" direktyvą, kad galėtumėte klausytis skirtingų maršrutų sričių. Šiuo metu palaikoma tik "OpenBSD" ir "Linux".
- sshd_config (5): pridėti RDomain direktyvą, kad autentišką sesiją būtų galima įtraukti į aiškų maršrutą domeną. Šiuo metu palaikoma tik "OpenBSD".
- sshd (8): pridėti "galiojimo laiko" & quot; galimybė failams authorized_keys leisti baigti klavišus.
- ssh (1): pridėkite BindInterface parinktį, kad įjungtumėte išeinantį ryšį su sąsajos adresu (iš esmės labiau naudojama BindAddress).
- ssh (1): Expose įrenginys, priskirtas perjungimui perjungimui per naująjį% T plėtinį LocalCommand. Tai leidžia naudoti "LocalCommand" sąsajos paruošimui.
- sshd (8): atskleiskite įrenginį, priskirtą persiuntimui per naująjį per naują aplinkos SSH_TUNNEL kintamąjį. Tai automatiškai automatiškai nustato sąsają ir aplinkinę tinklo konfigūraciją.
- ssh (1) / scp (1) / sftp (1): pridėti URI palaikymą į ssh, sftp ir scp, pvz. ssh: // user @ host arba sftp: // user @ host / path. Papildomi prisijungimo parametrai, aprašyti projekte-ietf-secsh-scp-sftp-ssh-uri-04, neįgyvendinti, nes ssh pirštų atspaudų formate juodraštyje naudojamas nebeaktualus MD5 maišas, todėl jokiu būdu negalima nurodyti jokio kito algoritmo.
- ssh-keygen (1): leisti pažymėjimo galiojimo intervalus, kurie nurodo tik pradžios arba pabaigos laiką (vietoj abiejų arba ne).
- sftp (1): Leisti "cd" ir "lcd" komandos be aiškių kelio argumentų. LCD paprastai pakeis vietinio vartotojo namų katalogą. cd pasikeis į sesijos pradžios katalogą (nes protokole nėra galimybės gauti nuotolinio vartotojo namų katalogą). bz # 2760
- sshd (8): Atliekant konfigūracijos bandymą su sshd -T, reikalaujama tik tų atributų, kurie iš tikrųjų naudojami atitikties kriterijose, o ne (visi neišsamūs visų kriterijų sąrašai).
- Šiame leidime buvo ištaisytos šios reikšmingos klaidos:
- ssh (1) / sshd (8): griežčiau tikrinti parašų tipus keičiantis pagrindiniais duomenimis, neatsižvelgiant į derybas. Neleidžia sumažinti RSA parašų, pateiktų SHA-256/512, iki SHA-1.
- sshd (8): nustatykite kliento palaikymą, kuris reklamuoja "1,99" (nurodant, kad jie yra pasirengę priimti tiek SSHv1, tiek SSHv2). Kai SSHv1 palaikymas pašalintas, tai buvo sugadintas OpenSSH 7,6. bz # 2810
- ssh (1): Įspėti, kai agentas grąžina ssh-rsa (SHA1) parašą, kai buvo paprašyta parašo rsa-sha2-256 / 512. Ši sąlyga yra įmanoma, kai naudojamas senas arba ne OpenSSH agentas. bz # 2799
- ssh-agent (1): Fix regresija įvedama 7.6, todėl ssh-agentas mirtinai išeina, jei pateikia neteisingą parašo prašymo pranešimą.
- sshd_config (5): Priimkite "yes / no flag options" be rūpesčių, kaip ilgai buvo ir ssh_config (5) atveju. bz # 2664
- ssh (1): pagerinkite klaidų pranešimus, kai sugedo prisijungimo metu. Kai kuriais atvejais buvo parodomos klaidinančios klaidos. bz # 2814
- ssh-keyscan (1): pridėti -D parinktį leisti spausdinti rezultatus tiesiogiai SSHFP formatu. bz # 2821
- regresiniai tyrimai: ištaisykite "PuTTY" sąveikos bandymą, sugadintą paskutinės versijos "SSHv1" pašalinimo metu. bz # 2823
- ssh (1): suderinamumo taisymas kai kuriems serveriams, kurie klaidingai atsisakė ryšio, kai siunčiama IUTF8 (RFC8160) parinktis.
- scp (1): išjungia RemoteCommand ir RequestTTY ssh sesijoje, kurią pradėjo scp (sftp jau tai padarė.)
- ssh-keygen (1): atsisakoma kurti sertifikatą su netinkamu principų skaičiumi.
- ssh-keygen (1): fatališkai išeiti, jei raktų generavimo metu ssh-keygen negali parašyti viso viešojo rakto. Anksčiau ji tyliai ignoravo klaidų rašydama komentarą ir nutraukdama naują eilutę.
- ssh (1): nekeiskite prieglobos vardo argumentų, kurie yra adresai, automatiškai priversdami jas mažais atvejais. Vietoj to gali jas pašalinti, kad išspręstų dviprasmybes (pvz., :: 0001 = & gt; :: 1), kol jie bus suderinti su known_hosts. bz # 2763
- ssh (1): nepriimkite šiukšlių po "taip" arba "ne" atsakymai į priimančiosios šalies raktus. bz # 2803
- sftp (1): Ar sftp spausdina įspėjimą apie lukšto švarumą, kai dekoduoja pirmąjį paketą, o tai dažniausiai kyla dėl neinteraktyvių paleidimų teršiančių kriauklių. bz # 2800
- ssh (1) / sshd (8): pakeiskite paketinio kodo laikiklius naudodamiesi sieniniu laikrodžiu iki monotoniško laiko, kad paketų sluoksnis geriau veiktų per laikrodžio veiksmą ir išvengtų galimų sveikųjų skaičių perpildymų per veiksmus.
- Daugybė rankinių puslapio pataisymų ir patobulinimų.
- LibreSSL 2.7.2
- Pridėjo daugelio "OpenSSL 1.0.2" ir "1.1" API palaikymą, pagrįstą realaus naudojimo programų stebėjimais. Jos yra įgyvendinamos lygiagrečiai su esamomis "OpenSSL 1.0.1" API - matomumo pokyčiai nebuvo atliekami esamuose struktūrose, todėl senesniems "OpenSSL" API sukurtiems kodams toliau dirbti.
- Išplėstiniai API dokumentacijos pataisymai, patobulinimai ir papildymai, įskaitant naujus OpenSSL viešuosius API, neturinčius ankstesnių dokumentų.
- "libcrypto", "libssl" ir "libtls" pridedamas automatinio bibliotekos paleidimo palaikymas. Dabar reikalinga iš tikslinės operacinės sistemos palaikymas pthread_once arba suderinamo ekvivalento. Kaip šalutinis poveikis, minimalus "Windows" palaikymas yra "Vista" arba naujesnė.
- Pakeitė daugiau CBB paketų tvarkymo metodų, kurie pagerina atsparumą, kai generuojami TLS pranešimai.
- Užbaigiamas TLS plėtinio apdorojimo perrašymas, patikrinimų nuoseklumas dėl netinkamai suformuotų ir pasikartojančių plėtinių gerinimo.
- Perrašė ASN1_TYPE_ (get, set) _octetstring () naudojant šabloną ASN.1. Tai panaikina paskutinį likusį senųjų M_ASN1_ * makrokomandų (asn1_mac.h) naudojimą iš API, kuris turi ir toliau egzistuoti.
- Pridėta parama kliento pusės atnaujinimui libtls. "Libtls" klientas gali nurodyti seanso failo deskriptorių (įprastą failą su tinkama nuosavybės teise ir leidimais), o libtls tvarkys seansų duomenų skaitymą ir rašymą per TLS rankas.
- Patobulinta parama siekiant griežtai suderinti ARMv7 architektūras, sąlygiškai įgalinant surinkimą tokiais atvejais.
- Pakartotinai naudodami tls_config ištaisyta atminties nutekėjimas libtls.
- Sujungta daugiau DTLS palaikymo į įprastą TLS kodo kelią, pašalinant pasikartojančią kodą.
- Uostai ir paketai:
- dpb (1) ir įprastiniai prievadai (7) dabar gali naudotis tuo pačiu privilegijuoto atskirto modeliu nustatydami PORTS_PRIVSEP = Taip
- Daugelis iš anksto sukurtų kiekvienos architektūros paketų:
- aarch64: 7990
- alfa: 1
- amd64: 9912
- rankos: XXXX
- hppa: XXXX
- i386: 9861
- mips64: 8149
- mips64el: XXXX
- powerpc: XXXX
- sh: 1
- sparc64: XXXX
- Kai kurie svarbiausi dalykai:
- AFL 2.52b
- CMake 3.10.2
- Chromas 65.0.3325.181
- Emacs 21.4 ir 25.3
- GCC 4.9.4
- GHC 8.2.2
- Gimp 2.8.22
- GNOME 3.26.2
- 1.10.
- Groff 1.22.3
- JDK 8u144
- KDE 3.5.10 ir 4.14.3 (kartu su pagrindiniais atnaujinimais KDE4)
- LLVM / Clang 5.0.1
- LibreOffice 6.0.2.1
- Lua 5.1.5, 5.2.4 ir 5.3.4
- MariaDB 10.0.34
- Mozilla Firefox 52.7.3esr ir 59.0.2
- "Mozilla Thunderbird 52.7.0"
- Mutt 1.9.4 ir NeoMutt 20180223
- Node.js 8.9.4
- "Ocaml 4.03.0"
- OpenLDAP 2.3.43 ir 2.4.45
- PHP 5.6.34 ir 7.0.28
- Postfix 3.3.0 ir 3.4-20180203
- PostgreSQL 10.3
- Python 2.7.14 ir 3.6.4
- R 3.4.4
- Rubų 2.3.6, 2.4.3 ir 2.5.0
- Rust 1.24.0
- Sendmail 8.16.0.21
- SQLite3 3.22.0
- Sudo 1.8.22
- Tcl / Tk 8.5.19 ir 8.6.8
- TeX Live 2017
- Vim 8.0.1589
- Xfce 4,12
- Kaip įprasta, nuolatiniai rankinių puslapių ir kitų dokumentų patobulinimai.
- Sistemoje yra šie pagrindiniai išorinių tiekėjų komponentai:
- Xenocara (remiantis X.Org 7.7 su xserver 1.19.6 + pleistrais, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 ir dar daugiau)
- LLVM / Clang 5.0.1 (+ patch)
- GCC 4.2.1 (+ pataisos) ir 3.3.6 (+ pataisos)
- "Perl 5.24.3 (+ patch)"
- NSD 4.1.20
- Apribojimų nėra. 1.6.8
- Ncurses 5.7
- Binutils 2.17 (+ patch)
- Gdb 6.3 (+ pleistrai)
- Awk 2011 m. rugpjūčio 10 d. versija
- Expat 2.2.5
Kas naujo 6.2 versijoje:
- Naujos / išplėstinės platformos:
- armv7:
- "EFI" įkrovos tvarkyklė pridėta, branduoliai dabar yra įkeliami iš FFS vietoj FAT arba EXT failų sistemų be "U-Boot" antraščių.
- Viena branduolio ir ramdisk dabar naudojama visoms SoC.
- Aparatūra dinamiškai išvardijama naudojant lankstųjį įrenginio medį (FDT), o ne per statines lenteles, atsižvelgiant į laivo ID numerius.
- "Miniroot" įdiegimo paveikslėliuose yra "U-Boot 2016.07", kuriame palaikoma EFI naudingoji apkrova.
- vax:
- Pašalinta.
- Patobulinta techninė įranga, įskaitant:
- Naujas "Intel Bay Trail GPIO" valdiklio "bytgpio" (4) tvarkyklė.
- "Intel Cherry View GPIO" valdiklio naujas "chvgpio" (4) tvarkyklė.
- Naujas "Maxim DS1307" realiojo laikrodžio maxrtc (4) tvarkyklė.
- Naujoji nVME (4) NVIDA pagrindinio valdiklio sąsajos "Negstančiosios atminties" (NVMe) tvarkyklė.
- Naujas "NXP PCF8523" realiojo laikrodžio tvarkyklės pcfrtc (4) tvarkyklė.
- Naujas mobiliojo plačiajuosčio ryšio sąsajos modelio (MBIM) umb (4) tvarkyklė.
- Naujas "Ure" (4) "RealTek RTL8152" 10/100 "USB Ethernet" įrenginių tvarkyklė.
- Naujas utvfu (4) garso / vaizdo įrašymo įrenginių tvarkyklė, pagrįsta Fushicai USBTV007.
- "iwm" (4) tvarkyklė dabar palaiko "Intel Wireless 3165" ir "8260" įrenginius ir veikia RAMDISK branduoliuose patikimai.
- "Dwiic" (4) pridėta "I2C HID" įrenginių, kuriuose naudojami GPIO signalizuoti pertraukimai, palaikymas.
- "Octeon II" SOCs palaiko EHCI ir OHCI suderinamus USB valdiklius.
- Daugelis USB įrenginių tvarkyklių buvo įgalinti "OpenBSD" / "okteone".
- Patobulintas aparatūros sumažintas ACPI įdiegimas.
- Patobulinta parama ACPI 5.0 įdiegimams.
- AES-NI šifravimas dabar atliekamas be laikiklio branduolio užrakto.
- "AGP" palaikymas "PowerPC G5" įrenginiuose.
- "Intel Bay Trail SoC" palaiko SD kortelių lizdą.
- "Ichiic" (4) tvarkyklė dabar ignoruoja "SMBALERT #" pertraukimą, kad išvengtų pertraukimo audros su "buggy" BIOS įdiegimais.
- Įrenginio prijungimo problemos su axen (4) tvarkyklė buvo ištaisytos.
- RAL (4) tvarkyklė yra stabilesnė apkrovos metu naudodami RT2860 įrenginius.
- Problemos su neveikia klaviatūra po atsinaujinimo buvo ištaisytos pckbd (4) tvarkyklėje.
- RTSx (4) tvarkyklė dabar palaiko RTS522A įrenginius.
- Pridėta pirminė MSI-X parama.
- "MSI-X" palaikykite virtio (4) tvarkyklėje.
- Pridėjo aparatūros DMA peržiūrą į dc (4) tvarkyklę.
- "acpitz" (4) tvarkyklė dabar atvėsina ventiliatorių, jei ACPI naudoja histerezę aktyviam aušinimui.
- "xhci" (4) tvarkyklė dabar teisingai perduoda iš "xHCI" suderinamo BIOS perdavimą.
- Vairuotojo "wsmouse" (4) tvarkyklė pridėjo daugiaspalvio įvesties palaikymą.
- "uslcom" (4) tvarkyklė dabar palaiko "Aruba 7xxx" belaidžių valdiklių serijos konsolę.
- Dabar naujasis (4) tvarkyklė dirba aplink sugedusius šviesos diodų konfigūracijas APU1 EEPROM atmintinėse.
- Ehci (4) tvarkyklė dabar dirba su problemomis su ATI USB valdikliais (pvz., SB700).
- "Xen" (4) tvarkyklė dabar palaiko "domU" konfigūraciją pagal Qubes OS.
- IEEE 802.11 belaidžio kamino patobulinimai:
- "HT block ack" priimta buferinė logika seka algoritmą, pateiktą 802.11-2012 spec daugiau.
- "iwn" (4) tvarkyklė dabar stebi HT apsaugos pakeitimus, susijusius su 11n AP.
- Belaidžio kamino ir kelių vairuotojų agresyvesnis naudojimasis RTS / CTS, kad būtų išvengta pastovių įrenginių ir paslėptų mazgų trikdžių.
- Komanda netstat (1) -W dabar rodo informaciją apie 802.11n įvykius.
- Įjungę "hostap" režimą, dar kartą nenaudokite asociacijų ID, kurie dar yra talpykloje. Pataisyta problema, kai prieigos taškas, naudojant ral (4) tvarkyklę, užstrigtų 1 Mbps, nes Tx dydžio apskaita įvyko netinkamo mazgo objekte.
- Bendrieji tinklo kaminų patobulinimai:
- Dabar maršruto lentelė pagrįsta ART, kuri siūlo greitesnę paiešką.
- Perėjimo maršruto paieškos paketo skaičius sumažintas iki 1 per persiuntimo kelią.
- "VLAN" antraščių priono laukas dabar teisingai nustatomas kiekviename "IPv4" paketo fragmente, kuris išeina iš "vlan" (4) sąsajos.
- Įjungtas prietaiso klonas bpf (4). Tai leidžia sistemai turėti tik vieną "bpf" įrenginio mazgą / dev, kuris teikia paslaugas visoms "bpf" vartotojams (iki 1024).
- Cnmac (4) tvarkyklės Tx eilė dabar gali būti apdorojama lygiagrečiai su likusia branduolio dalimi.
- Tinklo įvesties kelias dabar paleidžiamas gijų kontekste.
- Diegimo programos patobulinimai:
- atnaujintas apribotų naudotojų kodų sąrašas
- "install.sh" ir "upgrade.sh" sujungti į "install.sub"
- atnaujinimas automatiškai paleidžia sysmerge (8) partijos režimu prieš fw_update (1)
- klausimai ir atsakymai registruojami formatu, kuris gali būti naudojamas kaip atsakymo failas, naudojamas automatiškai įdiegti (8)
- / usr / local nustatytas wxallowed
- Routing daemonai ir kiti vartotojų tinklo patobulinimai:
- Pridėkite maršrutų lentelių palaikymą rc.d (8) ir rcctl (8).
- Leiskite nc (1) palaikyti paslaugų pavadinimus, be prievadų numerių.
- Pridėkite -M ir -m TTL vėliavėlių į nc (1).
- Pridėkite AF_UNIX palaikymą prie "tcpbench" (1).
- Ištaisyta regresija rarpd (8). Deimonas galėjo pakabinti, jei jis ilgą laiką buvo nenaudojamas.
- "iflconfig" (8) pridėjo "llprio" parinktį.
- Kelios programos, kurios naudoja bpf (4), buvo pakeistos, kad būtų galima pasinaudoti BPF (4) įrenginio klonavimu, atidarant / dev / bpf0, o ne looping per / dev / bpf * įrenginius. Šios programos apima arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ir tcpdump (8). Libpcap biblioteka taip pat buvo atitinkamai pakeista.
- Apsaugos patobulinimai:
- Dabar W ^ X griežtai laikomasi pagal numatytuosius nustatymus; programa gali ją pažeisti tik tada, kai vykdomasis failas yra pažymėtas PT_OPENBSD_WXNEEDED ir yra failų sistemoje, sumontuotoje su pasirinkta parinktimi mount (8). Kadangi vis dar yra per daug uostų, pažeidžiančių W ^ X, diegėjas prijungia / usr / local filesystem su wxallowed. Tai leidžia bazinei sistemai būti saugesnė, kol / usr / local yra atskira failų sistema. Jei nenaudosite W ^ X programų pažeidimų, apsvarstykite rankiniu būdu atšaukti šią parinktį.
- "setjmp" (3) funkcijų šeima dabar taiko XOR slapukus, kad sukauptų ir grąžintų adresų reikšmes jmpbuf į amd64, hppa, i386, mips64 ir powerpc.
- SROP sušvelninimas: sigreturn (2) dabar gali būti naudojamas tik branduolio pateikto signalo batutu su slapuku, norint aptikti bandymus jį pakartotinai naudoti.
- Siekiant išvengti kodo pakartotinio naudojimo, rc (8) dar kartą sujungia libc.so paleidžiant objektus atsitiktine tvarka.
- "getpwnam" (3) funkcijų šeima pagal nutylėjimą nustoja atidaryti šešėlių duomenų bazę.
- Leisti tcpdump (8) -r paleisti be root privilegijų.
- Pašalinti systrace.
- Pašalinkite "Linux emulation" palaikymą.
- Pašalinkite "usermount" parinkties palaikymą.
- TCP SYN talpyklos laikas nuo laiko atsiranda atsitiktinė hash funkcija. Tai užkerta kelią užpuolikui apskaičiuoti maišos funkcijos paskirstymą laiko atakoje.
- Norėdami dirbti prieš SYN potvynių išpuolius, administratorius gali dabar keisti maišos masyvo dydį. netstat (1) -s-p tcp rodo atitinkamą informaciją norint suderinti SYN talpyklą su sysctl (8) net.inet.tcp.
- Administratorius gali reikalauti šaknies privilegijų prijungimui prie kai kurių TCP ir UDP prievadų su sysctl (8) net.inet.tcp.rootonly ir sysctl (8) net.inet.udp.rootonly.
- Pašalinkite funkcijos žymeklį iš mbuf (9) duomenų struktūros ir naudokite rodyklę vietoj priimtinų funkcijų masyvo.
- įvairūs patobulinimai:
- Siūlų biblioteka dabar gali būti įkelta į vieno sriegio procesą.
- Patobulintas simbolių tvarkymas ir standartų laikymasis "libc". Pavyzdžiui, apibrėžiant atvirą () funkciją nebus trukdoma fopen veikimui (3).
- PT_TLS sekcijos dabar palaikomos iš pradžių įkelto objekto.
- Patobulintas "be takų" tvarkymas ir "tuščias kelias" fts (3).
- Į pcap (3) pateikite funkcijas pcap_free_datalinks () ir pcap_offline_filter ().
- Daugybė klaidų pataisymų ir struktūrinio valymo redagavimo (3) bibliotekoje.
- Pašalinti senas dbm (3) funkcijas; ndbm (3) išlieka.
- Pridėti "setenv" raktinį žodį, kad galėtumėte atlikti galingesnes aplinkos tvarkymo funkcijas "doas.conf" (5).
- Laiko vietos nustatymui pridėkite -g ir -p parinktis aucat.1.
- Perrašykite audioctl (1) naudodami paprastesnę vartotojo sąsają.
- Pridėkite -F parinktį įdiegti (1) fsync (2) failą prieš jį uždarant.
- Kdump (1) dabar išskleidžia pollfd struktūras.
- Patobulinkite įvairius ksh (1) POSIX atitikties elementus.
- mknod (8) perrašytas į įkeitimą (2) - draugiškas stilius ir vienu metu sukuria kelis įrenginius.
- Įgyvendinti rcctl (8) gauti viską ir getdef visiems.
- Įveskite vėliavą rcs (1) -I (interaktyvi).
- Į rcs (1) įdiekite "Mdocdate" raktinių žodžių pakeitimą.
- Viršuje (1) leiskite filtruoti proceso argumentus, jei jie rodomi.
- Pridėta UTF-8 parama, kad sulaužytumėte (1) ir rev (1).
- Įjunkite UTF-8 pagal numatytuosius nustatymus xterm (1) ir pod2man (1).
- Filtruokite ne ASCII simbolius sienoje (1).
- Daugeliui programų tvarkingai tvarkykite aplinkos kintamąjį COLUMNS.
- Parinktys -c ir -k leidžia pateikti TLS kliento sertifikatus syslogd (8) siuntimo pusėje. Su tuo, kad gaunančioji šalis gali patikrinti, ar žurnale esantys pranešimai yra autentiški. Atkreipkite dėmesį, kad "syslogd" dar neturi šios tikrinimo funkcijos.
- Kai klog buferis užpildomas, syslogd parašys žurnalo pranešimą, kad būtų rodomas kai kurių įrašų trūksta.
- "OpenBSD / octeon" įgalina įrašymo buferinę procesoriaus talpyklą, kad pagerintų našumą.
- pkg_add (1) ir pkg_info (1) dabar supranta filialo sąvoką, kad būtų lengviau pasirinkti kai kuriuos populiarius paketus, pvz., python ar php, pvz., pasakykite pkg_add python% 3.4, kad pasirinktumėte 3.4 filialą ir naudokite pkg_info -zm gaukite neapibrėžtą sąrašą su filialo parinktimi, tinkama pkg_add -l.
- "fdisk" (8) ir "pdisk" (8) iš karto išeina, nebent perduoti simbolį specialų įrenginį
- st (4) teisingai seka dabartinį blokų skaičių kintamojo dydžio blokams
- fsck_ext2fs (8) vėl veikia
- "softraid" (4) tomai gali būti sukonstruoti su diskais, kurių sektoriaus dydis yra ne 512 baitų
- dhclient (8) DECLINE ir pašalins nepanaudotas PASIŪLYMAI.
- dhclient (8) iškart išeina, jei jo sąsaja (pvz., tiltas (4)) grąžina EAFNOSUPPORT kai siunčiamas paketas.
- "httpd" (8) grąžina 400 blogų "HTTP v0.9" užklausų užklausų.
- "fs2" slapto mazgo iniciacija vengia tvarkyti atsitiktinius disko duomenis kaip inode
- Fcntl (2) iššūkiai bazinėse programose naudoja idiomą fcntl (n, F_GETFL) vietoj fcntl (n, F_GETFL, 0)
- lizdas (2) ir accept4 (2) iššūkiai bazinėse programose naudoja SOCK_NONBLOCK, kad pašalintų atskirų fcntl (2) poreikį.
- tmpfs neįgalinta pagal numatytuosius nustatymus
- įkeitimo semantika (2) buvo pagerinta įvairiais būdais. Svarbiausi dalykai yra: naujoji pažadas, leidžiantis įkeistoms programoms nustatyti setugid atributus, griežtesnis "recvfd" pažadų vykdymas ir "chroot" (2) nebeleidžiamos įkeistoms programoms.
- buvo nustatyti keletas įkaitų (2) susijusių klaidų (trūko pažadų, nenumatytų elgesio pokyčių, gedimų), ypač gzip (1), nc (1), sed (1), skeyinit (1), stty (1) ir įvairios su disku susijusios paslaugos, tokios kaip disklabel (8) ir fdisk (8).
- Garsinio (4) tvarkyklės dydžio apskaičiavimo klaidos buvo pašalintos.
- Šiuo metu "usb" (4) tvarkyklė sulaiko tiekėjų ir produktų ID. Nustatoma problema, kai USB diskai (8) iškviečiami į kilpą, dėl kurių USB masinio kaupimo įrenginys sustabdytų operaciją.
- "RSU" (4) ir "ural" (4) vairuotojai dabar vėl dirba, kai jie buvo atsitiktinai sugadinti į 5.9.
- OpenSMTPD 6.0.0
- Sauga:
- Įdiekite fork + exec šabloną smtpd (8).
- Pašalinkite logikos problemą SMTP būsenos mašinoje, dėl kurios gali būti bloga būsena ir sukelti avariją.
- Įkiškite failo žymeklio nuotėkį, dėl kurio gali išsikrauti ištekliai ir sukelti avariją.
- Naudokite automatinius DH parametrus, o ne fiksuotus.
- Išjunkite DHE pagal numatytuosius nustatymus, nes tai yra skaičiavimo brangumas ir potencialus DoS vektorius.
- Šie pakeitimai buvo pateikti 6.2 versijoje:
- Suderinamumui su mailx pridėkite -r parinktį smtpd (8) enqueuer.
- pridedant trūkstamą datą arba pranešimo ID, klausydami pateikimo prievado.
- Fix "smtpctl show queue" ataskaitos "negaliojantis" apvalkalo būsena.
- Iš naujo apdorokite & quot; Gauta & quot; antraštė, kad TLS dalis nepažeistų RFC.
- Padidinkite jungčių, kuriuose leidžiama nustatyti vietinį adresą, skaičių ir sumažinkite vėlesnį sandorių tą pačią sesiją.
- Nustatykite LMTP pristatymą serveriams, grįžtantiems tęsimo eilučių.
- Toliau tobulinkite dar eksperimentinės filtrų API ir ištaisykite įvairias susijusias problemas.
- Pradėkite tobulinti ir suvienodinti žurnalo pranešimų formą.
- Ištaisykite keletą dokumentų neatitikimų ir klaidų žmogaus puslapiuose.
- OpenSSH 7.3
- Sauga:
- sshd (8): sušvelninkite potencialų paslaugos atmetimą sistemos kripto funkcijai (3) per sshd (8). Užpuolikas gali siųsti labai ilgus slaptažodžius, kurie gali sukelti per didelį procesoriaus naudojimą kriptoje (3). sshd (8) dabar atsisako priimti slaptažodžio autentifikavimo užklausas, kurių ilgis didesnis nei 1024 simboliai.
- sshd (8): sušvelninti slaptažodžio autentifikavimo laiko skirtumus, kurie gali būti naudojami siekiant nustatyti galiojančius iš netinkamų paskyrų pavadinimų, kai buvo išsiųsti ilgi slaptažodžiai, ir tam tikri slaptažodžių maišymo algoritmai yra naudojami serveryje. CVE-2016-6210.
- ssh (1), sshd (8): nustatykite stebėjimo laiko silpnumą CBC užpildymo orakulės atsakomiesiems veiksmams. Atkreipkite dėmesį, kad CBC šifrai pagal nutylėjimą yra išjungti ir įtraukti tik į seną suderinamumą.
- ssh (1), sshd (8): Patobulinkite MAC patvirtinimo šifravimo-tada-MAC (EtM) režimo transportavimo MAC algoritmų užsakymą, kad patikrintumėte MAC prieš iššifruoti bet kurį kodavimo kodą. Tai pašalina galimybę laiku atsispindėti faktų apie paprastą tekstą, tačiau tokio nuotėkio nėra žinoma.
- Naujos / pakeistos funkcijos:
- ssh (1): pridėkite parinktį ProxyJump ir atitinkamą -J komandų eilutės vėliavėlę, kad leistumėte supaprastintą nukreipimą per vieną ar daugiau SSH bastionų arba "peršokti" "."
- ssh (1): pridėkite "IdentityAgent" parinktį, kad leistumėte nurodyti konkrečias agento lizdas, o ne priimti jį iš aplinkos.
- ssh (1): leisti ExitOnForwardApskaičiavimas ir "ClearAllForwardings" pasirinktinai panaikinami naudojant ssh -W. (bz # 2577)
- ssh (1), sshd (8): įdiegti IUTF8 terminalo režimo palaikymą pagal draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): pridėkite palaikymą papildomoms fiksuoto Diffie-Hellman 2K, 4K ir 8K grupėms iš draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): palaikykite sertifikatus SHA256 ir SHA512 RSA parašus.
- ssh (1): pridėkite Įtraukimo direktyvą į ssh_config (5) failus.
- ssh (1): leisti UTF-8 simbolius iš serverio išsiųstų iš anksto autentifikavimo banerių. (bz # 2058)
- Šios reikšmingos klaidos buvo ištaisytos 6.2 versijoje:
- Į scp (1) ir sftp (1) neleiskite užsukti terminalo nustatymų, ištrindami baitus, kurie nesudaro ASCII arba UTF-8 simbolių.
- ssh (1), sshd (8): sumažinkite kai kurių santykinai dažnų protokolo įvykių iš LOG_CRIT sistemos lygį. (bz # 2585)
- sshd (8): atsisakyti autentifikavimoMethods = "quot;" konfigūracijose ir priima AuthenticationMethods = bet kokį numatytąjį elgesį, kai nereikalaujama daugybės autentiškumo. (bz # 2398)
- sshd (8): pašalinti pasenusią ir klaidinančią "ĮSPĖJAMĄ PAKEITIMĄ" & quot; pranešimas, kai pirmyn ir atgalinės DNS neatitinka. (bz # 2585)
- ssh (1): uždarykite ControlPersist fono proceso stderr, išskyrus derinimo režimą arba prisijungdami prie syslog. (bz # 1988)
- misc: Padarykite "PROTOCOL" aprašymą, skirtą tiesioginio srauto@openssh.com kanalo atviriems pranešimams, kad jie atitiktų įdiegtą kodą. (bz # 2529)
- ssh (1): Deduplicate "LocalForward" ir "RemoteForward" įrašai, skirti ištaisyti nesėkmes, kai įjungta "ExitOnForwardFailure" ir "hostname canonicalisation". (bz # 2562)
- sshd (8): pašalinkite atsarginę dalį iš modulio į pasenusią "primes" & quot; failas, kurio nuorašas nebuvo taikomas 2001 m. (bz # 2559)
- sshd_config (5): teisingas "UseDNS" aprašymas: tai turi įtakos ssh hostnamo apdorojimui už authorized_keys, not known_hosts. (bz # 2554)
- ssh (1): fiksuokite autentifikavimą naudodamiesi vieninteliu sertifikato raktų agentu be atitinkamų privačių raktų failų sistemoje. (bz # 2550)
- sshd (8): siųsti ClientAliveInterval pings, kai yra nustatytas laiko nustatytas RekeyLimit; anksčiau palaikomi paketai nebuvo išsiųsti. (bz # 2252)
- OpenNTPD 6.0
- Kai vienas "apribojimas" yra nurodyta, išbandykite visus grąžintus adresus, kol pavyks, o ne pirmasis grąžintas adresas.
- Atšaukti apribojimų klaidų skirtumą proporcingai NTP lygiaverčių skaičiui, vengti nuolatinių pakartotinių jungčių, kai yra blogo NTP lygiaverčio.
- Pašalinta išjungta "hotplug" (4) jutiklio atrama.
- Pridėta parama, skirta aptikti avarijas apribojimų pogrupiuose.
- perkėlė apribojimų vykdymą iš "ntp" proceso į tėvų procesą, leidžiantį geriau privilegijuoti atskyrimą, nes "ntp" procesas gali būti dar labiau apribotas.
- Ištaisytas didelis procesoriaus naudojimas, kai tinklas išjungtas.
- Ištaisyta įvairios atminties nutekėjimas.
- Nustatyta, kad skaičiuojant jitter yra RMS.
- Vieningos registravimo funkcijos su kitomis "OpenBSD" bazinėmis programomis.
- Nustatykite MOD_MAXERROR, kad išvengtumėte nesinchronizuoto laiko būklės, kai naudojate ntp_adjtime.
- Ištaisyta HTTP laiko žymos antraštė, kurios analizė naudojama "strptime" (3).
- griežta TLS už ntpd (8) apribojimus, leidžianti patvirtinti serverio vardą
- LibreSSL 2.4.2
- Naudotojui matomos funkcijos:
- Diekio nukreipimo taške ištaisytos trūkstamos manpageowania nuorodos.
- cert.pem buvo pertvarkytas ir sinchronizuotas su "Mozilla" sertifikatų saugykla.
- Patikros nustatymas, koreguojant klaidą, kai analizuojami tam tikri ASN.1 elementai, kurių dydis viršija 16k.
- Įgyvendino IETF ChaCha20-Poly1305 šifravimo apartamentus.
- Ištaisyta slaptažodžio parama iš "openssl" (1), kad būtų tinkamai tvarkoma ^ C.
- Kodo patobulinimai:
- Ištaisyta "nginx" suderinamumo problema pridedant "install_sw" kūrimo tikslą.
- Pakeistas numatytasis EVP_aead_chacha20_poly1305 (3) įdiegimas į IETF versiją, kuri dabar yra numatytoji.
- Ištaisyta klaidų apdorojimas libtls, todėl konfigūravimo klaidos yra labiau matomos.
- Pridėjo trūkstamų klaidų tvarkymą apie bn_wexpand (3) skambučius.
- Pridėjo explicit_bzero (3) skambučius išlaisvinti ASN.1 objektai.
- Fiksuotos X509_ * set_object funkcijos, jei norite grąžinti 0 skirstymo gedimui.
- Neteisėtas vidinis EVP_ [Cipher | Šifruoti | iššifruoti] _Final.
- Ištaisyta problema, dėl kurios DSA pasirašymo algoritmas neveikia pastoviu laiku, net jei nustatyta vėliava BN_FLG_CONSTTIME.
- Ištaisyta keletas OCSP kodo problemų, dėl kurių gali būti neteisingai sukuriama ir analizuojama OCSP užklausa. Tai atkuriama, kai trūksta klaidų tikrinant laiko analizę šiose funkcijose ir užtikrina, kad OCSP priimami tik GENERALIZEDTIME formatai, kaip nurodyta RFC 6960.
- Nustatyti šie CVE:
- CVE-2016-2105-EVP_EncodeUpdate overflow.
- CVE-2016-2106-EVP_EncryptUpdate perpildymas.
- CVE-2016-2107-papildomas orakulas, patikrintas AES-NI CBC MAC.
- CVE-2016-2108-memory corruption in ASN.1 encoder.
- CVE-2016-2109-ASN.1 BIO per didelė atminties paskirstymo dalis.
- Uostai ir paketai:
- Naujas proot (1) įrankis, esantis uostų medyje paketų kūrimui "chroot".
- Daugelis iš anksto sukurtų kiekvienos architektūros paketų:
- alfa: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Kai kurie svarbiausi dalykai:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 ir 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Pradėti 1.6.3
- Groff 1.22.3
- JDK 7u80 ir 8u72
- KDE 3.5.10 ir 4.14.3 (kartu su pagrindiniais atnaujinimais KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 ir 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- "Mozilla Firefox 45.2.0esr" ir 47.0.1
- "Mozilla Thunderbird 45.2.0"
- Mutt 1.6.2
- Node.js 4.4.5
- "Ocaml 4.3.0"
- OpenLDAP 2.3.43 ir 2.4.44
- PHP 5.5.37, 5.6.23 ir 7.0.8
- Postfix 3.1.1 ir 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 ir 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 ir 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 ir 8.6.4
- "TeX Live 2015"
- Vim 7.4.1467
- Xfce 4,12
- Kaip įprasta, nuolatiniai rankinių puslapių ir kitų dokumentų patobulinimai.
- Sistemoje yra šie pagrindiniai išorinių tiekėjų komponentai:
- Xenocara (remiantis X. Org 7,7 su XServeris 1.18.3 + pleistrų, Freetype 2.6.3, 2.11.1 fontconfig, Stalkalnio 11.2.2, xterm 322, xkeyboard-konfigūracijos 2.18 ir daugiau)
- GCC 4.2.1 (+ pleistrai) ir 3.3.6 (+ pleistrai)
- "Perl 5.20.3 (+ patch)"
- SQLite 3.9.2 (+ patch)
- NSD 4.1.10
- Apribojimų nėra. 1.5.9.
- Ncurses 5.7
- Binutils 2.17 (+ pataisos)
- Gdb 6.3 (+ pleistrai)
- Awk 2011 m. rugpjūčio 10 d. versija
- Expat 2.1.1
"sdmmc (4), rtsx (4), sdhc (4) ir imxesdhc (4) buvo pridėta parama didesniems autobusų pločiams, didelės spartos režimams ir DMA perdavimams.
Įdiegimo metu
Kas naujo 6.1 versijoje:
- Naujos / išplėstinės platformos:
- armv7:
- "EFI" įkrovos tvarkyklė pridėta, branduoliai dabar yra įkeliami iš FFS vietoj FAT arba EXT failų sistemų be "U-Boot" antraščių.
- Viena branduolio ir ramdisk dabar naudojama visoms SoC.
- Aparatūra dinamiškai išvardijama naudojant lankstųjį įrenginio medį (FDT), o ne per statines lenteles, atsižvelgiant į laivo ID numerius.
- "Miniroot" įdiegimo paveikslėliuose yra "U-Boot 2016.07", kuriame palaikoma EFI naudingoji apkrova.
- vax:
- Pašalinta.
- Patobulinta techninė įranga, įskaitant:
- Naujas "Intel Bay Trail GPIO" valdiklio "bytgpio" (4) tvarkyklė.
- "Intel Cherry View GPIO" valdiklio naujas "chvgpio" (4) tvarkyklė.
- Naujas "Maxim DS1307" realiojo laikrodžio maxrtc (4) tvarkyklė.
- Naujoji nVME (4) NVIDA pagrindinio valdiklio sąsajos "Negstančiosios atminties" (NVMe) tvarkyklė.
- Naujas "NXP PCF8523" realiojo laikrodžio tvarkyklės pcfrtc (4) tvarkyklė.
- Naujas mobiliojo plačiajuosčio ryšio sąsajos modelio (MBIM) umb (4) tvarkyklė.
- Naujas "Ure" (4) "RealTek RTL8152" 10/100 "USB Ethernet" įrenginių tvarkyklė.
- Naujas utvfu (4) garso / vaizdo įrašymo įrenginių tvarkyklė, pagrįsta Fushicai USBTV007.
- "iwm" (4) tvarkyklė dabar palaiko "Intel Wireless 3165" ir "8260" įrenginius ir veikia RAMDISK branduoliuose patikimai.
- "Dwiic" (4) pridėta "I2C HID" įrenginių, kuriuose naudojami GPIO signalizuoti pertraukimai, palaikymas.
- "Octeon II" SOCs palaiko EHCI ir OHCI suderinamus USB valdiklius.
- Daugelis USB įrenginių tvarkyklių buvo įgalinti "OpenBSD" / "okteone".
- Patobulintas aparatūros sumažintas ACPI įdiegimas.
- Patobulinta parama ACPI 5.0 įdiegimams.
- AES-NI šifravimas dabar atliekamas be laikiklio branduolio užrakto.
- "AGP" palaikymas "PowerPC G5" įrenginiuose.
- "Intel Bay Trail SoC" palaiko SD kortelių lizdą.
- "Ichiic" (4) tvarkyklė dabar ignoruoja "SMBALERT #" pertraukimą, kad išvengtų pertraukimo audros su "buggy" BIOS įdiegimais.
- Įrenginio prijungimo problemos su axen (4) tvarkyklė buvo ištaisytos.
- RAL (4) tvarkyklė yra stabilesnė apkrovos metu naudodami RT2860 įrenginius.
- Problemos su neveikia klaviatūra po atsinaujinimo buvo ištaisytos pckbd (4) tvarkyklėje.
- RTSx (4) tvarkyklė dabar palaiko RTS522A įrenginius.
- Pridėta pirminė MSI-X parama.
- "MSI-X" palaikykite virtio (4) tvarkyklėje.
- Pridėjo aparatūros DMA peržiūrą į dc (4) tvarkyklę.
- "acpitz" (4) tvarkyklė dabar atvėsina ventiliatorių, jei ACPI naudoja histerezę aktyviam aušinimui.
- "xhci" (4) tvarkyklė dabar teisingai perduoda iš "xHCI" suderinamo BIOS perdavimą.
- Vairuotojo "wsmouse" (4) tvarkyklė pridėjo daugiaspalvio įvesties palaikymą.
- "uslcom" (4) tvarkyklė dabar palaiko "Aruba 7xxx" belaidžių valdiklių serijos konsolę.
- Dabar naujasis (4) tvarkyklė dirba aplink sugedusius šviesos diodų konfigūracijas APU1 EEPROM atmintinėse.
- Ehci (4) tvarkyklė dabar dirba su problemomis su ATI USB valdikliais (pvz., SB700).
- "Xen" (4) tvarkyklė dabar palaiko "domU" konfigūraciją pagal Qubes OS.
- IEEE 802.11 belaidžio kamino patobulinimai:
- "HT block ack" priimta buferinė logika seka algoritmą, pateiktą 802.11-2012 spec daugiau.
- "iwn" (4) tvarkyklė dabar stebi HT apsaugos pakeitimus, susijusius su 11n AP.
- Belaidžio kamino ir kelių vairuotojų agresyvesnis naudojimasis RTS / CTS, kad būtų išvengta pastovių įrenginių ir paslėptų mazgų trikdžių.
- Komanda netstat (1) -W dabar rodo informaciją apie 802.11n įvykius.
- Įjungę "hostap" režimą, dar kartą nenaudokite asociacijų ID, kurie dar yra talpykloje. Pataisyta problema, kai prieigos taškas, naudojant ral (4) tvarkyklę, užstrigtų 1 Mbps, nes Tx dydžio apskaita įvyko netinkamo mazgo objekte.
- Bendrieji tinklo kaminų patobulinimai:
- Dabar maršruto lentelė pagrįsta ART, kuri siūlo greitesnę paiešką.
- Perėjimo maršruto paieškos paketo skaičius sumažintas iki 1 per persiuntimo kelią.
- "VLAN" antraščių priono laukas dabar teisingai nustatomas kiekviename "IPv4" paketo fragmente, kuris išeina iš "vlan" (4) sąsajos.
- Įjungtas prietaiso klonas bpf (4). Tai leidžia sistemai turėti tik vieną "bpf" įrenginio mazgą / dev, kuris teikia paslaugas visoms "bpf" vartotojams (iki 1024).
- Cnmac (4) tvarkyklės Tx eilė dabar gali būti apdorojama lygiagrečiai su likusia branduolio dalimi.
- Tinklo įvesties kelias dabar paleidžiamas gijų kontekste.
- Diegimo programos patobulinimai:
- atnaujintas apribotų naudotojų kodų sąrašas
- "install.sh" ir "upgrade.sh" sujungti į "install.sub"
- atnaujinimas automatiškai paleidžia sysmerge (8) partijos režimu prieš fw_update (1)
- klausimai ir atsakymai registruojami formatu, kuris gali būti naudojamas kaip atsakymo failas, naudojamas automatiškai įdiegti (8)
- / usr / local nustatytas wxallowed
- Routing daemonai ir kiti vartotojų tinklo patobulinimai:
- Pridėkite maršrutų lentelių palaikymą rc.d (8) ir rcctl (8).
- Leiskite nc (1) palaikyti paslaugų pavadinimus, be prievadų numerių.
- Pridėkite -M ir -m TTL vėliavėlių į nc (1).
- Pridėkite AF_UNIX palaikymą prie "tcpbench" (1).
- Ištaisyta regresija rarpd (8). Deimonas galėjo pakabinti, jei jis ilgą laiką buvo nenaudojamas.
- "iflconfig" (8) pridėjo "llprio" parinktį.
- Kelios programos, kurios naudoja bpf (4), buvo pakeistos, kad būtų galima pasinaudoti BPF (4) įrenginio klonavimu, atidarant / dev / bpf0, o ne looping per / dev / bpf * įrenginius. Šios programos apima arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ir tcpdump (8). Libpcap biblioteka taip pat buvo atitinkamai pakeista.
- Apsaugos patobulinimai:
- Dabar W ^ X griežtai laikomasi pagal numatytuosius nustatymus; programa gali ją pažeisti tik tada, kai vykdomasis failas yra pažymėtas PT_OPENBSD_WXNEEDED ir yra failų sistemoje, sumontuotoje su pasirinkta parinktimi mount (8). Kadangi vis dar yra per daug uostų, pažeidžiančių W ^ X, diegėjas prijungia / usr / local filesystem su wxallowed. Tai leidžia bazinei sistemai būti saugesnė, kol / usr / local yra atskira failų sistema. Jei nenaudosite W ^ X programų pažeidimų, apsvarstykite rankiniu būdu atšaukti šią parinktį.
- "setjmp" (3) funkcijų šeima dabar taiko XOR slapukus, kad sukauptų ir grąžintų adresų reikšmes jmpbuf į amd64, hppa, i386, mips64 ir powerpc.
- SROP sušvelninimas: sigreturn (2) dabar gali būti naudojamas tik branduolio pateikto signalo batutu su slapuku, norint aptikti bandymus jį pakartotinai naudoti.
- Siekiant išvengti kodo pakartotinio naudojimo, rc (8) dar kartą sujungia libc.so paleidžiant objektus atsitiktine tvarka.
- "getpwnam" (3) funkcijų šeima pagal nutylėjimą nustoja atidaryti šešėlių duomenų bazę.
- Leisti tcpdump (8) -r paleisti be root privilegijų.
- Pašalinti systrace.
- Pašalinkite "Linux emulation" palaikymą.
- Pašalinkite "usermount" parinkties palaikymą.
- TCP SYN talpyklos laikas nuo laiko atsiranda atsitiktinė hash funkcija. Tai užkerta kelią užpuolikui apskaičiuoti maišos funkcijos paskirstymą laiko atakoje.
- Norėdami dirbti prieš SYN potvynių išpuolius, administratorius gali dabar keisti maišos masyvo dydį. netstat (1) -s-p tcp rodo atitinkamą informaciją norint suderinti SYN talpyklą su sysctl (8) net.inet.tcp.
- Administratorius gali reikalauti šaknies privilegijų prijungimui prie kai kurių TCP ir UDP prievadų su sysctl (8) net.inet.tcp.rootonly ir sysctl (8) net.inet.udp.rootonly.
- Pašalinkite funkcijos žymeklį iš mbuf (9) duomenų struktūros ir naudokite rodyklę vietoj priimtinų funkcijų masyvo.
- įvairūs patobulinimai:
- Siūlų biblioteka dabar gali būti įkelta į vieno sriegio procesą.
- Patobulintas simbolių tvarkymas ir standartų laikymasis "libc". Pavyzdžiui, apibrėžiant atvirą () funkciją nebus trukdoma fopen veikimui (3).
- PT_TLS sekcijos dabar palaikomos iš pradžių įkelto objekto.
- Patobulintas "be kelio" ir "tuščio kelio" tvarkymas fts (3).
- Į pcap (3) pateikite funkcijas pcap_free_datalinks () ir pcap_offline_filter ().
- Daugybė klaidų pataisymų ir struktūrinio valymo redagavimo (3) bibliotekoje.
- Pašalinti senas dbm (3) funkcijas; ndbm (3) išlieka.
- Pridėti "setenv" raktinį žodį, kad galėtumėte atlikti galingesnes aplinkos tvarkymo funkcijas "doas.conf" (5).
- Laiko vietos nustatymui pridėkite -g ir -p parinktis aucat.1.
- Perrašykite audioctl (1) naudodami paprastesnę vartotojo sąsają.
- Pridėkite -F parinktį įdiegti (1) fsync (2) failą prieš jį uždarant.
- Kdump (1) dabar išskleidžia pollfd struktūras.
- Patobulinkite įvairius ksh (1) POSIX atitikties elementus.
- mknod (8) perrašytas į įkeitimą (2) - draugiškas stilius ir vienu metu sukuria kelis įrenginius.
- Įgyvendinti rcctl (8) gauti viską ir getdef visiems.
- Įveskite vėliavą rcs (1) -I (interaktyvi).
- Į rcs (1) įdiekite "Mdocdate" raktinių žodžių pakeitimą.
- Viršuje (1) leiskite filtruoti proceso argumentus, jei jie rodomi.
- Pridėta UTF-8 parama, kad sulaužytumėte (1) ir rev (1).
- Įjunkite UTF-8 pagal numatytuosius nustatymus xterm (1) ir pod2man (1).
- Filtruokite ne ASCII simbolius sienoje (1).
- Daugeliui programų tvarkingai tvarkykite aplinkos kintamąjį COLUMNS.
- Parinktys -c ir -k leidžia pateikti TLS kliento sertifikatus syslogd (8) siuntimo pusėje. Su tuo, kad gaunančioji šalis gali patikrinti, ar žurnale esantys pranešimai yra autentiški. Atkreipkite dėmesį, kad "syslogd" dar neturi šios tikrinimo funkcijos.
- Kai klog buferis užpildomas, syslogd parašys žurnalo pranešimą, kad būtų rodomas kai kurių įrašų trūksta.
- "OpenBSD / octeon" įgalina įrašymo buferinę procesoriaus talpyklą, kad pagerintų našumą.
- pkg_add (1) ir pkg_info (1) dabar supranta filialo sąvoką, kad būtų lengviau pasirinkti kai kuriuos populiarius paketus, pvz., python ar php, pvz., pasakykite pkg_add python% 3.4, kad pasirinktumėte 3.4 filialą ir naudokite pkg_info -zm gaukite neapibrėžtą sąrašą su filialo parinktimi, tinkama pkg_add -l.
- "fdisk" (8) ir "pdisk" (8) iš karto išeina, nebent perduoti simbolį specialų įrenginį
- st (4) teisingai seka dabartinį blokų skaičių kintamojo dydžio blokams
- fsck_ext2fs (8) vėl veikia
- "softraid" (4) tomai gali būti sukonstruoti su diskais, kurių sektoriaus dydis yra ne 512 baitų
- dhclient (8) DECLINE ir pašalins nepanaudotas PASIŪLYMAI.
- dhclient (8) iškart išeina, jei jo sąsaja (pvz., tiltas (4)) grąžina EAFNOSUPPORT kai siunčiamas paketas.
- "httpd" (8) grąžina 400 blogų "HTTP v0.9" užklausų užklausų.
- "fs2" slapto mazgo iniciacija vengia tvarkyti atsitiktinius disko duomenis kaip inode
- Fcntl (2) iššūkiai bazinėse programose naudoja idiomą fcntl (n, F_GETFL) vietoj fcntl (n, F_GETFL, 0)
- lizdas (2) ir accept4 (2) iššūkiai bazinėse programose naudoja SOCK_NONBLOCK, kad pašalintų atskirų fcntl (2) poreikį.
- tmpfs neįgalinta pagal numatytuosius nustatymus
- įkeitimo semantika (2) buvo pagerinta įvairiais būdais. Svarbiausi dalykai yra: naujoji pažadas, leidžiantis įkeistoms programoms nustatyti setugid atributus, griežtesnis "recvfd" pažadų vykdymas ir "chroot" (2) nebeleidžiamos įkeistoms programoms.
- buvo nustatyti keletas įkaitų (2) susijusių klaidų (trūko pažadų, nenumatytų elgesio pokyčių, gedimų), ypač gzip (1), nc (1), sed (1), skeyinit (1), stty (1) ir įvairios su disku susijusios paslaugos, tokios kaip disklabel (8) ir fdisk (8).
- Garsinio (4) tvarkyklės dydžio apskaičiavimo klaidos buvo pašalintos.
- Šiuo metu "usb" (4) tvarkyklė sulaiko tiekėjų ir produktų ID. Nustatoma problema, kai USB diskai (8) iškviečiami į kilpą, dėl kurių USB masinio kaupimo įrenginys sustabdytų operaciją.
- "RSU" (4) ir "ural" (4) vairuotojai dabar vėl dirba, kai jie buvo atsitiktinai sugadinti į 5.9.
- OpenSMTPD 6.0.0
- Sauga:
- Įdiekite fork + exec šabloną smtpd (8).
- Pašalinkite logikos problemą SMTP būsenos mašinoje, dėl kurios gali būti bloga būsena ir sukelti avariją.
- Įkiškite failo žymeklio nuotėkį, dėl kurio gali išsikrauti ištekliai ir sukelti avariją.
- Naudokite automatinius DH parametrus, o ne fiksuotus.
- Išjunkite DHE pagal numatytuosius nustatymus, nes tai yra skaičiavimo brangumas ir potencialus DoS vektorius.
- 6.1 versijoje buvo pateikti šie patobulinimai:
- Suderinamumui su mailx pridėkite -r parinktį smtpd (8) enqueuer.
- pridedant trūkstamą datą arba pranešimo ID, klausydami pateikimo prievado.
- Nustatykite "smtpctl rodymo eilę", nurodantį "negaliojančio" voko būseną.
- Pakeiskite antraštės "Gautas" formatą, kad TLS dalis nepažeistų RFC.
- Padidinkite jungčių, kuriuose leidžiama nustatyti vietinį adresą, skaičių ir sumažinkite vėlesnį sandorių tą pačią sesiją.
- Nustatykite LMTP pristatymą serveriams, grįžtantiems tęsimo eilučių.
- Toliau tobulinkite dar eksperimentinės filtrų API ir ištaisykite įvairias susijusias problemas.
- Pradėkite tobulinti ir suvienodinti žurnalo pranešimų formą.
- Ištaisykite keletą dokumentų neatitikimų ir klaidų žmogaus puslapiuose.
- OpenSSH 7.3
- Sauga:
- sshd (8): sušvelninkite potencialų paslaugos atmetimą sistemos kripto funkcijai (3) per sshd (8). Užpuolikas gali siųsti labai ilgus slaptažodžius, kurie gali sukelti per didelį procesoriaus naudojimą kriptoje (3). sshd (8) dabar atsisako priimti slaptažodžio autentifikavimo užklausas, kurių ilgis didesnis nei 1024 simboliai.
- sshd (8): sušvelninti slaptažodžio autentifikavimo laiko skirtumus, kurie gali būti naudojami siekiant nustatyti galiojančius iš netinkamų paskyrų pavadinimų, kai buvo išsiųsti ilgi slaptažodžiai, ir tam tikri slaptažodžių maišymo algoritmai yra naudojami serveryje. CVE-2016-6210.
- ssh (1), sshd (8): nustatykite stebėjimo laiko silpnumą CBC užpildymo orakulės atsakomiesiems veiksmams. Atkreipkite dėmesį, kad CBC šifrai pagal nutylėjimą yra išjungti ir įtraukti tik į seną suderinamumą.
- ssh (1), sshd (8): Patobulinkite MAC patvirtinimo šifravimo-tada-MAC (EtM) režimo transportavimo MAC algoritmų užsakymą, kad patikrintumėte MAC prieš iššifruoti bet kurį kodavimo kodą. Tai pašalina galimybę laiku atsispindėti faktų apie paprastą tekstą, tačiau tokio nuotėkio nėra žinoma.
- Naujos / pakeistos funkcijos:
- ssh (1): pridėkite parinktį ProxyJump ir atitinkamą -J komandų eilutės vėliavėlę, kad leistumėte supaprastintą nukreipimą per vieną ar daugiau SSH bastionų arba "šokinėkite".
- ssh (1): pridėkite "IdentityAgent" parinktį, kad leistumėte nurodyti konkrečias agento lizdas, o ne priimti jį iš aplinkos.
- ssh (1): leisti ExitOnForwardApskaičiavimas ir "ClearAllForwardings" pasirinktinai panaikinami naudojant ssh -W. (bz # 2577)
- ssh (1), sshd (8): įdiegti IUTF8 terminalo režimo palaikymą pagal draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): pridėkite palaikymą papildomoms fiksuoto Diffie-Hellman 2K, 4K ir 8K grupėms iš draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): palaikykite sertifikatus SHA256 ir SHA512 RSA parašus.
- ssh (1): pridėkite Įtraukimo direktyvą į ssh_config (5) failus.
- ssh (1): leisti UTF-8 simbolius iš serverio išsiųstų iš anksto autentifikavimo banerių. (bz # 2058)
- 6.1 versijoje buvo nustatyti šie svarbūs klaidos:
- Į scp (1) ir sftp (1) neleiskite užsukti terminalo nustatymų, ištrindami baitus, kurie nesudaro ASCII arba UTF-8 simbolių.
- ssh (1), sshd (8): sumažinkite kai kurių santykinai dažnų protokolo įvykių iš LOG_CRIT sistemos lygį. (bz # 2585)
- sshd (8): atmesti autentifikavimo metodus = "" konfigūracijose ir priimti autentifikavimo metodus = bet kokį numatytąjį elgesį, kai nereikia kelių autentiškumo. (bz # 2398)
- sshd (8): Pašalinkite pasenusią ir klaidinančią "GALIMYBĘ BREAK-IN ATTEMPT!" pranešimas, kai pirmyn ir atgalinės DNS neatitinka. (bz # 2585)
- ssh (1): uždarykite ControlPersist fono proceso stderr, išskyrus derinimo režimą arba prisijungdami prie syslog. (bz # 1988)
- misc: Padarykite "PROTOCOL" aprašymą, skirtą tiesioginio srauto@openssh.com kanalo atviriems pranešimams, kad jie atitiktų įdiegtą kodą. (bz # 2529)
- ssh (1): Deduplicate "LocalForward" ir "RemoteForward" įrašai, skirti ištaisyti nesėkmes, kai įjungta "ExitOnForwardFailure" ir "hostname canonicalisation". (bz # 2562)
- sshd (8): pašalinkite atsarginę dalį iš modulių į pasenusią "primes" failą, kuris nebuvo patvirtintas 2001 metais. (bz # 2559)
- sshd_config (5): teisingas "UseDNS" aprašymas: tai turi įtakos ssh hostnamo apdorojimui už authorized_keys, not known_hosts. (bz # 2554)
- ssh (1): fiksuokite autentifikavimą naudodamiesi vieninteliu sertifikato raktų agentu be atitinkamų privačių raktų failų sistemoje. (bz # 2550)
- sshd (8): siųsti ClientAliveInterval pings, kai yra nustatytas laiko nustatytas RekeyLimit; anksčiau palaikomi paketai nebuvo išsiųsti. (bz # 2252)
- OpenNTPD 6.0
- Nurodžius vieną "apribojimą", išbandykite visus grąžintus adresus, kol pasieksite vieną, o ne pirmą grąžintą adresą.
- Atšaukti apribojimų klaidų skirtumą proporcingai NTP lygiaverčių skaičiui, vengti nuolatinių pakartotinių jungčių, kai yra blogo NTP lygiaverčio.
- Pašalinta išjungta "hotplug" (4) jutiklio atrama.
- Pridėta parama, skirta aptikti avarijas apribojimų pogrupiuose.
- perkėlė apribojimų vykdymą iš "ntp" proceso į tėvų procesą, leidžiantį geriau privilegijuoti atskyrimą, nes "ntp" procesas gali būti dar labiau apribotas.
- Ištaisytas didelis procesoriaus naudojimas, kai tinklas išjungtas.
- Ištaisyta įvairios atminties nutekėjimas.
- Nustatyta, kad skaičiuojant jitter yra RMS.
- Vieningos registravimo funkcijos su kitomis "OpenBSD" bazinėmis programomis.
- Nustatykite MOD_MAXERROR, kad išvengtumėte nesinchronizuoto laiko būklės, kai naudojate ntp_adjtime.
- Ištaisyta HTTP laiko žymos antraštė, kurios analizė naudojama "strptime" (3).
- griežta TLS už ntpd (8) apribojimus, leidžianti patvirtinti serverio vardą
- LibreSSL 2.4.2
- Naudotojui matomos funkcijos:
- Diekio nukreipimo taške ištaisytos trūkstamos manpageowania nuorodos.
- cert.pem buvo pertvarkytas ir sinchronizuotas su "Mozilla" sertifikatų saugykla.
- Patikros nustatymas, koreguojant klaidą, kai analizuojami tam tikri ASN.1 elementai, kurių dydis viršija 16k.
- Įgyvendino IETF ChaCha20-Poly1305 šifravimo apartamentus.
- Ištaisyta slaptažodžio parama iš "openssl" (1), kad būtų tinkamai tvarkoma ^ C.
- Kodo patobulinimai:
- Ištaisyta "nginx" suderinamumo problema pridedant "install_sw" kūrimo tikslą.
- Pakeistas numatytasis EVP_aead_chacha20_poly1305 (3) įdiegimas į IETF versiją, kuri dabar yra numatytoji.
- Ištaisyta klaidų apdorojimas libtls, todėl konfigūravimo klaidos yra labiau matomos.
- Pridėjo trūkstamų klaidų tvarkymą apie bn_wexpand (3) skambučius.
- Pridėjo explicit_bzero (3) skambučius išlaisvinti ASN.1 objektai.
- Fiksuotos X509_ * set_object funkcijos, jei norite grąžinti 0 skirstymo gedimui.
- Neteisėtas vidinis EVP_ [Cipher | Šifruoti | iššifruoti] _Final.
- Ištaisyta problema, dėl kurios DSA pasirašymo algoritmas neveikia pastoviu laiku, net jei nustatyta vėliava BN_FLG_CONSTTIME.
- Ištaisyta keletas OCSP kodo problemų, dėl kurių gali būti neteisingai sukuriama ir analizuojama OCSP užklausa. Tai atkuriama, kai trūksta klaidų tikrinant laiko analizę šiose funkcijose ir užtikrina, kad OCSP priimami tik GENERALIZEDTIME formatai, kaip nurodyta RFC 6960.
- Nustatyti šie CVE:
- CVE-2016-2105-EVP_EncodeUpdate overflow.
- CVE-2016-2106-EVP_EncryptUpdate perpildymas.
- CVE-2016-2107-papildomas orakulas, patikrintas AES-NI CBC MAC.
- CVE-2016-2108-memory corruption in ASN.1 encoder.
- CVE-2016-2109-ASN.1 BIO per didelė atminties paskirstymo dalis.
- Uostai ir paketai:
- Naujas proot (1) įrankis, esantis uostų medyje paketų kūrimui "chroot".
- Daugelis iš anksto sukurtų kiekvienos architektūros paketų:
- alfa: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Kai kurie svarbiausi dalykai:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 ir 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Pradėti 1.6.3
- Groff 1.22.3
- JDK 7u80 ir 8u72
- KDE 3.5.10 ir 4.14.3 (kartu su pagrindiniais atnaujinimais KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 ir 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- "Mozilla Firefox 45.2.0esr" ir 47.0.1
- "Mozilla Thunderbird 45.2.0"
- Mutt 1.6.2
- Node.js 4.4.5
- "Ocaml 4.3.0"
- OpenLDAP 2.3.43 ir 2.4.44
- PHP 5.5.37, 5.6.23 ir 7.0.8
- Postfix 3.1.1 ir 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 ir 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 ir 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 ir 8.6.4
- "TeX Live 2015"
- Vim 7.4.1467
- Xfce 4,12
- Kaip įprasta, nuolatiniai rankinių puslapių ir kitų dokumentų patobulinimai.
- Sistemoje yra šie pagrindiniai išorinių tiekėjų komponentai:
- Xenocara (pagrįstas X.Org 7.7 su xserver 1.18.3 + pleistrais, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 ir dar daugiau)
- GCC 4.2.1 (+ pataisos) ir 3.3.6 (+ pataisos)
- "Perl 5.20.3 (+ patch)"
- SQLite 3.9.2 (+ patch)
- NSD 4.1.10
- Apribojimų nėra. 1.5.9.
- Ncurses 5.7
- Binutils 2.17 (+ pataisos)
- Gdb 6.3 (+ pleistrai)
- Awk 2011 m. rugpjūčio 10 d. versija
- Expat 2.1.1
"sdmmc (4), rtsx (4), sdhc (4) ir imxesdhc (4) buvo pridėta parama didesniems autobusų pločiams, didelės spartos režimams ir DMA perdavimams.
Įdiegimo metu
Komentarai nerastas