OpenBSD

צילום מסך תוכנה:
OpenBSD
פרטי תוכנה:
גרסה: 6.3 מעודכן
טען תאריך: 17 Aug 18
מפתחים: OpenBSD Team
רשיון: ללא תשלום
פופולריות: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD הוא פרויקט חינמי המספק מערכת הפעלה אוניקסית רב-פלטפורמתית, ניידת, יעילה, מאובטחת ומבוססת על פלטפורמת 4.4BSD. זהו מוצר שרת רב עוצמה המשמש מאות אלפי מחשבים ברחבי העולם.


זמינות, אפשרויות אתחול, פלטפורמות נתמכות

מערכת ההפעלה זמינה באופן חופשי להורדה מקטע ייעודי (ראה לעיל) כתמונות ISO או חבילות בינאריות המאפשרות למשתמשים להתקין אותו ברשת. תמונות ISO ניתן לצרוב על גבי תקליטורי CD, אתחול ישירות מן ה- BIOS של רוב המחשבים.

OpenBSD תומך בהדמיה בינארית של רוב התוכנות מ SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS ו- HP-UX. זה יכול להיות מותקן על מגוון רחב של ארכיטקטורות, כולל i386, sparc64, אלפא, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, שעווה, mips64, ו mips64el.

תמונת התקליטור מופעלת באופן אוטומטי ללא אינטראקציה עם המשתמש ותשאל אותם אם הם רוצים להתקין, לשדרג או להתקין את מערכת ההפעלה באופן אוטומטי, כמו גם כדי להוריד באופן ידני את הפקודה.

התקנה ידנית או אוטומטית

התקנה סטנדרטית (קריאה ידנית) תדרוש מהמשתמשים לבחור פריסת מקלדת, להגדיר את שם המארח, לבחור ממשק רשת ולהגדיר אותו עם IPv4 ו / או IPv6 וכן כדי להגדיר סיסמה חדשה לשורש ( מנהל מערכת).

בנוסף, באפשרותך לבחור להפעיל את שירותי SSH ו- NTP כאשר המערכת מופעלת, בחר אם ברצונך להשתמש במערכת X Window או לא, להגדיר משתמש, לבחור אזור זמן, לחלק את כונן הדיסק ולהתקין ערכות .

בין חבילות התוכנה הכלולות עבור OpenBSD, אנו יכולים להזכיר את סביבות שולחן העבודה של GNOME, KDE ו- Xfce, השרתים MySQL, PostgreSQL, Postfix ו- OpenLDAP, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim ו- Chromium, כמו גם את שפת התכנות PHP, Python, Ruby, Tcl / Tk, JDK, Mono ו- Go.


שורה תחתונה

לסיכום, OpenBSD היא מערכת הפעלה BSD / UNIX מוכוונת שרתים בעלת עוצמה גבוהה, המספקת לנו תוכנות מתקדמות, כולל OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED ומנדוק.

מה חדש במהדורה זו:

  • תמיכה משופרת בחומרה, כולל:
  • תמיכה ב- SMP בפלטפורמות OpenBSD / arm64.
  • תמיכת VFP ו- NEON בפלטפורמות OpenBSD / armv7.
  • מנהל התקן acrtc חדש (4) עבור קודק שמע מסוג X-Powers AC100 ו- Real Time Clock.
  • מנהל התקן axppmic חדש (4) עבור מעגלים משולבים של Power X-Powers AXP.
  • מנהל התקן חדש של bcmrng (4) עבור ברודקום BCM2835 / BCM2836 / BCM2837 מחולל מספרים אקראיים.
  • מנהל התקן חדש של bcmtemp (4) עבור צג הטמפרטורה של Broadcom BCM2835 / BCM2836 / BCM2837.
  • מנהל התקן חדש של bgw (4) עבור חיישן תנועה של Bosch.
  • מנהל התקן חדש של bwfm (4) עבור התקנים של Broadcom ו- Cypress FullMAC 802.11 (עדיין ניסיוני ולא נאסף לתוך הקרנל כברירת מחדל)
  • מנהל התקן efi חדש (4) עבור שירותי ריצה של EFI.
  • הנהג החדש imxanatop (4) עבור i.MX6 הרגולטור משולב.
  • מנהל התקן חדש עבור rkpcie (4) עבור Rockchip RK3399 Host / PCIe Bridge.
  • מנהל התקן חדש sxirsb (4) עבור Allwinner בקר אוטובוס טורי מופחת.
  • מנהל התקן sxitemp (4) חדש עבור צג הטמפרטורה Allwinner.
  • מנהל התקן sxits חדש (4) עבור חיישן טמפרטורה על בקר Allwinner A10 / A20.
  • מנהל התקן חדש (4) עבור אוטובוס דו-תכליתי שנמצא במספר SoCs Allwinner.
  • מנהל התקן חדש של sypwr (4) עבור הווסת של Silergy SY8106A.
  • תמיכה ב- Rockchip RK3328 SoCs נוספה ל- dwge (4), rkgrf (4), rkclock (4) ו- rkpinctrl (4) נהגים.
  • תמיכה ב- RockTip RK3288 / RK3328 SoCs נוספה לנהג rktemp (4).
  • תמיכה עבור Allwinner A10 / A20, A23 / A33, A80 ו R40 / V40 SoCs נוספה sxiccmu (4) הנהג.
  • תמיכה עבור Allwinner A33, GR8 ו- R40 / V40 SoCs נוספה לנהג sxipio (4).
  • תמיכה SAS3.5 MegaRAIDs נוספה אל mfii (4) הנהג.
  • תמיכה עבור אינטל קנון אגם קרח אגם משולב אתרנט נוספה אל אותם (4) הנהג.
  • cnmac (4) יציאות מוקצות עכשיו כדי ליבות CPU שונות עבור עיבוד פסיקה מופצת.
  • PMS (4) הנהג עכשיו מזהה ומטפל הכרזות לאפס.
  • המיקרו מעבד amd64 אינטל נטען על אתחול והתקנה / עודכן על ידי fw_update (1).
  • תמיכה ב- API של ה- cookie של Sun4v hypervisor, תוך הוספת תמיכה למכונות SPARC T7-1 / 2/4.
  • תמיכה Hibernate נוספה עבור SD / MMC אחסון המחוברים SDHC (4) בקרי.
  • clang (1) משמש כעת כמערכת מהדר על armv7, והוא מסופק גם על sparc64.
  • VMM (4) / VMD (8) שיפורים:
  • להוסיף CD-ROM / DVD ISO תמיכה VMD (8) באמצעות vioscsi (4).
  • vmd (8) אינו יוצר עוד ממשק גשר בסיסי עבור בוררים וירטואליים המוגדרים ב- vm.conf (5).
  • vmd (8) מקבל מידע על מתג (rdomain, וכו ') מממשק מתג בסיסי, בשילוב עם ההגדרות ב- vm.conf (5).
  • תמיכת מונה חותמת זמן (TSC) ב- VM של אורחים.
  • תמיכה ב- ukvm / solo5 unikernels ב- vmm (4).
  • טיפול בקידודי הדרכה תקפים (אך נדיר).
  • תמיכה טובה יותר בהחלפת PAE ל- VM של 32 סיביות של Linux.
  • vmd (8) מאפשר כעת עד ארבעה ממשקי רשת בכל VM.
  • הוסף הגירה מושהית ותמיכה בזיכרון עבור vmm (4) עבור מארחים מסוג AMD SVM / RVI.
  • BREAK פקודות שנשלחו מעל pty (4) מובנות כעת על-ידי vmd (8).
  • תיקונים רבים לטיפול ב- vmctl (8) ו- vmd (8).
  • שיפורים אלחוטיים של IEEE 802.11:
  • מנהלי ההתקן iwm (4) ו- iwn (4) יסתובבו באופן אוטומטי בין נקודות גישה החולקות ESSID. אילוץ כתובת MAC מסוימת של AP עם פקודת bssid של ifconfig משבית נדידה.
  • נקה באופן אוטומטי את התצורה של WEP / WPA כאשר התצורה של רשת ESSID חדשה נקבעה.
  • הסיר את היכולת עבור Userland לקרוא את התצורה של מפתחות WEP / WPA בחזרה מהקרנל.
  • מנהל ההתקן iwm (4) יכול להתחבר כעת לרשתות באמצעות SSID מוסתר.
  • התקני USB הנתמכים על ידי מנהל ההתקן של אתן (4) משתמשים כעת בקושחה בקוד פתוח, ומצב Hostap פועל כעת עם התקנים אלה.
  • שיפורים גנריים ברמת הרשת:
  • ערימת הרשת אינה פועלת עוד עם KERNEL_LOCK () כאשר IPsec מופעל.
  • עיבוד מנות TCP / UDP נכנסות נעשה כעת ללא KERNEL_LOCK ().
  • משימת השחזור של השקע פועלת ללא KERNEL_LOCK ().
  • ניקוי והסרת קוד ב- sys / netinet6 מאחר שההצגה האוטומטית מופעלת כעת ב- Userland.
  • Bridge (4) חברים יכולים כעת למנוע לדבר זה עם זה עם אפשרות חדשה מוגנת.
  • המאפיין pf-dist-pack מנותק. אפשרות שקע ה- IP_DIVERTFL הוסרה מהפניה (4).
  • מקרים שונים בפינה של ההעתקה pf-to ו- dvert-response הם עקביים יותר כעת.
  • אכיף ב- pf (4) שכל ערכות הגילוי של השכן יש 255 בשדה ההגבלות של כותרת IPv6.
  • אפשרות חדשה של סינכרון מוגדר ב- pf.conf (5).
  • תמיכה ב- GRE over IPv6.
  • מנהל התקן חדש של Ethernet (4) עבור Ethernet דרך מנהרות GRE.
  • תמיכה בכותרת מפתח GRE אופציונלית ובאנטרופיה מפתח GRE ב gre (4) ו egre (4).
  • מנהל התקן nvgre חדש (4) עבור וירטואליזציית רשת באמצעות אנקפסולציה של ניתוב כללי.
  • תמיכה בקביעת התצורה של מנות הדגל 'אל תשבץ', הממוקמות על-ידי ממשקי מנהרה.
  • שיפורים במתקין:
  • אם install.site או upgr.site נכשל, להודיע ​​למשתמש ואת השגיאה לאחר אחסון rand.seed.
  • מאפשר סימון CIDR בעת הזנת כתובות IPv4 ו- IPv6.
  • תיקון תיקון של מראה HTTP מרשימת המראות.
  • allow '-' בשמות משתמש.
  • שאל שאלה בסוף תהליך ההתקנה / השדרוג, כך שחזרת ההובלה תגרום לפעולה המתאימה, למשל. אתחול מחדש.
  • להציג את מצב ההנפקה (התקנה או שדרוג) כל עוד לא ידוע שם מארח.
  • מזהה כראוי איזה ממשק כולל את נתיב ברירת המחדל, ואם הוא הוגדר באמצעות DHCP.
  • ניתן לוודא שקבוצות ניתנות לקריאה מאזור Prefetch.
  • ודא שהניתוב מחדש של כתובות אתרים יעיל עבור התקנה / שדרוג שלמות.
  • הוסף את פרוקסי ה- HTTP המשמש בעת אחזור קבוצות ל- rc.firsttime, כאשר fw_update ו- syspatch יכולים למצוא אותו ולהשתמש בו.
  • הוסף לוגיקה לתמיכה ב- RFC 7217 עם SLAAC.
  • ודא ש- IPv6 מוגדר עבור ממשקי רשת שנוצרו באופן דינמי כמו vlan (4).
  • צור שם מארח נכון כאשר הן שם התחום והן אפשרויות החיפוש של התחום מסופקים בחוזה DHCP.
  • דמוני ניתוב ושיפורים אחרים ברשת של Userland:
  • bgpctl (8) יש אפשרות חדשה ssv אשר פלט ערכי צלעות כמו נקודה פסיק אחד מופרד כמו לבחירה לפני הפלט.
  • slaacd (8) מייצר כתובות IPv6 אקראיות אך יציבות ללא שינוי, בהתאם ל- RFC 7217. אלה מופעלות לפי ברירת המחדל בהתאם ל- RFC 8064.
  • slaacd (8) עוקב אחר RFC 4862 על-ידי הסרת הגבלה מלאכותית על קידומות בגודל 64 באמצעות RFC 7217 (אקראית אך יציבה) ו- RFC 4941 (פרטיות), כתובות autoconfiguration ללא סגנון.
  • ospfd (8) יכול כעת להגדיר את הערך עבור נתיב, בהתאם למצב של ממשק.
  • ifconfig (8) יש אפשרות staticarp חדשה כדי להפוך ממשקי תשובה לבקשות ARP בלבד.
  • ipsecctl (8) יכול כעת לכווץ פלטי זרימה בעלי אותו מקור או יעד.
  • האפשרות -n ב- netstart (8) כבר לא מתעסקת במסלול ברירת המחדל. הוא מתועד כעת גם כן.
  • שיפורים בביטחון:
  • השתמש בזחלות מלכודות רבות יותר על ארכיטקטורות שונות.
  • שימוש נוסף ב - rdata עבור משתנים קבועים במקור ההרכבה.
  • הפסק להשתמש ב- x86 & quot; repz ret & quot; בפינות מאובקות של העץ.
  • הציג & quot; execpromises & quot; (2).
  • השירות elfrdsetroot המשמש לבניית ramdisks ואת תהליך הריבאונד (8) ניטור עכשיו להשתמש התחייבות (2).
  • היכונו להכנסת MAP_STACK ל- mmap (2) לאחר 6.3.
  • דחף קטע קטן של טקסט ליבה מקושר ל- KARL לתוך מחולל המספרים האקראיים כאנטרופיה בעת ההפעלה.
  • שים פער אקראי קטן בחלק העליון של ערימות פתיל, כך לתוקפים יש עוד חישוב כדי לבצע את העבודה ROP שלהם.
  • הפחתת הפגיעות של Meltdown עבור מעבדי Intel amd64.
  • OpenBSD / arm64 משתמש כעת בבדיקת טבלת עמוד הליבה כדי לצמצם את ההתקפות של Specter variant 3 (Meltdown).
  • OpenBSD / armv7 ו- OpenBSD / arm64 משטיפים כעת את מאגר היעד של המעגל (BTB) על מעבדים שעושים ביצוע ספקולטיבי כדי להקטין את וריאנט ספקטר 2.
  • pool_get (9) מטריד את סדר הפריטים בדפים שהוקצו לאחרונה, מה שהופך את פריסת ערימת הקרנל קשה לחיזוי.
  • שיחת המערכת fktrace (2) נמחקה.
  • dhclient (8) שיפורים:
  • ניתוח dhclient.conf (5) כבר אינו מדלג מחרוזות SSID, מחרוזות ארוכות מדי למאגר הניתוח או לאופציות מחרוזת ולפקודות חוזרות.
  • אחסון חכירות ב- dhclient.conf (5) אינו נתמך עוד.
  • 'DENY' אינו חוקי עוד ב- dhclient.conf (5).
  • dhclient.conf (5) ו- dhclient.leases (5) הודעות שגיאה ניתחו ופורטו, עם התנהגות משופרת בנוכחות פסיק לא צפוי.
  • טיפול נוסף מתבצע רק כדי להשתמש במידע תצורה שננתח בהצלחה.
  • 'n' נוספה, מה שגורם dhclient (8) כדי לצאת לאחר ניתוח dhclient.conf (5).
  • נתיבי ברירת המחדל באופציות ללא נתיבים סטאטיים-סטטיים (121) ובנתיבים סטטיים-מס-סטטיים (249) מוצגים כעת בצורה נכונה ב- dhclient.leases (5) קבצים.
  • החלף את הקובץ שצוין ב- '-L' במקום לצרף אותו.
  • חכירות ב- dhclient.leases (5) מכילות כעת מאפיין 'תקופה' המתעד את הזמן שבו התקבל החכירה, המשמש לחישוב ההתחדשות הנכונה, זמני החידוש והפקיעה.
  • לא עוד לנדנד על קו תחתון בשמות המפרים את RFC 952.
  • ללא תנאי, שלח מידע על שם המארח בעת בקשת החוזה, תוך ביטול הצורך ב- dhclient.conf (5) בהתקנת ברירת המחדל.
  • להיות שקט כברירת מחדל. '-q' הוסר ו- '-v' נוסף כדי לאפשר רישום יומן.
  • דחה הצעות כפולות עבור הכתובת המבוקשת.
  • ללא תנאי נכנסים אל הרקע לאחר שניות הקצאת הקישור.
  • להפחית באופן משמעותי את הרישום כאשר הוא שקט, אך בצע '-v' רישום של כל המידע debug ללא צורך לקובץ הפעלה מותאמת אישית.
  • התעלם מהצהרות 'ממשק' ב- dhclient.leases (5) ונניח שכל החכירות בקובץ הן עבור הממשק שהוגדר.
  • הצג את מקור החוזה הכרוך בממשק.
  • 'התעלם', 'בקשה' ו'דרוש 'ב- dhclient.conf (5) כעת הוסף את האפשרויות שצוינו לרשימה הרלוונטית במקום להחליף את הרשימה.
  • בטל את מירוץ האתחול שיכול לגרום ל- dhclient (8) לצאת מבלי להגדיר את הממשק.
  • שיפורים שונים:
  • ארגון מחדש של קוד ושיפורים אחרים ב- malloc (3) וחברים כדי להפוך אותם ליעילים יותר.
  • בעת ביצוע פעולות השעיה או שינה, ודא שכל מערכות הקבצים מסונכרנות כראוי ומסומנות כנקיות, או אם לא ניתן להכניס אותן למצב נקי לחלוטין בדיסק (עקב פתיחת קבצים לא מקושרים), ולאחר מכן לסמן אותם מלוכלכים, / unhibernate מובטחת לבצע fsck (8).
  • acme-client (1) מבצע בדיקה אוטומטית של כתובת האתר של ההסכם וממשיך בהפניות HTTP של 30x.
  • נוסף __cxa_thread_atexit () כדי לתמוך בשרשרות מודרניות של C ++.
  • הוספת תמיכה EVFILT_DEVICE ל- kqueue (2) למעקב אחר שינויים ב- drm (4) התקנים.
  • ldexp (3) מטפל כעת בצורה נכונה בסימן המספרים הגנומיים ב- mips64.
  • סינקוס חדש (3) פונקציות ב libm.
  • fdisk (8) מבטיח כעת את תקפות המחיצה של מחיצות ה- MBR שהוזנו במהלך עריכה.
  • fdisk (8) מבטיח כעת כי ערכי ברירת המחדל נמצאים בטווח התקף.
  • פחות (1) מפצל כעת רק את משתנה הסביבה LESS ב- '$'.
  • פחות (1) לא יוצר עוד קובץ מזויף כאשר הוא נתקל ב- '$' בפקודה ההתחלתית.
  • softraid (4) מאמת כעת את מספר הגושים בעת הרכבה של אמצעי אחסון, וודא שהמטא נתונים שבדיסק ובזיכרון נמצאים בסנכרון.
  • disklabel (8) מציע תמיד לערוך גודל של מחיצת FFS לפני שהוא מציע לערוך את blockize.
  • disklabel (8) מאפשר כעת לערוך את התכונה צילינדרים / קבוצות (cpg) בכל פעם שניתן לערוך את המחיצה של המחיצה.
  • disklabel (8) מזהה כעת ^ D וקלט לא חוקי במהלך פקודות השווה (R).
  • disklabel (8) מזהה כעת תת-זרימות וגלישה כאשר מפעילים / + + משמשים.
  • disklabel (8) נמנע כעת מחיפוש אחד על-ידי חישוב מספר הצילינדרים בחתיכה חופשית.
  • disklabel (8) מאמת כעת את גודל המחיצה המבוקש כנגד גודל הנתב החינמי הגדול ביותר במקום השטח הפנוי הכולל.
  • תמיכה בהטלת העברות USB דרך bpf (4).
  • tcpdump (8) יכול כעת להבין מזבלות של העברות USB בפורמט USBPcap.
  • ברירת המחדל של csh (1), ksh (1) ו- sh (1) כוללת כעת את שם המארח.
  • הקצאת הזיכרון ב- ksh (1) הועברה מ- calloc (3) חזרה ל- malloc (3), ובכך קל יותר לזהות זיכרון לא מאותחל. כתוצאה מכך, התגלה באג הקשור להיסטוריה במצב עריכה של emacs ונקבע.
  • אפשרות Script חדשה (1) -c כדי להפעיל פקודה במקום פגז.
  • אפשרות חדשה של grep (1) -m להגבלת מספר ההתאמות.
  • אפשרות Uniq חדשה (1) -i להשוואה ללא רגישות.
  • מחרוזת הפורמט של printf (3) אינה מאומתת עוד כאשר מחפשים פורמטים%. מבוסס על התחייבות של אנדרואיד ומעקב אחר רוב מערכות ההפעלה האחרות.
  • בדיקת שגיאות משופרת ב- vfwprintf (3).
  • תוכניות בסיס רבות נבדקו ותוקנו עבור מתארי קבצים מעופשים, כולל cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) ו- sshd (8). >
  • תיקוני באגים שונים ושיפורים ב- jot (1):
  • הוסרו מגבלות אורך שרירותי עבור הארגומנטים עבור האפשרויות -b, -s, -w.
  • מזהה הפורמט% F נתמך כעת ופורסם באג בפורמט% D.
  • כיסוי קוד טוב יותר בבדיקות רגרסיה.
  • תוקפו מספר הצפות של מאגר.
  • התיקון (1) כלי השירות מתמודד טוב יותר עם הבדל git שיוצר או מוחק קבצים.
  • pkg_add (1) קיבל כעת תמיכה משופרת במנהלי HTTP (S), כגון cdn.openbsd.org.
  • ftp (1) ו- pkg_add (1) תומך כעת בהפעלה של HTTPS להפעלה משופרת.
  • mandoc (1) -T PS פלט גודל הקובץ מופחת על ידי יותר מ 50%.
  • syslogd (8) יומני אם היו אזהרות במהלך ההפעלה.
  • syslogd (8) הפסיק להיכנס לקבצים במערכת קבצים מלאה. עכשיו הוא כותב אזהרה וממשיך אחרי החלל נעשה זמין.
  • vmt (4) מאפשר כעת שיבוט ולקחת תמונות של דיסק בלבד של אורחים רצים.
  • OpenSMTPD 6.0.4
  • הוסף אפשרות הליכה ב- spf ל- smtpctl (8).
  • ניקיון ושיפורים שונים.
  • תיקונים ושיפורים רבים בדף ידני.
  • OpenSSH 7.7
  • תכונות חדשות / שונו:
  • הכל: הוסף תמיכה ניסיונית למפתחות PQC XMSS (חתימות מורחבות המבוססות על Hash) בהתבסס על האלגוריתם המתואר https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures 12 קוד החתימה של XMSS הוא ניסיוני ולא מלוקט כברירת מחדל.
  • sshd (8): הוסף & quot; rdomain & quot; קריטריונים עבור מילת המפתח התאמה של sshd_config כדי לאפשר תצורה מותנית שתלויה באיזה תחום ניתוב התקבל חיבור (הנתמך כרגע ב- OpenBSD ו- Linux).
  • sshd_config (5): הוסף מאפיין rdomain אופציונלי להנחיה של ListenAddress כדי לאפשר הקשבה לדומיינים שונים של ניתוב. זה נתמך רק על OpenBSD ו- Linux כרגע.
  • sshd_config (5): הוסף הוראת RDomain כדי לאפשר הפעלה של הפגישה המאומתת בתחום ניתוב מפורש. זה נתמך רק על OpenBSD כרגע.
  • sshd (8): הוסף & quot; זמן תפוגה & quot; אפשרות עבור קבצים מורשים_מקיצים כדי לאפשר מפתחות שפג תוקפם.
  • ssh (1): הוסף אפשרות BindInterface כדי לאפשר חיבור של חיבור יוצא לכתובת ממשק (בינדאדרס ביסודו).
  • ssh (1): לחשוף את המכשיר המוקצה עבור Tun / הקש הקש באמצעות הרחבה חדשה% T עבור LocalCommand. זה מאפשר LocalCommand לשמש כדי להכין את הממשק.
  • sshd (8): לחשוף את המכשיר שהוקצה עבור העברת Tun / הקש באמצעות משתנה סביבה חדש SSH_TUNNEL. זה מאפשר התקנה אוטומטית של הממשק ותצורת הרשת שמסביב באופן אוטומטי בשרת.
  • ssh (1) / scp (1) / sftp (1): הוסף תמיכת URI ל- ssh, sftp ו- scp, לדוגמה. ss: // משתמש @ מארח או sftp: // משתמש @ מארח / נתיב. פרמטרי חיבור נוספים המתוארים בטיוטת dietf-secsh-scp-sftp-ssh-ur-04 אינם מיושמים מאחר שתבנית טביעת האצבע של SSH בטיוטה משתמשת ב- Hash MD5 שהוצא משימוש ללא כל דרך לציין את האלגוריתם האחר.
  • ssh-keygen (1): אפשר מרווחי תוקף תעודה המציינים רק זמן התחלה או עצירה (במקום שניהם או לא).
  • sftp (1): אפשר & quot; תקליטור & quot; ו- & quot; lcd & quot; פקודות ללא ארגומנט נתיב מפורש. LCD ישתנה לספריית הבית של המשתמש המקומי כרגיל. cd ישתנה לספריית ההתחלה עבור ההפעלה (מכיוון שהפרוטוקול אינו מציע דרך להשיג את ספריית הבית של המשתמש המרוחק). bz # 2760
  • sshd (8): בעת ביצוע בדיקת תצורה עם sshd-T, נדרש רק את התכונות המשמשות בפועל בקריטריונים של התאמה במקום (רשימה חלקית של) כל הקריטריונים.
  • הבאגים המשמעותיים הבאים תוקנו במהדורה זו:
  • ssh (1) / sshd (8): יותר בקפידה לבדוק סוגי חתימה במהלך החלפת מפתח נגד מה היה משא ומתן. מונע שדרוג לאחור של חתימות RSA שנעשו עם SHA-256/512 ל- SHA-1.
  • sshd (8): תקן תמיכה עבור לקוח שמפרסם גרסת פרוטוקול של & quot; 1.99 & quot; (המציין כי הם מוכנים לקבל הן SSHv1 ו SSHv2). זה היה שבור OpenSSH 7.6 במהלך הסרת תמיכה SSHv1. bz # 2810
  • ssh (1): הזהר כאשר הסוכן מחזיר חתימה ssh-rsa (SHA1) כאשר נדרשת חתימה rsa-sha2-256 / 512. מצב זה אפשרי כאשר סוכן ישן או שאינו OpenSSH נמצא בשימוש. bz # 2799
  • ssh-agent (1): תקן רגרסיה להכניס ב 7.6 שגרם ssh- סוכן לצאת באופן קטלני אם הציג הודעה בקשה חתימה לא חוקית.
  • sshd_config (5): קבל כן / לא דגל אפשרויות במקרה insensitively, כפי שהיה במקרה ssh_config (5) במשך זמן רב. bz # 2664
  • ssh (1): שיפור דיווח שגיאות עבור כשלים במהלך החיבור. בנסיבות מסויימות נעשו טעויות מטעות. bz # 2814
  • ssh-keyscan (1): אפשרות Add -D כדי לאפשר הדפסה של תוצאות ישירות בפורמט SSHFP. bz # 2821
  • בדיקות רגרס: לתקן את הבדיקה InterTTY interop שבור הסרת SSHv1 של המהדורה האחרונה. bz # 2823
  • ssh (1): תיקון תאימות עבור חלק מהשרתים שמוטטים את החיבור בטעות בעת שליחת האפשרות IUTF8 (RFC8160).
  • scp (1): השבת את RemoteCommand ו- RequestTTY ב- ssh session שהתחיל scp (sftp כבר עשה זאת).
  • ssh-keygen (1): סרב ליצור אישור עם מספר בלתי שמיש של מנהלים.
  • ssh-keygen (1): יציאה חולנית אם ssh-keygen אינו מסוגל לכתוב את כל המפתח הציבורי במהלך יצירת מפתח. בעבר זה היה להתעלם בשתיקה שגיאות כתיבת ההערה וסיום newline.
  • ssh (1): אל תשנה את הארגומנטים של המארח שהם כתובות על ידי לחיצה אוטומטית על אותיות קטנות. במקום זאת, הם יכולים לפתור בעיות דו-משמעותיות (לדוגמה: 0001 = & gt; :: 1) לפני שהם מותאמים ל- known_hosts. bz # 2763
  • ssh (1): אל תקבל ג 'אנק אחרי & quot; כן & quot; או & quot; לא & quot; תגובות להודעות hostkey. bz # 2803
  • sftp (1): יש לך אזהרה על ניקיון הקליפה בעת פענוח המנה הראשונה נכשל, אשר נגרמת בדרך כלל על ידי פגזים מזהמים סטאוט של סטארט-אפים לא אינטראקטיביים. bz # 2800
  • ssh (1) / sshd (8): החלף את השעון בקוד המנות מהשימוש בזמן שעון הקיר לזמן מונוטוני, ומאפשר לשכבת המנות לתפקד טוב יותר על פני השעון ולהימנע מגלישת מספרים שלמים אפשריים במהלך השלבים. >
  • תיקונים ושיפורים רבים בדף ידני.
  • LibreSSL 2.7.2
  • תמיכה נוספת עבור רבים ממשקי API של OpenSSL 1.0.2 ו- 1.1, בהתבסס על תצפיות של שימוש בעולם האמיתי ביישומים. יישומים אלה מיושמים במקביל לממשקי API קיימים של OpenSSL 1.0.1 - שינויים בחשיפה לא בוצעו על מבנים קיימים, המאפשרים לקוד שנכתב עבור ממשקי API ישנים להמשיך לפעול.
  • תיקונים נרחבים, שיפורים ותוספות לתיעוד ה- API, כולל ממשקי API ציבוריים חדשים מ- OpenSSL ללא תיעוד קיים.
  • תמיכה נוספת עבור אתחול הספריה האוטומטית ב- libcrypto, libssl ו- libtls. תמיכה pthread_once או שווה ערך נדרש כעת של מערכת ההפעלה היעד. בתור תופעת לוואי, התמיכה המינימלית של Windows היא Vista או גבוהה יותר.
  • המרת שיטות עיבוד מנות נוספות ל- CBB, אשר משפרת גמישות בעת יצירת הודעות TLS.
  • הטיפול המשולב בתוסף TLS מחדש, שיפור עקביות של בדיקות עבור תוספים בעלי מבנה פגום או כפול.
  • חזור על ASN1_TYPE_ {get, set} _octetstring () באמצעות ASN.1 בתבנית. פעולה זו מסירה את השימוש האחרון שנותר במאקרו הישנים של M_ASN1_ * (asn1_mac.h) מ- API שעליו להמשיך להתקיים.
  • תמיכה נוספת עבור חידוש הפעלה באתר בצד הלקוח ב- libtls. לקוח של libtls יכול לציין מתאר קובץ הפעלה (קובץ רגיל עם בעלות והרשאות מתאימות) ו- libtls ינהל קריאה וכתיבה של נתוני הפעלה על ידי לחצני TLS.
  • תמיכה משופרת ליישור קפדני בארכיטקטורות ARMv7, מותנית בהתקנה במקרים אלה.
  • תיקון דליפת זיכרון ב- libtls בעת שימוש חוזר ב- tls_config.
  • תמיכת DTLS ממוזגת יותר בנתיב קוד ה- TLS הרגיל, הסרת קוד משוכפל.
  • יציאות וחבילות:
  • dpb (1) ויציאות רגילות (7) יכולות כעת ליהנות מאותה פריבילגיה מופרדת באמצעות הגדרת PORTS_PRIVSEP = כן
  • חבילות רבות שנבנו מראש עבור כל ארכיטקטורה:
  • aarch64: 7990
  • אלפא: 1
  • amd64: 9912
  • זרוע: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • כמה נקודות עיקריות:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 ו- 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • עבור 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 ו- 4.14.3 (בתוספת עדכוני ליבה של KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 ו 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr ו- 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 ו- NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 ו- 2.4.45
  • PHP 5.6.34 ו- 7.0.28
  • Postfix 3.3.0 ו- 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 ו- 3.6.4
  • R 3.4.4
  • רובי 2.3.6, 2.4.3 ו 2.5.0
  • חלודה 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 ו 8.6.8
  • TeX Live 2017
  • VIM 8.0.1589
  • Xfce 4.12
  • כרגיל, שיפורים יציבים בדפים ידניים ותיעוד אחר.
  • המערכת כוללת את הרכיבים העיקריים הבאים מספקים חיצוניים:
  • Xenocara (מבוסס על X.Org 7.7 עם xserver 1.19.6 + תיקונים, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 ועוד)
  • LLVM / Clang 5.0.1 (+ תיקונים)
  • GCC 4.2.1 (+ תיקונים) ו 3.3.6 (+ תיקונים)
  • Perl 5.24.3 (+ תיקונים)
  • NSD 4.1.20
  • Unbound 1.6.8
  • Ncurses 5.7
  • בינוטילים 2.17 (+ תיקונים)
  • Gdb 6.3 (+ תיקונים)
  • גרסה של אווק 10 באוגוסט 2011
  • Expat 2.2.5

מה חדש בגירסה 6.2:

  • פלטפורמות חדשות / מורחבות:
  • armv7:
  • מטען האתחול של EFI נוסף, גרסאות נטענות כעת מ- FFS במקום במערכות FAT או EXT, ללא כותרות U-Boot.
  • ליבה בודדת ורמדיסק משמשים כיום עבור כל ה- SoC.
  • חומרה מופרדת באופן דינמי באמצעות עץ התקן שטוח (FDT) במקום באמצעות טבלאות סטטיות המבוססות על מספרי זיהוי של לוח.
  • תמונות מתקין Miniroot כוללות את U-Boot עם תמיכה במטעני EFI.
  • שעווה:
  • הוסר.
  • תמיכה משופרת בחומרה, כולל:
  • מנהל התקן חדש bytgpio (4) עבור בקר ה- GPIO של Intel Bay Trail.
  • מנהל התקן חדש של chvgpio (4) עבור בקר Intel GPRE של Intel Cherry View.
  • מנהל התקן חדש maxrtc (4) עבור שעון מקסים DS1307 בזמן אמת.
  • מנהל התקן חדש nvme (4) עבור ממשק בקר מארח לא נדיף Memory Express (NVMe).
  • מנהל ההתקן החדש PCfrtc (4) עבור שעון NXP PCF8523 בזמן אמת.
  • נהג חדש (4) עבור מנהל התקן פס רחב נייד (MBIM).
  • מנהל התקן חדש של ure (4) עבור התקני Realnet RTL8152 המבוססים על 10/100 USB Ethernet.
  • מנהל התקן חדש עבור utvfu (4) עבור התקני לכידת אודיו / וידאו המבוססים על Fushicai USBTV007.
  • מנהל ההתקן iwm (4) תומך כעת בהתקני Intel Wireless 3165 וב- 8260, ועובד בצורה אמינה יותר בגרעיני RAMDISK.
  • תמיכה בהתקני HID מסוג I2C עם הפרעות איתות של GPIO נוספה ל- dwiic (4).
  • תמיכה עבור רוחב אוטובוס גדול יותר, מצבי מהירות גבוהה והעברות DMA נוספה ל- sdmmc (4), rtsx (4), sdhc (4) ו- imxesdhc (4).
  • תמיכה בבקרי USB תואמים של EHCI ו- OHCI ב- SoCs של Octeon II.
  • מנהלי התקן USB רבים הופעלו ב- OpenBSD / octeon.
  • תמיכה משופרת ביישומי ACPI המופחתים בחומרה.
  • תמיכה משופרת ביישומי ACPI 5.0.
  • הצפנת AES-NI נעשית כעת מבלי להחזיק את מנעול הקרנל.
  • תמיכה משופרת ב- AGP במכונות PowerPC G5.
  • תמיכה נוספת עבור חריץ כרטיס ה- SD במעבדי SOX של Intel Intel Trail.
  • הנהג iichic (4) מתעלמת כעת מהפרעת SMBALERT # כדי למנוע סערה של פסיקה עם יישומי BIOS של buggy.
  • תוקנו בעיות בהתקנת מכשיר עם מנהל ההתקן של axen (4).
  • הנהג Ral (4) יציב יותר תחת עומס עם התקני RT2860.
  • בעיות עם מקלדות מתות לאחר קורות החיים תוקנו במנהל ההתקן pckbd (4).
  • מנהל ההתקן rtsx (4) תומך כעת בהתקני RTS522A.
  • נוספה תמיכה ראשונית עבור MSI-X.
  • תמיכה ב- MSI-X במנהל ה- Virtio (4).
  • הוספת שיטה לעקיפת הצפות DMA של חומרה למנהל ההתקן dc (4).
  • הנהג acpitz (4) עכשיו מסובב את המאוורר למטה לאחר הקירור אם ACPI משתמש היסטרסיס לקירור פעיל.
  • מנהל ההתקן xhci (4) מבצע כעת העברה ידנית מ- BIOS בעל יכולת xHCI כראוי.
  • תמיכה עבור קלט רב מגע נוספה הנהג wsmouse (4).
  • מנהל ההתקן של uslcom (4) תומך כעת בקונסולה הטורית של בקרי האלחוט של Aruba 7xxx.
  • הנהג מחדש (4) עובד כעת סביב תצורות LED שבורות ב- APU1 EEPROMs.
  • מנהל ההתקן ehci (4) פועל כעת עם בעיות בבקרי USB מסוג ATI (לדוגמה, SB700).
  • מנהל ההתקן של xen (4) תומך כעת בתצורת DomU תחת מערכת ההפעלה Qubes.
  • שיפורים אלחוטיים של IEEE 802.11:
  • ההיגיון של הבלוק של HT מקבל לוגיקת מאגר עוקב אחר האלגוריתם שניתן במפרט 802.11-2012 באופן הדוק יותר.
  • הנהג iwn (4) עוקב אחר שינויים בהגנה על HT בזמן שהוא קשור ל- AP 11n.
  • המחסנית האלחוטית ומספר נהגים עושים שימוש אגרסיבי יותר ב- RTS / CTS כדי למנוע הפרעה מהתקנים מדור קודם ומהצמתים הנסתרים.
  • הפקודה Netstat (1) -WW מציגה כעת מידע על אירועים 802.11n.
  • במצב Hostap, אל תשתמש במזהי שיוך של צמתים שעדיין נמצאים במטמון. מתקן בעיה שבה נקודת גישה באמצעות RAL (4) הנהג היה להיתקע ב 1 Mbps כי Tx שיעור חשבונאות קרה על אובייקט הצומת הלא נכון.
  • שיפורים גנריים ברמת הרשת:
  • טבלת הניתוב מבוססת כעת על ART המציע בדיקה מהירה יותר.
  • מספר בדיקת המסלול לכל מנה צומצם ל -1 במסלול ההעברה.
  • השדה פריו על כותרות VLAN מוגדר כעת כראוי על כל קטע של מנות IPv4 יוצא על ממשק vlan (4).
  • התקן מופעל שיבוט עבור bpf (4). זה מאפשר למערכת יש רק אחד הצומת התקן bpf ב / dev כי שירותים כל הצרכנים bpf (עד 1024).
  • תור ה- Tx של הנהג cnmac (4) יכול להיות מעובד במקביל לשאר הקרנל.
  • נתיב קלט הרשת מופעל כעת בהקשר של פתיל.
  • שיפורים במתקין:
  • רשימה מעודכנת של קודי משתמש מוגבלים
  • install.sh ו- upgrade.sh מוזגו לתוך install.sub
  • העדכון מפעיל אוטומטית את sysmge (8) במצב אצווה לפני fw_update (1)
  • שאלות ותשובות נרשמות בפורמט שיכול לשמש כקובץ תגובה לשימוש על ידי autoinstall (8)
  • / usr / local מוגדר כ- wxallowed במהלך ההתקנה
  • דמוני ניתוב ושיפורים אחרים ברשת של Userland:
  • הוסף תמיכה בטבלת ניתוב ל- rc.d (8) ו- rcctl (8).
  • תן ל- nc (1) לתמוך בשמות שירות בנוסף למספרי יציאות.
  • הוסף -M ו- M-TTL דגלים ל- nc (1).
  • הוסף תמיכת AF_UNIX ל- tcpbench (1).
  • תוקנה רגרסיה ב- rarpd (8). הדמון יכול לתלות אם הוא היה במצב לא פעיל במשך זמן רב
  • הוסיף את האפשרות llprio ב- ifconfig (8).
  • מספר תוכניות המשתמשות ב- bpf (4) שונו כדי לנצל את שיבוט המכשיר (4) על ידי פתיחה / dev / bpf0 במקום לולאה דרך / dev / bpf * התקנים. תוכניות אלה כוללות ארפ (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ו- tcpdump (8). הספרייה libpcap גם שונה בהתאם.
  • שיפורים בביטחון:
  • W ^ X נאכף כעת בבירור כברירת מחדל; תוכנית יכולה רק להפר אותו אם קובץ ההפעלה מסומן עם PT_OPENBSD_WXNEEDED והוא ממוקם על מערכת קבצים רכוב עם wxallowed mount (8) אפשרות. כי עדיין יש יותר מדי יציאות אשר להפר את W ^ X, המתקין mounts / usr / מערכת הקבצים המקומית עם wxallowed. זה מאפשר למערכת הבסיס להיות בטוח יותר כל עוד / usr / local היא מערכת קבצים נפרדת. אם אינך משתמש בתוכניות המפרות את W + X, שקול לבטל באופן ידני את האפשרות.
  • משפחת הפונקציות setjmp (3) משתמשת כעת בעוגיות XOR לערכי מחסנית וערכים חוזרים ב- jmpbuf ב- amd64, hppa, i386, mips64 ו- powerpc.
  • sROP: ניתן להשתמש בסיגרטורן (2) רק באמצעות טרמפולינת האות המסופקת על-ידי ליבה, עם עוגיה לאיתור ניסיונות לעשות בה שימוש חוזר.
  • כדי להרתיע ניצול חוזר של קוד, rc (8) מחדש קישורים libc.so על ההפעלה, הצבת אובייקטים בסדר אקראי.
  • במשפחת הפונקציות getpwnam (3), הפסק לפתוח את מסד הנתונים צל כברירת מחדל.
  • אפשר tcpdump (8) -r כדי להתחיל ללא הרשאות שורש.
  • הסר סיסטריס.
  • הסר תמיכת אמולציה של Linux.
  • הסר תמיכה עבור האפשרות usermount.
  • מטמון ה- SYCP TCP מחזיר את פונקציית ה- hash האקראית שלו מעת לעת. הדבר מונע מתוקף לחשב את התפלגות הפונקציה חשיש עם התקפה עיתוי.
  • כדי לפעול נגד התקפות הצפה SYN מנהל יכול לשנות את הגודל של מערך חשיש עכשיו. netstat (1) -p-tcp מציג את המידע הרלוונטי כדי לכוונן את המטמון SYN עם sysctl (8) net.inet.tcp.
  • מנהל המערכת יכול לדרוש הרשאות שורש עבור מחייב כמה יציאות TCP ו- UDP עם sysctl (8) net.inet.tcp.rootonly ו- sysctl (8) net.inet.udp.rootonly.
  • הסר מצביע פונקציה ממבנה הנתונים mbuf (9) והשתמש באינדקס במערך של פונקציות מקובלות במקום.
  • שיפורים שונים:
  • כעת ניתן לטעון את ספריית השרשור לתהליך של הליכי משנה בודדים.
  • טיפול משופר בסמלים ובתאימות לתקנים ב- libc. לדוגמה, הגדרת פונקציה פתוחה () לא תפריע עוד לפעולה של fopen (3).
  • מקטעי PT_TLS נתמכים כעת באובייקט טעון תחילה.
  • טיפול משופר ב & quot; אין נתיבים & quot; & quot; נתיב ריק & quot; ב- fts (3).
  • ב- pcap (3), ספק את הפונקציות pcap_free_datalinks () ו- pcap_offline_filter ().
  • תיקוני באגים רבים וניקיון מבניים בספריית העריכה (3).
  • הסר פונקציות dbm עתיקות (3); ndbm (3) נשאר.
  • הוסף מילת מפתח setenv לטיפול בסביבה חזקה יותר ב- doas.conf (5).
  • הוסף -g ו- p אפשרויות ל aucat.1 עבור מיקום זמן.
  • לשכתב audioctl (1) עם ממשק משתמש פשוט יותר.
  • Add -F אפשרות להתקנה (1) ל- fsync (2) הקובץ לפני סגירתו.
  • kdump (1) שופך מבנים pollfd.
  • שפר פרטים שונים על תאימות ksh (1) POSIX.
  • mknod (8) שנכתב מחדש בהתחייבות (2) - סגנון ידידותי ותמיכה ביצירת מספר מכשירים בו זמנית.
  • ליישם rcctl (8) לקבל את כל getdef הכל.
  • יישם את הדגל (1) -I (אינטראקטיבי).
  • ב- rcs (1), החל את החלפת מילות המפתח של Mdocdate.
  • למעלה (1), אפשר לסנן את טיעוני התהליך אם הם מוצגים.
  • הוספת תמיכה של UTF-8 לקפל (1) ו- rev (1).
  • הפעל את UTF-8 כברירת מחדל ב- xterm (1) ו- pod2man (1).
  • סנן תווים שאינם ASCII בקיר (1).
  • עקוב את משתנה הסביבה COLUMNS באופן עקבי על פני תוכניות רבות.
  • האפשרויות -c ו- k מאפשרות לספק אישורי לקוח TLS עבור syslogd (8) בצד השולח. עם זאת, הצד המקבל יכול לאמת הודעות יומן אותנטיות. שים לב של- syslogd אין עדיין תכונת בדיקה זו.
  • כאשר מאגר המאגרים של Klog יוצף, syslogd יכתוב הודעת יומן כדי להראות שכמה ערכים חסרים.
  • ב- OpenBSD / octeon, אחסון מטמון של CPU CPU מאופשר כדי לשפר את הביצועים.
  • pkg_add (1) ו pkg_info (1) עכשיו להבין את הרעיון של הסניף כדי להקל על הבחירה של כמה חבילות פופולריים כגון python או PHP, למשל, אומר pkg_add python 3.4% כדי לבחור את הסניף 3.4, ולהשתמש pkg_info-zm כדי לקבל רשימה מטושטשת עם מבחר סניפים מתאים pkg_add -l.
  • fdisk (8) ו- pdisk (8) יוצאים מייד, אלא אם כן עבר התקן מיוחד של תווים
  • st (4) עוקב כהלכה אחר ספירת הבלוקים הנוכחית עבור בלוקים בגודל משתנה
  • fsck_ext2fs (8) עובד שוב
  • כרכים רכים (4) ניתן לבנות באמצעות דיסקים בעלי גודל מגזר שאינו 512 בתים
  • dhclient (8) DECLINE של ומבטל את ההצעה שאינה בשימוש.
  • dhclient (8) יוצא מיד אם הממשק שלו (למשל גשר (4)) מחזיר את EAFNOSUPPORT כאשר נשלחת מנות.
  • httpd (8) מחזירה 400 בקשה גרועה לבקשות HTTP v0.9.
  • אתחול הצומת העצום של ffs2 נמנע מטפל בנתוני דיסק אקראיים כ- inode
  • fcntl (2) inocations בתוכניות בסיס משתמשות ב- fcntl (n, F_GETFL) במקום fcntl (n, F_GETFL, 0)
  • socket (2) ו - accept4 (2) התקנות בתוכניות בסיס משתמשות ב- SOCK_NONBLOCK כדי לבטל את הצורך ב- fcntl נפרד (2).
  • tmpfs אינו מופעל כברירת מחדל
  • סמנטיקה ב-ליבה של משכון (2) שופרו בדרכים רבות. הבהרה כוללים: הבטחה chown חדש המאפשר תוכניות התחייבו להגדיר תכונות setugid, אכיפה נוקשה יותר של הבטחה recvfd ו chroot (2) כבר לא מותר תוכניות התחייבו.
  • תוקנו מספר שעבודים (2) - באגים קשורים (הבטחות חסרות, שינויים לא מכוונים בהתנהגות, קריסות), בעיקר ב- gzip (1), nc (1), sed (1), skeyinit (1), stty (1), וכלי שירות שונים הקשורים לדיסק, כגון disklabel (8) ו- fdisk (8).
  • שגיאות חישוב גודל בלוק במנהל התקן השמע (4) תוקנו.
  • מנהל ההתקן של ה- USB (4) מעתיק כעת את פרטי היצרן ומזהי המוצר. מתקן בעיה שבה usbdevs (8) שנקרא בלולאה יגרום התקן אחסון בנפח גדול USB להפסיק את הפעולה.
  • מנהלי ההתקנים (4) ו- ural (4) פועלים כעת שוב לאחר ששוגרו בטעות ב- 5.9.
  • OpenSMTPD 6.0.0
  • אבטחה:
  • ליישם את תבנית המזלג + exec ב- smtpd (8).
  • תקן בעיה לוגית במכשיר מצב ה- SMTP שיכול להוביל למצב לא חוקי ולגרום לקריסה.
  • חברו את דליפת מצביע הקובץ שיכולה להוביל לאפיסת משאבים ולגרום לקריסה.
  • השתמש בפרמטרים אוטומטיים של DH במקום בקבצים קבועים.
  • השבת את DHE כברירת מחדל כיוון שהוא יקר מבחינה חישובית וקטור פוטנציאלי של DoS.
  • השיפורים הבאים הובאו בגרסה 6.2:
  • הוסף את האפשרות -r ל- smtpd (8) enqueuer עבור תאימות עם mailx.
  • הוסף תאריך חסר או מזהה הודעה בעת האזנה בנמל השליחה.
  • תיקון & quot; תור הצג smtpctl & quot; דיווח & quot; לא חוקי & quot; מצב המעטפה.
  • צור מחדש את הפורמט של הדף & quot; שהתקבל & quot; כותרת כך שחלק TLS אינו מפר את RFC.
  • הגדל את מספר החיבורים שהכתובת המקומית מורשית ליצור, והקטין את העיכוב בין עסקאות באותה הפעלה.
  • תקן את העברת LMTP לשרתים המחזירים שורות המשך.
  • המשך לשפר את ממשק ה- API של המסנן עדיין ניסיוני ולתקן בעיות שונות הקשורות.
  • התחל לשפר ולאחד את הפורמט של הודעות יומן.
  • תקן מספר הבדלים בתיעוד או שגיאות הקלדה בדפי האיש.
  • OpenSSH 7.3
  • אבטחה:
  • sshd (8): להקטין התקפה פוטנציאלית של מניעת שירות נגד קריפטה של ​​המערכת (3) באמצעות sshd (8). תוקף יכול לשלוח סיסמאות ארוכות מאוד שיגרמו לשימוש מופרז במעבד בקריפטה (3). sshd (8) מסרב לקבל בקשות אימות סיסמה באורך הגדול מ -1024 תווים.
  • sshd (8): להקטין הבדלי תזמון באימות סיסמאות שניתן להשתמש בהם כדי לזהות תקף משמות חשבון לא חוקיים כאשר סיסמאות ארוכות נשלחו אלגוריתמים מסוימים hashing הסיסמה נמצאים בשימוש בשרת. CVE-2016-6210.
  • ssh (1), sshd (8): תקן חולשה תזמון נצפתה ב CBC ריפוד הנגד אוקל. שים לב כי Ciphers CBC מושבתים כברירת מחדל וכלולים רק עבור תאימות מדור קודם.
  • ssh (1), sshd (8): שיפור ההוראה של אימות MAC לאופטימיזציה של מצב MAC (ETM) להצפין-מאק (ETM) כדי לאמת את ה- MAC לפני פענוח כל הצפנה. זה מסיר את האפשרות של עיתוי הבדלים דליפת עובדות על הטקסט, אם כי אין דליפה כזו ידועה.
  • תכונות חדשות / שונו:
  • ssh (1): הוסף אפשרות ProxyJump ואת דגל שורת הפקודה המקביל כדי לאפשר עקיפה פשוטה באמצעות מבצר SSH אחד או יותר או & quot; מארחים לקפוץ & quot ;.
  • ssh (1): הוסף אפשרות IdentityAgent כדי לאפשר ציון של שקעים ספציפיים של סוכן במקום לקבל אחד מהסביבה.
  • ssh (1): אפשר ExitOnForwardFailure ו ClearAllForwardings להיות אופציונלי דרוס בעת שימוש ssh -W. (bz # 2577)
  • ssh (1), sshd (8): ליישם תמיכה במצב מסוף IUTF8 לפי טיוטת sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): הוסף תמיכה עבור Diffie-Hellman 2K נוספים, 4K ו 8K קבוצות מתוך טיוטה-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): תמיכה בחתימות SHA256 ו- SHA512 באישורים.
  • ssh (1): הוסף פקודה include עבור קבצי ssh_config (5).
  • ssh (1): התיר UTF-8 תווים בבאנרים לפני האימות שנשלחו מהשרת. (bz # 2058)
  • הבאגים המשמעותיים הבאים תוקנו בגרסה 6.2:
  • ב- scp (1) ו- sftp (1), מנע הדבקת הגדרות מסוף על-ידי בריחה של בתים שאינם יוצרים תווים ASCII או UTF-8.
  • ssh (1), sshd (8): צמצם את רמת ה- syslog של כמה אירועי פרוטוקול נפוצים יחסית מ- LOG_CRIT. (bz # 2585)
  • sshd (8): סרב אימות של שיטות = & quot; & quot; בתצורות וקבלה של AuthenticationMethods = עבור כל התנהגות ברירת המחדל שאינה דורשת אימות מרובה. (bz # 2398)
  • sshd (8): הסר מיושן ומטעה & quot; אפשרי BREAK-INTEMPT! & quot; כאשר DNS קדמי או הפוך אינם תואמים. (bz # 2585)
  • ssh (1): סגור ControlPersist תהליך הרקע stderr למעט במצב debug או בעת כניסה ל- syslog. (bz # 1988)
  • שונות: הפוך תיאור PROTOCOL עבור ישיר-streamlocal@openssh.com ערוץ ההודעות הפתוחות להתאים את הקוד הפריסה. (bz # 2529)
  • ssh (1): רשומות כפולות LocalForward ו- RemoteForward כדי לתקן כשלים כאשר הן ExitOnForwardFailure והן שם המארח canonicalisation מופעלים. (bz # 2562)
  • sshd (8): הסר חזרה מ- moduli ל- primes & quot; מיושן & quot; קובץ שהוצא משימוש בשנת 2001. (bz # 2559)
  • sshd_config (5): תיאור נכון של UseDNS: הוא משפיע על עיבוד ss hostname עבור author_keys, not known_hosts. (bz # 2554)
  • ssh (1): תקן אימות באמצעות מפתחות אישור בודדים בסוכן ללא מקשים פרטיים המתאימים במערכת הקבצים. (bz # 2550)
  • sshd (8): שלח ClientAliveInterval pings בעת הגדרת RekeyLimit מבוססת זמן; מנות מנותקות בעבר לא נשלחו. (bz # 2252)
  • OpenNTP 6.0
  • כאשר מאפיין & quot; יחיד & quot; , ציין את כל הכתובות שהוחזרו עד שיצליח, ולא את הכתובת שהוחזרה הראשונה.
  • השוליים של שגיאת האילוץ הרפויה יהיו פרופורציונליים למספר המשתתפים ב- NTP, הימנעו מחיבור חוזר מתמיד כאשר יש עמית PTP גרוע.
  • הוסר תמיכה בחיישן hotplug (4).
  • נוסף תמיכה לאיתור קריסות בתת-תהליכים של אילוץ.
  • העבירו את ביצוע האילוצים מתהליך ה- ntp לתהליך ההורה, מה שמאפשר הפרדת הרשאות טובה יותר מאחר שניתן להגביל את תהליך ה- ntp.
  • שימוש קבוע ב- CPU גבוה כאשר הרשת מנותקת.
  • תוקנו דליפות זיכרון שונות.
  • עובר ל- RMS לחישובי ריצוד.
  • פונקציות רישום מאוחדות עם תוכניות בסיס אחרות של OpenBSD.
  • הגדר את MOD_MAXERROR כדי להימנע ממצב זמן לא מתוזמן בעת ​​שימוש ב- ntp_adjtime.
  • כותרת HTTP חותמת קבועה לשימוש ב - strptime (3) בצורה ניידת יותר.
  • TLS מוקשה עבור ntpd (8) אילוצים, המאפשרים אימות שם שרת.
  • LibreSSL 2.4.2
  • תכונות גלוי-משתמש:
  • תוקנו כמה קישורים שבורים של דפי manpage ביעד ההתקנה.
  • cert.pem עבר ארגון מחדש וסונכרן עם חנות האישורים של Mozilla.
  • תיקון מהימנות, תיקון שגיאה בעת ניתוח אלמנטים מסוימים של ASN.1 בגודל 16k.
  • מיושם סוויטות ההצפנה IETF ChaCha20-Poly1305.
  • הודעות סיסמה קבועות מ- openssl (1) כדי לטפל כראוי ב- C.
  • שיפורים בקוד:
  • תוקנה בעיית תאימות ל- nginx על ידי הוספת יעד 'install_sw' לבנות.
  • שינוי ברירת המחדל EVP_aead_chacha20_poly1305 (3) ליישום לגירסת ה- IETF, שהיא כעת ברירת המחדל.
  • טיפול בשגיאה חוזרת ב libtls כך שגיאות תצורה גלויים יותר.
  • נוסף טיפול שגיאה חסר סביב bn_wexpand (3) שיחות.
  • נוסף phr_bzero (3) שיחות עבור אובייקטים משוחררים של ASN.1.
  • קבוע X509_ * set_object פונקציות כדי להחזיר 0 על כישלון הקצאת.
  • שימוש פנימי מופרז של EVP_ [Crypt | Encrypt | Decrypt] _Final.
  • תוקנה בעיה המונעת מאלגוריתם החתימה של DSA לפעול בזמן קבוע גם אם הדגל BN_FLG_CONSTTIME מוגדר.
  • תוקנו מספר בעיות בקוד OCSP שעלולות לגרום לדור שגוי ולניתוח של בקשות OCSP. זה remediates חוסר טעות בבדיקות בזמן ניתוח פונקציות אלה, ומבטיח רק GENERALIZEDTIME פורמטים מתקבלים OCSP, בהתאם RFC 6960.
  • ערכי CVE הבאים תוקנו:
  • CVE-2016-2105-EVP_Encode עדכן את הצפת.
  • CVE-2016-2106-EVP_EncryptUpdate גלישה.
  • בדיקת CVE-2016-2107-padding ב- AES-NI CBC MAC.
  • CVE-2016-2108-memory memory ב- Encoder ASN.1.
  • הקצאת זיכרון מוגזמת של CVE-2016-2109-ASN.1.
  • יציאות וחבילות:
  • כלי פרווט חדש (1) בעץ הנמלים לבניית חבילות בצ'רוט.
  • חבילות רבות שנבנו מראש עבור כל ארכיטקטורה:
  • אלפא: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • כמה נקודות עיקריות:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 ו- 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • גימפ 2.8.16
  • GNOME 3.20.2
  • עבור 1.6.3
  • Groff 1.22.3
  • JDK 7u80 ו- 8u72
  • KDE 3.5.10 ו 4.14.3 (בתוספת עדכונים הליבה KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 ו- 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr ו- 47.0.1
  • Mozilla Thunderbird 45.2.0
  • מאט 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 ו- 2.4.44
  • PHP 5.5.37, 5.6.23 ו- 7.0.8
  • Postfix 3.1.1 ו- 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 ו- 3.5.2
  • R 3.3.1
  • רובי 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, 2.3.1 ו-
  • חלודה 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 ו 8.6.4
  • TeX Live 2015
  • VIM 7.4.1467
  • Xfce 4.12
  • כרגיל, שיפורים מתמידים דפים ידניים ותיעוד אחר.
  • המערכת כוללת את הרכיבים העיקריים הבאים מספקים חיצוניים:
  • Xenocara (מבוסס על X.Org 7.7 עם Xserver 1.18.3 + טלאים, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 ועוד)
  • GCC 4.2.1 (+ תיקונים) ו 3.3.6 (+ תיקונים)
  • Perl 5.20.3 (+ תיקונים)
  • SQLite 3.9.2 (+ תיקונים)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • בינוטילים 2.17 (+ תיקונים)
  • Gdb 6.3 (+ תיקונים)
  • גרסה של אווק 10 באוגוסט 2011
  • Expat 2.1.1

מה חדש בגירסה 6.1:

  • פלטפורמות חדשות / מורחבות:
  • armv7:
  • מטען האתחול של EFI נוסף, גרסאות נטענות כעת מ- FFS במקום במערכות FAT או EXT, ללא כותרות U-Boot.
  • ליבה בודדת ורמדיסק משמשים כיום עבור כל ה- SoC.
  • חומרה מופרדת באופן דינמי באמצעות עץ התקן שטוח (FDT) במקום באמצעות טבלאות סטטיות המבוססות על מספרי זיהוי של לוח.
  • תמונות מתקין Miniroot כוללות את U-Boot עם תמיכה במטעני EFI.
  • שעווה:
  • הוסר.
  • תמיכה משופרת בחומרה, כולל:
  • מנהל התקן חדש bytgpio (4) עבור בקר ה- GPIO של Intel Bay Trail.
  • מנהל התקן חדש של chvgpio (4) עבור בקר Intel GPRE של Intel Cherry View.
  • מנהל התקן חדש maxrtc (4) עבור שעון מקסים DS1307 בזמן אמת.
  • מנהל התקן חדש nvme (4) עבור ממשק בקר מארח לא נדיף Memory Express (NVMe).
  • מנהל ההתקן החדש PCfrtc (4) עבור שעון NXP PCF8523 בזמן אמת.
  • נהג חדש (4) עבור מנהל התקן פס רחב נייד (MBIM).
  • מנהל התקן חדש של ure (4) עבור התקני Realnet RTL8152 המבוססים על 10/100 USB Ethernet.
  • מנהל התקן חדש עבור utvfu (4) עבור התקני לכידת אודיו / וידאו המבוססים על Fushicai USBTV007.
  • מנהל ההתקן iwm (4) תומך כעת בהתקני Intel Wireless 3165 וב- 8260, ועובד בצורה אמינה יותר בגרעיני RAMDISK.
  • תמיכה בהתקני HID מסוג I2C עם הפרעות איתות של GPIO נוספה ל- dwiic (4).
  • תמיכה עבור רוחב אוטובוס גדול יותר, מצבי מהירות גבוהה והעברות DMA נוספה ל- sdmmc (4), rtsx (4), sdhc (4) ו- imxesdhc (4).
  • תמיכה בבקרי USB תואמים של EHCI ו- OHCI ב- SoCs של Octeon II.
  • מנהלי התקן USB רבים הופעלו ב- OpenBSD / octeon.
  • תמיכה משופרת ביישומי ACPI המופחתים בחומרה.
  • תמיכה משופרת ביישומי ACPI 5.0.
  • הצפנת AES-NI נעשית כעת מבלי להחזיק את מנעול הקרנל.
  • תמיכה משופרת ב- AGP במכונות PowerPC G5.
  • תמיכה נוספת עבור חריץ כרטיס ה- SD במעבדי SOX של Intel Intel Trail.
  • הנהג iichic (4) מתעלמת כעת מהפרעת SMBALERT # כדי למנוע סערה של פסיקה עם יישומי BIOS של buggy.
  • תוקנו בעיות בהתקנת מכשיר עם מנהל ההתקן של axen (4).
  • הנהג Ral (4) יציב יותר תחת עומס עם התקני RT2860.
  • בעיות עם מקלדות מתות לאחר קורות החיים תוקנו במנהל ההתקן pckbd (4).
  • מנהל ההתקן rtsx (4) תומך כעת בהתקני RTS522A.
  • נוספה תמיכה ראשונית עבור MSI-X.
  • תמיכה ב- MSI-X במנהל ה- Virtio (4).
  • הוספת שיטה לעקיפת הצפות DMA של חומרה למנהל ההתקן dc (4).
  • הנהג acpitz (4) עכשיו מסובב את המאוורר למטה לאחר הקירור אם ACPI משתמש היסטרסיס לקירור פעיל.
  • מנהל ההתקן xhci (4) מבצע כעת העברה ידנית מ- BIOS בעל יכולת xHCI כראוי.
  • תמיכה עבור קלט רב מגע נוספה הנהג wsmouse (4).
  • מנהל ההתקן של uslcom (4) תומך כעת בקונסולה הטורית של בקרי האלחוט של Aruba 7xxx.
  • הנהג מחדש (4) עובד כעת סביב תצורות LED שבורות ב- APU1 EEPROMs.
  • מנהל ההתקן ehci (4) פועל כעת עם בעיות בבקרי USB מסוג ATI (לדוגמה, SB700).
  • מנהל ההתקן של xen (4) תומך כעת בתצורת DomU תחת מערכת ההפעלה Qubes.
  • שיפורים אלחוטיים של IEEE 802.11:
  • ההיגיון של הבלוק של HT מקבל לוגיקת מאגר עוקב אחר האלגוריתם שניתן במפרט 802.11-2012 באופן הדוק יותר.
  • הנהג iwn (4) עוקב אחר שינויים בהגנה על HT בזמן שהוא קשור ל- AP 11n.
  • המחסנית האלחוטית ומספר נהגים עושים שימוש אגרסיבי יותר ב- RTS / CTS כדי למנוע הפרעה מהתקנים מדור קודם ומהצמתים הנסתרים.
  • הפקודה Netstat (1) -WW מציגה כעת מידע על אירועים 802.11n.
  • במצב Hostap, אל תשתמש במזהי שיוך של צמתים שעדיין נמצאים במטמון. מתקן בעיה שבה נקודת גישה באמצעות RAL (4) הנהג היה להיתקע ב 1 Mbps כי Tx שיעור חשבונאות קרה על אובייקט הצומת הלא נכון.
  • שיפורים גנריים ברמת הרשת:
  • טבלת הניתוב מבוססת כעת על ART המציע בדיקה מהירה יותר.
  • מספר בדיקת המסלול לכל מנה צומצם ל -1 במסלול ההעברה.
  • השדה פריו על כותרות VLAN מוגדר כעת כראוי על כל קטע של מנות IPv4 יוצא על ממשק vlan (4).
  • התקן מופעל שיבוט עבור bpf (4). זה מאפשר למערכת יש רק אחד הצומת התקן bpf ב / dev כי שירותים כל הצרכנים bpf (עד 1024).
  • תור ה- Tx של הנהג cnmac (4) יכול להיות מעובד במקביל לשאר הקרנל.
  • נתיב קלט הרשת מופעל כעת בהקשר של פתיל.
  • שיפורים במתקין:
  • רשימה מעודכנת של קודי משתמש מוגבלים
  • install.sh ו- upgrade.sh מוזגו לתוך install.sub
  • העדכון מפעיל אוטומטית את sysmge (8) במצב אצווה לפני fw_update (1)
  • שאלות ותשובות נרשמות בפורמט שיכול לשמש כקובץ תגובה לשימוש על ידי autoinstall (8)
  • / usr / local מוגדר כ- wxallowed במהלך ההתקנה
  • דמוני ניתוב ושיפורים אחרים ברשת של Userland:
  • הוסף תמיכה בטבלת ניתוב ל- rc.d (8) ו- rcctl (8).
  • תן ל- nc (1) לתמוך בשמות שירות בנוסף למספרי יציאות.
  • הוסף -M ו- M-TTL דגלים ל- nc (1).
  • הוסף תמיכת AF_UNIX ל- tcpbench (1).
  • תוקנה רגרסיה ב- rarpd (8). הדמון יכול לתלות אם הוא היה במצב לא פעיל במשך זמן רב
  • הוסיף את האפשרות llprio ב- ifconfig (8).
  • מספר תוכניות המשתמשות ב- bpf (4) שונו כדי לנצל את שיבוט המכשיר (4) על ידי פתיחה / dev / bpf0 במקום לולאה דרך / dev / bpf * התקנים. תוכניות אלה כוללות ארפ (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) ו- tcpdump (8). הספרייה libpcap גם שונה בהתאם.
  • שיפורים בביטחון:
  • W ^ X נאכף כעת בבירור כברירת מחדל; תוכנית יכולה רק להפר אותו אם קובץ ההפעלה מסומן עם PT_OPENBSD_WXNEEDED והוא ממוקם על מערכת קבצים רכוב עם wxallowed mount (8) אפשרות. כי עדיין יש יותר מדי יציאות אשר להפר את W ^ X, המתקין mounts / usr / מערכת הקבצים המקומית עם wxallowed. זה מאפשר למערכת הבסיס להיות בטוח יותר כל עוד / usr / local היא מערכת קבצים נפרדת. אם אינך משתמש בתוכניות המפרות את W + X, שקול לבטל באופן ידני את האפשרות.
  • משפחת הפונקציות setjmp (3) משתמשת כעת בעוגיות XOR לערכי מחסנית וערכים חוזרים ב- jmpbuf ב- amd64, hppa, i386, mips64 ו- powerpc.
  • sROP: ניתן להשתמש בסיגרטורן (2) רק באמצעות טרמפולינת האות המסופקת על-ידי ליבה, עם עוגיה לאיתור ניסיונות לעשות בה שימוש חוזר.
  • כדי להרתיע ניצול חוזר של קוד, rc (8) מחדש קישורים libc.so על ההפעלה, הצבת אובייקטים בסדר אקראי.
  • במשפחת הפונקציות getpwnam (3), הפסק לפתוח את מסד הנתונים צל כברירת מחדל.
  • אפשר tcpdump (8) -r כדי להתחיל ללא הרשאות שורש.
  • הסר סיסטריס.
  • הסר תמיכת אמולציה של Linux.
  • הסר תמיכה עבור האפשרות usermount.
  • מטמון ה- SYCP TCP מחזיר את פונקציית ה- hash האקראית שלו מעת לעת. הדבר מונע מתוקף לחשב את התפלגות הפונקציה חשיש עם התקפה עיתוי.
  • כדי לפעול נגד התקפות הצפה SYN מנהל יכול לשנות את הגודל של מערך חשיש עכשיו. netstat (1) -p-tcp מציג את המידע הרלוונטי כדי לכוונן את המטמון SYN עם sysctl (8) net.inet.tcp.
  • מנהל המערכת יכול לדרוש הרשאות שורש עבור מחייב כמה יציאות TCP ו- UDP עם sysctl (8) net.inet.tcp.rootonly ו- sysctl (8) net.inet.udp.rootonly.
  • הסר מצביע פונקציה ממבנה הנתונים mbuf (9) והשתמש באינדקס במערך של פונקציות מקובלות במקום.
  • שיפורים שונים:
  • כעת ניתן לטעון את ספריית השרשור לתהליך של הליכי משנה בודדים.
  • טיפול משופר בסמלים ובתאימות לתקנים ב- libc. לדוגמה, הגדרת פונקציה פתוחה () לא תפריע עוד לפעולה של fopen (3).
  • מקטעי PT_TLS נתמכים כעת באובייקט טעון תחילה.
  • טיפול משופר של "אין נתיבים" ו"נתיב ריק "ב- fts (3).
  • ב- pcap (3), ספק את הפונקציות pcap_free_datalinks () ו- pcap_offline_filter ().
  • תיקוני באגים רבים וניקיון מבניים בספריית העריכה (3).
  • הסר פונקציות dbm עתיקות (3); ndbm (3) נשאר.
  • הוסף מילת מפתח setenv לטיפול בסביבה חזקה יותר ב- doas.conf (5).
  • הוסף -g ו- p אפשרויות ל aucat.1 עבור מיקום זמן.
  • לשכתב audioctl (1) עם ממשק משתמש פשוט יותר.
  • Add -F אפשרות להתקנה (1) ל- fsync (2) הקובץ לפני סגירתו.
  • kdump (1) שופך מבנים pollfd.
  • שפר פרטים שונים על תאימות ksh (1) POSIX.
  • mknod (8) שנכתב מחדש בהתחייבות (2) - סגנון ידידותי ותמיכה ביצירת מספר מכשירים בו זמנית.
  • ליישם rcctl (8) לקבל את כל getdef הכל.
  • יישם את הדגל (1) -I (אינטראקטיבי).
  • ב- rcs (1), החל את החלפת מילות המפתח של Mdocdate.
  • למעלה (1), אפשר לסנן את טיעוני התהליך אם הם מוצגים.
  • הוספת תמיכה של UTF-8 לקפל (1) ו- rev (1).
  • הפעל את UTF-8 כברירת מחדל ב- xterm (1) ו- pod2man (1).
  • סנן תווים שאינם ASCII בקיר (1).
  • עקוב את משתנה הסביבה COLUMNS באופן עקבי על פני תוכניות רבות.
  • האפשרויות -c ו- k מאפשרות לספק אישורי לקוח TLS עבור syslogd (8) בצד השולח. עם זאת, הצד המקבל יכול לאמת הודעות יומן אותנטיות. שים לב של- syslogd אין עדיין תכונת בדיקה זו.
  • כאשר מאגר המאגרים של Klog יוצף, syslogd יכתוב הודעת יומן כדי להראות שכמה ערכים חסרים.
  • ב- OpenBSD / octeon, אחסון מטמון של CPU CPU מאופשר כדי לשפר את הביצועים.
  • pkg_add (1) ו pkg_info (1) עכשיו להבין את הרעיון של הסניף כדי להקל על הבחירה של כמה חבילות פופולריים כגון python או PHP, למשל, אומר pkg_add python 3.4% כדי לבחור את הסניף 3.4, ולהשתמש pkg_info-zm כדי לקבל רשימה מטושטשת עם מבחר סניפים מתאים pkg_add -l.
  • fdisk (8) ו- pdisk (8) יוצאים מייד, אלא אם כן עבר התקן מיוחד של תווים
  • st (4) עוקב כהלכה אחר ספירת הבלוקים הנוכחית עבור בלוקים בגודל משתנה
  • fsck_ext2fs (8) עובד שוב
  • כרכים רכים (4) ניתן לבנות באמצעות דיסקים בעלי גודל מגזר שאינו 512 בתים
  • dhclient (8) DECLINE של ומבטל את ההצעה שאינה בשימוש.
  • dhclient (8) יוצא מיד אם הממשק שלו (למשל גשר (4)) מחזיר את EAFNOSUPPORT כאשר נשלחת מנות.
  • httpd (8) מחזירה 400 בקשה גרועה לבקשות HTTP v0.9.
  • אתחול הצומת העצום של ffs2 נמנע מטפל בנתוני דיסק אקראיים כ- inode
  • fcntl (2) inocations בתוכניות בסיס משתמשות ב- fcntl (n, F_GETFL) במקום fcntl (n, F_GETFL, 0)
  • socket (2) ו - accept4 (2) התקנות בתוכניות בסיס משתמשות ב- SOCK_NONBLOCK כדי לבטל את הצורך ב- fcntl נפרד (2).
  • tmpfs אינו מופעל כברירת מחדל
  • סמנטיקה ב-ליבה של משכון (2) שופרו בדרכים רבות. הבהרה כוללים: הבטחה chown חדש המאפשר תוכניות התחייבו להגדיר תכונות setugid, אכיפה נוקשה יותר של הבטחה recvfd ו chroot (2) כבר לא מותר תוכניות התחייבו.
  • תוקנו מספר שעבודים (2) - באגים קשורים (הבטחות חסרות, שינויים לא מכוונים בהתנהגות, קריסות), בעיקר ב- gzip (1), nc (1), sed (1), skeyinit (1), stty (1), וכלי שירות שונים הקשורים לדיסק, כגון disklabel (8) ו- fdisk (8).
  • שגיאות חישוב גודל בלוק במנהל התקן השמע (4) תוקנו.
  • מנהל ההתקן של ה- USB (4) מעתיק כעת את פרטי היצרן ומזהי המוצר. מתקן בעיה שבה usbdevs (8) שנקרא בלולאה יגרום התקן אחסון בנפח גדול USB להפסיק את הפעולה.
  • מנהלי ההתקנים (4) ו- ural (4) פועלים כעת שוב לאחר ששוגרו בטעות ב- 5.9.
  • OpenSMTPD 6.0.0
  • אבטחה:
  • ליישם את תבנית המזלג + exec ב- smtpd (8).
  • תקן בעיה לוגית במכשיר מצב ה- SMTP שיכול להוביל למצב לא חוקי ולגרום לקריסה.
  • חברו את דליפת מצביע הקובץ שיכולה להוביל לאפיסת משאבים ולגרום לקריסה.
  • השתמש בפרמטרים אוטומטיים של DH במקום בקבצים קבועים.
  • השבת את DHE כברירת מחדל כיוון שהוא יקר מבחינה חישובית וקטור פוטנציאלי של DoS.
  • השיפורים הבאים הובאו בגרסה 6.1:
  • הוסף את האפשרות -r ל- smtpd (8) enqueuer עבור תאימות עם mailx.
  • הוסף תאריך חסר או מזהה הודעה בעת האזנה בנמל השליחה.
  • תקן את מצב המעטפה "smtpctl show show" בתיקייה "לא חוקי".
  • לעבד את הפורמט של הכותרת "Received" כך שחלק TLS אינו מפר את RFC.
  • הגדל את מספר החיבורים שהכתובת המקומית מורשית ליצור, והקטין את העיכוב בין עסקאות באותה הפעלה.
  • תקן את העברת LMTP לשרתים המחזירים שורות המשך.
  • המשך לשפר את ממשק ה- API של המסנן עדיין ניסיוני ולתקן בעיות שונות הקשורות.
  • התחל לשפר ולאחד את הפורמט של הודעות יומן.
  • תקן מספר הבדלים בתיעוד או שגיאות הקלדה בדפי האיש.
  • OpenSSH 7.3
  • אבטחה:
  • sshd (8): להקטין התקפה פוטנציאלית של מניעת שירות נגד קריפטה של ​​המערכת (3) באמצעות sshd (8). תוקף יכול לשלוח סיסמאות ארוכות מאוד שיגרמו לשימוש מופרז במעבד בקריפטה (3). sshd (8) מסרב לקבל בקשות אימות סיסמה באורך הגדול מ -1024 תווים.
  • sshd (8): להקטין הבדלי תזמון באימות סיסמאות שניתן להשתמש בהם כדי לזהות תקף משמות חשבון לא חוקיים כאשר סיסמאות ארוכות נשלחו אלגוריתמים מסוימים hashing הסיסמה נמצאים בשימוש בשרת. CVE-2016-6210.
  • ssh (1), sshd (8): תקן חולשה תזמון נצפתה ב CBC ריפוד הנגד אוקל. שים לב כי Ciphers CBC מושבתים כברירת מחדל וכלולים רק עבור תאימות מדור קודם.
  • ssh (1), sshd (8): שיפור ההוראה של אימות MAC לאופטימיזציה של מצב MAC (ETM) להצפין-מאק (ETM) כדי לאמת את ה- MAC לפני פענוח כל הצפנה. זה מסיר את האפשרות של עיתוי הבדלים דליפת עובדות על הטקסט, אם כי אין דליפה כזו ידועה.
  • תכונות חדשות / שונו:
  • ssh (1): הוסף אפשרות ProxyJump ואת דגל שורת הפקודה המקביל כדי לאפשר עקיפה פשוטה באמצעות אחד או יותר SSH bastions או "המארחים לקפוץ".
  • ssh (1): הוסף אפשרות IdentityAgent כדי לאפשר ציון של שקעים ספציפיים של סוכן במקום לקבל אחד מהסביבה.
  • ssh (1): אפשר ExitOnForwardFailure ו ClearAllForwardings להיות אופציונלי דרוס בעת שימוש ssh -W. (bz # 2577)
  • ssh (1), sshd (8): ליישם תמיכה במצב מסוף IUTF8 לפי טיוטת sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): הוסף תמיכה עבור Diffie-Hellman 2K נוספים, 4K ו 8K קבוצות מתוך טיוטה-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): תמיכה בחתימות SHA256 ו- SHA512 באישורים.
  • ssh (1): הוסף פקודה include עבור קבצי ssh_config (5).
  • ssh (1): התיר UTF-8 תווים בבאנרים לפני האימות שנשלחו מהשרת. (bz # 2058)
  • הבאגים המשמעותיים הבאים תוקנו בגרסה 6.1:
  • ב- scp (1) ו- sftp (1), מנע הדבקת הגדרות מסוף על-ידי בריחה של בתים שאינם יוצרים תווים ASCII או UTF-8.
  • ssh (1), sshd (8): צמצם את רמת ה- syslog של כמה אירועי פרוטוקול נפוצים יחסית מ- LOG_CRIT. (bz # 2585)
  • sshd (8): דחה את AuthenticationMethods = "" בתצורות וקבל את AuthenticationMethods = עבור כל התנהגות ברירת המחדל שאינה דורשת אימות מרובה. (bz # 2398)
  • sshd (8): הסר מיושן ומטעה "אפשרי שבר- in! כאשר DNS קדמי או הפוך אינם תואמים. (bz # 2585)
  • ssh (1): סגור ControlPersist תהליך הרקע stderr למעט במצב debug או בעת כניסה ל- syslog. (bz # 1988)
  • שונות: הפוך תיאור PROTOCOL עבור ישיר-streamlocal@openssh.com ערוץ ההודעות הפתוחות להתאים את הקוד הפריסה. (bz # 2529)
  • ssh (1): רשומות כפולות LocalForward ו- RemoteForward כדי לתקן כשלים כאשר הן ExitOnForwardFailure והן שם המארח canonicalisation מופעלים. (bz # 2562)
  • sshd (8): הסר fallback מ moduli לקובץ "primes" מיושן אשר הוצא משימוש בשנת 2001. (bz # 2559)
  • sshd_config (5): תיאור נכון של UseDNS: הוא משפיע על עיבוד ss hostname עבור author_keys, not known_hosts. (bz # 2554)
  • ssh (1): תקן אימות באמצעות מפתחות אישור בודדים בסוכן ללא מקשים פרטיים המתאימים במערכת הקבצים. (bz # 2550)
  • sshd (8): שלח ClientAliveInterval pings בעת הגדרת RekeyLimit מבוססת זמן; מנות מנותקות בעבר לא נשלחו. (bz # 2252)
  • OpenNTP 6.0
  • כאשר מצוין "אילוץ" יחיד, נסה את כל הכתובות שהוחזרו עד שיצליח, במקום את הכתובת שהוחזרה הראשונה.
  • השוליים של שגיאת האילוץ הרפויה יהיו פרופורציונליים למספר המשתתפים ב- NTP, הימנעו מחיבור חוזר מתמיד כאשר יש עמית PTP גרוע.
  • הוסר תמיכה בחיישן hotplug (4).
  • נוסף תמיכה לאיתור קריסות בתת-תהליכים של אילוץ.
  • העבירו את ביצוע האילוצים מתהליך ה- ntp לתהליך ההורה, מה שמאפשר הפרדת הרשאות טובה יותר מאחר שניתן להגביל את תהליך ה- ntp.
  • שימוש קבוע ב- CPU גבוה כאשר הרשת מנותקת.
  • תוקנו דליפות זיכרון שונות.
  • עובר ל- RMS לחישובי ריצוד.
  • פונקציות רישום מאוחדות עם תוכניות בסיס אחרות של OpenBSD.
  • הגדר את MOD_MAXERROR כדי להימנע ממצב זמן לא מתוזמן בעת ​​שימוש ב- ntp_adjtime.
  • כותרת HTTP חותמת קבועה לשימוש ב - strptime (3) בצורה ניידת יותר.
  • TLS מוקשה עבור ntpd (8) אילוצים, המאפשרים אימות שם שרת.
  • LibreSSL 2.4.2
  • תכונות גלוי-משתמש:
  • תוקנו כמה קישורים שבורים של דפי manpage ביעד ההתקנה.
  • cert.pem עבר ארגון מחדש וסונכרן עם חנות האישורים של Mozilla.
  • תיקון מהימנות, תיקון שגיאה בעת ניתוח אלמנטים מסוימים של ASN.1 בגודל 16k.
  • מיושם סוויטות ההצפנה IETF ChaCha20-Poly1305.
  • הודעות סיסמה קבועות מ- openssl (1) כדי לטפל כראוי ב- C.
  • שיפורים בקוד:
  • תוקנה בעיית תאימות ל- nginx על ידי הוספת יעד 'install_sw' לבנות.
  • שינוי ברירת המחדל EVP_aead_chacha20_poly1305 (3) ליישום לגירסת ה- IETF, שהיא כעת ברירת המחדל.
  • טיפול בשגיאה חוזרת ב libtls כך שגיאות תצורה גלויים יותר.
  • נוסף טיפול שגיאה חסר סביב bn_wexpand (3) שיחות.
  • נוסף phr_bzero (3) שיחות עבור אובייקטים משוחררים של ASN.1.
  • קבוע X509_ * set_object פונקציות כדי להחזיר 0 על כישלון הקצאת.
  • שימוש פנימי מופרז של EVP_ [Crypt | Encrypt | Decrypt] _Final.
  • תוקנה בעיה המונעת מאלגוריתם החתימה של DSA לפעול בזמן קבוע גם אם הדגל BN_FLG_CONSTTIME מוגדר.
  • תוקנו מספר בעיות בקוד OCSP שעלולות לגרום לדור שגוי ולניתוח של בקשות OCSP. זה remediates חוסר טעות בבדיקות בזמן ניתוח פונקציות אלה, ומבטיח רק GENERALIZEDTIME פורמטים מתקבלים OCSP, בהתאם RFC 6960.
  • ערכי CVE הבאים תוקנו:
  • CVE-2016-2105-EVP_Encode עדכן את הצפת.
  • CVE-2016-2106-EVP_EncryptUpdate גלישה.
  • בדיקת CVE-2016-2107-padding ב- AES-NI CBC MAC.
  • CVE-2016-2108-memory memory ב- Encoder ASN.1.
  • הקצאת זיכרון מוגזמת של CVE-2016-2109-ASN.1.
  • יציאות וחבילות:
  • כלי פרווט חדש (1) בעץ הנמלים לבניית חבילות בצ'רוט.
  • חבילות רבות שנבנו מראש עבור כל ארכיטקטורה:
  • אלפא: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • כמה נקודות עיקריות:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 ו- 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • גימפ 2.8.16
  • GNOME 3.20.2
  • עבור 1.6.3
  • Groff 1.22.3
  • JDK 7u80 ו- 8u72
  • KDE 3.5.10 ו 4.14.3 (בתוספת עדכונים הליבה KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 ו- 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr ו- 47.0.1
  • Mozilla Thunderbird 45.2.0
  • מאט 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 ו- 2.4.44
  • PHP 5.5.37, 5.6.23 ו- 7.0.8
  • Postfix 3.1.1 ו- 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 ו- 3.5.2
  • R 3.3.1
  • רובי 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, 2.3.1 ו-
  • חלודה 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 ו 8.6.4
  • TeX Live 2015
  • VIM 7.4.1467
  • Xfce 4.12
  • כרגיל, שיפורים מתמידים דפים ידניים ותיעוד אחר.
  • המערכת כוללת את הרכיבים העיקריים הבאים מספקים חיצוניים:
  • Xenocara (מבוסס על X.Org 7.7 עם xserver 1.18.3 + תיקונים, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 ועוד)
  • GCC 4.2.1 (+ תיקונים) ו 3.3.6 (+ תיקונים)
  • Perl 5.20.3 (+ תיקונים)
  • SQLite 3.9.2 (+ תיקונים)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • בינוטילים 2.17 (+ תיקונים)
  • Gdb 6.3 (+ תיקונים)
  • גרסה של אווק 10 באוגוסט 2011
  • Expat 2.1.1

תוכנה דומה

תגובות ל OpenBSD

תגובות לא נמצא
להוסיף הערה
הפעל את התמונות!