OpenBSD

Software screenshot:
OpenBSD
Software detaljer:
Version: 6.3 Opdateret
Upload dato: 17 Aug 18
Udvikler: OpenBSD Team
Licens: Gratis
Popularitet: 177
Hent

Rating: 4.0/5 (Total Votes: 1)

OpenBSD er et gratis projekt, der leverer et UNIX-lignende operativsystem med flere platforme, der er bærbar, effektiv, sikker og baseret på 4.4BSD-platformen. Det er et kraftfuldt serverprodukt, der bruges på hundredvis af computere over hele verden.


Tilgængelighed, boot muligheder, understøttede platforme

Operativsystemet er frit tilgængeligt for download fra den dedikerede sektion (se ovenfor) som ISO-billeder eller binære pakker, som giver brugerne mulighed for at installere det via netværket. ISO-billederne kan brændes på cd-diske, der kan startes direkte fra BIOS på de fleste pc'er.

OpenBSD understøtter binær emulering af de fleste programmer fra SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS og HP-UX. Den kan installeres på en bred vifte af arkitekturer, herunder i386, sparc64, alfa, m68k, sh, amd64, powerpc, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 og mips64el.

CD-billedet starter automatisk uden brugerinteraktion og spørger dem, om de manuelt vil installere, opgradere eller automatisk installere operativsystemet, samt at droppe til en shellprompt.

Manuel eller automatisk installation

En standardinstallation (læs: manuel) kræver, at brugerne vælger et tastaturlayout, indstiller værtsnavnet, vælger en netværksgrænseflade og konfigurerer den med IPv4 og / eller IPv6 samt at indstille en ny adgangskode til roten ( systemadministrator) konto.

Desuden kan du vælge at starte SSH- og NTP-tjenesterne, når systemet starter, vælg, om du vil bruge X Window System eller ej, opsæt en bruger, vælg en tidszone, partitioner diskdrevet og installeringssæt .

Blandt de inkluderede softwarepakker, der er tilgængelige for OpenBSD, kan vi nævne GNOME-, KDE- og Xfce-skrivebordsmiljøerne, MySQL-, PostgreSQL-, Postfix- og OpenLDAP-serverne, Mozilla Firefox-, Mozilla Thunderbird-, LibreOffice-, Emacs-, Vim- og Chrom-apps, samt PHP, Python, Ruby, Tcl / Tk, JDK, Mono og Go programmeringssprog.


Bundlinie

Sammenfattende er OpenBSD et kraftfuldt og højt anerkendt serverorienteret BSD / UNIX-operativsystem, der giver os den nyeste software, herunder OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED og mandoc.

Hvad er nyt i denne udgave:

  • Forbedret hardware support, herunder:
  • SMP-understøttelse på OpenBSD / arm64-platforme.
  • VFP og NEON-understøttelse på OpenBSD / armv7 platforme.
  • Ny acrtc (4) driver til X-Powers AC100 audio codec og Real Time Clock.
  • Ny axppmic (4) driver til X-Powers AXP Power Management IC'er.
  • Ny bcmrng (4) driver til Broadcom BCM2835 / BCM2836 / BCM2837 tilfældig talgenerator.
  • Ny bcmtemp (4) driver til Broadcom BCM2835 / BCM2836 / BCM2837 temperaturmonitor.
  • Ny bgw (4) driver til Bosch motion sensor.
  • Ny bwfm (4) driver til Broadcom og Cypress FullMAC 802.11 enheder (stadig eksperimentelle og ikke samlet i kernen som standard)
  • Ny efi (4) driver til EFI runtime services.
  • Ny imxanatop (4) driver til i.MX6 integreret regulator.
  • Ny rkpcie (4) driver til Rockchip RK3399 Host / PCIe bro.
  • Ny sxirsb (4) driver til Allwinner Reduced Serial Bus controller.
  • Ny sxitemp (4) driver til Allwinner temperatur monitor.
  • Ny sxits (4) driver til temperaturføler på Allwinner A10 / A20 touchpad controller.
  • Ny sxitwi (4) driver til to-wire bus fundet på flere Allwinner SoCs.
  • Ny sypwr (4) fører til Silergy SY8106A regulator.

  • Support til Rockchip RK3328 SoCs er blevet tilføjet til driverne dwge (4), rkgrf (4), rkclock (4) og rkpinctrl (4).
  • Støtte til Rockchip RK3288 / RK3328 SoCs er blevet tilføjet rktemp (4) driveren.
  • Support til Allwinner A10 / A20, A23 / A33, A80 og R40 / V40 SoCs er blevet tilføjet til driveren sxycmu (4).
  • Støtte til Allwinner A33, GR8 og R40 / V40 SoCs er blevet tilføjet sxipio (4) driveren.
  • Support til SAS3.5 MegaRAIDs er blevet tilføjet til mfii (4) driveren.
  • Support til Intel Cannon Lake og Ice Lake integreret Ethernet er blevet tilføjet til em (4) driveren.
  • cnmac (4) porte er nu tildelt forskellige CPU-kerner til distribueret afbryderbehandling.
  • Driveren pms (4) registrerer og håndterer nulstillingsannoncer.
  • På amd64 Intel CPU-mikrokoden er indlæst på opstart og installeret / opdateret af fw_update (1).
  • Support sun4v hypervisor interrupt cookie API, der understøtter SPARC T7-1 / 2/4 maskiner.
  • Dvaletilslutning er blevet tilføjet til SD / MMC-lagring vedhæftet sdhc (4) controllere.
  • clang (1) bruges nu som systemkompiler på armv7, og den findes også på sparc64.
  • vmm (4) / vmd (8) forbedringer:
  • Tilføj cd-rom / dvd ISO-understøttelse til vmd (8) via vioscsi (4).
  • vmd (8) skaber ikke længere en underliggende bro interface til virtuelle omskiftere defineret i vm.conf (5).
  • vmd (8) modtager kontaktoplysninger (rdomain osv.) fra underliggende switch interface sammen med indstillinger i vm.conf (5).
  • Time Stamp Counter (TSC) support i gæst VM'er.
  • Support ukvm / Solo5 unikernels i vmm (4).
  • Håndter gyldige (men usædvanlige) instruktionskodninger bedre.
  • Bedre PAE-personsøgningsunderstøttelse til 32-bit Linux gæst VM'er.
  • vmd (8) tillader nu op til fire netværksgrænseflader i hver VM.
  • Tilføj pauseoverførsel og snapshotting-understøttelse til vmm (4) for AMD SVM / RVI-værter.
  • BREAK-kommandoer sendt over et pty (4) forstås nu af vmd (8).
  • Mange rettelser til vmctl (8) og vmd (8) fejlhåndtering.
  • IEEE 802.11 trådløse stabler forbedringer:
  • Driverne iwm (4) og iwn (4) kører automatisk mellem adgangspunkter, som deler et ESSID. At tvinge en bestemt AP's MAC-adresse med ifconfigs bssid-kommando deaktiverer roaming.
  • Slet automatisk konfigurerede WEP / WPA-nøgler, når et nyt ESSID-netværk er konfigureret.
  • Fjernet muligheden for, at userland kan læse konfigurerede WEP / WPA-nøgler tilbage fra kernen.
  • Driveren iwm (4) kan nu oprette forbindelse til netværk med et skjult SSID.
  • USB-enheder understøttet af athn (4) driveren bruger nu en open source firmware, og hostap-tilstand fungerer nu med disse enheder.
  • Generiske forbedringer af netværksstabler:
  • Netværksstakken kører ikke længere med KERNEL_LOCK (), når IPsec er aktiveret.
  • Behandling af indgående TCP / UDP-pakker er nu udført uden KERNEL_LOCK ().
  • Stikkontaktsopgaven løber uden KERNEL_LOCK ().
  • Oprydning og fjernelse af kode i sys / netinet6, da autokonfiguration kører i userland nu.
  • bridge (4) medlemmer kan nu forhindres i at snakke med hinanden med den nye beskyttede indstilling.
  • Funktionen pf divert-packet er blevet forenklet. IP_DIVERTFL socket-indstillingen er fjernet fra viderekobling (4).
  • Forskellige hjørne tilfælde af pf viderekobling til og viderekobling-svar er mere konsekvent nu.
  • Påtving i pf (4) at alle nabo-opdagelsespakker har 255 i deres IPv6 header hop limit-felt.
  • Ny indstillet syncookies-indstilling i pf.conf (5).
  • Støtte til GRE over IPv6.
  • Ny egre (4) driver til Ethernet over GRE tunneler.
  • Støtte til den valgfrie GRE-nøglehoved og GRE-nøgle entropi i gre (4) og egre (4).
  • Ny nvgre (4) driver til netværksvirtualisering ved hjælp af generisk routingindkapsling.
  • Støtte til konfiguration af de ikke-fragmenterede flagpakker indkapslet af tunnelgrænseflader.
  • Installer forbedringer:
  • Hvis install.site eller upgrade.site mislykkes, underretter brugeren og fejlmeddelelsen efter opbevaring af rand.seed.
  • Tillad CIDR-notering, når du indtaster IPv4- og IPv6-adresser.
  • reparér valg af et HTTP-spejl fra listen over spejle.
  • Tillad '-' i brugernavne.
  • stille et spørgsmål i slutningen af ​​installations- / opgraderingsprocessen, så vognretur giver den rette handling, f.eks. genstart.
  • viser tilstanden (installer eller opgrader) shellanmodninger, så længe der ikke er kendt værtsnavn.
  • Registrér korrekt, hvilken grænseflade der er standardruten, og hvis den blev konfigureret via DHCP.
  • Sørg for at sæt kan læses fra prefetch-området.
  • Sørg for, at URL-omdirigering er effektiv til hele installationen / opgraderingen.
  • Tilføj HTTP-proxyen, der bruges, når du henter sæt til rc.firsttime, hvor fw_update og syspatch kan finde og bruge det.
  • Tilføj logik til at understøtte RFC 7217 med SLAAC.
  • Sørg for, at IPv6 er konfigureret til dynamisk oprettede netværksgrænseflader som vlan (4).
  • Opret korrekt værtsnavn, når både domænenavn og domænesøgningsmuligheder findes i DHCP-lejemålet.
  • Routing dæmoner og andre forbedringer i brugerlandets netværk:
  • bgpctl (8) har en ny ssv-indstilling, som udsender ribb-poster som en enkelt semikolonsepareret som til udvælgelse før udgang.
  • slaacd (8) genererer tilfældige, men stabile IPv6 statløse autokonfigurationsadresser i henhold til RFC 7217. Disse aktiveres pr. standard i overensstemmelse med RFC 8064.
  • slaacd (8) følger RFC 4862 ved at fjerne en kunstig begrænsning på / 64-præfikser ved hjælp af RFC 7217 (tilfældigt men stabilt) og RFC 4941 (privatlivsstil) statløse autokonfigurationsadresser.
  • ospfd (8) kan nu angive metrinet for en rute afhængigt af status for en grænseflade.
  • ifconfig (8) har en ny staticarp-mulighed, så grænseflader kun svarer til ARP-anmodninger.
  • ipsecctl (8) kan nu kollapse strømningsudgange, der har samme kilde eller destination.
  • Alternativet -n i netstart (8) kører ikke længere med standardruten. Det er nu også dokumenteret.
  • Sikkerhedsforbedringer:
  • Brug endnu flere fælde slæder på forskellige arkitekturer.
  • Mere brug af .rodata for konstante variabler i samlingskilde.
  • Stop med at bruge x86 "repz ret" i støvede hjørner af træet.
  • Indfør "execpromises" i løfte (2).
  • Det elfrdsetroot-værktøj, der bruges til at opbygge ramdisks og rebound (8) overvågningsprocessen, bruger nu løfte (2).
  • Forbered indførelsen af ​​MAP_STACK til mmap (2) efter 6.3.
  • Skub et lille stykke KARL-kædeteksttekst ind i tilfældig talgeneratoren som entropi ved opstart.
  • Sæt et lille tilfældigt hul i toppen af ​​trådstablerne, så angriberne har endnu en beregning til at udføre for deres ROP-arbejde.
  • Afbødning for smeltesvaghed for Intel mærker amd64 CPU'er.
  • OpenBSD / arm64 bruger nu kerne sidebord isolering til at afbøde Specter variant 3 (Meltdown) angreb.
  • OpenBSD / armv7 og OpenBSD / arm64 spoler nu Branch Target Buffer (BTB) på processorer, der udfører spekulativ udførelse for at begrænse Specter variant 2-angreb.
  • pool_get (9) forstyrrer rækkefølgen af ​​genstande på nyligt tildelte sider, hvilket gør kernehakkens layout sværere at forudsige.
  • Systemet kaldet fktrace (2) blev slettet.
  • dhclient (8) forbedringer:
  • Parsing dhclient.conf (5) lækker ikke længere SSID-strenge, strenge, der er for lange til parseringsbufferen eller gentagne strengoptioner og kommandoer.
  • Opbevaring af lejemål i dhclient.conf (5) understøttes ikke længere.
  • 'DENY' er ikke længere gyldigt i dhclient.conf (5).
  • dhclient.conf (5) og dhclient.leases (5) parsing fejlmeddelelser er blevet forenklet og afklaret med forbedret adfærd i nærværelse af uventede semikoloner.
  • Der skal udvises mere om kun at bruge konfigurationsoplysninger, der blev analyseret.
  • '- n' er tilføjet, hvilket forårsager dhclient (8) at afslutte efter parsing dhclient.conf (5).
  • Standardruter i muligheder klasseløse-statiske ruter (121) og klasseløs-ms-statiske ruter (249) er nu korrekt repræsenteret i dhclient.leases (5) filer.
  • Overskriv filen specificeret med '-L' i stedet for at tilføje den.
  • Leasingaftaler i dhclient.leases (5) indeholder nu en "epok" -attribut, der registrerer tidspunktet for lejekontrakten, som bruges til at beregne korrekte fornyelses-, tilbagekøbs- og udløbstider.
  • Ikke længere nag om understregninger i navne, der overtræder RFC 952.
  • Ubetinget sende værtsnavnetoplysninger, når der anmodes om en lejekontrakt, og eliminerer behovet for dhclient.conf (5) i standardinstallationen.
  • Vær stille som standard. '-q' er blevet fjernet og '-v' tilføjet for at aktivere verbose logging.
  • Afvis dobbeltbud for den ønskede adresse.
  • Ubetinget gå i baggrunden efter link-timeout sekunder.
  • Significant reducere logføring, når du er stille, men gør '-v' log alle fejlfindingsoplysninger uden at skulle kompilere en brugerdefineret eksekverbar.
  • Ignorer "interface" -opgørelser i dhclient.leases (5) og antage, at alle lejemål i filen er for grænsefladen konfigureres.
  • Vis kilden til lejekontrakten, der er bundet til grænsefladen.
  • 'ignorere', 'anmodning' og 'kræve' erklæringer i dhclient.conf (5) tilføjer nu de angivne valgmuligheder til den relevante liste i stedet for at erstatte listen.
  • Eliminer et startrace, der kan resultere i dhclient (8), uden at konfigurere grænsefladen.
  • Blandede forbedringer:
  • Kodeomlægning og andre forbedringer til malloc (3) og venner for at gøre dem mere effektive.
  • Når du udfører suspenderings- eller dvaleoperationer, skal du sørge for, at alle filsystemer er synkroniseret korrekt og markeret rent, eller hvis de ikke kan placeres i perfekt ren tilstand på disken (på grund af åbne + ikke-linkede filer) markere dem derefter snavset, så et mislykket CV / unhibernate er garanteret at udføre fsck (8).
  • acme-klient (1) autodetekterer aftalens webadresse og følger 30x HTTP omdirigeringer.
  • Tilføjet __cxa_thread_atexit () for at understøtte moderne C ++-værktøjskæder.
  • Tilføjet EVFILT_DEVICE-support til kqueue (2) til overvågning af ændringer til drm (4) enheder.
  • ldexp (3) håndterer nu tegn på denormal tal korrekt på mips64.
  • Nye sinkoser (3) fungerer i libm.
  • fdisk (8) sikrer nu, at validiteten af ​​MBR-partitionsforskydninger er indtastet under redigering.
  • fdisk (8) sikrer nu, at standardværdier ligger inden for det gyldige område.
  • mindre (1) splitter nu kun miljøvariablen MINDER på '$'.
  • mindre (1) skaber ikke længere en falsk fil, når man møder '$' i den oprindelige kommando.
  • softraid (4) validerer nu antallet af stykker, når der monteres et volumen, hvilket sikrer, at disk-og in-memory metadata er synkroniseret.
  • disklabel (8) tilbyder nu altid at redigere en FFS-partitions fragmentstørrelse, før den tilbyder at redigere blocksize.
  • disklabel (8) tillader nu redigering af cifre / gruppe (cpg) attributten, når partitionen blokkeres, kan redigeres.
  • disklabel (8) registrerer nu ^ D og ugyldig indgang under (R) esize kommandoer.
  • disklabel (8) registrerer nu understrømme og overløb når - / + operatører anvendes.
  • disklabel (8) undgår nu en off-by-one ved beregning af antallet af cylindre i en fri klump.
  • disklabel (8) validerer nu den ønskede partitionsstørrelse mod størrelsen af ​​den største gratis klump i stedet for det totale ledige rum.
  • Støtte til dumping USB-overførsler via bpf (4).
  • tcpdump (8) kan nu forstå dumper af USB overførsler i USBPcap format.
  • Standardprompterne til csh (1), ksh (1) og sh (1) indeholder nu værtsnavnet.
  • Hukommelsesallokering i ksh (1) blev skiftet fra calloc (3) tilbage til malloc (3), hvilket gør det nemmere at genkende uninitialiseret hukommelse. Som følge heraf blev en historikrelateret fejl i emacs-redigeringstilstand opdaget og rettet.
  • Nyt script (1) -c mulighed for at køre en kommando i stedet for en skal.
  • Ny grep (1) -m mulighed for at begrænse antallet af kampe.
  • Ny uniq (1) -i mulighed for tilfælde af ufølsom sammenligning.
  • Printf (3) formatstrengen er ikke længere valideret, når du søger efter% formater. Baseret på et commit fra android og efter de fleste andre operativsystemer.
  • Forbedret fejlkontrol i vfwprintf (3).
  • Mange baseprogrammer er blevet revideret og fastlagt for uaktuelle filbeskrivere, herunder cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) og sshd (8).
  • Forskellige fejlrettelser og forbedringer i jot (1):
  • Vilkårlige længdebegrænsninger for argumenterne for -b, -s, -w-mulighederne blev fjernet.
  • Specifikationen for% F-format understøttes nu, og en fejl i formatet% D blev rettet.
  • Bedre kodedækning i regressionstest.
  • Flere bufferoverskridelser blev rettet.
  • Værktøjet lapper (1) klarer nu bedre med git diffs, der opretter eller sletter filer.
  • pkg_add (1) har nu forbedret support til HTTP (S) omdirigere som cdn.openbsd.org.
  • ftp (1) og pkg_add (1) understøtter nu HTTPS-session genoptagelse for forbedret hastighed.
  • mandoc (1) -T ps output filstørrelse reduceret med mere end 50%.
  • syslogd (8) logger, hvis der var advarsler under opstart.
  • syslogd (8) stoppede med at logge på filer i et komplet filsystem. Nu skriver den en advarsel og fortsætter efter at rummet er gjort tilgængeligt.
  • vmt (4) gør det nu muligt at klone og tage skivebeskyttede øjebliksbilleder af løbende gæster.
  • OpenSMTPD 6.0.4
  • Tilføj spf-gå-option til smtpctl (8).
  • Blandede oprydning og forbedringer.
  • Talrige manuelle siderettelser og forbedringer.
  • OpenSSH 7.7
  • Nye / ændrede funktioner:
  • Alle: Tilføj eksperimentel støtte til PQC XMSS-nøgler (Extended Hash-Based Signatures) baseret på algoritmen beskrevet i https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 XMSS-signaturkoden er eksperimentel og er ikke samlet som standard.
  • sshd (8): Tilføj et "domæne" kriterier for sshd_config Match søgeord for at tillade betinget konfiguration, der afhænger af hvilket routing domæne en forbindelse blev modtaget på (for øjeblikket understøttet på OpenBSD og Linux).
  • sshd_config (5): Tilføj en valgfri rdomain-kvalifikation til listen ListenAddress for at tillade lytning på forskellige routing-domæner. Dette understøttes kun på OpenBSD og Linux i øjeblikket.
  • sshd_config (5): Tilføj RDomain-direktiv for at tillade, at den godkendte session placeres i et eksplicit routingsdomæne. Dette understøttes kun på OpenBSD i øjeblikket.
  • sshd (8): Tilføj "udløbstid" mulighed for authorized_keys-filer for at tillade udløbne nøgler.
  • ssh (1): Tilføj en BindInterface valgmulighed for at tillade binding af den udgående forbindelse til en grænsefladeadresse (stort set en mere brugbar BindAddress).
  • ssh (1): Udsæt enhed, der er tildelt til tun / tap fremsendelse via en ny% T udvidelse til LocalCommand. Dette gør det muligt for LocalCommand at udarbejde grænsefladen.
  • sshd (8): Udsæt den enhed, der er tildelt til tun / tap-videresendelse via en ny SSH_TUNNEL miljøvariabel. Dette tillader automatisk opsætning af grænsefladen og den omgivende netværkskonfiguration på serveren.
  • ssh (1) / scp (1) / sftp (1): Tilføj URI-understøttelse til ssh, sftp og scp, f.eks. ssh: // bruger @ vært eller sftp: // bruger @ vært / sti. Yderligere forbindelsesparametre, der er beskrevet i udkast-ietf-secsh-scp-sftp-ssh-uri-04, implementeres ikke, da ssh-fingeraftryksformatet i udkastet anvender den udskrevne MD5-hash på ingen måde til at angive nogen anden algoritme.
  • ssh-keygen (1): Tillad certifikatgyldighedsintervaller, der kun angiver en start- eller stoptid (i stedet for begge eller hverken).
  • sftp (1): Tillad "cd" og "lcd" kommandoer uden eksplicit sti argument. lcd vil som oftest skifte til den lokale brugers hjemmekatalog. cd'en skifter til startkataloget for session (fordi protokollen ikke giver mulighed for at hente fjernbrugers hjemmekatalog). bz # 2760
  • sshd (8): Når du laver en konfigurationstest med sshd -T, kræves kun de attributter, der rent faktisk anvendes i Match kriterier i stedet for (en ufuldstændig liste over) alle kriterier.
  • Følgende væsentlige fejl er blevet løst i denne udgivelse:
  • ssh (1) / sshd (8): Kontroller mere signaturtyper under nøgleudveksling mod det, der blev forhandlet. Forhindrer nedgradering af RSA signaturer lavet med SHA-256/512 til SHA-1.
  • sshd (8): Fix støtte til klient, der annoncerer en protokolversion af "1,99" (hvilket indikerer at de er parat til at acceptere både SSHv1 og SSHv2). Dette blev brudt i OpenSSH 7.6 under fjernelse af SSHv1 support. bz # 2810
  • ssh (1): Advar når agenten returnerer en ssh-rsa (SHA1) signatur, når en rsa-sha2-256 / 512 signatur blev anmodet om. Denne betingelse er mulig, når en gammel eller ikke-OpenSSH-agent er i brug. bz # 2799
  • ssh-agent (1): Fix regression introducere i 7.6, der forårsagede ssh-agent at gå fedt, hvis der blev fremlagt en ugyldig signaturforespørgselsbesked.
  • sshd_config (5): Accepter ja / nej flagindstillinger tilfældigt uensartet, som det har været tilfældet i ssh_config (5) i lang tid. bz # 2664
  • ssh (1): Forbedre fejlrapportering for fejl under forbindelse. Under visse omstændigheder var der vildledende fejl. bz # 2814
  • ssh-keyscan (1): Tilføj -D mulighed for at tillade udskrivning af resultater direkte i SSHFP format. bz # 2821
  • regress test: Fix PuTTY interop test brudt i sidste udgivelse SSHv1 fjernelse. bz # 2823
  • ssh (1): Kompatibilitetsrettelse for nogle servere, der fejlagtigt taber forbindelsen, når indstillingen IUTF8 (RFC8160) sendes.
  • scp (1): Deaktiver RemoteCommand og RequestTTY i ssh-sessionen startet af scp (sftp gjorde allerede dette.)
  • ssh-keygen (1): Afvise at oprette et certifikat med et ubrugbart antal direktører.
  • ssh-keygen (1): Afslut fatalt, hvis ssh-keygen ikke kan skrive hele den offentlige nøgle under nøglegenerering. Tidligere ville det uden tvivl ignorere fejl ved at skrive kommentaren og afslutte newline.
  • ssh (1): Modificer ikke værtsnavn argumenter, der adresseres ved automatisk at tvinge dem til små bogstaver. I stedet kanonicalisere dem for at løse tvetydigheder (fx :: 0001 =>: 1), før de matches mod known_hosts. bz # 2763
  • ssh (1): Accepter ikke junk efter "yes" eller "nej" svar på hostkey prompts. bz # 2803
  • sftp (1): Har sftp udskrive en advarsel om skalens renhed, når afkodning af den første pakke fejler, hvilket normalt skyldes skaller, der forurener stdout af ikke-interaktive opstart. bz # 2800
  • ssh (1) / sshd (8): Skift timere i pakkekode fra brug af klokketid til monoton tid, så pakkelaget bedre kan fungere over et uretrin og undgå mulige heltalstrømme under trin.
  • Talrige manuelle siderettelser og forbedringer.
  • LibreSSL 2.7.2
  • Tilføjet support til mange OpenSSL 1.0.2 og 1.1 API'er, baseret på observationer af brug i real-world i applikationer. Disse implementeres parallelt med eksisterende API'er for OpenSSL 1.0.1. Der er ikke foretaget synlighedsændringer i eksisterende strukturer, så kode skrevet til ældre OpenSSL API'er fortsætter med at arbejde.
  • Omfattende korrektioner, forbedringer og tilføjelser til API-dokumentationen, herunder nye offentlige API'er fra OpenSSL, der ikke havde nogen eksisterende dokumentation.
  • Tilføjet support til automatisk bibliotekets initialisering i libcrypto, libssl og libtls. Støtte til pthread_once eller en kompatibel ækvivalent er nu påkrævet af mål operativsystemet. Som en bivirkning er minimum Windows-support Vista eller højere.
  • Konverteret flere pakkehåndteringsmetoder til CBB, hvilket forbedrer fleksibiliteten ved generering af TLS-meddelelser.
  • Udfyldt TLS-udvidelseshåndtering omskrivning, forbedring af konsistensen af ​​checks for fejlformede og duplikatudvidelser.
  • Rewrote ASN1_TYPE_ {get, set} _octetstring () ved hjælp af templet ASN.1. Dette fjerner den sidste resterende brug af de gamle M_ASN1_ * makroer (asn1_mac.h) fra API, som skal fortsætte med at eksistere.
  • Tilføjet support til genoptagelse af klientsiden i libtls. En libtls-klient kan angive en sessionsfilbeskrivelse (en almindelig fil med passende ejerskab og tilladelser), og libtls vil klare læsning og skrivning af sessiondata på tværs af TLS-håndtryk.
  • Forbedret støtte til streng tilpasning på ARMv7-arkitekturer, der gør det muligt at samle dem i sådanne tilfælde.
  • Fixeret en hukommelseslækage i libtls, når du genbruger en tls_config.
  • Fusionerede mere DTLS-support i den almindelige TLS-kodevej, fjerner dublet kode.
  • Porte og pakker:
  • dpb (1) og normale porte (7) kan nu nyde den samme privilegerede adskilte model ved at indstille PORTS_PRIVSEP = Ja
  • Mange præ-bygget pakker til hver arkitektur:
  • aarch64: 7990
  • alfa: 1
  • amd64: 9912
  • arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Nogle højdepunkter:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 og 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Gå 1,10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 og 4.14.3 (plus KDE4-kerneopdateringer)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 og 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr og 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 og NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 og 2.4.45
  • PHP 5.6.34 og 7.0.28
  • Postfix 3.3.0 og 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 og 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 og 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 og 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Som sædvanlige, stabile forbedringer i manuelle sider og anden dokumentation.
  • Systemet indeholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (baseret på X.Org 7.7 med xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 og mere)
  • LLVM / Clang 5.0.1 (+ patches)
  • GCC 4.2.1 (+ patches) og 3.3.6 (+ patches)
  • Perl 5.24.3 (+ patches)
  • NSD 4.1.20
  • Ubundet 1.6.8
  • Ncurses 5.7

  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 aug 2011 version
  • Expat 2.2.5

Hvad er nyt i version 6.2:

  • Nye / udvidede platforme:
  • ARMv7:
  • EFI bootloader tilføjet, kerner er nu indlæst fra FFS i stedet for FAT eller EXT filsystemer uden U-Boot headers.
  • En enkelt kerne og ramdisk bruges nu til alle SoCs.
  • Hardware registreres dynamisk via Flad Device Tree (FDT) i stedet for via statiske tabeller baseret på ID-nummer på bordet.
  • Minipot installatørbilleder omfatter U-Boot 2016.07 med støtte til EFI-nyttelast.
  • VAX:
  • Fjernet.
  • Forbedret hardware support, herunder:
  • Ny bytgpio (4) driver til Intel Bay Trail GPIO controller.
  • Ny chvgpio (4) driver til Intel Cherry View GPIO controller.
  • Ny maxrtc (4) driver til Maxim DS1307 realtidsklokken.
  • Ny nvme (4) driver til den ikke-flygtige Memory Express (NVMe) vært controller interface.
  • Ny pcfrtc (4) driver til NXP PCF8523 realtidsklokken.
  • Ny umb (4) driver til Mobile Broadband Interface Model (MBIM).
  • Ny ure (4) driver til RealTek RTL8152 baseret 10/100 USB Ethernet-enheder.
  • Ny UDVUF (4) driver til lyd- / videooptagelsesenheder baseret på Fushicai USBTV007.

  • Driveren iwm (4) understøtter nu Intel Wireless 3165 og 8260 enheder, og fungerer mere pålideligt i RAMDISK kerner.
  • Støtte til I2C HID-enheder med GPIO signalerede interrupts er blevet tilføjet til dwiic (4).
  • Støtte til større busbredder, højhastighedstilstande og DMA-overførsler er blevet tilføjet til sdmmc (4), rtsx (4), sdhc (4) og imxesdhc (4).
  • Støtte til EHCI og OHCI-kompatible USB-controllere på Octeon II SoCs.
  • Mange USB-enhedsdrivere er blevet aktiveret på OpenBSD / octeon.
  • Forbedret understøttelse af hardware-reducerede ACPI-implementeringer.
  • Forbedret støtte til implementeringer af ACPI 5.0.
  • AES-NI krypto er nu færdig uden at holde kernelåsen.
  • Forbedret AGP-support på PowerPC G5-maskiner.
  • Tilføjet support til SD-kortsporet i Intel Bay Trail SoCs.
  • Den ichiic (4) driver ignorerer nu SMBALERT # -afbrydelsen for at forhindre en afbrydelse af storm med buggy-BIOS-implementeringer.
  • Enhedsproblemer med driveren (4) er blevet rettet.
  • Ral (4) -driveren er mere stabil under belastning med RT2860-enheder.
  • Problemer med døde tastaturer efter genoptagelse er blevet rettet i driveren pckbd (4).
  • Driveren rtsx (4) understøtter nu RTS522A-enheder.
  • Indledende support til MSI-X er tilføjet.
  • Support MSI-X i virtio (4) driveren.
  • Tilføjet en løsning til hardware DMA overskridelser til dc (4) driveren.
  • Driveren acpitz (4) spinder nu ventilatoren ned efter afkøling, hvis ACPI bruger hysterese til aktiv afkøling.
  • Driveren xhci (4) udfører nu handoff fra en xHCI-kompatibel BIOS korrekt.
  • Støtte til multi-touch input er tilføjet til wsmouse (4) driveren.
  • Driveren uslcom (4) understøtter nu seriekonsollen af ​​Aruba 7xxx trådløse controllere.
  • Re (4) driveren arbejder nu omkring brudte LED-konfigurationer i APU1 EEPROMs.
  • Driveren ehci (4) arbejder nu omkring problemer med ATI USB-controllere (f.eks. SB700).
  • Driveren xen (4) understøtter nu domU-konfiguration under Qubes OS.
  • IEEE 802.11 trådløse stabler forbedringer:
  • HT-blokken akk modtager buffer logik følger algoritmen givet i 802.11-2012 spec nærmere.
  • Den iwn (4) driver overvåger nu HT-beskyttelsesændringer i forbindelse med en 11n AP.
  • Den trådløse stak og flere drivere gør mere aggressiv brug af RTS / CTS for at undgå interferens fra gamle enheder og skjulte noder.
  • Netstat (1) -W-kommandoen viser nu oplysninger om 802.11n-begivenheder.
  • I hostap-tilstand må du ikke genbruge associerings-id'er af noder, der stadig er cachelagrede. Løser et problem, hvor et adgangspunkt ved hjælp af ral (4) -driveren vil sætte sig fast ved 1 Mbps, fordi Tx rate-regnskabet er sket på den forkerte knudeobjekt.
  • Generiske forbedringer af netværksstabler:
  • Rutingstabellen er nu baseret på ART, der giver et hurtigere opslag.
  • Antallet af ruteopslag pr. pakke er blevet reduceret til 1 i fremsendelsesstien.
  • Prio-feltet på VLAN-overskrifter er nu korrekt indstillet på hvert fragment af en IPv4-pakke, der går ud på en vlan (4) grænseflade.
  • Aktiveret enhed kloning for bpf (4). Dette gør det muligt for systemet at have kun én bpf-enhedsknude i / dev, som servicerer alle bpf-forbrugere (op til 1024).
  • Tx køen af ​​cnmac (4) driveren kan nu behandles parallelt med resten af ​​kernen.
  • Netværksinputsbanen køres nu i trådkontekst.
  • Installer forbedringer:
  • opdateret liste over begrænsede brugerkoder
  • install.sh og upgrade.sh fusioneret til install.sub
  • opdatering kører automatisk sysmerge (8) i batch mode før fw_update (1)
  • Spørgsmål og svar logges i et format, der kan bruges som en svarfil til brug ved autoinstall (8)
  • / usr / local er sat til wxallowed under installationen
  • Routing dæmoner og andre forbedringer i brugerlandets netværk:
  • Tilføj rutetabellstøtte til rc.d (8) og rcctl (8).
  • Lad nc (1) understøtte servicenavne ud over portnumre.
  • Tilføj -M og -m TTL-flag til nc (1).
  • Tilføj AF_UNIX-support til tcpbench (1).
  • Fast en regression i rarpd (8). Daemonen kunne hænge, ​​hvis den var inaktiv i lang tid.
  • Tilføjet llprio-indstillingen i ifconfig (8).
  • Flere programmer, der bruger bpf (4), er blevet ændret for at udnytte bpf (4) enhedskloning ved at åbne / dev / bpf0 i stedet for at løbe gennem / dev / bpf * -enheder. Disse programmer omfatter arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) og tcpdump (8). Biblioteket libpcap er også blevet ændret i overensstemmelse hermed.
  • Sikkerhedsforbedringer:
  • W ^ X er nu strengt håndhævet som standard; et program kan kun krænke det, hvis den eksekverbare er markeret med PT_OPENBSD_WXNEEDED og er placeret på et filsystem monteret med optionen wxallowed mount (8). Da der stadig er for mange porte, der overtræder W ^ X, monterer installationsprogrammet / usr / local filsystemet med wxallowed. Dette gør det muligt for basesystemet at være mere sikkert, så længe / usr / local er et separat filsystem. Hvis du ikke bruger W ^ X-overtrædelsesprogrammer, skal du overveje at manuelt tilbagekalde denne valgmulighed.
  • Funktionsfamilien setjmp (3) bruger nu XOR-cookies til at stable og returnere værdier i jmpbuf på amd64, hppa, i386, mips64 og powerpc.
  • SROP-begrænsning: Sigreturn (2) kan nu kun bruges af den kerneforsynede signalstrammolin, med en cookie til at registrere forsøg på at genbruge den.
  • For at afskrække kodegenbrug udnyttes, rc (8) genkobler libc.so ved opstart, placerer objekterne i en tilfældig rækkefølge.
  • I getpwnam (3) familien af ​​funktioner skal du stoppe med at åbne skyggedatabasen som standard.
  • Tillad tcpdump (8) -r at blive startet uden root privilegier.
  • Fjern systrace.
  • Fjern Linux-emuleringsstøtte.
  • Fjern support til usermount-indstillingen.
  • TCP SYN-cachen genopretter sin tilfældige hash-funktion fra tid til anden. Dette forhindrer en hacker i at beregne fordelingen af ​​hash-funktionen med et tidsangreb.
  • For at arbejde imod SYN-oversvømmelsesangreb kan administratoren ændre størrelsen af ​​hash-arrayet nu. netstat (1) -s -p tcp viser de relevante oplysninger til at tune SYN-cachen med sysctl (8) net.inet.tcp.
  • Administratoren kan kræve root-privilegier til at binde til nogle TCP- og UDP-porte med sysctl (8) net.inet.tcp.rootonly og sysctl (8) net.inet.udp.rootonly.
  • Fjern en funktionspeger fra mbuf (9) datastrukturen og brug et indeks i en række acceptable funktioner i stedet.
  • Blandede forbedringer:
  • Trådbiblioteket kan nu indlæses i en enkelt-trådet proces.
  • Forbedret håndtering af symboler og standarder i libc. For eksempel vil definering af en åben () funktion ikke længere forstyrre driften af ​​fopen (3).
  • PT_TLS sektioner understøttes nu i oprindeligt indlæst objekt.
  • Forbedret håndtering af "ingen stier" og "tom sti" i fts (3).
  • I pcap (3) skal du give funktionerne pcap_free_datalinks () og pcap_offline_filter ().
  • Mange fejlrettelser og strukturoprydning i redigeringslinjens (3) bibliotek.
  • Fjern gamle dbm (3) funktioner; ndbm (3) forbliver.
  • Tilføj setenv-søgeord for mere kraftfuld miljøhåndtering i doas.conf (5).
  • Tilføj -g og -p indstillinger til aucat.1 for tidspositionering.
  • Omskrive audioctl (1) med en enklere brugergrænseflade.
  • Tilføj -F mulighed for at installere (1) til fsync (2) filen før du lukker den.
  • kdump (1) dumper nu pollfd strukturer.
  • Forbedre forskellige detaljer i ksh (1) POSIX compliance.
  • mknod (8) omskrevet i et løfte (2) -venlig stil og til støtte for at oprette flere enheder på én gang.
  • Gennemfør rcctl (8) få alle og getdef alle.
  • Implementér rcs (1) -I (interaktivt) flag.
  • I rcs (1) implementerer du Mdocdate-søgeordsubstitution.
  • I top (1) tillader du at filtrere procesargumenter, hvis de vises.
  • Tilføjet UTF-8 support til foldning (1) og rev (1).
  • Aktiver UTF-8 som standard i xterm (1) og pod2man (1).
  • Filtrer ikke-ASCII-tegn i væggen (1).
  • Håndter COLUMNS miljøvariabel konsekvent på tværs af mange programmer.
  • Indstillingerne -c og -k giver mulighed for at levere TLS-klientcertifikater til syslogd (8) på afsendelsessiden. Med den modtagende side kan du bekræfte logmeddelelser er autentiske. Bemærk, at syslogd ikke har denne checkfunktion endnu.
  • Når klogbufferen overlader, vil syslogd skrive en logbesked for at vise, at nogle poster mangler.
  • På OpenBSD / octeon er CPU-cache-skrivebuffering aktiveret for at forbedre ydeevnen.
  • pkg_add (1) og pkg_info (1) forstår nu et begreb af gren for at lette markeringen af ​​nogle populære pakker som python eller php, f.eks. pkg_add python% 3.4 for at vælge 3,4-grenen og brug pkg_info -zm til få en fuzzy liste med grenvalg egnet til pkg_add -l.
  • fdisk (8) og pdisk (8) afslut straks, medmindre det er bestået en tegnspecifik enhed
  • st (4) sporer korrekt det aktuelle blokantal for blokke med variabel størrelse
  • fsck_ext2fs (8) virker igen
  • softraid (4) volumener kan konstrueres med diske, der har en sektorstørrelse ud over 512 byte
  • dhclient (8) DECLINE er og kasserer ubrugte TILBUDER.
  • dhclient (8) forlader straks, hvis dens grænseflade (fx en bro (4)) returnerer EAFNOSUPPORT, når en pakke sendes.
  • httpd (8) returnerer 400 Bad Request for HTTP v0.9 anmodninger.
  • Ffs2's dovne node initialisering undgår behandling af tilfældige diskdata som en inode
  • fcntl (2) invokationer i basisprogrammer bruger idiomet fcntl (n, F_GETFL) i stedet for fcntl (n, F_GETFL, 0)
  • socket (2) og accept4 (2) tilkoblinger i basisprogrammer bruger SOCK_NONBLOCK for at eliminere behovet for en separat fcntl (2).
  • tmpfs er ikke aktiveret som standard
  • Indenfor kerne-semantikken for løfte (2) blev forbedret på mange måder. Højdepunkter inkluderer: et nyt lovet løfte, der giver lovede programmer mulighed for at indstille særegne attributter, en strengere håndhævelse af recvfd løftet og chroot (2) er ikke længere tilladt for pantsatte programmer.
  • Et antal pant (2) -relaterede fejl (manglende løfter, utilsigtede ændringer i adfærd, nedbrud) blev fastsat, især i gzip (1), nc (1), sed (1), skeyinit (1) (1) og forskellige diskrelaterede værktøjer, såsom disklabel (8) og fdisk (8).
  • Beregningsfejl i blokstørrelsen i lyd (4) -driveren er blevet rettet.
  • Driveren USB (4) caches nu leverandør- og produkt-id'er. Løser et problem, hvor usbdevs (8) kaldes i en loop, ville få en USB-masselagringsenhed til at standse driften.
  • Rsu (4) og ural (4) drivere arbejder nu igen, efter at de ved et uheld er brudt i 5.9.
  • OpenSMTPD 6.0.0
  • Sikkerhed:
  • Implementér gaffel + exec-mønsteret i smtpd (8).
  • Løs et logisk problem i SMTP-tilstandsmaskinen, der kan føre til en ugyldig tilstand og resultere i et nedbrud.
  • Slut en filmarkørlækage, der kan føre til ressourceudmattelse og resultere i et nedbrud.
  • Brug automatiske DH-parametre i stedet for faste.
  • Deaktiver DHE som standard, da det er beregningsdygtigt og en potentiel DoS-vektor.
  • Følgende forbedringer blev bragt i version 6.2:
  • Tilføj alternativet -r til smtpd (8) enqueuer for kompatibilitet med mailx.
  • Tilføj manglende dato eller besked-id, når du lytter på indleveringsporten.
  • Fix "smtpctl show queue" rapportering & quot; ugyldig & quot; konvolutstatus.
  • Omarbejder formatet for "Received & quot; overskrift, så TLS-delen ikke krænker RFC'en.
  • Forøg antallet af forbindelser, som en lokal adresse har lov til at etablere, og reducer forsinkelsen mellem transaktioner i samme session.
  • Fix LMTP-levering til servere, der returnerer fortsættelseslinjer.
  • Fortsæt med at forbedre API'en med stadig eksperimentelle filter og korrigere forskellige relaterede problemer.
  • Start forbedring og forening af formatet af logbeskeder.
  • Løs adskillige dokumentationsafvigelser og skrifttyper på mandsiderne.
  • OpenSSH 7.3
  • Sikkerhed:
  • sshd (8): Formindsk et potentielt benægtelsesangreb mod systemets krypteringsfunktion (3) via sshd (8). En angriber kan sende meget lange adgangskoder, der ville medføre overdreven CPU-brug i krypten (3). sshd (8) nægter nu at acceptere anmodninger om godkendelse af adgangskoder med en længde på mere end 1024 tegn.
  • sshd (8): Mitigate timing forskelle i adgangskode godkendelse, der kunne bruges til at skelne gyldige fra ugyldige kontonavne, når lange adgangskoder blev sendt, og særlige kodeord hashing algoritmer er i brug på serveren. CVE-2016-6210.
  • ssh (1), sshd (8): Fix observerbar timings svaghed i CBC polstring orakel modforanstaltninger. Bemærk, at CBC-cifre er deaktiveret som standard og kun inkluderet for ældre kompatibilitet.
  • ssh (1), sshd (8): Forbedre ordre af MAC-verifikation for krypterings-derefter-MAC (EtM) -modus transport-MAC-algoritmer for at verificere MAC før dekryptering af enhver chiffertekst. Dette fjerner muligheden for timingforskelle, der lækker fakta om plaintext, selvom der ikke er kendt sådan lækage.
  • Nye / ændrede funktioner:
  • ssh (1): Tilføj en ProxyJump option og tilsvarende -J kommandolinje flag for at tillade forenklet indirection gennem en eller flere SSH bastioner eller "jump hosts".
  • ssh (1): Tilføj en IdentityAgent-mulighed for at tillade specifikke agentstikkontakter i stedet for at acceptere en fra miljøet.
  • ssh (1): Tillad, at ExitOnForwardFailure og ClearAllForwardings eventuelt overstyres, når du bruger ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementér understøttelse for IUTF8-terminaltilstanden som udkast til sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Tilføj støtte til yderligere faste Diffie-Hellman 2K, 4K og 8K grupper fra draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): støtte SHA256 og SHA512 RSA signaturer i certifikater.
  • ssh (1): Tilføj et inkluderingsdirektiv for ssh_config (5) filer.
  • ssh (1): Tillad UTF-8 tegn i pre-authentication bannere sendt fra serveren. (Bz # 2058)
  • Følgende væsentlige fejl er blevet rettet i version 6.2:
  • I scp (1) og sftp (1) forhindrer du ikke at skrue op på terminalindstillinger ved at undslippe byte, der ikke udgør ASCII eller UTF-8 tegn.
  • ssh (1), sshd (8): Reducer syslogniveauet for nogle relativt almindelige protokollhændelser fra LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = & quot; & quot; i konfigurationer og acceptere AuthenticationMethods = nogen for standardadfærden, der ikke kræver flere autentificering. (Bz # 2398)
  • sshd (8): Fjern forældet og vildledende "MULIG BREAK-IN ATTEMPT!" besked når frem og tilbage DNS ikke stemmer overens. (Bz # 2585)
  • ssh (1): Luk ControlPersist baggrundsproces stderr undtagen i fejlsøgningstilstand, eller når du logger på syslog. (Bz # 1988)
  • Misc: Lav PROTOCOL beskrivelse for direct-streamlocal@openssh.com kanal åbne meddelelser matcher implementeret kode. (Bz # 2529)
  • ssh (1): Deduplicate LocalForward og RemoteForward-indgange for at rette fejl, når både ExitOnForwardFailure og hostname canonicalization er aktiveret. (Bz # 2562)
  • sshd (8): Fjern tilbagekaldelse fra moduli til forældede "primere" fil, der blev udskrevet i 2001. (bz # 2559)
  • sshd_config (5): Korrekt beskrivelse af UseDNS: Det påvirker ssh værtsnavn behandling for authorized_keys, ikke known_hosts. (Bz # 2554)
  • ssh (1): Fix autentificering ved hjælp af ensartede certifikatnøgler i en agent uden tilsvarende private nøgler på filsystemet. (Bz # 2550)
  • sshd (8): Send ClientAliveInterval pings, når en tidsbaseret RekeyLimit er indstillet; Tidligere holdbare pakker blev ikke sendt. (Bz # 2252)
  • OpenNTPD 6.0
  • Når en enkelt "begrænsning" er angivet, prøv alle returnerede adresser, indtil en lykkes, snarere end den første returnerede adresse.
  • Afslappet begrænsningsfejlmarginen er proportional med antallet af NTP-jævnaldrende, undgå konstante rekonnektioner, når der er en dårlig NTP-peer.
  • Fjernet deaktiveret hotplug (4) sensorsupport.
  • Tilføjet support til at registrere crashes i begrænsede delprocesser.
  • Flyttede udførelsen af ​​begrænsninger fra ntp-processen til overordnet proces, hvilket giver mulighed for bedre privilegierseparation, da ntp-processen kan begrænses yderligere.
  • Fast høj CPU-brug, når netværket er nede.
  • Faste forskellige hukommelseslækager.
  • Skiftet til RMS for jitterberegninger.
  • Samlede logfunktioner med andre OpenBSD-baseprogrammer.
  • Indstil MOD_MAXERROR for at undgå usynkroniseret tidsstatus, når du bruger ntp_adjtime.
  • Overskrift med fast HTTP Timestamp-parsing for at bruge strptime (3) på en mere bærbar måde.
  • Hærdet TLS for ntpd (8) begrænsninger, hvilket muliggør verifikation af servernavn.
  • LibreSSL 2.4.2
  • Bruger-synlige funktioner:
  • Løs nogle ødelagte manpage links i installationsmål.
  • cert.pem er blevet reorganiseret og synkroniseret med Mozillas certifikatbutik.
  • Pålidelighed fixer, korrigerer en fejl, når du analyserer bestemte ASN.1 elementer over 16k i størrelse.
  • Implementerede IETF ChaCha20-Poly1305-chiffer-suiterne.
  • Fast adgangskode anmodes fra openssl (1) for korrekt håndtering af ^ C.
  • Kodeforbedringer:
  • Fix et nginx-kompatibilitetsproblem ved at tilføje et "install_sw" byggemål.
  • Ændret standard EVP_aead_chacha20_poly1305 (3) implementering til IETF-versionen, som nu er standard.
  • Omarbejdet fejlhåndtering i libtls, så konfigurationsfejl er mere synlige.
  • Tilføjet manglende fejlhåndtering omkring bn_wexpand (3) opkald.
  • Tilføjet explicit_bzero (3) opfordrer til frigjorte ASN.1 objekter.
  • Faste X509_ * set_object-funktioner for at returnere 0 ved tildelingsfejl.
  • Udskrevet intern brug af EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Løst et problem, der forhindrer DSA signeringsalgoritmen i at køre i konstant tid, selvom flag BN_FLG_CONSTTIME er indstillet.
  • Fastsatte flere problemer i OCSP-koden, der kunne resultere i den ukorrekte generation og analyse af OCSP-anmodninger. Dette afhjælper manglende fejlkontrol på tidsparsing i disse funktioner og sikrer, at kun GENERALIZEDTIME-formater accepteres for OCSP, jf. RFC 6960.
  • Følgende CVE'er er blevet rettet:
  • CVE-2016-2105-EVP_EncodeUpdate overløb.
  • CVE-2016-2106-EVP_EncryptUpdate overløb.
  • CVE-2016-2107-polstring orakel i AES-NI CBC MAC-kontrol.
  • CVE-2016-2108-hukommelseskorruption i ASN.1-encoderen.
  • CVE-2016-2109-ASN.1 BIO overdreven hukommelsesallokering.
  • Porte og pakker:
  • Nyt proot (1) værktøj i havnen træet til at bygge pakker i en chroot.
  • Mange præ-bygget pakker til hver arkitektur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Nogle højdepunkter:
  • Afl 2.19b
  • Chrom 51.0.2704.106
  • Emacs 21.4 og 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gå 1.6.3
  • Groff 1.22.3
  • JDK 7u80 og 8u72
  • KDE 3.5.10 og 4.14.3 (plus KDE4-kerneopdateringer)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 og 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr og 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 og 2.4.44
  • PHP 5.5.37, 5.6.23 og 7.0.8
  • Postfix 3.1.1 og 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 og 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 og 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 og 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Som sædvanlige, stabile forbedringer i manuelle sider og anden dokumentation.
  • Systemet indeholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (baseret på X.Org 7.7 med Xserver 1.18.3 + patches, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 og mere)

  • GCC 4.2.1 (+ patches) og 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Ubundet 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 aug 2011 version
  • Expat 2.1.1

Hvad er nyt i version 6.1:

  • Nye / udvidede platforme:
  • ARMv7:
  • EFI bootloader tilføjet, kerner er nu indlæst fra FFS i stedet for FAT eller EXT filsystemer uden U-Boot headers.
  • En enkelt kerne og ramdisk bruges nu til alle SoCs.
  • Hardware registreres dynamisk via Flad Device Tree (FDT) i stedet for via statiske tabeller baseret på ID-nummer på bordet.
  • Minipot installatørbilleder omfatter U-Boot 2016.07 med støtte til EFI-nyttelast.
  • VAX:
  • Fjernet.
  • Forbedret hardware support, herunder:
  • Ny bytgpio (4) driver til Intel Bay Trail GPIO controller.
  • Ny chvgpio (4) driver til Intel Cherry View GPIO controller.
  • Ny maxrtc (4) driver til Maxim DS1307 realtidsklokken.
  • Ny nvme (4) driver til den ikke-flygtige Memory Express (NVMe) vært controller interface.
  • Ny pcfrtc (4) driver til NXP PCF8523 realtidsklokken.
  • Ny umb (4) driver til Mobile Broadband Interface Model (MBIM).
  • Ny ure (4) driver til RealTek RTL8152 baseret 10/100 USB Ethernet-enheder.
  • Ny UDVUF (4) driver til lyd- / videooptagelsesenheder baseret på Fushicai USBTV007.
  • Driveren iwm (4) understøtter nu Intel Wireless 3165 og 8260 enheder, og fungerer mere pålideligt i RAMDISK kerner.
  • Støtte til I2C HID-enheder med GPIO signalerede interrupts er blevet tilføjet til dwiic (4).
  • Støtte til større busbredder, højhastighedstilstande og DMA-overførsler er blevet tilføjet til sdmmc (4), rtsx (4), sdhc (4) og imxesdhc (4).
  • Støtte til EHCI og OHCI-kompatible USB-controllere på Octeon II SoCs.
  • Mange USB-enhedsdrivere er blevet aktiveret på OpenBSD / octeon.
  • Forbedret understøttelse af hardware-reducerede ACPI-implementeringer.
  • Forbedret støtte til implementeringer af ACPI 5.0.
  • AES-NI krypto er nu færdig uden at holde kernelåsen.
  • Forbedret AGP-support på PowerPC G5-maskiner.
  • Tilføjet support til SD-kortsporet i Intel Bay Trail SoCs.
  • Den ichiic (4) driver ignorerer nu SMBALERT # -afbrydelsen for at forhindre en afbrydelse af storm med buggy-BIOS-implementeringer.
  • Enhedsproblemer med driveren (4) er blevet rettet.
  • Ral (4) -driveren er mere stabil under belastning med RT2860-enheder.
  • Problemer med døde tastaturer efter genoptagelse er blevet rettet i driveren pckbd (4).
  • Driveren rtsx (4) understøtter nu RTS522A-enheder.
  • Indledende support til MSI-X er tilføjet.
  • Support MSI-X i virtio (4) driveren.
  • Tilføjet en løsning til hardware DMA overskridelser til dc (4) driveren.
  • Driveren acpitz (4) spinder nu ventilatoren ned efter afkøling, hvis ACPI bruger hysterese til aktiv afkøling.
  • Driveren xhci (4) udfører nu handoff fra en xHCI-kompatibel BIOS korrekt.
  • Støtte til multi-touch input er tilføjet til wsmouse (4) driveren.
  • Driveren uslcom (4) understøtter nu seriekonsollen af ​​Aruba 7xxx trådløse controllere.
  • Re (4) driveren arbejder nu omkring brudte LED-konfigurationer i APU1 EEPROMs.
  • Driveren ehci (4) arbejder nu omkring problemer med ATI USB-controllere (f.eks. SB700).
  • Driveren xen (4) understøtter nu domU-konfiguration under Qubes OS.
  • IEEE 802.11 trådløse stabler forbedringer:
  • HT-blokken akk modtager buffer logik følger algoritmen givet i 802.11-2012 spec nærmere.
  • Den iwn (4) driver overvåger nu HT-beskyttelsesændringer i forbindelse med en 11n AP.
  • Den trådløse stak og flere drivere gør mere aggressiv brug af RTS / CTS for at undgå interferens fra gamle enheder og skjulte noder.
  • Netstat (1) -W-kommandoen viser nu oplysninger om 802.11n-begivenheder.
  • I hostap-tilstand må du ikke genbruge associerings-id'er af noder, der stadig er cachelagrede. Løser et problem, hvor et adgangspunkt ved hjælp af ral (4) -driveren vil sætte sig fast ved 1 Mbps, fordi Tx rate-regnskabet er sket på den forkerte knudeobjekt.
  • Generiske forbedringer af netværksstabler:
  • Rutingstabellen er nu baseret på ART, der giver et hurtigere opslag.
  • Antallet af ruteopslag pr. pakke er blevet reduceret til 1 i fremsendelsesstien.
  • Prio-feltet på VLAN-overskrifter er nu korrekt indstillet på hvert fragment af en IPv4-pakke, der går ud på en vlan (4) grænseflade.
  • Aktiveret enhed kloning for bpf (4). Dette gør det muligt for systemet at have kun én bpf-enhedsknude i / dev, som servicerer alle bpf-forbrugere (op til 1024).
  • Tx køen af ​​cnmac (4) driveren kan nu behandles parallelt med resten af ​​kernen.
  • Netværksinputsbanen køres nu i trådkontekst.
  • Installer forbedringer:
  • opdateret liste over begrænsede brugerkoder
  • install.sh og upgrade.sh fusioneret til install.sub
  • opdatering kører automatisk sysmerge (8) i batch mode før fw_update (1)
  • Spørgsmål og svar logges i et format, der kan bruges som en svarfil til brug ved autoinstall (8)
  • / usr / local er sat til wxallowed under installationen
  • Routing dæmoner og andre forbedringer i brugerlandets netværk:
  • Tilføj rutetabellstøtte til rc.d (8) og rcctl (8).
  • Lad nc (1) understøtte servicenavne ud over portnumre.
  • Tilføj -M og -m TTL-flag til nc (1).
  • Tilføj AF_UNIX-support til tcpbench (1).
  • Fast en regression i rarpd (8). Daemonen kunne hænge, ​​hvis den var inaktiv i lang tid.
  • Tilføjet llprio-indstillingen i ifconfig (8).
  • Flere programmer, der bruger bpf (4), er blevet ændret for at udnytte bpf (4) enhedskloning ved at åbne / dev / bpf0 i stedet for at løbe gennem / dev / bpf * -enheder. Disse programmer omfatter arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) og tcpdump (8). Biblioteket libpcap er også blevet ændret i overensstemmelse hermed.
  • Sikkerhedsforbedringer:
  • W ^ X er nu strengt håndhævet som standard; et program kan kun krænke det, hvis den eksekverbare er markeret med PT_OPENBSD_WXNEEDED og er placeret på et filsystem monteret med optionen wxallowed mount (8). Da der stadig er for mange porte, der overtræder W ^ X, monterer installationsprogrammet / usr / local filsystemet med wxallowed. Dette gør det muligt for basesystemet at være mere sikkert, så længe / usr / local er et separat filsystem. Hvis du ikke bruger W ^ X-overtrædelsesprogrammer, skal du overveje at manuelt tilbagekalde denne valgmulighed.
  • Funktionsfamilien setjmp (3) bruger nu XOR-cookies til at stable og returnere værdier i jmpbuf på amd64, hppa, i386, mips64 og powerpc.
  • SROP-begrænsning: Sigreturn (2) kan nu kun bruges af den kerneforsynede signalstrammolin, med en cookie til at registrere forsøg på at genbruge den.
  • For at afskrække kodegenbrug udnyttes, rc (8) genkobler libc.so ved opstart, placerer objekterne i en tilfældig rækkefølge.
  • I getpwnam (3) familien af ​​funktioner skal du stoppe med at åbne skyggedatabasen som standard.
  • Tillad tcpdump (8) -r at blive startet uden root privilegier.
  • Fjern systrace.
  • Fjern Linux-emuleringsstøtte.
  • Fjern support til usermount-indstillingen.
  • TCP SYN-cachen genopretter sin tilfældige hash-funktion fra tid til anden. Dette forhindrer en hacker i at beregne fordelingen af ​​hash-funktionen med et tidsangreb.
  • For at arbejde imod SYN-oversvømmelsesangreb kan administratoren ændre størrelsen af ​​hash-arrayet nu. netstat (1) -s -p tcp viser de relevante oplysninger til at tune SYN-cachen med sysctl (8) net.inet.tcp.
  • Administratoren kan kræve root-privilegier til at binde til nogle TCP- og UDP-porte med sysctl (8) net.inet.tcp.rootonly og sysctl (8) net.inet.udp.rootonly.
  • Fjern en funktionspeger fra mbuf (9) datastrukturen og brug et indeks i en række acceptable funktioner i stedet.
  • Blandede forbedringer:
  • Trådbiblioteket kan nu indlæses i en enkelt-trådet proces.
  • Forbedret håndtering af symboler og standarder i libc. For eksempel vil definering af en åben () funktion ikke længere forstyrre driften af ​​fopen (3).
  • PT_TLS sektioner understøttes nu i oprindeligt indlæst objekt.
  • Forbedret håndtering af "ingen stier" og "tom sti" i fts (3).
  • I pcap (3) skal du give funktionerne pcap_free_datalinks () og pcap_offline_filter ().
  • Mange fejlrettelser og strukturoprydning i redigeringslinjens (3) bibliotek.
  • Fjern gamle dbm (3) funktioner; ndbm (3) forbliver.
  • Tilføj setenv-søgeord for mere kraftfuld miljøhåndtering i doas.conf (5).
  • Tilføj -g og -p indstillinger til aucat.1 for tidspositionering.
  • Omskrive audioctl (1) med en enklere brugergrænseflade.
  • Tilføj -F mulighed for at installere (1) til fsync (2) filen før du lukker den.
  • kdump (1) dumper nu pollfd strukturer.
  • Forbedre forskellige detaljer i ksh (1) POSIX compliance.
  • mknod (8) omskrevet i et løfte (2) -venlig stil og til støtte for at oprette flere enheder på én gang.
  • Gennemfør rcctl (8) få alle og getdef alle.
  • Implementér rcs (1) -I (interaktivt) flag.
  • I rcs (1) implementerer du Mdocdate-søgeordsubstitution.
  • I top (1) tillader du at filtrere procesargumenter, hvis de vises.
  • Tilføjet UTF-8 support til foldning (1) og rev (1).
  • Aktiver UTF-8 som standard i xterm (1) og pod2man (1).
  • Filtrer ikke-ASCII-tegn i væggen (1).
  • Håndter COLUMNS miljøvariabel konsekvent på tværs af mange programmer.
  • Indstillingerne -c og -k giver mulighed for at levere TLS-klientcertifikater til syslogd (8) på afsendelsessiden. Med den modtagende side kan du bekræfte logmeddelelser er autentiske. Bemærk, at syslogd ikke har denne checkfunktion endnu.
  • Når klogbufferen overlader, vil syslogd skrive en logbesked for at vise, at nogle poster mangler.
  • På OpenBSD / octeon er CPU-cache-skrivebuffering aktiveret for at forbedre ydeevnen.
  • pkg_add (1) og pkg_info (1) forstår nu et begreb af gren for at lette markeringen af ​​nogle populære pakker som python eller php, f.eks. pkg_add python% 3.4 for at vælge 3,4-grenen og brug pkg_info -zm til få en fuzzy liste med grenvalg egnet til pkg_add -l.
  • fdisk (8) og pdisk (8) afslut straks, medmindre det er bestået en tegnspecifik enhed
  • st (4) sporer korrekt det aktuelle blokantal for blokke med variabel størrelse
  • fsck_ext2fs (8) virker igen
  • softraid (4) volumener kan konstrueres med diske, der har en sektorstørrelse ud over 512 byte
  • dhclient (8) DECLINE er og kasserer ubrugte TILBUDER.
  • dhclient (8) forlader straks, hvis dens grænseflade (fx en bro (4)) returnerer EAFNOSUPPORT, når en pakke sendes.
  • httpd (8) returnerer 400 Bad Request for HTTP v0.9 anmodninger.
  • Ffs2's dovne node initialisering undgår behandling af tilfældige diskdata som en inode
  • fcntl (2) invokationer i basisprogrammer bruger idiomet fcntl (n, F_GETFL) i stedet for fcntl (n, F_GETFL, 0)
  • socket (2) og accept4 (2) tilkoblinger i basisprogrammer bruger SOCK_NONBLOCK for at eliminere behovet for en separat fcntl (2).
  • tmpfs er ikke aktiveret som standard
  • Indenfor kerne-semantikken for løfte (2) blev forbedret på mange måder. Højdepunkter inkluderer: et nyt lovet løfte, der giver lovede programmer mulighed for at indstille særegne attributter, en strengere håndhævelse af recvfd løftet og chroot (2) er ikke længere tilladt for pantsatte programmer.
  • Et antal pant (2) -relaterede fejl (manglende løfter, utilsigtede ændringer i adfærd, nedbrud) blev fastsat, især i gzip (1), nc (1), sed (1), skeyinit (1) (1) og forskellige diskrelaterede værktøjer, såsom disklabel (8) og fdisk (8).
  • Beregningsfejl i blokstørrelsen i lyd (4) -driveren er blevet rettet.
  • Driveren USB (4) caches nu leverandør- og produkt-id'er. Løser et problem, hvor usbdevs (8) kaldes i en loop, ville få en USB-masselagringsenhed til at standse driften.
  • Rsu (4) og ural (4) drivere arbejder nu igen, efter at de ved et uheld er brudt i 5.9.
  • OpenSMTPD 6.0.0
  • Sikkerhed:
  • Implementér gaffel + exec-mønsteret i smtpd (8).
  • Løs et logisk problem i SMTP-tilstandsmaskinen, der kan føre til en ugyldig tilstand og resultere i et nedbrud.
  • Slut en filmarkørlækage, der kan føre til ressourceudmattelse og resultere i et nedbrud.
  • Brug automatiske DH-parametre i stedet for faste.
  • Deaktiver DHE som standard, da det er beregningsdygtigt og en potentiel DoS-vektor.
  • Følgende forbedringer blev bragt i version 6.1:
  • Tilføj alternativet -r til smtpd (8) enqueuer for kompatibilitet med mailx.
  • Tilføj manglende dato eller besked-id, når du lytter på indleveringsporten.
  • Fix "smtpctl show queue" rapportering "ugyldig" konvolut tilstand.
  • Redigerer formatet for "Received" header, så TLS-delen ikke krænker RFC.
  • Forøg antallet af forbindelser, som en lokal adresse har lov til at etablere, og reducer forsinkelsen mellem transaktioner i samme session.
  • Fix LMTP-levering til servere, der returnerer fortsættelseslinjer.
  • Fortsæt med at forbedre API'en med stadig eksperimentelle filter og korrigere forskellige relaterede problemer.
  • Start forbedring og forening af formatet af logbeskeder.
  • Løs adskillige dokumentationsafvigelser og skrifttyper på mandsiderne.
  • OpenSSH 7.3
  • Sikkerhed:
  • sshd (8): Formindsk et potentielt benægtelsesangreb mod systemets krypteringsfunktion (3) via sshd (8). En angriber kan sende meget lange adgangskoder, der ville medføre overdreven CPU-brug i krypten (3). sshd (8) nægter nu at acceptere anmodninger om godkendelse af adgangskoder med en længde på mere end 1024 tegn.
  • sshd (8): Mitigate timing forskelle i adgangskode godkendelse, der kunne bruges til at skelne gyldige fra ugyldige kontonavne, når lange adgangskoder blev sendt, og særlige kodeord hashing algoritmer er i brug på serveren. CVE-2016-6210.
  • ssh (1), sshd (8): Fix observerbar timings svaghed i CBC polstring orakel modforanstaltninger. Bemærk, at CBC-cifre er deaktiveret som standard og kun inkluderet for ældre kompatibilitet.
  • ssh (1), sshd (8): Forbedre ordre af MAC-verifikation for krypterings-derefter-MAC (EtM) -modus transport-MAC-algoritmer for at verificere MAC før dekryptering af enhver chiffertekst. Dette fjerner muligheden for timingforskelle, der lækker fakta om plaintext, selvom der ikke er kendt sådan lækage.
  • Nye / ændrede funktioner:
  • ssh (1): Tilføj en ProxyJump option og tilsvarende -J kommandolinjemarkering for at tillade forenklet indirection gennem en eller flere SSH bastioner eller "jump hosts".
  • ssh (1): Tilføj en IdentityAgent-mulighed for at tillade specifikke agentstikkontakter i stedet for at acceptere en fra miljøet.
  • ssh (1): Tillad, at ExitOnForwardFailure og ClearAllForwardings eventuelt overstyres, når du bruger ssh -W. (Bz # 2577)
  • ssh (1), sshd (8): Implementér understøttelse for IUTF8-terminaltilstanden som udkast til sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Tilføj støtte til yderligere faste Diffie-Hellman 2K, 4K og 8K grupper fra draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): støtte SHA256 og SHA512 RSA signaturer i certifikater.
  • ssh (1): Tilføj et inkluderingsdirektiv for ssh_config (5) filer.
  • ssh (1): Tillad UTF-8 tegn i pre-authentication bannere sendt fra serveren. (Bz # 2058)
  • Følgende væsentlige fejl er blevet rettet i version 6.1:
  • I scp (1) og sftp (1) forhindrer du ikke at skrue op på terminalindstillinger ved at undslippe byte, der ikke udgør ASCII eller UTF-8 tegn.
  • ssh (1), sshd (8): Reducer syslogniveauet for nogle relativt almindelige protokollhændelser fra LOG_CRIT. (Bz # 2585)
  • sshd (8): Refuse AuthenticationMethods = "" i konfigurationer og acceptere AuthenticationMethods = ethvert til standardadfærd uden at kræve flere godkendelser. (Bz # 2398)
  • sshd (8): Fjern forældet og vildledende "MULIG BREAK-IN ATTEMPT!" besked når frem og tilbage DNS ikke stemmer overens. (Bz # 2585)
  • ssh (1): Luk ControlPersist baggrundsproces stderr undtagen i fejlsøgningstilstand, eller når du logger på syslog. (Bz # 1988)
  • Misc: Lav PROTOCOL beskrivelse for direct-streamlocal@openssh.com kanal åbne meddelelser matcher implementeret kode. (Bz # 2529)
  • ssh (1): Deduplicate LocalForward og RemoteForward-indgange for at rette fejl, når både ExitOnForwardFailure og hostname canonicalization er aktiveret. (Bz # 2562)
  • sshd (8): Fjern tilbagekaldelse fra moduli til forældet "primes" -fil, der blev udskrevet i 2001. (bz # 2559)
  • sshd_config (5): Korrekt beskrivelse af UseDNS: Det påvirker ssh værtsnavn behandling for authorized_keys, ikke known_hosts. (Bz # 2554)
  • ssh (1): Fix autentificering ved hjælp af ensartede certifikatnøgler i en agent uden tilsvarende private nøgler på filsystemet. (Bz # 2550)
  • sshd (8): Send ClientAliveInterval pings, når en tidsbaseret RekeyLimit er indstillet; Tidligere holdbare pakker blev ikke sendt. (Bz # 2252)
  • OpenNTPD 6.0
  • Når en enkelt "begrænsning" er angivet, skal du prøve alle returnerede adresser, indtil en lykkes, snarere end den første returnerede adresse.
  • Afslappet begrænsningsfejlmarginen er proportional med antallet af NTP-jævnaldrende, undgå konstante rekonnektioner, når der er en dårlig NTP-peer.
  • Fjernet deaktiveret hotplug (4) sensorsupport.
  • Tilføjet support til at registrere crashes i begrænsede delprocesser.
  • Flyttede udførelsen af ​​begrænsninger fra ntp-processen til overordnet proces, hvilket giver mulighed for bedre privilegierseparation, da ntp-processen kan begrænses yderligere.
  • Fast høj CPU-brug, når netværket er nede.
  • Faste forskellige hukommelseslækager.
  • Skiftet til RMS for jitterberegninger.
  • Samlede logfunktioner med andre OpenBSD-baseprogrammer.
  • Indstil MOD_MAXERROR for at undgå usynkroniseret tidsstatus, når du bruger ntp_adjtime.
  • Overskrift med fast HTTP Timestamp-parsing for at bruge strptime (3) på en mere bærbar måde.
  • Hærdet TLS for ntpd (8) begrænsninger, hvilket muliggør verifikation af servernavn.
  • LibreSSL 2.4.2
  • Bruger-synlige funktioner:
  • Løs nogle ødelagte manpage links i installationsmål.
  • cert.pem er blevet reorganiseret og synkroniseret med Mozillas certifikatbutik.
  • Pålidelighed fixer, korrigerer en fejl, når du analyserer bestemte ASN.1 elementer over 16k i størrelse.
  • Implementerede IETF ChaCha20-Poly1305-chiffer-suiterne.
  • Fast adgangskode anmodes fra openssl (1) for korrekt håndtering af ^ C.
  • Kodeforbedringer:
  • Fix et nginx-kompatibilitetsproblem ved at tilføje et "install_sw" byggemål.
  • Ændret standard EVP_aead_chacha20_poly1305 (3) implementering til IETF-versionen, som nu er standard.
  • Omarbejdet fejlhåndtering i libtls, så konfigurationsfejl er mere synlige.
  • Tilføjet manglende fejlhåndtering omkring bn_wexpand (3) opkald.
  • Tilføjet explicit_bzero (3) opfordrer til frigjorte ASN.1 objekter.
  • Faste X509_ * set_object-funktioner for at returnere 0 ved tildelingsfejl.
  • Udskrevet intern brug af EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Løst et problem, der forhindrer DSA signeringsalgoritmen i at køre i konstant tid, selvom flag BN_FLG_CONSTTIME er indstillet.
  • Fastsatte flere problemer i OCSP-koden, der kunne resultere i den ukorrekte generation og analyse af OCSP-anmodninger. Dette afhjælper manglende fejlkontrol på tidsparsing i disse funktioner og sikrer, at kun GENERALIZEDTIME-formater accepteres for OCSP, jf. RFC 6960.
  • Følgende CVE'er er blevet rettet:
  • CVE-2016-2105-EVP_EncodeUpdate overløb.
  • CVE-2016-2106-EVP_EncryptUpdate overløb.
  • CVE-2016-2107-polstring orakel i AES-NI CBC MAC-kontrol.
  • CVE-2016-2108-hukommelseskorruption i ASN.1-encoderen.
  • CVE-2016-2109-ASN.1 BIO overdreven hukommelsesallokering.
  • Porte og pakker:
  • Nyt proot (1) værktøj i havnen træet til at bygge pakker i en chroot.
  • Mange præ-bygget pakker til hver arkitektur:
  • alfa: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Nogle højdepunkter:
  • Afl 2.19b
  • Chrom 51.0.2704.106
  • Emacs 21.4 og 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Gå 1.6.3
  • Groff 1.22.3
  • JDK 7u80 og 8u72
  • KDE 3.5.10 og 4.14.3 (plus KDE4-kerneopdateringer)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 og 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr og 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 og 2.4.44
  • PHP 5.5.37, 5.6.23 og 7.0.8
  • Postfix 3.1.1 og 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 og 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 og 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 og 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Som sædvanlige, stabile forbedringer i manuelle sider og anden dokumentation.
  • Systemet indeholder følgende hovedkomponenter fra eksterne leverandører:
  • Xenocara (baseret på X.Org 7.7 med xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 og mere)
  • GCC 4.2.1 (+ patches) og 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Ubundet 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 aug 2011 version
  • Expat 2.1.1

17 Aug 18 I Systemværktøjer, Operativsystemer & opdateringer

Lignende software

Dorimanx Kernel for HD2
Dorimanx Kernel for HD2

14 Apr 15

Isaiah12345 CM7 Honeycomb Sense
Isaiah12345 CM7 Honeycomb Sense

15 Apr 15

FruityOrange
FruityOrange

17 Feb 15

MikeOS
MikeOS

17 Feb 15

Kommentarer til OpenBSD

Kommentarer ikke fundet
Tilføj kommentar
Tænd billeder!
Søg efter kategori
Populære software