OpenBSD är ett gratis projekt som levererar ett UNIX-operativsystem med flera plattformar som är portabelt, effektivt, säkert och baserat på 4.4BSD-plattformen. Det är en kraftfull serverprodukt som används på hundratusentals datorer över hela världen.
Tillgänglighet, startalternativ, stödda plattformar
Operativsystemet är fritt tillgängligt för nedladdning från den dedikerade sektionen (se ovan) som ISO-bilder eller binära paket som tillåter användare att installera det via nätverket. ISO-bilderna kan brännas på CD-skivor, startbara direkt från BIOS på de flesta datorer.
OpenBSD stöder binär emulering av de flesta program från SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS och HP-UX. Den kan installeras på ett brett spektrum av arkitekturer, inklusive i386, sparc64, alfa, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 och mips64el.
CD-bilden startar automatiskt utan användarinteraktion och frågar dem om de manuellt vill installera, uppgradera eller automatiskt installera operativsystemet, samt att släppa till en skalprompt.
Manuell eller automatisk installation
En standardinstallation (läs: manuellt) kräver att användarna väljer ett tangentbordslayout, anger värdnamnet, väljer ett nätverksgränssnitt och konfigurerar det med IPv4 och / eller IPv6 samt att ange ett nytt lösenord för roten ( systemadministratör) konto.
Dessutom kan du välja att starta SSH och NTP-tjänsterna när systemet startar, välj om du vill använda X Window System eller inte, konfigurera en användare, välj en tidszon, partitionera hårddisken och installera uppsättningar .
Bland de inkluderade mjukvarupaket som är tillgängliga för OpenBSD kan vi nämna GNOME, KDE och Xfce-skrivbordsmiljöer, MySQL, PostgreSQL, Postfix och OpenLDAP-servrar, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim och Chromium apps, samt PHP, Python, Ruby, Tcl / Tk, JDK, Mono och Go programmeringsspråk.
Slutsats
Sammanfattningsvis är OpenBSD ett kraftfullt och välrenommerade serverinriktat BSD / UNIX-operativsystem som ger oss toppmodern programvara, inklusive OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED och mandoc.
Vad är nytt i den här utgåvan:
- Förbättrat support för maskinvara, inklusive:
- SMP-stöd på OpenBSD / arm64-plattformar.
- VFP och NEON-stöd på OpenBSD / armv7-plattformar.
- Ny acrtc (4) drivrutin för X-Power AC100 ljudkod och Real Time Clock.
- Ny axppmisk (4) drivrutin för X-Power AXP Power Management IC.
- Ny bcmrng (4) förare för Broadcom BCM2835 / BCM2836 / BCM2837 slumptalsgenerator.
- Ny bcmtemp (4) drivrutin för Broadcom BCM2835 / BCM2836 / BCM2837 temperaturmonitor.
- Ny bgw (4) drivrutin för Bosch rörelsesensor.
- Ny bwfm (4) drivrutin för Broadcom och Cypress FullMAC 802.11-enheter (som fortfarande är experimentella och inte sammanställda i kärnan som standard)
- Ny efi (4) drivrutin för EFI runtime-tjänster.
- Ny imxanatop (4) drivrutin för i.MX6 integrerad regulator.
- Ny rkpcie (4) drivrutin för Rockchip RK3399 Host / PCIe-bro.
- Ny sxirsb (4) drivrutin för Allwinner Reduced Serial Bus-kontroller.
- Ny sxitemp (4) drivrutin för Allwinner temperaturmonitor.
- Ny sxits (4) drivrutin för temperaturgivare på Allwinner A10 / A20 touchpad controller.
- Ny sxitwi (4) drivrutin för tvåledars buss hittad på flera Allwinner SoCs.
- Ny sypwr (4) förare till Silergy SY8106A regulator.
- Stöd för Rockchip RK3328 SoCs har lagts till förare i dwge (4), rkgrf (4), rkclock (4) och rkpinctrl (4).
- Stöd för Rockchip RK3288 / RK3328 SoCs har lagts till i rktemp (4) -drivrutinen.
- Stöd för Allwinner A10 / A20, A23 / A33, A80 och R40 / V40 SoCs har lagts till drivrutinen sxiccmu (4).
- Stöd för Allwinner A33, GR8 och R40 / V40 SoCs har lagts till sxipio (4) föraren.
- Stöd för SAS3.5 MegaRAIDs har lagts till mfii (4) -drivrutinen.
- Support för Intel Cannon Lake och Ice Lake integrated Ethernet har lagts till em (4) drivrutinen.
- cnmac (4) -portar är nu tilldelade olika CPU-kärnor för distribuerad avbrytningshantering.
- Pms (4) föraren upptäcker och hanterar nu återställningsmeddelanden.
- På amd64 Intel CPU-mikrokod laddas på start och installeras / uppdateras av fw_update (1).
- Stöd Sun4v hypervisor Interrupt Cookie API, och lägg till stöd för SPARC T7-1 / 2/4-maskiner.
- Dvala stöd har lagts till för SD / MMC-lagring ansluten till sdhc (4) controllers.
- clang (1) används nu som systemkompilator på armv7, och den finns också på sparc64.
- vmm (4) / vmd (8) förbättringar:
- Lägg till CD-ROM / DVD ISO-stöd till vmd (8) via vioscsi (4).
- vmd (8) skapar inte längre ett underliggande brogränssnitt för virtuella växlar definierade i vm.conf (5).
- vmd (8) mottar switchinformation (rdomain etc) från underliggande switchgränssnittet i samband med inställningar i vm.conf (5).
- Tidsstämpelräknare (TSC) stöd i gäst VM.
- Stöd ukvm / Solo5 unikernels i vmm (4).
- Hantera giltiga (men ovanliga) instruktionskodningar bättre.
- Bättre PAE-personsökningsstöd för 32-bitars Linux-gäst VM.
- vmd (8) tillåter nu upp till fyra nätverksgränssnitt i varje VM.
- Lägg till pausad migrering och snapshotting-support till vmm (4) för AMD SVM / RVI-värdar.
- BREAK-kommandon som skickas över ett pty (4) förstås nu av vmd (8).
- Många åtgärdar till vmctl (8) och vmd (8) felhantering.
- IEEE 802.11 trådlös stack förbättringar:
- Drivrutinerna iwm (4) och iwn (4) kommer automatiskt att flyga mellan åtkomstpunkter som delar ett ESSID. Tvinga en viss AP: s MAC-adress med ifconfigs bssid-kommando inaktiverar roaming.
- Rensa automatiskt konfigurerade WEP / WPA-nycklar när ett nytt ESSID-nätverk är konfigurerat.
- Ta bort möjligheten för userland att läsa konfigurerade WEP / WPA-nycklar tillbaka från kärnan.
- Driveren iwm (4) kan nu ansluta till nätverk med ett dolt SSID.
- USB-enheter som stöds av athn (4) -föraren använder nu en öppen källkonsol, och värdläget fungerar nu med dessa enheter.
- Generella förbättringar av nätverksstack:
- Nätstapeln körs inte längre med KERNEL_LOCK () när IPsec är aktiverat.
- Bearbetning av inkommande TCP / UDP-paket är nu gjort utan KERNEL_LOCK ().
- Socket-splitsningsuppgiften körs utan KERNEL_LOCK ().
- Rensa och ta bort kod i sys / netinet6 eftersom autokonfigurationen körs nu i användarland.
- bridge (4) medlemmar kan nu förhindras att prata med varandra med det nya skydda alternativet.
- Funktionen pf divert-packet har förenklats. IP_DIVERTFL-socketalternativet har tagits bort från vidarekoppling (4).
- Olika hörnfall av pf vidarekoppling och vidarekoppling är mer konsekvent nu.
- Verkställ i pf (4) att alla grann upptäcktspaket har 255 i deras IPv6 header hoppgräns fält.
- Ny inställd syncookies-alternativ i pf.conf (5).
- Stöd för GRE över IPv6.
- Ny egre (4) drivrutin för Ethernet över GRE-tunnlar.
- Stöd för valfri GRE-nyckelhuvud och GRE-nyckel entropi i gre (4) och egre (4).
- Ny nvgre (4) drivrutin för nätverksvirtualisering med generell routingkapsling.
- Stöd för att konfigurera Fragment-flaggpaket inkapslade av tunnelgränssnitt.
- Installer förbättringar:
- om install.site eller upgrade.site misslyckas, meddela användaren och fel efter att ha lagrat rand.seed.
- tillåta CIDR-notering när du anger IPv4- och IPv6-adresser.
- reparera urval av en HTTP-spegel från listan över speglar.
- tillåta '-' i användarnamn.
- Ställ en fråga i slutet av installations- / uppgraderingsprocessen, så att vagnretur ger rätt åtgärd, t.ex. omstart.
- visa läget (installera eller uppgradera) skalan så länge inget värdnamn är känt.
- korrekt detektera vilket gränssnitt som har standardrutten och om den konfigurerades via DHCP.
- Se till att uppsättningar kan läsas från prefetch-området.
- Se till att URL-omdirigering är effektiv för hela installationen / uppgraderingen.
- lägg till HTTP-proxy som används vid hämtning av uppsättningar till rc.firsttime, där fw_update och syspatch kan hitta och använda det.
- lägg till logik för att stödja RFC 7217 med SLAAC.
- se till att IPv6 är konfigurerat för dynamiskt skapade nätverksgränssnitt som vlan (4).
- skapa rätt värdnamn när både domännamn och domänsökningsalternativ finns i DHCP-leasen.
- Ruttademoner och andra förbättringar i användarlandsnätverket:
- bgpctl (8) har ett nytt ssv-alternativ som matar ut ryggposter som en enskild semikolonseparerad som för val före utmatning.
- slaacd (8) genererar slumpmässiga men stabila IPv6 statlösa autokonfigurationsadresser enligt RFC 7217. Dessa aktiveras per standard i enlighet med RFC 8064.
- slaacd (8) följer RFC 4862 genom att ta bort en artificiell begränsning på / 64-format prefix med RFC 7217 (slumpmässigt men stabilt) och RFC 4941 (statligt) autofonfigurationsadresser.
- ospfd (8) kan nu ställa in mätvärdet för en rutt beroende på status för ett gränssnitt.
- ifconfig (8) har ett nytt staticarp-alternativ för att endast gränssnitt ska svara på ARP-förfrågningar.
- ipsecctl (8) kan nu kollapsa flödesutgångar med samma källa eller destination.
- Alternativet -n i netstart (8) ringer inte längre med standardrutten. Det är nu dokumenterat också.
- Säkerhetsförbättringar:
- Använd ännu fler fältslängder på olika arkitekturer.
- Mer användning av .rodata för konstanta variabler i samlingskälla.
- Sluta använda x86 "repz ret" i dammiga hörn av trädet.
- Introducera "execpromises" i pant (2).
- Det elfrdsetroot-verktyg som används för att bygga ramdisks och rebound (8) övervakningsprocessen använder nu pant (2).
- Förbered inför introduktionen av MAP_STACK till mmap (2) efter 6.3.
- Tryck en liten bit KARL-länkad kärntext i slumptalsgenerern som entropi vid start.
- Sätt ett litet slumpmässigt gap överst på trådstackarna, så att angriparna har ännu en beräkning att utföra för sitt ROP-arbete.
- Minskning för smältbarhetsproblem för Intel-märken amd64-processorer.
- OpenBSD / arm64 använder nu kortsidanabelsisolering för att mildra Specter variant 3 (Meltdown) -attacker.
- OpenBSD / armv7 och OpenBSD / arm64 spola nu Branch Target Buffer (BTB) på processorer som gör spekulativt utförande för att mildra Specter variant 2-attacker.
- pool_get (9) stör ordningen av objekt på nyligen tilldelade sidor, vilket gör kärnhacklayouten svårare att förutsäga.
- Systemet för fktrace (2) raderades.
- dhclient (8) förbättringar:
- Parsing dhclient.conf (5) läcker inte längre SSID-strängar, strängar som är för långa för parsningsbufferten eller upprepade strängalternativ och kommandon.
- Lagring av hyror i dhclient.conf (5) stöds inte längre.
- 'DENY' är inte längre giltigt i dhclient.conf (5).
- dhclient.conf (5) och dhclient.leases (5) analysera felmeddelanden har förenklats och förtydligats, med förbättrat beteende i närvaro av oväntade semikolon.
- Det är noggrant att bara använda konfigurationsinformation som har analyserats framgångsrikt.
- '- n' har lagts till, vilket gör att dhclient (8) slutar efter analys av dhclient.conf (5).
- Standardrutter i alternativ klasslösa-statiska-rutter (121) och klasslösa-ms-statiska rutter (249) representeras nu korrekt i dhclient.leases (5) -filer.
- Skriv om filen som anges med '-L' istället för att lägga till den.
- Leasingavtal i dhclient.leases (5) innehåller nu ett "epok" attribut som registrerar den tid som leasingavtalet godkändes, vilket används för att beräkna korrekta förnyelser, återställningar och utgångstider.
- Inte längre nagla om underskrifter i namn som bryter mot RFC 952.
- Villkorligen skicka värdnamnsinformation när du begär ett hyresavtal, vilket eliminerar behovet av dhclient.conf (5) i standardinstallationen.
- Var tyst som standard. '-q' har tagits bort och '-v' läggs till för att aktivera verbose logging.
- Avvisa dubbla erbjudanden för den begärda adressen.
- Villkorligen gå in i bakgrunden efter länk-timeout sekunder.
- Signifikant minska loggningen när du är tyst, men gör '-v' logga in alla felsökningsuppgifter utan att behöva sammanställa en anpassad exekverbar.
- Ignorera "gränssnittsinställningar" i dhclient.leases (5) och antar att alla hyror i filen är för att gränssnittet ska konfigureras.
- Visa källan till leasingavtalet som är kopplat till gränssnittet.
- "ignorera", "förfrågan" och "kräva" deklarationer i dhclient.conf (5) lägger nu till de angivna alternativen till den relevanta listan i stället för att ersätta listan.
- Eliminera en startrace som kan leda till att dhclient (8) existerar utan att konfigurera gränssnittet.
- Blandade förbättringar:
- Kodomorganisation och andra förbättringar av malloc (3) och vänner för att göra dem mer effektiva.
- Kontrollera att alla filsystem är ordentligt synkroniserade och markerade rena om de inte kan sättas i perfekt ren tillstånd på disken (på grund av öppna + olänkna filer) och markera dem smutsiga så att ett felaktigt CV / unhibernate garanteras att utföra fsck (8).
- acme-klient (1) autodetekterar avtalets webbadress och följer 30x HTTP-omdirigeringar.
- Tillagd __cxa_thread_atexit () för att stödja moderna C ++-verktygskedjor.
- Tillagd EVFILT_DEVICE-stöd till kqueue (2) för övervakning av ändringar till drm (4) enheter.
- ldexp (3) hanterar nu tecknet av denormalnummer korrekt på mips64.
- Nya sinkoser (3) fungerar i libm.
- fdisk (8) säkerställer nu att MBR-partitionsförskjutningar är inskrivna under redigering.
- fdisk (8) ser nu till att standardvärden ligger inom det giltiga intervallet.
- mindre (1) splittrar nu endast miljövariabeln MINDER på '$'.
- mindre (1) skapar inte längre en falsk fil när man stöter på '$' i det ursprungliga kommandot.
- softraid (4) validerar nu antalet bitar vid montering av en volym, vilket säkerställer att metadata på disken och i minnet synkroniseras.
- disklabel (8) erbjuder nu alltid att redigera en FFS-partitions fragmentstorlek innan den erbjuds för att redigera blockstorleken.
- disklabel (8) tillåter nu att redigera attributet cylindrar / grupp (cpg) när partitionen blockeras kan redigeras.
- disklabel (8) upptäcker nu ^ D och ogiltig inmatning under (R) esize kommandon.
- disklabel (8) upptäcker nu underflöden och överflöden när - / + operatörer används.
- disklabel (8) undviker nu en off-by-one vid beräkning av antalet cylindrar i en fri bit.
- disklabel (8) validerar nu den begärda partitionsstorleken mot storleken på den största fria biten istället för det totala lediga utrymmet.
- Stöd för dumpning av USB-överföringar via bpf (4).
- tcpdump (8) kan nu förstå dumpningar av USB-överföringar i USBPcap-formatet.
- Standardinstruktionerna för csh (1), ksh (1) och sh (1) innehåller nu värdnamnet.
- Minnesallokering i ksh (1) växlades från calloc (3) tillbaka till malloc (3), vilket gör det enklare att känna igen oinitierat minne. Som en följd upptäcktes och fixades en historikrelaterad bugg i emacs redigeringsläge.
- Nytt skript (1) -c alternativ för att köra ett kommando istället för ett skal.
- Nytt grep (1) -m alternativ för att begränsa antalet träffar.
- Nytt uniq (1) -i alternativ för otillräcklig jämförelse.
- Formatfönstret printf (3) valideras inte längre när man letar efter% -format. Baserat på ett åtagande av android och efter de flesta andra operativsystem.
- Förbättrad felkontroll i vfwprintf (3).
- Många basprogram har granskats och fixats för vanliga filbeskrivningar, inklusive cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) och sshd (8).
- Olika buggfixar och förbättringar i jot (1):
- Valfria längdgränser för argumenten för alternativen -b, -s, -w har tagits bort.
- Specifikationen för% F-format stöds nu och ett fel i formatet% D fixades.
- Bättre kodtäckning vid regressionstest.
- Flera buffertövergångar har fastställts.
- Verktyget patch (1) klarar nu bättre med git diffs som skapar eller tar bort filer.
- pkg_add (1) har nu förbättrat stöd för HTTP (S) omdirigeringar som cdn.openbsd.org.
- ftp (1) och pkg_add (1) stöder nu HTTPS-sessionens återupptagning för förbättrad hastighet.
- mandoc (1) -T ps utdatafilstorlek minskade med mer än 50%.
- syslogd (8) loggar om det fanns varningar under start.
- syslogd (8) slutade logga till filer i ett fullständigt filsystem. Nu skriver det en varning och fortsätter efter att rymden har gjorts tillgänglig.
- vmt (4) tillåter nu kloning och tar skiva-bara snapshots av löpande gäster.
- OpenSMTPD 6.0.4
- Lägg till spf-promenadalternativet till smtpctl (8).
- Blandade reningar och förbättringar.
- Många manuella sidkorrigeringar och förbättringar.
- OpenSSH 7.7
- Nya / ändrade funktioner:
- Alla: Lägg till experimentellt stöd för PQC XMSS-nycklar (Extended Hash-Based Signatures) baserat på den algoritm som beskrivs i https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 XMSS-signaturkoden är experimentell och är inte sammanställd som standard.
- sshd (8): Lägg till en "domän" kriterier för sshd_config Match-nyckelordet för att tillåta villkorlig konfiguration som beror på vilken routingdomän en anslutning mottogs på (stöds för närvarande på OpenBSD och Linux).
- sshd_config (5): Lägg till en valfri rdomain-kvalifierare till ListenAddress-direktivet för att tillåta att du lyssnar på olika routingdomäner. Detta stöds bara på OpenBSD och Linux för tillfället.
- sshd_config (5): Lägg till RDomain-direktivet så att den autentiserade sessionen placeras i en explicit routing-domän. Detta stöds bara på OpenBSD för närvarande.
- sshd (8): Lägg till & quot; expiry-time & quot; alternativet för authorized_keys-filer för att tillåta utgående knappar.
- ssh (1): Lägg till ett BindInterface-alternativ så att du kan binda den utgående anslutningen till ett gränssnittets adress (i princip en mer användbar BindAddress).
- ssh (1): Exponera enhet som är tilldelad för tun / tap-vidarebefordran via ett nytt% T-expansion för LocalCommand. Detta gör att LocalCommand kan användas för att förbereda gränssnittet.
- sshd (8): Exponera enheten som är tilldelad för tuning / vidarekoppling via en ny miljövariabel SSH_TUNNEL. Detta möjliggör automatisk inställning av gränssnittet och den omgivande nätverks konfigurationen automatiskt på servern.
- ssh (1) / scp (1) / sftp (1): Lägg till URI-stöd till ssh, sftp och scp, t.ex. ssh: // användare @ värd eller sftp: // användare @ värd / sökväg. Ytterligare anslutningsparametrar som beskrivs i utkastet-ietf-secsh-scp-sftp-ssh-uri-04 implementeras inte eftersom ssh-fingeravtrycksformatet i utkastet använder den avkodade MD5-hashen utan att ange någon annan algoritm.
- ssh-keygen (1): Tillåt certifikats giltighetsintervaller som endast anger start- eller stopptid (i stället för båda eller varken).
- sftp (1): Tillåt "cd" och "lcd" kommandon med inget explicit vägargument. lcd kommer som vanligt att byta till den lokala användarens hemkatalog. cd-skivan kommer att ändras till startkatalogen för session (eftersom protokollet inte ger något sätt att hämta fjärranvändarens hemkatalog). BZ # 2760
- sshd (8): När du gör ett config-test med sshd -T behöver du bara de attribut som används i Match-kriterier snarare än (en ofullständig lista över) alla kriterier.
- Följande viktiga fel har fastställts i den här utgåvan:
- ssh (1) / sshd (8): Kontrollera noggrant signaturtyper under nyckelutbyte mot vad som förhandlades fram. Förhindrar nedgradering av RSA-signaturer med SHA-256/512 till SHA-1.
- sshd (8): Fix support för klient som annonserar en protokollversion av "1,99" (vilket indikerar att de är beredda att acceptera både SSHv1 och SSHv2). Detta var bruten i OpenSSH 7.6 under avlägsnandet av SSHv1 support. BZ # 2810
- ssh (1): Varning när agenten returnerar en ssh-rsa (SHA1) signatur när en rsa-sha2-256 / 512 signatur begärdes. Detta villkor är möjligt när en gammal eller icke-OpenSSH-agent är i bruk. BZ # 2799
- ssh-agent (1): Fix regression introducera i 7.6 som orsakade ssh-agent att gå fatal om det presenterades ett ogiltigt signaturförfrågningsmeddelande.
- sshd_config (5): Acceptera ja / nej flaggalternativ otillräckligt, vilket har varit fallet i ssh_config (5) under lång tid. BZ # 2664
- ssh (1): Förbättra felrapportering för fel under anslutningen. Under vissa omständigheter visade sig vilseledande fel. BZ # 2814
- ssh-keyscan (1): Add -D alternativ för att möjliggöra utskrift av resultat direkt i SSHFP-format. BZ # 2821
- regress tester: fixa PuTTY interop test bruten i senaste utgåvan s SSHv1 borttagning. BZ # 2823
- ssh (1): Kompatibilitetsfix för vissa servrar som felaktigt släpper anslutningen när alternativet IUTF8 (RFC8160) skickas.
- scp (1): Inaktivera RemoteCommand och RequestTTY i ssh-sessionen startad av scp (sftp gjorde redan detta.)
- ssh-keygen (1): Vägra att skapa ett certifikat med ett oanvändbart antal chefer.
- ssh-keygen (1): Avsluta fett om ssh-keygen inte kan skriva all den offentliga nyckeln under nyckelgenerering. Tidigare skulle det tyst ignorera fel som skriver kommentaren och avslutar newline.
- ssh (1): Ändra inte värdnamnargument som adresser genom att automatiskt tvinga dem till små bokstäver. I stället kan de kanonicalisera dem för att lösa tvetydigheter (t ex :: 0001 => :: 1) innan de matchas mot known_hosts. BZ # 2763
- ssh (1): Acceptera inte skräp efter "ja" eller "nej" svar på hostkey-prompter. BZ # 2803
- sftp (1): Har sftp skriv ut en varning om skalens renhet när avkodningen av det första paketet misslyckas, vilket vanligtvis orsakas av att föroreningar förorenar stdout av icke-interaktiva startuppdateringar. BZ # 2800
- ssh (1) / sshd (8): Växla tidtagare i paketkod från att använda väggurstid till monotonisk tid, så att paketskiktet bättre kan fungera över ett klocksteg och undvika möjliga heltal överflöden under steg.
- Många manuella sidkorrigeringar och förbättringar.
- LibreSSL 2.7.2
- Tillagt stöd för många OpenSSL 1.0.2 och 1.1 API: er, baserat på observationer av verklig användning i applikationer. Dessa implementeras parallellt med befintliga API för OpenSSL 1.0.1. Siktförändringar har inte gjorts i befintliga strukturer, vilket gör att kod som skrivs för äldre OpenSSL-API kan fortsätta fungera.
- Omfattande korrigeringar, förbättringar och tillägg till API-dokumentationen, inklusive nya offentliga API-filer från OpenSSL som inte hade någon existerande dokumentation.
- Tillagd support för automatisk biblioteksinitiering i libcrypto, libssl och libtls. Stöd för pthread_once eller en kompatibel ekvivalent krävs nu av måloperativsystemet. Som en bieffekt är minimalt Windows-stöd Vista eller högre.
- Konverterad mer pakethanteringsmetoder till CBB, vilket förbättrar elasticitet vid generering av TLS-meddelanden.
- Fullständig omskrivning av TLS-förlängningshantering, förbättrad överensstämmelse med kontroller för felaktiga och dubbla tillägg.
- Rewrote ASN1_TYPE_ {get, set} _octetstring () med hjälp av templated ASN.1. Detta tar bort den senaste återstående användningen av de gamla M_ASN1_ * -makronerna (asn1_mac.h) från API som måste fortsätta att existera.
- Tillagd support för återupptagning av klientsidor i libtls. En libtls-klient kan ange en sessionsfilbeskrivare (en vanlig fil med lämpligt ägande och behörigheter) och libtls kommer att hantera läsning och skrivning av sessionsdata över TLS-handskakningar.
- Förbättrat stöd för strikt anpassning på ARMv7-arkitekturer, som möjliggör montering i sådana fall.
- Fäst en minnesläcka i libtls när du återanvändar en tls_config.
- Sammanslagna mer DTLS-stöd i den vanliga TLS-kodbanan, ta bort dubblet kod.
- Portar och paket:
- dpb (1) och normala portar (7) kan nu njuta av samma privilegierad separerade modell genom att ställa in PORTS_PRIVSEP = Ja
- Många förbyggda paket för varje arkitektur:
- aarch64: 7990
- alfa: 1
- amd64: 9912
- arm: XXXX
- hppa: XXXX
- i386: 9861
- mips64: 8149
- mips64el: XXXX
- powerpc: XXXX
- sh: 1
- sparc64: XXXX
- Några höjdpunkter:
- AFL 2.52b
- CMake 3.10.2
- Chromium 65.0.3325.181
- Emacs 21.4 och 25.3
- GCC 4.9.4
- GHC 8.2.2
- Gimp 2.8.22
- GNOME 3.26.2
- Gå 1.10
- Groff 1.22.3
- JDK 8u144
- KDE 3.5.10 och 4.14.3 (plus KDE4-kärnan uppdateringar)
- LLVM / Clang 5.0.1
- LibreOffice 6.0.2.1
- Lua 5.1.5, 5.2.4 och 5.3.4
- MariaDB 10.0.34
- Mozilla Firefox 52.7.3esr och 59.0.2
- Mozilla Thunderbird 52.7.0
- Mutt 1.9.4 och NeoMutt 20180223
- Node.js 8.9.4
- Ocaml 4.03.0
- OpenLDAP 2.3.43 och 2.4.45
- PHP 5.6.34 och 7.0.28
- Postfix 3.3.0 och 3.4-20180203
- PostgreSQL 10.3
- Python 2.7.14 och 3.6.4
- R 3.4.4
- Ruby 2.3.6, 2.4.3 och 2.5.0
- Rost 1.24.0
- Sendmail 8.16.0.21
- SQLite3 3.22.0
- Sudo 1.8.22
- Tcl / Tk 8.5.19 och 8.6.8
- TeX Live 2017
- Vim 8.0.1589
- Xfce 4.12
- Som vanligt, ständiga förbättringar i manuella sidor och annan dokumentation.
- Systemet innehåller följande huvudkomponenter från externa leverantörer:
- Xenocara (baserat på X.Org 7.7 med xserver 1.19.6 + patchar, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 och mer)
- LLVM / Clang 5.0.1 (+ patchar)
- GCC 4.2.1 (+ patchar) och 3.3.6 (+ patchar)
- Perl 5.24.3 (+ patchar)
- NSD 4.1.20
- Obundet 1.6.8
- Ncurses 5.7
- Binutils 2.17 (+ patchar)
- Gdb 6.3 (+ patchar)
- Awk 10 aug 2011 version
- Expat 2.2.5
Vad är nytt i version 6.2:
- Nya / utökade plattformar:
- ARMv7:
- EFI bootloader läggs till, kärnor laddas nu från FFS istället för FAT eller EXT filsystem utan U-Boot headers.
- En enda kärna och ramdisk används nu för alla SoCs.
- Hårdvaran är dynamiskt uppräknad via Flatt Device Drive (FDT) i stället för via statiska tabeller baserat på ID-nummer.
- Miniroot installatörsbilder inkluderar U-Boot 2016.07 med stöd för EFI-nyttolast.
- vax:
- Bort.
- Förbättrat support för hårdvara, inklusive:
- Ny bytgpio (4) drivrutin för Intel Bay Trail GPIO-controller.
- Ny chvgpio (4) drivrutin för Intel Cherry View GPIO-kontrollenheten.
- Ny maxrtc (4) drivrutin för realtidsklockan Maxim DS1307.
- Ny nvme (4) drivrutin för värdgränssnittet för icke-flyktigt minne Express (NVMe).
- Ny pcfrtc (4) drivrutin för realtidsklockan NXP PCF8523.
- Ny umb (4) drivrutin för Mobile Broadband Interface Model (MBIM).
- Ny klocka (4) drivrutin för RealTek RTL8152 baserade 10/100 USB Ethernet-enheter.
- Ny utvfu (4) drivrutin för ljud / videoinspelningsenheter baserad på Fushicai USBTV007.
- Drivrutinen iwm (4) stöder nu Intel Wireless 3165 och 8260 enheter, och fungerar mer pålitligt i RAMDISK-kärnor.
- Stöd för I2C HID-enheter med GPIO signerade avbrott har lagts till i dwiic (4).
- Stöd för större bussbredder, höghastighetslägen och DMA-överföringar har lagts till sdmmc (4), rtsx (4), sdhc (4) och imxesdhc (4).
- Stöd för EHCI- och OHCI-kompatibla USB-controllers på Octeon II SoCs.
- Många USB-drivrutiner har aktiverats på OpenBSD / octeon.
- Förbättrat stöd för hårdvarubaserade ACPI-implementeringar.
- Förbättrat stöd för implementeringar av ACPI 5.0.
- AES-NI krypto är nu klar utan att hålla kärnlåset.
- Förbättrat AGP-stöd på PowerPC G5-maskiner.
- Tillagt stöd för SD-kortplatsen i Intel Bay Trail SoCs.
- Den ichiic (4) drivrutinen ignorerar nu SMBALERT # avbrottet för att förhindra en stör storm med buggy BIOS-implementeringar.
- Enhetsproblem med axeln (4) drivrutinen har rättats.
- Ral (4) föraren är stabilare under belastning med RT2860-enheter.
- Problem med döda tangentbord efter återupptagning har fixats i drivrutinen pckbd (4).
- Drivrutinen rtsx (4) stödjer nu RTS522A-enheter.
- Initialt stöd för MSI-X har lagts till.
- Stöd MSI-X i drivrutinen virtio (4).
- Tillagd en lösning för hårdvaruprocesser för DMA till dc (4) -drivrutinen.
- Drivrutinen acpitz (4) spinner nu fläkten ner efter kylning om ACPI använder hysteres för aktiv kylning.
- Drivrutinen xhci (4) utför nu handoff från en xHCI-kompatibel BIOS korrekt.
- Stöd för multi-touch-ingång har lagts till i wsmouse (4) -drivrutinen.
- Drivrutinen uslcom (4) stöder nu seriekonsolen i Aruba 7xxx trådlösa styrenheter.
- Drivrutinen re (4) arbetar nu kring brutna LED-konfigurationer i APU1 EEPROM.
- Driveren ehci (4) arbetar nu med problem med ATI USB-kontroller (t ex SB700).
- Driveren xen (4) stöder nu domU-konfiguration under Qubes OS.
- IEEE 802.11 trådlös stack förbättringar:
- HT-blocket ack får buffertlogik följer den algoritm som ges i 802.11-2012-specifikationen närmare.
- Iwn (4) -föraren följer nu HT-skyddsändringar i samband med en 11n AP.
- Den trådlösa stapeln och flera drivrutiner gör mer aggressiv användning av RTS / CTS för att undvika störningar från äldre enheter och dolda noder.
- Kommandot netstat (1) -W visar nu information om 802.11n-händelser.
- I hostap-läge, använd inte nytt ID-nummer för noder som fortfarande är cachade. Åtgärdar ett problem där en åtkomstpunkt som använder ral (4) -föraren skulle fastna vid 1 Mbps eftersom Tx-räkenskapsräkning hände på fel nodobjekt.
- Generella förbättringar av nätverksstack:
- Rutningstabellen bygger nu på ART som erbjuder en snabbare sökning.
- Antalet sökning per paket har minskats till 1 i vidarekopplingsvägen.
- Prio-fältet på VLAN-rubriker är nu korrekt inställt på varje fragment av ett IPv4-paket som går ut på ett vlan (4) gränssnitt.
- Aktiverad enhet kloning för bpf (4). Detta gör att systemet kan ha bara en bpf-enhetskod i / dev som tjänar alla bpf-konsumenter (upp till 1024).
- Tx-kön på cnmac-drivrutinen (4) kan nu bearbetas parallellt med resten av kärnan.
- Nätverksinmatningsvägen körs nu i trådkontext.
- Installer förbättringar:
- uppdaterad lista över begränsade användarkoder
- install.sh och upgrade.sh slog samman till install.sub
- uppdateringen körs automatiskt sysmerge (8) i satsläge före fw_update (1)
- frågor och svar loggas i ett format som kan användas som en svarfil för användning av autoinstall (8)
- / usr / local är inställt på wxallowed under installationen
- Ruttademoner och andra förbättringar i användarlandsnätverket:
- Lägg till rutningstabellstöd till rc.d (8) och rcctl (8).
- Låt nc (1) supporttjänstnamn utöver portnummer.
- Lägg till -M och -m TTL-flaggor till nc (1).
- Lägg till AF_UNIX-stöd till tcpbench (1).
- Fast en regression i rarpd (8). Daemonen kunde hänga om den var ofaktiv i lång tid.
- Tillagde alternativet llprio i ifconfig (8).
- Flera program som använder bpf (4) har modifierats för att utnyttja bpf (4) enhetskloning genom att öppna / dev / bpf0 istället för att loopa igenom / dev / bpf * -enheter. Dessa program inkluderar arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) och tcpdump (8). Biblioteket libpcap har också ändrats i enlighet därmed.
- Säkerhetsförbättringar:
- W ^ X är nu strikt tillämpad som standard; ett program kan endast bryta mot det om körbar är markerad med PT_OPENBSD_WXNEEDED och ligger på ett filsystem som är monterat med alternativet wxallowed mount (8). Eftersom det fortfarande finns för många portar som bryter mot W ^ X, monterar installationsprogrammet / usr / local filsystem med wxallowed. Detta gör att bassystemet kan vara säkrare så länge som / usr / local är ett separat filsystem. Om du inte använder W ^ X-brytningsprogram, överväga att manuellt återkalla det här alternativet.
- Inställningsfamiljen setjmp (3) tillämpar nu XOR-cookies för att stapla och returnera värden i jmpbufen på amd64, hppa, i386, mips64 och powerpc.
- SROP-reduktion: Sigreturn (2) kan nu endast användas av den kärnförsedda signalspårvagnen, med en kaka för att upptäcka försök att återanvända det.
- För att avskräcka användningen av återanvändning av kod, kopplar rc (8) libc.so igen vid uppstart och placerar objekten i slumpmässig ordning.
- I funktionen Getpwnam (3), sluta öppna skuggdatabasen som standard.
- Tillåt tcpdump (8) -r att startas utan root privilegier.
- Ta bort systrace.
- Ta bort Linux-emuleringsstöd.
- Ta bort support för alternativet usermount.
- TCP SYN-cachen återställer sin slumpmässiga hashfunktion från tid till annan. Detta förhindrar att en angripare beräknar distributionen av hashfunktionen med en tidsangivelse.
- För att arbeta mot SYN-översvämningsattacker kan administratören ändra storleken på hash-arrayen nu. netstat (1) -s -p tcp visar relevant information för att ställa in SYN-cachen med sysctl (8) net.inet.tcp.
- Administratören kan kräva root-privilegier för att binda till vissa TCP- och UDP-portar med sysctl (8) net.inet.tcp.rootonly och sysctl (8) net.inet.udp.rootonly.
- Ta bort en funktionspekare från mbuf (9) datastrukturen och använd istället ett index i en uppsättning acceptabla funktioner.
- Blandade förbättringar:
- Trådbiblioteket kan nu laddas i en enkelgängad process.
- Förbättrad symbolhantering och överensstämmelse med standarder i libc. Till exempel, att definiera en öppen () -funktion kommer inte längre att störa funktionen för fopen (3).
- PT_TLS-sektioner stöds nu i ursprungligen laddade objekt.
- Förbättrad hantering av "inga banor" och "tom bana" i fts (3).
- I fack (3), ge funktionerna pcap_free_datalinks () och pcap_offline_filter ().
- Många buggfixar och strukturell rengöring i editline (3) biblioteket.
- Ta bort gamla dbm (3) funktioner; ndbm (3) förblir.
- Lägg till setenv-nyckelord för mer kraftfull miljöhantering i doas.conf (5).
- Lägg till -g och -p alternativ till aucat.1 för tidspositionering.
- Skriv om audioctl (1) med ett enklare användargränssnitt.
- Lägg till -F alternativ för att installera (1) till fsync (2) filen innan du stänger den.
- kdump (1) dumpar nu pollfd-strukturer.
- Förbättra olika detaljer om ksh (1) POSIX-överensstämmelse.
- mknod (8) omskrivs i en pant (2) -vänlig stil och för att stödja att skapa flera enheter samtidigt.
- Implementera rcctl (8) få allt och getdef alla.
- Implementera flaggan rcs (1) -I (interactive)
- I rcs (1) implementerar du Mdocdate-nyckelordsbyte.
- I topp (1) tillåter du att filtrera processargument om de visas.
- Tillagd UTF-8-stöd för att lägga (1) och rev (1).
- Aktivera UTF-8 som standard i xterm (1) och pod2man (1).
- Filtrera icke-ASCII-tecken i väggen (1).
- Hantera miljövariabelns COLUMNS konsekvent över många program.
- Alternativen -c och -k tillåter att tillhandahålla TLS-klientcertifikat för syslogd (8) på sändningssidan. Då kan mottagarsidan verifiera loggmeddelanden är autentiska. Observera att syslogd inte har denna checkfunktion än.
- När klogbufferten övergår, skriver syslogd ett loggmeddelande för att visa att vissa poster saknas.
- På OpenBSD / octeon är CPU-cache-skrivbuffert aktiverat för att förbättra prestanda.
- pkg_add (1) och pkg_info (1) förstår nu en grenbegrepp för att underlätta valet av några populära paket som python eller php, t.ex. säg pkg_add python% 3.4 för att välja 3,4-grenen och använd pkg_info -zm till få en fuzzy listning med grenval som passar för pkg_add -l.
- fdisk (8) och pdisk (8) avslutas omedelbart om inte en särskild karaktär har passerat
- st (4) spårar korrekt det aktuella blockräkningen för block med variabel storlek
- fsck_ext2fs (8) fungerar igen
- Mjuka (4) volymer kan konstrueras med diskar med en sektorsstorlek på annat än 512 byte
- dhclient (8) DECLINE och kassera oanvänd OFFER.
- dhclient (8) lämnar omedelbart om dess gränssnitt (t.ex. en bro (4)) returnerar EAFNOSUPPORT när ett paket skickas.
- httpd (8) returnerar 400 dålig begäran om HTTP v0.9-förfrågningar.
- ffs2s lata nodinitiering undviker att behandla slumpmässig diskdata som en inod
- fcntl (2) inbjudningar i basprogram använder idiom fcntl (n, F_GETFL) istället för fcntl (n, F_GETFL, 0)
- socket (2) och accept4 (2) inbjudningar i basprogram använder SOCK_NONBLOCK för att eliminera behovet av en separat fcntl (2).
- tmpfs är inte aktiverat som standard
- Inom kärnans semantik av pant (2) förbättrades på många sätt. Höjdpunkterna inkluderar: ett nytt löfte-löfte som tillåter lovade program att ställa in stämda attribut, en strängare verkställighet av recvfd-löfte och chroot (2) tillåts inte längre för pantsatta program.
- Ett antal pantsatta (2) -relaterade buggar (saknade löften, oavsiktliga förändringar av beteende, krascher) fixades, särskilt i gzip (1), nc (1), sed (1), skeyinit (1) (1) och olika diskrelaterade verktyg, såsom disklabel (8) och fdisk (8).
- Beräkningsfel för blockstorlek i drivrutinen för ljud (4) har rättats.
- Driveren usb (4) cachar nu leverantör och produkt-ID. Lös en fråga där usbdevs (8) kallas i en slinga skulle göra att en USB-masslagringsenhet stoppar operationen.
- Rsu (4) och ural (4) förare arbetar nu igen efter att de av misstag brutit in 5.9.
- OpenSMTPD 6.0.0
- Säkerhet:
- Implementera gaffel + exec mönstret i smtpd (8).
- Fixa en logisk fråga i SMTP-tillståndsmaskinen som kan leda till ett ogiltigt tillstånd och resultera i en krasch.
- Anslut en filpekare läcka som kan leda till utmattning av resurser och resultera i en krasch.
- Använd automatiska DH-parametrar istället för fasta.
- Inaktivera DHE som standard eftersom det är beräkningsdrivet och en potentiell DoS-vektor.
- Följande förbättringar infördes i version 6.2:
- Lägg till alternativet -r till smtpd (8) enqueuer för kompatibilitet med mailx.
- Lägg till missdatum eller meddelande-id när du lyssnar på inlämningsporten.
- Fix "smtpctl show queue" rapportering & quot; ogiltig & quot; kuvertstatus.
- Redigerar formatet för & quot; Mottagna & quot; header så att TLS-delen inte bryter mot RFC.
- Öka antalet anslutningar som en lokal adress tillåts upprätta och minska fördröjningen mellan transaktioner i samma session.
- Fix LMTP-leverans till servrar som returnerar fortsättningslinjer.
- Fortsätt förbättra API: n för experimentell filter och åtgärda olika relaterade problem.
- Börja förbättra och kombinera formatet för loggmeddelanden.
- Åtgärda flera skillnader i dokumentation och skrivfel i mansidorna.
- OpenSSH 7.3
- Säkerhet:
- sshd (8): Mitigate en potentiell avkänning av service attack mot systemets krypta (3) funktion via sshd (8). En angripare kan skicka mycket långa lösenord som skulle orsaka överdriven CPU-användning i kryptering (3). sshd (8) vägrar nu att acceptera önskemål om lösenordsautentisering med längd större än 1024 tecken.
- sshd (8): Mitigate timing skillnader i lösenord autentisering som kan användas för att urskilja giltiga från ogiltiga kontonamn när långa lösenord skickades och särskilda lösenordshastighetsalgoritmer används på servern. CVE-2016-6210.
- ssh (1), sshd (8): Fix observerbar tidssvaghet i CBC-polstring av oracle-motåtgärder. Observera att CBC-cifrar är inaktiverade som standard och ingår endast för äldre kompatibilitet.
- ssh (1), sshd (8): Förbättra beställningen av MAC-verifiering för kryptering-sedan-MAC (EtM) -läget transport-MAC-algoritmer för att verifiera MAC innan de dekrypterar någon chiffertext. Detta avlägsnar möjligheten att tidsskillnader som leder till fakta om klartext, även om inget sådant läckage är känt.
- Nya / ändrade funktioner:
- ssh (1): Lägg till ett ProxyJump-alternativ och motsvarande -J-kommandoradsflagga för att tillåta förenklad indirektion genom en eller flera SSH-bastioner eller "jump hosts".
- ssh (1): Lägg till ett IdentityAgent-alternativ för att tillåta specificering av specifika agentuttag istället för att acceptera en från miljön.
- ssh (1): Tillåt att ExitOnForwardFailure och ClearAllForwardings överfras eventuellt när du använder ssh -W. (Bz # 2577)
- ssh (1), sshd (8): Implementera stöd för IUTF8-terminalläge enligt utkast till sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): Lägg till stöd för ytterligare fasta Diffie-Hellman 2K-, 4K- och 8K-grupper från draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): stödja SHA256- och SHA512 RSA-signaturer i certifikat.
- ssh (1): Lägg till ett Inkluderingsdirektiv för ssh_config (5) filer.
- ssh (1): Tillåt UTF-8 tecken i förkännandebannor som skickats från servern. (Bz # 2058)
- Följande signifikanta fel har fastställts i version 6.2:
- I scp (1) och sftp (1) förhindrar du att skruva upp terminalinställningarna genom att flytta byte som inte bildar ASCII eller UTF-8 tecken.
- ssh (1), sshd (8): Minska syslognivån för några relativt vanliga protokollhändelser från LOG_CRIT. (Bz # 2585)
- sshd (8): Refuse AuthenticationMethods = "& quot; i konfigurationer och acceptera AuthenticationMethods = någon för standardbeteendet som inte kräver flera autentiseringar. (Bz # 2398)
- sshd (8): Ta bort föråldrad och vilseledande "MÖJLIG BREAK-IN ATTEMPT!" meddelande när framåt och omvänd DNS matchar inte. (Bz # 2585)
- ssh (1): Stäng ControlPersist bakgrundsprocess stderr utom i debug-läge eller när du loggar på syslog. (Bz # 1988)
- Misc: Gör PROTOCOL-beskrivning för direkt-streamlocal@openssh.com kanalöppnade meddelanden matcha använd kod. (Bz # 2529)
- ssh (1): Deduplicate LocalForward och RemoteForward-poster för att fixa fel när både ExitOnForwardFailure och värdnamn kanonicalization är aktiverade. (Bz # 2562)
- sshd (8): Ta bort fallback från moduli till föråldrade "primer" filen som avlägsnades 2001. (bz # 2559)
- sshd_config (5): Korrekt beskrivning av UseDNS: det påverkar ssh värdnamn behandling för authorized_keys, inte known_hosts. (Bz # 2554)
- ssh (1): Fixa autentisering med ensam certifikatnycklar i en agent utan motsvarande privata nycklar på filsystemet. (Bz # 2550)
- sshd (8): Skicka ClientAliveInterval pings när en tidsbaserad RekeyLimit är inställd; tidigare keepalive paket skickades inte. (Bz # 2252)
- OpenNTPD 6.0
- När en enda "begränsning" är angivet, försök alla återvände adresser tills en lyckas, snarare än den första returnerade adressen.
- Avkopplat begränsningsfelmarginalen för att vara proportionell mot antalet NTP-peers, undvik konstant återkoppling när det är en dålig NTP-peer.
- Avlägsnat avstängt hotplug (4) sensorstöd.
- Tillagt stöd för att upptäcka kraschar i begränsade delprocesser.
- Flytta genomförandet av begränsningar från ntp-processen till moderprocessen, vilket möjliggör bättre separation av privilegier, eftersom ntp-processen kan begränsas ytterligare.
- Fast hög CPU-användning när nätverket är nere.
- Fasta olika minnesläckor.
- Växlad till RMS för jitterberäkningar.
- Förenade loggfunktioner med andra OpenBSD-basprogram.
- Ställ in MOD_MAXERROR för att undvika osynlig tidsstatus när du använder ntp_adjtime.
- Hastig HTTP Timestamp header parsing för att använda strptime (3) på ett mer bärbart sätt.
- Härdad TLS för ntpd (8) begränsningar, vilket möjliggör verifiering av servernamn.
- LibreSSL 2.4.2
- Användaresynliga funktioner:
- Fixa några brutna manpage-länkar i installationsmålet.
- cert.pem har omorganiserats och synkroniserats med Mozillas certifikatbutik.
- Tillförlitlighet fixar, korrigerar ett fel när man analyserar vissa ASN.1-element över 16k i storlek.
- Implementerade IETF ChaCha20-Poly1305-chiffer-sviterna.
- Fast lösenordsanmälan från openssl (1) för att hantera korrekt ^ C.
- Kodförbättringar:
- Fixat ett nginx-kompatibilitetsproblem genom att lägga till ett "install_sw" byggmål.
- Ändrad standard EVP_aead_chacha20_poly1305 (3) implementering till IETF-versionen, som nu är standard.
- Omarbetad felhantering i libtls så att konfigurationsfel är mer synliga.
- Tillagd felhantering runt bn_wexpand (3) samtal.
- Tillagd explicit_bzero (3) kräver frigivna ASN.1-objekt.
- Fasta X509_ * set_object-funktionerna för att returnera 0 vid allokeringsfel.
- Utskriven intern användning av EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Lös ett problem som hindrar DSA signeringsalgoritmen från att köra i konstant tid, även om flaggan BN_FLG_CONSTTIME är inställd.
- Fixade flera problem i OCSP-koden som kan leda till felaktig produktion och analysering av OCSP-förfrågningar. Detta åtgärdar bristen på felkontroll vid tidpunktsanalys i dessa funktioner och säkerställer att endast GENERALIZEDTIME-format accepteras för OCSP, enligt RFC 6960.
- Följande CVE: er har fastställts:
- CVE-2016-2105-EVP_EncodeUpdate överflöde.
- CVE-2016-2106-EVP_EncryptUpdate överflöde.
- CVE-2016-2107-padding oracle i AES-NI CBC MAC check.
- CVE-2016-2108-minneskorruption i ASN.1-kodaren.
- CVE-2016-2109-ASN.1 BIO överdriven minnesallokering.
- Portar och paket:
- Nytt proot (1) verktyg i hamnen träd för att bygga paket i en chroot.
- Många förbyggda paket för varje arkitektur:
- alfa: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Några höjdpunkter:
- Afl 2.19b
- Chrom 51.0.2704.106
- Emacs 21.4 och 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Gå 1.6.3
- Groff 1.22.3
- JDK 7u80 och 8u72
- KDE 3.5.10 och 4.14.3 (plus KDE4-kärnan uppdateringar)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 och 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr och 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 och 2.4.44
- PHP 5.5.37, 5.6.23 och 7.0.8
- Postfix 3.1.1 och 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 och 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 och 2.3.1
- Rost 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 och 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Som vanligt, ständiga förbättringar i manuella sidor och annan dokumentation.
- Systemet innehåller följande huvudkomponenter från externa leverantörer:
- Xenocara (baserat på X.Org 7,7 med xserver 1.18.3 + plåster, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, XKEYBOARD-config 2,18 och mer)
- GCC 4.2.1 (+ patchar) och 3.3.6 (+ patchar)
- Perl 5.20.3 (+ patchar)
- SQLite 3.9.2 (+ patchar)
- NSD 4.1.10
- Obundet 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ patchar)
- Gdb 6.3 (+ patchar)
- Awk 10 aug 2011 version
- Expat 2.1.1
Vad är nytt i version 6.1:
- Nya / förlängda plattformar:
- ARMv7:
- EFI bootloader läggs till, kärnor laddas nu från FFS istället för FAT eller EXT filsystem utan U-Boot headers.
- En enda kärna och ramdisk används nu för alla SoCs.
- Hårdvaran är dynamiskt uppräknad via Flatt Device Drive (FDT) i stället för via statiska tabeller baserat på ID-nummer.
- Miniroot installatörsbilder inkluderar U-Boot 2016.07 med stöd för EFI-nyttolast.
- vax:
- Bort.
- Förbättrat support för hårdvara, inklusive:
- Ny bytgpio (4) drivrutin för Intel Bay Trail GPIO-controller.
- Ny chvgpio (4) drivrutin för Intel Cherry View GPIO-kontrollenheten.
- Ny maxrtc (4) drivrutin för realtidsklockan Maxim DS1307.
- Ny nvme (4) drivrutin för värdgränssnittet för icke-flyktigt minne Express (NVMe).
- Ny pcfrtc (4) drivrutin för realtidsklockan NXP PCF8523.
- Ny umb (4) drivrutin för Mobile Broadband Interface Model (MBIM).
- Ny klocka (4) drivrutin för RealTek RTL8152 baserade 10/100 USB Ethernet-enheter.
- Ny utvfu (4) drivrutin för ljud / videoinspelningsenheter baserad på Fushicai USBTV007.
- Drivrutinen iwm (4) stöder nu Intel Wireless 3165 och 8260 enheter, och fungerar mer pålitligt i RAMDISK-kärnor.
- Stöd för I2C HID-enheter med GPIO signerade avbrott har lagts till i dwiic (4).
- Stöd för större bussbredder, höghastighetslägen och DMA-överföringar har lagts till sdmmc (4), rtsx (4), sdhc (4) och imxesdhc (4).
- Stöd för EHCI- och OHCI-kompatibla USB-controllers på Octeon II SoCs.
- Många USB-drivrutiner har aktiverats på OpenBSD / octeon.
- Förbättrat stöd för hårdvarubaserade ACPI-implementeringar.
- Förbättrat stöd för implementeringar av ACPI 5.0.
- AES-NI krypto är nu klar utan att hålla kärnlåset.
- Förbättrat AGP-stöd på PowerPC G5-maskiner.
- Tillagt stöd för SD-kortplatsen i Intel Bay Trail SoCs.
- Den ichiic (4) drivrutinen ignorerar nu SMBALERT # avbrottet för att förhindra en stör storm med buggy BIOS-implementeringar.
- Enhetsproblem med axeln (4) drivrutinen har rättats.
- Ral (4) föraren är stabilare under belastning med RT2860-enheter.
- Problem med döda tangentbord efter återupptagning har fixats i drivrutinen pckbd (4).
- Drivrutinen rtsx (4) stödjer nu RTS522A-enheter.
- Initialt stöd för MSI-X har lagts till.
- Stöd MSI-X i drivrutinen virtio (4).
- Tillagd en lösning för hårdvaruprocesser för DMA till dc (4) -drivrutinen.
- Drivrutinen acpitz (4) spinner nu fläkten ner efter kylning om ACPI använder hysteres för aktiv kylning.
- Drivrutinen xhci (4) utför nu handoff från en xHCI-kompatibel BIOS korrekt.
- Stöd för multi-touch-ingång har lagts till i wsmouse (4) -drivrutinen.
- Drivrutinen uslcom (4) stöder nu seriekonsolen i Aruba 7xxx trådlösa styrenheter.
- Drivrutinen re (4) arbetar nu kring brutna LED-konfigurationer i APU1 EEPROM.
- Driveren ehci (4) arbetar nu med problem med ATI USB-kontroller (t ex SB700).
- Driveren xen (4) stöder nu domU-konfiguration under Qubes OS.
- IEEE 802.11 trådlös stack förbättringar:
- HT-blocket ack får buffertlogik följer den algoritm som ges i 802.11-2012-specifikationen närmare.
- Iwn (4) -föraren följer nu HT-skyddsändringar i samband med en 11n AP.
- Den trådlösa stapeln och flera drivrutiner gör mer aggressiv användning av RTS / CTS för att undvika störningar från äldre enheter och dolda noder.
- Kommandot netstat (1) -W visar nu information om 802.11n-händelser.
- I hostap-läge, använd inte nytt ID-nummer för noder som fortfarande är cachade. Åtgärdar ett problem där en åtkomstpunkt som använder ral (4) -föraren skulle fastna vid 1 Mbps eftersom Tx-räkenskapsräkning hände på fel nodobjekt.
- Generella förbättringar av nätverksstack:
- Rutningstabellen bygger nu på ART som erbjuder en snabbare sökning.
- Antalet sökning per paket har minskats till 1 i vidarekopplingsvägen.
- Prio-fältet på VLAN-rubriker är nu korrekt inställt på varje fragment av ett IPv4-paket som går ut på ett vlan (4) gränssnitt.
- Aktiverad enhet kloning för bpf (4). Detta gör att systemet kan ha bara en bpf-enhetskod i / dev som tjänar alla bpf-konsumenter (upp till 1024).
- Tx-kön på cnmac-drivrutinen (4) kan nu bearbetas parallellt med resten av kärnan.
- Nätverksinmatningsvägen körs nu i trådkontext.
- Installer förbättringar:
- uppdaterad lista över begränsade användarkoder
- install.sh och upgrade.sh slog samman till install.sub
- uppdateringen körs automatiskt sysmerge (8) i satsläge före fw_update (1)
- frågor och svar loggas i ett format som kan användas som en svarfil för användning av autoinstall (8)
- / usr / local är inställt på wxallowed under installationen
- Ruttademoner och andra förbättringar i användarlandsnätverket:
- Lägg till rutningstabellstöd till rc.d (8) och rcctl (8).
- Låt nc (1) supporttjänstnamn utöver portnummer.
- Lägg till -M och -m TTL-flaggor till nc (1).
- Lägg till AF_UNIX-stöd till tcpbench (1).
- Fast en regression i rarpd (8). Daemonen kunde hänga om den var ofaktiv i lång tid.
- Tillagde alternativet llprio i ifconfig (8).
- Flera program som använder bpf (4) har modifierats för att utnyttja bpf (4) enhetskloning genom att öppna / dev / bpf0 istället för att loopa igenom / dev / bpf * -enheter. Dessa program inkluderar arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) och tcpdump (8). Biblioteket libpcap har också ändrats i enlighet därmed.
- Säkerhetsförbättringar:
- W ^ X är nu strikt tillämpad som standard; ett program kan endast bryta mot det om körbar är markerad med PT_OPENBSD_WXNEEDED och ligger på ett filsystem som är monterat med alternativet wxallowed mount (8). Eftersom det fortfarande finns för många portar som bryter mot W ^ X, monterar installationsprogrammet / usr / local filsystem med wxallowed. Detta gör att bassystemet kan vara säkrare så länge som / usr / local är ett separat filsystem. Om du inte använder W ^ X-brytningsprogram, överväga att manuellt återkalla det här alternativet.
- Inställningsfamiljen setjmp (3) tillämpar nu XOR-cookies för att stapla och returnera värden i jmpbufen på amd64, hppa, i386, mips64 och powerpc.
- SROP-reduktion: Sigreturn (2) kan nu endast användas av den kärnförsedda signalspårvagnen, med en kaka för att upptäcka försök att återanvända det.
- För att avskräcka användningen av återanvändning av kod, kopplar rc (8) libc.so igen vid uppstart och placerar objekten i slumpmässig ordning.
- I funktionen Getpwnam (3), sluta öppna skuggdatabasen som standard.
- Tillåt tcpdump (8) -r att startas utan root privilegier.
- Ta bort systrace.
- Ta bort Linux-emuleringsstöd.
- Ta bort support för alternativet usermount.
- TCP SYN-cachen återställer sin slumpmässiga hashfunktion från tid till annan. Detta förhindrar att en angripare beräknar distributionen av hashfunktionen med en tidsangivelse.
- För att arbeta mot SYN-översvämningsattacker kan administratören ändra storleken på hash-arrayen nu. netstat (1) -s -p tcp visar relevant information för att ställa in SYN-cachen med sysctl (8) net.inet.tcp.
- Administratören kan kräva root-privilegier för att binda till vissa TCP- och UDP-portar med sysctl (8) net.inet.tcp.rootonly och sysctl (8) net.inet.udp.rootonly.
- Ta bort en funktionspekare från mbuf (9) datastrukturen och använd istället ett index i en uppsättning acceptabla funktioner.
- Blandade förbättringar:
- Trådbiblioteket kan nu laddas i en enkelgängad process.
- Förbättrad symbolhantering och överensstämmelse med standarder i libc. Till exempel, att definiera en öppen () -funktion kommer inte längre att störa funktionen för fopen (3).
- PT_TLS-sektioner stöds nu i ursprungligen laddade objekt.
- Förbättrad hantering av "inga vägar" och "tom väg" i fts (3).
- I fack (3), ge funktionerna pcap_free_datalinks () och pcap_offline_filter ().
- Många buggfixar och strukturell rengöring i editline (3) biblioteket.
- Ta bort gamla dbm (3) funktioner; ndbm (3) förblir.
- Lägg till setenv-nyckelord för mer kraftfull miljöhantering i doas.conf (5).
- Lägg till -g och -p alternativ till aucat.1 för tidspositionering.
- Skriv om audioctl (1) med ett enklare användargränssnitt.
- Lägg till -F alternativ för att installera (1) till fsync (2) filen innan du stänger den.
- kdump (1) dumpar nu pollfd-strukturer.
- Förbättra olika detaljer om ksh (1) POSIX-överensstämmelse.
- mknod (8) omskrivs i en pant (2) -vänlig stil och för att stödja att skapa flera enheter samtidigt.
- Implementera rcctl (8) få allt och getdef alla.
- Implementera flaggan rcs (1) -I (interactive)
- I rcs (1) implementerar du Mdocdate-nyckelordsbyte.
- I topp (1) tillåter du att filtrera processargument om de visas.
- Tillagd UTF-8-stöd för att lägga (1) och rev (1).
- Aktivera UTF-8 som standard i xterm (1) och pod2man (1).
- Filtrera icke-ASCII-tecken i väggen (1).
- Hantera miljövariabelns COLUMNS konsekvent över många program.
- Alternativen -c och -k tillåter att tillhandahålla TLS-klientcertifikat för syslogd (8) på sändningssidan. Då kan mottagarsidan verifiera loggmeddelanden är autentiska. Observera att syslogd inte har denna checkfunktion än.
- När klogbufferten övergår, skriver syslogd ett loggmeddelande för att visa att vissa poster saknas.
- På OpenBSD / octeon är CPU-cache-skrivbuffert aktiverat för att förbättra prestanda.
- pkg_add (1) och pkg_info (1) förstår nu en grenbegrepp för att underlätta valet av några populära paket som python eller php, t.ex. säg pkg_add python% 3.4 för att välja 3,4-grenen och använd pkg_info -zm till få en fuzzy listning med grenval som passar för pkg_add -l.
- fdisk (8) och pdisk (8) avslutas omedelbart om inte en särskild karaktär har passerat
- st (4) spårar korrekt det aktuella blockräkningen för block med variabel storlek
- fsck_ext2fs (8) fungerar igen
- Mjuka (4) volymer kan konstrueras med diskar med en sektorsstorlek på annat än 512 byte
- dhclient (8) DECLINE och kassera oanvänd OFFER.
- dhclient (8) lämnar omedelbart om dess gränssnitt (t.ex. en bro (4)) returnerar EAFNOSUPPORT när ett paket skickas.
- httpd (8) returnerar 400 dålig begäran om HTTP v0.9-förfrågningar.
- ffs2s lata nodinitiering undviker att behandla slumpmässig diskdata som en inod
- fcntl (2) inbjudningar i basprogram använder idiom fcntl (n, F_GETFL) istället för fcntl (n, F_GETFL, 0)
- socket (2) och accept4 (2) inbjudningar i basprogram använder SOCK_NONBLOCK för att eliminera behovet av en separat fcntl (2).
- tmpfs är inte aktiverat som standard
- Inom kärnans semantik av pant (2) förbättrades på många sätt. Höjdpunkterna inkluderar: ett nytt löfte-löfte som tillåter lovade program att ställa in stämda attribut, en strängare verkställighet av recvfd-löfte och chroot (2) tillåts inte längre för pantsatta program.
- Ett antal pantsatta (2) -relaterade buggar (saknade löften, oavsiktliga förändringar av beteende, krascher) fixades, särskilt i gzip (1), nc (1), sed (1), skeyinit (1) (1) och olika diskrelaterade verktyg, såsom disklabel (8) och fdisk (8).
- Beräkningsfel för blockstorlek i drivrutinen för ljud (4) har rättats.
- Driveren usb (4) cachar nu leverantör och produkt-ID. Lös en fråga där usbdevs (8) kallas i en slinga skulle göra att en USB-masslagringsenhet stoppar operationen.
- Rsu (4) och ural (4) förare arbetar nu igen efter att de av misstag brutit in 5.9.
- OpenSMTPD 6.0.0
- Säkerhet:
- Implementera gaffel + exec mönstret i smtpd (8).
- Fixa en logisk fråga i SMTP-tillståndsmaskinen som kan leda till ett ogiltigt tillstånd och resultera i en krasch.
- Anslut en filpekare läcka som kan leda till utmattning av resurser och resultera i en krasch.
- Använd automatiska DH-parametrar istället för fasta.
- Inaktivera DHE som standard eftersom det är beräkningsdrivet och en potentiell DoS-vektor.
- Följande förbättringar infördes i version 6.1:
- Lägg till alternativet -r till smtpd (8) enqueuer för kompatibilitet med mailx.
- Lägg till missdatum eller meddelande-id när du lyssnar på inlämningsporten.
- Fix "smtpctl show queue" rapportering "ogiltigt" kuvertstatus.
- Ändrar formatet på "Mottagda" rubriken så att TLS-delen inte bryter mot RFC.
- Öka antalet anslutningar som en lokal adress tillåts upprätta och minska fördröjningen mellan transaktioner i samma session.
- Fix LMTP-leverans till servrar som returnerar fortsättningslinjer.
- Fortsätt förbättra API: n för experimentell filter och åtgärda olika relaterade problem.
- Börja förbättra och kombinera formatet för loggmeddelanden.
- Åtgärda flera skillnader i dokumentation och skrivfel i mansidorna.
- OpenSSH 7.3
- Säkerhet:
- sshd (8): Mitigate en potentiell avkänning av service attack mot systemets krypta (3) funktion via sshd (8). En angripare kan skicka mycket långa lösenord som skulle orsaka överdriven CPU-användning i kryptering (3). sshd (8) vägrar nu att acceptera önskemål om lösenordsautentisering med längd större än 1024 tecken.
- sshd (8): Mitigate timing skillnader i lösenord autentisering som kan användas för att urskilja giltiga från ogiltiga kontonamn när långa lösenord skickades och särskilda lösenordshastighetsalgoritmer används på servern. CVE-2016-6210.
- ssh (1), sshd (8): Fix observerbar tidssvaghet i CBC-polstring av oracle-motåtgärder. Observera att CBC-cifrar är inaktiverade som standard och ingår endast för äldre kompatibilitet.
- ssh (1), sshd (8): Förbättra beställningen av MAC-verifiering för kryptering-sedan-MAC (EtM) -läget transport-MAC-algoritmer för att verifiera MAC innan de dekrypterar någon chiffertext. Detta avlägsnar möjligheten att tidsskillnader som leder till fakta om klartext, även om inget sådant läckage är känt.
- Nya / ändrade funktioner:
- ssh (1): Lägg till ett ProxyJump-alternativ och motsvarande -J-kommandoraden flagga för att tillåta förenklad indirektion genom en eller flera SSH-bastioner eller "jump hosts".
- ssh (1): Lägg till ett IdentityAgent-alternativ för att tillåta specificering av specifika agentuttag istället för att acceptera en från miljön.
- ssh (1): Tillåt att ExitOnForwardFailure och ClearAllForwardings överfras eventuellt när du använder ssh -W. (Bz # 2577)
- ssh (1), sshd (8): Implementera stöd för IUTF8-terminalläge enligt utkast till sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): Lägg till stöd för ytterligare fasta Diffie-Hellman 2K-, 4K- och 8K-grupper från draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): stödja SHA256- och SHA512 RSA-signaturer i certifikat.
- ssh (1): Lägg till ett Inkluderingsdirektiv för ssh_config (5) filer.
- ssh (1): Tillåt UTF-8 tecken i förkännandebannor som skickats från servern. (Bz # 2058)
- Följande signifikanta fel har fastställts i version 6.1:
- I scp (1) och sftp (1) förhindrar du att skruva upp terminalinställningarna genom att flytta byte som inte bildar ASCII eller UTF-8 tecken.
- ssh (1), sshd (8): Minska syslognivån för några relativt vanliga protokollhändelser från LOG_CRIT. (Bz # 2585)
- sshd (8): Refuse AuthenticationMethods = "" i konfigurationer och acceptera AuthenticationMethods = någon för standardbeteendet som inte kräver flera autentiseringar. (Bz # 2398)
- sshd (8): Ta bort föråldrade och vilseledande "MÖJLIGT BREAK-IN ATTEMPT!" meddelande när framåt och omvänd DNS matchar inte. (Bz # 2585)
- ssh (1): Stäng ControlPersist bakgrundsprocess stderr utom i debug-läge eller när du loggar på syslog. (Bz # 1988)
- Misc: Gör PROTOCOL-beskrivning för direkt-streamlocal@openssh.com kanalöppnade meddelanden matcha använd kod. (Bz # 2529)
- ssh (1): Deduplicate LocalForward och RemoteForward-poster för att fixa fel när både ExitOnForwardFailure och värdnamn kanonicalization är aktiverade. (Bz # 2562)
- sshd (8): Ta bort återgång från moduli till föråldrad "primes" -fil som avlägsnades 2001. (bz # 2559)
- sshd_config (5): Korrekt beskrivning av UseDNS: det påverkar ssh värdnamn behandling för authorized_keys, inte known_hosts. (Bz # 2554)
- ssh (1): Fixa autentisering med ensam certifikatnycklar i en agent utan motsvarande privata nycklar på filsystemet. (Bz # 2550)
- sshd (8): Skicka ClientAliveInterval pings när en tidsbaserad RekeyLimit är inställd; tidigare keepalive paket skickades inte. (Bz # 2252)
- OpenNTPD 6.0
- När en enda "begränsning" anges, försök alla återvände adresser tills en lyckas, snarare än den första returnerade adressen.
- Avkopplat begränsningsfelmarginalen för att vara proportionell mot antalet NTP-peers, undvik konstant återkoppling när det är en dålig NTP-peer.
- Avlägsnat avstängt hotplug (4) sensorstöd.
- Tillagt stöd för att upptäcka kraschar i begränsade delprocesser.
- Flytta genomförandet av begränsningar från ntp-processen till moderprocessen, vilket möjliggör bättre separation av privilegier, eftersom ntp-processen kan begränsas ytterligare.
- Fast hög CPU-användning när nätverket är nere.
- Fasta olika minnesläckor.
- Växlad till RMS för jitterberäkningar.
- Förenade loggfunktioner med andra OpenBSD-basprogram.
- Ställ in MOD_MAXERROR för att undvika osynlig tidsstatus när du använder ntp_adjtime.
- Hastig HTTP Timestamp header parsing för att använda strptime (3) på ett mer bärbart sätt.
- Härdad TLS för ntpd (8) begränsningar, vilket möjliggör verifiering av servernamn.
- LibreSSL 2.4.2
- Användaresynliga funktioner:
- Fixa några brutna manpage-länkar i installationsmålet.
- cert.pem har omorganiserats och synkroniserats med Mozillas certifikatbutik.
- Tillförlitlighet fixar, korrigerar ett fel när man analyserar vissa ASN.1-element över 16k i storlek.
- Implementerade IETF ChaCha20-Poly1305-chiffer-sviterna.
- Fast lösenordsanmälan från openssl (1) för att hantera korrekt ^ C.
- Kodförbättringar:
- Fixat ett nginx-kompatibilitetsproblem genom att lägga till ett "install_sw" byggmål.
- Ändrad standard EVP_aead_chacha20_poly1305 (3) implementering till IETF-versionen, som nu är standard.
- Omarbetad felhantering i libtls så att konfigurationsfel är mer synliga.
- Tillagd felhantering runt bn_wexpand (3) samtal.
- Tillagd explicit_bzero (3) kräver frigivna ASN.1-objekt.
- Fasta X509_ * set_object-funktionerna för att returnera 0 vid allokeringsfel.
- Utskriven intern användning av EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Lös ett problem som hindrar DSA signeringsalgoritmen från att köra i konstant tid, även om flaggan BN_FLG_CONSTTIME är inställd.
- Fixade flera problem i OCSP-koden som kan leda till felaktig produktion och analysering av OCSP-förfrågningar. Detta åtgärdar bristen på felkontroll vid tidpunktsanalys i dessa funktioner och säkerställer att endast GENERALIZEDTIME-format accepteras för OCSP, enligt RFC 6960.
- Följande CVE: er har fastställts:
- CVE-2016-2105-EVP_EncodeUpdate överflöde.
- CVE-2016-2106-EVP_EncryptUpdate överflöde.
- CVE-2016-2107-padding oracle i AES-NI CBC MAC check.
- CVE-2016-2108-minneskorruption i ASN.1-kodaren.
- CVE-2016-2109-ASN.1 BIO överdriven minnesallokering.
- Portar och paket:
- Nytt proot (1) verktyg i hamnen träd för att bygga paket i en chroot.
- Många förbyggda paket för varje arkitektur:
- alfa: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Några höjdpunkter:
- Afl 2.19b
- Chrom 51.0.2704.106
- Emacs 21.4 och 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Gå 1.6.3
- Groff 1.22.3
- JDK 7u80 och 8u72
- KDE 3.5.10 och 4.14.3 (plus KDE4-kärnan uppdateringar)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 och 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr och 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 och 2.4.44
- PHP 5.5.37, 5.6.23 och 7.0.8
- Postfix 3.1.1 och 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 och 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 och 2.3.1
- Rost 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 och 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Som vanligt, ständiga förbättringar i manuella sidor och annan dokumentation.
- Systemet innehåller följande huvudkomponenter från externa leverantörer:
- Xenocara (baserat på X.Org 7.7 med xserver 1.18.3 + patchar, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2,18 och mer)
- GCC 4.2.1 (+ patchar) och 3.3.6 (+ patchar)
- Perl 5.20.3 (+ patchar)
- SQLite 3.9.2 (+ patchar)
- NSD 4.1.10
- Obundet 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ patchar)
- Gdb 6.3 (+ patchar)
- Awk 10 aug 2011 version
- Expat 2.1.1
Kommentarer hittades inte