OpenBSD

Logiciel capture d'écran:
OpenBSD
Détails logiciels:
Version: 6.3 Mise à jour
Date de transfert: 17 Aug 18
Développeur: OpenBSD Team
Licence: Gratuit
Popularité: 177
Télécharger

Rating: 4.0/5 (Total Votes: 1)

OpenBSD est un projet gratuit qui fournit un système d'exploitation UNIX de type multi-plateforme, portable, efficace, sécurisé et basé sur la plate-forme 4.4BSD. C'est un puissant serveur utilisé sur des centaines de milliers d’ordinateurs dans le monde.


Disponibilité, options de démarrage, plates-formes prises en charge

Le système d’exploitation est disponible gratuitement en téléchargement depuis la section dédiée (voir ci-dessus) sous forme d’images ISO ou de paquets binaires permettant aux utilisateurs de l’installer sur le réseau. Les images ISO peuvent être gravées sur des disques CD, directement depuis le BIOS de la plupart des PC.

OpenBSD prend en charge l’émulation binaire de la plupart des programmes de SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS et HP-UX. Il peut être installé sur une large gamme d'architectures, notamment i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 et mips64el.

L'image du CD démarre automatiquement sans intervention de l'utilisateur et lui demande si elle souhaite installer, mettre à niveau ou installer automatiquement le système d'exploitation manuellement, et accéder à une invite du shell.

Installation manuelle ou automatique

Une installation standard (read: manual) nécessite que les utilisateurs choisissent une disposition de clavier, définissent le nom d'hôte, choisissent une interface réseau et la configurent avec IPv4 et / ou IPv6, et définissent un nouveau mot de passe pour la racine ( administrateur système).

En outre, vous pouvez choisir de démarrer les services SSH et NTP au démarrage du système, choisir si vous souhaitez utiliser le système X Window ou non, configurer un utilisateur, choisir un fuseau horaire, partitionner le lecteur de disque et installer les jeux. .

Parmi les progiciels inclus disponibles pour OpenBSD, on peut citer les environnements de bureau GNOME, KDE et Xfce, les serveurs MySQL, PostgreSQL, Postfix et OpenLDAP, les applications Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim et Chromium, ainsi que les langages de programmation PHP, Python, Ruby, Tcl / Tk, JDK, Mono et Go.


Ligne de fond

En résumé, OpenBSD est un puissant système d’exploitation BSD / UNIX orienté serveur qui nous fournit des logiciels de pointe, notamment OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED et mandoc.

Nouveautés dans cette version:

  • Amélioration du support matériel, y compris:
  • Prise en charge SMP sur les plates-formes OpenBSD / arm64.
  • Prise en charge de VFP et NEON sur les plates-formes OpenBSD / armv7.
  • Nouveau pilote acrtc (4) pour le codec audio X-Powers AC100 et l'horloge temps réel.
  • Nouveau pilote axppmic (4) pour les CI de gestion d’alimentation X-Powers AXP.
  • Nouveau pilote bcmrng (4) pour le générateur de nombres aléatoires Broadcom BCM2835 / BCM2836 / BCM2837.
  • Nouveau pilote bcmtemp (4) pour le moniteur de température Broadcom BCM2835 / BCM2836 / BCM2837.
  • Nouveau pilote bgw (4) pour le détecteur de mouvement Bosch.
  • Nouveau pilote bwfm (4) pour les périphériques Broadcom et Cypress FullMAC 802.11 (toujours expérimental et non compilé par défaut dans le noyau)
  • Nouveau pilote efi (4) pour les services d'exécution EFI.
  • Nouveau pilote imxanatop (4) pour le régulateur intégré i.MX6.
  • Nouveau pilote rkpcie (4) pour le pont hôte / PCIe Rockchip RK3399.
  • Nouveau pilote sxirsb (4) pour le contrôleur de bus série réduit Allwinner.
  • Nouveau pilote sxitemp (4) pour le moniteur de température Allwinner.
  • Nouveau pilote sxits (4) pour capteur de température sur le contrôleur tactile Allwinner A10 / A20.
  • Nouveau pilote sxitwi (4) pour bus à deux fils trouvé sur plusieurs SoC Allwinner.
  • Nouveau pilote sypwr (4) pour le régulateur Silergy SY8106A.

  • Le support des SoC Rockchip RK3328 a été ajouté aux pilotes dwge (4), rkgrf (4), rkclock (4) et rkpinctrl (4).
  • Le support des SoC Rockchip RK3288 / RK3328 a été ajouté au pilote rktemp (4).
  • La prise en charge des SoC Allwinner A10 / A20, A23 / A33, A80 et R40 / V40 a été ajoutée au pilote sxiccmu (4).
  • La prise en charge des SoCs Allwinner A33, GR8 et R40 / V40 a été ajoutée au pilote sxipio (4).
  • Le support des mégaRAID SAS3.5 a été ajouté au pilote mfii (4).
  • Le support pour Ethernet intégré Intel Cannon Lake et Ice Lake a été ajouté au pilote em (4).

    • Les ports
  • cnmac (4) sont désormais affectés à différents cœurs de processeur pour le traitement des interruptions distribuées.
  • Le pilote pms (4) détecte et gère les annonces de réinitialisation.
  • Sur amd64, le microcode du processeur Intel est chargé au démarrage et installé / mis à jour par fw_update (1).
  • Prend en charge l’API de cookie d’interruption hyperviseur sun4v, en ajoutant la prise en charge des machines SPARC T7-1 / 2/4.
  • La prise en charge d'Hibernate a été ajoutée pour le stockage SD / MMC attaché aux contrôleurs sdhc (4).
  • clang (1) est maintenant utilisé comme compilateur système sur armv7, et il est également fourni sur sparc64.
  • améliorations de vmm (4) / vmd (8):
  • Ajoutez le support ISO du CD-ROM / DVD à vmd (8) via vioscsi (4).
  • vmd (8) ne crée plus d’interface de pont sous-jacente pour les commutateurs virtuels définis dans vm.conf (5).
  • vmd (8) reçoit les informations de commutation (rdomain, etc.) de l'interface de commutateur sous-jacente en conjonction avec les paramètres de vm.conf (5).
  • Prise en charge du compteur d'horodatage (TSC) dans les machines virtuelles invitées.
  • Support des noms de domaine ukvm / Solo5 dans vmm (4).
  • Gérez mieux les encodages d'instructions valides (mais peu courants).
  • Meilleure prise en charge de la pagination PAE pour les machines virtuelles hôtes Linux 32 bits.
  • vmd (8) autorise désormais jusqu'à quatre interfaces réseau dans chaque machine virtuelle.
  • Ajoutez la prise en charge des migrations et des snapshots en pause à vmm (4) pour les hôtes AMD SVM / RVI.
  • Les commandes BREAK envoyées sur un pty (4) sont maintenant comprises par vmd (8).
  • De nombreux correctifs pour la gestion des erreurs vmctl (8) et vmd (8).
  • Améliorations de la pile sans fil IEEE 802.11:
  • Les pilotes iwm (4) et iwn (4) se déplacent automatiquement entre les points d’accès partageant un ESSID. Forcer l'adresse MAC d'un point d'accès particulier avec la commande bssid de ifconfig désactive l'itinérance.
  • Efface automatiquement les clés WEP / WPA configurées lorsqu'un nouvel ESSID réseau est configuré.
  • La possibilité pour l'utilisateur de lire les clés WEP / WPA configurées depuis le noyau a été supprimée.
  • Le pilote iwm (4) peut maintenant se connecter aux réseaux avec un SSID masqué.
  • Les périphériques USB pris en charge par le pilote athn (4) utilisent désormais un microprogramme open source et le mode hostap fonctionne désormais avec ces périphériques.
  • Améliorations de la pile réseau générique:
  • La pile réseau ne fonctionne plus avec KERNEL_LOCK () lorsque IPsec est activé.
  • Le traitement des paquets TCP / UDP entrants est maintenant effectué sans KERNEL_LOCK ().
  • La tâche d’épissage du socket s’exécute sans KERNEL_LOCK ().
  • Nettoyage et suppression du code dans sys / netinet6 depuis que l'autoconfiguration est en cours dans l'espace utilisateur.

    • Les membres
  • bridge (4) peuvent désormais être empêchés de se parler avec la nouvelle option protégée.
  • La fonctionnalité de transfert de paquets pf a été simplifiée. L'option de socket IP_DIVERTFL a été supprimée de la fonction de renvoi (4).
  • Plusieurs cas de coin de détournement de PF et de réponse de détournement sont désormais plus cohérents.
  • Appliquez dans pf (4) que tous les paquets de découverte de voisins ont 255 dans leur champ de limite de saut d’en-tête IPv6.
  • Nouvelle option set syncookies dans pf.conf (5).
  • Prise en charge de GRE sur IPv6.
  • Nouveau pilote egre (4) pour les tunnels Ethernet sur GRE.
  • Prise en charge de l'en-tête de clé GRE facultatif et de l'entropie de clé GRE dans gre (4) et egre (4).
  • Nouveau pilote nvgre (4) pour la virtualisation de réseau à l'aide de l'encapsulation de routage générique.
  • Prise en charge de la configuration des paquets d’indicateur Don't Fragment encapsulés par les interfaces de tunnel.
  • Améliorations du programme d'installation:
  • si install.site ou upgrade.site échoue, informez l'utilisateur et l'erreur après avoir stocké rand.seed.
  • autorise la notation CIDR lors de la saisie d’adresses IPv4 et IPv6.
  • réparer la sélection d'un miroir HTTP dans la liste des miroirs.
  • autoriser '-' dans les noms d'utilisateur.
  • poser une question à la fin du processus d’installation / mise à niveau pour que le retour chariot entraîne l’action appropriée, par exemple redémarrer.
  • affiche le mode (installation ou mise à niveau) des invites du shell tant qu'aucun nom d'hôte n'est connu.
  • détecte correctement quelle interface a la route par défaut et si elle a été configurée via DHCP.
  • assurez-vous que les ensembles peuvent être lus dans la zone de prélecture.
  • assurez-vous que la redirection d'URL est efficace pour toute l'installation / mise à niveau.
  • Ajoutez le proxy HTTP utilisé lors de l'extraction des ensembles à rc.firsttime, où fw_update et syspatch peuvent le trouver et l'utiliser.
  • ajouter une logique pour prendre en charge la RFC 7217 avec SLAAC.
  • Assurez-vous que IPv6 est configuré pour les interfaces réseau créées dynamiquement comme vlan (4).
  • créer un nom d’hôte correct lorsque les options de recherche de nom de domaine et de domaine sont fournies dans le bail DHCP.
  • Démons de routage et autres améliorations du réseau utilisateur:
  • bgpctl (8) a une nouvelle option ssv qui affiche les entrées de nervure sous la forme d'un seul point-virgule séparé comme pour la sélection avant la sortie.
  • slaacd (8) génère des adresses de configuration automatique sans état IPv6 aléatoires mais stables conformément à la RFC 7217. Celles-ci sont activées par défaut conformément à la RFC 8064.
  • slaacd (8) suit la RFC 4862 en supprimant une limitation artificielle sur les préfixes de taille / 64 utilisant les adresses de configuration automatique sans état de style RFC 7217 (aléatoire mais stable) et RFC 4941 (confidentialité).
  • ospfd (8) peut maintenant définir la métrique pour un itinéraire en fonction du statut d’une interface.
  • ifconfig (8) a une nouvelle option staticarp pour que les interfaces répondent uniquement aux requêtes ARP.
  • ipsecctl (8) peut maintenant réduire les sorties de flux ayant la même source ou destination.
  • L'option -n de netstart (8) ne perturbe plus la route par défaut. Il est maintenant également documenté.
  • Améliorations de la sécurité:
  • Utilisez encore plus de pièges sur différentes architectures.
  • Plus d’utilisation de .rodata pour les variables constantes dans la source d’assemblage.
  • Arrêtez d'utiliser x86 & quot; repz ret & quot; dans les coins poussiéreux de l'arbre.
  • Présentez & quot; execpromises & quot; en gage (2).
  • L'utilitaire elfrdsetroot utilisé pour construire les disques virtuels et le processus de surveillance rebound (8) utilisent désormais pledge (2).
  • Préparez l’introduction de MAP_STACK à mmap (2) après 6.3.
  • Poussez un petit morceau de texte du noyau lié au KARL dans le générateur de nombres aléatoires comme entropie au démarrage.
  • Placez un petit intervalle aléatoire en haut des piles de threads, afin que les pirates aient un autre calcul à effectuer pour leur travail ROP.
  • Atténuation de la vulnérabilité de fusion pour les processeurs Intel amd64.
  • OpenBSD / arm64 utilise désormais l’isolation des tables de pages du noyau pour atténuer les attaques des variantes de spectres 3 (fusion).
  • OpenBSD / armv7 et OpenBSD / arm64 vident désormais le tampon BTB (Branch Target Buffer) sur les processeurs exécutant des opérations spéculatives afin d’atténuer les attaques des variantes Spectre 2.
  • pool_get (9) perturbe l’ordre des éléments sur les pages nouvellement allouées, rendant la disposition du tas du noyau plus difficile à prévoir.
  • L'appel système fktrace (2) a été supprimé.
  • améliorations dhclient (8):
  • Analyser dhclient.conf (5) ne fuit plus les chaînes SSID, les chaînes trop longues pour le tampon d'analyse ou les options de chaîne et les commandes répétées.
  • Le stockage des baux dans dhclient.conf (5) n’est plus supporté.
  • 'DENY' n'est plus valide dans dhclient.conf (5).

    • Les messages d'erreur d'analyse
  • dhclient.conf (5) et dhclient.leases (5) ont été simplifiés et clarifiés, avec un comportement amélioré en présence de points-virgules inattendus.
  • On prend soin de n’utiliser que les informations de configuration qui ont été analysées avec succès.
  • '-n' a été ajouté, ce qui entraîne la sortie de dhclient (8) après avoir analysé dhclient.conf (5).
  • Les routes par défaut dans les options classless-static-routes (121) et classless-ms-static-routes (249) sont désormais correctement représentées dans les fichiers dhclient.leases (5).
  • Remplacez le fichier spécifié par '-L' plutôt que de l’ajouter.
  • Les baux dans dhclient.leases (5) contiennent désormais un attribut «epoch» qui enregistre l’heure à laquelle le bail a été accepté, qui est utilisé pour calculer les délais de renouvellement, de reconnexion et d’expiration corrects.
  • Ne plus parler des traits de soulignement dans les noms violant la RFC 952.
  • Envoyer inconditionnellement des informations sur le nom d’hôte lors de la demande de bail, ce qui élimine le besoin de dhclient.conf (5) dans l’installation par défaut.
  • Soyez silencieux par défaut. "-q" a été supprimé et "-v" a été ajouté pour permettre la journalisation détaillée.
  • Refuser les offres en double pour l’adresse demandée.
  • Aller inconditionnellement en arrière-plan après le délai d'expiration du lien en secondes.
  • Réduisez considérablement la journalisation lorsque vous êtes silencieux, mais faites en sorte que -v consigne toutes les informations de débogage sans avoir à compiler un exécutable personnalisé.
  • Ignorez les instructions "interface" dans dhclient.leases (5) et supposez que tous les baux du fichier correspondent à l'interface en cours de configuration.
  • Affiche la source du bail lié à l'interface.

    • Les déclarations
  • 'ignore', 'request' et 'require' dans dhclient.conf (5) ajoutent maintenant les options spécifiées à la liste appropriée plutôt que de remplacer la liste.
  • Éliminez une course de démarrage pouvant entraîner la sortie de dhclient (8) sans configurer l'interface.
  • Améliorations assorties:
  • Réorganisation du code et autres améliorations de malloc (3) et de leurs amis pour les rendre plus efficaces.
  • Lorsque vous effectuez des opérations de suspension ou d'hibernation, assurez-vous que tous les systèmes de fichiers sont correctement synchronisés et marqués comme propres, ou qu'ils ne peuvent pas être mis en parfait état sur disque (fichiers ouverts + non liés), / unhibernate est garanti pour exécuter fsck (8).
  • acme-client (1) détecte automatiquement l’URL de l’accord et suit les redirections HTTP 30x.
  • Ajout de __cxa_thread_atexit () pour prendre en charge les chaînes d’outils C ++ modernes.
  • Ajout du support EVFILT_DEVICE à kqueue (2) pour surveiller les modifications apportées aux périphériques drm (4).
  • ldexp (3) gère désormais correctement le signe des nombres dénormaux sous mips64.
  • Nouvelles fonctions sincos (3) dans libm.
  • fdisk (8) garantit désormais la validité des décalages de partition MBR lors de l'édition.
  • fdisk (8) garantit désormais que les valeurs par défaut sont comprises dans la plage valide.
  • less (1) ne divise plus que la variable d'environnement LESS sur '$'.
  • less (1) ne crée plus de fichier erroné lorsqu’il rencontre "$" dans la commande initiale.
  • softraid (4) valide maintenant le nombre de blocs lors de l’assemblage d’un volume, garantissant ainsi la synchronisation des métadonnées sur disque et en mémoire.
  • disklabel (8) propose désormais de modifier la taille des fragments d'une partition FFS avant de proposer la modification de la taille de bloc.
  • disklabel (8) permet désormais de modifier l'attribut cylinders / group (cpg) chaque fois que la taille de la partition peut être modifiée.
  • disklabel (8) détecte désormais ^ D et les entrées non valides pendant les commandes (R) esize.
  • disklabel (8) détecte désormais les débordements et les dépassements lorsque les opérateurs - / + sont utilisés.
  • disklabel (8) permet désormais d’éviter les erreurs lors du calcul du nombre de cylindres dans un bloc libre.
  • disklabel (8) valide désormais la taille de la partition demandée par rapport à la taille du plus gros bloc libre au lieu de l'espace libre total.
  • Prise en charge de la sauvegarde des transferts USB via bpf (4).
  • tcpdump (8) peut désormais comprendre les transferts de transferts USB au format USBPcap.
  • Les invites par défaut de csh (1), ksh (1) et sh (1) incluent maintenant le nom d’hôte.
  • L’allocation de mémoire dans ksh (1) est passée de calloc (3) à malloc (3), ce qui facilite la reconnaissance de la mémoire non initialisée. En conséquence, un bogue lié à l'historique dans le mode d'édition d'emacs a été découvert et corrigé.
  • Nouvelle option de script (1) -c pour exécuter une commande au lieu d’un shell.
  • Nouvelle option grep (1) -m pour limiter le nombre de correspondances.
  • Nouvelle option uniq (1) -i pour une comparaison insensible à la casse.
  • La chaîne de format printf (3) n'est plus validée lorsque vous recherchez les formats%. Basé sur un commit par Android et suivant la plupart des autres systèmes d’exploitation.
  • Vérification des erreurs améliorée dans vfwprintf (3).
  • De nombreux programmes de base ont été audités et corrigés pour les descripteurs de fichiers obsolètes, notamment cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) et sshd (8).
  • Diverses corrections de bogues et améliorations dans jot (1):
  • Les limites de longueur arbitraires pour les arguments des options -b, -s, -w ont été supprimées.
  • Le spécificateur de format% F est maintenant pris en charge et un bogue dans le format% D a été corrigé.
  • Une meilleure couverture du code dans les tests de régression.
  • Plusieurs dépassements de tampon ont été corrigés.
  • L’utilitaire de correctif (1) s’adapte désormais mieux aux diff git qui créent ou suppriment des fichiers.
  • pkg_add (1) a désormais un support amélioré pour les redirecteurs HTTP (S) tels que cdn.openbsd.org.
  • ftp (1) et pkg_add (1) prennent désormais en charge la reprise de session HTTPS pour une vitesse améliorée.
  • mandoc (1) -T taille de fichier de sortie ps réduite de plus de 50%.
  • syslogd (8) se connecte s’il ya eu des avertissements au démarrage.
  • syslogd (8) a cessé de se connecter aux fichiers dans un système de fichiers complet. Maintenant, il écrit un avertissement et continue après la mise à disposition de l'espace.
  • vmt (4) permet désormais le clonage et la prise d’instantanés des invités en cours d’exécution.
  • OpenSMTPD 6.0.4
  • Ajouter l’option spf walk à smtpctl (8).
  • Assainissement et améliorations assortis.
  • Nombreuses corrections de pages de manuel et améliorations.
  • OpenSSH 7.7
  • Fonctionnalités nouvelles / modifiées:
  • Tous: Ajout du support expérimental pour les clés XQM PQC (Extended Hash-Based Signatures) basé sur l'algorithme décrit dans https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Le code de signature XMSS est expérimental et n'est pas compilé par défaut.
  • sshd (8): Ajouter un "rdomain" critères du mot clé sshd_config Match pour permettre une configuration conditionnelle qui dépend du domaine de routage sur lequel une connexion a été reçue (actuellement pris en charge sous OpenBSD et Linux).
  • sshd_config (5): Ajoutez un qualificatif rdomain facultatif à la directive ListenAddress pour permettre l'écoute sur différents domaines de routage. Ceci n'est supporté que sur OpenBSD et Linux pour le moment.
  • sshd_config (5): Ajouter la directive RDomain pour autoriser la session authentifiée à être placée dans un domaine de routage explicite. Ceci n'est supporté que sur OpenBSD pour le moment.
  • sshd (8): Ajouter & quot; heure d'expiration & quot; option pour les fichiers authorized_keys autorisant les clés à expiration.
  • ssh (1): Ajoutez une option BindInterface pour autoriser la liaison de la connexion sortante vers l’adresse d’une interface (essentiellement une adresse BindAddress plus utilisable).
  • ssh (1): expose le périphérique alloué pour le transfert tun / tap via une nouvelle extension% T pour LocalCommand. Cela permet d'utiliser LocalCommand pour préparer l'interface.
  • sshd (8): Exposez le périphérique alloué pour le transfert tun / tap via une nouvelle variable d'environnement SSH_TUNNEL. Cela permet de configurer automatiquement l'interface et la configuration réseau environnante automatiquement sur le serveur.
  • ssh (1) / scp (1) / sftp (1): ajoute le support URI à ssh, sftp et scp, par ex. ssh: // utilisateur @ hôte ou sftp: // utilisateur @ hôte / chemin. Les paramètres de connexion supplémentaires décrits dans draft-ietf-secsh-scp-sftp-ssh-uri-04 ne sont pas implémentés car le format d'empreinte ssh utilisé dans le brouillon utilise le hachage MD5 obsolète sans aucun moyen de spécifier un autre algorithme.
  • ssh-keygen (1): Autorise les intervalles de validité des certificats qui spécifient uniquement une heure de début ou de fin (au lieu des deux ou aucun).
  • sftp (1): Autorise & quot; cd & quot; et & lcd & quot; commandes sans argument de chemin explicite. lcd changera comme d'habitude en répertoire de base de l'utilisateur local. cd passera au répertoire de démarrage de la session (car le protocole n'offre aucun moyen d'obtenir le répertoire de base de l'utilisateur distant). bz # 2760
  • sshd (8): Lorsque vous effectuez un test de configuration avec sshd -T, vous ne devez utiliser que les attributs utilisés dans les critères de correspondance plutôt que (une liste incomplète) dans tous les critères.
  • Les bogues importants suivants ont été corrigés dans cette version:
  • ssh (1) / sshd (8): contrôlez plus rigoureusement les types de signature lors de l'échange de clés avec ce qui a été négocié. Empêche la mise à niveau inférieur des signatures RSA effectuées avec SHA-256/512 vers SHA-1.
  • sshd (8): correction du support pour les clients qui annoncent une version de protocole de "1,99" (indiquant qu'ils sont prêts à accepter à la fois SSHv1 et SSHv2). Cela a été cassé dans OpenSSH 7.6 lors de la suppression du support SSHv1. bz # 2810
  • ssh (1): avertit lorsque l'agent retourne une signature ssh-rsa (SHA1) lorsqu'une signature rsa-sha2-256 / 512 a été demandée. Cette condition est possible lorsqu'un ancien agent ou non-OpenSSH est utilisé. bz # 2799
  • ssh-agent (1): correction de la régression introduite dans la version 7.6 qui a entraîné la fermeture fatale de ssh-agent si un message de demande de signature non valide était présenté.
  • sshd_config (5): Acceptez les options de drapeau oui / non sans tenir compte de la casse, comme cela a été le cas dans ssh_config (5) pendant une longue période. bz # 2664
  • ssh (1): améliorez le signalement des erreurs en cas de panne pendant la connexion. Dans certaines circonstances, des erreurs trompeuses se sont produites. bz # 2814
  • ssh-keyscan (1): Ajouter l'option -D pour permettre l'impression des résultats directement au format SSHFP. bz # 2821
  • régression des tests: correction du test d'interruption PuTTY lors de la suppression de la dernière version de SSHv1. bz # 2823
  • ssh (1): correctif de compatibilité pour certains serveurs supprimant par erreur la connexion lorsque l’option IUTF8 (RFC8160) est envoyée.
  • scp (1): Désactivez RemoteCommand et RequestTTY dans la session ssh lancée par scp (sftp le faisait déjà.)
  • ssh-keygen (1): refuse de créer un certificat avec un nombre de principaux inutilisables.
  • ssh-keygen (1): quitter fatalement si ssh-keygen ne parvient pas à écrire toute la clé publique lors de la génération de la clé. Auparavant, il ignorait silencieusement les erreurs d’écriture du commentaire et de terminaison de la nouvelle ligne.
  • ssh (1): ne modifiez pas les arguments de nom d'hôte qui sont des adresses en les forçant automatiquement à utiliser des minuscules. Au lieu de les canoniser, résolvez les ambiguïtés (par exemple: :: 0001 = & gt; :: 1) avant qu'elles ne soient associées à known_hosts. bz # 2763
  • ssh (1): n'accepte pas le courrier indésirable après & quot; oui & quot; ou & no les réponses aux invites de la clé d'hôte. bz # 2803
  • sftp (1): Avoir sftp print un avertissement sur la propreté du shell lorsque le décodage du premier paquet échoue, ce qui est généralement causé par des shells polluant stdout des démarrages non interactifs. bz # 2800
  • ssh (1) / sshd (8): permet de passer de l’horloge murale à l’heure monotone, permettant ainsi à la couche de paquets de mieux fonctionner au cours d’une étape et d’éviter les dépassements entiers pendant les étapes.
  • Nombreuses corrections de pages de manuel et améliorations.
  • LibreSSL 2.7.2
  • Ajout du support de nombreuses API OpenSSL 1.0.2 et 1.1, basé sur des observations de l’utilisation réelle dans les applications. Celles-ci sont mises en œuvre parallèlement aux API OpenSSL 1.0.1 existantes: aucune modification de la visibilité n'a été apportée aux structures existantes, ce qui permet au code écrit pour les anciennes API OpenSSL de continuer à fonctionner.
  • Corrections étendues, améliorations et ajouts à la documentation de l’API, y compris les nouvelles API publiques d’OpenSSL sans documentation préexistante.
  • Prise en charge de l’initialisation automatique des bibliothèques dans libcrypto, libssl et libtls. La prise en charge de pthread_once ou d'un équivalent compatible est désormais requise pour le système d'exploitation cible. Comme effet secondaire, le support minimum de Windows est Vista ou supérieur.
  • Plus de méthodes de traitement des paquets ont été converties en CBB, ce qui améliore la résilience lors de la génération de messages TLS.
  • Réécriture complète de la gestion des extensions TLS, améliorant la cohérence des contrôles des extensions malformées et en double.
  • Réécriture de ASN1_TYPE_ {get, set} _octetstring () en utilisant ASN.1 avec modèles. Cela supprime la dernière utilisation des anciennes macros M_ASN1_ * (asn1_mac.h) de l'API devant continuer à exister.
  • Ajout de la prise en charge de la reprise de session côté client dans libtls. Un client libtls peut spécifier un descripteur de fichier de session (un fichier régulier avec les droits de propriété et les autorisations appropriés) et libtls gérera la lecture et l'écriture des données de session lors des contacts TLS.
  • Amélioration de la prise en charge d’un alignement strict sur les architectures ARMv7, ce qui permet l’assemblage conditionnel dans ces cas.
  • Correction d'une fuite de mémoire dans libtls lors de la réutilisation d'un tls_config.
  • Plus de prise en charge de DTLS dans le chemin de code TLS standard, supprimant le code en double.
  • Ports et packages:
  • dpb (1) et les ports normaux (7) peuvent désormais bénéficier du même modèle de privilèges séparés en définissant PORTS_PRIVSEP = Yes
  • De nombreux packages pré-construits pour chaque architecture:
  • aarch64: 7990
  • alpha: 1
  • amd64: 9912
  • bras: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Quelques points forts:
  • AFL 2.52b
  • CMake 3.10.2
  • Chrome 65.0.3325.181
  • Emacs 21.4 et 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Go 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 et 4.14.3 (plus les mises à jour de base de KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 et 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr et 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 et NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 et 2.4.45
  • PHP 5.6.34 et 7.0.28
  • Postfix 3.3.0 et 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 et 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 et 2.5.0
  • Rust 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 et 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Comme d'habitude, des améliorations constantes dans les pages de manuel et d'autres documents.
  • Le système comprend les principaux composants suivants provenant de fournisseurs externes:
  • Xenocara (basé sur X.Org 7.7 avec xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 et plus)
  • LLVM / Clang 5.0.1 (+ patches)
  • GCC 4.2.1 (+ patches) et 3.3.6 (+ patches)
  • Perl 5.24.3 (+ patches)
  • NSD 4.1.20
  • Non consolidé 1.6.8
  • Ncurses 5.7

  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 août 2011 version
  • Expat 2.2.5

Nouveautés dans la version 6.2:

  • Nouvelles plates-formes / étendues:
  • armv7:
  • Le chargeur de démarrage EFI ajouté, les noyaux sont maintenant chargés à partir de FFS au lieu des systèmes de fichiers FAT ou EXT, sans en-têtes U-Boot.
  • Un seul noyau et un disque virtuel sont maintenant utilisés pour tous les SoC.
  • Le matériel est énuméré dynamiquement via FDT (Flattened Device Tree) et non via des tables statiques basées sur des numéros d’identifiant de carte.
  • Les images du programme d'installation de Miniroot incluent U-Boot 2016.07 avec prise en charge des charges utiles EFI.
  • vax:
  • Supprimé.
  • Amélioration du support matériel, y compris:
  • Nouveau pilote bytgpio (4) pour le contrôleur GPIO Intel Bay Trail.
  • Nouveau pilote chvgpio (4) pour le contrôleur GPIO Intel Cherry View.
  • Nouveau pilote maxrtc (4) pour l’horloge en temps réel Maxim DS1307.
  • Nouveau pilote nvme (4) pour l'interface du contrôleur hôte NVMe (Non-Volatile Memory Express).
  • Nouveau pilote pcfrtc (4) pour l’horloge temps réel NXP PCF8523.
  • Nouveau pilote umb (4) pour le modèle MBIM (Mobile Broadband Interface Model).
  • Nouveau pilote (4) pour les périphériques Ethernet 10/100 basés sur RealTek RTL8152.
  • Nouveau pilote utvfu (4) pour les périphériques de capture audio / vidéo basés sur le Fushicai USBTV007.

  • Le pilote iwm (4) prend désormais en charge les périphériques Intel Wireless 3165 et 8260 et fonctionne de manière plus fiable dans les noyaux RAMDISK.
  • La prise en charge des périphériques HID I2C avec des interruptions signalées par GPIO a été ajoutée à dwiic (4).
  • La prise en charge des largeurs de bus plus importantes, des modes haute vitesse et des transferts DMA a été ajoutée à sdmmc (4), rtsx (4), sdhc (4) et imxesdhc (4).
  • Prise en charge des contrôleurs USB compatibles EHCI et OHCI sur les systèmes sur puce Octeon II.
  • De nombreux pilotes de périphériques USB ont été activés sur OpenBSD / octeon.
  • Amélioration de la prise en charge des implémentations ACPI réduites par le matériel.
  • Amélioration de la prise en charge des implémentations ACPI 5.0.
  • Le chiffrement AES-NI est maintenant effectué sans tenir le verrou du noyau.
  • Amélioration du support AGP sur les machines PowerPC G5.
  • Ajout du support de la fente pour carte SD dans les SoC Intel Bay Trail.
  • Le pilote ichiic (4) ignore désormais l’interruption SMBALERT # pour éviter une tempête d’interruption avec les mises en œuvre du BIOS bogué.
  • Les problèmes de connexion des périphériques avec le pilote axen (4) ont été corrigés.
  • Le pilote ral (4) est plus stable sous charge avec les appareils RT2860.
  • Les problèmes avec les claviers morts après la reprise ont été corrigés dans le pilote pckbd (4).
  • Le pilote rtsx (4) prend désormais en charge les périphériques RTS522A.
  • Le support initial pour MSI-X a été ajouté.
  • Supporte MSI-X dans le pilote virtio (4).
  • Ajout d’une solution de contournement pour les dépassements DMA matériels au pilote DC (4).
  • Le pilote acpitz (4) fait maintenant tourner le ventilateur après refroidissement si ACPI utilise l'hystérésis pour le refroidissement actif.
  • Le pilote xhci (4) exécute désormais correctement le transfert depuis un BIOS compatible xHCI.
  • La prise en charge de la saisie multipoint a été ajoutée au pilote wsmouse (4).
  • Le pilote uslcom (4) prend désormais en charge la console série des contrôleurs sans fil Aruba 7xxx.
  • Le pilote re (4) fonctionne désormais autour de configurations de voyants brisés dans les EEPROM APU1.
  • Le pilote ehci (4) fonctionne désormais autour des problèmes rencontrés avec les contrôleurs ATI USB (par exemple, le SB700).
  • Le pilote xen (4) prend désormais en charge la configuration domU sous Qubes OS.
  • Améliorations de la pile sans fil IEEE 802.11:
  • La logique du tampon de réception de bloc HT suit l’algorithme indiqué dans la spécification 802.11-2012.
  • Le pilote iwn (4) garde désormais la trace des modifications de protection HT associées à un AP 11n.
  • La pile sans fil et plusieurs pilotes utilisent de manière plus agressive RTS / CTS pour éviter les interférences avec les périphériques hérités et les nœuds cachés.
  • La commande netstat (1) -W affiche désormais des informations sur les événements 802.11n.
  • En mode Hostap, ne réutilisez pas les ID d'association des nœuds encore en cache. Résout un problème où un point d'accès utilisant le pilote ral (4) serait bloqué à 1 Mbps car la comptabilisation du taux de transmission a eu lieu sur le mauvais objet.
  • Améliorations de la pile réseau générique:
  • La table de routage est maintenant basée sur ART et offre une recherche plus rapide.
  • Le nombre de recherche d’itinéraires par paquet a été réduit à 1 dans le chemin de transfert.
  • Le champ prio sur les en-têtes de VLAN est maintenant correctement défini sur chaque fragment d'un paquet IPv4 sortant sur une interface vlan (4).
  • Clonage de périphérique activé pour bpf (4). Cela permet au système d'avoir un seul noeud de périphérique bpf dans / dev qui dessert tous les consommateurs de bpf (jusqu'à 1024).
  • La file d'attente Tx du pilote cnmac (4) peut maintenant être traitée en parallèle du reste du noyau.
  • Le chemin d’entrée réseau est maintenant exécuté dans un contexte de thread.
  • Améliorations du programme d'installation:
  • liste mise à jour des codes utilisateurs restreints
  • install.sh et upgrade.sh fusionnés dans install.sub
  • update lance automatiquement sysmerge (8) en mode batch avant fw_update (1)
  • Les questions et les réponses sont consignées dans un format pouvant être utilisé comme fichier de réponse pour être utilisé par autoinstall (8)
  • / usr / local est défini sur wxallowed pendant l’installation
  • Démons de routage et autres améliorations du réseau utilisateur:
  • Ajoutez le support de la table de routage à rc.d (8) et à rcctl (8).
  • Laissez nc (1) prendre en charge les noms de service en plus des numéros de port.
  • Ajoutez les indicateurs TTL -M et -m à nc (1).
  • Ajoutez le support AF_UNIX à tcpbench (1).
  • Correction d’une régression dans rarpd (8). Le démon pourrait se bloquer s'il était inactif pendant longtemps.
  • Ajout de l’option llprio dans ifconfig (8).
  • Plusieurs programmes utilisant bpf (4) ont été modifiés pour tirer parti du clonage de périphérique de bpf (4) en ouvrant / dev / bpf0 au lieu de parcourir les périphériques / dev / bpf *. Ces programmes incluent arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) et tcpdump (8). La bibliothèque libpcap a également été modifiée en conséquence.
  • Améliorations de la sécurité:
  • W ^ X est maintenant strictement appliqué par défaut; un programme ne peut le violer que si l'exécutable est marqué avec PT_OPENBSD_WXNEEDED et se trouve sur un système de fichiers monté avec l'option wxallowed mount (8). Comme il y a encore trop de ports qui ne respectent pas W ^ X, le programme d'installation monte le système de fichiers / usr / local avec wxallowed. Cela permet au système de base d’être plus sécurisé tant que / usr / local est un système de fichiers distinct. Si vous n'utilisez pas de programmes violant W ^ X, envisagez de révoquer manuellement cette option.
  • La famille de fonctions setjmp (3) applique désormais les cookies XOR pour empiler et renvoyer les valeurs d’adresse dans jmpbuf sur amd64, hppa, i386, mips64 et powerpc.
  • Atténuation SROP: sigreturn (2) ne peut désormais être utilisé que par le trampoline de signal fourni par le noyau, avec un cookie pour détecter les tentatives de réutilisation.
  • Pour dissuader les exploits de réutilisation du code, rc (8) relance libc.so au démarrage, plaçant les objets dans un ordre aléatoire.
  • Dans la famille de fonctions getpwnam (3), arrêtez d’ouvrir la base de données par défaut.
  • Autorise le démarrage de tcpdump (8) -r sans les privilèges root.
  • Supprimer systrace.
  • Supprimer le support d’émulation Linux.
  • Supprimez le support de l’option usermount.
  • Le cache TCP SYN réamorce sa fonction de hachage de temps en temps. Cela empêche un attaquant de calculer la distribution de la fonction de hachage avec une attaque de synchronisation.
  • Pour lutter contre les attaques par inondation SYN, l'administrateur peut maintenant modifier la taille du tableau de hachage. netstat (1) -s -p tcp affiche les informations pertinentes pour régler le cache SYN avec sysctl (8) net.inet.tcp.
  • L'administrateur peut exiger des privilèges root pour se connecter à certains ports TCP et UDP avec sysctl (8) net.inet.tcp.rootonly et sysctl (8) net.inet.udp.rootonly.
  • Supprimez un pointeur de fonction de la structure de données mbuf (9) et utilisez plutôt un index dans un tableau de fonctions acceptables.
  • Améliorations assorties:
  • La bibliothèque de threads peut maintenant être chargée dans un processus mono-thread.
  • Amélioration de la gestion des symboles et de la conformité aux normes dans libc. Par exemple, la définition d’une fonction open () ne gênera plus le fonctionnement de fopen (3).
  • Les sections PT_TLS sont désormais prises en charge dans l’objet initialement chargé.
  • Gestion améliorée de & quot; sans chemins d'accès & quot; et & "chemin vide" en fts (3).
  • Dans pcap (3), fournissez les fonctions pcap_free_datalinks () et pcap_offline_filter ().
  • Beaucoup de corrections de bogues et de nettoyage structurel dans la bibliothèque editline (3).
  • Supprimer les anciennes fonctions dbm (3); ndbm (3) reste.
  • Ajoutez le mot-clé setenv pour une gestion plus puissante de l'environnement dans doas.conf (5).
  • Ajoutez les options -g et -p à aucat.1 pour le positionnement temporel.
  • Réécrivez audioctl (1) avec une interface utilisateur plus simple.
  • Ajouter l'option -F pour installer (1) sur fsync (2) le fichier avant de le fermer.
  • kdump (1) vide désormais les structures pollfd.
  • Améliorez les détails de la conformité de ksh (1) POSIX.
  • mknod (8) réécrit dans un style convivial (2) et prend en charge la création de plusieurs périphériques à la fois.
  • Implémentez rcctl (8) get all et getdef all.
  • Implémenter le flag rcs (1) -I (interactive).
  • Dans rcs (1), implémentez la substitution de mot-clé Mdocdate.
  • En haut (1), permettez de filtrer les arguments de processus s’ils sont affichés.
  • Ajout du support UTF-8 à fold (1) et rev (1).
  • Activer UTF-8 par défaut dans xterm (1) et pod2man (1).
  • Filtrez les caractères non-ASCII dans le mur (1).
  • Gérez la variable d'environnement COLUMNS de manière cohérente dans de nombreux programmes.
  • Les options -c et -k permettent de fournir des certificats clients TLS pour syslogd (8) du côté envoi. Avec cela le côté récepteur peut vérifier que les messages de journal sont authentiques. Notez que syslogd n'a pas encore cette fonctionnalité de vérification.
  • Lorsque le tampon klog déborde, syslogd écrit un message de journal pour indiquer que certaines entrées sont manquantes.
  • Sous OpenBSD / octeon, la mise en mémoire tampon d’écriture du cache du processeur est activée pour améliorer les performances.
  • pkg_add (1) et pkg_info (1) comprennent maintenant une notion de branche pour faciliter la sélection de certains paquets populaires tels que python ou php, par exemple pkg_add python% 3.4 pour sélectionner la branche 3.4 et utiliser pkg_info -zm pour obtenir une liste floue avec une sélection de branche adaptée à pkg_add -l.
  • fdisk (8) et pdisk (8) quittent immédiatement sauf si un périphérique spécial de caractère a été passé
  • st (4) suit correctement le nombre de blocs actuel pour les blocs de taille variable
  • fsck_ext2fs (8) fonctionne à nouveau
  • Les volumes softraid (4) peuvent être construits avec des disques ayant une taille de secteur autre que 512 octets
  • dhclient (8) DECLINE's et élimine les OFFER inutilisés.
  • dhclient (8) se ferme immédiatement si son interface (par exemple un pont (4)) renvoie EAFNOSUPPORT lorsqu'un paquet est envoyé.
  • httpd (8) renvoie 400 requêtes incorrectes pour les requêtes HTTP v0.9.
  • L'initialisation du nœud paresseux de ffs2 évite de traiter des données de disque aléatoires comme un inode

    • Les invocations de
  • fcntl (2) dans les programmes de base utilisent l'idiome fcntl (n, F_GETFL) au lieu de fcntl (n, F_GETFL, 0)

    • Les appels de
  • socket (2) et accept4 (2) dans les programmes de base utilisent SOCK_NONBLOCK pour éliminer la nécessité d'un fcntl distinct (2).
  • tmpfs non activé par défaut
  • La sémantique du gage (2) dans le noyau a été améliorée de nombreuses manières. Les faits saillants incluent: une nouvelle promesse de chown qui permet aux programmes promis de définir des attributs setugid, une application plus stricte de la promesse recvfd et de chroot (2) n'est plus autorisée pour les programmes promis.
  • un certain nombre de bogues liés à l’engagement (2) (promesses manquantes, changements de comportement involontaires, plantage) ont été corrigés, notamment dans gzip (1), nc (1), sed (1), skeyinit (1), stty (1) et divers utilitaires liés aux disques, tels que disklabel (8) et fdisk (8).
  • Les erreurs de calcul de la taille des blocs dans le pilote audio (4) ont été corrigées.
  • Le pilote usb (4) met désormais en cache les ID de fournisseur et de produit. Résout un problème où usbdevs (8) appelé dans une boucle provoquait l'arrêt d'un fonctionnement d'un périphérique de stockage de masse USB.
  • Les pilotes rsu (4) et ural (4) fonctionnent à nouveau après qu’ils aient été accidentellement cassés en 5.9.
  • OpenSMTPD 6.0.0
  • Sécurité:
  • Implémentez le pattern fork + exec dans smtpd (8).
  • Corrigez un problème de logique dans la machine d'état SMTP qui peut entraîner un état non valide et entraîner un blocage.
  • Branchez une fuite de pointeur de fichier qui peut entraîner un épuisement des ressources et entraîner un blocage.
  • Utilisez les paramètres DH automatiques au lieu des paramètres fixes.
  • Désactivez DHE par défaut car il est coûteux en calcul et un vecteur potentiel DoS.
  • Les améliorations suivantes ont été apportées à la version 6.2:
  • Ajoutez l’option -r au smtpd (8) enqueuer pour la compatibilité avec mailx.
  • Ajoutez une date ou un identifiant de message manquant lors de l'écoute sur le port d'envoi.
  • Corrige & quot; smtpctl show queue & quot; rapporter "invalide" état de l'enveloppe.
  • Retouchez le format du & quot; Reçu & quot; header afin que la partie TLS ne viole pas la RFC.
  • Augmentez le nombre de connexions qu'une adresse locale est autorisée à établir et réduisez le délai entre les transactions dans la même session.
  • Correction de la livraison LMTP aux serveurs renvoyant des lignes de continuation.
  • Améliorer encore l’API de filtre encore expérimentale et résoudre divers problèmes connexes.
  • Améliorez et unifiez le format des messages de journal.
  • Corrige plusieurs incohérences et fautes de documentation dans les pages de manuel.
  • OpenSSH 7.3
  • Sécurité:
  • sshd (8): atténuer une éventuelle attaque par déni de service contre la fonction crypt (3) du système via sshd (8). Un attaquant pourrait envoyer des mots de passe très longs qui provoqueraient une utilisation excessive du processeur dans crypt (3). sshd (8) refuse maintenant d'accepter les demandes d'authentification par mot de passe d'une longueur supérieure à 1024 caractères.
  • sshd (8): atténuer les différences de temps dans l’authentification par mot de passe qui pourraient être utilisées pour identifier les noms de compte non valides lorsque des mots de passe longs ont été envoyés CVE-2016-6210.
  • ssh (1), sshd (8): corrige les faiblesses observables dans le chronométrage des contre-mesures Oracle padding oracle. Notez que les chiffrements CBC sont désactivés par défaut et inclus uniquement pour la compatibilité existante.
  • ssh (1), sshd (8): Amélioration de l’ordonnancement de la vérification MAC pour les algorithmes MAC de transport en mode Encrypt-then-MAC (EtM) pour vérifier le MAC avant de déchiffrer tout texte chiffré. Cela supprime la possibilité de différences temporelles avec des informations sur le texte en clair, bien qu'aucune fuite de ce type ne soit connue.
  • Fonctionnalités nouvelles / modifiées:
  • ssh (1): Ajoutez une option ProxyJump et un indicateur de ligne de commande -J correspondant pour permettre une indirection simplifiée via un ou plusieurs bastions SSH ou "jump hosts".
  • ssh (1): Ajoutez une option IdentityAgent pour autoriser la spécification de sockets d'agent spécifiques au lieu d'en accepter un de l'environnement.
  • ssh (1): Permettre à ExitOnForwardFailure et ClearAllForwardings d'être éventuellement remplacés lors de l'utilisation de ssh -W. (bz # 2577)
  • ssh (1), sshd (8): implémenter le support du mode terminal IUTF8 selon draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Ajout du support pour les groupes Diffie-Hellman 2K, 4K et 8K supplémentaires depuis draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): prend en charge les signatures SHA256 et SHA512 RSA dans les certificats.
  • ssh (1): Ajouter une directive Include pour les fichiers ssh_config (5).
  • ssh (1): Autorise les caractères UTF-8 dans les bannières de pré-authentification envoyées depuis le serveur. (bz # 2058)
  • Les bogues significatifs suivants ont été corrigés dans la version 6.2:
  • Dans scp (1) et sftp (1), évitez de visser les paramètres du terminal en évitant les octets ne constituant pas des caractères ASCII ou UTF-8.
  • ssh (1), sshd (8): réduisez le niveau de syslog de certains événements de protocole relativement courants provenant de LOG_CRIT. (bz # 2585)
  • sshd (8): Refuser AuthenticationMethods = & quot; & quot; dans les configurations et accepter AuthenticationMethods = any pour le comportement par défaut de ne pas nécessiter une authentification multiple. (bz # 2398)
  • sshd (8): Supprimez les erreurs de validation obsolètes et trompeuses "POSSIBLE BREAK-IN!" message lorsque le DNS avant et arrière ne correspond pas. (bz # 2585)
  • ssh (1): Fermez le processus d'arrière-plan ControlPersist stderr sauf en mode débogage ou lors de la connexion à syslog. (bz # 1988)
  • misc: La description de PROTOCOL pour direct-streamlocal@openssh.com correspond à un code déployé. (bz # 2529)
  • ssh (1): dédupliquez les entrées LocalForward et RemoteForward pour corriger les échecs lorsque ExitOnForwardFailure et la canonisation de nom d'hôte sont activés. (bz # 2562)
  • sshd (8): supprime le repli des modules vers les nombres premiers obsolètes & quot; fichier obsolète en 2001. (bz # 2559)
  • sshd_config (5): Description correcte de UseDNS: cela affecte le traitement du nom d'hôte ssh pour authorized_keys, pas known_hosts. (bz # 2554)
  • ssh (1): corrige l’authentification à l’aide de clés de certificat isolés dans un agent sans les clés privées correspondantes sur le système de fichiers. (bz # 2550)
  • sshd (8): Envoyer les pings ClientAliveInterval lorsqu'un RekeyLimit temporel est défini; auparavant, les paquets keepalive n'étaient pas envoyés. (bz # 2252)
  • OpenNTPD 6.0
  • Lorsqu'une seule contrainte "& quot;" est spécifié, essayez toutes les adresses renvoyées jusqu'à ce que l'une réussisse, plutôt que la première adresse renvoyée.
  • Assouplir la marge d'erreur de la contrainte pour qu'elle soit proportionnelle au nombre de pairs NTP, évitez les reconnexions constantes lorsqu'il existe un homologue NTP défectueux.
  • Suppression de la prise en charge du capteur hotplug (4) désactivé.
  • Ajout de la prise en charge de la détection des accidents dans les sous-processus de contrainte.
  • Déplacement de l’exécution des contraintes du processus ntp vers le processus parent, permettant une meilleure séparation des privilèges, car le processus ntp peut encore être restreint.
  • Correction d'une utilisation élevée du processeur lorsque le réseau est arrêté.
  • Correction de diverses fuites de mémoire.
  • Basculé vers RMS pour les calculs de gigue.
  • Fonctions de journalisation unifiées avec d’autres programmes de base OpenBSD.
  • Définissez MOD_MAXERROR pour éviter l’état de temps non synchronisé lors de l’utilisation de ntp_adjtime.
  • Correction de l’analyse des en-têtes d’horodatage HTTP pour utiliser strptime (3) de manière plus portable.
  • TLS renforcé pour les contraintes ntpd (8), permettant la vérification du nom du serveur.
  • LibreSSL 2.4.2
  • Fonctions visibles par l'utilisateur:
  • Correction de quelques liens brisés dans la page d’installation.
  • cert.pem a été réorganisé et synchronisé avec le magasin de certificats de Mozilla.
  • Correctif de fiabilité, corrigeant une erreur lors de l'analyse de certains éléments ASN.1 de taille supérieure à 16k.
  • Implémentation des suites de chiffrement IETF ChaCha20-Poly1305.
  • Un message d’ouverture de openssl (1) pour gérer correctement ^ C.
  • Améliorations du code:
  • Correction d'un problème de compatibilité avec nginx en ajoutant une cible de génération 'install_sw'.
  • Modification de l'implémentation EVP_aead_chacha20_poly1305 (3) par défaut à la version IETF, qui est maintenant la valeur par défaut.
  • Correction de la gestion des erreurs dans libtls afin que les erreurs de configuration soient plus visibles.
  • Ajout de la gestion des erreurs manquantes autour des appels à bn_wexpand (3).
  • Ajout des appels explicit_bzero (3) pour les objets ASN.1 libérés.
  • Correction des fonctions X509_ * set_object pour renvoyer 0 en cas d’échec de l’allocation.
  • Utilisation interne obsolète de EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Correction d'un problème empêchant l'algorithme de signature DSA de s'exécuter en temps constant, même si l'indicateur BN_FLG_CONSTTIME était défini.
  • Correction de plusieurs problèmes dans le code OCSP qui pouvaient entraîner une génération et une analyse incorrectes des requêtes OCSP. Cela résout le manque de vérification des erreurs lors de l'analyse de ces fonctions et garantit que seuls les formats GENERALIZEDTIME sont acceptés pour OCSP, conformément à la RFC 6960.
  • Les CVE suivants ont été corrigés:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate dépassement de capacité.
  • CVE-2016-2107-remplissage de Oracle en vérification MAC AES-NI CBC.
  • CVE-2016-2108-corruption de mémoire dans l'encodeur ASN.1.
  • CVE-2016-2109-ASN.1 BIO allocation de mémoire excessive.
  • Ports et packages:
  • Nouvel outil proot (1) dans l’arborescence des ports pour la construction de paquets dans un chroot.
  • De nombreux packages pré-construits pour chaque architecture:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Quelques points forts:
  • Afl 2.19b
  • Chrome 51.0.2704.106
  • Emacs 21.4 et 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Go 1.6.3
  • Groff 1.22.3
  • et 8u72 7u80 JDK
  • KDE 3.5.10 et 4.14.3 (plus des mises à jour de base KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 et 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr et 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 et 4.2.44
  • PHP 5.5.37, 5.6.23 et 7.0.8
  • Postfix 3.1.1 et 3,2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5, et 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 et 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 5.8.18 et 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Comme améliorations habitude, de nombreuses dans les pages de manuel et autres documents.
  • Le système comprend les principaux éléments suivants des fournisseurs extérieurs:
  • Xenocara (basé sur X.Org 7.7 avec xserver 1.18.3 + patches, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 et plus)

  • GCC 4.2.1 (+ patches) et 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 août 2011 version
  • Expat 2.1.1

Nouveautés dans la version 6.1:

  • Nouvelles plates-formes / étendues:
  • armv7:
  • Le chargeur de démarrage EFI ajouté, les noyaux sont maintenant chargés à partir de FFS au lieu des systèmes de fichiers FAT ou EXT, sans en-têtes U-Boot.
  • Un seul noyau et un disque virtuel sont maintenant utilisés pour tous les SoC.
  • Le matériel est énuméré dynamiquement via FDT (Flattened Device Tree) et non via des tables statiques basées sur des numéros d’identifiant de carte.
  • Les images du programme d'installation de Miniroot incluent U-Boot 2016.07 avec prise en charge des charges utiles EFI.
  • vax:
  • Supprimé.
  • Amélioration du support matériel, y compris:
  • Nouveau pilote bytgpio (4) pour le contrôleur GPIO Intel Bay Trail.
  • Nouveau pilote chvgpio (4) pour le contrôleur GPIO Intel Cherry View.
  • Nouveau pilote maxrtc (4) pour l’horloge en temps réel Maxim DS1307.
  • Nouveau pilote nvme (4) pour l'interface du contrôleur hôte NVMe (Non-Volatile Memory Express).
  • Nouveau pilote pcfrtc (4) pour l’horloge temps réel NXP PCF8523.
  • Nouveau pilote umb (4) pour le modèle MBIM (Mobile Broadband Interface Model).
  • Nouveau pilote (4) pour les périphériques Ethernet 10/100 basés sur RealTek RTL8152.
  • Nouveau pilote utvfu (4) pour les périphériques de capture audio / vidéo basés sur le Fushicai USBTV007.
  • Le pilote iwm (4) prend désormais en charge les périphériques Intel Wireless 3165 et 8260 et fonctionne de manière plus fiable dans les noyaux RAMDISK.
  • La prise en charge des périphériques HID I2C avec des interruptions signalées par GPIO a été ajoutée à dwiic (4).
  • La prise en charge des largeurs de bus plus importantes, des modes haute vitesse et des transferts DMA a été ajoutée à sdmmc (4), rtsx (4), sdhc (4) et imxesdhc (4).
  • Prise en charge des contrôleurs USB compatibles EHCI et OHCI sur les systèmes sur puce Octeon II.
  • De nombreux pilotes de périphériques USB ont été activés sur OpenBSD / octeon.
  • Amélioration de la prise en charge des implémentations ACPI réduites par le matériel.
  • Amélioration de la prise en charge des implémentations ACPI 5.0.
  • Le chiffrement AES-NI est maintenant effectué sans tenir le verrou du noyau.
  • Amélioration du support AGP sur les machines PowerPC G5.
  • Ajout du support de la fente pour carte SD dans les SoC Intel Bay Trail.
  • Le pilote ichiic (4) ignore désormais l’interruption SMBALERT # pour éviter une tempête d’interruption avec les mises en œuvre du BIOS bogué.
  • Les problèmes de connexion des périphériques avec le pilote axen (4) ont été corrigés.
  • Le pilote ral (4) est plus stable sous charge avec les appareils RT2860.
  • Les problèmes avec les claviers morts après la reprise ont été corrigés dans le pilote pckbd (4).
  • Le pilote rtsx (4) prend désormais en charge les périphériques RTS522A.
  • Le support initial pour MSI-X a été ajouté.
  • Supporte MSI-X dans le pilote virtio (4).
  • Ajout d’une solution de contournement pour les dépassements DMA matériels au pilote DC (4).
  • Le pilote acpitz (4) fait maintenant tourner le ventilateur après refroidissement si ACPI utilise l'hystérésis pour le refroidissement actif.
  • Le pilote xhci (4) exécute désormais correctement le transfert depuis un BIOS compatible xHCI.
  • La prise en charge de la saisie multipoint a été ajoutée au pilote wsmouse (4).
  • Le pilote uslcom (4) prend désormais en charge la console série des contrôleurs sans fil Aruba 7xxx.
  • Le pilote re (4) fonctionne désormais autour de configurations de voyants brisés dans les EEPROM APU1.
  • Le pilote ehci (4) fonctionne désormais autour des problèmes rencontrés avec les contrôleurs ATI USB (par exemple, le SB700).
  • Le pilote xen (4) prend désormais en charge la configuration domU sous Qubes OS.
  • Améliorations de la pile sans fil IEEE 802.11:
  • La logique du tampon de réception de bloc HT suit l’algorithme indiqué dans la spécification 802.11-2012.
  • Le pilote iwn (4) garde désormais la trace des modifications de protection HT associées à un AP 11n.
  • La pile sans fil et plusieurs pilotes utilisent de manière plus agressive RTS / CTS pour éviter les interférences avec les périphériques hérités et les nœuds cachés.
  • La commande netstat (1) -W affiche désormais des informations sur les événements 802.11n.
  • En mode Hostap, ne réutilisez pas les ID d'association des nœuds encore en cache. Résout un problème où un point d'accès utilisant le pilote ral (4) serait bloqué à 1 Mbps car la comptabilisation du taux de transmission a eu lieu sur le mauvais objet.
  • Améliorations de la pile réseau générique:
  • La table de routage est maintenant basée sur ART et offre une recherche plus rapide.
  • Le nombre de recherche d’itinéraires par paquet a été réduit à 1 dans le chemin de transfert.
  • Le champ prio sur les en-têtes de VLAN est maintenant correctement défini sur chaque fragment d'un paquet IPv4 sortant sur une interface vlan (4).
  • Clonage de périphérique activé pour bpf (4). Cela permet au système d'avoir un seul noeud de périphérique bpf dans / dev qui dessert tous les consommateurs de bpf (jusqu'à 1024).
  • La file d'attente Tx du pilote cnmac (4) peut maintenant être traitée en parallèle du reste du noyau.
  • Le chemin d’entrée réseau est maintenant exécuté dans un contexte de thread.
  • Améliorations du programme d'installation:
  • liste mise à jour des codes utilisateurs restreints
  • install.sh et upgrade.sh fusionnés dans install.sub
  • update lance automatiquement sysmerge (8) en mode batch avant fw_update (1)
  • Les questions et les réponses sont consignées dans un format pouvant être utilisé comme fichier de réponse pour être utilisé par autoinstall (8)
  • / usr / local est défini sur wxallowed pendant l’installation
  • Démons de routage et autres améliorations du réseau utilisateur:
  • Ajoutez le support de la table de routage à rc.d (8) et à rcctl (8).
  • Laissez nc (1) prendre en charge les noms de service en plus des numéros de port.
  • Ajoutez les indicateurs TTL -M et -m à nc (1).
  • Ajoutez le support AF_UNIX à tcpbench (1).
  • Correction d’une régression dans rarpd (8). Le démon pourrait se bloquer s'il était inactif pendant longtemps.
  • Ajout de l’option llprio dans ifconfig (8).
  • Plusieurs programmes utilisant bpf (4) ont été modifiés pour tirer parti du clonage de périphérique de bpf (4) en ouvrant / dev / bpf0 au lieu de parcourir les périphériques / dev / bpf *. Ces programmes incluent arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) et tcpdump (8). La bibliothèque libpcap a également été modifiée en conséquence.
  • Améliorations de la sécurité:
  • W ^ X est maintenant strictement appliqué par défaut; un programme ne peut le violer que si l'exécutable est marqué avec PT_OPENBSD_WXNEEDED et se trouve sur un système de fichiers monté avec l'option wxallowed mount (8). Comme il y a encore trop de ports qui ne respectent pas W ^ X, le programme d'installation monte le système de fichiers / usr / local avec wxallowed. Cela permet au système de base d’être plus sécurisé tant que / usr / local est un système de fichiers distinct. Si vous n'utilisez pas de programmes violant W ^ X, envisagez de révoquer manuellement cette option.
  • La famille de fonctions setjmp (3) applique désormais les cookies XOR pour empiler et renvoyer les valeurs d’adresse dans jmpbuf sur amd64, hppa, i386, mips64 et powerpc.
  • Atténuation SROP: sigreturn (2) ne peut désormais être utilisé que par le trampoline de signal fourni par le noyau, avec un cookie pour détecter les tentatives de réutilisation.
  • Pour dissuader les exploits de réutilisation du code, rc (8) relance libc.so au démarrage, plaçant les objets dans un ordre aléatoire.
  • Dans la famille de fonctions getpwnam (3), arrêtez d’ouvrir la base de données par défaut.
  • Autorise le démarrage de tcpdump (8) -r sans les privilèges root.
  • Supprimer systrace.
  • Supprimer le support d’émulation Linux.
  • Supprimez le support de l’option usermount.
  • Le cache TCP SYN réamorce sa fonction de hachage de temps en temps. Cela empêche un attaquant de calculer la distribution de la fonction de hachage avec une attaque de synchronisation.
  • Pour lutter contre les attaques par inondation SYN, l'administrateur peut maintenant modifier la taille du tableau de hachage. netstat (1) -s -p tcp affiche les informations pertinentes pour régler le cache SYN avec sysctl (8) net.inet.tcp.
  • L'administrateur peut exiger des privilèges root pour se connecter à certains ports TCP et UDP avec sysctl (8) net.inet.tcp.rootonly et sysctl (8) net.inet.udp.rootonly.
  • Supprimez un pointeur de fonction de la structure de données mbuf (9) et utilisez plutôt un index dans un tableau de fonctions acceptables.
  • Améliorations assorties:
  • La bibliothèque de threads peut maintenant être chargée dans un processus mono-thread.
  • Amélioration de la gestion des symboles et de la conformité aux normes dans libc. Par exemple, la définition d’une fonction open () ne gênera plus le fonctionnement de fopen (3).
  • Les sections PT_TLS sont désormais prises en charge dans l’objet initialement chargé.
  • Amélioration de la gestion de "no path" et "empty path" dans fts (3).
  • Dans pcap (3), fournissez les fonctions pcap_free_datalinks () et pcap_offline_filter ().
  • Beaucoup de corrections de bogues et de nettoyage structurel dans la bibliothèque editline (3).
  • Supprimer les anciennes fonctions dbm (3); ndbm (3) reste.
  • Ajoutez le mot-clé setenv pour une gestion plus puissante de l'environnement dans doas.conf (5).
  • Ajoutez les options -g et -p à aucat.1 pour le positionnement temporel.
  • Réécrivez audioctl (1) avec une interface utilisateur plus simple.
  • Ajouter l'option -F pour installer (1) sur fsync (2) le fichier avant de le fermer.
  • kdump (1) vide désormais les structures pollfd.
  • Améliorez les détails de la conformité de ksh (1) POSIX.
  • mknod (8) réécrit dans un style convivial (2) et prend en charge la création de plusieurs périphériques à la fois.
  • Implémentez rcctl (8) get all et getdef all.
  • Implémenter le flag rcs (1) -I (interactive).
  • Dans rcs (1), implémentez la substitution de mot-clé Mdocdate.
  • En haut (1), permettez de filtrer les arguments de processus s’ils sont affichés.
  • Ajout du support UTF-8 à fold (1) et rev (1).
  • Activer UTF-8 par défaut dans xterm (1) et pod2man (1).
  • Filtrez les caractères non-ASCII dans le mur (1).
  • Gérez la variable d'environnement COLUMNS de manière cohérente dans de nombreux programmes.
  • Les options -c et -k permettent de fournir des certificats clients TLS pour syslogd (8) du côté envoi. Avec cela le côté récepteur peut vérifier que les messages de journal sont authentiques. Notez que syslogd n'a pas encore cette fonctionnalité de vérification.
  • Lorsque le tampon klog déborde, syslogd écrit un message de journal pour indiquer que certaines entrées sont manquantes.
  • Sous OpenBSD / octeon, la mise en mémoire tampon d’écriture du cache du processeur est activée pour améliorer les performances.
  • pkg_add (1) et pkg_info (1) comprennent maintenant une notion de branche pour faciliter la sélection de certains paquets populaires tels que python ou php, par exemple pkg_add python% 3.4 pour sélectionner la branche 3.4 et utiliser pkg_info -zm pour obtenir une liste floue avec une sélection de branche adaptée à pkg_add -l.
  • fdisk (8) et pdisk (8) quittent immédiatement sauf si un périphérique spécial de caractère a été passé
  • st (4) suit correctement le nombre de blocs actuel pour les blocs de taille variable
  • fsck_ext2fs (8) fonctionne à nouveau
  • Les volumes softraid (4) peuvent être construits avec des disques ayant une taille de secteur autre que 512 octets
  • dhclient (8) DECLINE's et élimine les OFFER inutilisés.
  • dhclient (8) se ferme immédiatement si son interface (par exemple un pont (4)) renvoie EAFNOSUPPORT lorsqu'un paquet est envoyé.
  • httpd (8) renvoie 400 requêtes incorrectes pour les requêtes HTTP v0.9.
  • L'initialisation du nœud paresseux de ffs2 évite de traiter des données de disque aléatoires comme un inode

    • Les invocations de
  • fcntl (2) dans les programmes de base utilisent l'idiome fcntl (n, F_GETFL) au lieu de fcntl (n, F_GETFL, 0)

    • Les appels de
  • socket (2) et accept4 (2) dans les programmes de base utilisent SOCK_NONBLOCK pour éliminer la nécessité d'un fcntl distinct (2).
  • tmpfs non activé par défaut
  • La sémantique du gage (2) dans le noyau a été améliorée de nombreuses manières. Les faits saillants incluent: une nouvelle promesse de chown qui permet aux programmes promis de définir des attributs setugid, une application plus stricte de la promesse recvfd et de chroot (2) n'est plus autorisée pour les programmes promis.
  • un certain nombre de bogues liés à l’engagement (2) (promesses manquantes, changements de comportement involontaires, plantage) ont été corrigés, notamment dans gzip (1), nc (1), sed (1), skeyinit (1), stty (1) et divers utilitaires liés aux disques, tels que disklabel (8) et fdisk (8).
  • Les erreurs de calcul de la taille des blocs dans le pilote audio (4) ont été corrigées.
  • Le pilote usb (4) met désormais en cache les ID de fournisseur et de produit. Résout un problème où usbdevs (8) appelé dans une boucle provoquait l'arrêt d'un fonctionnement d'un périphérique de stockage de masse USB.
  • Les pilotes rsu (4) et ural (4) fonctionnent à nouveau après qu’ils aient été accidentellement cassés en 5.9.
  • OpenSMTPD 6.0.0
  • Sécurité:
  • Implémentez le pattern fork + exec dans smtpd (8).
  • Corrigez un problème de logique dans la machine d'état SMTP qui peut entraîner un état non valide et entraîner un blocage.
  • Branchez une fuite de pointeur de fichier qui peut entraîner un épuisement des ressources et entraîner un blocage.
  • Utilisez les paramètres DH automatiques au lieu des paramètres fixes.
  • Désactivez DHE par défaut car il est coûteux en calcul et un vecteur potentiel DoS.
  • Les améliorations suivantes ont été apportées à la version 6.1:
  • Ajoutez l’option -r au smtpd (8) enqueuer pour la compatibilité avec mailx.
  • Ajoutez une date ou un identifiant de message manquant lors de l'écoute sur le port d'envoi.
  • Corrige "smtpctl show queue" rapportant un état d'enveloppe "invalide".
  • Retravailler le format de l’en-tête "Received" pour que la partie TLS ne viole pas la RFC.
  • Augmentez le nombre de connexions qu'une adresse locale est autorisée à établir et réduisez le délai entre les transactions dans la même session.
  • Correction de la livraison LMTP aux serveurs renvoyant des lignes de continuation.
  • Améliorer encore l’API de filtre encore expérimentale et résoudre divers problèmes connexes.
  • Améliorez et unifiez le format des messages de journal.
  • Corrige plusieurs incohérences et fautes de documentation dans les pages de manuel.
  • OpenSSH 7.3
  • Sécurité:
  • sshd (8): atténuer une éventuelle attaque par déni de service contre la fonction crypt (3) du système via sshd (8). Un attaquant pourrait envoyer des mots de passe très longs qui provoqueraient une utilisation excessive du processeur dans crypt (3). sshd (8) refuse maintenant d'accepter les demandes d'authentification par mot de passe d'une longueur supérieure à 1024 caractères.
  • sshd (8): atténuer les différences de temps dans l’authentification par mot de passe qui pourraient être utilisées pour identifier les noms de compte non valides lorsque des mots de passe longs ont été envoyés CVE-2016-6210.
  • ssh (1), sshd (8): corrige les faiblesses observables dans le chronométrage des contre-mesures Oracle padding oracle. Notez que les chiffrements CBC sont désactivés par défaut et inclus uniquement pour la compatibilité existante.
  • ssh (1), sshd (8): Amélioration de l’ordonnancement de la vérification MAC pour les algorithmes MAC de transport en mode Encrypt-then-MAC (EtM) pour vérifier le MAC avant de déchiffrer tout texte chiffré. Cela supprime la possibilité de différences temporelles avec des informations sur le texte en clair, bien qu'aucune fuite de ce type ne soit connue.
  • Fonctionnalités nouvelles / modifiées:
  • ssh (1): Ajoutez une option ProxyJump et un indicateur de ligne de commande -J correspondant pour permettre une indirection simplifiée via un ou plusieurs bastions SSH ou "hôtes de saut".
  • ssh (1): Ajoutez une option IdentityAgent pour autoriser la spécification de sockets d'agent spécifiques au lieu d'en accepter un de l'environnement.
  • ssh (1): Permettre à ExitOnForwardFailure et ClearAllForwardings d'être éventuellement remplacés lors de l'utilisation de ssh -W. (bz # 2577)
  • ssh (1), sshd (8): implémenter le support du mode terminal IUTF8 selon draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Ajout du support pour les groupes Diffie-Hellman 2K, 4K et 8K supplémentaires depuis draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): prend en charge les signatures SHA256 et SHA512 RSA dans les certificats.
  • ssh (1): Ajouter une directive Include pour les fichiers ssh_config (5).
  • ssh (1): Autorise les caractères UTF-8 dans les bannières de pré-authentification envoyées depuis le serveur. (bz # 2058)
  • Les bogues significatifs suivants ont été corrigés dans la version 6.1:
  • Dans scp (1) et sftp (1), évitez de visser les paramètres du terminal en évitant les octets ne constituant pas des caractères ASCII ou UTF-8.
  • ssh (1), sshd (8): réduisez le niveau de syslog de certains événements de protocole relativement courants provenant de LOG_CRIT. (bz # 2585)
  • sshd (8): Refusez AuthenticationMethods = "" dans les configurations et acceptez AuthenticationMethods = any pour le comportement par défaut qui ne nécessite pas une authentification multiple. (bz # 2398)
  • sshd (8): Supprimez les erreurs "POSSIBLE BREAK-IN ATTEMPT!" obsolètes et trompeuses. message lorsque le DNS avant et arrière ne correspond pas. (bz # 2585)
  • ssh (1): Fermez le processus d'arrière-plan ControlPersist stderr sauf en mode débogage ou lors de la connexion à syslog. (bz # 1988)
  • misc: La description de PROTOCOL pour direct-streamlocal@openssh.com correspond à un code déployé. (bz # 2529)
  • ssh (1): dédupliquez les entrées LocalForward et RemoteForward pour corriger les échecs lorsque ExitOnForwardFailure et la canonisation de nom d'hôte sont activés. (bz # 2562)
  • sshd (8): Supprime le repli des modules vers le fichier "primes" obsolète qui était obsolète en 2001. (bz # 2559)
  • sshd_config (5): Description correcte de UseDNS: cela affecte le traitement du nom d'hôte ssh pour authorized_keys, pas known_hosts. (bz # 2554)
  • ssh (1): corrige l’authentification à l’aide de clés de certificat isolés dans un agent sans les clés privées correspondantes sur le système de fichiers. (bz # 2550)
  • sshd (8): Envoyer les pings ClientAliveInterval lorsqu'un RekeyLimit temporel est défini; auparavant, les paquets keepalive n'étaient pas envoyés. (bz # 2252)
  • OpenNTPD 6.0
  • Lorsqu'une seule "contrainte" est spécifiée, essayez toutes les adresses renvoyées jusqu'à ce que l'une réussisse, plutôt que la première adresse renvoyée.
  • Assouplir la marge d'erreur de la contrainte pour qu'elle soit proportionnelle au nombre de pairs NTP, évitez les reconnexions constantes lorsqu'il existe un homologue NTP défectueux.
  • Suppression de la prise en charge du capteur hotplug (4) désactivé.
  • Ajout de la prise en charge de la détection des accidents dans les sous-processus de contrainte.
  • Déplacement de l’exécution des contraintes du processus ntp vers le processus parent, permettant une meilleure séparation des privilèges, car le processus ntp peut encore être restreint.
  • Correction d'une utilisation élevée du processeur lorsque le réseau est arrêté.
  • Correction de diverses fuites de mémoire.
  • Basculé vers RMS pour les calculs de gigue.
  • Fonctions de journalisation unifiées avec d’autres programmes de base OpenBSD.
  • Définissez MOD_MAXERROR pour éviter l’état de temps non synchronisé lors de l’utilisation de ntp_adjtime.
  • Correction de l’analyse des en-têtes d’horodatage HTTP pour utiliser strptime (3) de manière plus portable.
  • TLS renforcé pour les contraintes ntpd (8), permettant la vérification du nom du serveur.
  • LibreSSL 2.4.2
  • Fonctions visibles par l'utilisateur:
  • Correction de quelques liens brisés dans la page d’installation.
  • cert.pem a été réorganisé et synchronisé avec le magasin de certificats de Mozilla.
  • Correctif de fiabilité, corrigeant une erreur lors de l'analyse de certains éléments ASN.1 de taille supérieure à 16k.
  • Implémentation des suites de chiffrement IETF ChaCha20-Poly1305.
  • Un message d’ouverture de openssl (1) pour gérer correctement ^ C.
  • Améliorations du code:
  • Correction d'un problème de compatibilité avec nginx en ajoutant une cible de génération 'install_sw'.
  • Modification de l'implémentation EVP_aead_chacha20_poly1305 (3) par défaut à la version IETF, qui est maintenant la valeur par défaut.
  • Correction de la gestion des erreurs dans libtls afin que les erreurs de configuration soient plus visibles.
  • Ajout de la gestion des erreurs manquantes autour des appels à bn_wexpand (3).
  • Ajout des appels explicit_bzero (3) pour les objets ASN.1 libérés.
  • Correction des fonctions X509_ * set_object pour renvoyer 0 en cas d’échec de l’allocation.
  • Utilisation interne obsolète de EVP_ [Cipher | Encrypt | Decrypt] _Final.
  • Correction d'un problème empêchant l'algorithme de signature DSA de s'exécuter en temps constant, même si l'indicateur BN_FLG_CONSTTIME était défini.
  • Correction de plusieurs problèmes dans le code OCSP qui pouvaient entraîner une génération et une analyse incorrectes des requêtes OCSP. Cela résout le manque de vérification des erreurs lors de l'analyse de ces fonctions et garantit que seuls les formats GENERALIZEDTIME sont acceptés pour OCSP, conformément à la RFC 6960.
  • Les CVE suivants ont été corrigés:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate dépassement de capacité.
  • CVE-2016-2107-remplissage de Oracle en vérification MAC AES-NI CBC.
  • CVE-2016-2108-corruption de mémoire dans l'encodeur ASN.1.
  • CVE-2016-2109-ASN.1 BIO allocation de mémoire excessive.
  • Ports et packages:
  • Nouvel outil proot (1) dans l’arborescence des ports pour la construction de paquets dans un chroot.
  • De nombreux packages pré-construits pour chaque architecture:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Quelques points forts:
  • Afl 2.19b
  • Chrome 51.0.2704.106
  • Emacs 21.4 et 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Go 1.6.3
  • Groff 1.22.3
  • et 8u72 7u80 JDK
  • KDE 3.5.10 et 4.14.3 (plus des mises à jour de base KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 et 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr et 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 et 4.2.44
  • PHP 5.5.37, 5.6.23 et 7.0.8
  • Postfix 3.1.1 et 3,2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5, et 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 et 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 5.8.18 et 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Comme améliorations habitude, de nombreuses dans les pages de manuel et autres documents.
  • Le système comprend les principaux éléments suivants des fournisseurs extérieurs:
  • Xenocara (basé sur X.Org 7.7 avec xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 et plus)
  • GCC 4.2.1 (+ patches) et 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk 10 août 2011 version
  • Expat 2.1.1

17 Aug 18 Dans Utilitaires système, Systèmes d'exploitation et mises à jour

Logiciel similaire

Linux-on-android
Linux-on-android

19 Feb 15

Fedora Rescue CD for i386
Fedora Rescue CD for i386

2 Jun 15

Kernelloader
Kernelloader

18 Jul 15

AROS Research Operating System
AROS Research Operating System

17 Feb 15

Commentaires à OpenBSD

Commentaires non trouvées
Ajouter un commentaire
Tourner sur les images!
Recherche par catégorie
Logiciel populaire