OpenBSD ay isang libreng proyekto na naghahatid ng multi-platform UNIX na operating system na portable, mabisa, ligtas, at batay sa 4.4BSD platform. Ito ay isang malakas na produkto ng server na ginagamit sa daan-daang libo ng mga computer sa buong mundo.
Availability, mga pagpipilian sa boot, mga suportadong platform
Ang operating system ay malayang magagamit para sa pag-download mula sa nakalaang seksyon (tingnan sa itaas) bilang mga imaheng ISO o binary na mga pakete na nagpapahintulot sa mga user na i-install ito sa network. Ang mga imaheng ISO ay maaaring masunog sa mga CD disc, direktang ma-boot mula sa BIOS ng karamihan sa mga PC.
Sinusuportahan ng OpenBSD ang binary na pagtulad ng karamihan sa mga programa mula sa SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS at HP-UX. Maaari itong i-install sa isang malawak na hanay ng mga arkitektura, kabilang ang i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64, at mips64el.
Ang boot ng imahe ng CD ay awtomatikong walang pakikipag-ugnayan ng user at hihilingin sa kanila kung nais nilang manwal na i-install, i-upgrade o awtomatikong i-install ang operating system, pati na rin upang i-drop sa isang shell prompt.
Manu-mano o awtomatikong pag-install
Ang pag-install ng standard (read: manual) ay mangangailangan ng mga user na pumili ng isang layout ng keyboard, itakda ang hostname, pumili ng interface ng network at i-configure ito gamit ang IPv4 at / o IPv6, gayundin ang magtakda ng bagong password para sa root ( account administrator).
Bilang karagdagan, maaari mong piliin na simulan ang mga serbisyo ng SSH at NTP kapag nagsimula ang system, piliin kung nais mong gamitin ang X Window System o hindi, mag-setup ng isang user, pumili ng timezone, hatiin ang disk drive, at i-install ang mga set .
Kabilang sa kasama na mga pakete ng software na magagamit para sa OpenBSD, maaari naming banggitin ang GNOME, KDE at Xfce desktop na kapaligiran, ang MySQL, PostgreSQL, Postfix at OpenLDAP server, ang Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim at Chromium apps, pati na rin ang PHP, Python, Ruby, Tcl / Tk, JDK, Mono at Go programming languages.
Ibabang linya
Summing up, OpenBSD ay isang malakas at mataas na acclaimed server na nakatuon sa server na operating system ng BSD / UNIX na nagbibigay sa amin ng state-of-the-art na software, kabilang ang OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED, at mandoc.
Ano ang bago sa paglabas na ito:
- Pinahusay na suporta sa hardware, kabilang ang:
- suporta SMP sa platform OpenBSD / arm64.
- Suporta ng VFP at NEON sa platform ng OpenBSD / armv7.
- Bagong acrtc (4) driver para sa X-Powers AC100 audio codec at Real Time Clock.
- Bagong axppmic (4) driver para sa X-Powers AXP Power Management ICs.
- Bagong driver ng bcmrng (4) para sa random number generator ng Broadcom BCM2835 / BCM2836 / BCM2837.
- Bagong driver ng bcmtemp (4) para sa temperatura monitor ng Broadcom BCM2835 / BCM2836 / BCM2837.
- Bagong bgw (4) driver para sa Bosch motion sensor.
- Bagong bwfm (4) driver para sa Broadcom at Cypress FullMAC 802.11 na mga aparato (pa experimental at hindi naipon sa kernel bilang default)
- Bagong efi (4) driver para sa mga serbisyo ng runtime EFI.
- Bagong imaxanatop (4) driver para sa i.MX6 na pinagsamang regulator.
- Bagong driver ng rkpcie (4) para sa bridge ng Host / PCIe ng Rockchip RK3399.
- Bagong sxirsb (4) driver para sa Allwinner Reduced Serial Bus controller.
- Bagong sxitemp (4) driver para sa Allwinner temperature monitor.
- Bagong sxits (4) driver para sa temperatura sensor sa Allwinner A10 / A20 touchpad controller.
- Bagong sxitwi (4) driver para sa dalawang bus na bus na natagpuan sa maraming Allwinner SoCs.
- Bagong sypwr (4) driver para sa regulator ng Silergy SY8106A.
- Suporta para sa Rockchip RK3328 SoCs ay idinagdag sa dwge (4), rkgrf (4), rkclock (4) at rkpinctrl (4) na mga driver.
- Suporta para sa Rockchip RK3288 / RK3328 SoCs ay naidagdag sa rktemp (4) na driver.
- Ang Suporta para sa Allwinner A10 / A20, A23 / A33, A80 at R40 / V40 SoCs ay idinagdag sa driver ng sxiccmu (4).
- Suporta para sa Allwinner A33, GR8 at R40 / V40 SoCs ay idinagdag sa driver ng sxipio (4).
- Suporta para sa SAS3.5 MegaRAIDs ay idinagdag sa driver ng mfii (4).
- Ang suporta para sa integrated Integrated Ethernet ng Lake Cannon Lake at Ice ay idinagdag sa driver ng em (4).
- cnmac (4) port ay itinalaga na ngayon sa iba't ibang mga CPU core para sa ipinamamahagi na pag-abala ng pag-iisip.
- Ang driver ng pms (4) ay nakita at pinangangasiwaan ang mga anunsyo sa pag-reset.
- Sa amd64 Intel CPU microcode ay na-load sa boot at na-install / na-update ng fw_update (1).
- Suportahan ang sun4v hypervisor matakpan cookie API, idagdag ang suporta para sa SPARC T7-1 / 2/4 machine.
- Ang pagtaguyod ng tagumpay ay idinagdag para sa SD / MMC storage na naka-attach sa sdhc (4) controllers.
- Ang clang (1) ay ginagamit na ngayon bilang tagatala ng system sa armv7, at ito ay ibinigay din sa sparc64.
- vmm (4) / vmd (8) na mga pagpapabuti:
- Magdagdag ng suporta sa CD-ROM / DVD ISO sa vmd (8) sa pamamagitan ng vioscsi (4).
- vmd (8) ay hindi na lumilikha ng pinagbabatayan na interface ng tulay para sa mga virtual switch na tinukoy sa vm.conf (5).
- vmd (8) ay tumatanggap ng impormasyon sa paglipat (rdomain, etc) mula sa pinagbabatayan ng interface ng switch kasama ng mga setting sa vm.conf (5).
- Suporta sa Oras ng Counter (TSC) na suporta sa mga guest VMs.
- Suportahan ang ukvm / Solo5 uniqueernels sa vmm (4).
- Maghawak ng wastong (ngunit hindi pangkaraniwang) pagtutugma ng pagtuturo nang mas mahusay.
- Mas mahusay na PAE paging suporta para sa 32-bit Linux guest VMs.
- vmd (8) ngayon ay nagbibigay-daan sa hanggang sa apat na interface ng network sa bawat VM.
- Magdagdag ng paulit-ulit na paglipat at suporta sa snapshotting sa vmm (4) para sa mga host AMD SVM / RVI.
- Ang mga utos na BREAK na ipinadala sa loob ng isang pty (4) ay nauunawaan na ngayon ng vmd (8).
- Maraming mga pag-aayos sa paghawak ng error sa vmctl (8) at vmd (8).
- Mga pagpapahusay sa IEEE 802.11 wireless stack:
- Ang mga iwm (4) at iwn (4) na mga driver ay awtomatikong naglilibot sa pagitan ng mga access point na nagbabahagi ng ESSID. Ang pagpilit ng MAC address ng isang partikular na AP sa baldos ng ifconfig ay hindi pinapagana ang roaming.
- Awtomatikong i-configure ang mga key ng WEP / WPA kapag ang isang bagong network ESSID ay isinaayos.
- Inalis ang kakayahan para mabasa ng userland na naka-configure ang mga key ng WEP / WPA mula sa kernel.
- Ang driver ng iwm (4) ay maaari na ngayong kumonekta sa mga network na may nakatagong SSID.
- Ang mga aparatong USB na suportado ng driver ng athn ay gumagamit na ngayon ng isang open source firmware, at gumagana ang hostap mode sa mga device na ito.
- Mga pagpapabuti ng mga generic na network stack:
- Hindi na tumatakbo ang network stack gamit ang KERNEL_LOCK () kapag pinagana ang IPsec.
- Pagproseso ng mga papasok na TCP / UDP packet ay tapos na ngayon nang walang KERNEL_LOCK ().
- Ang socket splicing task ay tumatakbo nang walang KERNEL_LOCK ().
- Paglilinis at pag-alis ng code sa sys / netinet6 dahil ang autoconfiguration ay tumatakbo sa userland ngayon.
- tulay (4) na mga miyembro ay mapipigilan na makipag-usap sa bawat isa sa bagong protektadong pagpipilian.
- Pinadali ang tampok na pf divert-packet. Ang IP_DIVERTFL socket option ay tinanggal mula sa paglihis (4).
- Ang iba't ibang mga kaso ng sulok ng pf divert-to at divert-reply ay mas pare-pareho ngayon.
- Ipatupad sa pf (4) na ang lahat ng packet ng pagtuklas ng kapwa ay may 255 sa kanilang IPv6 header hop limit field.
- Bagong hanay ng pagpipilian sa syncookies sa pf.conf (5).
- Suporta para sa GRE sa IPv6.
- Bagong egre (4) driver para sa Ethernet sa paglipas ng GRE tunnels.
- Suporta para sa opsyonal na header ng GRE at GRE key entropy sa gre (4) at egre (4).
- Bagong nvgre (4) driver para sa Network Virtualization gamit ang Generic Routing Encapsulation.
- Suporta para sa pag-configure ng Mga packet ng bandila ng Fragment na hindi naka-encapsulated ng mga interface ng tunel.
- Mga pagpapahusay ng installer:
- kung nabigo ang install.site o upgrade.site, ipagbigay-alam ang user at error pagkatapos mag-imbak ng rand.seed.
- payagan ang CIDR notasyon kapag nagpapasok ng IPv4 at IPv6 address.
- pag-aayos ng seleksyon ng isang mirror ng HTTP mula sa listahan ng mga salamin.
- payagan ang '-' sa mga username.
- magtanong sa dulo ng proseso ng pag-i-install / mag-upgrade upang ang sanhi ng pag-ikot ay nagiging sanhi ng naaangkop na pagkilos, hal. reboot.
- ipakita ang mode (i-install o i-upgrade) ang mga senyas ng shell hangga't walang hostname ang kilala.
- tama na tuklasin kung aling interface ang default ruta at kung ito ay naka-configure sa pamamagitan ng DHCP.
- matiyak na maaaring basahin ang mga set mula sa lugar ng prefetch.
- matiyak na ang redirection ng URL ay epektibo para sa buong pag-install / pag-upgrade.
- idagdag ang HTTP proxy na ginagamit kapag nakakakuha ng mga set sa rc.firsttime, kung saan makakahanap at magamit ang fw_update at syspatch.
- magdagdag ng lohika upang suportahan ang RFC 7217 sa SLAAC.
- tiyaking configure ang IPv6 para sa mga dynamic na nilikha ng mga interface ng network tulad ng vlan (4).
- lumikha ng tamang hostname kapag ang parehong domain-name at domain-search options ay ibinibigay sa DHCP lease.
- Mga routing daemon at iba pang pagpapabuti ng network ng userland:
- Ang bgpctl (8) ay may bagong opsyon ssv na nag-output ng mga entry sa rib bilang isang nag-iisa na pinaghihiwalay na semicolon tulad ng para sa pagpili bago ang output.
- Ang ospfd (8) ay maaari na ngayong magtakda ng sukatan para sa isang ruta depende sa katayuan ng isang interface.
- Ang ifconfig (8) ay may bagong opsyon na staticarp upang gumawa ng mga interface na tumugon sa mga kahilingan ng ARP lamang.
- ipsecctl (8) ay maaari na ngayong gumuho ng mga output ng daloy na may parehong pinagmumulan o patutunguhan.
- Ang pagpipilian sa -n sa netstart (8) ay hindi na gumagalaw sa ruta ng default. Ito ay dokumentado din ngayon.
- Mga pagpapahusay sa seguridad:
- Gumamit ng higit pang mga bitag sa mga iba't ibang arkitektura.
- Higit pang paggamit ng. prodata para sa mga pare-pareho na variable sa pinagmulang pagpupulong.
- Ihinto ang paggamit ng x86 & quot; repz ret & quot; sa maalikabok na sulok ng puno.
- Ipakilala ang & quot; execpromises & quot; sa pangako (2).
- Ang utility na elfrdsetroot na ginamit upang bumuo ng ramdisks at ang rebound (8) na proseso ng pagmamanman ay gumagamit na ngayon ng pangako (2).
- Maghanda para sa pagpapakilala ng MAP_STACK sa mmap (2) pagkatapos ng 6.3.
- Itulak ang isang maliit na piraso ng KARL na naka-link na kernel text sa random number generator bilang entropy sa startup.
- Maglagay ng isang maliit na random na puwang sa tuktok ng mga thread ng thread, upang ang mga attackers ay may isa pang pagkalkula upang maisagawa para sa kanilang ROP work.
- Pagbawas sa kahinaan ng Meltdown para sa Intel brand amd64 CPU.
- Ang OpenBSD / arm64 ay gumagamit na ngayon ng paghihiwalay ng talahanayan ng kernel upang maiwasan ang pag-atake ng Spectre variant 3 (Meltdown).
- OpenBSD / armv7 at OpenBSD / arm64 na ngayon ay mag-flush sa Branch Target Buffer (BTB) sa mga processor na nagsasagawa ng ispekulatibong pagpapatupad upang palawigin ang variant na pag-atake ng Variant 2.
- pool_get (9) ay nagpapabagal sa pagkakasunud-sunod ng mga item sa mga bagong inilaan na mga pahina, na ginagawang mas mahuhulaan ang layout ng kernel.
- Ang fktrace (2) system call ay tinanggal.
- dhclient (8) na pagpapabuti:
- Ang pag-parse ng dhclient.conf (5) ay hindi na tumatawid ng string ng SSID, mga string na masyadong mahaba para sa pag-parse ng buffer o paulit-ulit na mga opsyon ng string at mga command.
- Ang pag-iimbak ng mga lease sa dhclient.conf (5) ay hindi na suportado.
- Ang 'DENY' ay hindi na wasto sa dhclient.conf (5).
- dhclient.conf (5) at dhclient.leases (5) ang mga mensahe ng error sa pag-parse ay pinasimple at nililinaw, na may pinahusay na pag-uugali sa pagkakaroon ng di inaasahang mga semicolon.
- Mas maraming pag-aalaga ang ginagamit upang magamit lamang ang impormasyon ng configuration na matagumpay na na-parse.
- '- n' ay idinagdag, na nagdudulot ng dhclient (8) upang lumabas pagkatapos ng pag-parse ng dhclient.conf (5).
- Ang mga default na ruta sa mga opsyon na walang classless-static na ruta (121) at mga classless-ms-static-ruta (249) ay maayos nang kinakatawan sa dhclient.leases (5) na file.
- I-overwrite ang file na tinukoy sa '-L' sa halip na idagdag ito.
- Ang mga pagpapaupa sa dhclient.leases (5) ay naglalaman na ng isang 'panahon' na katangian na nagre-record ng oras na tinanggap ang lease, na ginagamit upang kalkulahin ang tamang pag-renew, pag-ulit at pag-expire ng oras.
- Wala nang tungkol sa mga underscore sa mga pangalan na lumalabag sa RFC 952.
- Ipinapadala ng walang kundisyon ang impormasyon ng host-host kapag humihiling ng isang lease, inaalis ang pangangailangan para sa dhclient.conf (5) sa default na pag-install.
- Maging tahimik sa pamamagitan ng default. '-q' ay inalis at '-v' ay idinagdag upang paganahin ang pag-log ng masalimuot.
- Tanggihan ang mga duplicate na alok para sa hiniling na address.
- Walang posibilidad na pumunta sa background pagkatapos ng mga segundo ng link-timeout.
- Makabuluhang bawasan ang pag-log sa pagiging tahimik, ngunit gumawa ng '-v' mag-log ng lahat ng impormasyon sa pag-debug nang hindi nangangailangan ng pagtala ng custom na executable.
- Huwag pansinin ang mga pahayag ng 'interface' sa dhclient.leases (5) at ipalagay ang lahat ng mga lease sa file ay para sa naka-configure na interface.
- Ipakita ang pinagmulan ng lease na nakagapos sa interface.
- 'Huwag pansinin', 'humiling' at 'nangangailangan' na mga deklarasyon sa dhclient.conf (5) ngayon idagdag ang mga tinukoy na opsyon sa may-katuturang listahan sa halip na palitan ang listahan.
- Tanggalin ang lahi ng startup na maaaring magresulta sa dhclient (8) na lumabas nang hindi maayos ang interface.
- Mga iba't ibang pagpapabuti:
- Pag-aayos ng code at iba pang pagpapabuti sa malloc (3) at mga kaibigan upang gawing mas mahusay ang mga ito.
- Kapag nagsagawa ng suspendido o pagtulog sa panahon ng taglamig na mga operasyon, tiyakin na ang lahat ng mga file system ay maayos na naka-synchronize at minarkahan ng malinis, o kung hindi sila maaaring ilagay sa ganap na malinis na estado sa disk (dahil sa bukas + mga hindi naka-link na mga file) pagkatapos ay markahan ang mga ito marumi, upang ang nabigo na resume / Walang nakakagarantiya na gaganap ang fsck (8).
- acme-client (1) autodetects ang kasunduan ng URL at sumusunod sa 30x HTTP na pag-redirect.
- Nagdagdag ng __cxa_thread_atexit () upang suportahan ang mga modernong C ++ tool chain.
- Nagdagdag ng suporta sa EVFILT_DEVICE sa kqueue (2) para sa pagmamanman ng mga pagbabago sa drm (4) na mga device.
- Ang ldexp (3) ay humahawak na ngayon ng tanda ng mga denormal na numero ng tama sa mips64.
- Bagong mga sincos (3) ang mga function sa libm.
- Ang fdisk (8) ngayon ay nagsisiguro na ang bisa ng MBR partition offsets ay ipinasok habang nag-edit.
- Ang fdisk (8) ngayon ay nagsisiguro na ang mga halaga ng default ay nasa loob ng wastong hanay.
- mas mababa (1) ngayon ay hiwalay lamang ang variable ng kapaligiran na mas mababa sa '$'.
- mas mababa (1) ay hindi na lumilikha ng isang talang file kapag nakakaranas ng '$' sa unang command.
- softraid (4) ngayon ay napatunayan ang bilang ng mga chunks kapag nagtitipon ng lakas ng tunog, tinitiyak na ang pag-sync sa on-disk at in-memory metadata.
- ngayon ang disklabel (8) ay nag-aalok na i-edit ang laki ng fragment ng FFS partition bago mag-alok na i-edit ang mga blockize.
- Ang disklabel (8) ay pinahihintulutan ngayon ang pag-edit ng mga cylinder / group (cpg) na attribute tuwing maaaring i-edit ang partition blockize.
- Nakikita na ngayon ng disklabel (8) ang ^ D at hindi wastong input sa panahon ng (R) esize na mga utos.
- Nakikita na ngayon ng disklabel (8) ang mga underflow at overflows kapag ginagamit ang / + operator.
- disklabel (8) ngayon ay nag-iwas sa isang off-by-one kapag kinakalkula ang bilang ng mga cylinders sa isang libreng bahagi.
- Ang disklabel (8) ay napatunayan na ngayon ang hiniling na laki ng partisyon laban sa laki ng pinakamalaking libreng tipak sa halip na kabuuang puwang.
- Suporta para sa paglalaglag ng mga USB transfer sa pamamagitan ng bpf (4).
- tcpdump (8) ay maaari na ngayong maunawaan ang mga lungkot ng mga paglilipat ng USB sa format ng USBPcap.
- Kasama na ngayon ang default na senyales ng csh (1), ksh (1) at sh (1) ang hostname.
- Ang paglalaan ng memory sa ksh (1) ay nakabukas mula sa calloc (3) pabalik sa malloc (3), na ginagawang mas madaling makilala ang di-binabanggit na memorya. Bilang isang resulta, ang isang bug sa kasaysayan na may kaugnayan sa emacs mode sa pag-edit ay natuklasan at naayos.
- Bagong script (1) -c na opsyon upang magpatakbo ng isang command sa halip ng isang shell.
- Bagong grep (1) -m pagpipilian upang limitahan ang bilang ng mga tugma.
- Bagong uniq (1) -i pagpipilian para sa case-insensitive na paghahambing.
- Ang printf (3) na format na string ay hindi na validated kapag naghahanap ng% na format. Batay sa isang gumawa ng Android at sumusunod sa karamihan ng iba pang mga operating system.
- Pinabuting pagsuri ng error sa vfwprintf (3).
- Maraming mga base na programa ang na-awdit at naayos para sa mga lipas na descriptor ng file, kabilang ang cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) at sshd (8).
- Iba't ibang mga pag-aayos ng bug at mga pagpapabuti sa jot (1):
- Ang mga limitasyon ng mga arbitrary na haba para sa mga argumento para sa mga -b, -s, -w na mga pagpipilian ay inalis.
- Ang specifier ng format ng F ay sinusuportahan na ngayon at naayos ang isang bug sa format ng D.
- Mas mahusay na coverage ng code sa mga pagsusulit ng pagbabalik.
- Ang ilang mga buffer overruns ay naayos.
- Ang patch (1) utility ngayon ay mas mahusay na nakakasagabal sa git diffs na lumikha o nagtatanggal ng mga file.
- ngayon ay pinabuting pkg_add (1) ang suporta para sa mga redirectors ng HTTP (S) tulad ng cdn.openbsd.org.
- mandoc (1) -Ta laki ng laki ng output ng PS na nababawasan ng higit sa 50%.
- syslogd (8) mga log kung mayroong mga babala sa panahon ng pagsisimula.
- Ang syslogd (8) ay tumigil sa pag-log sa mga file sa isang buong filesystem. Ngayon nagsusulat ito ng isang babala at nagpapatuloy pagkatapos na magawa ang puwang.
- vmt (4) ay pinahihintulutan ngayon ang pag-clone at pagkuha ng disk snapshot ng disk ng mga tumatakbo na bisita.
- OpenSMTPD 6.0.4
- Magdagdag ng pagpipilian sa paglalakad sa spf sa smtpctl (8).
- Mga iba't ibang cleanup at pagpapabuti.
- Maraming mga pag-aayos at pagpapabuti ng mga pag-aayos ng pahina.
- OpenSSH 7.7
- Mga bago / nagbago na mga tampok:
- Lahat: Magdagdag ng pang-eksperimentong suporta para sa mga key ng PQC XMSS (Mga Palugit na Pinalawak na Hash-Based) batay sa algorithm na inilarawan sa https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Ang XMSS signature code ay pang-eksperimentong at hindi pinagsama-sama sa pamamagitan ng default.
- sshd (8): Magdagdag ng & quot; rdomain & quot; pamantayan para sa keyword na sshd_config Pagtutugma upang payagan ang kondisyon na pagsasaayos na nakasalalay sa kung aling domain ng pagruruta ang isang koneksyon ay natanggap sa (kasalukuyang sinusuportahan sa OpenBSD at Linux).
- sshd_config (5): Magdagdag ng opsyonal na kwalipikadong rdomain sa direktiba ng ListenAddress upang payagan ang pakikinig sa iba't ibang mga domain ng pagruruta. Ito ay suportado lamang sa OpenBSD at Linux sa kasalukuyan.
- sshd_config (5): Magdagdag ng direktiba ng RDomain upang payagan ang napatotohanan na session na mailagay sa isang tahasang routing domain. Ito ay sinusuportahan lamang sa OpenBSD sa kasalukuyan.
- sshd (8): Magdagdag ng & quot; expiry-time & quot; opsyon para sa mga awtorisadong_key na mga file upang pahintulutan ang mga expiring key.
- ssh (1): Magdagdag ng opsyon na BindInterface upang pahintulutan ang umiiral na koneksyon sa isang interface ng interface (karaniwang isang mas magagamit na BindAddress).
- ssh (1): Ilantad ang aparato na inilaan para sa tun / i-tap ang pagpapasa sa pamamagitan ng isang bagong pag-exp para sa LocalCommand. Pinapayagan nito ang LocalCommand na magamit upang ihanda ang interface.
- sshd (8): Ilantad ang aparato na inilaan para sa tun / i-tap ang pag-forward sa pamamagitan ng isang bagong variable na kapaligiran ng SSH_TUNNEL. Pinapayagan nito ang awtomatikong pag-setup ng interface at awtomatikong pagsasaayos ng network sa server.
- ssh (1) / scp (1) / sftp (1): Magdagdag ng suporta sa URI sa ssh, sftp at scp, hal. ssh: // user @ host o sftp: // user @ host / path. Ang mga karagdagang parameter ng koneksyon na inilarawan sa draft-ietf-secsh-scp-sftp-ssh-uri-04 ay hindi ipinatupad dahil ang format ng ssh fingerprint sa draft ay gumagamit ng hindi na ginagamit na MD5 hash na walang paraan upang tukuyin ang anumang ibang algorithm.
- ssh-keygen (1): Pahintulutan ang mga pagitan ng bisa ng certificate na tukuyin lamang ang isang panimula o oras ng pagtigil (sa halip na pareho o wala).
- sftp (1): Payagan ang & quot; cd & quot; at & quot; lcd & quot; utos na walang tahasang argumento ng landas. Ang lcd ay magbabago sa direktoryo ng tahanan ng lokal na gumagamit gaya ng dati. Ang cd ay magbabago sa panimulang direktoryo para sa session (dahil ang protocol ay hindi nag-aalok ng paraan upang makuha ang home directory ng remote user). bz # 2760
- sshd (8): Kapag gumagawa ng config test gamit ang sshd -T, nangangailangan lamang ang mga katangiang aktwal na ginagamit sa pamantayan ng Pagtutugma sa halip na (isang hindi kumpletong listahan ng lahat ng pamantayan).
- Ang mga sumusunod na makabuluhang mga bug ay naayos sa paglabas na ito:
- ssh (1) / sshd (8): Mas mahigpit na suriin ang mga uri ng lagda sa panahon ng key exchange laban sa kung ano ang na-negotiate. Pinipigilan ang pag-downgrade ng mga lagda ng RSA na ginawa sa SHA-256/512 sa SHA-1.
- sshd (8): Ayusin ang suporta para sa client na nag-advertise ng isang bersyon ng protocol ng & quot; 1.99 & quot; (na nagpapahiwatig na sila ay handa na tanggapin ang parehong SSHv1 at SSHv2). Ito ay nasira sa OpenSSH 7.6 sa panahon ng pagtanggal ng suporta ng SSHv1. bz # 2810
- ssh (1): Warn kapag nagbabalik ang agent ng isang ssh-rsa (SHA1) lagda kapag ang isang rsa-sha2-256 / 512 na pirma ay hiniling. Ang kundisyong ito ay posible kapag ginagamit ang isang lumang o hindi na agent ng OpenSSH. bz # 2799
- ssh-agent (1): Ayusin ang regression ipakilala sa 7.6 na nagdulot ng ssh-agent sa fatally exit kung nagpakita ng isang hindi wastong mensahe ng kahilingan ng lagda.
- sshd_config (5): Tanggapin ang oo / walang mga pagpipilian sa bandila ng kaso-insensitibo, gaya ng nangyari sa ssh_config (5) sa loob ng mahabang panahon. bz # 2664
- ssh (1): Pagbutihin ang pag-uulat ng error para sa mga pagkabigo sa panahon ng koneksyon. Sa ilalim ng ilang mga pangyayari, ang mga nakaliligaw na pagkakamali ay nagpapakita. bz # 2814
- ssh-keyscan (1): Magdagdag ng -D na pagpipilian upang payagan ang pag-print ng mga resulta nang direkta sa SSHFP format. bz # 2821
- mga pagsusulit sa pag-urong: ayusin ang pagsusulit ng interrupt ng PuTTY na nasira sa pagtanggal ng SSHv1 ng huling release. bz # 2823
- ssh (1): Pag-aayos ng compatibility para sa ilang mga server na mali ang drop ang koneksyon kapag ipinadala ang opsyon na IUTF8 (RFC8160).
- scp (1): Huwag paganahin ang RemoteCommand at RequestTTY sa ssh session na sinimulan ng scp (ginagawa ito ng sftp.)
- ssh-keygen (1): Tumanggi na lumikha ng isang sertipiko na may hindi magamit na bilang ng mga punong-guro.
- ssh-keygen (1): Matatanggal na exit kung ang ssh-keygen ay hindi makakapagsulat ng lahat ng pampublikong susi sa panahon ng key generation. Noong nakaraan ay tahimik na huwag pansinin ang mga pagkakamali sa pagsulat ng komento at pagtatapos ng bagong linya.
- ssh (1): Huwag baguhin ang mga argumento ng hostname na mga address sa pamamagitan ng awtomatikong pagpwersa sa mga ito sa mas mababang kaso. Sa halip ay isagawa ang mga ito upang malutas ang mga ambiguidad (hal. :: 0001 = & gt; :: 1) bago matugunan ang mga ito laban sa kilala_hosts. bz # 2763
- ssh (1): Huwag tumanggap ng junk pagkatapos ng & quot; yes & quot; o & quot; hindi & quot; mga tugon sa mga prompt ng hostkey. bz # 2803
- sftp (1): Magkaroon ng sftp ng isang babala tungkol sa kalinisan ng shell kapag nagde-decode ang nabigo ng unang pakete, na kadalasang sanhi ng mga baseng polluting stdout ng mga di-interactive na mga startup. bz # 2800
- ssh (1) / sshd (8): Ilipat ang mga timers sa packet code mula sa paggamit ng oras ng wall-clock patungo sa monotonic time, na nagpapahintulot sa packet layer na mas mahusay na gumana sa isang hakbang na orasan at pag-iwas sa posibleng pag-overflow ng integer sa mga hakbang. >
- Maraming mga pag-aayos at pagpapabuti ng mga pag-aayos ng pahina.
- LibreSSL 2.7.2
- Nagdagdag ng suporta para sa maraming mga OpenSSL 1.0.2 at 1.1 API, batay sa mga obserbasyon ng paggamit sa real-world sa mga application. Ang mga ito ay ipinatupad sa kahanay sa mga umiiral na OpenSSL 1.0.1 API - ang mga pagbabago sa pagpapakita ay hindi ginawa sa mga umiiral na struct, na nagpapahintulot sa code na nakasulat para sa mga mas lumang OpenSSL API upang magpatuloy sa pagtratrabaho.
- Mga malawakang pagwawasto, mga pagpapabuti, at mga karagdagan sa dokumentasyon ng API, kasama ang mga bagong pampublikong API mula sa OpenSSL na walang pre-existing na dokumentasyon.
- Nagdagdag ng suporta para sa pag-initialize ng awtomatikong library sa libcrypto, libssl, at libtls. Suporta para sa pthread_once o isang tugmang katumbas ay kinakailangan na ngayon sa target na operating system. Bilang isang epekto, ang pinakamaliit na suporta ng Windows ay Vista o mas mataas.
- Nag-convert ng higit pang mga paraan ng paghawak ng packet sa CBB, na nagpapabuti sa pagkakasunod-sunod kapag bumubuo ng mga mensahe ng TLS.
- Nakumpleto ang paghawak ng extension ng paghawak ng TLS, pagpapabuti ng pare-pareho ng mga tseke para sa mga malformed at dobleng mga extension.
- I-rewind ang ASN1_TYPE_ {get, set} _octetstring () gamit ang templated ASN.1. Inaalis nito ang huling natitirang paggamit ng lumang M_ASN1_ * macros (asn1_mac.h) mula sa API na kailangang patuloy na umiiral.
- Nagdagdag ng suporta para sa pagpapatuloy ng sesyon ng client-side sa mga libtl. Ang isang libtls client ay maaaring tukuyin ang isang session file descriptor (isang regular na file na may naaangkop na pagmamay-ari at mga pahintulot) at ang mga libtls ay pamahalaan ang pagbabasa at pagsusulat ng data ng session sa mga TLS handshake.
- Pinahusay na suporta para sa mahigpit na pagkakahanay sa ARMv7 na mga arkitektura, na pinapayagan ang pagpapagana ng pagpupulong sa mga kasong iyon.
- Fixed isang memory leak sa mga libtls kapag ang muling paggamit ng isang tls_config.
- Pinagsama ang higit pang suporta ng DTLS sa regular na landas ng TLS code, na nag-aalis ng doble na code.
- Mga port at pakete:
- dpb (1) at normal na port (7) ay maaari na ngayong tamasahin ang parehong pribilehiyo na pinaghiwalay na modelo sa pamamagitan ng pagtatakda ng PORTS_PRIVSEP = Oo
- Maraming mga pre-built na pakete para sa bawat arkitektura:
- aarch64: 7990
- alpha: 1
- amd64: 9912
- braso: XXXX
- hppa: XXXX
- i386: 9861
- mips64: 8149
- mips64el: XXXX
- powerpc: XXXX
- sh: 1
- sparc64: XXXX
- Ang ilang mga highlight:
- AFL 2.52b
- CMake 3.10.2
- Chromium 65.0.3325.181
- Emacs 21.4 at 25.3
- GCC 4.9.4
- GHC 8.2.2
- Gimp 2.8.22
- GNOME 3.26.2
- Pumunta 1.10
- Groff 1.22.3
- JDK 8u144
- KDE 3.5.10 at 4.14.3 (kasama ang mga pangunahing pag-update ng KDE4)
- LLVM / Clang 5.0.1
- LibreOffice 6.0.2.1
- Lua 5.1.5, 5.2.4 at 5.3.4
- MariaDB 10.0.34
- Mozilla Firefox 52.7.3esr at 59.0.2
- Mozilla Thunderbird 52.7.0
- Mutt 1.9.4 at NeoMutt 20180223
- Node.js 8.9.4
- Ocaml 4.03.0
- OpenLDAP 2.3.43 at 2.4.45
- PHP 5.6.34 at 7.0.28
- Postfix 3.3.0 at 3.4-20180203
- PostgreSQL 10.3
- Python 2.7.14 at 3.6.4
- R 3.4.4
- Ruby 2.3.6, 2.4.3 at 2.5.0
- Rust 1.24.0
- Sendmail 8.16.0.21
- SQLite3 3.22.0
- Sudo 1.8.22
- Tcl / Tk 8.5.19 at 8.6.8
- TeX Live 2017
- Vim 8.0.1589
- Xfce 4.12
- Gaya ng dati, matatag na pagpapabuti sa mga manu-manong pahina at iba pang dokumentasyon.
- Kasama sa system ang mga sumusunod na pangunahing sangkap mula sa labas ng mga supplier:
- Xenocara (batay sa X.Org 7.7 na may xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 at higit pa)
- LLVM / Clang 5.0.1 (+ mga patch)
- GCC 4.2.1 (+ mga patch) at 3.3.6 (+ patches)
- Perl 5.24.3 (+ patches)
- NSD 4.1.20
- Unbound 1.6.8
- Ncurses 5.7
- Binutils 2.17 (+ patches)
- Gdb 6.3 (+ patches)
- Awk 10 Agosto 2011 na bersyon
- Expat 2.2.5
Ang
Ang
Ang slaacd (8) ay bumubuo ng random ngunit matatag na IPv6 na mga hindi nakatalang autoconfiguration address ayon sa RFC 7217. Ang mga ito ay pinagana bawat default alinsunod sa RFC 8064.
Sinusundan ng slaacd (8) ang RFC 4862 sa pamamagitan ng pag-alis ng isang artipisyal na limitasyon sa / 64 na sukat na prefix gamit ang RFC 7217 (random ngunit matatag) at RFC 4941 (istilo ng privacy) na mga stateless na autoconfiguration address.
Sinusuportahan na ngayon ng ftp (1) at pkg_add (1) ang pagpapatuloy ng session ng HTTPS para sa pinabuting bilis.
Ano ang bago sa bersyon 6.2:
- Bagong / pinalawak na platform:
- armv7:
- Idinagdag ng bootloader ng EFI, ang mga kernel ay na-load na ngayon mula sa FFS sa halip na mga file na FAT o EXT, nang walang mga header ng U-Boot.
- Ang isang kernel at ramdisk ay ginagamit na ngayon para sa lahat ng SoCs.
- Ang hardware ay dynamically enumerated sa pamamagitan ng Flattened Device Tree (FDT) sa halip ng sa pamamagitan ng static na mga talahanayan batay sa mga numero ng board id.
- Ang mga thumbnail na mga larawan ng installer ay may U-Boot 2016.07 na may suporta para sa mga payload ng EFI.
- vax:
- Inalis.
- Pinahusay na suporta sa hardware, kabilang ang:
- Bagong bytgpio (4) driver para sa controller ng Intel Bay Trail GPIO.
- Bagong chvpio (4) driver para sa Intel Cherry View GPIO controller.
- Bagong maxrtc (4) na driver para sa real time na Maxim DS1307.
- Bagong driver ng nvme (4) para sa interface ng host controller na Non-Volatile Memory Express (NVMe).
- Bagong pcfrtc (4) driver para sa real time clock ng NXP PCF8523.
- Bagong umb (4) na driver para sa Mobile Broadband Interface Model (MBIM).
- Bagong driver ng ure (4) para sa mga aparatong Realtek RTL8152 batay sa 10/100 USB Ethernet.
- Bagong utvfu (4) na driver para sa audio / video capture device batay sa Fushicai USBTV007.
- Sinusuportahan na ngayon ng driver ng iwm (4) ang mga kagamitan sa Intel Wireless 3165 at 8260, at gumagana nang mas maaasahan sa mga kernel RAMDISK.
- Suporta para sa mga I2C HID device na may GPIO ang senyas na interrupts ay idinagdag sa dwiic (4).
- Suporta para sa mas malaking bus width, high speed mode, at DMA transfer ay idinagdag sa sdmmc (4), rtsx (4), sdhc (4), at imxesdhc (4).
- Suporta para sa mga controllers ng EHCI at OHCI na sumusunod sa Octeon II SoCs.
- Maraming mga driver ng USB device ang pinagana sa OpenBSD / octeon.
- Mas pinahusay na suporta para sa mga pagpapatupad ng ACPI na binawasan ng hardware.
- Pinahusay na suporta para sa pagpapatupad ng ACPI 5.0.
- AES-NI crypto ay tapos na ngayon nang hindi hinahawakan ang lock ng kernel.
- Pinahusay na suporta sa AGP sa PowerPC G5 machine.
- Nagdagdag ng suporta para sa slot ng SD card sa Intel Bay Trail SoCs.
- Ang ichiic (4) na driver ngayon ay binabalewala ang SMBALERT # matakpan upang maiwasan ang pag-abala ng bagyo sa mga pagpapatupad ng BIOS.
- Ang mga problema sa attachment ng aparato sa driver ng axen (4) ay naayos na.
- Ang ral (4) driver ay mas matatag sa ilalim ng load sa RT2860 device.
- Ang mga problema sa patay na mga keyboard pagkatapos ng resume ay naayos sa pckbd (4) na driver.
- Sinusuportahan na ngayon ng driver ng rtsx (4) ang mga aparatong RTS522A.
- Ang paunang suporta para sa MSI-X ay naidagdag na.
- Suportahan ang MSI-X sa virtio (4) driver.
- Nagdagdag ng isang workaround para sa hardware na DMA overruns sa dc (4) na driver.
- Ang acpitz (4) na drayber ay nagsisilid ngayon ng fan down pagkatapos ng paglamig kung gumagamit ang ACPI ng hysteresis para sa aktibong paglamig.
- Ang xhci (4) na driver ngayon ay gumaganap ng handoff mula sa isang tama ng kakayahan ng xHCI na BIOS.
- Suporta para sa multi-touch input ay idinagdag sa wsmouse (4) na driver.
- Sinusuportahan na ngayon ng uslcom (4) ang serial console ng mga wireless controllers ng Aruba 7xxx.
- Ang re (4) na driver ay gumagana na ngayon sa mga sirang configuration ng LED sa APU1 EEPROMs.
- Gumagana ngayon ang ehci (4) na driver sa mga problema sa mga controller ng ATI USB (hal. SB700).
- Sinusuportahan na ngayon ng xen (4) na driver ang configuration ng domU sa ilalim ng Qubes OS.
- Mga pagpapahusay sa IEEE 802.11 wireless stack:
- Ang HT block ack ay tumatanggap ng logic buffer sumusunod sa algorithm na ibinigay sa spec ng 802.11-2012 nang mas malapit.
- Sinusubaybayan ng iwn (4) na driver ng mga pagbabago sa proteksyon ng HT habang nauugnay sa isang 11n AP.
- Ang wireless stack at ilang mga driver ay gumawa ng mas agresibong paggamit ng RTS / CTS upang maiwasan ang pagkagambala mula sa mga device ng legacy at mga nakatagong node.
- Ang netstat (1) -W na utos ngayon ay nagpapakita ng impormasyon tungkol sa 802.11n na mga kaganapan.
- Sa mode ng hostap, huwag muling gamitin ang mga ID ng pagkakaugnay ng mga node na naka-cache pa rin. Pag-aayos ng isang problema kung saan ang isang access point gamit ang ral (4) driver ay makakakuha ng natigil sa 1 Mbps dahil Tx rate accounting nangyari sa maling bagay node.
- Mga pagpapabuti ng mga generic na network stack:
- Ang routing table ay batay na ngayon sa ART na nag-aalok ng mas mabilis na paghahanap.
- Ang bilang ng paghahanap ng ruta bawat packet ay nabawasan sa 1 sa path ng pagpasa.
- Ang prio field sa mga header ng VLAN ay ngayon naayos nang tama sa bawat fragment ng isang IPv4 packet na lumalabas sa isang vlan (4) na interface.
- Pinagana ang pag-clone ng device para sa bpf (4). Pinapayagan nito ang system na magkaroon lamang ng isang bpf device node sa / dev na naglilingkod sa lahat ng bpf ng mga mamimili (hanggang sa 1024).
- Ang queue ng Tx ng cnmac (4) na driver ay maaring maproseso na kahalintulad ng natitirang bahagi ng kernel.
- Path ng network input ay tumatakbo na ngayon sa konteksto ng thread.
- Mga pagpapahusay ng installer:
- na-update na listahan ng mga pinaghihigpitan na usercodes
- install.sh at upgrade.sh pinagsama sa install.sub
- Awtomatikong nagpapatakbo ang pag-update ng sysmerge (8) sa batch mode bago fw_update (1)
- mga tanong at sagot ay naka-log in sa isang format na maaaring magamit bilang isang file na tugon para sa paggamit ng autoinstall (8)
- / usr / lokal ay naka-set sa wxallowed sa panahon ng pag-install
- Mga routing daemon at iba pang pagpapabuti ng network ng userland:
- Magdagdag ng suporta sa routing table sa rc.d (8) at rcctl (8).
- Hayaan ang mga pangalan ng serbisyo ng suporta sa nc (1) bilang karagdagan sa mga numero ng port.
- Magdagdag -M at -m TTL flags sa nc (1).
- Magdagdag ng suporta sa AF_UNIX sa tcpbench (1).
- Fixed a regression sa rarpd (8). Ang daemon ay maaaring mag-hang kung ito ay idle ng mahabang panahon.
- Nagdagdag ng pagpipiliang llprio sa ifconfig (8).
- Maraming mga programa na gumagamit ng bpf (4) ay binago upang samantalahin ang bpf (4) cloning ng aparato sa pamamagitan ng pagbubukas / dev / bpf0 sa halip na looping sa / dev / bpf * na mga aparato. Kabilang sa mga programang ito ang arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8), at tcpdump (8). Ang libpcap library ay binago rin nang naaayon.
- Mga pagpapahusay sa seguridad:
- W ^ X na ngayon ay mahigpit na ipinapatupad sa pamamagitan ng default; ang isang programa ay maaari lamang lumabag dito kung ang executable ay minarkahan ng PT_OPENBSD_WXNEEDED at matatagpuan sa isang filesystem na naka-mount gamit ang wxallowed mount (8) na opsyon. Dahil mayroong masyadong maraming mga port na lumalabag sa W ^ X, ang installer ay nag-mount ng / usr / local filesystem na may wxallowed. Pinapayagan nito ang base system na maging mas ligtas hangga't / usr / local ay isang hiwalay na filesystem. Kung gumagamit ka ng walang W ^ X na lumabag sa mga programa, isaalang-alang nang manu-mano ang pagbawi sa opsyon na iyon.
- Ang setjmp (3) pamilya ng mga function ay naglalapat ngayon ng XOR cookies sa mga stack at return-address na mga halaga sa jmpbuf sa amd64, hppa, i386, mips64, at powerpc.
- SROP mitigation: sigreturn (2) ay maaari na ngayong gamitin lamang ng kambal na ibinigay na signal trampoline, na may isang cookie upang makita ang mga pagtatangka upang muling gamitin ito.
- Upang mapigil ang pagsasamantala ng muling paggamit ng code, rc (8) muling nag-uugnay sa libc.so sa startup, paglalagay ng mga bagay sa isang random order.
- Sa getpwnam (3) pamilya ng mga function, itigil ang pagbubukas ng database ng anino bilang default.
- Pahintulutan ang tcpdump (8) -r na magsimula nang walang mga pribilehiyo ng root.
- Alisin ang systrace.
- Alisin ang suporta sa emulation ng Linux.
- Alisin ang suporta para sa opsyon ng usermount.
- Ang cache ng TCP SYN resizes nito random na hash function mula sa oras-oras. Pinipigilan nito ang isang magsasalakay na kalkulahin ang pamamahagi ng function na hash na may pag-atake sa pag-time.
- Upang gumana laban sa pag-atake ng pagbaha ng SYN maaaring baguhin ng administrator ang laki ng array na hash ngayon. Ipinapakita ng netstat (1) -s -p tcp ang may-katuturang impormasyon upang ibagay ang cache ng SYN gamit ang sysctl (8) net.inet.tcp.
- Maaaring mangailangan ng administrator ang mga pribilehiyo ng root para sa pagbubuklod sa ilang TCP at UDP port sa sysctl (8) net.inet.tcp.rootonly at sysctl (8) net.inet.udp.rootonly.
- Alisin ang function pointer mula sa mbuf (9) na istraktura ng data at gamitin ang isang index sa isang array ng mga tanggap na mga function sa halip.
- Mga iba't ibang pagpapabuti:
- Ang thread library ay maaring i-load sa isang solong thread na proseso.
- Pinahusay na paghawak ng simbolo at pagsunod sa mga pamantayan sa libc. Halimbawa, ang pagtukoy ng bukas () function ay hindi na makagambala sa pagpapatakbo ng fopen (3).
- Ang mga seksyon ng PT_TLS ay sinusuportahan na ngayon sa unang bagay na na-load.
- Pinahusay na paghawak ng & quot; walang landas & quot; at & quot; walang laman na path & quot; sa fts (3).
- Sa pcap (3), ibigay ang mga function pcap_free_datalinks () at pcap_offline_filter ().
- Maraming bugfixes at paglilinis sa istruktura sa editline (3) library.
- Alisin ang sinaunang dbm (3) na mga function; ndbm (3) ay nananatili.
- Magdagdag ng setenv keyword para sa mas malakas na paghawak sa kapaligiran sa doas.conf (5).
- Magdagdag -g at -p na mga opsyon sa aucat.1 para sa pagpoposisyon ng oras.
- Muling isulat ang audioctl (1) na may mas simpleng user interface.
- Magdagdag -F pagpipilian upang i-install (1) sa fsync (2) ang file bago isara ito.
- kdump (1) ngayon ay bumubuga ng mga istruktura ng pollfd.
- Pagbutihin ang iba't ibang mga detalye ng ksh (1) POSIX na pagsunod.
- mknod (8) rewritten sa estilo ng pakikisama sa isang pangako (2) at upang suportahan ang paglikha ng maraming mga aparato nang sabay-sabay.
- Ipatupad ang rcctl (8) makakuha ng lahat at makakuha ng lahat.
- Ipatupad ang rcs (1) -I (interactive) bandila.
- Sa rcs (1), ipatupad ang pagpapalit ng keyword na Mdocdate.
- Sa itaas (1), payagan ang mga filter na argumento sa proseso kung ipinakita ang mga ito.
- Nagdagdag ng suporta sa UTF-8 sa fold (1) at rev (1).
- Paganahin ang UTF-8 bilang default sa xterm (1) at pod2man (1).
- I-filter ang mga di-ASCII na mga character sa pader (1).
- Hawakan ang variable ng kapaligiran ng COLUMNS palagi sa maraming mga programa.
- Ang mga pagpipilian -c at -k ay nagbibigay-daan upang magkaloob ng mga sertipiko ng TLS client para sa syslogd (8) sa bahagi ng pagpapadala. Sa pamamagitan ng na ang pagtanggap ng panig ay maaaring mapatunayan ang mga mensahe ng log ay tunay. Tandaan na ang syslogd ay wala pang check na ito.
- Kapag nag-overflow ang klog buffer, magsusulat ang syslogd ng isang mensaheng mag-log upang ipakita na nawawala ang ilang mga entry.
- Sa OpenBSD / octeon, ang cache cache na buffering ay pinapagana upang mapabuti ang pagganap.
- fdisk (8) at pdisk (8) agad na lumabas maliban kung ipinasa ang isang espesyal na aparato
- st (4) tama ang sinusubaybayan ang kasalukuyang bilang ng bloke para sa mga variable na laki ng mga bloke
- fsck_ext2fs (8) ay gumagana muli
- softraid (4) volume ay maaaring itayo sa mga disk na may sukat ng sektor maliban sa 512 bytes
- dhclient (8) DECLINE at tinatapon ang hindi nagamit na ALOK.
- dhclient (8) kung ang interface nito (halimbawa, isang tulay (4)) ay nagbabalik ng EAFNOSUPPORT kapag ipinadala ang isang packet.
- Ang httpd (8) ay nagbabalik ng 400 Bad Request para sa HTTP v0.9 na mga kahilingan.
- ang tamad na node initialization ng ffs2 ay nag-iwas sa pagpapagamot sa random data ng disk bilang isang inode
- fcntl (2) ang mga invocation sa mga base program ay gumagamit ng idiom fcntl (n, F_GETFL) sa halip na fcntl (n, F_GETFL, 0)
- socket (2) at accept4 (2) invocations sa mga base program gamitin ang SOCK_NONBLOCK upang maalis ang pangangailangan para sa isang hiwalay na fcntl (2).
- Hindi pinapagana ang tmpfs bilang default
- ang in-kernel semantics of pledge (2) ay pinabuting sa maraming paraan. Ang mga highlight ay kinabibilangan ng: isang bagong pangako na nagpapahintulot sa mga inakdang programa na magtakda ng mga katangian ng setugid, isang mas matibay na pagpapatupad ng pangako ng recvfd at chroot (2) ay hindi na pinapayagan para sa mga pledged na programa.
- I-block ang mga error sa pagkalkula ng laki sa audio (4) na driver ay naayos.
- Sinusubaybayan ng usb (4) na driver ngayon ang mga vendor at mga ID ng produkto. Pag-aayos ng isang isyu kung saan ang usbdevs (8) na tinatawag sa isang loop ay magdudulot ng USB mass storage device upang ihinto ang operasyon.
- Ang mga driver ng rsu (4) at ural (4) ay muling nagtatrabaho pagkatapos na hindi sila sinasadyang nasira sa 5.9.
- OpenSMTPD 6.0.0
- Seguridad:
- Ipatupad ang pattern ng tinidor + na exec sa smtpd (8).
- Ayusin ang isang isyu sa lohika sa makina ng estado ng SMTP na maaaring humantong sa isang di-wastong estado at magreresulta sa isang pag-crash.
- I-plug ang isang file-pointer leak na maaaring humantong sa pagkahapo ng mapagkukunan at magresulta sa pag-crash.
- Gumamit ng mga awtomatikong parameter ng DH sa halip ng mga nakaayos na.
- Huwag paganahin ang DHE bilang default dahil mahal ito sa computationally at potensyal na vector ng DoS.
- Ang mga sumusunod na pagpapabuti ay dinala sa bersyon 6.2:
- Idagdag ang pagpipilian na -r sa smtpd (8) enqueuer para sa pagiging tugma sa mailx.
- Magdagdag ng nawawalang petsa o mensahe-id kapag nakikinig sa isumite ang port.
- Ayusin ang & quot; smtpctl show queue & quot; pag-uulat & quot; di-wastong & quot; estado ng sobre.
- I-rewind ang format ng & quot; Natanggap & quot; header upang ang bahagi ng TLS ay hindi lumalabag sa RFC.
- Palakihin ang bilang ng mga koneksyon na pinapayagan ang lokal na address na magtatag, at bawasan ang pagkaantala sa pagitan ng mga transaksyon sa parehong sesyon.
- Ayusin ang paghahatid ng LMTP sa mga server na nagbabalik na mga linya ng pagpapatuloy.
- Higit pang mapabuti ang pa rin na pang-eksperimentong filter API at ayusin ang iba't ibang mga kaugnay na isyu.
- Simulan ang pagpapabuti at pag-unify sa format ng mga mensahe ng log.
- Ayusin ang ilang mga pagkakaiba sa dokumentasyon at mga typo sa mga pahina ng tao.
- OpenSSH 7.3
- Seguridad:
- sshd (8): Bawasan ang isang potensyal na denial-of-service na pag-atake laban sa crypt (3) function ng system sa pamamagitan ng sshd (8). Ang isang magsasalakay ay maaaring magpadala ng mga mahahabang password na maaaring maging sanhi ng labis na paggamit ng CPU sa crypt (3). sshd (8) ngayon ay tumangging tanggapin ang mga kahilingan sa pagpapatunay ng password ng haba na mas malaki kaysa sa 1024 na karakter.
- sshd (8): Iwasan ang mga pagkakaiba sa timing sa pagpapatunay ng password na maaaring magamit upang makilala ang wastong mula sa mga di-wastong pangalan ng account kapag ipinadala ang mga mahabang password at ginagamit ang partikular na algorithm ng hashing ng password sa server. CVE-2016-6210.
- ssh (1), sshd (8): Ayusin ang kapansin-pansin na timing na kahinaan sa CBC padding oracle countermeasures. Tandaan na ang mga ciphers ng CBC ay hindi pinagana sa pamamagitan ng default at kasama lamang para sa pagiging tugma ng legacy.
- ssh (1), sshd (8): Pagbutihin ang pag-order ng MAC verification para sa Encrypt-then-MAC (EtM) mode na transportasyon ng MAC algorithm upang i-verify ang MAC bago i-decrypting ang anumang ciphertext. Tinatanggal nito ang posibilidad ng mga pagkakaiba sa tiyempo na nakakalugad ng mga katotohanan tungkol sa plaintext, bagama't hindi ito kilala.
- Mga bago / nagbago na mga tampok:
- ssh (1): Magdagdag ng isang pagpipilian sa ProxyJump at kaukulang -J command-line na bandila upang payagan ang pinasimple na indirection sa pamamagitan ng isa o higit pang mga SSH bastion o & quot; mga tagaloob ng lobo & quot;.
- ssh (1): Magdagdag ng isang pagpipilian sa IdentityAgent upang payagan ang pagtukoy ng mga tukoy na socket ng ahente sa halip na pagtanggap ng isa mula sa kapaligiran.
- ssh (1): Payagan ang ExitOnForwardFailure at ClearAllForwardings na opsyonal na i-override kapag gumagamit ng ssh -W. (bz # 2577)
- ssh (1), sshd (8): Ipatupad ang suporta para sa mode ng terminal ng IUTF8 ayon sa bawat draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): Magdagdag ng suporta para sa karagdagang mga pangkat na Diffie-Hellman 2K, 4K at 8K mula sa draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): suporta SHA256 at SHA512 RSA na mga lagda sa mga certificate.
- ssh (1): Magdagdag ng direktibong Isama para sa ssh_config (5) na mga file.
- ssh (1): Pahintulutan ang mga UTF-8 na character sa mga pre-authentication na mga banner na ipinadala mula sa server. (bz # 2058)
- Ang mga sumusunod na makabuluhang mga bug ay naayos sa bersyon 6.2:
- Sa scp (1) at sftp (1), pigilin ang mga setting ng terminal sa pamamagitan ng escaping bytes na hindi bumubuo ng ASCII o UTF-8 na mga character.
- ssh (1), sshd (8): Bawasan ang antas ng syslog ng ilang karaniwang karaniwang mga kaganapan ng protocol mula sa LOG_CRIT. (bz # 2585)
- sshd (8): Tanggihan ang AuthenticationMethods = & quot; & quot; sa mga configuration at tanggapin ang AuthenticationMethods = anumang para sa default na pag-uugali ng hindi nangangailangan ng maramihang pagpapatunay. (bz # 2398)
- sshd (8): Alisin ang lipas na at nakakalinlang na & quot; POSIBLE BREAK-IN ATTEMPT! & quot; Ang mensahe kapag ang pasulong at reverse DNS ay hindi tumutugma. (bz # 2585)
- ssh (1): Isara ang ControlPersist background na proseso stderr maliban sa debug mode o kapag nag-log sa syslog. (bz # 1988)
- misc: Gumawa ng paglalarawan ng PROTOCOL para sa direktang stream ng channel ng channel ng direct-streamlocal@openssh.com tumutugma sa na-deploy na code. (bz # 2529)
- ssh (1): Mag-edit ng mga entry sa LocalForward at RemoteForward upang ayusin ang mga pagkabigo kapag pinagana ang parehong ExitOnForwardFailure at hostname canonicalisation. (bz # 2562)
- sshd (8): Alisin ang fallback mula sa moduli sa lipas na & quot; primes & quot; file na na-deprecate noong 2001. (bz # 2559)
- sshd_config (5): Tamang paglalarawan ng UseDNS: nakakaapekto ito sa pagpoproseso ng ssh hostname para sa authorized_keys, hindi kilala_hosts. (bz # 2554)
- ssh (1): Ayusin ang pagpapatotoo gamit ang mga lone certificate key sa isang ahente na walang kaukulang mga pribadong key sa filesystem. (bz # 2550)
- sshd (8): Ipadala ang ClientAliveInterval ping kapag naka-set ang isang oras na batay sa RekeyLimit; Ang mga naunang keepalive packet ay hindi naipadala. (bz # 2252)
- OpenNTPD 6.0
- Kapag ang isang solong & quot; pagpilit & quot; ay tinukoy, subukan ang lahat ng mga ibinalik na address hanggang sa magtagumpay ang isa, sa halip na ang unang ibinalik na address.
- Nawalan ang margin ng error sa pagpilit na maging proporsyonal sa bilang ng mga NTP peer, maiwasan ang mga palaging reconnections kapag mayroong isang masamang peer NTP.
- Inalis ang hotplug (4) na sinusuportahang sensor.
- Nagdagdag ng suporta para sa pag-detect ng mga pag-crash sa mga subprocesses ng pagpapaandar.
- Inilipat ang pagpapatupad ng mga hadlang mula sa proseso ng ntp patungo sa proseso ng magulang, na nagpapahintulot para sa mas mahusay na paghihiwalay ng pribilehiyo dahil ang proseso ng ntp ay maaaring higit pang mahigpit.
- Fixed mataas na paggamit ng CPU kapag ang network ay down.
- Fixed iba't ibang mga paglabas ng memory.
- Nakapalit sa RMS para sa mga pagkalkula ng nerbiyusin.
- Pinag-uugnay na mga pag-andar sa pag-log sa iba pang mga programa ng OpenBSD base.
- Itakda ang MOD_MAXERROR upang maiwasan ang katayuan ng hindi naka-sync na oras kapag gumagamit ng ntp_adjtime.
- Pag-parse ng header ng Fixed HTTP Timestamp upang gamitin ang strptime (3) sa isang mas portable na paraan.
- Hardened TLS para sa ntpd (8) na mga hadlang, na nagpapagana ng pag-verify ng pangalan ng server.
- LibreSSL 2.4.2
- Mga tampok na nakikita ng gumagamit:
- Naayos ang ilang mga link na broken manpage sa pag-install ng target.
- cert.pem ay muling inorganisa at naka-sync sa certificate store ng Mozilla.
- Pag-aayos ng pagiging maaasahan, pagwawasto ng isang error sa pag-parse ng mga elemento ng ASN.1 na higit sa 16k ang laki.
- Ipinatupad ang IETF ChaCha20-Poly1305 cipher suite.
- Inayos ng mga naayos na password mula sa openssl (1) upang maayos na pangasiwaan ang ^ C.
- Mga pagpapabuti ng code:
- Fixed isang isyu sa compatibility nginx sa pamamagitan ng pagdaragdag ng isang target na 'install_sw' build.
- Pinalitan ang default na EVP_aead_chacha20_poly1305 (3) na pagpapatupad sa bersyon ng IETF, na ngayon ay default.
- Pag-aayos ng error sa paghahatid sa libtls upang ang mga error sa pagsasaayos ay mas nakikita.
- Nagdagdag ng nawawalang error sa paghawak sa paligid ng bn_wexpand (3) na mga tawag.
- Nagdagdag ng explicit_bzero (3) na mga tawag para sa mga nakaligtang bagay na ASN.1.
- Nakatakdang X509_ * set_object function upang bumalik 0 sa pagkabigo sa paglalaan.
- Hindi na ginagamit ang panloob na paggamit ng EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Fixed isang problema na pumipigil sa algorithm ng pag-sign ng DSA mula sa pagpapatakbo nang walang pala kahit na ang bandila ng BN_FLG_CONSTTIME ay nakatakda.
- Nakatakdang ilang mga isyu sa code ng OCSP na maaaring magresulta sa maling henerasyon at pag-parse ng mga kahilingan ng OCSP. Binabawasan nito ang kakulangan ng pag-check ng error sa pag-parse ng oras sa mga pag-andar na ito, at tinitiyak na tanging tinatanggap lamang ang mga format ng GENERALIZEDTIME para sa OCSP, ayon sa RFC 6960.
- Ang mga sumusunod na CVEs ay naayos na:
- CVE-2016-2105-EVP_EncodeUpdate overflow.
- CVE-2016-2106-EVP_EncryptUpdate overflow.
- CVE-2016-2107-padding oracle sa AES-NI CBC MAC check.
- CVE-2016-2108-memory na katiwalian sa ASN.1 encoder.
- CVE-2016-2109-ASN.1 BIO na labis na memory allocation.
- Mga port at pakete:
- Bagong proot (1) na tool sa puno ng port para sa mga pakete ng gusali sa isang chroot.
- Maraming mga pre-built na pakete para sa bawat arkitektura:
- alpha: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Ang ilang mga highlight:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 at 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Pumunta 1.6.3
- Groff 1.22.3
- JDK 7u80 at 8u72
- KDE 3.5.10 at 4.14.3 (kasama ang mga pangunahing pag-update ng KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4, at 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr at 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 at 2.4.44
- PHP 5.5.37, 5.6.23, at 7.0.8
- Postfix 3.1.1 at 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5, at 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, at 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 at 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Tulad ng dati, panay pagpapabuti sa manual pages at iba pang babasahin.
- Kasama sa system ang mga sumusunod na pangunahing sangkap mula sa mga panlabas na supplier:
- Xenocara (batay sa X.Org 7.7 na may xserver 1.18.3 + patch, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 at higit pa)
- GCC 4.2.1 (+ patches) at 3.3.6 (+ patches)
- Perl 5.20.3 (+ mga patch)
- SQLite 3.9.2 (+ patches)
- NSD 4.1.10
- Unbound 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ patches)
- Gdb 6.3 (+ patches)
- Awk 10 Agosto 2011 na bersyon
- Expat 2.1.1
Ang pkg_add (1) at pkg_info (1) ngayon ay nauunawaan ang isang paniwala ng sangay upang mabawasan ang pagpili ng ilang mga popular na pakete tulad ng sawa o php, halimbawa, sabihin pkg_add python% 3.4 upang piliin ang 3.4 branch, at gamitin ang pkg_info -zm kumuha ng malabo na listahan na may seleksyon ng sangay na angkop para sa pkg_add -l.
Ang agad na paglabas ng
Ang isang bilang ng mga pangako (2) na nauugnay na mga bug (nawawalang mga pangako, di-inaasahang pagbabago ng pag-uugali, pag-crash) ay naayos, kapansin-pansin sa gzip (1), nc (1), sed (1), skeyinit (1) (1), at iba't ibang mga utility na nauugnay sa disk, tulad ng disklabel (8) at fdisk (8).
Ano ang bago sa bersyon 6.1:
- Bagong / pinalawak na platform:
- armv7:
- Idinagdag ng bootloader ng EFI, ang mga kernel ay na-load na ngayon mula sa FFS sa halip na mga file na FAT o EXT, nang walang mga header ng U-Boot.
- Ang isang kernel at ramdisk ay ginagamit na ngayon para sa lahat ng SoCs.
- Ang hardware ay dynamically enumerated sa pamamagitan ng Flattened Device Tree (FDT) sa halip ng sa pamamagitan ng static na mga talahanayan batay sa mga numero ng board id.
- Ang mga thumbnail na mga larawan ng installer ay may U-Boot 2016.07 na may suporta para sa mga payload ng EFI.
- vax:
- Inalis.
- Pinahusay na suporta sa hardware, kabilang ang:
- Bagong bytgpio (4) driver para sa controller ng Intel Bay Trail GPIO.
- Bagong chvpio (4) driver para sa Intel Cherry View GPIO controller.
- Bagong maxrtc (4) na driver para sa real time na Maxim DS1307.
- Bagong driver ng nvme (4) para sa interface ng host controller na Non-Volatile Memory Express (NVMe).
- Bagong pcfrtc (4) driver para sa real time clock ng NXP PCF8523.
- Bagong umb (4) na driver para sa Mobile Broadband Interface Model (MBIM).
- Bagong driver ng ure (4) para sa mga aparatong Realtek RTL8152 batay sa 10/100 USB Ethernet.
- Bagong utvfu (4) driver para sa audio / video capture device batay sa Fushicai USBTV007.
- Sinusuportahan na ngayon ng driver ng iwm (4) ang mga kagamitan sa Intel Wireless 3165 at 8260, at gumagana nang mas maaasahan sa mga kernel RAMDISK.
- Suporta para sa mga I2C HID device na may GPIO ang senyas na interrupts ay idinagdag sa dwiic (4).
- Suporta para sa mas malaking bus width, high speed mode, at DMA transfer ay idinagdag sa sdmmc (4), rtsx (4), sdhc (4), at imxesdhc (4).
- Suporta para sa mga controllers ng EHCI at OHCI na sumusunod sa Octeon II SoCs.
- Maraming mga driver ng USB device ang pinagana sa OpenBSD / octeon.
- Mas pinahusay na suporta para sa mga pagpapatupad ng ACPI na binawasan ng hardware.
- Pinahusay na suporta para sa pagpapatupad ng ACPI 5.0.
- AES-NI crypto ay tapos na ngayon nang hindi hinahawakan ang lock ng kernel.
- Pinahusay na suporta sa AGP sa PowerPC G5 machine.
- Nagdagdag ng suporta para sa slot ng SD card sa Intel Bay Trail SoCs.
- Ang ichiic (4) na driver ngayon ay binabalewala ang SMBALERT # matakpan upang maiwasan ang pag-abala ng bagyo sa mga pagpapatupad ng BIOS.
- Ang mga problema sa attachment ng aparato sa driver ng axen (4) ay naayos na.
- Ang ral (4) driver ay mas matatag sa ilalim ng load sa RT2860 device.
- Ang mga problema sa patay na mga keyboard pagkatapos ng resume ay naayos sa pckbd (4) na driver.
- Sinusuportahan na ngayon ng driver ng rtsx (4) ang mga aparatong RTS522A.
- Ang paunang suporta para sa MSI-X ay naidagdag na.
- Suportahan ang MSI-X sa virtio (4) driver.
- Nagdagdag ng isang workaround para sa hardware na DMA overruns sa dc (4) na driver.
- Ang acpitz (4) na drayber ay nagsisilid ngayon ng fan down pagkatapos ng paglamig kung gumagamit ang ACPI ng hysteresis para sa aktibong paglamig.
- Ang xhci (4) na driver ngayon ay gumaganap ng handoff mula sa isang tama ng kakayahan ng xHCI na BIOS.
- Suporta para sa multi-touch input ay idinagdag sa wsmouse (4) na driver.
- Sinusuportahan na ngayon ng uslcom (4) ang serial console ng mga wireless controllers ng Aruba 7xxx.
- Ang re (4) na driver ay gumagana na ngayon sa mga sirang configuration ng LED sa APU1 EEPROMs.
- Gumagana ngayon ang ehci (4) na driver sa mga problema sa mga controller ng ATI USB (hal. SB700).
- Sinusuportahan na ngayon ng xen (4) na driver ang configuration ng domU sa ilalim ng Qubes OS.
- Mga pagpapahusay sa IEEE 802.11 wireless stack:
- Ang HT block ack ay tumatanggap ng logic buffer sumusunod sa algorithm na ibinigay sa spec ng 802.11-2012 nang mas malapit.
- Sinusubaybayan ng iwn (4) na driver ng mga pagbabago sa proteksyon ng HT habang nauugnay sa isang 11n AP.
- Ang wireless stack at ilang mga driver ay gumawa ng mas agresibong paggamit ng RTS / CTS upang maiwasan ang pagkagambala mula sa mga device ng legacy at mga nakatagong node.
- Ang netstat (1) -W na utos ngayon ay nagpapakita ng impormasyon tungkol sa 802.11n na mga kaganapan.
- Sa mode ng hostap, huwag muling gamitin ang mga ID ng pagkakaugnay ng mga node na naka-cache pa rin. Pag-aayos ng isang problema kung saan ang isang access point gamit ang ral (4) driver ay makakakuha ng natigil sa 1 Mbps dahil Tx rate accounting nangyari sa maling bagay node.
- Mga pagpapabuti ng mga generic na network stack:
- Ang routing table ay batay na ngayon sa ART na nag-aalok ng mas mabilis na paghahanap.
- Ang bilang ng paghahanap ng ruta bawat packet ay nabawasan sa 1 sa path ng pagpasa.
- Ang prio field sa mga header ng VLAN ay ngayon naayos nang tama sa bawat fragment ng isang IPv4 packet na lumalabas sa isang vlan (4) na interface.
- Pinagana ang pag-clone ng device para sa bpf (4). Pinapayagan nito ang system na magkaroon lamang ng isang bpf device node sa / dev na naglilingkod sa lahat ng bpf ng mga mamimili (hanggang sa 1024).
- Ang queue ng Tx ng cnmac (4) na driver ay maaring maproseso na kahalintulad ng natitirang bahagi ng kernel.
- Path ng network input ay tumatakbo na ngayon sa konteksto ng thread.
- Mga pagpapahusay ng installer:
- na-update na listahan ng mga pinaghihigpitan na usercodes
- install.sh at upgrade.sh pinagsama sa install.sub
- Awtomatikong nagpapatakbo ang pag-update ng sysmerge (8) sa batch mode bago fw_update (1)
- mga tanong at sagot ay naka-log in sa isang format na maaaring magamit bilang isang file na tugon para sa paggamit ng autoinstall (8)
- / usr / lokal ay naka-set sa wxallowed sa panahon ng pag-install
- Mga routing daemon at iba pang pagpapabuti ng network ng userland:
- Magdagdag ng suporta sa routing table sa rc.d (8) at rcctl (8).
- Hayaan ang mga pangalan ng serbisyo ng suporta sa nc (1) bilang karagdagan sa mga numero ng port.
- Magdagdag -M at -m TTL flags sa nc (1).
- Magdagdag ng suporta sa AF_UNIX sa tcpbench (1).
- Fixed a regression sa rarpd (8). Ang daemon ay maaaring mag-hang kung ito ay idle ng mahabang panahon.
- Nagdagdag ng pagpipiliang llprio sa ifconfig (8).
- Maraming mga programa na gumagamit ng bpf (4) ay binago upang samantalahin ang bpf (4) cloning ng aparato sa pamamagitan ng pagbubukas / dev / bpf0 sa halip na looping sa / dev / bpf * na mga aparato. Kabilang sa mga programang ito ang arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8), at tcpdump (8). Ang libpcap library ay binago rin nang naaayon.
- Mga pagpapahusay sa seguridad:
- W ^ X na ngayon ay mahigpit na ipinapatupad sa pamamagitan ng default; ang isang programa ay maaari lamang lumabag dito kung ang executable ay minarkahan ng PT_OPENBSD_WXNEEDED at matatagpuan sa isang filesystem na naka-mount gamit ang wxallowed mount (8) na opsyon. Dahil mayroong masyadong maraming mga port na lumalabag sa W ^ X, ang installer ay nag-mount ng / usr / local filesystem na may wxallowed. Pinapayagan nito ang base system na maging mas ligtas hangga't / usr / local ay isang hiwalay na filesystem. Kung gumagamit ka ng walang W ^ X na lumabag sa mga programa, isaalang-alang nang manu-mano ang pagbawi sa opsyon na iyon.
- Ang setjmp (3) pamilya ng mga function ay naglalapat ngayon ng XOR cookies sa mga stack at return-address na mga halaga sa jmpbuf sa amd64, hppa, i386, mips64, at powerpc.
- SROP mitigation: sigreturn (2) ay maaari na ngayong gamitin lamang ng kambal na ibinigay na signal trampoline, na may isang cookie upang makita ang mga pagtatangka upang muling gamitin ito.
- Upang mapigil ang pagsasamantala ng muling paggamit ng code, rc (8) muling nag-uugnay sa libc.so sa startup, paglalagay ng mga bagay sa isang random order.
- Sa getpwnam (3) pamilya ng mga function, itigil ang pagbubukas ng database ng anino bilang default.
- Pahintulutan ang tcpdump (8) -r na magsimula nang walang mga pribilehiyo ng root.
- Alisin ang systrace.
- Alisin ang suporta sa emulation ng Linux.
- Alisin ang suporta para sa opsyon ng usermount.
- Ang cache ng TCP SYN resizes nito random na hash function mula sa oras-oras. Pinipigilan nito ang isang magsasalakay na kalkulahin ang pamamahagi ng function na hash na may pag-atake sa pag-time.
- Upang gumana laban sa pag-atake ng pagbaha ng SYN maaaring baguhin ng administrator ang laki ng array na hash ngayon. Ipinapakita ng netstat (1) -s -p tcp ang may-katuturang impormasyon upang ibagay ang cache ng SYN gamit ang sysctl (8) net.inet.tcp.
- Maaaring mangailangan ng administrator ang mga pribilehiyo ng root para sa pagbubuklod sa ilang TCP at UDP port sa sysctl (8) net.inet.tcp.rootonly at sysctl (8) net.inet.udp.rootonly.
- Alisin ang function pointer mula sa mbuf (9) na istraktura ng data at gamitin ang isang index sa isang array ng mga tanggap na mga function sa halip.
- Mga iba't ibang pagpapabuti:
- Ang thread library ay maaring i-load sa isang solong thread na proseso.
- Pinahusay na paghawak ng simbolo at pagsunod sa mga pamantayan sa libc. Halimbawa, ang pagtukoy ng bukas () function ay hindi na makagambala sa pagpapatakbo ng fopen (3).
- Ang mga seksyon ng PT_TLS ay sinusuportahan na ngayon sa unang bagay na na-load.
- Mas pinahusay na paghawak ng "walang landas" at "walang laman na landas" sa fts (3).
- Sa pcap (3), ibigay ang mga function pcap_free_datalinks () at pcap_offline_filter ().
- Maraming bugfixes at paglilinis sa istruktura sa editline (3) library.
- Alisin ang sinaunang dbm (3) na mga function; ndbm (3) ay nananatili.
- Magdagdag ng setenv keyword para sa mas malakas na paghawak sa kapaligiran sa doas.conf (5).
- Magdagdag -g at -p na mga opsyon sa aucat.1 para sa pagpoposisyon ng oras.
- Muling isulat ang audioctl (1) na may mas simpleng user interface.
- Magdagdag -F pagpipilian upang i-install (1) sa fsync (2) ang file bago isara ito.
- kdump (1) ngayon ay bumubuga ng mga istruktura ng pollfd.
- Pagbutihin ang iba't ibang mga detalye ng ksh (1) POSIX na pagsunod.
- mknod (8) rewritten sa estilo ng pakikisama sa isang pangako (2) at upang suportahan ang paglikha ng maraming mga aparato nang sabay-sabay.
- Ipatupad ang rcctl (8) makakuha ng lahat at makakuha ng lahat.
- Ipatupad ang rcs (1) -I (interactive) bandila.
- Sa rcs (1), ipatupad ang pagpapalit ng keyword na Mdocdate.
- Sa itaas (1), payagan ang mga filter na argumento sa proseso kung ipinakita ang mga ito.
- Nagdagdag ng suporta sa UTF-8 sa fold (1) at rev (1).
- Paganahin ang UTF-8 bilang default sa xterm (1) at pod2man (1).
- I-filter ang mga di-ASCII na mga character sa pader (1).
- Hawakan ang variable ng kapaligiran ng COLUMNS palagi sa maraming mga programa.
- Ang mga pagpipilian -c at -k ay nagbibigay-daan upang magkaloob ng mga sertipiko ng TLS client para sa syslogd (8) sa bahagi ng pagpapadala. Sa pamamagitan ng na ang pagtanggap ng panig ay maaaring mapatunayan ang mga mensahe ng log ay tunay. Tandaan na ang syslogd ay wala pang check na ito.
- Kapag nag-overflow ang klog buffer, magsusulat ang syslogd ng isang mensaheng mag-log upang ipakita na nawawala ang ilang mga entry.
- Sa OpenBSD / octeon, ang cache cache na buffering ay pinapagana upang mapabuti ang pagganap.
- fdisk (8) at pdisk (8) agad na lumabas maliban kung ipinasa ang isang espesyal na aparato
- st (4) tama ang sinusubaybayan ang kasalukuyang bilang ng bloke para sa mga variable na laki ng mga bloke
- fsck_ext2fs (8) ay gumagana muli
- softraid (4) volume ay maaaring itayo sa mga disk na may sukat ng sektor maliban sa 512 bytes
- dhclient (8) DECLINE at tinatapon ang hindi nagamit na ALOK.
- dhclient (8) kung ang interface nito (halimbawa, isang tulay (4)) ay nagbabalik ng EAFNOSUPPORT kapag ipinadala ang isang packet.
- Ang httpd (8) ay nagbabalik ng 400 Bad Request para sa HTTP v0.9 na mga kahilingan.
- ang tamad na node initialization ng ffs2 ay nag-iwas sa pagpapagamot sa random data ng disk bilang isang inode
- fcntl (2) ang mga invocation sa mga base program ay gumagamit ng idiom fcntl (n, F_GETFL) sa halip na fcntl (n, F_GETFL, 0)
- socket (2) at accept4 (2) invocations sa mga base program gamitin ang SOCK_NONBLOCK upang maalis ang pangangailangan para sa isang hiwalay na fcntl (2).
- Hindi pinapagana ang tmpfs bilang default
- ang in-kernel semantics of pledge (2) ay pinabuting sa maraming paraan. Ang mga highlight ay kinabibilangan ng: isang bagong pangako na nagpapahintulot sa mga inakdang programa na magtakda ng mga katangian ng setugid, isang mas matibay na pagpapatupad ng pangako ng recvfd at chroot (2) ay hindi na pinapayagan para sa mga pledged na programa.
- I-block ang mga error sa pagkalkula ng laki sa audio (4) na driver ay naayos.
- Sinusubaybayan ng usb (4) na driver ngayon ang mga vendor at mga ID ng produkto. Pag-aayos ng isang isyu kung saan ang usbdevs (8) na tinatawag sa isang loop ay magdudulot ng USB mass storage device upang ihinto ang operasyon.
- Ang mga driver ng rsu (4) at ural (4) ay muling nagtatrabaho pagkatapos na hindi sila sinasadyang nasira sa 5.9.
- OpenSMTPD 6.0.0
- Seguridad:
- Ipatupad ang pattern ng tinidor + na exec sa smtpd (8).
- Ayusin ang isang isyu sa lohika sa makina ng estado ng SMTP na maaaring humantong sa isang di-wastong estado at magreresulta sa isang pag-crash.
- I-plug ang isang file-pointer leak na maaaring humantong sa pagkahapo ng mapagkukunan at magresulta sa pag-crash.
- Gumamit ng mga awtomatikong parameter ng DH sa halip ng mga nakaayos na.
- Huwag paganahin ang DHE bilang default dahil mahal ito sa computationally at potensyal na vector ng DoS.
- Ang mga sumusunod na pagpapabuti ay dinala sa bersyon 6.1:
- Idagdag ang pagpipilian na -r sa smtpd (8) enqueuer para sa pagiging tugma sa mailx.
- Magdagdag ng nawawalang petsa o mensahe-id kapag nakikinig sa isumite ang port.
- Ayusin ang "smtpctl show queue" na pag-uulat ng "di-wastong" estado ng sobre.
- I-rewind ang format ng header na "Natanggap" upang ang bahagi ng TLS ay hindi lumalabag sa RFC.
- Palakihin ang bilang ng mga koneksyon na pinapayagan ang lokal na address na magtatag, at bawasan ang pagkaantala sa pagitan ng mga transaksyon sa parehong sesyon.
- Ayusin ang paghahatid ng LMTP sa mga server na nagbabalik na mga linya ng pagpapatuloy.
- Higit pang mapabuti ang pa rin na pang-eksperimentong filter API at ayusin ang iba't ibang mga kaugnay na isyu.
- Simulan ang pagpapabuti at pag-unify sa format ng mga mensahe ng log.
- Ayusin ang ilang mga pagkakaiba sa dokumentasyon at mga typo sa mga pahina ng tao.
- OpenSSH 7.3
- Seguridad:
- sshd (8): Bawasan ang isang potensyal na denial-of-service na pag-atake laban sa crypt (3) function ng system sa pamamagitan ng sshd (8). Ang isang magsasalakay ay maaaring magpadala ng mga mahahabang password na maaaring maging sanhi ng labis na paggamit ng CPU sa crypt (3). sshd (8) ngayon ay tumangging tanggapin ang mga kahilingan sa pagpapatunay ng password ng haba na mas malaki kaysa sa 1024 na karakter.
- sshd (8): Iwasan ang mga pagkakaiba sa timing sa pagpapatunay ng password na maaaring magamit upang makilala ang wastong mula sa mga di-wastong pangalan ng account kapag ipinadala ang mga mahabang password at ginagamit ang partikular na algorithm ng hashing ng password sa server. CVE-2016-6210.
- ssh (1), sshd (8): Ayusin ang kapansin-pansin na timing na kahinaan sa CBC padding oracle countermeasures. Tandaan na ang mga ciphers ng CBC ay hindi pinagana sa pamamagitan ng default at kasama lamang para sa pagiging tugma ng legacy.
- ssh (1), sshd (8): Pagbutihin ang pag-order ng MAC verification para sa Encrypt-then-MAC (EtM) mode na transportasyon ng MAC algorithm upang i-verify ang MAC bago i-decrypting ang anumang ciphertext. Tinatanggal nito ang posibilidad ng mga pagkakaiba sa tiyempo na nakakalugad ng mga katotohanan tungkol sa plaintext, bagama't hindi ito kilala.
- Mga bago / nagbago na mga tampok:
- ssh (1): Magdagdag ng isang pagpipilian sa ProxyJump at kaukulang -J command-line na bandila upang payagan ang pinasimple na indirection sa pamamagitan ng isa o higit pang mga SSH bastion o "mga host ng jump".
- ssh (1): Magdagdag ng isang pagpipilian sa IdentityAgent upang payagan ang pagtukoy ng mga tukoy na socket ng ahente sa halip na pagtanggap ng isa mula sa kapaligiran.
- ssh (1): Payagan ang ExitOnForwardFailure at ClearAllForwardings na opsyonal na i-override kapag gumagamit ng ssh -W. (bz # 2577)
- ssh (1), sshd (8): Ipatupad ang suporta para sa mode ng terminal ng IUTF8 ayon sa bawat draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): Magdagdag ng suporta para sa karagdagang mga pangkat na Diffie-Hellman 2K, 4K at 8K mula sa draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): suporta SHA256 at SHA512 RSA na mga lagda sa mga certificate.
- ssh (1): Magdagdag ng direktibong Isama para sa ssh_config (5) na mga file.
- ssh (1): Pahintulutan ang mga UTF-8 na character sa mga pre-authentication na mga banner na ipinadala mula sa server. (bz # 2058)
- Ang mga sumusunod na makabuluhang mga bug ay naayos sa bersyon 6.1:
- Sa scp (1) at sftp (1), pigilin ang mga setting ng terminal sa pamamagitan ng escaping bytes na hindi bumubuo ng ASCII o UTF-8 na mga character.
- ssh (1), sshd (8): Bawasan ang antas ng syslog ng ilang karaniwang karaniwang mga kaganapan ng protocol mula sa LOG_CRIT. (bz # 2585)
- sshd (8): Tanggihan ang AuthenticationMethods = "" sa mga configuration at tanggapin ang AuthenticationMethods = anumang para sa default na pag-uugali ng hindi nangangailangan ng maramihang pagpapatunay. (bz # 2398)
- sshd (8): Alisin ang lipas na at nakaliligaw na "POSIBLE BREAK-IN AT TEMPT!" Ang mensahe kapag ang pasulong at reverse DNS ay hindi tumutugma. (bz # 2585)
- ssh (1): Isara ang ControlPersist background na proseso stderr maliban sa debug mode o kapag nag-log sa syslog. (bz # 1988)
- misc: Gumawa ng paglalarawan ng PROTOCOL para sa direktang stream ng channel ng channel ng direct-streamlocal@openssh.com tumutugma sa na-deploy na code. (bz # 2529)
- ssh (1): Mag-edit ng mga entry sa LocalForward at RemoteForward upang ayusin ang mga pagkabigo kapag pinagana ang parehong ExitOnForwardFailure at hostname canonicalisation. (bz # 2562)
- sshd (8): Alisin ang fallback mula sa moduli sa hindi na ginagamit na "primes" na file na hindi na ginagamit noong 2001. (bz # 2559)
- sshd_config (5): Tamang paglalarawan ng UseDNS: nakakaapekto ito sa pagpoproseso ng ssh hostname para sa authorized_keys, hindi kilala_hosts. (bz # 2554)
- ssh (1): Ayusin ang pagpapatotoo gamit ang mga lone certificate key sa isang ahente na walang kaukulang mga pribadong key sa filesystem. (bz # 2550)
- sshd (8): Ipadala ang ClientAliveInterval ping kapag naka-set ang isang oras na batay sa RekeyLimit; Ang mga naunang keepalive packet ay hindi naipadala. (bz # 2252)
- OpenNTPD 6.0
- Kapag tinukoy ang isang solong "pagpilit", subukan ang lahat ng mga ibinalik na address hanggang sa magtagumpay ang isa, sa halip na ang unang bumalik na address.
- Nawalan ang margin ng error sa pagpilit na maging proporsyonal sa bilang ng mga NTP peer, maiwasan ang mga palaging reconnections kapag mayroong isang masamang peer NTP.
- Inalis ang hotplug (4) na sinusuportahang sensor.
- Nagdagdag ng suporta para sa pag-detect ng mga pag-crash sa mga subprocesses ng pagpapaandar.
- Inilipat ang pagpapatupad ng mga hadlang mula sa proseso ng ntp patungo sa proseso ng magulang, na nagpapahintulot para sa mas mahusay na paghihiwalay ng pribilehiyo dahil ang proseso ng ntp ay maaaring higit pang mahigpit.
- Fixed mataas na paggamit ng CPU kapag ang network ay down.
- Fixed iba't ibang mga paglabas ng memory.
- Nakapalit sa RMS para sa mga pagkalkula ng nerbiyusin.
- Pinag-uugnay na mga pag-andar sa pag-log sa iba pang mga programa ng OpenBSD base.
- Itakda ang MOD_MAXERROR upang maiwasan ang katayuan ng hindi naka-sync na oras kapag gumagamit ng ntp_adjtime.
- Pag-parse ng header ng Fixed HTTP Timestamp upang gamitin ang strptime (3) sa isang mas portable na paraan.
- Hardened TLS para sa ntpd (8) na mga hadlang, na nagpapagana ng pag-verify ng pangalan ng server.
- LibreSSL 2.4.2
- Mga tampok na nakikita ng gumagamit:
- Naayos ang ilang mga link na broken manpage sa pag-install ng target.
- cert.pem ay muling inorganisa at naka-sync sa certificate store ng Mozilla.
- Pag-aayos ng pagiging maaasahan, pagwawasto ng isang error sa pag-parse ng mga elemento ng ASN.1 na higit sa 16k ang laki.
- Ipinatupad ang IETF ChaCha20-Poly1305 cipher suite.
- Inayos ng mga naayos na password mula sa openssl (1) upang maayos na pangasiwaan ang ^ C.
- Mga pagpapabuti ng code:
- Fixed isang isyu sa compatibility nginx sa pamamagitan ng pagdaragdag ng isang target na 'install_sw' build.
- Pinalitan ang default na EVP_aead_chacha20_poly1305 (3) na pagpapatupad sa bersyon ng IETF, na ngayon ay default.
- Pag-aayos ng error sa paghahatid sa libtls upang ang mga error sa pagsasaayos ay mas nakikita.
- Nagdagdag ng nawawalang error sa paghawak sa paligid ng bn_wexpand (3) na mga tawag.
- Nagdagdag ng explicit_bzero (3) na mga tawag para sa mga nakaligtang bagay na ASN.1.
- Nakatakdang X509_ * set_object function upang bumalik 0 sa pagkabigo sa paglalaan.
- Hindi na ginagamit ang panloob na paggamit ng EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Fixed isang problema na pumipigil sa algorithm ng pag-sign ng DSA mula sa pagpapatakbo nang walang pala kahit na ang bandila ng BN_FLG_CONSTTIME ay nakatakda.
- Nakatakdang ilang mga isyu sa code ng OCSP na maaaring magresulta sa maling henerasyon at pag-parse ng mga kahilingan ng OCSP. Binabawasan nito ang kakulangan ng pag-check ng error sa pag-parse ng oras sa mga pag-andar na ito, at tinitiyak na tanging tinatanggap lamang ang mga format ng GENERALIZEDTIME para sa OCSP, ayon sa RFC 6960.
- Ang mga sumusunod na CVEs ay naayos na:
- CVE-2016-2105-EVP_EncodeUpdate overflow.
- CVE-2016-2106-EVP_EncryptUpdate overflow.
- CVE-2016-2107-padding oracle sa AES-NI CBC MAC check.
- CVE-2016-2108-memory na katiwalian sa ASN.1 encoder.
- CVE-2016-2109-ASN.1 BIO na labis na memory allocation.
- Mga port at pakete:
- Bagong proot (1) na tool sa puno ng port para sa mga pakete ng gusali sa isang chroot.
- Maraming mga pre-built na pakete para sa bawat arkitektura:
- alpha: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Ang ilang mga highlight:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 at 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Pumunta 1.6.3
- Groff 1.22.3
- JDK 7u80 at 8u72
- KDE 3.5.10 at 4.14.3 (kasama ang mga pangunahing pag-update ng KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4, at 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr at 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 at 2.4.44
- PHP 5.5.37, 5.6.23, at 7.0.8
- Postfix 3.1.1 at 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5, at 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5, at 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 at 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Tulad ng dati, panay pagpapabuti sa manual pages at iba pang babasahin.
- Kasama sa system ang mga sumusunod na pangunahing sangkap mula sa mga panlabas na supplier:
- Xenocara (batay sa X.Org 7.7 sa xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 at higit pa)
- GCC 4.2.1 (+ mga patch) at 3.3.6 (+ patches)
- Perl 5.20.3 (+ mga patch)
- SQLite 3.9.2 (+ patches)
- NSD 4.1.10
- Unbound 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ patches)
- Gdb 6.3 (+ patches)
- Awk 10 Agosto 2011 na bersyon
- Expat 2.1.1
Ang pkg_add (1) at pkg_info (1) ngayon ay nauunawaan ang isang paniwala ng sangay upang mabawasan ang pagpili ng ilang mga popular na pakete tulad ng sawa o php, halimbawa, sabihin pkg_add python% 3.4 upang piliin ang 3.4 branch, at gamitin ang pkg_info -zm kumuha ng malabo na listahan na may seleksyon ng sangay na angkop para sa pkg_add -l.
Ang agad na paglabas ng
Ang isang bilang ng mga pangako (2) na nauugnay na mga bug (nawawalang mga pangako, di-inaasahang pagbabago ng pag-uugali, pag-crash) ay naayos, kapansin-pansin sa gzip (1), nc (1), sed (1), skeyinit (1) (1), at iba't ibang mga utility na nauugnay sa disk, tulad ng disklabel (8) at fdisk (8).
Mga Komento hindi natagpuan