OpenBSD

Скріншот програми:
OpenBSD
Дані програми:
Версія: 6.3 оновлений
Дата завантаження: 17 Aug 18
Розробник: OpenBSD Team
Ліцензія: Безкоштовно
Популярність: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD - це безкоштовний проект, який забезпечує багатоплатформенну операційну систему UNIX, яка є портативною, ефективною, захищеною та на основі платформи 4.4BSD. Це потужний серверний продукт, який використовується на сотнях тисяч комп'ютерів по всьому світу.


Наявність, параметри завантаження, підтримувані платформи

Операційна система вільно доступна для завантаження з спеціального розділу (див. вище) як ISO-образів або двійкових пакунків, які дозволяють користувачам встановлювати його через мережу. Зображення ISO можна записувати на CD-диски, які можна завантажувати безпосередньо з BIOS більшості ПК.

OpenBSD підтримує бінарну емуляцію більшості програм від SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS і HP-UX. Він може бути встановлений у широкому діапазоні архітектур, включаючи i386, sparc64, alpha, m68k, sh, amd64, powerpc, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 та mips64el.

Зображення компакт-дисків завантажуються автоматично без взаємодії з користувачем та запитують їх, чи хочуть вони вручну встановити, оновити або автоматично встановити операційну систему, а також відмовитися від черги командного рядка.

Ручне або автоматичне встановлення

Для встановлення стандартного (читання: ручне) користувачам буде потрібно вибрати розкладку клавіатури, встановити ім'я хоста, вибрати мережевий інтерфейс та налаштувати його за допомогою IPv4 та / або IPv6, а також встановити новий пароль для кореня ( системний адміністратор).

Крім того, ви можете запустити служби SSH та NTP під час запуску системи, вибрати, чи потрібно використовувати систему X Window, чи ні, налаштувати користувача, вибрати часовий пояс, розділити диск та встановити набори .

Серед включених програмних пакетів для OpenBSD ми можемо згадати настільні середовища GNOME, KDE та Xfce, сервери MySQL, PostgreSQL, Postfix та OpenLDAP, додатки Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim та Chromium. а також мови програмування PHP, Python, Ruby, Tcl / Tk, JDK, Mono та Go.


Нижня лінія

Підсумовуючи це, OpenBSD - це потужна та високо оцінена серверна орієнтована BSD / UNIX операційна система, яка надає нам найсучасніші програми, включаючи OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED та манчо.

Що нового у цьому випуску:

  • Покращена підтримка апаратного забезпечення, зокрема:
  • Підтримка SMP на платформах OpenBSD / arm64
  • Підтримка VFP та NEON на платформах OpenBSD / armv7.
  • Новий драйвер acrtc (4) для аудіокодеку X-Powers AC100 та годинник у реальному часі.
  • Новий драйвер axppmic (4) для IC-розрядів керування живленням AXP X-Powers.
  • Новий драйвер bcmrng (4) для генератора випадкових чисел Broadcom BCM2835 / BCM2836 / BCM2837.
  • Новий драйвер bcmtemp (4) для монітора температури Broadcom BCM2835 / BCM2836 / BCM2837.
  • Новий драйвер bgw (4) для датчика руху Bosch.
  • Новий драйвер bwfm (4) для пристроїв Broadcom і Cypress FullMAC 802.11 (все ще експериментальний і не скомпільований в ядро ​​за умовчанням)
  • Новий драйвер efi (4) для служб EFI під час виконання
  • .
  • Новий драйвер Imxanatop (4) для інтегрованого регулятора i.MX6.
  • Новий драйвер rkpcie (4) для моста Rockchip RK3399 Host / PCIe.
  • Новий драйвер sxirsb (4) для контролера Reduced Serial Bus Allwinner.
  • Новий драйвер sxitemp (4) для монітора температури Allwinner.
  • Новий драйвер sxits (4) для датчика температури на контролері Touchwind Allwinner A10 / A20.
  • Новий драйвер sxitwi (4) для двопроводної шини, який знаходиться на кількох AllCenter Socks.
  • Новий драйвер sypwr (4) для регулятора SY80106A.
  • Підтримка Rockchip RK3328 SoC була додана до драйверів dwge (4), rkgrf (4), rkclock (4) та rkpinctrl (4).
  • Підтримка Rockchip RK3288 / RK3328 SoC була додана до драйвера rktemp (4).
  • Підтримка для Allwinner A10 / A20, A23 / A33, A80 та R40 / V40 SoC була додана до драйвера sxiccmu (4).
  • Підтримка для Allwinner A33, GR8 та R40 / V40 SoC була додана до драйвера sxipio (4).
  • Підтримка SAS3.5 MegaRAID була додана до драйвера mfii (4).
  • Підтримка інтегрованого Ethernet-центру Intel Cannon Lake та Ice Lake була додана до драйвера em (4).
  • Порти cnmac (4) тепер призначені для різних процесорних ядер для обробки розподілених переривань.
  • Тепер драйвер pms (4) виявляє та обробляє оголошення з перезавантаженням.
  • На amd64 мікрокод процесора Intel завантажується при завантаженні та встановлюється / оновлюється fw_update (1).
  • Підтримка API cookie переривання гіпервізора sun4v, додавання підтримки машин SPARC T7-1 / 2/4.
  • Підтримка Hibernate була додана для зберігання SD / MMC, додається до контролерів sdhc (4).
  • clang (1) тепер використовується як системний компілятор на armv7, а також на sparc64.
  • vmm (4) / vmd (8) поліпшення:
  • Додайте підтримку ISO на компакт-диску / DVD до vmd (8) за допомогою vioscsi (4).
  • vmd (8) більше не створює основний інтерфейс мосту для віртуальних комутаторів, визначених у vm.conf (5).
  • vmd (8) отримує інформацію про перемикання (rdomain та ін) з базового інтерфейсу перемикача разом з налаштуваннями у vm.conf (5).
  • Підтримка лічильника часу (TSC) у гостьових версіях.
  • Підтримка ukvm / Solo5 в універсальних vmm (4).
  • Використовуйте правильні (але рідкісні) кодування інструкцій краще.
  • Підтримка пейджингової версії PAE для 32-розрядних версій для гостя Linux.
  • Тепер vmd (8) дозволяє використовувати до чотирьох мережевих інтерфейсів у кожній віртуальній машині.
  • Додайте підтримку призупиненої міграції та знімку для vmm (4) для хостів AMD SVM / RVI.
  • Команди BREAK, надіслані через pty (4), тепер зрозумілі vmd (8).
  • Багато виправлень для обробки помилок у vmctl (8) та vmd (8).
  • Покращення стільника в IEEE 802.11:
  • Драйвери iwm (4) та iwn (4) автоматично переміщуються між точками доступу, які мають спільну ESSID. Примушування певної MAC-адреси AP з командою ifconfig bssid вимикає роумінг.
  • Автоматично очищати налаштовувані ключі WEP / WPA, коли настроєно нову мережеву ESSID.
  • Вилучено можливість для країн-користувачів читати налаштовувані WEP / WPA-ключі з ядра.
  • Тепер драйвер iwm (4) може підключитися до мереж із прихованим SSID.
  • Пристрої USB, підтримувані драйвером athn (4), тепер використовують прошивку з відкритим кодом, а режим роботи hostap тепер працює з цими пристроями.
  • Загальні вдосконалення стека мережі:
  • Стовп мережі більше не працює з KERNEL_LOCK (), коли IPsec увімкнено.
  • Обробка вхідних пакетів TCP / UDP тепер виконується без KERNEL_LOCK ().
  • Завдання сплайсинга сокетів виконується без використання KERNEL_LOCK ().
  • Очищення та видалення коду в системі sys / netinet6, оскільки автоконфігурація зараз працює в країні userland.
  • Тепер учасникам моста (4) не дозволяється спілкуватися між собою за допомогою нової захищеної опції.
  • Функція переадресації pf була спрощена. Параметр роз'єму IP_DIVERTFL видалено з переадресації (4).
  • Різні кутові випадки переадресації на переадресацію та переадресацію-відповідь тепер більш послідовні.
  • Застосувати в pf (4), що всі пакети виявлення сусідів мають 255 у полі обмеження хосту заголовків IPv6.
  • Новий параметр syncookies в pf.conf (5).
  • Підтримка GRE по IPv6.
  • Новий драйвер для egre (4) для Ethernet через тунелі GRE.
  • Підтримка додаткового заголовка клавіш GRE та ентропія клавіші GRE в gre (4) та egre (4).
  • Новий драйвер nvgre (4) для мережевої віртуалізації за допомогою інкапсуляції загальної маршрутизації.
  • Підтримка налаштування пакетів прапорів Не фрагмент, інкапсулізованих тунельними інтерфейсами.
  • Покращення встановлювача:
  • Якщо install.site або update.site не вдається, сповістіть користувача та виймайте помилку після збереження rand.seed.
  • дозволити позначення CIDR при введенні адрес IPv4 та IPv6.
  • відновити вибір дзеркала HTTP зі списку дзеркал
  • дозволити "-" в іменах користувачів.
  • поставити питання в кінці процесу встановлення / оновлення, тому повернення каретки призводить до відповідної дії, наприклад перезавантажте.
  • відобразити підказки оболонки режиму (встановлення або оновлення), доки не буде відомо ім'я хоста
  • .
  • правильно визначає, який інтерфейс має маршрут за замовчуванням, і якщо він був налаштований через DHCP.
  • переконатися, що набори можна читати з області попереднього вибору.
  • Переконайтеся, що переспрямування URL-адреси є ефективним для всієї установки / оновлення.
  • додайте HTTP-проксі-сервер, який використовується при завантаженні набору на rc.first часу, де fw_update та syspatch можуть знаходити та використовувати його.
  • додайте логіку для підтримки RFC 7217 за допомогою SLAAC
  • Переконайтеся, що IPv6 налаштовано для динамічно створених мережевих інтерфейсів, таких як vlan (4).
  • створити правильне ім'я хоста, коли в DHCP-ліцензії надаються як параметри пошуку домену, так і домену.
  • Демонстрації маршрутизації та інші покращення мережної мережі:
  • bgpctl (8) має новий параметр ssv, який виводить записи ребер як окремі крапки з крапкою з комою, подібно до вибору перед виходом.
  • slaacd (8) генерує випадкові, але стабільні адреси автоматичної конфігурації без ідентичності IPv6 відповідно до RFC 7217. Вони включені за замовчуванням відповідно до RFC 8064.
  • slaacd (8) відповідає RFC 4862, видаливши штучне обмеження на префікси розміру / 64, використовуючи адреси автоматичної конфігурації RFC 7217 (випадкові, але стабільні) та RFC 4941 (конфіденційність).
  • ospfd (8) тепер може встановити метрику для маршруту залежно від стану інтерфейсу.
  • ifconfig (8) має нову опцію staticarp, щоб інтерфейси відповідали лише на запити ARP.
  • Тепер ipsecctl (8) може згортати вихідні дані потоку, що мають одне джерело або адресат.
  • Параметр -n в netstart (8) більше не перешкоджає маршруту за умовчанням. Тепер це також задокументовано.
  • Поліпшення безпеки:
  • Використовуйте ще більше ловушок на різних архітектурах.
  • Більше використовувати .data для постійних змінних у джерелі збірки.
  • Припинити використання x86 "repz ret & quot; в запилених кутах дерева.
  • Запровадьте & quot; повторити & quot; в заставу (2).
  • Утиліта elfrdsetroot, що використовується для побудови радіструнці та відстеження (8), зараз використовує заставу (2).
  • Підготуйтеся до введення MAP_STACK до mmap (2) після 6.3.
  • Натисніть невелику частину тексту ядра, пов'язаного з KARL, у генератор випадкових чисел як ентропію під час запуску.
  • Помістіть маленький випадковий пробіл у верхній частині стеків потоку, щоб зловмисники мали черговий підрахунок для виконання їх роботи з ROP.
  • Пом'якшення наслідків уразливості для розпаду для процесорів Intel amd64.
  • OpenBSD / arm64 тепер використовує ізоляцію таблиці сторінок ядра, щоб послабити атаки Spectre 3 (Meltdown).
  • OpenBSD / armv7 і OpenBSD / arm64 тепер очищають цільовий буфер відділення (BTB) на процесорах, які здійснюють спекулятивне виконання, щоб пом'якшити атаки Spectre variant 2.
  • pool_get (9) збурює порядок елементів на знову виділених сторінках, що робить макет кучи ядра важче передбачити.
  • Системний виклик fktrace (2) був знищений.
  • Покращення dhclient (8):
  • Аналіз dhclient.conf (5) більше не витокує рядки SSID, рядки, що занадто довгі для буфера для аналізу або повторюваних варіантів і команд рядка.
  • Зберігання оренди в dhclient.conf (5) більше не підтримується.
  • "DENY" більше не дійсний у dhclient.conf (5).
  • dhclient.conf (5) і dhclient.leases (5) повідомлення про помилки синтаксичного аналізу були спрощені та зрозумілі, з покращеною поведінкою за наявності несподіваних точок з комою.
  • Більш дбайливо використовується інформація про конфігурацію, яка була успішно проаналізована.
  • '- n', що призводить до виходу dhclient (8) після розбору dhclient.conf (5).
  • Стандартні маршрути в опціях бесклассові статичні маршрути (121) та безкласні маршрути (статистика 249) тепер правильно представлені у файлах dhclient.leases (5).
  • Перезаписати файл, вказаний за допомогою "-L", а не додати до нього.
  • Оренда в dhclient.leases (5) тепер містить атрибут "epoch", що фіксує час прийняття лізингу, який використовується для розрахунку правильного поновлення, повторного накладання та терміну придатності.
  • більше не підказує про підкреслення в іменах, що порушують RFC 952.
  • Необов'язково надсилати інформацію про ім'я хоста під час запиту оренди, виключивши необхідність dhclient.conf (5) в установці за замовчуванням.
  • Будьте спокійно за замовчуванням. '-q' вилучено, а '-v' додано для активного ведення журналу.
  • Скоротити дубльовані пропозиції для запитуваної адреси
  • Безумовно переходьте до фону після закінчення часу посилання-часу.
  • Значно знизити реєстрацію при тихому режимі, але зробіть '-v' всіми налагоджувальними даними, не будуючи компіляції користувацького виконуваного файлу.
  • Ігнорувати вирази "інтерфейс" у dhclient.leases (5) і припустити, що всі оренди у файлі призначені для налаштування інтерфейсу.
  • Відобразити джерело лізингу, пов'язаного з інтерфейсом.
  • Заявки "ignore", "request" і "require" у dhclient.conf (5) тепер додавати вказані параметри до відповідного списку, а не замінювати список.
  • Усуньте початкову гонку, яка може призвести до виходу dhclient (8) без конфігурації інтерфейсу.
  • Різноманітні вдосконалення:
  • Реорганізація коду та інші вдосконалення для malloc (3) та друзів, щоб зробити їх більш ефективними.
  • Під час виконання операцій призупинення або сплячого режиму переконайтеся, що всі файлові системи є належним чином синхронізовані та позначені чистими, або якщо їх не можна виставити на абсолютно чистому стані на диску (через відкриті + зв'язані файли), то позначте їх брудними, / unhibernate гарантовано виконувати fsck (8).
  • acme-client (1) автоматично визначає URL-адресу угоди та виконує переадресацію HTTP-сторінок в 30 разів.
  • Додав __cxa_thread_atexit () для підтримки сучасних інструментальних ланцюжків C ++.
  • Додано підтримку EVFILT_DEVICE для kqueue (2) для контролю змін на пристроях drm (4).
  • Тепер ldexp (3) правильно вказує знак денормальних чисел на mips64.
  • Нові функції sincos (3) в libm.
  • Файл fdisk (8) тепер гарантує правильність зміщення розділів MBR, внесених під час редагування.
  • Файл fdisk (8) тепер гарантує, що значення за замовчуванням лежать у межах дійсного діапазону.
  • менше (1) тепер розділяє лише змінну середовища LESS на '$'.
  • менше (1) більше не створює фальшивий файл, коли стикається з "$" у початковій команді.
  • softraid (4) тепер перевіряє кількість фрагментів при складанні томи, забезпечуючи синхронізацію метаданих на диску та в пам'яті.
  • disklabel (8) тепер завжди пропонує змінити розмір фрагмента розділу FFS, перед тим як пропонувати змінити розмір блоку.
  • disklabel (8) тепер дозволяє редагувати атрибут cylinders / group (cpg) щоразу, коли ви можете редагувати розмір блокування розділу.
  • disklabel (8) тепер виявляє ^ D та недійсний введення під час виконання команд (R).
  • disklabel (8) тепер виявляє підтоки та переповнення, коли використовуються оператори - / +.
  • disklabel (8) тепер виключає один одного при розрахунку кількості циліндрів у вільному фрагменті.
  • disklabel (8) тепер перевіряє розмір запитуваного розділу на розмір найбільшого вільного шматка замість загального вільного місця.
  • Підтримка демонтажу передач через BPF (4).
  • Тепер tcpdump (8) тепер може розуміти збірки передач USB у форматі USBPcap.
  • За замовчуванням підказки csh (1), ksh (1) і sh (1) тепер включають ім'я хоста.
  • Розподіл пам'яті в ksh (1) був змінений з calloc (3) назад на malloc (3), що полегшує розпізнавання неініціалізованої пам'яті. У результаті виявлено та виправлено помилку, пов'язану з історією в режимі редагування emacs.
  • Нова опція сценарію (1) -c для запуску команди замість оболонки.
  • Нова опція grep (1) -m для обмеження кількості відповідностей
  • Новий параметр uniq (1) -i для порівняння, нечутливого до регістру
  • Формат printf (3) більше не перевіряється при пошуку форматів%. Заснований на здійсненні Android і наступних більшості інших операційних систем.
  • Покращена перевірка помилок у vfwprintf (3).
  • Багато базових програм було перевірено та зафіксовано для застарілих дескрипторів файлів, включаючи cron (8), ftp (1), мандок (1), openssl (1), ssh (1) і sshd (8).
  • Різні виправлення та покращення в роботі (1):
  • Довільні обмеження довжини аргументів для параметрів -b, -s, -w були вилучені.
  • Специфікатор формату% F тепер підтримується та виправлено помилку у форматі% D.
  • Покращене покриття коду в регресійних тестах.
  • Виправлено декілька перевищень буферу.
  • Тепер утиліта patch (1) справляється краще з git diffs, які створюють або видаляють файли.
  • pkg_add (1) тепер має поліпшену підтримку для редиректорів HTTP (S), таких як cdn.openbsd.org.
  • ftp (1) та pkg_add (1) тепер підтримують відновлення сесії HTTPS для покращення швидкості.
  • Мандоком (1) -T ps розмір вихідного файлу зменшений більш ніж на 50%.
  • syslogd (8) журналів, якщо під час запуску з'явилися попередження.
  • syslogd (8) перестала входити до файлів у повній файлової системі. Тепер він пише попередження і продовжує, коли простір буде доступним.
  • vmt (4) тепер дозволяє клонувати та отримувати знімки лише гострих користувачів.
  • OpenSMTPD 6.0.4
  • Додайте параметр пропускання spf до smtpctl (8).
  • Асорті очищення та вдосконалення
  • Численні виправлення та вдосконалення вручну сторінки.
  • OpenSSH 7.7
  • Нові / змінені функції:
  • Усі: додавання експериментальної підтримки для ключів PQC XMSS (Extended Hash-Based Signatures) на основі алгоритму, описаного в https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Код підпису XMSS є експериментальним і не компілюється за замовчуванням.
  • sshd (8): додайте & quot; rdomain & quot; критерії для sshd_config Збігаються з ключовим словом, щоб дозволити умовну конфігурацію, яка залежить від того, який домен маршрутизації було отримано з'єднання (наразі підтримується в OpenBSD та Linux).
  • sshd_config (5): додайте до директорії ListenAddress необов'язковий класифікатор rdomain, щоб дозволити прослуховування різних доменів маршрутизації. В даний час це підтримується лише в OpenBSD та Linux.
  • sshd_config (5): додати директиву RDomain, щоб дозволити аутентифікований сеанс розміщувати в явному домені маршрутизації. Це підтримується лише в OpenBSD в даний час.
  • sshd (8): додавання & quot; кінцевого часу & quot; опція для файлів authorized_keys, щоб дозволити термін дії ключів.
  • ssh (1): додайте параметр BindInterface, щоб дозволити зв'язувати вихідне з'єднання з адресою інтерфейсу (в основному це більш зручний BindAddress).
  • ssh (1): експортуйте пристрій, призначене для перенаправлення тону / шви через нове розширення% T для LocalCommand. Це дозволяє використовувати LocalCommand для підготовки інтерфейсу.
  • sshd (8): викрийте пристрій, призначений для перенаправлення тун / шт через нову змінну середовища SSH_TUNNEL. Це дозволяє автоматично встановлювати інтерфейс і оточуючу конфігурацію мережі на сервері.
  • ssh (1) / scp (1) / sftp (1): додати підтримку URI до ssh, sftp та scp, наприклад ssh: // user @ host або sftp: // user @ host / path. Додаткові параметри підключення, описані в draft-ietf-secsh-scp-sftp-ssh-uri-04, не реалізовані, оскільки формат відбитка ssh у проекті використовує застарілий хеш MD5, який не може вказати будь-який інший алгоритм.
  • ssh-keygen (1): дозволити інтервали дії сертифікатів, які вказують лише час початку або зупинки (замість обох або ні).
  • sftp (1): Дозволити & quot; cd & quot; і "lcd" команди без явного аргументу шляху. LCD буде змінюватися в домашньому каталозі локального користувача, як завжди. cd буде змінено на початковий каталог для сеансу (оскільки протокол не дає можливості отримати домашній каталог віддаленого користувача). bz # 2760
  • sshd (8): Під час виконання тесту config з sshd -T, потрібно лише атрибути, які фактично використовуються в критеріях відповідності, а не (неповний список) всіх критеріїв.
  • У цьому випуску виправлено такі значні помилки:
  • ssh (1) / sshd (8): Строкові перевірки типів підписів під час обміну ключами, що було узгоджено. Запобігає зниженню підписів RSA, зроблених за допомогою SHA-256/512 до SHA-1.
  • sshd (8): Виправте підтримку клієнта, який рекламує версію протоколу "1,99" (що вказує, що вони готові прийняти як SSHv1, так і SSHv2). Це було порушено в OpenSSH 7.6 під час видалення підтримки SSHv1. bz # 2810
  • ssh (1): Попереджати, коли агент повертає підпис підпис ssh-rsa (SHA1), коли запит rsa-sha2-256 / 512 було виконано. Цей стан можливий, коли використовується старий чи невідомий OpenSSH агент. bz # 2799
  • ssh-agent (1): Fix regression вводить в 7.6, що викликало ssh-agent до смертельного виходу, якщо було представлено недійсне повідомлення про помилку підписування.
  • sshd_config (5): Приймайте варіанти «так / ні», які неактуально, як це було в ssh_config (5) протягом тривалого часу. bz # 2664
  • ssh (1): покращення звітування про помилки при збоях під час з'єднання. За певних обставин були виявлені помилкові помилки. bz # 2814
  • ssh-keyscan (1): Додайте параметр -D, щоб дозволити друк результатів безпосередньо у форматі SSHFP. bz # 2821
  • тести на регреси: виправте інтерфейс PuTTY, який було зламано під час видалення SSHv1 останнього випуску. bz # 2823
  • ssh (1): виправлення сумісності для деяких серверів, які помилково видалили з'єднання, коли надсилається параметр IUTF8 (RFC8160).
  • scp (1): відключити RemoteCommand і RequestTTY в сесії ssh, запущеному scp (sftp вже це робив).
  • ssh-keygen (1): відмовтесь створити сертифікат із неприпустимою кількістю принципалів.
  • ssh-keygen (1): Fatally exit, якщо ssh-keygen не може написати весь відкритий ключ під час генерації ключів. Раніше він мовчки ігнорував помилки в написанні коментаря та завершення нової рядка.
  • ssh (1): Не змінюйте аргументи імені хоста, адреси яких автоматично змушують їх виводити в нижній регістр. Замість цього можна їх унікалізувати для вирішення неоднозначностей (наприклад, :: 0001 = & gt; :: 1), перш ніж їх буде поєднано з known_hosts. bz # 2763
  • ssh (1): не прийміть сміття після "yes" або & quot; ні & quot; відповіді на підказки господаря. bz # 2803
  • sftp (1): Необхідно, щоб sftp друкувало попередження про чистоту оболонки при декодуванні першого пакета, який, як правило, виникає внаслідок шкідливих стереотипів оболонок неінтерактивних стартапів. bz # 2800
  • ssh (1) / sshd (8): змінювати таймери в коді пакета, використовуючи час настільного годинника до монотонного часу, що дозволяє пакетному шарові краще працювати на етапі годинника та уникати переповнення цілих чисел під час кроків.
  • Численні виправлення та вдосконалення вручну сторінки.
  • LibreSSL 2.7.2
  • Додана підтримка багатьох API-інтерфейсів OpenSSL 1.0.2 та 1.1 на основі спостережень реального використання в додатках. Вони реалізуються паралельно з існуючими API-інтерфейсами OpenSSL 1.0.1 - зміни в видимості не були внесені до існуючих структур, що дозволило продовжити роботу над кодом, написаним для старших OpenSSL-інтерфейсів.
  • Великі виправлення, покращення та доповнення до документації API, включаючи нові загальнодоступні API із OpenSSL, які не мали попередньої документації.
  • Додана підтримка автоматичної ініціалізації бібліотеки у libcrypto, libssl та libtls. Підтримка pthread_once або сумісного еквівалента тепер потрібна для цільової операційної системи. Побічним ефектом мінімальна підтримка Windows - це Vista або вище.
  • Перетворює більше методів обробки пакетів в CBB, що покращує стійкість при створенні повідомлень TLS.
  • Завершено обробку обробки розширень TLS, покращуючи послідовність перевірок за неправильними та дубльованими розширеннями.
  • Переписав ASN1_TYPE_ (отримати, встановити) _octetstring () за допомогою шаблону ASN.1. Це призведе до видалення останнього використання старих макросів M_ASN1_ * (asn1_mac.h) з API, яке потрібно продовжувати існувати.
  • Додана підтримка відновлення сесії на стороні клієнта в libtls. Клієнт libtls може вказувати дескриптор файлу сеансу (звичайний файл із відповідним правом власності та дозволами), і libtls буде керувати читанням та написанням даних сеансу за допомогою рукостискання TLS.
  • Покращена підтримка суворої відповідності архітектурам ARMv7, що умовно забезпечує збірку в таких випадках.
  • Виправлено витік пам'яті в libtls при повторному використанні tls_config.
  • З'єднання додаткової підтримки DTLS у звичайний шлях коду TLS, видалення дубльованого коду.
  • Порти та пакети:
  • dpb (1) та звичайні порти (7) тепер можуть користуватися тими ж привілеями, що відокремлюють модель, встановивши PORTS_PRIVSEP = Так
  • Багато попередньо побудованих пакетів для кожної архітектури:
  • aarch64: 7990
  • альфа: 1
  • amd64: 9912
  • arm: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Деякі основні моменти:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 та 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Перейти 1,10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 і 4.14.3 (разом з основними новинами KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 та 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr і 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 та NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 і 2.4.45
  • PHP 5.6.34 і 7.0.28
  • Postfix 3.3.0 і 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 і 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 та 2.5.0
  • Іржа 1,24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 та 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Як завжди, постійне вдосконалення сторінок вручну та іншої документації.
  • Система включає наступні основні компоненти від зовнішніх постачальників:
  • Xenocara (на основі X.Org 7.7 з пакетами xserver 1.19.6 +, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 та інші)
  • LLVM / Clang 5.0.1 (+ патчі)
  • GCC 4.2.1 (+ патчі) і 3.3.6 (+ патчі)
  • Perl 5.24.3 (+ патчі)
  • NSD 4.1.20
  • Не встановлено зв'язок 1.6.8
  • Ncurses 5.7
  • Binutils 2,17 (+ патчі)
  • Gdb 6.3 (+ патчі)
  • Awk версії 10 серпня 2011 р.
  • Expat 2.2.5

Що нового у версії 6.2:

  • Нові / розширені платформи:
  • armv7:
  • Додано завантажувач EFI, тепер ядра завантажуються з FFS замість файлові системи FAT або EXT без заголовків U-Boot.
  • Одне ядро ​​та RamDisk тепер використовуються для всіх SoC.
  • Обладнання динамічно перелічується за допомогою плоского пристрою дерева (FDT) замість статичних таблиць на основі номерів ідентифікаторів плат.
  • Зображення для встановлення з мініатюри включають U-Boot 2016.07 з підтримкою корисних навантажень EFI.
  • вакс:
  • Вилучено.
  • Покращена підтримка апаратного забезпечення, у тому числі:
  • Новий драйвер послідовного GPIO контролера bytgpio (4).
  • Новий драйвер chvgpio (4) для контролера Intel GPXI Cherry View.
  • Новий драйвер maxrtc (4) для годинника реального часу Maxim DS1307.
  • Новий драйвер nvme (4) для інтерфейсу хоста контролера енергонезалежної пам'яті Express (NVMe).
  • Новий драйвер pcfrtc (4) для годинника реального часу NXP PCF8523.
  • Новий драйвер umb (4) для моделі мобільного широкосмугового інтерфейсу (MBIM).
  • Новий драйвер Ure (4) для пристроїв, що підтримують RealTek RTL8152 на базі 10/100 USB-Ethernet-пристроїв.
  • Новий драйвер utvfu (4) для пристроїв зняття аудіо / відео на основі Fushicai USBTV007.
  • Драйвер iwm (4) тепер підтримує пристрої Intel Wireless 3165 та 8260 і працює надійніше в ядрах RAMDISK.
  • Підтримка пристроїв HID I2C із сигналами переривань GPIO була додана до dwiic (4).
  • Підтримка шин ширини шини, високошвидкісних режимів та передач DMA була додана до sdmmc (4), rtsx (4), sdhc (4) та imxesdhc (4).
  • Підтримка USB контролерів EHCI та OHCI на сокетах Octeon II
  • Багато USB-драйверів пристрою було включено в OpenBSD / octeon.
  • Покращена підтримка реалізації ACPI, скорочених апаратними засобами.
  • Покращена підтримка реалізації ACPI 5.0.
  • Крипто AES-NI тепер виконується без утримання блокування ядра.
  • Покращена підтримка AGP на машинах PowerPC G5.
  • Додано підтримку слота для карт пам'яті SD на платформах Intel Bay Trail.
  • Тепер драйвер iichiic (4) ігнорує переривання SMBALERT # для запобігання шторму переривання з використанням помилок BIOS.
  • Виправлені проблеми із приєднанням пристрою з драйвером axen (4).
  • Драйвер ral (4) стабільніший при навантаженні за допомогою пристроїв RT2860.
  • Проблеми з мертвими клавіатурами після відновлення були виправлені в драйвері pckbd (4).
  • Тепер драйвер RTSX (4) підтримує пристрої RTS522A.
  • Початкова підтримка MSI-X була додана.
  • Підтримка MSI-X у драйвері virtio (4).
  • Додано обхідний шлях для перезарядки апаратного DMA для драйвера постійного струму (4).
  • Тепер драйвер acpitz (4) обертає вентилятор після охолодження, якщо ACPI використовує гістерезис для активного охолодження.
  • Драйвер xhci (4) належним чином передає передачу з xHCI-сумісного BIOS.
  • Підтримка багатоконтактного вводу була додана до драйвера wsmouse (4).
  • Тепер драйвер uslcom (4) підтримує послідовну консоль контролерів Aruba 7xxx.
  • Тепер драйвер re (4) працює над розбитими світлодіодними конфігураціями в EEPROM пристроїв APU1.
  • Драйвер ehci (4) тепер працює над проблемами з контролерами ATI USB (наприклад, SB700).
  • Драйвер Xen (4) тепер підтримує конфігурацію domU під Qubes OS.
  • Покращення стільника в IEEE 802.11:
  • Блок логіки прийому блоків HT приймає наступний алгоритм, наведений у специфікації 802.11-2012.
  • За допомогою драйвера iwn (4) відстежується зміна захисту HT після підключення до 11n AP.
  • Бездротовий стек та кілька драйверів більш агресивно використовують RTS / CTS, щоб уникнути перешкод із застарілих пристроїв та прихованих вузлів.
  • Команда netstat (1) -W тепер показує інформацію про події 802.11n.
  • У режимі hostap не використовуйте повторно асоціативні ідентифікатори вузлів, які все ще кешуються. Виправлена ​​помилка, коли точка доступу за допомогою драйвера ral (4) зафіксується на швидкості 1 Мбіт / с, оскільки обчислення темпу трафіку траплялося на неправильному об'єкті вузла.
  • Загальні вдосконалення стека мережі:
  • Таблиця маршрутизації тепер заснована на АРТ, що пропонує швидкий пошук.
  • Кількість шляхів пошуку маршрутів в пакеті була зменшена до 1 на шляху переадресації.
  • Поле prio у заголовках VLAN тепер правильно встановлено на кожен фрагмент пакета IPv4, який виходить на інтерфейс vlan (4).
  • Увімкнено клонування пристрою для bpf (4). Це дозволяє системі мати лише один вузол пристрою BPF в / dev, який обслуговує всіх користувачів BPF (до 1024).
  • Черга Tx драйвера cnmac (4) тепер може оброблятися паралельно з рештою ядра.
  • Мережа вводу мережі тепер запускається у контексті потоку.
  • Покращення встановлювача:
  • оновлений список обмежених кодів користувачів
  • install.sh і upgrade.sh об'єднані в install.sub
  • оновлення автоматично запускає sysmerge (8) у пакетному режимі до fw_update (1)
  • питання та відповіді записуються у форматі, який може використовуватися як файл відповіді для використання автоінсталя (8)
  • Налаштування / usr / local встановлено на wxallowed під час встановлення
  • Демонстрації маршрутизації та інші покращення мережної мережі:
  • Додайте підтримку таблиці маршрутизації до rc.d (8) та rcctl (8).
  • Нехай nc (1) підтримує імена служб, крім номерів портів.
  • Додайте прапорці -M та -m TTL до nc (1).
  • Додайте підтримку AF_UNIX до tcpbench (1).
  • Виправлена ​​регресія в rarpd (8). Демон може зависати, якщо він довгий час простояв.
  • Додав параметр llprio в ifconfig (8).
  • Кілька програм, які використовують bpf (4), були модифіковані, щоб скористатися BPF (4) клонування пристрою, відкривши / dev / bpf0 замість циклічних пристроїв через / dev / bpf *. Ці програми включають: arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) і tcpdump (8). Бібліотека libpcap також була відповідно змінена.
  • Поліпшення безпеки:
  • Тепер W ^ X строго виконується за умовчанням; програма може її порушувати, лише якщо виконуваний файл позначений PT_OPENBSD_WXNEEDED і знаходиться на файловій системі, встановленої за допомогою параметра wxallowed mount (8). Оскільки занадто багато портів порушують W ^ X, встановлювач монтує / usr / local файлової системи за допомогою wxallowed. Це дозволяє базовій системі бути більш безпечною, якщо / usr / local - це окрема файлова система. Якщо ви не використовуєте жодних програм, які порушують W ^ X, то можете вручну скасувати цю опцію.
  • Сімейство функцій setjmp (3) тепер застосовує куки-файли XOR для стеків і повернення адрес у jmpbuf на amd64, hppa, i386, mips64 та powerpc.
  • Пом'якшення SROP: sigreturn (2) тепер може використовуватися тільки батутом сигнал, що надається ядром, з файлом cookie для виявлення спроб повторного використання.
  • Щоб запобігти повторному використанню коду, rc (8) повторно посилає libc.so при запуску, розміщуючи об'єкти у випадковому порядку.
  • У сім'ї функцій getpwnam (3) зупинити відкриття тіньової бази за замовчуванням.
  • Дозволити tcpdump (8) -r запускати без привілеїв root.
  • Видалити систрацію.
  • Видалити підтримку емуляції Linux.
  • Вилучити підтримку опції usermount.
  • Кеш TCP SYN періодично зберігає довільну хеш-функцію. Це запобігає зловмисникові обчислювати розподіл хеш-функції за допомогою атаки часу.
  • Щоб протидіяти атаці SYN, адміністратор може змінити розмір масиву хешів зараз. netstat (1) -s-p tcp показує відповідну інформацію для налаштування SYN-кеш-пам'яті за допомогою sysctl (8) net.inet.tcp.
  • Адміністратор може вимагати привілеї root для зв'язування деяких портів TCP і UDP за допомогою sysctl (8) net.inet.tcp.rootonly та sysctl (8) net.inet.udp.rootonly.
  • Видаліть покажчик функції з структури даних mbuf (9) і замість цього використовуйте індекс у масив прийнятних функцій.
  • Різноманітні вдосконалення:
  • Тепер бібліотека потоку може бути завантажена в один процес.
  • Поліпшення обробки символів та дотримання стандартів в libc. Наприклад, визначення функції open () більше не буде перешкоджати роботі fopen (3).
  • розділи PT_TLS тепер підтримуються в початково завантаженому об'єкті.
  • Покращена обробка & quot; немає шляхів & quot; і "пустий шлях" в FTS (3).
  • У pcap (3) надайте функції pcap_free_datalinks () та pcap_offline_filter ().
  • Багато виправлень та структурна очистка в бібліотеці editline (3).
  • Видалити старі дБМ (3) функції; ndbm (3) залишається.
  • Додайте ключове слово setenv для більш потужної обробки середовища в doas.conf (5).
  • Додайте параметри -g та -p до aucat.1 для позиціонування часу.
  • Перезапишіть audioctl (1) за допомогою простішого інтерфейсу користувача.
  • Додайте параметр -F для встановлення (1) на fsync (2) файл, перш ніж закривати його.
  • Тепер kdump (1) скидає структури pollfd.
  • Покращити різноманітні деталі ksh (1) відповідності POSIX.
  • mknod (8) переписаний у стилі застави (2), і підтримує створення кількох пристроїв одночасно.
  • Застосувати rcctl (8), отримати все і getdef all.
  • Внесіть прапорець rcs (1) -I (інтерактивний).
  • У rcs (1), застосуйте ключову підстановку Mdocdate.
  • Угорі (1), дозвольте фільтрувати аргументи процесу, якщо вони відображаються.
  • Додана підтримка UTF-8 для згинання (1) та rev (1).
  • Увімкнути UTF-8 за умовчанням в xterm (1) та pod2man (1).
  • Відфільтруйте символи не ASCII в стіні (1).
  • Послідовно обробляйте змінну середовища COLUMNS у багатьох програмах.
  • Параметри -c і -k дозволяють надати сертифікати клієнта TLS для syslogd (8) у стороні відправки. При цьому сторона, яка приймає, може перевірити, чи журнальні повідомлення є автентичними. Зауважте, що syslogd ще не має цієї перевірки.
  • Коли буфер klog переповнюється, syslogd напише повідомлення журналу, щоб показати, що деякі записи відсутні.
  • У OpenBSD / octeon для підвищення продуктивності активовано буфер обміну кешу процесора.
  • pkg_add (1) та pkg_info (1) тепер розуміють поняття гілки, щоб полегшити вибір деяких популярних пакетів, таких як python або php, наприклад, скажіть pkg_add python% 3.4, щоб вибрати гілку 3.4, і скористатись pkg_info -zm для отримати нечіткий список з вибором гілки підходить для pkg_add -l.
  • fdisk (8) та pdisk (8) негайно вийти, якщо не передано спеціальне пристрій із символом
  • st (4) правильно відстежує поточний підрахунок блоків для блоків із змінним розміром
  • fsck_ext2fs (8) знову працює
  • softraid (4) обсяги можуть бути побудовані з дисками, які мають розмір сектора, відмінний від 512 байт
  • dhclient (8) DECLINE і відкидає невикористані ПРОПОЗИЦІЇ.
  • dhclient (8) негайно виходить, якщо його інтерфейс (наприклад, міст (4)) повертає EAFNOSUPPORT при відправленні пакета.
  • httpd (8) повертає 400 поганих запитів для запитів HTTP v0.9
  • Логічна ініціалізація ffs2 уникає обробки випадкових даних диска як inode
  • fcntl (2) виклики в базових програмах використовують idiom fcntl (n, F_GETFL) замість fcntl (n, F_GETFL, 0)
  • socket (2) і accept4 (2) виклики в базових програмах використовують SOCK_NONBLOCK, щоб уникнути необхідності окремого fcntl (2).
  • tmpfs не активовані за умовчанням
  • семантика вкладу застави (2) була покращена багатьма способами. Основні моменти включають в себе: нову обіцянку, яка дозволяє заставленим програмам встановлювати атрибути setugid, більш жорстке виконання обіцянок recvfd та chroot (2) більше не дозволяється для заставлених програм.
  • було виправлено ряд пов'язаних із заставною (2) помилок (відсутні обіцянки, ненавмисні зміни поведінки, аварії), зокрема в gzip (1), nc (1), sed (1), skeyinit (1), stty (1), а також різні утиліти, пов'язані з диском, такі як disklabel (8) та fdisk (8).
  • Виправлені помилки розрахунку розміру блоку у драйвері аудіо (4).
  • Драйвер usb (4) тепер кешує постачальників та ідентифікатори продуктів. Виправлення проблеми, за яким виклик usbdevs (8) у циклі, призведе до припинення роботи пристрою масової пам'яті USB.
  • Тепер драйвери rsu (4) та ural (4) знову працюють після того, як вони були випадково зламані в розділі 5.9.
  • OpenSMTPD 6.0.0
  • Безпека:
  • Внесіть шаблон fork + exec у smtpd (8).
  • Виправте помилку логіки на стані SMTP, яка може призвести до неправильного стану та призвести до збою.
  • Підключіть витік файлу, що може призвести до виснаження ресурсів і призвести до збою.
  • Використовуйте автоматичні параметри DH, а не фіксовані.
  • Вимкнути DHE за замовчуванням, оскільки це обчислювальна дорога та потенційний вектор DoS.
  • У версії 6.2 були внесені наступні покращення:
  • Додайте параметр -r до smtpd (8) enqueuer для сумісності з mailx.
  • Додати пропущену дату або ідентифікатор повідомлення під час прослуховування в порту відправлення
  • Виправте & quot; smtpctl шоу шоу & quot; звіт про "недійсний" & quot; конверт.
  • Повторно змініть формат & quot; Отримано & quot; щоб заголовок TLS не порушував RFC.
  • Збільште кількість підключень, до яких дозволено встановлювати локальну адресу, і зменшіть затримку між транзакціями того ж сеансу.
  • Виправте доставку LMTP до серверів, які повертають черги продовження.
  • Подальше покращення API-фільтрів фільтрів, що ще експериментують, і виправити різні пов'язані проблеми.
  • Почніть покращувати та об'єднувати формат повідомлень журналу.
  • Виправте кілька невідповідностей документації та друкарських помилок на сторінках man.
  • OpenSSH 7.3
  • Безпека:
  • sshd (8): пом'якшити потенційну атаку на відмову від служби за допомогою крипту системи (3) за допомогою sshd (8). Зловмисник міг надсилати дуже довгі паролі, які можуть призвести до надмірного використання процесора в крипті (3). Тепер sshd (8) відмовляється приймати запити на авторизацію паролів довжиною більше 1024 символів.
  • sshd (8): пом'якшити відмінності часу в автентифікації паролів, які можуть бути використані для розпізнавання дійсних з недійсних імен облікових записів, коли надходили довгі паролі, і на сервері використовуються спеціальні алгоритми хешування паролів. CVE-2016-6210.
  • ssh (1), sshd (8): Виправте спостережувану слабкість синхронізації в контрзаходи оракула CBC. Зверніть увагу, що шифри CBC відключені за замовчуванням і включені лише для застарілих сумісностей.
  • ssh (1), sshd (8): поліпшити порядок підтвердження MAC для шифрування та потім-MAC (EtM) режиму транспортних алгоритмів MAC для перевірки MAC перед розшифровкою будь-якого шифрувального тексту. Це усуває можливість відмінності від часу, коли виникають факти про звичайний текст, хоча така витока не відома.
  • Нові / змінені функції:
  • ssh (1): додайте параметр ProxyJump та відповідний прапорець -J командного рядка, щоб спростити невдачу через один або декілька бастіонів SSH або "ходу переходу".
  • ssh (1): додайте параметр IdentityAgent, щоб дозволити вказування конкретних агрегатних розеток, а не приймати його з середовища.
  • ssh (1): Дозволити ExitOnForwardFailure та ClearAllForwardings необов'язково перевизначити при використанні ssh -W. (bz # 2577)
  • ssh (1), sshd (8): реалізувати підтримку режиму термінала IUTF8 за черговим-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): додавання підтримки для додаткових фіксованих груп Діффі-Хеллмана 2K, 4K та 8K з draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): підтримка підпису SHA256 та SHA512 RSA в сертифікатах.
  • ssh (1): додайте директиву включення для ssh_config (5) файлів.
  • ssh (1): Дозволити символи UTF-8 в банери попередньої автентифікації, відправлені з сервера. (bz # 2058)
  • У версії 6.2 були виправлені такі значні помилки:
  • У scp (1) та sftp (1) не допускайте закріплення параметрів терміналу, вибіраючи байти, не утворюючи символів ASCII або UTF-8.
  • ssh (1), sshd (8): зменшити рівень системного журналу деяких щодо поширених подій протоколу з LOG_CRIT. (bz # 2585)
  • sshd (8): Відмовтесь від автентифікації методів = & quot; в конфігураціях і прийняти AuthenticationMethods = будь-який для поведінки за замовчуванням, що не вимагає багаторазової аутентифікації. (bz # 2398)
  • sshd (8): видалити застарілі та вводять в оману & quot; МОЖЛИВИЙ ПОВІДОМЛЕННЯ ВІДПОВІДНОСТІ! & quot; повідомлення, коли прямі та зворотні DNS не збігаються. (bz # 2585)
  • ssh (1): закрийте ControlPersist фонового процесу stderr за винятком режиму налагодження або при вході в системний журнал. (bz # 1988)
  • misc: Зробити опис протоколу PROTOCOL для прямого-потокового повідомлення@openssh.com. Відкриті повідомлення збігаються з розгорнутим кодом. (bz # 2529)
  • ssh (1): Дедуплікуйте записи LocalForward і RemoteForward для виправлення помилок, коли активовано як ExitOnForwardFailure, так і ініціалізацію хоста хоста. (bz # 2562)
  • sshd (8): видалити резервний модуль від застарілих "primes & quot; файл, який був стертий у 2001 році. (bz # 2559)
  • sshd_config (5): Правильне опис UseDNS: це впливає на обробку імені ssh для authorized_keys, не known_hosts. (bz # 2554)
  • ssh (1): Виправте аутентифікацію, використовуючи одиночні ключі сертифіката в агенті без відповідних приватних ключів на файловій системі. (bz # 2550)
  • sshd (8): відправляти ClientAliveInterval, коли встановлено RekeyLimit на основі часу; раніше збережені пакети не надсилалися. (bz # 2252)
  • OpenNTPD 6.0
  • Якщо одне обмеження & quot; обмеження & quot; зазначено, спробуйте всі повернені адреси, поки не буде досягнуто успіху, а не перша повернута адреса.
  • Знизити маржу помилки обмеження пропорційно кількості NTP-однолітків, щоб уникнути постійного повторного підключення, коли існує поганий однорівневий NTP.
  • Вимкнено підтримку датчика hotplug (4).
  • Додана підтримка для виявлення збоїв у підпрограмах обмежень.
  • Перемістив виконання обмежень з процесу ntp до батьківського процесу, що дозволило б краще розділити привілеї, оскільки процес ntp може бути додатково обмежений.
  • Виправлена ​​висока кількість процесорів, коли мережа не працює.
  • Виправлено різні витоки пам'яті.
  • Переключено на RMS для обчислень джиттера.
  • Єдині функції реєстрації з іншими базовими програмами OpenBSD.
  • Встановіть MOD_MAXERROR, щоб уникнути синхронного стану часу при використанні ntp_adjtime.
  • Виправлено заголовок HTTP Timestamp для синтаксичного аналізу, щоб використовувати портативну версію strptime (3).
  • Затруднені TLS для ntpd (8) обмежень, увімкнувши перевірку імені сервера.
  • LibreSSL 2.4.2
  • Видимі користувачем функції:
  • Виправлено деякі зламані посилання на сторінку в установці.
  • cert.pem було реорганізовано та синхронізовано з магазином сертифікатів Mozilla.
  • Виправлення надійності, виправлення помилки при аналізі певних елементів ASN.1 розміром понад 16K.
  • Впроваджено комплект шифрів IETF ChaCha20-Poly1305.
  • Виправлено пароль підказки від openssl (1) для правильної обробки ^ C.
  • Покращення коду:
  • Виправлено проблему сумісності nginx, додавши ціль будівництва "install_sw".
  • Змінено стандартну реалізацію EVP_aead_chacha20_poly1305 (3) до версії IETF, яка зараз є стандартною.
  • Перероблена обробка помилок у libtls, щоб помилки конфігурації були більш помітними.
  • Додана відсутня обробка помилок біля дзвінків bn_wexpand (3).
  • Додано виклики explicit_bzero (3) для звільнених об'єктів ASN.1.
  • Виправлені функції X509_ * set_object для повернення 0 при відмові виділення.
  • Незастосовне внутрішнє використання EVP_ [Cipher | Шифрування | розшифрування] _Фінал.
  • Виправлена ​​проблема, яка перешкоджає запуску алгоритму підписування DSA у постійне час, навіть якщо встановлено прапорець BN_FLG_CONSTTIME.
  • Виправлено кілька проблем у коді OCSP, що може призвести до неправильного формування та розбору запитів OCSP. Це покращує відсутність перевірки помилок при розборі часу в цих функціях та гарантує прийняття тільки форматів GENERALIZEDTIME для OCSP згідно з RFC 6960.
  • Виправлено наступні CVE:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • Оракул CVE-2016-2107-padding в перевірці AAC-NI CBC MAC
  • CVE-2016-2108 - пошкодження пам'яті в кодіровщіку ASN.1
  • CVE-2016-2109-ASN.1 BIO надмірної розподілу пам'яті.
  • Порти та пакети:
  • Новий інструмент proot (1) у дереві портів для створення пакетів у chroot.
  • Багато попередньо побудованих пакетів для кожної архітектури:
  • альфа: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Деякі основні моменти:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 та 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Перейти 1.6.3
  • Groff 1.22.3
  • JDK 7u80 і 8u72
  • KDE 3.5.10 і 4.14.3 (разом з основними новинами KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 і 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr і 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 і 2.4.44
  • PHP 5.5.37, 5.6.23 та 7.0.8
  • Postfix 3.1.1 і 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 та 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 та 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 та 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Як завжди, постійне вдосконалення сторінок вручну та іншої документації.
  • Система включає в себе наступні основні компоненти від зовнішніх постачальників:
  • Xenocara (Ця інформація базується на X.Org 7.7 з XServer 1.18.3 + патчі, Freetype 2.6.3, 2.11.1 FontConfig, Mesa 11.2.2, XTERM 322, xkeyboard-конфігурації 2,18 і більше)
  • GCC 4.2.1 (+ патчі) і 3.3.6 (+ патчі)
  • Perl 5.20.3 (+ патчі)
  • SQLite 3.9.2 (+ патчі)
  • NSD 4.1.10
  • Непов'язаний 1.5.9
  • Ncurses 5.7
  • Binutils 2,17 (+ патчі)
  • Gdb 6.3 (+ патчі)
  • Awk версії 10 серпня 2011 р.
  • Expat 2.1.1

Що нового у версії 6.1:

  • Нові / розширені платформи:
  • armv7:
  • Додано завантажувач EFI, тепер ядра завантажуються з FFS замість файлові системи FAT або EXT без заголовків U-Boot.
  • Одне ядро ​​та RamDisk тепер використовуються для всіх SoC.
  • Обладнання динамічно перелічується за допомогою плоского пристрою дерева (FDT) замість статичних таблиць на основі номерів ідентифікаторів плат.
  • Зображення для встановлення з мініатюри включають U-Boot 2016.07 з підтримкою корисних навантажень EFI.
  • вакс:
  • Вилучено.
  • Покращена підтримка апаратного забезпечення, у тому числі:
  • Новий драйвер послідовного GPIO контролера bytgpio (4).
  • Новий драйвер chvgpio (4) для контролера Intel GPXI Cherry View.
  • Новий драйвер maxrtc (4) для годинника реального часу Maxim DS1307.
  • Новий драйвер nvme (4) для інтерфейсу хоста контролера енергонезалежної пам'яті Express (NVMe).
  • Новий драйвер pcfrtc (4) для годинника реального часу NXP PCF8523.
  • Новий драйвер umb (4) для моделі мобільного широкосмугового інтерфейсу (MBIM).
  • Новий драйвер Ure (4) для пристроїв, що підтримують RealTek RTL8152 на базі 10/100 USB-Ethernet-пристроїв.
  • Новий драйвер utvfu (4) для пристроїв захоплення аудіо / відео на базі Fushicai USBTV007.
  • Драйвер iwm (4) тепер підтримує пристрої Intel Wireless 3165 та 8260 і працює надійніше в ядрах RAMDISK.
  • Підтримка пристроїв HID I2C із сигналами переривань GPIO була додана до dwiic (4).
  • Підтримка шин ширини шини, високошвидкісних режимів та передач DMA була додана до sdmmc (4), rtsx (4), sdhc (4) та imxesdhc (4).
  • Підтримка USB контролерів EHCI та OHCI на сокетах Octeon II
  • Багато USB-драйверів пристрою було включено в OpenBSD / octeon.
  • Покращена підтримка реалізації ACPI, скорочених апаратними засобами.
  • Покращена підтримка реалізації ACPI 5.0.
  • Крипто AES-NI тепер виконується без утримання блокування ядра.
  • Покращена підтримка AGP на машинах PowerPC G5.
  • Додано підтримку слота для карт пам'яті SD на платформах Intel Bay Trail.
  • Тепер драйвер iichiic (4) ігнорує переривання SMBALERT # для запобігання шторму переривання з використанням помилок BIOS.
  • Виправлені проблеми із приєднанням пристрою з драйвером axen (4).
  • Драйвер ral (4) стабільніший при навантаженні за допомогою пристроїв RT2860.
  • Проблеми з мертвими клавіатурами після відновлення були виправлені в драйвері pckbd (4).
  • Тепер драйвер RTSX (4) підтримує пристрої RTS522A.
  • Початкова підтримка MSI-X була додана.
  • Підтримка MSI-X у драйвері virtio (4).
  • Додано обхідний шлях для перезарядки апаратного DMA для драйвера постійного струму (4).
  • Тепер драйвер acpitz (4) обертає вентилятор після охолодження, якщо ACPI використовує гістерезис для активного охолодження.
  • Драйвер xhci (4) належним чином передає передачу з xHCI-сумісного BIOS.
  • Підтримка багатоконтактного вводу була додана до драйвера wsmouse (4).
  • Тепер драйвер uslcom (4) підтримує послідовну консоль контролерів Aruba 7xxx.
  • Тепер драйвер re (4) працює над розбитими світлодіодними конфігураціями в EEPROM пристроїв APU1.
  • Драйвер ehci (4) тепер працює над проблемами з контролерами ATI USB (наприклад, SB700).
  • Драйвер Xen (4) тепер підтримує конфігурацію domU під Qubes OS.
  • Покращення стільника в IEEE 802.11:
  • Блок логіки прийому блоків HT приймає наступний алгоритм, наведений у специфікації 802.11-2012.
  • За допомогою драйвера iwn (4) відстежується зміна захисту HT після підключення до 11n AP.
  • Бездротовий стек та кілька драйверів більш агресивно використовують RTS / CTS, щоб уникнути перешкод із застарілих пристроїв та прихованих вузлів.
  • Команда netstat (1) -W тепер показує інформацію про події 802.11n.
  • У режимі hostap не використовуйте повторно асоціативні ідентифікатори вузлів, які все ще кешуються. Виправлена ​​помилка, коли точка доступу за допомогою драйвера ral (4) зафіксується на швидкості 1 Мбіт / с, оскільки обчислення темпу трафіку траплялося на неправильному об'єкті вузла.
  • Загальні вдосконалення стека мережі:
  • Таблиця маршрутизації тепер заснована на АРТ, що пропонує швидкий пошук.
  • Кількість шляхів пошуку маршрутів в пакеті була зменшена до 1 на шляху переадресації.
  • Поле prio у заголовках VLAN тепер правильно встановлено на кожен фрагмент пакета IPv4, який виходить на інтерфейс vlan (4).
  • Увімкнено клонування пристрою для bpf (4). Це дозволяє системі мати лише один вузол пристрою BPF в / dev, який обслуговує всіх користувачів BPF (до 1024).
  • Черга Tx драйвера cnmac (4) тепер може оброблятися паралельно з рештою ядра.
  • Мережа вводу мережі тепер запускається у контексті потоку.
  • Покращення встановлювача:
  • оновлений список обмежених кодів користувачів
  • install.sh і upgrade.sh об'єднані в install.sub
  • оновлення автоматично запускає sysmerge (8) у пакетному режимі до fw_update (1)
  • питання та відповіді записуються у форматі, який може використовуватися як файл відповіді для використання автоінсталя (8)
  • Налаштування / usr / local встановлено на wxallowed під час встановлення
  • Демонстрації маршрутизації та інші покращення мережної мережі:
  • Додайте підтримку таблиці маршрутизації до rc.d (8) та rcctl (8).
  • Нехай nc (1) підтримує імена служб, крім номерів портів.
  • Додайте прапорці -M та -m TTL до nc (1).
  • Додайте підтримку AF_UNIX до tcpbench (1).
  • Виправлена ​​регресія в rarpd (8). Демон може зависати, якщо він довгий час простояв.
  • Додав параметр llprio в ifconfig (8).
  • Кілька програм, які використовують bpf (4), були модифіковані, щоб скористатися BPF (4) клонування пристрою, відкривши / dev / bpf0 замість циклічних пристроїв через / dev / bpf *. Ці програми включають: arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) і tcpdump (8). Бібліотека libpcap також була відповідно змінена.
  • Поліпшення безпеки:
  • Тепер W ^ X строго виконується за умовчанням; програма може її порушувати, лише якщо виконуваний файл позначений PT_OPENBSD_WXNEEDED і знаходиться на файловій системі, встановленої за допомогою параметра wxallowed mount (8). Оскільки занадто багато портів порушують W ^ X, встановлювач монтує / usr / local файлової системи за допомогою wxallowed. Це дозволяє базовій системі бути більш безпечною, якщо / usr / local - це окрема файлова система. Якщо ви не використовуєте жодних програм, які порушують W ^ X, то можете вручну скасувати цю опцію.
  • Сімейство функцій setjmp (3) тепер застосовує куки-файли XOR для стеків і повернення адрес у jmpbuf на amd64, hppa, i386, mips64 та powerpc.
  • Пом'якшення SROP: sigreturn (2) тепер може використовуватися тільки батутом сигнал, що надається ядром, з файлом cookie для виявлення спроб повторного використання.
  • Щоб запобігти повторному використанню коду, rc (8) повторно посилає libc.so при запуску, розміщуючи об'єкти у випадковому порядку.
  • У сім'ї функцій getpwnam (3) зупинити відкриття тіньової бази за замовчуванням.
  • Дозволити tcpdump (8) -r запускати без привілеїв root.
  • Видалити систрацію.
  • Видалити підтримку емуляції Linux.
  • Вилучити підтримку опції usermount.
  • Кеш TCP SYN періодично зберігає довільну хеш-функцію. Це запобігає зловмисникові обчислювати розподіл хеш-функції за допомогою атаки часу.
  • Щоб протидіяти атаці SYN, адміністратор може змінити розмір масиву хешів зараз. netstat (1) -s-p tcp показує відповідну інформацію для налаштування SYN-кеш-пам'яті за допомогою sysctl (8) net.inet.tcp.
  • Адміністратор може вимагати привілеї root для зв'язування деяких портів TCP і UDP за допомогою sysctl (8) net.inet.tcp.rootonly та sysctl (8) net.inet.udp.rootonly.
  • Видаліть покажчик функції з структури даних mbuf (9) і замість цього використовуйте індекс у масив прийнятних функцій.
  • Різноманітні вдосконалення:
  • Тепер бібліотека потоку може бути завантажена в один процес.
  • Поліпшення обробки символів та дотримання стандартів в libc. Наприклад, визначення функції open () більше не буде перешкоджати роботі fopen (3).
  • розділи PT_TLS тепер підтримуються в початково завантаженому об'єкті.
  • Покращено обробку "без шляхів" і "порожнього шляху" в fts (3).
  • У pcap (3) надайте функції pcap_free_datalinks () та pcap_offline_filter ().
  • Багато виправлень та структурна очистка в бібліотеці editline (3).
  • Видалити старі дБМ (3) функції; ndbm (3) залишається.
  • Додайте ключове слово setenv для більш потужної обробки середовища в doas.conf (5).
  • Додайте параметри -g та -p до aucat.1 для позиціонування часу.
  • Перезапишіть audioctl (1) за допомогою простішого інтерфейсу користувача.
  • Додайте параметр -F для встановлення (1) на fsync (2) файл, перш ніж закривати його.
  • Тепер kdump (1) скидає структури pollfd.
  • Покращити різноманітні деталі ksh (1) відповідності POSIX.
  • mknod (8) переписаний у стилі застави (2), і підтримує створення кількох пристроїв одночасно.
  • Застосувати rcctl (8), отримати все і getdef all.
  • Внесіть прапорець rcs (1) -I (інтерактивний).
  • У rcs (1), застосуйте ключову підстановку Mdocdate.
  • Угорі (1), дозвольте фільтрувати аргументи процесу, якщо вони відображаються.
  • Додана підтримка UTF-8 для згинання (1) та rev (1).
  • Увімкнути UTF-8 за умовчанням в xterm (1) та pod2man (1).
  • Відфільтруйте символи не ASCII в стіні (1).
  • Послідовно обробляйте змінну середовища COLUMNS у багатьох програмах.
  • Параметри -c і -k дозволяють надати сертифікати клієнта TLS для syslogd (8) у стороні відправки. При цьому сторона, яка приймає, може перевірити, чи журнальні повідомлення є автентичними. Зауважте, що syslogd ще не має цієї перевірки.
  • Коли буфер klog переповнюється, syslogd напише повідомлення журналу, щоб показати, що деякі записи відсутні.
  • У OpenBSD / octeon для підвищення продуктивності активовано буфер обміну кешу процесора.
  • pkg_add (1) та pkg_info (1) тепер розуміють поняття гілки, щоб полегшити вибір деяких популярних пакетів, таких як python або php, наприклад, скажіть pkg_add python% 3.4, щоб вибрати гілку 3.4, і скористатись pkg_info -zm для отримати нечіткий список з вибором гілки підходить для pkg_add -l.
  • fdisk (8) та pdisk (8) негайно вийти, якщо не передано спеціальне пристрій із символом
  • st (4) правильно відстежує поточний підрахунок блоків для блоків із змінним розміром
  • fsck_ext2fs (8) знову працює
  • softraid (4) обсяги можуть бути побудовані з дисками, які мають розмір сектора, відмінний від 512 байт
  • dhclient (8) DECLINE і відкидає невикористані ПРОПОЗИЦІЇ.
  • dhclient (8) негайно виходить, якщо його інтерфейс (наприклад, міст (4)) повертає EAFNOSUPPORT при відправленні пакета.
  • httpd (8) повертає 400 поганих запитів для запитів HTTP v0.9
  • Логічна ініціалізація ffs2 уникає обробки випадкових даних диска як inode
  • fcntl (2) виклики в базових програмах використовують idiom fcntl (n, F_GETFL) замість fcntl (n, F_GETFL, 0)
  • socket (2) і accept4 (2) виклики в базових програмах використовують SOCK_NONBLOCK, щоб уникнути необхідності окремого fcntl (2).
  • tmpfs не активовані за умовчанням
  • семантика вкладу застави (2) була покращена багатьма способами. Основні моменти включають в себе: нову обіцянку, яка дозволяє заставленим програмам встановлювати атрибути setugid, більш жорстке виконання обіцянок recvfd та chroot (2) більше не дозволяється для заставлених програм.
  • було виправлено ряд пов'язаних із заставною (2) помилок (відсутні обіцянки, ненавмисні зміни поведінки, аварії), зокрема в gzip (1), nc (1), sed (1), skeyinit (1), stty (1), а також різні утиліти, пов'язані з диском, такі як disklabel (8) та fdisk (8).
  • Виправлені помилки розрахунку розміру блоку у драйвері аудіо (4).
  • Драйвер usb (4) тепер кешує постачальників та ідентифікатори продуктів. Виправлення проблеми, за яким виклик usbdevs (8) у циклі, призведе до припинення роботи пристрою масової пам'яті USB.
  • Тепер драйвери rsu (4) та ural (4) знову працюють після того, як вони були випадково зламані в розділі 5.9.
  • OpenSMTPD 6.0.0
  • Безпека:
  • Внесіть шаблон fork + exec у smtpd (8).
  • Виправте помилку логіки на стані SMTP, яка може призвести до неправильного стану та призвести до збою.
  • Підключіть витік файлу, що може призвести до виснаження ресурсів і призвести до збою.
  • Використовуйте автоматичні параметри DH, а не фіксовані.
  • Вимкнути DHE за замовчуванням, оскільки це обчислювальна дорога та потенційний вектор DoS.
  • У версії 6.1 були представлені наступні вдосконалення:
  • Додайте параметр -r до smtpd (8) enqueuer для сумісності з mailx.
  • Додати пропущену дату або ідентифікатор повідомлення під час прослуховування в порту відправлення
  • Виправте "чергу показу smtpctl", яка повідомляє про "неправильний" стан конверта.
  • Переробіть формат заголовка "Отримано" так, щоб частина TLS не порушувала RFC.
  • Збільште кількість підключень, до яких дозволено встановлювати локальну адресу, і зменшіть затримку між транзакціями того ж сеансу.
  • Виправте доставку LMTP до серверів, які повертають черги продовження.
  • Подальше покращення API-фільтрів фільтрів, що ще експериментують, і виправити різні пов'язані проблеми.
  • Почніть покращувати та об'єднувати формат повідомлень журналу.
  • Виправте кілька невідповідностей документації та друкарських помилок на сторінках man.
  • OpenSSH 7.3
  • Безпека:
  • sshd (8): пом'якшити потенційну атаку на відмову від служби за допомогою крипту системи (3) за допомогою sshd (8). Зловмисник міг надсилати дуже довгі паролі, які можуть призвести до надмірного використання процесора в крипті (3). Тепер sshd (8) відмовляється приймати запити на авторизацію паролів довжиною більше 1024 символів.
  • sshd (8): пом'якшити відмінності часу в автентифікації паролів, які можуть бути використані для розпізнавання дійсних з недійсних імен облікових записів, коли надходили довгі паролі, і на сервері використовуються спеціальні алгоритми хешування паролів. CVE-2016-6210.
  • ssh (1), sshd (8): Виправте спостережувану слабкість синхронізації в контрзаходи оракула CBC. Зверніть увагу, що шифри CBC відключені за замовчуванням і включені лише для застарілих сумісностей.
  • ssh (1), sshd (8): поліпшити порядок підтвердження MAC для шифрування та потім-MAC (EtM) режиму транспортних алгоритмів MAC для перевірки MAC перед розшифровкою будь-якого шифрувального тексту. Це усуває можливість відмінності від часу, коли виникають факти про звичайний текст, хоча така витока не відома.
  • Нові / змінені функції:
  • ssh (1): додайте параметр ProxyJump та відповідний прапорець -J командного рядка, щоб спростити невдачу через один або декілька бастіонів SSH або "хостів для переходу".
  • ssh (1): додайте параметр IdentityAgent, щоб дозволити вказування конкретних агрегатних розеток, а не приймати його з середовища.
  • ssh (1): Дозволити ExitOnForwardFailure та ClearAllForwardings необов'язково перевизначити при використанні ssh -W. (bz # 2577)
  • ssh (1), sshd (8): реалізувати підтримку режиму термінала IUTF8 за черговим-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): додавання підтримки для додаткових фіксованих груп Діффі-Хеллмана 2K, 4K та 8K з draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): підтримка підпису SHA256 та SHA512 RSA в сертифікатах.
  • ssh (1): додайте директиву включення для ssh_config (5) файлів.
  • ssh (1): Дозволити символи UTF-8 в банери попередньої автентифікації, відправлені з сервера. (bz # 2058)
  • У версії 6.1 виправлено такі значні помилки:
  • У scp (1) та sftp (1) не допускайте закріплення параметрів терміналу, вибіраючи байти, не утворюючи символів ASCII або UTF-8.
  • ssh (1), sshd (8): зменшити рівень системного журналу деяких щодо поширених подій протоколу з LOG_CRIT. (bz # 2585)
  • sshd (8): Відмовтеся в AuthenticationMethods = "" в конфігураціях і прийміть AuthenticationMethods = будь-який для поведінки за замовчуванням, що не вимагає багатократної автентифікації. (bz # 2398)
  • sshd (8): видалити застарілий та вводящий в оману "ВАЖЛИВЕ ПІДПРИЄМНИЦТВО!" повідомлення, коли прямі та зворотні DNS не збігаються. (bz # 2585)
  • ssh (1): закрийте ControlPersist фонового процесу stderr за винятком режиму налагодження або при вході в системний журнал. (bz # 1988)
  • misc: Зробити опис протоколу PROTOCOL для прямого-потокового повідомлення@openssh.com. Відкриті повідомлення збігаються з розгорнутим кодом. (bz # 2529)
  • ssh (1): Дедуплікуйте записи LocalForward і RemoteForward для виправлення помилок, коли активовано як ExitOnForwardFailure, так і ініціалізацію хоста хоста. (bz # 2562)
  • sshd (8): видалити резервний модуль з застарілого "простих" файлів, які застаріли в 2001 році. (bz # 2559)
  • sshd_config (5): Правильне опис UseDNS: це впливає на обробку імені ssh для authorized_keys, не known_hosts. (bz # 2554)
  • ssh (1): Виправте аутентифікацію, використовуючи одиночні ключі сертифіката в агенті без відповідних приватних ключів на файловій системі. (bz # 2550)
  • sshd (8): відправляти ClientAliveInterval, коли встановлено RekeyLimit на основі часу; раніше збережені пакети не надсилалися. (bz # 2252)
  • OpenNTPD 6.0
  • Коли вказано одне "обмеження", спробуйте всі повернені адреси, доки не буде досягнуто успіху, а не перша повернута адреса.
  • Знизити маржу помилки обмеження пропорційно кількості NTP-однолітків, щоб уникнути постійного повторного підключення, коли існує поганий однорівневий NTP.
  • Вимкнено підтримку датчика hotplug (4).
  • Додана підтримка для виявлення збоїв у підпрограмах обмежень.
  • Перемістив виконання обмежень з процесу ntp до батьківського процесу, що дозволило б краще розділити привілеї, оскільки процес ntp може бути додатково обмежений.
  • Виправлена ​​висока кількість процесорів, коли мережа не працює.
  • Виправлено різні витоки пам'яті.
  • Переключено на RMS для обчислень джиттера.
  • Єдині функції реєстрації з іншими базовими програмами OpenBSD.
  • Встановіть MOD_MAXERROR, щоб уникнути синхронного стану часу при використанні ntp_adjtime.
  • Виправлено заголовок HTTP Timestamp для синтаксичного аналізу, щоб використовувати портативну версію strptime (3).
  • Затруднені TLS для ntpd (8) обмежень, увімкнувши перевірку імені сервера.
  • LibreSSL 2.4.2
  • Видимі користувачем функції:
  • Виправлено деякі зламані посилання на сторінку в установці.
  • cert.pem було реорганізовано та синхронізовано з магазином сертифікатів Mozilla.
  • Виправлення надійності, виправлення помилки при аналізі певних елементів ASN.1 розміром понад 16K.
  • Впроваджено комплект шифрів IETF ChaCha20-Poly1305.
  • Виправлено пароль підказки від openssl (1) для правильної обробки ^ C.
  • Покращення коду:
  • Виправлено проблему сумісності nginx, додавши ціль будівництва "install_sw".
  • Змінено стандартну реалізацію EVP_aead_chacha20_poly1305 (3) до версії IETF, яка зараз є стандартною.
  • Перероблена обробка помилок у libtls, щоб помилки конфігурації були більш помітними.
  • Додана відсутня обробка помилок біля дзвінків bn_wexpand (3).
  • Додано виклики explicit_bzero (3) для звільнених об'єктів ASN.1.
  • Виправлені функції X509_ * set_object для повернення 0 при відмові виділення.
  • Незастосовне внутрішнє використання EVP_ [Cipher | Шифрування | розшифрування] _Фінал.
  • Виправлена ​​проблема, яка перешкоджає запуску алгоритму підписування DSA у постійне час, навіть якщо встановлено прапорець BN_FLG_CONSTTIME.
  • Виправлено кілька проблем у коді OCSP, що може призвести до неправильного формування та розбору запитів OCSP. Це покращує відсутність перевірки помилок при розборі часу в цих функціях та гарантує прийняття тільки форматів GENERALIZEDTIME для OCSP згідно з RFC 6960.
  • Виправлено наступні CVE:
  • CVE-2016-2105-EVP_EncodeUpdate overflow.
  • CVE-2016-2106-EVP_EncryptUpdate overflow.
  • Оракул CVE-2016-2107-padding в перевірці AAC-NI CBC MAC
  • CVE-2016-2108 - пошкодження пам'яті в кодіровщіку ASN.1
  • CVE-2016-2109-ASN.1 BIO надмірної розподілу пам'яті.
  • Порти та пакети:
  • Новий інструмент proot (1) у дереві портів для створення пакетів у chroot.
  • Багато попередньо побудованих пакетів для кожної архітектури:
  • альфа: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Деякі основні моменти:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 та 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • Gimp 2.8.16
  • GNOME 3.20.2
  • Перейти 1.6.3
  • Groff 1.22.3
  • JDK 7u80 і 8u72
  • KDE 3.5.10 і 4.14.3 (разом з основними новинами KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 і 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr і 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 і 2.4.44
  • PHP 5.5.37, 5.6.23 та 7.0.8
  • Postfix 3.1.1 і 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 та 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 та 2.3.1
  • Rust 1.9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 та 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Як завжди, постійне вдосконалення сторінок вручну та іншої документації.
  • Система включає в себе наступні основні компоненти від зовнішніх постачальників:
  • Xenocara (на основі X.Org 7.7 з xserver 1.18.3 + патчі, freetype 2.6.3, fontconfig 2.11.1, Меса 11.2.2, xterm 322, xkeyboard-конфігурація 2.18 та інші)
  • GCC 4.2.1 (+ патчі) і 3.3.6 (+ патчі)
  • Perl 5.20.3 (+ патчі)
  • SQLite 3.9.2 (+ патчі)
  • NSD 4.1.10
  • Непов'язаний 1.5.9
  • Ncurses 5.7
  • Binutils 2,17 (+ патчі)
  • Gdb 6.3 (+ патчі)
  • Awk версії 10 серпня 2011 р.
  • Expat 2.1.1

Схожі програми

Mediainlinux
Mediainlinux

3 Jun 15

BoxmaX KS
BoxmaX KS

15 Apr 15

live-initramfs
live-initramfs

3 Jun 15

MOSIX
MOSIX

2 Jun 15

OpenBSD

Коментар не знайдено
додати коментар
Включіть картинки!
Пошук за категоріями