OpenBSD

Phần mềm chụp màn hình:
OpenBSD
Các chi tiết về phần mềm:
Phiên bản: 6.3 Cập nhật
Ngày tải lên: 17 Aug 18
Nhà phát triển: OpenBSD Team
Giấy phép: Miễn phí
Phổ biến: 325

Rating: 4.0/5 (Total Votes: 1)

OpenBSD là một dự án miễn phí cung cấp hệ điều hành đa nền tảng giống như UNIX, có thể di động, hiệu quả, bảo mật và dựa trên nền tảng 4.4BSD. Đây là một sản phẩm máy chủ mạnh mẽ được sử dụng trên hàng trăm nghìn máy tính trên toàn thế giới.


Tính khả dụng, tùy chọn khởi động, nền tảng được hỗ trợ

Hệ điều hành có sẵn miễn phí để tải xuống từ phần chuyên dụng (xem ở trên) dưới dạng các hình ảnh ISO hoặc các gói nhị phân cho phép người dùng cài đặt nó qua mạng. Các hình ảnh ISO có thể được ghi vào đĩa CD, có khả năng khởi động trực tiếp từ BIOS của hầu hết các PC.

OpenBSD hỗ trợ mô phỏng nhị phân của hầu hết các chương trình từ SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS và HP-UX. Nó có thể được cài đặt trên một loạt các kiến ​​trúc, bao gồm i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 và mips64el.

Ảnh đĩa CD khởi động tự động mà không cần tương tác với người dùng và sẽ hỏi xem liệu họ có muốn cài đặt, nâng cấp hoặc tự động cài đặt hệ điều hành theo cách thủ công hay không, cũng như thả vào dấu nhắc trình bao.

Cài đặt thủ công hoặc tự động

Cài đặt chuẩn (đọc: thủ công) sẽ yêu cầu người dùng chọn bố cục bàn phím, đặt tên máy chủ, chọn giao diện mạng và định cấu hình với IPv4 và / hoặc IPv6, cũng như đặt mật khẩu mới cho thư mục gốc ( quản trị viên hệ thống).

Ngoài ra, bạn có thể chọn khởi động dịch vụ SSH và NTP khi hệ thống khởi động, chọn nếu bạn muốn sử dụng Hệ thống Cửa sổ X hay không, thiết lập người dùng, chọn múi giờ, phân vùng ổ đĩa và cài đặt .

Trong số các gói phần mềm đi kèm có sẵn cho OpenBSD, chúng ta có thể đề cập đến môi trường máy tính để bàn GNOME, KDE và Xfce, máy chủ MySQL, PostgreSQL, Postfix và OpenLDAP, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim và ứng dụng Chromium, cũng như các ngôn ngữ lập trình PHP, Python, Ruby, Tcl / Tk, JDK, Mono và Go.


Tóm lại

Tóm tắt, OpenBSD là một hệ điều hành BSD / UNIX hướng đến máy chủ được đánh giá cao và mạnh mẽ, cung cấp cho chúng tôi phần mềm hiện đại, bao gồm OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED và uỷ quyền.

Có gì mới trong bản phát hành này:

  • Hỗ trợ phần cứng được cải thiện, bao gồm:
  • Hỗ trợ SMP trên nền tảng OpenBSD / arm64.
  • Hỗ trợ VFP và NEON trên nền tảng OpenBSD / armv7.
  • Trình điều khiển mới acrtc (4) cho codec âm thanh X-Powers AC100 và Đồng hồ thời gian thực.
  • Trình điều khiển trục mới (4) cho các IC quản lý nguồn điện X-Powers AXP.
  • Trình điều khiển bcmrng mới (4) cho trình tạo số ngẫu nhiên Broadcom BCM2835 / BCM2836 / BCM2837.
  • Trình điều khiển bcmtemp mới (4) cho màn hình nhiệt độ Broadcom BCM2835 / BCM2836 / BCM2837.
  • Trình điều khiển bgw (4) mới cho cảm biến chuyển động của Bosch.
  • Trình điều khiển bwfm mới (4) cho các thiết bị Broadcom và Cypress FullMAC 802.11 (vẫn còn thử nghiệm và không được biên dịch vào hạt nhân theo mặc định)
  • Trình điều khiển efi (4) mới cho các dịch vụ thời gian chạy EFI.
  • Trình điều khiển imxanatop mới (4) cho bộ điều chỉnh tích hợp i.MX6.
  • Trình điều khiển rkpcie (4) mới cho cầu nối Rockchip RK3399 Host / PCIe.
  • Trình điều khiển sxirsb (4) mới cho bộ điều khiển Bus Nối tiếp Giảm Toàn bộ.
  • Trình điều khiển sxitemp (4) mới cho màn hình nhiệt độ Allwinner.
  • Trình điều khiển sxits mới (4) cho bộ cảm biến nhiệt độ trên bộ điều khiển cảm ứng Allwinner A10 / A20.
  • Trình điều khiển sxitwi (4) mới dành cho xe buýt hai dây được tìm thấy trên một số SoC của Allwinner.
  • Trình điều khiển mới (4) cho bộ điều chỉnh Silergy SY8106A.
  • Hỗ trợ cho Rockchip RK3328 SoC đã được thêm vào trình điều khiển dwge (4), rkgrf (4), rkclock (4) và rkpinctrl (4).
  • Hỗ trợ cho Rockchip RK3288 / RK3328 SoC đã được thêm vào trình điều khiển rktemp (4).
  • Hỗ trợ cho Allwinner A10 / A20, A23 / A33, A80 và R40 / V40 SoC đã được thêm vào trình điều khiển sxiccmu (4).
  • Hỗ trợ cho Allwinner A33, GR8 và R40 / V40 SoC đã được thêm vào trình điều khiển sxipio (4).
  • Hỗ trợ cho SAS3.5 MegaRAID đã được thêm vào trình điều khiển mfii (4).
  • Hỗ trợ cho Intel Cannon Lake và Ice Lake tích hợp Ethernet đã được thêm vào trình điều khiển em (4).
  • cnmac (4) cổng hiện được gán cho các lõi CPU khác nhau để xử lý ngắt phân tán.
  • Trình điều khiển pms (4) hiện phát hiện và xử lý các thông báo đặt lại.
  • Bật amd64 mã vi mạch CPU Intel được tải khi khởi động và được cài đặt / cập nhật bởi fw_update (1).
  • Hỗ trợ API cookie gián đoạn hypervisor sun4v, thêm hỗ trợ cho các máy SPARC T7-1 / 2/4.
  • Hỗ trợ Hibernate đã được thêm vào bộ nhớ SD / MMC gắn với bộ điều khiển sdhc (4).
  • clang (1) hiện được sử dụng làm trình biên dịch hệ thống trên armv7 và nó cũng được cung cấp trên sparc64.
  • cải tiến vmm (4) / vmd (8):
  • Thêm hỗ trợ ISO CD-ROM / DVD vào vmd (8) qua vioscsi (4).
  • vmd (8) không còn tạo giao diện cầu nối cơ bản cho các công tắc ảo được định nghĩa trong vm.conf (5).
  • vmd (8) nhận thông tin chuyển đổi (rdomain, vv) từ giao diện chuyển đổi cơ bản cùng với các thiết lập trong vm.conf (5).
  • Hỗ trợ Bộ đếm Dấu thời gian (TSC) trong các máy ảo khách.
  • Hỗ trợ ukvm / Solo5 unikernels trong vmm (4).
  • Xử lý mã hóa lệnh hợp lệ (nhưng không phổ biến).
  • Hỗ trợ phân trang PAE tốt hơn cho máy khách Linux 32 bit.
  • vmd (8) hiện cho phép tối đa bốn giao diện mạng trong mỗi máy ảo.
  • Thêm di chuyển bị tạm dừng và hỗ trợ chụp nhanh vào vmm (4) cho máy chủ AMD SVM / RVI.
  • BREAK lệnh được gửi qua pty (4) hiện được hiểu bởi vmd (8).
  • Nhiều bản sửa lỗi để xử lý lỗi vmctl (8) và vmd (8).
  • Cải thiện ngăn xếp không dây IEEE 802.11:
  • Trình điều khiển iwm (4) và iwn (4) sẽ tự động chuyển vùng giữa các điểm truy cập chia sẻ ESSID. Bắt buộc địa chỉ MAC của AP cụ thể với lệnh bssid của ifconfig sẽ vô hiệu hóa chuyển vùng.
  • Tự động xóa các khóa WEP / WPA được định cấu hình khi cấu hình ESSID mạng mới.
  • Đã xóa khả năng cho userland đọc các khóa WEP / WPA được định cấu hình trở lại từ hạt nhân.
  • Trình điều khiển iwm (4) hiện có thể kết nối với mạng có SSID ẩn.
  • Các thiết bị USB được trình điều khiển athn (4) hỗ trợ hiện sử dụng phần mềm nguồn mở và chế độ lưu trữ hiện hoạt động với các thiết bị này.
  • Cải thiện ngăn xếp mạng chung:
  • Ngăn xếp mạng không còn chạy với KERNEL_LOCK () khi IPsec được bật.
  • Xử lý các gói TCP / UDP đến hiện được thực hiện mà không cần KERNEL_LOCK ().
  • Tác vụ ghép nối ổ cắm chạy mà không có KERNEL_LOCK ().
  • Dọn dẹp và xóa mã trong sys / netinet6 vì tính năng tự động định cấu hình chạy trong vùng người dùng ngay bây giờ.
  • cầu nối (4) thành viên hiện có thể được ngăn chặn để nói chuyện với nhau bằng tùy chọn được bảo vệ mới.
  • Tính năng gói tin chuyển hướng pf đã được đơn giản hóa. Tùy chọn ổ cắm IP_DIVERTFL đã bị xóa khỏi chuyển hướng (4).
  • Các trường hợp góc khác nhau của chuyển hướng pf và chuyển hướng trả lời đồng nhất hơn bây giờ.
  • Thực thi trong pf (4) rằng tất cả các gói khám phá lân cận có 255 trong trường giới hạn nhảy tiêu đề IPv6 của chúng.
  • Tùy chọn cài đặt đồng bộ hóa mới trong pf.conf (5).
  • Hỗ trợ GRE trên IPv6.
  • Trình điều khiển ví dụ mới (4) cho Ethernet qua đường hầm GRE.
  • Hỗ trợ cho tiêu đề khóa GRE tùy chọn và entropy phím GRE trong gre (4) và egre (4).
  • Trình điều khiển nvgre (4) mới cho Ảo hóa mạng bằng cách sử dụng đóng gói định tuyến chung.
  • Hỗ trợ định cấu hình các gói cờ Không Phân đoạn được gói gọn bởi giao diện đường hầm.
  • Cải tiến trình cài đặt:
  • nếu install.site hoặc upgrade.site không thành công, hãy thông báo cho người dùng và lỗi sau khi lưu trữ rand.seed.
  • cho phép ký hiệu CIDR khi nhập địa chỉ IPv4 và IPv6.
  • sửa chữa lựa chọn một gương HTTP từ danh sách các gương.
  • cho phép '-' trong tên người dùng.
  • đặt câu hỏi vào cuối quá trình cài đặt / nâng cấp để trả về vận chuyển gây ra hành động thích hợp, ví dụ: khởi động lại.
  • hiển thị nhắc nhở về chế độ (cài đặt hoặc nâng cấp) miễn là không có tên máy chủ nào được biết.
  • phát hiện chính xác giao diện nào có tuyến đường mặc định và nếu nó được định cấu hình qua DHCP.
  • đảm bảo có thể đọc bộ từ khu vực tìm nạp trước.
  • đảm bảo chuyển hướng URL có hiệu lực cho toàn bộ quá trình cài đặt / nâng cấp.
  • thêm proxy HTTP được sử dụng khi tìm nạp tập hợp vào rc.firsttime, trong đó fw_update và syspatch có thể tìm và sử dụng nó.
  • thêm logic để hỗ trợ RFC 7217 với SLAAC.
  • đảm bảo rằng IPv6 được định cấu hình cho các giao diện mạng được tạo động như vlan (4).
  • tạo tên máy chủ đúng khi cả hai tùy chọn tên miền và tìm kiếm tên miền được cung cấp trong hợp đồng thuê DHCP.
  • Các trình tiện ích định tuyến và các cải tiến mạng của người dùng khác:
  • bgpctl (8) có một tùy chọn ssv mới, kết quả đầu ra của các mục nhập sườn như một dấu chấm phẩy được tách riêng như để chọn trước khi xuất.
  • slaacd (8) tạo địa chỉ tự động định cấu hình IPv6 không chính xác nhưng ổn định theo RFC 7217. Các địa chỉ này được bật theo mặc định theo RFC 8064.
  • slaacd (8) theo RFC 4862 bằng cách loại bỏ giới hạn nhân tạo trên / 64 tiền tố có kích thước bằng cách sử dụng địa chỉ RFC 7217 (ngẫu nhiên nhưng ổn định) và RFC 4941 (bảo mật) kiểu tự động định cấu hình trạng thái không quốc gia.
  • ospfd (8) hiện có thể đặt chỉ số cho tuyến đường tùy thuộc vào trạng thái của giao diện.
  • ifconfig (8) có tùy chọn staticarp mới để làm cho giao diện chỉ trả lời các yêu cầu ARP.
  • ipsecctl (8) bây giờ có thể thu gọn kết quả đầu ra luồng có cùng nguồn hoặc đích.
  • Tùy chọn -n trong netstart (8) không còn lộn xộn với tuyến đường mặc định nữa. Nó bây giờ cũng được ghi lại.
  • Cải tiến bảo mật:
  • Sử dụng nhiều bẫy hơn trên các kiến ​​trúc khác nhau.
  • Sử dụng nhiều hơn .rodata cho các biến không đổi trong nguồn lắp ráp.
  • Ngừng sử dụng x86 & quot; repz ret & quot; ở những góc bụi cây.
  • Giới thiệu & quot; execpromises & quot; trong cam kết (2).
  • Tiện ích elfrdsetroot được sử dụng để xây dựng các đĩa RAM và quá trình theo dõi phục hồi (8) giờ đây sử dụng cam kết (2).
  • Chuẩn bị cho việc giới thiệu MAP_STACK đến mmap (2) sau 6.3.
  • Đẩy một đoạn văn bản hạt nhân được liên kết với KARL vào trình tạo số ngẫu nhiên dưới dạng entropy khi khởi động.
  • Đặt một khoảng cách ngẫu nhiên nhỏ ở đầu ngăn xếp chuỗi, để kẻ tấn công có một phép tính khác để thực hiện cho công việc ROP của họ.
  • Giảm thiểu lỗ hổng cho Meltdown cho CPU amd64 thương hiệu Intel.
  • OpenBSD / arm64 hiện sử dụng phân tách bảng trang hạt nhân để giảm thiểu các cuộc tấn công Spectre variant 3 (Meltdown).
  • OpenBSD / armv7 và OpenBSD / arm64 hiện đang xóa Bộ đệm Nhắm mục tiêu Chi nhánh (BTB) trên các bộ xử lý thực thi đầu cơ để giảm thiểu các cuộc tấn công Spectre variant 2.
  • pool_get (9) perturb thứ tự của các mục trên các trang mới được phân bổ, làm cho bố cục heap hạt nhân khó dự đoán hơn.
  • Lệnh gọi hệ thống fktrace (2) đã bị xóa.
  • cải tiến dhclient (8):
  • Phân tích cú pháp dhclient.conf (5) không còn rò rỉ các chuỗi SSID, các chuỗi quá dài đối với bộ đệm phân tích cú pháp hoặc các tùy chọn và chuỗi lặp đi lặp lại.
  • Việc lưu trữ các hợp đồng thuê trong dhclient.conf (5) không còn được hỗ trợ nữa.
  • 'DENY' không còn hợp lệ trong dhclient.conf (5).
  • dhclient.conf (5) và dhclient.leases (5) thông báo lỗi phân tích cú pháp đã được đơn giản hóa và làm rõ, với hành vi được cải thiện khi có dấu chấm phẩy bất ngờ.
  • Việc chăm sóc thêm được thực hiện để chỉ sử dụng thông tin cấu hình đã được phân tích cú pháp thành công.
  • '- n' đã được thêm vào, làm cho dhclient (8) thoát ra sau khi phân tích cú pháp dhclient.conf (5).
  • Các tuyến mặc định trong các tùy chọn không có đường dẫn-tĩnh-tuyến (121) và không có lớp-ms-static-tuyến đường (249) bây giờ được đại diện chính xác trong dhclient.leases (5) tập tin.
  • Ghi đè tệp được chỉ định bằng '-L' thay vì thêm vào tệp.
  • Cho thuê trong dhclient.leases (5) bây giờ chứa thuộc tính 'epoch' ghi lại thời gian hợp đồng thuê được chấp nhận, được sử dụng để tính toán gia hạn chính xác, thời gian trả lại và hết hạn.
  • Không còn nag về dấu gạch dưới trong các tên vi phạm RFC 952.
  • Vô điều kiện gửi thông tin tên máy chủ lưu trữ khi yêu cầu thuê, loại bỏ nhu cầu dhclient.conf (5) trong cài đặt mặc định.
  • Hãy im lặng theo mặc định. '-q' đã bị xóa và '-v' được thêm để bật ghi nhật ký chi tiết.
  • Từ chối các phiếu mua hàng trùng lặp cho địa chỉ được yêu cầu.
  • Vô điều kiện chuyển sang nền sau các giây hết thời gian chờ liên kết.
  • Giảm đáng kể việc ghi nhật ký khi im lặng, nhưng làm cho '-v' ghi nhật ký tất cả thông tin gỡ lỗi mà không cần phải biên dịch tệp thực thi tùy chỉnh.
  • Bỏ qua các câu lệnh 'giao diện' trong dhclient.leases (5) và giả định tất cả các hợp đồng thuê trong tệp là dành cho giao diện đang được định cấu hình.
  • Hiển thị nguồn của hợp đồng thuê được liên kết với giao diện.
  • 'bỏ qua', 'yêu cầu' và 'yêu cầu' khai báo trong dhclient.conf (5) bây giờ thêm các tùy chọn được chỉ định vào danh sách có liên quan thay vì thay thế danh sách.
  • Loại bỏ cuộc đua khởi động có thể dẫn đến việc thoát ra ngoài (8) mà không định cấu hình giao diện.
  • Các cải tiến khác nhau:
  • Sắp xếp lại mã và các cải tiến khác cho malloc (3) và bạn bè để làm cho chúng hiệu quả hơn.
  • Khi thực hiện các hoạt động tạm ngưng hoặc ngủ đông, hãy đảm bảo tất cả các hệ thống tệp được đồng bộ hóa chính xác và được đánh dấu là sạch hoặc nếu chúng không được đặt vào trạng thái sạch hoàn toàn trên đĩa (do tệp mở + hủy liên kết), hãy đánh dấu chúng là bẩn. / unhibernate được đảm bảo thực hiện fsck (8).
  • acme-client (1) tự động phát hiện URL thỏa thuận và thực hiện theo chuyển hướng HTTP 30x.
  • Đã thêm __cxa_thread_atexit () để hỗ trợ chuỗi công cụ C ++ hiện đại.
  • Đã thêm hỗ trợ EVFILT_DEVICE vào kqueue (2) để theo dõi các thay đổi đối với thiết bị drm (4).
  • ldexp (3) bây giờ xử lý dấu hiệu của các số không chính xác một cách chính xác trên mips64.
  • Các hàm mới (3) trong libm.
  • fdisk (8) bây giờ đảm bảo tính hợp lệ của các khoảng trống phân vùng MBR được nhập trong khi chỉnh sửa.
  • fdisk (8) bây giờ đảm bảo rằng các giá trị mặc định nằm trong phạm vi hợp lệ.
  • ít hơn (1) bây giờ chỉ chia nhỏ biến môi trường LESS trên '$'.
  • ít (1) không còn tạo tệp giả khi gặp '$' trong lệnh ban đầu.
  • softraid (4) bây giờ xác nhận số lượng các khối khi lắp ráp một ổ đĩa, đảm bảo siêu dữ liệu trên đĩa và trong bộ nhớ được đồng bộ hóa.
  • disklabel (8) bây giờ luôn cung cấp để chỉnh sửa kích thước phân đoạn của phân vùng FFS trước khi cung cấp để chỉnh sửa các khối.
  • disklabel (8) bây giờ cho phép chỉnh sửa thuộc tính cylinders / group (cpg) bất cứ khi nào có thể chỉnh sửa khối phân vùng.
  • disklabel (8) bây giờ phát hiện ^ D và đầu vào không hợp lệ trong các lệnh (es) esize.
  • nhãn đĩa (8) bây giờ phát hiện các dòng và tràn khi các toán tử - / + được sử dụng.
  • nhãn đĩa (8) bây giờ tránh một off-by-one khi tính toán số lượng xi lanh trong một đoạn miễn phí.
  • nhãn đĩa (8) bây giờ xác nhận kích thước phân vùng được yêu cầu dựa trên kích thước của phần lớn nhất miễn phí thay vì tổng dung lượng trống.
  • Hỗ trợ bán phá giá chuyển qua USB qua bpf (4).
  • tcpdump (8) bây giờ có thể hiểu các bãi của các truyền USB ở định dạng USBPcap.
  • Các lời nhắc mặc định của csh (1), ksh (1) và sh (1) hiện bao gồm tên máy chủ.
  • Cấp phát bộ nhớ trong ksh (1) đã được chuyển từ calloc (3) trở lại thành malloc (3), giúp dễ dàng nhận ra bộ nhớ chưa được khởi tạo. Kết quả là, một lỗi liên quan đến lịch sử trong chế độ chỉnh sửa emacs đã được phát hiện và sửa lỗi.
  • Tùy chọn tập lệnh mới (1) -c để chạy lệnh thay vì một trình bao.
  • Tùy chọn grep (1) -m mới để giới hạn số lượng kết quả phù hợp.
  • Tùy chọn uniq (1) -i mới để so sánh phân biệt chữ hoa chữ thường.
  • Chuỗi định dạng printf (3) không còn được xác thực khi tìm kiếm% định dạng. Dựa trên cam kết của android và sau hầu hết các hệ điều hành khác.
  • Cải thiện kiểm tra lỗi trong vfwprintf (3).
  • Nhiều chương trình cơ sở đã được kiểm tra và cố định cho các bộ mô tả tệp cũ, bao gồm cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) và sshd (8).
  • Sửa nhiều lỗi và cải tiến trong jot (1):
  • Giới hạn độ dài tùy ý cho các đối số cho các tùy chọn -b, -s, -w đã bị xóa.
  • Trình định dạng% F định dạng hiện được hỗ trợ và một lỗi ở định dạng% D đã được sửa.
  • Phạm vi mã tốt hơn trong các thử nghiệm hồi quy.
  • Một số lỗi tràn bộ đệm đã được sửa.
  • Tiện ích vá (1) bây giờ đối phó tốt hơn với các git diffs tạo hoặc xóa các tệp.
  • pkg_add (1) hiện đã cải thiện hỗ trợ cho các trình chuyển hướng HTTP (S) chẳng hạn như cdn.openbsd.org.
  • ftp (1) và pkg_add (1) hiện hỗ trợ nối lại phiên HTTPS để cải thiện tốc độ.
  • mandoc (1) -Tích thước tệp đầu ra ps đã giảm hơn 50%.
  • nhật ký syslogd (8) nếu có cảnh báo trong khi khởi động.
  • syslogd (8) đã ngừng đăng nhập vào các tệp trong hệ thống tệp đầy đủ. Bây giờ nó viết một cảnh báo và tiếp tục sau khi không gian đã được tạo sẵn.
  • vmt (4) giờ đây cho phép sao chép và chụp các ảnh chụp nhanh chỉ trên đĩa của khách chạy.
  • OpenSMTPD 6.0.4
  • Thêm tùy chọn đi bộ spf vào smtpctl (8).
  • Các loại dọn dẹp và cải tiến.
  • Nhiều bản sửa lỗi và cải tiến trang thủ công.
  • OpenSSH 7.7
  • Các tính năng mới / đã thay đổi:
  • Tất cả: Thêm hỗ trợ thử nghiệm cho các khóa PQC XMSS (Chữ ký Hash mở rộng) dựa trên thuật toán được mô tả trong https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Mã chữ ký XMSS là thử nghiệm và không được biên dịch theo mặc định.
  • sshd (8): Thêm & quot; tên miền phụ & quot; tiêu chí cho từ khóa đối sánh sshd_config để cho phép cấu hình có điều kiện phụ thuộc vào miền định tuyến mà kết nối đã nhận được trên (hiện được hỗ trợ trên OpenBSD và Linux).
  • sshd_config (5): Thêm một vòng loại tên miền phụ tùy chọn vào chỉ thị ListenAddress để cho phép nghe trên các miền định tuyến khác nhau. Điều này chỉ được hỗ trợ trên OpenBSD và Linux.
  • sshd_config (5): Thêm chỉ thị RDomain để cho phép phiên được xác thực được đặt trong miền định tuyến rõ ràng. Điều này chỉ được hỗ trợ trên OpenBSD hiện tại.
  • sshd (8): Thêm & quot; thời gian hết hạn & quot; tùy chọn cho các tệp authorized_keys để cho phép các khóa hết hạn.
  • ssh (1): Thêm tùy chọn BindInterface để cho phép ràng buộc kết nối gửi đi đến địa chỉ của giao diện (về cơ bản là BindAddress có thể sử dụng nhiều hơn).
  • ssh (1): Hiển thị thiết bị được cấp phát để chuyển tiếp điều chỉnh / chạm thông qua mở rộng% T mới cho LocalCommand. Điều này cho phép LocalCommand được sử dụng để chuẩn bị giao diện.
  • sshd (8): Hiển thị thiết bị được cấp phát để chuyển tiếp điều chỉnh / chạm qua một biến môi trường SSH_TUNNEL mới. Điều này cho phép tự động thiết lập giao diện và cấu hình mạng xung quanh trên máy chủ.
  • ssh (1) / scp (1) / sftp (1): Thêm hỗ trợ URI vào ssh, sftp và scp, ví dụ: ssh: // user @ host hoặc sftp: // user @ host / path. Tham số kết nối bổ sung được mô tả trong draft-ietf-secsh-scp-sftp-ssh-uri-04 không được triển khai vì định dạng vân tay ssh trong bản nháp sử dụng hàm băm MD5 không được chấp nhận mà không có cách nào để chỉ định bất kỳ thuật toán nào khác.
  • ssh-keygen (1): Cho phép các khoảng thời gian hiệu lực của chứng chỉ chỉ định thời gian bắt đầu hoặc dừng (thay vì cả hai hoặc không).
  • sftp (1): Cho phép & quot; cd & quot; và & quot; màn hình LCD & quot; lệnh không có đối số đường dẫn rõ ràng. lcd sẽ thay đổi thành thư mục chủ của người dùng cục bộ như thường lệ. cd sẽ thay đổi thành thư mục khởi đầu cho phiên làm việc (vì giao thức không cung cấp cách nào để lấy thư mục chủ của người dùng từ xa). bz # 2760
  • sshd (8): Khi thực hiện kiểm tra cấu hình với sshd -T, chỉ yêu cầu các thuộc tính thực sự được sử dụng trong tiêu chí Đối sánh thay vì (danh sách không đầy đủ) tất cả các tiêu chí.
  • Các lỗi quan trọng sau đã được khắc phục trong bản phát hành này:
  • ssh (1) / sshd (8): Kiểm tra chặt chẽ các loại chữ ký trong khi trao đổi khóa so với những gì đã được thương lượng. Ngăn chặn hạ cấp các chữ ký RSA được thực hiện với SHA-256/512 thành SHA-1.
  • sshd (8): Khắc phục sự hỗ trợ cho khách hàng quảng cáo phiên bản giao thức & quot; 1,99 & quot; (chỉ ra rằng chúng được chuẩn bị để chấp nhận cả SSHv1 và SSHv2). Điều này đã bị hỏng trong OpenSSH 7.6 trong khi loại bỏ hỗ trợ SSHv1. bz # 2810
  • ssh (1): Cảnh báo khi tác nhân trả về chữ ký ssh-rsa (SHA1) khi yêu cầu chữ ký rsa-sha2-256 / 512. Điều kiện này là có thể khi một tác nhân cũ hoặc không OpenSSH được sử dụng. bz # 2799
  • ssh-agent (1): Sửa lỗi hồi quy được giới thiệu trong 7.6 khiến ssh-agent thoát ra ngoài nếu xuất hiện một thông báo yêu cầu chữ ký không hợp lệ.
  • sshd_config (5): Chấp nhận tùy chọn cờ có / không có phân biệt chữ hoa chữ thường, như đã xảy ra trong ssh_config (5) trong một thời gian dài. bz # 2664
  • ssh (1): Cải thiện báo cáo lỗi cho các lỗi trong khi kết nối. Trong một số trường hợp, các lỗi gây hiểu lầm đang được hiển thị. bz # 2814
  • ssh-keyscan (1): Thêm tùy chọn -D để cho phép in kết quả trực tiếp ở định dạng SSHFP. bz # 2821
  • kiểm tra hồi quy: khắc phục thử nghiệm tương tác PuTTY bị hỏng trong lần xóa SSHv1 của bản phát hành cuối cùng. bz # 2823
  • ssh (1): Khắc phục sự cố tương thích đối với một số máy chủ đã hủy kết nối sai khi tùy chọn IUTF8 (RFC8160) được gửi.
  • scp (1): Vô hiệu hóa RemoteCommand và RequestTTY trong phiên ssh bắt đầu bằng scp (sftp đã làm việc này.)
  • ssh-keygen (1): Từ chối tạo chứng chỉ với số hiệu trưởng không sử dụng được.
  • ssh-keygen (1): Thoát ra nếu ssh-keygen không thể ghi tất cả khóa công khai trong khi tạo khóa. Trước đây, nó sẽ bỏ qua các lỗi khi viết nhận xét và chấm dứt dòng mới.
  • ssh (1): Không sửa đổi các đối số tên máy chủ là các địa chỉ bằng cách tự động buộc chúng trở thành chữ thường. Thay vào đó, chuẩn hóa chúng để giải quyết sự mơ hồ (ví dụ: 0001 = & gt; :: 1) trước khi chúng được đối sánh với known_hosts. bz # 2763
  • ssh (1): Không chấp nhận thư rác sau & quot; có & quot; hoặc & quot; không & quot; phản hồi lời nhắc máy chủ lưu trữ. bz # 2803
  • sftp (1): Có sftp in một cảnh báo về sự sạch sẽ vỏ khi giải mã gói đầu tiên không thành công, thường được gây ra bởi vỏ gây ô nhiễm stdout của khởi động không tương tác. bz # 2800
  • ssh (1) / sshd (8): Chuyển đổi bộ đếm thời gian trong mã gói từ việc sử dụng đồng hồ treo tường thành thời gian đơn điệu, cho phép lớp gói hoạt động tốt hơn trên một bước đồng hồ và tránh các số nguyên có thể tràn trong các bước.
  • Nhiều bản sửa lỗi và cải tiến trang thủ công.
  • LibreSSL 2.7.2
  • Đã thêm hỗ trợ cho nhiều API OpenSSL 1.0.2 và 1.1, dựa trên các quan sát về việc sử dụng trong thế giới thực trong các ứng dụng. Chúng được triển khai song song với các API OpenSSL 1.0.1 hiện tại - những thay đổi về mức hiển thị chưa được thực hiện cho các cấu trúc hiện có, cho phép mã được viết cho các API OpenSSL cũ hơn để tiếp tục làm việc.
  • Các sửa đổi, cải tiến và bổ sung mở rộng đối với tài liệu API, bao gồm các API công khai mới từ OpenSSL không có tài liệu có sẵn.
  • Đã thêm hỗ trợ cho việc khởi tạo thư viện tự động trong libcrypto, libssl và libtls. Hỗ trợ cho pthread_once hoặc tương đương tương đương hiện được yêu cầu của hệ điều hành đích. Là một tác dụng phụ, hỗ trợ Windows tối thiểu là Vista hoặc cao hơn.
  • Đã chuyển đổi nhiều phương thức xử lý gói hơn thành CBB, giúp cải thiện khả năng phục hồi khi tạo thông điệp TLS.
  • Đã hoàn tất ghi đè xử lý tiện ích mở rộng TLS, cải thiện tính nhất quán của các kiểm tra đối với các tiện ích mở rộng không đúng định dạng và trùng lặp.
  • Viết lại ASN1_TYPE_ {get, set} _octetstring () bằng cách sử dụng templated ASN.1. Thao tác này sẽ xóa lần sử dụng còn lại cuối cùng của các macro M_ASN1_ * cũ (asn1_mac.h) khỏi API cần tiếp tục tồn tại.
  • Đã thêm hỗ trợ cho việc tiếp tục phiên phía máy khách trong libtls. Ứng dụng khách libtls có thể chỉ định mô tả tệp phiên (tệp thông thường có quyền sở hữu và quyền thích hợp) và libtls sẽ quản lý việc đọc và ghi dữ liệu phiên trên các lần bắt tay TLS.
  • Cải thiện hỗ trợ cho việc căn chỉnh chặt chẽ trên kiến ​​trúc ARMv7, điều kiện cho phép lắp ráp trong những trường hợp đó.
  • Đã sửa lỗi rò rỉ bộ nhớ trong libtls khi sử dụng lại tls_config.
  • Đã hợp nhất thêm hỗ trợ DTLS vào đường dẫn mã TLS thông thường, xóa mã trùng lặp.
  • Cổng và gói:
  • dpb (1) và các cổng bình thường (7) hiện có thể sử dụng cùng một mô hình được phân tách đặc quyền bằng cách đặt PORTS_PRIVSEP = Có
  • Nhiều gói được tạo sẵn cho mỗi kiến ​​trúc:
  • aarch64: 7990
  • alpha: 1
  • amd64: 9912
  • cánh tay: XXXX
  • hppa: XXXX
  • i386: 9861
  • mips64: 8149
  • mips64el: XXXX
  • powerpc: XXXX
  • sh: 1
  • sparc64: XXXX
  • Một số điểm nổi bật:
  • AFL 2.52b
  • CMake 3.10.2
  • Chromium 65.0.3325.181
  • Emacs 21.4 và 25.3
  • GCC 4.9.4
  • GHC 8.2.2
  • Gimp 2.8.22
  • GNOME 3.26.2
  • Đi 1.10
  • Groff 1.22.3
  • JDK 8u144
  • KDE 3.5.10 và 4.14.3 (cộng với bản cập nhật cốt lõi của KDE4)
  • LLVM / Clang 5.0.1
  • LibreOffice 6.0.2.1
  • Lua 5.1.5, 5.2.4 và 5.3.4
  • MariaDB 10.0.34
  • Mozilla Firefox 52.7.3esr và 59.0.2
  • Mozilla Thunderbird 52.7.0
  • Mutt 1.9.4 và NeoMutt 20180223
  • Node.js 8.9.4
  • Ocaml 4.03.0
  • OpenLDAP 2.3.43 và 2.4.45
  • PHP 5.6.34 và 7.0.28
  • Postfix 3.3.0 và 3.4-20180203
  • PostgreSQL 10.3
  • Python 2.7.14 và 3.6.4
  • R 3.4.4
  • Ruby 2.3.6, 2.4.3 và 2.5.0
  • Gỉ 1.24.0
  • Sendmail 8.16.0.21
  • SQLite3 3.22.0
  • Sudo 1.8.22
  • Tcl / Tk 8.5.19 và 8.6.8
  • TeX Live 2017
  • Vim 8.0.1589
  • Xfce 4.12
  • Như thường lệ, các cải tiến ổn định trong các trang thủ công và tài liệu khác.
  • Hệ thống bao gồm các thành phần chính sau đây từ các nhà cung cấp bên ngoài:
  • Xenocara (dựa trên X.Org 7.7 với xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 và hơn thế nữa)
  • LLVM / Clang 5.0.1 (+ bản vá lỗi)
  • GCC 4.2.1 (+ các bản vá lỗi) và 3.3.6 (+ các bản vá lỗi)
  • Perl 5.24.3 (+ các bản vá lỗi)
  • NSD 4.1.20
  • Chưa cam kết 1.6.8
  • Ncurses 5.7
  • Binutils 2.17 (+ bản vá lỗi)
  • Gdb 6.3 (+ bản vá lỗi)
  • Awk ngày 10 tháng 8 năm 2011
  • Người nước ngoài 2.2.5

Tính năng mới trong phiên bản 6.2:

  • Nền tảng mới / mở rộng:
  • armv7:
  • Bộ tải khởi động EFI được thêm vào, các hạt nhân hiện được tải từ FFS thay vì hệ thống tệp FAT hoặc EXT, không có tiêu đề U-Boot.
  • Một hạt nhân và đĩa RAM hiện được sử dụng cho tất cả các SoC.
  • Phần cứng được liệt kê động qua Cây Thiết bị Phẳng (FDT) thay vì thông qua các bảng tĩnh dựa trên các số id của bảng.
  • Hình ảnh trình cài đặt Miniroot bao gồm U-Boot 2016.07 với hỗ trợ cho các tải trọng EFI.
  • vax:
  • Đã xóa.
  • Hỗ trợ phần cứng được cải thiện, bao gồm:
  • Trình điều khiển bytgpio (4) mới cho bộ điều khiển GPIO Intel Bay Trail.
  • Trình điều khiển chvgpio mới (4) cho bộ điều khiển GPIO Intel Cherry View.
  • Trình điều khiển mới maxrtc (4) cho đồng hồ thời gian thực Maxim DS1307.
  • Trình điều khiển nvme (4) mới cho giao diện bộ điều khiển máy chủ lưu trữ không nhanh (NVMe).
  • Trình điều khiển mới pcfrtc (4) cho đồng hồ thời gian thực NXP PCF8523.
  • Trình điều khiển umb (4) mới cho Mô hình Giao diện Băng rộng Di động (MBIM).
  • Trình điều khiển ure (4) mới cho các thiết bị Ethernet 10/100 của RealTek RTL8152 dựa trên.
  • Trình điều khiển utvfu mới (4) cho các thiết bị quay video / âm thanh dựa trên Fushicai USBTV007.
  • Trình điều khiển iwm (4) hiện hỗ trợ các thiết bị Intel Wireless 3165 và 8260 và hoạt động đáng tin cậy hơn trong hạt nhân RAMDISK.
  • Hỗ trợ cho các thiết bị I2C HID có ngắt tín hiệu GPIO đã được thêm vào dwiic (4).
  • Hỗ trợ cho chiều rộng bus lớn hơn, chế độ tốc độ cao và chuyển DMA đã được thêm vào sdmmc (4), rtsx (4), sdhc (4) và imxesdhc (4).
  • Hỗ trợ cho bộ điều khiển USB tương thích với EHCI và OHCI trên Octeon II SoC.
  • Nhiều trình điều khiển thiết bị USB đã được bật trên OpenBSD / octeon.
  • Cải thiện hỗ trợ cho việc triển khai ACPI giảm phần cứng.
  • Cải thiện hỗ trợ cho việc triển khai ACPI 5.0.
  • Mật mã AES-NI hiện đã được thực hiện mà không cần giữ khóa hạt nhân.
  • Hỗ trợ AGP được cải tiến trên các máy PowerPC G5.
  • Đã thêm hỗ trợ cho khe cắm thẻ SD trong các SoC của Đường bay Intel Bay.
  • Trình điều khiển ichiic (4) bây giờ bỏ qua SMBALERT # ngắt để ngăn chặn một cơn bão gián đoạn với việc triển khai BIOS lỗi.
  • Các vấn đề về tập tin đính kèm thiết bị với trình điều khiển trục (4) đã được sửa.
  • Trình điều khiển ral (4) ổn định hơn khi tải với các thiết bị RT2860.
  • Sự cố với bàn phím đã chết sau khi tiếp tục đã được sửa trong trình điều khiển pckbd (4).
  • Trình điều khiển rtsx (4) hiện hỗ trợ các thiết bị RTS522A.
  • Hỗ trợ ban đầu cho MSI-X đã được thêm.
  • Hỗ trợ MSI-X trong trình điều khiển virtio (4).
  • Đã thêm giải pháp khắc phục phần cứng DMA cho trình điều khiển dc (4).
  • Trình điều khiển acpitz (4) giờ quay quạt xuống sau khi làm mát nếu ACPI sử dụng độ trễ để làm mát hoạt động.
  • Trình điều khiển xhci (4) giờ đây thực hiện việc chuyển handoff từ một BIOS có khả năng xHCI một cách chính xác.
  • Hỗ trợ cho đầu vào đa chạm đã được thêm vào trình điều khiển wsmouse (4).
  • Trình điều khiển uslcom (4) hiện hỗ trợ bảng điều khiển nối tiếp của các bộ điều khiển không dây Aruba 7xxx.
  • Trình điều khiển lại (4) hiện hoạt động xung quanh các cấu hình LED bị hỏng trong các EEPROM APU1.
  • Trình điều khiển ehci (4) hiện hoạt động xung quanh sự cố với bộ điều khiển USB ATI (ví dụ: SB700).
  • Trình điều khiển xen (4) hiện hỗ trợ cấu hình domU trong Hệ điều hành Qubes.
  • Cải thiện ngăn xếp không dây IEEE 802.11:
  • Khối HT ack nhận logic đệm theo thuật toán được đưa ra trong thông số kỹ thuật 802.11-2012 chặt chẽ hơn.
  • Trình điều khiển iwn (4) hiện theo dõi các thay đổi bảo vệ HT trong khi được liên kết với AP 11n.
  • Ngăn xếp không dây và một số trình điều khiển sử dụng RTS / CTS tích cực hơn để tránh sự can thiệp từ các thiết bị cũ và các nút ẩn.
  • Lệnh netstat (1) -W hiện hiển thị thông tin về các sự kiện 802.11n.
  • Ở chế độ lưu trữ, không sử dụng lại ID liên kết của các nút vẫn được lưu trong bộ nhớ cache. Khắc phục sự cố trong đó điểm truy cập bằng trình điều khiển ral (4) sẽ bị kẹt ở tốc độ 1 Mbps vì việc tính toán tỷ lệ Tx xảy ra trên đối tượng nút sai.
  • Cải thiện ngăn xếp mạng chung:
  • Bảng định tuyến hiện dựa trên ART cung cấp tra cứu nhanh hơn.
  • Số lượng tra cứu tuyến đường trên mỗi gói đã được giảm xuống 1 trong đường dẫn chuyển tiếp.
  • Trường prio trên các tiêu đề VLAN bây giờ được đặt chính xác trên từng đoạn của gói tin IPv4 sẽ xuất hiện trên giao diện vlan (4).
  • Nhân bản thiết bị đã bật cho bpf (4). Điều này cho phép hệ thống chỉ có một nút thiết bị bpf trong / dev là dịch vụ tất cả người tiêu dùng bpf (tối đa 1024).
  • Hàng đợi Tx của trình điều khiển cnmac (4) bây giờ có thể được xử lý song song với phần còn lại của hạt nhân.
  • Đường dẫn nhập mạng hiện đang chạy trong ngữ cảnh chuỗi.
  • Cải tiến trình cài đặt:
  • danh sách các mã người dùng bị hạn chế được cập nhật
  • install.sh và upgrade.sh được hợp nhất thành install.sub
  • cập nhật tự động chạy sysmerge (8) ở chế độ hàng loạt trước fw_update (1)
  • câu hỏi và câu trả lời được ghi lại ở định dạng có thể được sử dụng như một tệp phản hồi để sử dụng bởi tự động cài đặt (8)
  • / usr / local được đặt thành wxallowed trong khi cài đặt
  • Các trình tiện ích định tuyến và các cải tiến mạng của người dùng khác:
  • Thêm hỗ trợ bảng định tuyến vào rc.d (8) và rcctl (8).
  • Để nc (1) tên dịch vụ hỗ trợ ngoài số cổng.
  • Thêm -M và -m cờ TTL vào nc (1).
  • Thêm hỗ trợ AF_UNIX vào tcpbench (1).
  • Đã sửa lỗi hồi quy trong rarpd (8). Daemon có thể treo nếu nó không hoạt động trong một thời gian dài.
  • Đã thêm tùy chọn llprio trong ifconfig (8).
  • Nhiều chương trình sử dụng bpf (4) đã được sửa đổi để tận dụng lợi thế của nhân bản thiết bị bpf (4) bằng cách mở / dev / bpf0 thay vì lặp qua các thiết bị / dev / bpf *. Các chương trình này bao gồm arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) và tcpdump (số 8). Thư viện libpcap cũng đã được sửa đổi cho phù hợp.
  • Cải tiến bảo mật:
  • W ^ X hiện được thực thi nghiêm ngặt theo mặc định; một chương trình chỉ có thể vi phạm nó nếu tệp thực thi được đánh dấu bằng PT_OPENBSD_WXNEEDED và nằm trên một hệ thống tệp được gắn với tùy chọn gắn kết wxallowed (8). Vì vẫn còn quá nhiều cổng vi phạm W ^ X, trình cài đặt gắn kết hệ thống tệp / usr / local với wxallowed. Điều này cho phép hệ thống cơ sở được an toàn hơn miễn là / usr / local là một hệ thống tệp riêng biệt. Nếu bạn không sử dụng chương trình vi phạm W ^ X, hãy xem xét thủ công thu hồi tùy chọn đó.
  • Nhóm hàm setjmp (3) hiện áp dụng các cookie XOR để ngăn xếp và trả về các giá trị địa chỉ trong jmpbuf trên amd64, hppa, i386, mips64 và powerpc.
  • SROP giảm thiểu: sigreturn (2) bây giờ chỉ có thể được sử dụng bởi trampoline tín hiệu do hạt nhân cung cấp, với một cookie để phát hiện các nỗ lực tái sử dụng nó.
  • Để ngăn chặn việc khai thác tái sử dụng mã, rc (8) liên kết lại libc.so khi khởi động, đặt các đối tượng theo thứ tự ngẫu nhiên.
  • Trong nhóm chức năng getpwnam (3), hãy ngừng mở cơ sở dữ liệu bóng theo mặc định.
  • Cho phép tcpdump (8) -r được bắt đầu mà không có đặc quyền root.
  • Xóa systrace.
  • Xóa hỗ trợ mô phỏng Linux.
  • Xóa hỗ trợ cho tùy chọn usermount.
  • Bộ nhớ cache TCP SYN sẽ lặp lại hàm băm ngẫu nhiên của nó theo thời gian. Điều này ngăn cản kẻ tấn công tính toán phân phối hàm băm bằng một cuộc tấn công định thời.
  • Để làm việc chống lại các cuộc tấn công SYN flooding, quản trị viên có thể thay đổi kích thước của mảng băm ngay bây giờ. netstat (1) -s -p tcp hiển thị thông tin liên quan để điều chỉnh bộ nhớ cache SYN với sysctl (8) net.inet.tcp.
  • Quản trị viên có thể yêu cầu đặc quyền root để liên kết với một số cổng TCP và UDP với sysctl (8) net.inet.tcp.rootonly và sysctl (8) net.inet.udp.rootonly.
  • Xóa con trỏ hàm khỏi cấu trúc dữ liệu mbuf (9) và sử dụng một chỉ mục vào một mảng các hàm có thể chấp nhận thay thế.
  • Các cải tiến khác nhau:
  • Thư viện chuỗi hiện có thể được tải vào một quá trình đơn luồng.
  • Cải thiện việc xử lý ký hiệu và tuân thủ các tiêu chuẩn trong libc. Ví dụ, việc định nghĩa một hàm open () sẽ không còn cản trở hoạt động của fopen (3).
  • Các phần PT_TLS hiện được hỗ trợ trong đối tượng được tải ban đầu.
  • Cải tiến việc xử lý & quot; không có đường dẫn & quot; và & quot; đường dẫn trống & quot; trong fts (3).
  • Trong pcap (3), cung cấp các hàm pcap_free_datalinks () và pcap_offline_filter ().
  • Nhiều sửa lỗi và dọn dẹp cấu trúc trong thư viện editline (3).
  • Xóa các hàm dbm cũ (3); ndbm (3) vẫn còn.
  • Thêm từ khóa setenv để xử lý môi trường mạnh mẽ hơn trong doas.conf (5).
  • Thêm tùy chọn -g và -p vào aucat.1 để định vị thời gian.
  • Viết lại audioctl (1) bằng giao diện người dùng đơn giản hơn.
  • Tùy chọn Thêm -F để cài đặt (1) thành fsync (2) tệp trước khi đóng.
  • kdump (1) bây giờ đổ cấu trúc pollfd.
  • Cải thiện các chi tiết khác nhau của ksh (1) tuân thủ POSIX.
  • mknod (8) được viết lại theo kiểu cam kết (2) thân thiện và hỗ trợ tạo nhiều thiết bị cùng một lúc.
  • Triển khai rcctl (8) nhận tất cả và getdef tất cả.
  • Triển khai cờ rcs (1) -Tôi (tương tác).
  • Trong rcs (1), triển khai thay thế từ khóa Mdocdate.
  • Ở trên cùng (1), cho phép lọc các đối số quy trình nếu chúng đang được hiển thị.
  • Đã thêm hỗ trợ UTF-8 để gấp (1) và xoay vòng (1).
  • Bật UTF-8 theo mặc định trong xterm (1) và pod2man (1).
  • Lọc ra các ký tự không phải ASCII trong tường (1).
  • Xử lý biến môi trường COLUMNS một cách nhất quán trên nhiều chương trình.
  • Tùy chọn -c và -k cho phép cung cấp chứng chỉ ứng dụng khách TLS cho syslogd (8) ở phía gửi. Với điều đó, bên nhận có thể xác minh thông điệp tường trình là xác thực. Lưu ý rằng syslogd chưa có tính năng kiểm tra này.
  • Khi tràn bộ đệm klog, syslogd sẽ viết một thông báo tường trình để hiển thị rằng một số mục nhập bị thiếu.
  • Trên OpenBSD / octeon, bộ đệm ghi cache CPU được bật để cải thiện hiệu suất.
  • pkg_add (1) và pkg_info (1) bây giờ hiểu khái niệm chi nhánh để dễ dàng lựa chọn một số gói phổ biến như python hoặc php, ví dụ pkg_add python% 3.4 để chọn nhánh 3.4 và sử dụng pkg_info -zm để có được một danh sách mờ với lựa chọn nhánh phù hợp với pkg_add -l.
  • fdisk (8) và pdisk (8) thoát ngay lập tức trừ khi vượt qua một thiết bị đặc biệt ký tự
  • st (4) theo dõi chính xác số lượng khối hiện tại cho các khối có kích thước thay đổi
  • fsck_ext2fs (8) hoạt động lại
  • khối lượng mềm (4) có thể được tạo bằng các đĩa có kích thước sector khác hơn 512 byte
  • dhclient (8) DECLINE và hủy các OFFER không sử dụng.
  • dhclient (8) ngay lập tức thoát nếu giao diện của nó (ví dụ: cầu nối (4)) trả về EAFNOSUPPORT khi gói được gửi.
  • httpd (8) trả về 400 Yêu cầu Không hợp lệ đối với các yêu cầu HTTP v0.9.
  • khởi tạo nút lười của ffs2 tránh xử lý dữ liệu đĩa ngẫu nhiên dưới dạng inode
  • fcntl (2) lời gọi trong chương trình cơ bản sử dụng thành ngữ fcntl (n, F_GETFL) thay vì fcntl (n, F_GETFL, 0)
  • socket (2) và accept4 (2) invocations trong chương trình cơ sở sử dụng SOCK_NONBLOCK để loại bỏ sự cần thiết cho một fcntl riêng biệt (2).
  • tmpfs không được bật theo mặc định
  • ngữ nghĩa trong hạt nhân của cam kết (2) đã được cải thiện theo nhiều cách. Điểm nổi bật bao gồm: một lời hứa chown mới cho phép các chương trình cam kết để thiết lập các thuộc tính setugid, một thực thi nghiêm ngặt của lời hứa recvfd và chroot (2) không còn được phép cho các chương trình cam kết.
  • một số cam kết (2) lỗi liên quan (thiếu lời hứa, thay đổi không mong muốn về hành vi, sự cố) đã được sửa, đáng chú ý trong gzip (1), nc (1), sed (1), skeyinit (1), stty (1) và các tiện ích liên quan đến đĩa khác nhau, chẳng hạn như nhãn đĩa (8) và fdisk (8).
  • Lỗi tính toán kích thước khối trong trình điều khiển âm thanh (4) đã được sửa.
  • Trình điều khiển usb (4) hiện lưu trữ ID nhà cung cấp và ID sản phẩm. Khắc phục sự cố trong đó usbdevs (8) được gọi trong vòng lặp sẽ làm cho thiết bị lưu trữ thứ cấp USB ngừng hoạt động.
  • Trình điều khiển rsu (4) và ural (4) hiện đang hoạt động trở lại sau khi chúng vô tình bị hỏng trong 5.9.
  • OpenSMTPD 6.0.0
  • Bảo mật:
  • Triển khai mẫu fork + exec trong smtpd (8).
  • Khắc phục vấn đề logic trong máy trạng thái SMTP có thể dẫn đến trạng thái không hợp lệ và dẫn đến sự cố.
  • Cắm rò rỉ con trỏ tệp có thể dẫn đến cạn kiệt tài nguyên và dẫn đến sự cố.
  • Sử dụng thông số DH tự động thay cho thông số cố định.
  • Tắt DHE theo mặc định vì nó là tốn kém tính toán và một vector DoS tiềm năng.
  • Các cải tiến sau đã được đưa vào phiên bản 6.2:
  • Thêm tùy chọn -r vào smtpd (8) enqueuer để tương thích với mailx.
  • Thêm ngày hoặc id tin nhắn bị thiếu khi nghe trên cổng gửi.
  • Khắc phục & quot; hàng đợi hiển thị smtpctl & quot; báo cáo & quot; không hợp lệ & quot; trạng thái phong bì.
  • Làm lại định dạng & quot; Đã nhận & quot; tiêu đề để phần TLS không vi phạm RFC.
  • Tăng số lượng kết nối mà địa chỉ cục bộ được phép thiết lập và giảm độ trễ giữa các giao dịch trong cùng một phiên.
  • Khắc phục sự cố gửi LMTP đến máy chủ trả lại các dòng tiếp tục.
  • Cải thiện hơn nữa API bộ lọc vẫn thử nghiệm và khắc phục các sự cố liên quan khác nhau.
  • Bắt đầu cải thiện và hợp nhất định dạng của thông điệp tường trình.
  • Khắc phục một số khác biệt về tài liệu và lỗi chính tả trong các trang của người đàn ông.
  • OpenSSH 7.3
  • Bảo mật:
  • sshd (8): Giảm thiểu khả năng tấn công từ chối dịch vụ tiềm năng đối với chức năng crypt (3) của hệ thống thông qua sshd (8). Kẻ tấn công có thể gửi mật khẩu rất dài có thể gây ra việc sử dụng CPU quá mức trong crypt (3). sshd (8) bây giờ từ chối chấp nhận yêu cầu xác thực mật khẩu có độ dài lớn hơn 1024 ký tự.
  • sshd (8): Giảm thiểu sự khác biệt về thời gian trong xác thực mật khẩu có thể được sử dụng để phân biệt hợp lệ với các tên tài khoản không hợp lệ khi mật khẩu dài được gửi và các thuật toán băm mật khẩu cụ thể đang được sử dụng trên máy chủ. CVE-2016-6210.
  • ssh (1), sshd (8): Khắc phục nhược điểm thời gian quan sát được trong các biện pháp đối phó với đệm của CBC. Lưu ý rằng mật mã CBC bị tắt theo mặc định và chỉ được bao gồm cho khả năng tương thích cũ.
  • ssh (1), sshd (8): Cải thiện thứ tự xác minh MAC cho thuật toán MAC vận chuyển chế độ mã hóa-MAC (EtM) để xác minh MAC trước khi giải mã bất kỳ bản mã nào. Điều này loại bỏ khả năng thời gian khác biệt làm rò rỉ sự thật về bản rõ, mặc dù không có rò rỉ nào được biết đến.
  • Các tính năng mới / đã thay đổi:
  • ssh (1): Thêm tùy chọn ProxyJump và cờ dòng lệnh -J tương ứng để cho phép chuyển hướng đơn giản thông qua một hoặc nhiều bản sao lưu SSH hoặc & quot; máy chủ nhảy & quot;.
  • ssh (1): Thêm tùy chọn IdentityAgent để cho phép chỉ định các ổ cắm tác nhân cụ thể thay vì chấp nhận một ổ cắm từ môi trường.
  • ssh (1): Cho phép ExitOnForwardFailure và ClearAllForwardings được tùy chọn ghi đè khi sử dụng ssh -W. (bz # 2577)
  • ssh (1), sshd (8): Triển khai hỗ trợ cho chế độ thiết bị đầu cuối IUTF8 theo lệnh draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Thêm hỗ trợ cho các nhóm Diffie-Hellman 2K, 4K và 8K cố định bổ sung từ draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): hỗ trợ chữ ký SHA256 và SHA512 RSA trong chứng chỉ.
  • ssh (1): Thêm chỉ thị Bao gồm cho các tệp ssh_config (5).
  • ssh (1): Cho phép các ký tự UTF-8 trong các biểu ngữ xác thực trước được gửi từ máy chủ. (bz # 2058)
  • Các lỗi quan trọng sau đã được sửa trong phiên bản 6.2:
  • Trong scp (1) và sftp (1), ngăn chặn các cài đặt đầu cuối vặn vít bằng cách thoát các byte không tạo thành các ký tự ASCII hoặc UTF-8.
  • ssh (1), sshd (8): Giảm mức syslog của một số sự kiện giao thức tương đối phổ biến từ LOG_CRIT. (bz # 2585)
  • sshd (8): Từ chối AuthenticationMethods = & quot; & quot; trong cấu hình và chấp nhận AuthenticationMethods = bất kỳ hành vi mặc định nào không yêu cầu xác thực nhiều lần. (bz # 2398)
  • sshd (8): Xoá bỏ lỗi thời & gây hiểu lầm & quot; KHẢ NĂNG CÓ THỂ BẮT ĐẦU! & quot; thông báo khi DNS chuyển tiếp và ngược lại không khớp. (bz # 2585)
  • ssh (1): Đóng trình xử lý nền của ControlPersist, ngoại trừ trong chế độ gỡ lỗi hoặc khi đăng nhập vào syslog. (bz # 1988)
  • misc: Tạo mô tả PROTOCOL cho các kênh mở trực tiếp -streamlocal@openssh.com khớp với mã được triển khai. (bz # 2529)
  • ssh (1): Trùng lặp các mục nhập LocalForward và RemoteForward để sửa lỗi khi cả hai ExitOnForwardFailure và hostname canonicalisation được bật. (bz # 2562)
  • sshd (8): Xóa dự phòng khỏi các phần bổ sung thành lỗi & quot; số nguyên tố & quot; tệp không được dùng nữa vào năm 2001. (bz # 2559)
  • sshd_config (5): Mô tả chính xác của UseDNS: nó ảnh hưởng đến việc xử lý tên máy chủ ssh cho authorized_keys, không phải known_hosts. (bz # 2554)
  • ssh (1): Khắc phục xác thực bằng cách sử dụng các khóa chứng chỉ đơn lẻ trong một tác nhân không có các khóa riêng tương ứng trên hệ thống tệp. (bz # 2550)
  • sshd (8): Gửi các ping ClientAliveInterval khi một RekeyLimit dựa trên thời gian được thiết lập; các gói trước đó không được gửi đi. (bz # 2252)
  • OpenNTPD 6.0
  • Khi một & quot; ràng buộc & quot; được chỉ định, hãy thử tất cả các địa chỉ được trả lại cho đến khi một địa chỉ thành công, thay vì địa chỉ trả lại đầu tiên.
  • Đã giải phóng lề lỗi ràng buộc để tỷ lệ thuận với số lượng các đồng nghiệp NTP, tránh kết nối lại liên tục khi có một peer NTP xấu.
  • Đã xóa hỗ trợ cảm biến (4) bộ phận ngắt kết nối bị vô hiệu hóa.
  • Đã thêm hỗ trợ phát hiện sự cố trong việc hạn chế các quy trình con.
  • Đã di chuyển việc thực thi các ràng buộc từ quá trình ntp sang tiến trình cha, cho phép tách biệt đặc quyền tốt hơn vì quá trình ntp có thể bị hạn chế thêm.
  • Cố định mức sử dụng CPU cao khi mạng bị ngắt.
  • Đã khắc phục các rò rỉ bộ nhớ khác nhau.
  • Đã chuyển sang RMS để tính toán jitter.
  • Chức năng ghi nhật ký hợp nhất với các chương trình cơ sở OpenBSD khác.
  • Đặt MOD_MAXERROR để tránh trạng thái thời gian không được đồng bộ hóa khi sử dụng ntp_adjtime.
  • Phân tích tiêu đề của Dấu thời gian HTTP Cố định để sử dụng strptime (3) theo kiểu di động hơn.
  • TLS Cố định cho các ràng buộc ntpd (8), cho phép xác minh tên máy chủ.
  • LibreSSL 2.4.2
  • Các tính năng hiển thị của người dùng:
  • Đã sửa một số liên kết manpage bị hỏng trong mục tiêu cài đặt.
  • cert.pem đã được tổ chức lại và đồng bộ hóa với kho lưu trữ chứng chỉ của Mozilla.
  • Sửa lỗi độ tin cậy, sửa lỗi khi phân tích cú pháp các phần tử ASN.1 nhất định trên kích thước 16k.
  • Đã triển khai bộ mã hóa IETF ChaCha20-Poly1305.
  • Lời nhắc mật khẩu cố định từ openssl (1) để xử lý đúng ^ C.
  • Cải tiến mã:
  • Đã khắc phục sự cố tương thích nginx bằng cách thêm mục tiêu xây dựng 'install_sw'.
  • Đã thay đổi cài đặt EVP_aead_chacha20_poly1305 (3) mặc định thành phiên bản IETF, hiện là mặc định.
  • Xử lý lỗi được sửa lại trong libtls để các lỗi cấu hình hiển thị rõ hơn.
  • Đã thêm xử lý lỗi bị thiếu xung quanh các cuộc gọi bn_wexpand (3).
  • Đã thêm clear_bzero (3) cuộc gọi cho các đối tượng ASN.1 được giải phóng.
  • Đã sửa các hàm X509_ * set_object để trả về 0 khi lỗi phân bổ.
  • Sử dụng nội bộ không được chấp nhận của EVP_ [Mật mã | Mã hóa | Giải mã] _Final.
  • Đã khắc phục sự cố ngăn thuật toán ký DSA chạy liên tục ngay cả khi cờ BN_FLG_CONSTTIME được đặt.
  • Đã khắc phục một số sự cố trong mã OCSP có thể dẫn đến việc tạo và phân tích cú pháp các yêu cầu OCSP không chính xác. Điều này giải thích việc thiếu kiểm tra lỗi về phân tích thời gian trong các chức năng này và đảm bảo rằng chỉ các định dạng GENERALIZEDTIME mới được chấp nhận cho OCSP, theo RFC 6960.
  • Các CVE sau đã được sửa:
  • Lỗi tràn CVE-2016-2105-EVP_EncodeUpdate.
  • Lỗi tràn CVE-2016-2106-EVP_EncryptUpdate.
  • CVE-2016-2107-padding oracle trong kiểm tra MAC của AES-NI CBC.
  • Tham chiếu bộ nhớ CVE-2016-2108 trong bộ mã hóa ASN.1.
  • CVE-2016-2109-ASN.1 Phân bổ bộ nhớ quá mức BIO.
  • Cổng và gói:
  • Công cụ proot (1) mới trong cây cổng để tạo gói trong chroot.
  • Nhiều gói được tạo sẵn cho mỗi kiến ​​trúc:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Một số điểm nổi bật:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 và 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • GIMP 2.8.16
  • GNOME 3.20.2
  • Chuyển tới 1.6.3
  • Groff 1.22.3
  • JDK 7u80 và 8u72
  • KDE 3.5.10 và 4.14.3 (cộng với bản cập nhật cốt lõi của KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 và 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr và 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 và 2.4.44
  • PHP 5.5.37, 5.6.23 và 7.0.8
  • Postfix 3.1.1 và 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 và 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 và 2.3.1
  • Gỉ 1,9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 và 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Như thường lệ, các cải tiến ổn định trong các trang thủ công và tài liệu khác.
  • Hệ thống bao gồm các thành phần chính sau đây từ các nhà cung cấp bên ngoài:
  • Xenocara (dựa trên X.Org 7,7 với Xserver 1.18.3 bản vá lỗi +, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 và nhiều hơn nữa)
  • GCC 4.2.1 (+ các bản vá lỗi) và 3.3.6 (+ các bản vá lỗi)
  • Perl 5.20.3 (+ các bản vá lỗi)
  • SQLite 3.9.2 (+ các bản vá lỗi)
  • NSD 4.1.10
  • Chưa được gửi 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ bản vá lỗi)
  • Gdb 6.3 (+ bản vá lỗi)
  • Awk ngày 10 tháng 8 năm 2011
  • Expat 2.1.1

Tính năng mới trong phiên bản 6.1:

  • Nền tảng mới / mở rộng:
  • armv7:
  • Bộ tải khởi động EFI được thêm vào, các hạt nhân hiện được tải từ FFS thay vì hệ thống tệp FAT hoặc EXT, không có tiêu đề U-Boot.
  • Một hạt nhân và đĩa RAM hiện được sử dụng cho tất cả các SoC.
  • Phần cứng được liệt kê động qua Cây Thiết bị Phẳng (FDT) thay vì thông qua các bảng tĩnh dựa trên các số id của bảng.
  • Hình ảnh trình cài đặt Miniroot bao gồm U-Boot 2016.07 với hỗ trợ cho các tải trọng EFI.
  • vax:
  • Đã xóa.
  • Hỗ trợ phần cứng được cải thiện, bao gồm:
  • Trình điều khiển bytgpio (4) mới cho bộ điều khiển GPIO Intel Bay Trail.
  • Trình điều khiển chvgpio mới (4) cho bộ điều khiển GPIO Intel Cherry View.
  • Trình điều khiển mới maxrtc (4) cho đồng hồ thời gian thực Maxim DS1307.
  • Trình điều khiển nvme (4) mới cho giao diện bộ điều khiển máy chủ lưu trữ không nhanh (NVMe).
  • Trình điều khiển mới pcfrtc (4) cho đồng hồ thời gian thực NXP PCF8523.
  • Trình điều khiển umb (4) mới cho Mô hình Giao diện Băng rộng Di động (MBIM).
  • Trình điều khiển ure (4) mới cho các thiết bị Ethernet 10/100 của RealTek RTL8152 dựa trên.
  • Trình điều khiển utvfu mới (4) cho các thiết bị ghi âm / quay video dựa trên Fushicai USBTV007.
  • Trình điều khiển iwm (4) hiện hỗ trợ các thiết bị Intel Wireless 3165 và 8260 và hoạt động đáng tin cậy hơn trong hạt nhân RAMDISK.
  • Hỗ trợ cho các thiết bị I2C HID có ngắt tín hiệu GPIO đã được thêm vào dwiic (4).
  • Hỗ trợ cho chiều rộng bus lớn hơn, chế độ tốc độ cao và chuyển DMA đã được thêm vào sdmmc (4), rtsx (4), sdhc (4) và imxesdhc (4).
  • Hỗ trợ cho bộ điều khiển USB tương thích với EHCI và OHCI trên Octeon II SoC.
  • Nhiều trình điều khiển thiết bị USB đã được bật trên OpenBSD / octeon.
  • Cải thiện hỗ trợ cho việc triển khai ACPI giảm phần cứng.
  • Cải thiện hỗ trợ cho việc triển khai ACPI 5.0.
  • Mật mã AES-NI hiện đã được thực hiện mà không cần giữ khóa hạt nhân.
  • Hỗ trợ AGP được cải tiến trên các máy PowerPC G5.
  • Đã thêm hỗ trợ cho khe cắm thẻ SD trong các SoC của Đường bay Intel Bay.
  • Trình điều khiển ichiic (4) bây giờ bỏ qua SMBALERT # ngắt để ngăn chặn một cơn bão gián đoạn với việc triển khai BIOS lỗi.
  • Các vấn đề về tập tin đính kèm thiết bị với trình điều khiển trục (4) đã được sửa.
  • Trình điều khiển ral (4) ổn định hơn khi tải với các thiết bị RT2860.
  • Sự cố với bàn phím đã chết sau khi tiếp tục đã được sửa trong trình điều khiển pckbd (4).
  • Trình điều khiển rtsx (4) hiện hỗ trợ các thiết bị RTS522A.
  • Hỗ trợ ban đầu cho MSI-X đã được thêm.
  • Hỗ trợ MSI-X trong trình điều khiển virtio (4).
  • Đã thêm giải pháp khắc phục phần cứng DMA cho trình điều khiển dc (4).
  • Trình điều khiển acpitz (4) giờ quay quạt xuống sau khi làm mát nếu ACPI sử dụng độ trễ để làm mát hoạt động.
  • Trình điều khiển xhci (4) giờ đây thực hiện việc chuyển handoff từ một BIOS có khả năng xHCI một cách chính xác.
  • Hỗ trợ cho đầu vào đa chạm đã được thêm vào trình điều khiển wsmouse (4).
  • Trình điều khiển uslcom (4) hiện hỗ trợ bảng điều khiển nối tiếp của các bộ điều khiển không dây Aruba 7xxx.
  • Trình điều khiển lại (4) hiện hoạt động xung quanh các cấu hình LED bị hỏng trong các EEPROM APU1.
  • Trình điều khiển ehci (4) hiện hoạt động xung quanh sự cố với bộ điều khiển USB ATI (ví dụ: SB700).
  • Trình điều khiển xen (4) hiện hỗ trợ cấu hình domU trong Hệ điều hành Qubes.
  • Cải thiện ngăn xếp không dây IEEE 802.11:
  • Khối HT ack nhận logic đệm theo thuật toán được đưa ra trong thông số kỹ thuật 802.11-2012 chặt chẽ hơn.
  • Trình điều khiển iwn (4) hiện theo dõi các thay đổi bảo vệ HT trong khi được liên kết với AP 11n.
  • Ngăn xếp không dây và một số trình điều khiển sử dụng RTS / CTS tích cực hơn để tránh sự can thiệp từ các thiết bị cũ và các nút ẩn.
  • Lệnh netstat (1) -W hiện hiển thị thông tin về các sự kiện 802.11n.
  • Ở chế độ lưu trữ, không sử dụng lại ID liên kết của các nút vẫn được lưu trong bộ nhớ cache. Khắc phục sự cố trong đó điểm truy cập bằng trình điều khiển ral (4) sẽ bị kẹt ở tốc độ 1 Mbps vì việc tính toán tỷ lệ Tx xảy ra trên đối tượng nút sai.
  • Cải thiện ngăn xếp mạng chung:
  • Bảng định tuyến hiện dựa trên ART cung cấp tra cứu nhanh hơn.
  • Số lượng tra cứu tuyến đường trên mỗi gói đã được giảm xuống 1 trong đường dẫn chuyển tiếp.
  • Trường prio trên các tiêu đề VLAN bây giờ được đặt chính xác trên từng đoạn của gói tin IPv4 sẽ xuất hiện trên giao diện vlan (4).
  • Nhân bản thiết bị đã bật cho bpf (4). Điều này cho phép hệ thống chỉ có một nút thiết bị bpf trong / dev là dịch vụ tất cả người tiêu dùng bpf (tối đa 1024).
  • Hàng đợi Tx của trình điều khiển cnmac (4) bây giờ có thể được xử lý song song với phần còn lại của hạt nhân.
  • Đường dẫn nhập mạng hiện đang chạy trong ngữ cảnh chuỗi.
  • Cải tiến trình cài đặt:
  • danh sách các mã người dùng bị hạn chế được cập nhật
  • install.sh và upgrade.sh được hợp nhất thành install.sub
  • cập nhật tự động chạy sysmerge (8) ở chế độ hàng loạt trước fw_update (1)
  • câu hỏi và câu trả lời được ghi lại ở định dạng có thể được sử dụng như một tệp phản hồi để sử dụng bởi tự động cài đặt (8)
  • / usr / local được đặt thành wxallowed trong khi cài đặt
  • Các trình tiện ích định tuyến và các cải tiến mạng của người dùng khác:
  • Thêm hỗ trợ bảng định tuyến vào rc.d (8) và rcctl (8).
  • Để nc (1) tên dịch vụ hỗ trợ ngoài số cổng.
  • Thêm -M và -m cờ TTL vào nc (1).
  • Thêm hỗ trợ AF_UNIX vào tcpbench (1).
  • Đã sửa lỗi hồi quy trong rarpd (8). Daemon có thể treo nếu nó không hoạt động trong một thời gian dài.
  • Đã thêm tùy chọn llprio trong ifconfig (8).
  • Nhiều chương trình sử dụng bpf (4) đã được sửa đổi để tận dụng lợi thế của nhân bản thiết bị bpf (4) bằng cách mở / dev / bpf0 thay vì lặp qua các thiết bị / dev / bpf *. Các chương trình này bao gồm arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) và tcpdump (số 8). Thư viện libpcap cũng đã được sửa đổi cho phù hợp.
  • Cải tiến bảo mật:
  • W ^ X hiện được thực thi nghiêm ngặt theo mặc định; một chương trình chỉ có thể vi phạm nó nếu tệp thực thi được đánh dấu bằng PT_OPENBSD_WXNEEDED và nằm trên một hệ thống tệp được gắn với tùy chọn gắn kết wxallowed (8). Vì vẫn còn quá nhiều cổng vi phạm W ^ X, trình cài đặt gắn kết hệ thống tệp / usr / local với wxallowed. Điều này cho phép hệ thống cơ sở được an toàn hơn miễn là / usr / local là một hệ thống tệp riêng biệt. Nếu bạn không sử dụng chương trình vi phạm W ^ X, hãy xem xét thủ công thu hồi tùy chọn đó.
  • Nhóm hàm setjmp (3) hiện áp dụng các cookie XOR để ngăn xếp và trả về các giá trị địa chỉ trong jmpbuf trên amd64, hppa, i386, mips64 và powerpc.
  • SROP giảm thiểu: sigreturn (2) bây giờ chỉ có thể được sử dụng bởi trampoline tín hiệu do hạt nhân cung cấp, với một cookie để phát hiện các nỗ lực tái sử dụng nó.
  • Để ngăn chặn việc khai thác tái sử dụng mã, rc (8) liên kết lại libc.so khi khởi động, đặt các đối tượng theo thứ tự ngẫu nhiên.
  • Trong nhóm chức năng getpwnam (3), hãy ngừng mở cơ sở dữ liệu bóng theo mặc định.
  • Cho phép tcpdump (8) -r được bắt đầu mà không có đặc quyền root.
  • Xóa systrace.
  • Xóa hỗ trợ mô phỏng Linux.
  • Xóa hỗ trợ cho tùy chọn usermount.
  • Bộ nhớ cache TCP SYN sẽ lặp lại hàm băm ngẫu nhiên của nó theo thời gian. Điều này ngăn cản kẻ tấn công tính toán phân phối hàm băm bằng một cuộc tấn công định thời.
  • Để làm việc chống lại các cuộc tấn công SYN flooding, quản trị viên có thể thay đổi kích thước của mảng băm ngay bây giờ. netstat (1) -s -p tcp hiển thị thông tin liên quan để điều chỉnh bộ nhớ cache SYN với sysctl (8) net.inet.tcp.
  • Quản trị viên có thể yêu cầu đặc quyền root để liên kết với một số cổng TCP và UDP với sysctl (8) net.inet.tcp.rootonly và sysctl (8) net.inet.udp.rootonly.
  • Xóa con trỏ hàm khỏi cấu trúc dữ liệu mbuf (9) và sử dụng một chỉ mục vào một mảng các hàm có thể chấp nhận thay thế.
  • Các cải tiến khác nhau:
  • Thư viện chuỗi hiện có thể được tải vào một quá trình đơn luồng.
  • Cải thiện việc xử lý ký hiệu và tuân thủ các tiêu chuẩn trong libc. Ví dụ, việc định nghĩa một hàm open () sẽ không còn cản trở hoạt động của fopen (3).
  • Các phần PT_TLS hiện được hỗ trợ trong đối tượng được tải ban đầu.
  • Cải tiến việc xử lý "không có đường dẫn" và "đường dẫn trống" trong fts (3).
  • Trong pcap (3), cung cấp các hàm pcap_free_datalinks () và pcap_offline_filter ().
  • Nhiều sửa lỗi và dọn dẹp cấu trúc trong thư viện editline (3).
  • Xóa các hàm dbm cũ (3); ndbm (3) vẫn còn.
  • Thêm từ khóa setenv để xử lý môi trường mạnh mẽ hơn trong doas.conf (5).
  • Thêm tùy chọn -g và -p vào aucat.1 để định vị thời gian.
  • Viết lại audioctl (1) bằng giao diện người dùng đơn giản hơn.
  • Tùy chọn Thêm -F để cài đặt (1) thành fsync (2) tệp trước khi đóng.
  • kdump (1) bây giờ đổ cấu trúc pollfd.
  • Cải thiện các chi tiết khác nhau của ksh (1) tuân thủ POSIX.
  • mknod (8) được viết lại theo kiểu cam kết (2) thân thiện và hỗ trợ tạo nhiều thiết bị cùng một lúc.
  • Triển khai rcctl (8) nhận tất cả và getdef tất cả.
  • Triển khai cờ rcs (1) -Tôi (tương tác).
  • Trong rcs (1), triển khai thay thế từ khóa Mdocdate.
  • Ở trên cùng (1), cho phép lọc các đối số quy trình nếu chúng đang được hiển thị.
  • Đã thêm hỗ trợ UTF-8 để gấp (1) và xoay vòng (1).
  • Bật UTF-8 theo mặc định trong xterm (1) và pod2man (1).
  • Lọc ra các ký tự không phải ASCII trong tường (1).
  • Xử lý biến môi trường COLUMNS một cách nhất quán trên nhiều chương trình.
  • Tùy chọn -c và -k cho phép cung cấp chứng chỉ ứng dụng khách TLS cho syslogd (8) ở phía gửi. Với điều đó, bên nhận có thể xác minh thông điệp tường trình là xác thực. Lưu ý rằng syslogd chưa có tính năng kiểm tra này.
  • Khi tràn bộ đệm klog, syslogd sẽ viết một thông báo tường trình để hiển thị rằng một số mục nhập bị thiếu.
  • Trên OpenBSD / octeon, bộ đệm ghi cache CPU được bật để cải thiện hiệu suất.
  • pkg_add (1) và pkg_info (1) bây giờ hiểu khái niệm chi nhánh để dễ dàng lựa chọn một số gói phổ biến như python hoặc php, ví dụ pkg_add python% 3.4 để chọn nhánh 3.4 và sử dụng pkg_info -zm để có được một danh sách mờ với lựa chọn nhánh phù hợp với pkg_add -l.
  • fdisk (8) và pdisk (8) thoát ngay lập tức trừ khi vượt qua một thiết bị đặc biệt ký tự
  • st (4) theo dõi chính xác số lượng khối hiện tại cho các khối có kích thước thay đổi
  • fsck_ext2fs (8) hoạt động lại
  • khối lượng mềm (4) có thể được tạo bằng các đĩa có kích thước sector khác hơn 512 byte
  • dhclient (8) DECLINE và hủy các OFFER không sử dụng.
  • dhclient (8) ngay lập tức thoát nếu giao diện của nó (ví dụ: cầu nối (4)) trả về EAFNOSUPPORT khi gói được gửi.
  • httpd (8) trả về 400 Yêu cầu Không hợp lệ đối với các yêu cầu HTTP v0.9.
  • khởi tạo nút lười của ffs2 tránh xử lý dữ liệu đĩa ngẫu nhiên dưới dạng inode
  • fcntl (2) lời gọi trong chương trình cơ bản sử dụng thành ngữ fcntl (n, F_GETFL) thay vì fcntl (n, F_GETFL, 0)
  • socket (2) và accept4 (2) invocations trong chương trình cơ sở sử dụng SOCK_NONBLOCK để loại bỏ sự cần thiết cho một fcntl riêng biệt (2).
  • tmpfs không được bật theo mặc định
  • ngữ nghĩa trong hạt nhân của cam kết (2) đã được cải thiện theo nhiều cách. Điểm nổi bật bao gồm: một lời hứa chown mới cho phép các chương trình cam kết để thiết lập các thuộc tính setugid, một thực thi nghiêm ngặt của lời hứa recvfd và chroot (2) không còn được phép cho các chương trình cam kết.
  • một số cam kết (2) lỗi liên quan (thiếu lời hứa, thay đổi không mong muốn về hành vi, sự cố) đã được sửa, đáng chú ý trong gzip (1), nc (1), sed (1), skeyinit (1), stty (1) và các tiện ích liên quan đến đĩa khác nhau, chẳng hạn như nhãn đĩa (8) và fdisk (8).
  • Lỗi tính toán kích thước khối trong trình điều khiển âm thanh (4) đã được sửa.
  • Trình điều khiển usb (4) hiện lưu trữ ID nhà cung cấp và ID sản phẩm. Khắc phục sự cố trong đó usbdevs (8) được gọi trong vòng lặp sẽ làm cho thiết bị lưu trữ thứ cấp USB ngừng hoạt động.
  • Trình điều khiển rsu (4) và ural (4) hiện đang hoạt động trở lại sau khi chúng vô tình bị hỏng trong 5.9.
  • OpenSMTPD 6.0.0
  • Bảo mật:
  • Triển khai mẫu fork + exec trong smtpd (8).
  • Khắc phục vấn đề logic trong máy trạng thái SMTP có thể dẫn đến trạng thái không hợp lệ và dẫn đến sự cố.
  • Cắm rò rỉ con trỏ tệp có thể dẫn đến cạn kiệt tài nguyên và dẫn đến sự cố.
  • Sử dụng thông số DH tự động thay cho thông số cố định.
  • Tắt DHE theo mặc định vì nó là tốn kém tính toán và một vector DoS tiềm năng.
  • Các cải tiến sau đã được đưa vào phiên bản 6.1:
  • Thêm tùy chọn -r vào smtpd (8) enqueuer để tương thích với mailx.
  • Thêm ngày hoặc id tin nhắn bị thiếu khi nghe trên cổng gửi.
  • Khắc phục trạng thái phong bì "không hợp lệ cho smtpctl show queue".
  • Làm lại định dạng của tiêu đề "Đã nhận" để phần TLS không vi phạm RFC.
  • Tăng số lượng kết nối mà địa chỉ cục bộ được phép thiết lập và giảm độ trễ giữa các giao dịch trong cùng một phiên.
  • Khắc phục sự cố gửi LMTP đến máy chủ trả lại các dòng tiếp tục.
  • Cải thiện hơn nữa API bộ lọc vẫn thử nghiệm và khắc phục các sự cố liên quan khác nhau.
  • Bắt đầu cải thiện và hợp nhất định dạng của thông điệp tường trình.
  • Khắc phục một số khác biệt về tài liệu và lỗi chính tả trong các trang của người đàn ông.
  • OpenSSH 7.3
  • Bảo mật:
  • sshd (8): Giảm thiểu khả năng tấn công từ chối dịch vụ tiềm năng đối với chức năng crypt (3) của hệ thống thông qua sshd (8). Kẻ tấn công có thể gửi mật khẩu rất dài có thể gây ra việc sử dụng CPU quá mức trong crypt (3). sshd (8) bây giờ từ chối chấp nhận yêu cầu xác thực mật khẩu có độ dài lớn hơn 1024 ký tự.
  • sshd (8): Giảm thiểu sự khác biệt về thời gian trong xác thực mật khẩu có thể được sử dụng để phân biệt hợp lệ với các tên tài khoản không hợp lệ khi mật khẩu dài được gửi và các thuật toán băm mật khẩu cụ thể đang được sử dụng trên máy chủ. CVE-2016-6210.
  • ssh (1), sshd (8): Khắc phục nhược điểm thời gian quan sát được trong các biện pháp đối phó với đệm của CBC. Lưu ý rằng mật mã CBC bị tắt theo mặc định và chỉ được bao gồm cho khả năng tương thích cũ.
  • ssh (1), sshd (8): Cải thiện thứ tự xác minh MAC cho thuật toán MAC vận chuyển chế độ mã hóa-MAC (EtM) để xác minh MAC trước khi giải mã bất kỳ bản mã nào. Điều này loại bỏ khả năng thời gian khác biệt làm rò rỉ sự thật về bản rõ, mặc dù không có rò rỉ nào được biết đến.
  • Các tính năng mới / đã thay đổi:
  • ssh (1): Thêm tùy chọn ProxyJump và cờ dòng lệnh -J tương ứng để cho phép chuyển hướng đơn giản thông qua một hoặc nhiều bản sao lưu SSH hoặc "máy chủ nhảy".
  • ssh (1): Thêm tùy chọn IdentityAgent để cho phép chỉ định các ổ cắm tác nhân cụ thể thay vì chấp nhận một ổ cắm từ môi trường.
  • ssh (1): Cho phép ExitOnForwardFailure và ClearAllForwardings được tùy chọn ghi đè khi sử dụng ssh -W. (bz # 2577)
  • ssh (1), sshd (8): Triển khai hỗ trợ cho chế độ thiết bị đầu cuối IUTF8 theo lệnh draft-sgtatham-secsh-iutf8-00.
  • ssh (1), sshd (8): Thêm hỗ trợ cho các nhóm Diffie-Hellman 2K, 4K và 8K cố định bổ sung từ draft-ietf-curdle-ssh-kex-sha2-03.
  • ssh-keygen (1), ssh (1), sshd (8): hỗ trợ chữ ký SHA256 và SHA512 RSA trong chứng chỉ.
  • ssh (1): Thêm chỉ thị Bao gồm cho các tệp ssh_config (5).
  • ssh (1): Cho phép các ký tự UTF-8 trong các biểu ngữ xác thực trước được gửi từ máy chủ. (bz # 2058)
  • Các lỗi quan trọng sau đã được sửa trong phiên bản 6.1:
  • Trong scp (1) và sftp (1), ngăn chặn các cài đặt đầu cuối vặn vít bằng cách thoát các byte không tạo thành các ký tự ASCII hoặc UTF-8.
  • ssh (1), sshd (8): Giảm mức syslog của một số sự kiện giao thức tương đối phổ biến từ LOG_CRIT. (bz # 2585)
  • sshd (8): Từ chối AuthenticationMethods = "" trong cấu hình và chấp nhận AuthenticationMethods = bất kỳ hành vi mặc định nào không yêu cầu xác thực nhiều. (bz # 2398)
  • sshd (8): Xóa lỗi thời "lỗi có thể xảy ra!" thông báo khi DNS chuyển tiếp và ngược lại không khớp. (bz # 2585)
  • ssh (1): Đóng trình xử lý nền của ControlPersist, ngoại trừ trong chế độ gỡ lỗi hoặc khi đăng nhập vào syslog. (bz # 1988)
  • misc: Tạo mô tả PROTOCOL cho các kênh mở trực tiếp -streamlocal@openssh.com khớp với mã được triển khai. (bz # 2529)
  • ssh (1): Trùng lặp các mục nhập LocalForward và RemoteForward để sửa lỗi khi cả hai ExitOnForwardFailure và hostname canonicalisation được bật. (bz # 2562)
  • sshd (8): Xóa dự phòng khỏi các mô-đun thành tệp "số nguyên tố" lỗi thời đã bị ngừng sử dụng vào năm 2001. (bz # 2559)
  • sshd_config (5): Mô tả chính xác của UseDNS: nó ảnh hưởng đến việc xử lý tên máy chủ ssh cho authorized_keys, không phải known_hosts. (bz # 2554)
  • ssh (1): Khắc phục xác thực bằng cách sử dụng các khóa chứng chỉ đơn lẻ trong một tác nhân không có các khóa riêng tương ứng trên hệ thống tệp. (bz # 2550)
  • sshd (8): Gửi các ping ClientAliveInterval khi một RekeyLimit dựa trên thời gian được thiết lập; các gói trước đó không được gửi đi. (bz # 2252)
  • OpenNTPD 6.0
  • Khi chỉ định một "ràng buộc" đơn lẻ, hãy thử tất cả các địa chỉ được trả lại cho đến khi một địa chỉ thành công, thay vì địa chỉ trả lại đầu tiên.
  • Đã giải phóng lề lỗi ràng buộc để tỷ lệ thuận với số lượng các đồng nghiệp NTP, tránh kết nối lại liên tục khi có một peer NTP xấu.
  • Đã xóa hỗ trợ cảm biến (4) bộ phận ngắt kết nối bị vô hiệu hóa.
  • Đã thêm hỗ trợ phát hiện sự cố trong việc hạn chế các quy trình con.
  • Đã di chuyển việc thực thi các ràng buộc từ quá trình ntp sang tiến trình cha, cho phép tách biệt đặc quyền tốt hơn vì quá trình ntp có thể bị hạn chế thêm.
  • Cố định mức sử dụng CPU cao khi mạng bị ngắt.
  • Đã khắc phục các rò rỉ bộ nhớ khác nhau.
  • Đã chuyển sang RMS để tính toán jitter.
  • Chức năng ghi nhật ký hợp nhất với các chương trình cơ sở OpenBSD khác.
  • Đặt MOD_MAXERROR để tránh trạng thái thời gian không được đồng bộ hóa khi sử dụng ntp_adjtime.
  • Phân tích tiêu đề của Dấu thời gian HTTP Cố định để sử dụng strptime (3) theo kiểu di động hơn.
  • TLS Cố định cho các ràng buộc ntpd (8), cho phép xác minh tên máy chủ.
  • LibreSSL 2.4.2
  • Các tính năng hiển thị của người dùng:
  • Đã sửa một số liên kết manpage bị hỏng trong mục tiêu cài đặt.
  • cert.pem đã được tổ chức lại và đồng bộ hóa với kho lưu trữ chứng chỉ của Mozilla.
  • Sửa lỗi độ tin cậy, sửa lỗi khi phân tích cú pháp các phần tử ASN.1 nhất định trên kích thước 16k.
  • Đã triển khai bộ mã hóa IETF ChaCha20-Poly1305.
  • Lời nhắc mật khẩu cố định từ openssl (1) để xử lý đúng ^ C.
  • Cải tiến mã:
  • Đã khắc phục sự cố tương thích nginx bằng cách thêm mục tiêu xây dựng 'install_sw'.
  • Đã thay đổi cài đặt EVP_aead_chacha20_poly1305 (3) mặc định thành phiên bản IETF, hiện là mặc định.
  • Xử lý lỗi được sửa lại trong libtls để các lỗi cấu hình hiển thị rõ hơn.
  • Đã thêm xử lý lỗi bị thiếu xung quanh các cuộc gọi bn_wexpand (3).
  • Đã thêm clear_bzero (3) cuộc gọi cho các đối tượng ASN.1 được giải phóng.
  • Đã sửa các hàm X509_ * set_object để trả về 0 khi lỗi phân bổ.
  • Sử dụng nội bộ không được chấp nhận của EVP_ [Mật mã | Mã hóa | Giải mã] _Final.
  • Đã khắc phục sự cố ngăn thuật toán ký DSA chạy liên tục ngay cả khi cờ BN_FLG_CONSTTIME được đặt.
  • Đã khắc phục một số sự cố trong mã OCSP có thể dẫn đến việc tạo và phân tích cú pháp các yêu cầu OCSP không chính xác. Điều này giải thích việc thiếu kiểm tra lỗi về phân tích thời gian trong các chức năng này và đảm bảo rằng chỉ các định dạng GENERALIZEDTIME mới được chấp nhận cho OCSP, theo RFC 6960.
  • Các CVE sau đã được sửa:
  • Lỗi tràn CVE-2016-2105-EVP_EncodeUpdate.
  • Lỗi tràn CVE-2016-2106-EVP_EncryptUpdate.
  • CVE-2016-2107-padding oracle trong kiểm tra MAC của AES-NI CBC.
  • Tham chiếu bộ nhớ CVE-2016-2108 trong bộ mã hóa ASN.1.
  • CVE-2016-2109-ASN.1 Phân bổ bộ nhớ quá mức BIO.
  • Cổng và gói:
  • Công cụ proot (1) mới trong cây cổng để tạo gói trong chroot.
  • Nhiều gói được tạo sẵn cho mỗi kiến ​​trúc:
  • alpha: 7422
  • amd64: 9433
  • hppa: 6346
  • i386: 9394
  • mips64: 7921
  • mips64el: 7767
  • powerpc: 8318
  • sparc64: 8570
  • Một số điểm nổi bật:
  • Afl 2.19b
  • Chromium 51.0.2704.106
  • Emacs 21.4 và 24.5
  • GCC 4.9.3
  • GHC 7.10.3
  • GIMP 2.8.16
  • GNOME 3.20.2
  • Chuyển tới 1.6.3
  • Groff 1.22.3
  • JDK 7u80 và 8u72
  • KDE 3.5.10 và 4.14.3 (cộng với bản cập nhật cốt lõi của KDE4)
  • LLVM / Clang 3.8.0
  • LibreOffice 5.1.4.2
  • Lua 5.1.5, 5.2.4 và 5.3.3
  • MariaDB 10.0.25
  • Mono 4.4.0.182
  • Mozilla Firefox 45.2.0esr và 47.0.1
  • Mozilla Thunderbird 45.2.0
  • Mutt 1.6.2
  • Node.js 4.4.5
  • Ocaml 4.3.0
  • OpenLDAP 2.3.43 và 2.4.44
  • PHP 5.5.37, 5.6.23 và 7.0.8
  • Postfix 3.1.1 và 3.2-20160515
  • PostgreSQL 9.5.3
  • Python 2.7.12, 3.4.5 và 3.5.2
  • R 3.3.1
  • Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 và 2.3.1
  • Gỉ 1,9.0-20160608
  • Sendmail 8.15.2
  • Sudo 1.8.17.1
  • Tcl / Tk 8.5.18 và 8.6.4
  • TeX Live 2015
  • Vim 7.4.1467
  • Xfce 4.12
  • Như thường lệ, các cải tiến ổn định trong các trang thủ công và tài liệu khác.
  • Hệ thống bao gồm các thành phần chính sau đây từ các nhà cung cấp bên ngoài:
  • Xenocara (dựa trên X.Org 7.7 với xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 và hơn thế nữa)
  • GCC 4.2.1 (+ các bản vá lỗi) và 3.3.6 (+ các bản vá lỗi)
  • Perl 5.20.3 (+ các bản vá lỗi)
  • SQLite 3.9.2 (+ các bản vá lỗi)
  • NSD 4.1.10
  • Chưa được gửi 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ bản vá lỗi)
  • Gdb 6.3 (+ bản vá lỗi)
  • Awk ngày 10 tháng 8 năm 2011
  • Expat 2.1.1

Phần mềm tương tự

Ý kiến ​​để OpenBSD

Bình luận không
Nhập bình luận
Bật hình ảnh!