Vydání OpenBSD 7.5

Je představeno vydání bezplatného operačního systému podobného UNIXu OpenBSD 7.5. Projekt OpenBSD založil Theo de Raadt v roce 1995 po konfliktu s vývojáři NetBSD, v důsledku čehož byl Theovi odepřen přístup k repozitáři NetBSD CVS. Poté Theo de Raadt a skupina stejně smýšlejících lidí vytvořili nový otevřený operační systém založený na zdrojovém stromu NetBSD, jehož hlavními vývojovými cíli byla přenositelnost (podporováno 13 hardwarových platforem), standardizace, správné fungování, proaktivní bezpečnost a integrované kryptografické nástroje. Úplný instalační ISO obraz základního systému OpenBSD 7.5 je 630 MB.

Kromě samotného operačního systému je projekt OpenBSD známý svými komponentami, které se rozšířily i v jiných systémech a osvědčily se jako jedno z nejbezpečnějších a nejkvalitnějších řešení. Mezi nimi: LibreSSL (fork OpenSSL), OpenSSH, PF paketový filtr, OpenBGPD a OpenOSPFD směrovací démony, OpenNTPD NTP server, OpenSMTPD poštovní server, textový terminálový multiplexer (analogický k obrazovce GNU) tmux, identd démon s implementací protokolu IDENT, alternativa BSDL Balíček GNU groff - mandoc, protokol pro organizaci systémů odolných proti chybám CARP (Common Address Redundancy Protocol), odlehčený http server, utilita pro synchronizaci souborů OpenRSYNC.

Hlavní vylepšení:

• Do instalačního programu byla přidána podpora pro šifrování kořenového oddílu. V režimu automatické instalace (autoinstall) je možné povolit šifrování disku zadáním hesla ve formátu prostého textu nebo poskytnutím klíčů na samostatném médiu. Sestavy pro architekturu AMD64 cdXX.iso a installXX.iso jsou přizpůsobeny pro zavádění v režimu EFI.
• Přidáno systémové volání pinsyscalls, které umožňuje provádět systémová volání pouze z konkrétních míst v adresním prostoru procesu. Jádro a ld.so mohou zaregistrovat přesné vstupní umístění každého systémového volání používaného programem a libc.so, aby následně blokovaly odesílání systémových volání z neregistrovaných míst.
• Odebrána podpora pro nepřímé volání systémových volání pomocí funkce syscall. V kombinaci s pinsyscalls vám změna umožňuje zakázat přímý přístup k systémovým voláním bez použití vazeb poskytovaných v libc. Balíčky, které přímo volají systémová volání, jako je Perl a Go, jsou upraveny tak, aby používaly pouze funkce libc.
• Na systémech ARM64 bylo rozšířeno použití mechanismů autentizace ukazatele (PAC - Pointer Authentication) a identifikace cíle (BTI).
• Přidáno do síťového rozhraní PPP Podpora IPv6.
• Obslužný program netstat nyní zobrazuje statistiky o účinnosti ukládání do mezipaměti trasy (výstup „netstat -s“ nyní zobrazuje čítače hitů a chyb).
• Paketový filtr pf zohledňuje změny v síťovém zásobníku spojené s paralelizací operací na víceprocesorových systémech. Při spuštění obslužného programu tcpdump se síťovým rozhraním pflog je možné zobrazit pakety, které byly zahozeny při spuštění výchozího pravidla s akcí „blok“. U pravidel s akcí „pass“ je poskytováno zobrazení blokovaných nesprávných paketů. Přidána kontrola správnosti voleb v IPv4 paketech k odklonění.
• Vylepšená podpora pro víceprocesorové (SMP) systémy. Obslužné rutiny časového limitu v síťovém zásobníku, počítání paketů pro rozhraní zpětné smyčky a modul vscsi_filtops byly přesunuty do kategorie mp-safe. Je možné paralelně provádět bind a connect systémová volání a také operace s tabulkami UDP pro IPv4 a IPv6. Přidána podpora pro současné odesílání UDP paketů z různých streamů.
• Vylepšené zpracování situací přetečení odkládacího oddílu, přidány změny k odstranění zablokování.
• Jádro pro systémy arm64 implementuje cachování obsahu poolů paměťových tabulek stránek a PTE deskriptorů, což výrazně zrychluje práci na vícejádrových systémech.
• Vylepšení byla provedena hypervizor VMM. Implementace zařízení vionet byla přepsána tak, aby podporovala multithreading a přenos dat mezi hostitelem a hostem v režimu nulové kopie, bez přechodného ukládání do vyrovnávací paměti. Vylepšená stabilita hypervizoru na systémech s instrukcemi Intel VMX. Přidána další ochrana proti nedávno zjištěným zranitelnostem v procesorech spojených se spekulativním prováděním instrukcí a úniky zbytkových dat z registrů.
• Pro systémy amd64 byl přidán sysctl machdep.retpoline pro kontrolu, zda je mechanismus retpoline povolen k ochraně proti útokům Spectre.
• Implementace frameworku drm (Direct Rendering Manager) je synchronizována s jádrem. Linux 18. 6. 22 (v předchozím čísle - 12. 6. 50).
• Byla přidána podpora pro nová zařízení a byly zahrnuty nové ovladače spojené s komponentami různých SoC, podpora ethernetových řadičů a přenos síťových operací na stranu síťových karet.
• Audio subsystém uaudio umožňuje připojení více ovladačů pro audio zařízení.
• Přidány ovladače apldcp a apldrm pro řadiče zobrazení používané v zařízeních Apple. Pro Apple Powerbook byla implementována možnost ovládat podsvícení klávesnice.
• Добавлен драйвер qwx для беспроводных чипов Qualcomm IEEE 802.11ax, созданный путём портирования драйвера ath11k из ядра Linux (входит в состав ядра, начиная с ветки 5.6). Драйвер позволяет задействовать беспроводные адаптеры, применяемые на таких ноутбуках, как Lenovo ThinkPad X13s и DELL XPS 9500. Для работы драйвера требуется установка файлов с прошивкой.
• Do obslužného programu pax byla přidána možnost zapisovat do archivů pax a do obslužného programu tar byla přidána podpora pro archivy pax větší než 8 GB.
• Nástroj ifconfig přidal podporu pro specifikaci čísel portů pro síťová rozhraní související s tunelem, jako jsou gif a gre.
• V bgpd byl mechanismus předávání zpráv a většina analyzátorů protokolů migrována na nové paměťově bezpečné API.
• Do rpki-client byla přidána experimentální podpora pro algoritmus digitálního podpisu P-256. Byla implementována možnost omezit činnost RPKI Trust Anchor pouze pro určitá čísla autonomních systémů. Přidána podpora pro RPKI Signed Prefix Lists.
• Do smtpd přidána podpora RFC 7505 (Null MX pro ověřování). доменов, které nepřijímají poštu) a je zde možnost vkládat víceřádkové tabulky a seznamy s filtry do smtpd.conf.
• Byla poskytnuta možnost instalovat uživatelské prostředí KDE Plasma 5.27 z balíčků kde-plasma a kde-plasma-extra (po ukončení podpory KDE4 nebyla podpora pro použití pracovní plochy KDE Plasma 5 v OpenBSD stále funkční). Verze dostupné pro instalaci jsou KDE Plasma 5.27.10, KDE Applications 23.08.4 a KDE Frameworks 5.115.0.
• Aktualizované balíčky LibreSSL a OpenSSH. Podrobný přehled vylepšení najdete v recenzích LibreSSL 3.9.0, OpenSSH 9.6 a OpenSSH 9.7.
• Počet portů pro architekturu AMD64 byl: 12309 (bylo 11845), pro aarch64 - 12145 (bylo 11508), pro i386 - 10830 (bylo 10603). Mezi verzemi aplikací v portech:
  • Hvězdička 16.30.1, 18.21.0, 20.6.0
  • Audacity 3.4.2
  • CMake 3.28.3
  • Chromium 122.0.6261.111
  • FFmpeg 4.4.4
  • Firefox 123.0.1, ESR 115.8.0
  • GCC 8.4.0, 11.2.0
  • GHC 9.6.4
  • GNOME 45
  • Přejděte na 1.22.1
  • JDK 8u402, 11.0.22, 17.0.10, 21.0.2
  • Krita 5.2.2
  • LLVM/Clang 13.0.0, 16.0.6, 17.0.6
  • LibreOffice 24.2.1.2
  • Lua 5.1.5, 5.2.4, 5.3.6, 5.4.6
  • MariaDB 10.9.8
  • Opice 6.12.0.199
  • Mutt 2.2.13 a NeoMutt 20240201
  • Node.js 18.19.1
  • OCaml 4.14.1
  • OpenLDAP 2.6.7
  • PHP 7.4.33, 8.0.30, 8.1.27, 8.2.16, 8.3.3
  • Postfix 3.8.6
  • PostgreSQL 16.2
  • Python 2.7.18, 3.9.18, 3.10.13, 3.11.8
  • Qt 5.15.12 (+ kde záplaty), 6.6.1
  • R 4.2.3
  • Ruby 3.1.4, 3.2.3, 3.3.0
  • Rez 1.76.0
  • SQLite 3.44.2
  • Shotcut 23.07.29
  • Sudo 1.9.15.5
  • Surikata 7.0.3
  • Tcl/Tk 8.5.19, 8.6.13
  • TeX Live 2023
  • Thunderbird 115.8.1
  • Vim 9.1.139, Neovim 0.9.5
  • Xfce 4.18.1
• Aktualizované komponenty třetích stran zahrnuté v OpenBSD 7.5:
  • Grafický zásobník Xenocara založený na X.Org 7.7 s xserverem 21.1.11 + záplaty, freetype 2.13.0, fontconfig 2.14.2, Mesa 23.1.9, xterm 378, xkeyboard-config 2.20, fonttosfnt 1.2.3.
  • LLVM/Clang 16.0.6 (+ záplaty)
  • GCC 4.2.1 (+ záplaty) a 3.3.6 (+ záplaty)
  • Perl 5.36.3 (+ záplaty)
  • NSD 4.8.0
  • Bez závazků 1.18
  • Zdravotní sestry 5.7
  • Binutils 2.17 (+ opravy)
  • Gdb 6.3 (+ oprava)
  • Awk 22.01.2024
  • Expat 2.6.0.
  • zlib 1.3.1 (+ záplaty).

Zdroj: opennet.ru