פּראָהאָסטער > בלאָג > אינטערנעט נייַעס > מעלדונג פון OpenBSD 6.5

מעלדונג פון OpenBSD 6.5

געזען די ליכט релиз свободной, кросс-платформенной UNIX-подобной операционной системы אָפּענבסד 6.5. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году, после קאָנפליקט מיט די NetBSD דעוועלאָפּערס, ווי אַ רעזולטאַט פון וואָס Teo איז געלייקנט אַקסעס צו די NetBSD CVS ריפּאַזאַטאָרי. נאָך דעם, Theo de Raadt און אַ גרופּע פון ​​ווי-מיינדיד מענטשן באשאפן אַ נייַע אָפֿן אָפּערייטינג סיסטעם באזירט אויף די NetBSD מקור בוים, די הויפּט צילן פון וואָס זענען פּאָרטאַביליטי (שטיצט דורך 13 ייַזנוואַרג פּלאַטפאָרמס), סטאַנדערדיזיישאַן, ריכטיק אָפּעראַציע, אַקטיוו זיכערהייט און ינאַגרייטיד קריפּטאָגראַפיק מכשירים. גאַנץ ייַנמאָנטירונג גרייס ISO בילד OpenBSD 6.5 באַזע סיסטעם איז 407 מעגאבייטן.

אין אַדישאַן צו די אָפּערייטינג סיסטעם זיך, די OpenBSD פּרויעקט איז באַוווסט פֿאַר זייַן קאַמפּאָונאַנץ, וואָס האָבן ווערן וויידספּרעד אין אנדערע סיסטעמען און האָבן פּראָווען זיך צו זיין איינער פון די מערסט זיכער און הויך-קוואַליטעט סאַלושאַנז. צווישן זיי: LibreSSL (גאָפּל OpenSSL), OpenSSH, פּאַקאַט פילטער PF, רוטינג דעמאָנס OpenBGPD און OpenOSPFD, נטפּ סערווער OpenNTPD, פּאָסט סערווער OpenSMTPD, טעקסט וואָקזאַל מולטיפּלעקסער (ענלעך צו GNU פאַרשטעלן) טמוקס, דעמאָן identd מיט אַן ימפּלאַמענטיישאַן פון די IDENT פּראָטאָקאָל, אַ BSDL אנדער ברירה צו די GNU groff פּעקל - mandoc, פּראָטאָקאָל פֿאַר אָרגאַנייזינג שולד-טאָלעראַנט סיסטעמען CARP (Common Address Redundancy Protocol), לייטווייט הטטפּ סערווער, טעקע סינגקראַנאַזיישאַן נוצן OpenRSYNC.

Среди наиболее заметных изменений: представлена переносимая версия bgpd, адаптированная для работы в других ОС, избавлены от использования root-привилегий Xenocara и tcpdump, для amd64 и i386 задействован по умолчанию компоновщик LDD, значительно улучшена поддержка MPLS, усилена защита от эксплоитов с приёмами возвратно-ориентированного программирования (ROP), добавлен простейший рекурсивный DNS-сервер unwind, в ядро интегрирован детектор неопределённого поведения, представлена собственная реализация утилиты rsync.

הויפּט ימפּרווומאַנץ:

  • При сборке для архитектур amd64 и i386 по умолчанию задействован компоновщик LDD, развиваемый проектом LLVM. Для архитектуры mips64 добавлена поддержка сборки с использованием Clang;
  • Новые драйверы pvclock для паравиртуализированного таймера KVM и ixl для Intel Ethernet 700. Драйвер uaudio заменён на новую реализацию с поддержкой USB Audio 2.0.
  • Улучшена работа драйверов беспроводных устройств bwfm, iwn, iwm и athn. В беспроводной стек добавлена поддержка сообщений RTM_80211INFO для передачи детальных сведений о состоянии интерфейса в команды dhclient и route. Изменено поведение по молчанию при подключении к беспроводным сетям — при наличии настроенного списка автоподключения, OpenBSD теперь не соединяется с неизвестными открытыми сетями (для возвращения прошлого поведения можно добавить пустую сеть в список);
  • В сетевом стеке представлены новые драйверы псевдоустройств bpe (Backbone Provider Edge) и mpip (MPLS IP layer 2). Для MPLS-интерфейсов добавлена поддержка настройки альтернативных доменов маршрутизации. Обеспечена работа драйвера vlan в обход обработки очередей с выводом напрямую в родительский сетевой интерфейс. В ifconfig добавлен режим txprio для управлением кодированием приоритета в заголовках туннелируемых пакетов (поддерживается для драйверов vlan, gre, gif и etherip);
  • В реализации фильтра bpf появилась возможность применения механизма отбрасывания (drop) без захвата пакетов. Данная возможность задействована в tcpdump для фильтрации на начальном этапе поступления пакета устройством;
  • В инсталляторе обеспечена поддержка rdsetroot для добавления дискового образа в RAMDISK ядра. Обеспечено удаление некоторых компонентов старых релизов в процессе обновления системы;
  • Усовершенствован системный вызов אַנווייל, который обеспечивает изоляцию доступа к файловой системе. В новой версии добавлено определение совпадений относительно рабочего каталога текущего процесса при разборе относительных путей. Запрещено использование stat и access для ограниченных компонентов файловых путей. Для приложений ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd и ifstated реализована защита с использованием unveil;
  • В Clang улучшены средства для блокирования применения приёмов возвратно-ориентированного программирования (ROP), позволившие значительно сократить число полиморфных гаджетов, встречающихся в результирующих исполняемых файлах для архитектур i386 и amd64;
  • В Clang повышена производительность и безопасность при применении
    механизма защиты RETGUARD, нацеленного на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования. Для ускорения работы вместо стека данные по возможности размещаются в регистрах, а при возврате более эффективно используется процессорный кэш. RETGUARD также теперь используется вместо традиционной защиты стека на системах amd64 и arm64;

  • Улучшены утилиты, связанные с сетевым стеком: В pcap-filter добавлена поддержка фильтрации пакетов MPLS. В ospfd, ospf6d и ripd добавлена возможность настройки приоритетов маршрутизации. В
    ripd добавлена защита на основе механизма צוזאָג. В ifconfig добавлены режимы sff и sffdump для получения диагностической информации с оптических передатчиков;

  • Представлен первый выпуск нового резолвера אַנוויינד, обрабатывающего рекурсивные DNS-запросы и принимающего соединения только на интерфейсе 127.0.0.1.
    Unwind рассчитан для использования на клиентских системах, таких как ноутбуки, перемещающиеся между разными беспроводными сетями. В случае определения блокирования DNS-трафика в локальной сети, unwind переключается на использование переданного по DHCP адреса рекурсивного DNS-сервера, но продолжает периодически пытаться выполнить резолвинг самостоятельно и как только прямые запросы начинают проходить возвращается к самостоятельному обращению к DNS-серверам;

  • В bgpd проведена работа по снижению потребления памяти, добавлен простой оптимизатор правил (выполняет слияние правил фильтрации, отличающихся только наборами фильтров), изменён процесс настройки BGP MPLS VPN, добавлена поддержка IPv6 BGP MPLS VPN, реализована функциональность «as-override» для замены AS соседа на локальный AS в путях, добавлена возможность сопоставления с несколькими communitie в одном правиле, добавлены новые признаки сопоставлений «*», «local-as» и «neighbor-as», улучшена работа с большими наборами правил, добавлены новые команды для работы с группами соседних автономных систем ( «bgpctl neighbor group», «bgpctl show neighbor group», «bgpctl show rib neighbor group»), в bgpctl добавлена возможность добавления сетей в таблицы BGP VPN. Впервые подготовлен переносимый вариант OpenBGPD-portable, готовый к работе в системах, отличных от OpenBSD;
  • Добавлена опция kubsan для выявления случаев неопределённого поведения в ядре OpenBSD.
  • Утилита tcpdump полностью избавлена от использования root-привилегий;
  • Улучшена производительность malloc в многопоточных приложениях;
  • В состав добавлена начальная версия программы OpenRSYNC с собственной реализацией утилиты синхронизации файлов rsync;
  • Обновлена версия почтового сервера OpenSMTPD, в которой в smtpd.conf добавлен новый критерий сопоставлений «from rdns», позволяющий выбирать севнсы на основе резолвинга обратного DNS (определение имени хоста по IP). При поиске в таблицах добавлена возможность применения регулярных выражений;
  • די OpenSSH 8.0 פּעקל איז דערהייַנטיקט, אַ דיטיילד איבערבליק פון די ימפּרווומאַנץ קענען זיין געפֿונען דאָ;
  • Обновлён пакет LibreSSL, подробный обзор улучшений можно посмотреть в анонсах выпусков 2.9.0 и 2.9.1;
  • В Mandoc значительно улучшен вывод в HTML, улучшена отрисовка таблиц и добавлен флаг «-O» для открытия страницы с определением указанного термина;
  • Расширены возможности графического стека Xenocara: X-сервер теперь не требует для запуска установки с флагом setuid. В Mesa-драйвере radeonsi включена поддержка аппаратного ускорения для GPU Southern Islands (Radeon HD 7000) и Sea Islands (Radeon HD 8000);
  • Порты на языке C++ для архитектур не поддерживаемых в Clang теперь собраны с использованием GCC из портов. Число портов для архитектуры AMD64 составило 10602, для aarch64 — 9654, для i386 — 10535. Из находящихся в портах приложений, отмечены:
    • אַסטעריסק 16.2.1
    • Audacity 2.3.1
    • מאַכן 3.10.2
    • כראם 73.0.3683.86
    • פפמפּעג 4.1.3
    • GCC 4.9.4 און 8.3.0
    • GNOME 3.30.2.1
    • גיי 1.12.1
    • JDK 8u202 и 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • ליברעאָפפיסע קסנומקס
    • Lua 5.1.5, 5.2.4 and 5.3.5
    • מאַריאַדב 10.0.38
    • מאָנאָ 5.18.1.0
    • מאָזיללאַ פירעפאָקס 66.0.2 און ESR 60.6.1
    • מאָזיללאַ טהונדערבירד קסנומקס
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 и 2.4.47
    • פפּ 7.1.28, 7.2.17 און 7.3.4
    • Postfix 3.3.3 и 3.4.20190106
    • פּאָסטגרעסקל 11.2
    • Python 2.7.16 и 3.6.8
    • ר קסנומקס
    • רובי 2.4.6, 2.5.5 און 2.6.2
    • זשאַווער 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • טקל/טק 8.5.19 און 8.6.8
    • טעקס לייוו 2018
    • ווים 8.1.1048 און נעאָווים 0.3.4
    • Xfce 4.12
  • Компоненты от сторонних разработчиков, входящие в состав OpenBSD 6.5:
    • Графический стек Xenocara на базе X.Org server 1.19.7 с патчами, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM / Clang 7.0.1 (מיט פּאַטשאַז)
    • GCC 4.2.1 (מיט פּאַטשאַז) און 3.3.6 (מיט פּאַטשאַז)
    • פּערל 5.28.1 (מיט פּאַטשאַז)
    • NSD 4.1.27
    • ניט געבונדן 1.9.1
    • נקורסעס 5.7
    • Binutils 2.17 (מיט פּאַטשאַז)
    • Gdb 6.3 (מיט פּאַטשאַז)
    • אויגוסט 10, 2011
    • עקספּאַט 2.2.6

מקור: opennet.ru

לייגן אַ באַמערקונג