除了操作系统本身之外,OpenBSD 项目还以其组件而闻名,这些组件已在其他系统中广泛使用,并已证明自己是最安全和高质量的解决方案之一。 他们之中:
其中最显着的变化是:引入了 bgpd 的便携式版本,适合在其他操作系统中工作,消除了 Xenocara 和 tcpdump root 权限的使用,默认情况下为 amd64 和 i386 启用 LDD 链接器,MPLS 支持已被取消显着改进,并加强了针对回溯技术的攻击防护。面向编程(ROP),添加了最简单的递归 DNS 服务器展开,未定义行为检测器已集成到内核中,并且我们自己实现了 rsync 实用程序被介绍了。
主
- 为 amd64 和 i386 架构构建时,默认使用 LLVM 项目开发的 LDD 链接器。 对于mips64架构,增加了对使用Clang构建的支持;
- 用于半虚拟化 KVM 计时器的新 pvclock 驱动程序和用于 Intel 以太网 700 的 ixl。uaudio 驱动程序已被替换为支持 USB 音频 2.0 的新实现。
- 改进了无线设备驱动程序 bwfm、iwn、iwm 和 athn 的性能。 无线堆栈中添加了对 RTM_80211INFO 消息的支持,以将详细的接口状态信息传输到 dhclient 和路由命令。 连接到无线网络时的静默行为已更改 - 如果您配置了自动连接列表,OpenBSD 不再连接到未知的开放网络(要返回之前的行为,您可以向列表中添加一个空网络);
- 网络堆栈引入了新的 bpe(骨干提供商边缘)和 mpip(MPLS IP 第 2 层)伪设备驱动程序。 已为 MPLS 接口添加了对配置备用路由域的支持。 vlan 驱动程序已启用绕过队列处理并直接输出到父网络接口。 在 ifconfig 中添加了 txprio 模式,以控制隧道数据包标头中的优先级编码(支持 vlan、gre、gif 和 etherip 驱动程序);
- 在bpf过滤器的实现中,可以使用丢弃机制而不捕获数据包。 此功能在 tcpdump 中用于在设备接收数据包的初始阶段进行过滤;
- 安装程序提供支持
rdsetroot 将磁盘映像添加到内核 RAMDISK。 已确保在系统更新过程中删除旧版本的某些组件; - 改进的系统调用
揭开 ,它提供文件系统访问隔离。 新版本在解析相对路径时添加了相对于当前进程工作目录的匹配检测。 禁止使用 stat 和访问受限制的文件路径组件。 对于ospfd、ospf6d、relief、getconf、kvm_mkdb、bdftopcf、Xserver、passwd、spamlogd、spamd、sensorsd、snmpd、htpasswd、ifstated等应用,实现了unveil的保护; - Clang 改进了阻止使用面向返回编程 (ROP) 技术的工具,这显着减少了 i386 和 amd64 架构生成的可执行文件中发现的多态小工具的数量;
- Clang 在使用时提高了性能和安全性
保护机制重新卫士 ,旨在使使用借用代码片段和面向返回的编程技术构建的漏洞利用的执行变得复杂。 为了加速操作,数据尽可能放置在寄存器而不是堆栈中,并且在返回时更有效地使用处理器缓存。 RETGUARD 现在也用于替代 amd64 和 arm64 系统上的传统堆栈保护; - 与网络堆栈相关的实用程序已得到改进:pcap-filter 添加了对过滤 MPLS 数据包的支持。 ospfd、ospf6d 和 ripd 中添加了配置路由优先级的功能。 在
ripd 添加了基于机制的保护保证 。 ifconfig 新增 sff 和 sffdump 模式,以获取光发射机的诊断信息; - 首次发布新解析器
放松 ,它处理递归 DNS 查询并仅接受接口 127.0.0.1 上的连接。
Unwind 设计用于在不同无线网络之间移动的客户端系统,例如笔记本电脑。 如果它检测到本地网络上的 DNS 流量被阻止,则 unwind 会切换到使用通过 DHCP 传输的递归 DNS 服务器的地址,但会继续定期尝试独立解析,一旦直接请求开始通过,它就会返回到独立访问DNS 服务器; - 在bgpd中,已经做了减少内存消耗的工作,添加了一个简单的规则优化器(合并仅在过滤器集中不同的过滤规则),更改了BGP MPLS VPN配置过程,添加了对IPv6 BGP MPLS VPN的支持,并实现了“as-override”功能以将路径中的邻居 AS 替换为本地 AS,添加了在一个规则中与多个社区匹配的功能,添加了新的匹配功能“*”、“local-as”和“neighbor” -as”,改进了大型规则集的工作,添加了与相邻自治系统组一起工作的新命令(“bgpctl neighbor group”,“bgpctl show neighbor group”,“bgpctl show rib neighbor group”),添加网络的能力BGP VPN 表已添加到 bgpctl。 首次准备了OpenBGPD的便携版本-portable,可以在OpenBSD以外的系统上工作;
- 添加选项
库布桑 检测 OpenBSD 内核中未定义行为的情况。 - tcpdump 实用程序完全消除了 root 权限的使用;
- 改进了多线程应用程序中的 malloc 性能;
- 该程序的初始版本已添加到组合中
开放RSYNC 具有自己的 rsync 文件同步实用程序实现; - OpenSMTPD邮件服务器版本已更新,其中smtpd.conf中添加了新的比较标准“from rdns”,该标准允许您基于反向DNS解析(通过IP确定主机名)来选择会话。 在表中搜索时,添加了使用正则表达式的功能;
- OpenSSH 8.0 软件包已更新,可以找到详细的改进概述
这里 ; - LibreSSL 软件包已更新,详细的改进概述可以在发布公告中找到
2.9.0 и2.9.1 ; - Mandoc 显着改进了 HTML 输出,改进了表格渲染,并添加了“-O”标志来打开包含指定术语定义的页面;
- Xenocara 图形堆栈的功能已得到扩展:X 服务器不再需要使用 setuid 标志进行安装才能运行。 radeonsi Mesa 驱动程序包括对 SouthernIslands (Radeon HD 7000) 和 SeaIslands (Radeon HD 8000) GPU 硬件加速的支持;
- Clang 不支持的架构的 C++ 端口现在使用 GCC 从端口进行编译。 AMD64 架构的端口数量为 10602,aarch64 的端口数量为 9654,i386 的端口数量为 10535。在端口中的应用程序中,请注意以下内容:
- 星号16.2.1
- Audacity 2.3.1
- CMake的3.10.2
- 铬73.0.3683.86
- ffmpeg 4.1.3
- 海湾合作委员会 4.9.4 和 8.3.0
- GNOME 3.30.2.1
- 去1.12.1
- JDK 8u202 和 11.0.2+9-3
- LLVM/铿锵 7.0.1
- LibreOffice 6.2.2.2
- 卢阿 5.1.5、5.2.4 和 5.3.5
- 玛丽亚数据库10.0.38
- 单声道5.18.1.0
- Mozilla Firefox 66.0.2 和 ESR 60.6.1
- Mozilla Thunderbird 60.6.1
- 节点.js 10.15.0
- OpenLDAP 2.3.43 和 2.4.47
- PHP 7.1.28、7.2.17 和 7.3.4
- 后缀 3.3.3 和 3.4.20190106
- PostgreSQL 11.2
- Python 2.7.16 和 3.6.8
- ŕ3.5.3
- 红宝石 2.4.6.2.5.5、2.6.2 和 XNUMX
- 锈1.33.0
- 发送邮件8.16.0.41
- SQLite3 3.27.2
- 猫鼬4.1.3
- Tcl/Tk 8.5.19 和 8.6.8
- 2018 年 TeX 直播
- Vim 8.1.1048 和 Neovim 0.3.4
- Xfce 4.12
- OpenBSD 6.5 包含的第三方组件:
- Xenocara 图形堆栈基于 X.Org 服务器 1.19.7,带有补丁、freetype 2.9.1、fontconfig 2.12.4、Mesa 18.3.5、xterm 344、xkeyboard-config 2.20;
- LLVM/Clang 7.0.1(带补丁)
- GCC 4.2.1(带补丁)和 3.3.6(带补丁)
- Perl 5.28.1(带补丁)
- 国家标准局4.1.27
- 无界1.9.1
- Ncurses 5.7
- Binutils 2.17(带补丁)
- Gdb 6.3(带补丁)
- awk 10 年 2011 月 XNUMX 日
- 外籍人士2.2.6
来源: opennet.ru