OpenBSD - бесплатный проект, который предоставляет многоплатформенную UNIX-подобную операционную систему, которая является портативной, эффективной, безопасной и основанной на платформе 4.4BSD. Это мощный серверный продукт, используемый на сотнях тысяч компьютеров по всему миру.
Доступность, параметры загрузки, поддерживаемые платформы
Операционная система свободно доступна для загрузки из выделенного раздела (см. выше) в виде образов ISO или двоичных пакетов, которые позволяют пользователям устанавливать его по сети. Образы ISO могут быть записаны на CD-диски, загружаемые непосредственно из BIOS большинства ПК.
OpenBSD поддерживает двоичную эмуляцию большинства программ из SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS и HP-UX. Он может быть установлен на широкий спектр архитектур, включая i386, sparc64, alpha, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 и mips64el.
Изображение компакт-диска загружается автоматически без участия пользователя и спрашивает, хотят ли они вручную установить, обновить или автоматически установить операционную систему, а также перейти к приглашению оболочки.
Ручная или автоматическая установка
Стандартная (чтение: ручная) установка потребует от пользователей выбора раскладки клавиатуры, установки имени хоста, выбора сетевого интерфейса и настройки его с помощью IPv4 и / или IPv6, а также для установки нового пароля для root ( системный администратор).
Кроме того, вы можете выбрать запуск SSH и NTP-сервисов при запуске системы, выбрать, хотите ли вы использовать X Window System или нет, настроить пользователя, выбрать часовой пояс, разделить диск и установить наборы .
Среди включенных программных пакетов, доступных для OpenBSD, мы можем упомянуть рабочие среды GNOME, KDE и Xfce, серверы MySQL, PostgreSQL, Postfix и OpenLDAP, приложения Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim и Chromium, а также языки программирования PHP, Python, Ruby, Tcl / Tk, JDK, Mono и Go.
Нижняя линия
Подводя итоги, OpenBSD - это мощная и высоко оцененная серверная BSD / UNIX операционная система, которая предоставляет нам самое современное программное обеспечение, включая OpenSSH, OpenNTPD, OpenSMTPD, OpenBGPD, OpenIKED и mandoc.
Что нового в этой версии:
- Улучшена поддержка аппаратного обеспечения, в том числе:
- Поддержка SMP на платформах OpenBSD / arm64.
- Поддержка VFP и NEON на платформах OpenBSD / armv7.
- Новый драйвер acrtc (4) для аудиокодека X-Powers AC100 и часов реального времени.
- Новый драйвер axppmic (4) для микросхем управления питанием X-Powers AXP.
- Новый драйвер bcmrng (4) для генератора случайных чисел Broadcom BCM2835 / BCM2836 / BCM2837.
- Новый драйвер bcmtemp (4) для монитора температуры Broadcom BCM2835 / BCM2836 / BCM2837.
- Новый драйвер bgw (4) для датчика движения Bosch.
- Новый драйвер bwfm (4) для устройств Broadcom и Cypress FullMAC 802.11 (по-прежнему экспериментальный и не скомпилирован в ядро по умолчанию)
- Новый драйвер efi (4) для служб среды EFI.
- Новый драйвер imxanatop (4) для встроенного регулятора i.MX6.
- Новый драйвер rkpcie (4) для моста Rockchip RK3399 Host / PCIe.
- Новый драйвер sxirsb (4) для контроллера Allwinner Reduced Serial Bus.
- Новый драйвер sxitemp (4) для монитора температуры Allwinner.
- Новый драйвер sxits (4) для датчика температуры на контроллере тачпада Allwinner A10 / A20.
- Новый драйвер sxitwi (4) для двухпроводной шины, найденный на нескольких Allwinner SoCs.
- Новый драйвер sypwr (4) для регулятора Silergy SY8106A.
- Поддержка ROCKCHIP RK3328 SoCs добавлена в драйверы dwge (4), rkgrf (4), rkclock (4) и rkpinctrl (4).
- Поддержка драйвера Rockchip RK3288 / RK3328 была добавлена в драйвер rktemp (4).
- В драйвер sxiccmu (4) добавлена поддержка Allwinner A10 / A20, A23 / A33, A80 и R40 / V40 SoCs.
- Поддержка драйвера Allwinner A33, GR8 и R40 / V40 была добавлена в драйвер sxipio (4).
- Поддержка MASRAID SAS3.5 добавлена в драйвер mfii (4).
- Поддержка драйвера Intel Cannon Lake и Ice Lake была добавлена к драйверу em (4).
- cnmac (4) порты теперь назначаются различным ядрам процессора для обработки распределенных прерываний.
- Теперь драйвер pms (4) обнаруживает и обрабатывает сообщения об отказе.
- На amd64 микрокод процессора Intel загружается при загрузке и устанавливается / обновляется fw_update (1).
- Поддержка API-интерфейсов cookie прерывания sun4v, добавление поддержки машин SPARC T7-1 / 2/4.
- Поддержка Hibernate добавлена для хранения SD / MMC, прикрепленной к контроллерам sdhc (4).
- clang (1) теперь используется как системный компилятор на armv7, и он также предоставляется на sparc64.
- vmm (4) / vmd (8) улучшения:
- Добавьте поддержку CD-ROM / DVD ISO в vmd (8) через vioscsi (4).
- vmd (8) больше не создает базовый интерфейс моста для виртуальных коммутаторов, определенных в vm.conf (5).
- vmd (8) получает информацию о коммутаторе (rdomain и т. д.) из основного интерфейса коммутатора в сочетании с настройками в vm.conf (5).
- Поддержка счетчика времени (TSC) в гостевых виртуальных машинах.
- Поддержка ukvm / Solo5 unikernels в vmm (4).
- Лучше обрабатывать допустимые (но необычные) кодировки команд.
- Лучшая поддержка подкачки PAE для 32-разрядных гостевых виртуальных машин Linux.
- vmd (8) теперь позволяет использовать до четырех сетевых интерфейсов в каждой виртуальной машине.
- Добавить приостановленную миграцию и поддержку моментальных снимков для vmm (4) для хостов AMD SVM / RVI.
- Команды BREAK, переданные через pty (4), теперь понимаются посредством vmd (8).
- Много исправлений для обработки ошибок vmctl (8) и vmd (8).
- Улучшения в беспроводном стеке IEEE 802.11:
- Драйверы iwm (4) и iwn (4) автоматически перемещаются между точками доступа, которые совместно используют ESSID. Принуждение MAC-адреса конкретного AP с помощью команды bssid ifconfig отключает роуминг.
- Автоматическая очистка настроенных ключей WEP / WPA при настройке нового сетевого ESSID.
- Удалена возможность для userland считывать настроенные ключи WEP / WPA из ядра.
- Теперь драйвер iwm (4) подключается к сетям со скрытым SSID.
- USB-устройства, поддерживаемые драйвером athn (4), теперь используют прошивку с открытым исходным кодом, а режим hostap теперь работает с этими устройствами.
- Улучшение общих сетевых стеков:
- Сетевой стек больше не работает с KERNEL_LOCK (), когда включен IPsec.
- Обработка входящих пакетов TCP / UDP теперь выполняется без KERNEL_LOCK ().
- Задача сращивания сокетов выполняется без KERNEL_LOCK ().
- Очистка и удаление кода в sys / netinet6 с момента запуска autoconfiguration в userland.
- Мост (4) теперь может быть предотвращен, чтобы поговорить друг с другом с помощью нового защищенного варианта.
- Функция переадресации pf упрощена. Опция сокета IP_DIVERTFL была удалена из divert (4).
- Различные угловые случаи pf-переадресации и переадресации теперь более согласованы.
- Обеспечьте в pf (4), что все пакеты обнаружения соседей имеют 255 в своем поле ограничения перехвата заголовка IPv6.
- Новая опция syncookies для установки в pf.conf (5).
- Поддержка GRE по IPv6.
- Новый драйвер egre (4) для туннелей Ethernet через GRE.
- Поддержка дополнительного ключа GRE и энтропии ключа GRE в gre (4) и egre (4).
- Новый драйвер nvgre (4) для сетевой виртуализации с использованием универсальной инкапсуляции маршрутизации.
- Поддержка настройки пакетов флагов Do not Fragment, инкапсулированных туннельными интерфейсами.
- Усовершенствования установщика:
- Если файл install.site или upgrade.site не работает, уведомите пользователя и об ошибке после сохранения файла rand.seed.
- разрешить запись CIDR при вводе адресов IPv4 и IPv6.
- отремонтировать выбор зеркала HTTP из списка зеркал.
- разрешить '-' в именах пользователей.
- задайте вопрос в конце процесса установки / обновления, так что возврат каретки вызывает соответствующие действия, например. перезагрузка.
- отображать подсказки оболочки (устанавливать или обновлять), пока неизвестно имя хоста.
- правильно определить, какой интерфейс имеет маршрут по умолчанию, и если он был настроен через DHCP.
- гарантировать, что наборы могут быть прочитаны из области предварительной выборки.
- обеспечить перенаправление URL-адресов для всей установки / обновления.
- добавить прокси-сервер HTTP, используемый при наборе наборов в rc.firsttime, где fw_update и syspatch могут его найти и использовать.
- добавить логику для поддержки RFC 7217 с помощью SLAAC.
- убедитесь, что IPv6 настроен для динамически создаваемых сетевых интерфейсов, таких как vlan (4).
- создать правильное имя хоста, если в договоре DHCP предоставляются как имя домена, так и параметры поиска домена.
- Маршрутизация демонов и другие улучшения сети пользователя:
- bgpctl (8) имеет новую опцию ssv, которая выводит записи ребер как одну разделительную точку с запятой, как для выбора перед выходом.
- slaacd (8) генерирует случайные, но стабильные адреса автоконфигурации без учета состояния IPv6 в соответствии с RFC 7217. Они включены по умолчанию в соответствии с RFC 8064.
- slaacd (8) следует за RFC 4862 путем удаления искусственного ограничения на префиксы размером 64 бит с использованием RFC 7217 (случайных, но стабильных) и RFC 4941 (конфиденциальность).
- ospfd (8) теперь может установить метрику для маршрута в зависимости от состояния интерфейса.
- ifconfig (8) имеет новый параметр staticarp, чтобы заставить интерфейсы отвечать только на запросы ARP.
- ipsecctl (8) теперь может сжимать выходы потока с одним и тем же источником или получателем.
- Опция -n в netstart (8) больше не работает с маршрутом по умолчанию. Он также документирован.
- Улучшения безопасности:
- Используйте еще больше ловушек на разных архитектурах.
- Больше использования .rodata для постоянных переменных в источнике сборки.
- Прекратить использование x86 "repz ret" в пыльных углах дерева.
- Ввести "execpromises & quot; в залоге (2).
- Утилита elfrdsetroot, используемая для сборки ramdisks, и процесс мониторинга отскока (8) теперь используют залог (2).
- Подготовьтесь к вводу MAP_STACK в mmap (2) после 6.3.
- Начать небольшой фрагмент связанного с KARL текста ядра в генератор случайных чисел в качестве энтропии при запуске.
- Поместите небольшой случайный пробел в верхнюю часть стеков потоков, чтобы у злоумышленников был еще один расчет, выполняемый для их работы с ROP.
- Смягчение уязвимости Meltdown для процессоров Intel amd64 Intel.
- OpenBSD / arm64 теперь использует изоляцию таблицы страниц ядра, чтобы уменьшить атаки Spectre variant 3 (Meltdown).
- OpenBSD / armv7 и OpenBSD / arm64 теперь очищают буфера целевого буфера (BTB) от процессоров, которые выполняют спекулятивное выполнение, чтобы уменьшить атаки Spectre variant 2.
- pool_get (9) нарушает порядок элементов на вновь выделенных страницах, что затрудняет предсказать компоновку кучи ядра.
- Системный вызов fktrace (2) был удален.
- dhclient (8):
- Parsing dhclient.conf (5) больше не теряет строки SSID, строки, которые слишком велики для буфера синтаксического анализа или повторяющихся параметров и команд строки.
- Сохранение аренды в dhclient.conf (5) больше не поддерживается.
- «DENY» больше не действует в dhclient.conf (5).
- dhclient.conf (5) и dhclient.leases (5) сообщения об ошибках синтаксического анализа были упрощены и уточнены с улучшенным поведением в присутствии неожиданных точек с запятой.
- Больше внимания уделяется использованию только тех данных конфигурации, которые были успешно проанализированы.
- '- n', из-за чего dhclient (8) выйдет после разбора dhclient.conf (5).
- Пути по умолчанию в параметрах classless-static-routes (121) и classless-ms-static-routes (249) теперь корректно представлены в файлах dhclient.leases (5).
- Перезаписать файл, указанный с помощью '-L', а не добавлять к нему.
- Аренда в dhclient.leases (5) теперь содержит атрибут «epoch», записывающий время аренды, которое используется для расчета правильного обновления, повторного использования и срока действия.
- Больше не называть символы подчеркивания в именах, нарушающих RFC 952.
- Безоговорочно отправлять информацию об имени хоста при запросе аренды, устраняя необходимость установки dhclient.conf (5) при установке по умолчанию.
- По умолчанию тише. '-q' удален и '-v' добавлен для включения подробного ведения журнала.
- Отменить дублирование предложений по запрошенному адресу.
- Безусловно, перейдите в фоновый режим после секунд ожидания ссылки.
- Значительно уменьшите ведение журнала при тишине, но сделайте «-v» зарегистрируйте всю отладочную информацию без необходимости компилирования пользовательского исполняемого файла.
- Игнорировать «интерфейс» в dhclient.leases (5) и предположить, что все лизинга в файле предназначены для настраиваемого интерфейса.
- Отобразить источник аренды, привязанный к интерфейсу.
- 'ignore', 'request' и 'require' декларации в dhclient.conf (5) теперь добавляют указанные параметры в соответствующий список, а не заменяют список.
- Исключить гонку запуска, которая может привести к выходу dhclient (8) без настройки интерфейса.
- Различные улучшения:
- Реорганизация кода и другие улучшения для malloc (3) и друзей, чтобы сделать их более эффективными.
- При выполнении операций приостановки или спящего режима убедитесь, что все файловые системы правильно синхронизированы и отмечены как чистые, или если они не могут быть полностью очищены на диске (из-за открытых + несвязанных файлов), отметьте их грязными, так что сбойное резюме / unhibernate гарантированно выполняет fsck (8).
- acme-client (1) автоматически определяет URL-адрес соглашения и выполняет 30-кратные HTTP-перенаправления.
- Добавлен __cxa_thread_atexit () для поддержки современных цепей инструментов C ++.
- Добавлена поддержка EVFILT_DEVICE для kqueue (2) для мониторинга изменений в устройствах drm (4).
- ldexp (3) теперь корректно обрабатывает знак денормальных чисел на mips64.
- Новые функции sincos (3) в libm.
- fdisk (8) теперь обеспечивает достоверность смещений разделов MBR, введенных во время редактирования.
- fdisk (8) теперь гарантирует, что значения по умолчанию лежат в пределах допустимого диапазона.
- less (1) теперь разделяет только переменную среды LESS на '$'.
- less (1) больше не создает ложный файл, когда встречается «$» в исходной команде.
- softraid (4) теперь проверяет количество кусков при сборке тома, обеспечивая синхронизацию на метаданных на диске и в памяти.
- disklabel (8) теперь всегда предлагает отредактировать размер фрагмента раздела FFS, прежде чем предлагать отредактировать размер блока.
- disklabel (8) теперь позволяет редактировать атрибут цилиндров / групп (cpg) всякий раз, когда может быть отредактирован размер блока.
- disklabel (8) теперь обнаруживает ^ D и недопустимый ввод во время команд (R) esize.
- disklabel (8) теперь обнаруживает недотоки и переполнения, когда используются операторы - / +.
- disklabel (8) теперь позволяет избежать смещения при вычислении количества цилиндров в свободной части.
- disklabel (8) теперь проверяет размер запрашиваемого раздела на размер наибольшего свободного фрагмента вместо полного свободного пространства.
- Поддержка сброса USB-передач через bpf (4).
- tcpdump (8) теперь может понимать дампы передачи USB в формате USBPcap.
- В запросах по умолчанию для csh (1), ksh (1) и sh (1) теперь указано имя хоста.
- Распределение памяти в ksh (1) было переключено с calloc (3) обратно на malloc (3), что упростило распознавание неинициализированной памяти. В результате была обнаружена и исправлена ошибка, связанная с историей в режиме редактирования emacs.
- Новый сценарий (1) -c для запуска команды вместо оболочки.
- Новый параметр grep (1) -m для ограничения количества совпадений.
- Новая опция uniq (1) -i для сравнения без учета регистра.
- Строка формата printf (3) больше не проверяется при поиске% форматов. Основываясь на фиксации с помощью android и следуя большинству других операционных систем.
- Улучшена проверка ошибок в vfwprintf (3).
- Многие базовые программы были проверены и исправлены для файловых дескрипторов, включая cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) и sshd (8).
- Различные исправления ошибок и улучшения в jot (1):
- Были удалены произвольные пределы длины для аргументов для параметров -b, -s, -w.
- Спецификатор формата% F теперь поддерживается, и исправлена ошибка в формате% D.
- Лучшее покрытие кода в регрессионных тестах.
- Исправлено несколько переполнений буфера.
- Утилита patch (1) теперь лучше справляется с git diffs, которые создают или удаляют файлы.
- pkg_add (1) теперь улучшил поддержку перенаправлений HTTP (S), таких как cdn.openbsd.org.
- ftp (1) и pkg_add (1) теперь поддерживают возобновление сеанса HTTPS для улучшения скорости.
- Размер файла Mandoc (1) -T ps уменьшен более чем на 50%.
- syslogd (8) регистрируется, если во время запуска были предупреждения.
- syslogd (8) прекратил ведение журнала в файлах в полной файловой системе. Теперь он пишет предупреждение и продолжает после того, как пространство было доступно.
- vmt (4) теперь позволяет клонировать и делать снимки для запуска только для диска.
- OpenSMTPD 6.0.4
- Добавить опцию spf walk для smtpctl (8).
- Различные очистки и улучшения.
- Многочисленные исправления и улучшения вручную.
- OpenSSH 7.7
- Новые / измененные функции:
- Все: добавьте экспериментальную поддержку для ключей PQC XMSS (расширенные сигнатуры на основе хаша) на основе алгоритма, описанного в https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 Код подписи XMSS является экспериментальным и не компилируется по умолчанию.
- sshd (8): добавьте & quot; rdomain & quot; критерии для ключевого слова Match sshd_config, чтобы разрешить условную конфигурацию, которая зависит от того, какой домен маршрутизации был получен соединение (в настоящее время поддерживается на OpenBSD и Linux).
- sshd_config (5): добавьте дополнительный атрибут rdomain в директиву ListenAddress, чтобы разрешить прослушивание в разных доменах маршрутизации. Это поддерживается только в OpenBSD и Linux в настоящее время.
- sshd_config (5): добавьте директиву RDomain, чтобы позволить аутентифицированный сеанс помещаться в явный домен маршрутизации. Это поддерживается только в OpenBSD в настоящее время.
- sshd (8): добавить "время истечения срока действия" опция для файлов authorized_keys, чтобы разрешать истекающие ключи.
- ssh (1): добавьте параметр BindInterface, чтобы разрешить привязку исходящего соединения к адресу интерфейса (в основном более удобный BindAddress).
- ssh (1): выставить устройство, выделенное для перенаправления туннеля / переадресации через новое расширение% T для LocalCommand. Это позволяет использовать LocalCommand для подготовки интерфейса.
- sshd (8): выставить устройство, назначенное для перенаправления туннеля / переадресации, с помощью новой переменной среды SSH_TUNNEL. Это позволяет автоматически настраивать интерфейс и конфигурацию сети на сервере.
- ssh (1) / scp (1) / sftp (1): добавьте поддержку URI для ssh, sftp и scp, например. ssh: // user @ host или sftp: // user @ host / path. Дополнительные параметры подключения, описанные в проекте-ietf-secsh-scp-sftp-ssh-uri-04, не реализованы, поскольку формат отпечатка ssh в черновике использует устаревший хеш MD5 без возможности указать какой-либо другой алгоритм.
- ssh-keygen (1): Разрешить интервалы проверки сертификатов, которые указывают только время начала или остановки (вместо обоих или ни одного).
- sftp (1): Allow & quot; cd & quot; и "lcd" команд без явного аргумента пути. lcd изменится в домашний каталог локального пользователя, как обычно. cd изменится на стартовый каталог для сеанса (потому что протокол не дает возможности получить домашний каталог удаленного пользователя). BZ # 2760
- sshd (8): При выполнении теста конфигурации с помощью sshd -T требуется только атрибуты, которые фактически используются в критериях соответствия, а не (неполный список) всех критериев.
- В этой версии исправлены следующие существенные ошибки:
- ssh (1) / sshd (8): более строго проверяйте типы подписей во время обмена ключами с тем, что обсуждалось. Предотвращает понижение подписей RSA с SHA-256/512 до SHA-1.
- sshd (8): Исправить поддержку для клиента, который рекламирует версию протокола «1,99». (указывая, что они готовы принять SSHv1 и SSHv2). Это было нарушено в OpenSSH 7.6 во время удаления поддержки SSHv1. BZ # 2810
- ssh (1): Предупреждать, когда агент возвращает подпись ssh-rsa (SHA1), когда запрашивалась подпись rsa-sha2-256 / 512. Это условие возможно, если используется старый или не-OpenSSH-агент. BZ # 2799
- ssh-agent (1): Исправить регрессию, представленную в 7.6, которая заставила ssh-agent окончательно выйти, если была представлена недопустимое сообщение запроса подписи.
- sshd_config (5): Признать опции да / нет флажком без учета регистра, как это было в случае ssh_config (5) в течение длительного времени. BZ # 2664
- ssh (1): улучшить сообщение об ошибках при сбоях во время соединения. В некоторых случаях показывались ошибочные ошибки. BZ # 2814
- ssh-keyscan (1): Добавить параметр -D, чтобы разрешить печать результатов непосредственно в формате SSHFP. BZ # 2821
- Тесты регрессии: исправить проверку взаимодействия PuTTY в последнем выпуске SSHv1. BZ # 2823
- ssh (1): исправление совместимости для некоторых серверов, которые ошибочно удаляют соединение при отправке опции IUTF8 (RFC8160).
- scp (1): отключить RemoteCommand и RequestTTY в сеансе ssh, запущенном scp (sftp уже делал это.)
- ssh-keygen (1): отказаться от создания сертификата с неиспользуемым количеством участников.
- ssh-keygen (1): Fatally exit, если ssh-keygen не может записать весь открытый ключ во время генерации ключа. Ранее он молча игнорировал ошибки, записывая комментарий и завершая новую строку.
- ssh (1): не изменяйте аргументы имени хоста, которые являются адресами, автоматически заставляя их работать в нижнем регистре. Вместо этого canonicalise они разрешают двусмысленности (например, :: 0001 = & gt; :: 1), прежде чем они будут сопоставлены с known_hosts. BZ # 2763
- ssh (1): не принимать нежелательные сообщения после & quot; да & quot; или "нет" ответы на подсказки командной строки. BZ # 2803
- sftp (1): Если sdfp выведет предупреждение о чистоте оболочки, когда декодирование первого пакета завершится с ошибкой, что обычно вызвано загрязнением среды запуска неинтерактивных стартапов. BZ # 2800
- ssh (1) / sshd (8): переключать таймеры в пакетном коде с использования времени настенного времени в монотонное время, позволяя более эффективному функционированию пакета на шаге такта и избегая возможного переполнения целого числа во время шагов.
- Многочисленные исправления и улучшения вручную.
- LibreSSL 2.7.2
- Добавлена поддержка многих API OpenSSL 1.0.2 и 1.1 на основе наблюдений за использованием в приложениях реального мира. Они реализованы параллельно с существующими API OpenSSL 1.0.1 - изменения видимости не были сделаны в существующих структурах, что позволило продолжить работу кода, написанного для более старых API OpenSSL.
- Обширные исправления, улучшения и дополнения к документации API, включая новые общедоступные API из OpenSSL, которые не имели ранее существовавшей документации.
- Добавлена поддержка автоматической инициализации библиотеки в libcrypto, libssl и libtls. Теперь требуется поддержка pthread_once или совместимого эквивалента для целевой операционной системы. В качестве побочного эффекта минимальная поддержка Windows - Vista или выше.
- Конвертирует больше методов обработки пакетов в CBB, что повышает отказоустойчивость при генерации сообщений TLS.
- Завершено переполнение обработчика расширений TLS, улучшая согласованность проверок для искаженных и дублированных расширений.
- Переписано ASN1_TYPE_ {get, set} _octetstring () с использованием шаблона ASN.1. Это удаляет последнее использование старых макросов M_ASN1_ * (asn1_mac.h) из API, которые должны продолжать существовать.
- Добавлена поддержка возобновления сеанса на стороне клиента в libtls. Клиент libtls может указывать дескриптор файла сеанса (обычный файл с соответствующим правом собственности и разрешениями), а libtls будет управлять чтением и записью данных сеанса через handshakes TLS.
- Улучшена поддержка строгого выравнивания по архитектурам ARMv7, условно разрешая сборку в этих случаях.
- Исправлена ошибка утечки памяти в libtls при повторном использовании tls_config.
- Слияние большего количества поддержки DTLS в обычный путь кода TLS, удаление дублированного кода.
- Порты и пакеты:
- dpb (1) и нормальные порты (7) теперь могут пользоваться той же самой разделяемой привилегией моделью, устанавливая PORTS_PRIVSEP = Да
- Множество готовых пакетов для каждой архитектуры:
- aarch64: 7990
- alpha: 1
- amd64: 9912
- arm: XXXX
- hppa: XXXX
- i386: 9861
- mips64: 8149
- mips64el: XXXX
- powerpc: XXXX
- sh: 1
- sparc64: XXXX
- Некоторые основные моменты:
- AFL 2.52b
- CMake 3.10.2
- Chromium 65.0.3325.181
- Emacs 21.4 и 25.3
- GCC 4.9.4
- GHC 8.2.2
- Gimp 2.8.22
- GNOME 3.26.2
- Go 1.10
- Groff 1.22.3
- JDK 8u144
- KDE 3.5.10 и 4.14.3 (плюс обновления ядра KDE4)
- LLVM / Clang 5.0.1
- LibreOffice 6.0.2.1
- Lua 5.1.5, 5.2.4 и 5.3.4
- MariaDB 10.0.34
- Mozilla Firefox 52.7.3esr и 59.0.2
- Mozilla Thunderbird 52.7.0
- Mutt 1.9.4 и NeoMutt 20180223
- Node.js 8.9.4
- Ocaml 4.03.0
- OpenLDAP 2.3.43 и 2.4.45
- PHP 5.6.34 и 7.0.28
- Postfix 3.3.0 и 3.4-20180203
- PostgreSQL 10.3
- Python 2.7.14 и 3.6.4
- R 3.4.4
- Ruby 2.3.6, 2.4.3 и 2.5.0
- Rust 1.24.0
- Sendmail 8.16.0.21
- SQLite3 3.22.0
- Sudo 1.8.22
- Tcl / Tk 8.5.19 и 8.6.8
- TeX Live 2017
- Vim 8.0.1589
- Xfce 4.12
- Как обычно, неуклонное улучшение страниц руководства и другая документация.
- Система включает в себя следующие основные компоненты от внешних поставщиков:
- Xenocara (на основе X.Org 7.7 с xserver 1.19.6 + патчами, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 и более)
- LLVM / Clang 5.0.1 (+ патчи)
- GCC 4.2.1 (+ исправления) и 3.3.6 (+ патчи)
- Perl 5.24.3 (+ патчи)
- NSD 4.1.20
- Unbound 1.6.8
- Ncurses 5.7
- Binutils 2.17 (+ патчи)
- Gdb 6.3 (+ патчи)
- Awk 10 августа 2011 г. версия
- Expat 2.2.5
Улучшения
Добавлен
Что нового в версии 6.2:
- Новые / расширенные платформы:
- ARMv7:
- Добавлен загрузчик EFI, теперь ядра загружаются из FFS вместо файловых систем FAT или EXT, без заголовков U-Boot.
- Одно ядро и ramdisk теперь используются для всех SoC.
- Аппаратное обеспечение динамически перечисляется с помощью дерева Flattened Device Tree (FDT) вместо статических таблиц на основе номеров идентификаторов платы.
- Изображения установщика Miniroot включают U-Boot 2016.07 с поддержкой полезных нагрузок EFI.
- VAX:
- Удален.
- Улучшена поддержка аппаратного обеспечения, в том числе:
- Новый драйвер bytgpio (4) для контроллера Intel Bay Trail GPIO.
- Новый драйвер chvgpio (4) для контроллера Intel Cherry View GPIO.
- Новый драйвер maxrtc (4) для часов реального времени Maxim DS1307.
- Новый драйвер nvme (4) для интерфейса контроллера хоста с энергонезависимой памятью (NVMe).
- Новый драйвер pcfrtc (4) для часов реального времени NXP PCF8523.
- Новый драйвер umb (4) для модели интерфейса мобильного широкополосного доступа (MBIM).
- Новый драйвер (4) для RealTek RTL8152 на базе 10/100 USB-устройств Ethernet.
- Новый драйвер utvfu (4) для устройств захвата аудио / видео на основе Fushicai USBTV007.
- Драйвер iwm (4) теперь поддерживает устройства Intel Wireless 3165 и 8260 и работает более надежно в ядрах RAMDISK.
- Поддержка I2C HID-устройств с сигнальными прерываниями GPIO была добавлена в dwiic (4).
- Поддержка больших шинных шин, высокоскоростных режимов и передачи DMA была добавлена в sdmmc (4), rtsx (4), sdhc (4) и imxesdhc (4).
- Поддержка EHCI и совместимых с OHCI USB-контроллеров на SoCs Octeon II.
- Многие драйверы устройств USB были включены в OpenBSD / octeon.
- Улучшена поддержка аппаратных сокращений ACPI.
- Улучшена поддержка версий ACPI 5.0.
- AES-NI crypto теперь выполняется без блокировки ядра.
- Улучшена поддержка AGP на машинах PowerPC G5.
- Добавлена поддержка слота для SD-карт в SoCs Bay Bay Trail.
- Драйвер ichiic (4) теперь игнорирует прерывание SMBALERT #, чтобы предотвратить прерывистый шторм с ошибками реализации BIOS.
- Исправлены проблемы с подключением устройства с драйвером axen (4).
- Драйвер ral (4) более стабилен под нагрузкой с устройствами RT2860.
- Проблемы с мертвыми клавиатурами после возобновления были исправлены в драйвере pckbd (4).
- Драйвер rtsx (4) теперь поддерживает устройства RTS522A.
- Добавлена начальная поддержка MSI-X.
- Поддержка MSI-X в драйвере virtio (4).
- Добавлен обходной путь для аппаратного переполнения DMA для драйвера dc (4).
- Теперь драйвер acpitz (4) вращает вентилятор после охлаждения, если ACPI использует гистерезис для активного охлаждения.
- Драйвер xhci (4) теперь корректно выполняет эстафетную передачу из BIOS, поддерживающего xHCI.
- Поддержка драйвера multi-touch добавлена в драйвер wsmouse (4).
- Теперь драйвер uslcom (4) поддерживает последовательную консоль беспроводных контроллеров Aruba 7xxx.
- Драйвер re (4) теперь работает с разбитыми светодиодными конфигурациями в EEPROM APU1.
- Драйвер ehci (4) теперь работает с проблемами с USB-контроллерами ATI (например, SB700).
- Драйвер xen (4) теперь поддерживает конфигурацию domU в Qubes OS.
- Улучшения в беспроводном стеке IEEE 802.11:
- Логика буфера приема в блоке HT-блока принимает алгоритм, указанный в спецификации 802.11-2012.
- Теперь драйвер iwn (4) отслеживает изменения защиты HT, связанные с 11n AP.
- Беспроводной стек и несколько драйверов более активно используют RTS / CTS, чтобы избежать помех от устаревших устройств и скрытых узлов.
- Команда netstat (1) -W теперь показывает информацию о событиях 802.11n.
- В режиме hostap не следует повторно использовать идентификаторы ассоциаций узлов, которые все еще кэшируются. Устраняет проблему, когда точка доступа, использующая драйвер ral (4), застряла на скорости 1 Мбит / с, поскольку учет скорости Tx произошел на неправильном объекте узла.
- Улучшение общих сетевых стеков:
- Таблица маршрутизации теперь основана на ART, предлагающем более быстрый поиск.
- Количество маршрутов для каждого пакета сокращено до 1 в пути пересылки.
- Поле prio в заголовках VLAN теперь правильно установлено на каждом фрагменте пакета IPv4, выходящем на интерфейс vlan (4).
- Включено клонирование устройств для bpf (4). Это позволяет системе иметь только один узел устройства bpf в / dev, который обслуживает всех пользователей bpf (до 1024).
- Теперь очередь Tx драйвера cnmac (4) теперь обрабатывается параллельно остальной части ядра.
- Сетевой путь ввода теперь выполняется в контексте потока.
- Усовершенствования установщика:
- обновленный список ограниченных пользовательских кодов
- install.sh и upgrade.sh объединены в install.sub
- update автоматически запускает sysmerge (8) в пакетном режиме до fw_update (1)
- вопросы и ответы регистрируются в формате, который может использоваться в качестве файла ответов для использования с помощью autoinstall (8)
- / usr / local устанавливается на wxallowed во время установки
- Маршрутизация демонов и другие улучшения сети пользователя:
- Добавьте поддержку таблицы маршрутизации в rc.d (8) и rcctl (8).
- Пусть nc (1) поддерживает имена служб в дополнение к номерам портов.
- Добавить -M и -m TTL-флаги в nc (1).
- Добавьте поддержку AF_UNIX в tcpbench (1).
- Исправлена регрессия в rarpd (8). Демон мог висеть, если он долгое время простаивал.
- Добавлена опция llprio в ifconfig (8).
- Несколько программ, использующих bpf (4), были изменены, чтобы использовать bpf (4) клонирование устройств, открыв / dev / bpf0 вместо того, чтобы переходить через / dev / bpf * устройства. Эти программы включают arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) и tcpdump (8). Библиотека libpcap также была соответствующим образом изменена.
- Улучшения безопасности:
- W ^ X теперь строго соблюдается по умолчанию; программа может только нарушать его, если исполняемый файл помечен PT_OPENBSD_WXNEEDED и расположен на файловой системе, установленной с опцией wxallowed mount (8). Поскольку по-прежнему слишком много портов, которые нарушают W ^ X, установщик монтирует / usr / локальную файловую систему с wxallowed. Это позволяет базовой системе быть более безопасной, если / usr / local является отдельной файловой системой. Если вы не используете программы, нарушающие W ^ X, рассмотрите возможность отмены этой опции вручную.
- Семейство функций setjmp (3) теперь применяет файлы cookie XOR для стека и значений возвращаемого адреса в jmpbuf на amd64, hppa, i386, mips64 и powerpc.
- SROP mitigation: sigreturn (2) теперь может использоваться только батутом с предоставленным ядром, с куки-файлом, чтобы обнаружить попытки его повторного использования.
- Чтобы сдерживать эксплойты повторного использования кода, rc (8) повторно связывает libc.so при запуске, помещая объекты в произвольный порядок.
- В семействе функций getpwnam (3) прекратите открытие теневой базы данных по умолчанию.
- Разрешить запуск tcpdump (8) -r без привилегий root.
- Удалите systrace.
- Удалить поддержку эмуляции Linux.
- Удалите поддержку опции usermount.
- Кэш TCP SYN периодически обновляет свою случайную хеш-функцию. Это не позволяет злоумышленнику рассчитать распределение хеш-функции с помощью временной атаки.
- Чтобы работать с атаками SYN flooding, администратор теперь может изменить размер массива хэшей. netstat (1) -s -p tcp показывает соответствующую информацию для настройки кэша SYN с помощью sysctl (8) net.inet.tcp.
- Администратор может потребовать привилегии root для привязки к некоторым портам TCP и UDP с помощью sysctl (8) net.inet.tcp.rootonly и sysctl (8) net.inet.udp.rootonly.
- Удалить указатель на функцию из структуры данных mbuf (9) и вместо этого использовать индекс в массив допустимых функций.
- Различные улучшения:
- Теперь библиотека потоков может быть загружена в однопоточный процесс.
- Улучшена обработка символов и соответствие стандартам в libc. Например, определение функции open () больше не будет мешать работе fopen (3).
- разделы PT_TLS теперь поддерживаются в первоначально загруженном объекте.
- Улучшена обработка «без путей». и "пустой путь" в fts (3).
- В pcap (3) укажите функции pcap_free_datalinks () и pcap_offline_filter ().
- Многие исправления ошибок и структурная очистка в библиотеке editline (3).
- Удалить старые функции dbm (3); ndbm (3) остается.
- Добавьте ключевое слово setenv для более эффективной обработки среды в doas.conf (5).
- Добавьте параметры -g и -p в aucat.1 для определения времени.
- Перепишите audioctl (1) с более простым пользовательским интерфейсом.
- Добавить параметр -F для установки (1) в файл fsync (2) перед закрытием файла.
- kdump (1) теперь сбрасывает структуры pollfd.
- Улучшить различные детали соответствия ksh (1) POSIX.
- mknod (8) перезаписано в залоге (2) - дружелюбный стиль и поддерживает одновременное создание нескольких устройств.
- Реализация rcctl (8) получает все и getdef все.
- Внедрите флаг rcs (1) -I (интерактивный).
- В rcs (1) реализуем замену ключевого слова Mdocdate.
- В верхней части (1) разрешите фильтровать аргументы процесса, если они отображаются.
- Добавлена поддержка UTF-8 для складывания (1) и rev (1).
- Включить UTF-8 по умолчанию в xterm (1) и pod2man (1).
- Отфильтруйте не-ASCII символы в стене (1).
- Регулярно обрабатывайте переменную окружения COLUMNS во многих программах.
- Параметры -c и -k позволяют предоставлять сертификаты клиентов TLS для syslogd (8) на стороне отправки. При этом принимающая сторона может проверить, что сообщения журнала аутентичны. Обратите внимание, что syslogd еще не имеет этой функции проверки.
- При переполнении буфера klog syslogd будет записывать сообщение журнала, чтобы показать, что некоторые записи отсутствуют.
- В OpenBSD / octeon буферизация записи кэша процессора позволяет повысить производительность.
- pkg_add (1) и pkg_info (1) теперь понимают понятие ветви, чтобы облегчить выбор некоторых популярных пакетов, таких как python или php, например, pkg_add python% 3.4, чтобы выбрать ветвь 3.4 и использовать pkg_info -zm для получить нечеткий список с выбором ветви, подходящим для pkg_add -l.
- fdisk (8) и pdisk (8) немедленно выходят, если не переданы специальные устройства символов
- st (4) правильно отслеживает текущее количество блоков для блоков с переменным размером.
- fsck_ext2fs (8) снова работает
- softraid (4) тома могут быть построены с дисками с размером сектора, отличным от 512 байт.
- dhclient (8) DECLINE и отбрасывает неиспользованные ПРЕДЛОЖЕНИЯ.
- dhclient (8) немедленно выходит, если его интерфейс (например, мост (4)) возвращает EAFNOSUPPORT при отправке пакета.
- httpd (8) возвращает 400 Bad Request для запросов HTTP v0.9.
- Инициализация ленивых узлов ffs2 позволяет избежать обработки данных случайных дисков как inode
- fcntl (2) invocations в базовых программах использует idiom fcntl (n, F_GETFL) вместо fcntl (n, F_GETFL, 0)
- socket (2) и accept4 (2) вызовы в базовых программах используют SOCK_NONBLOCK, чтобы устранить необходимость в отдельном fcntl (2).
- tmpfs не включен по умолчанию
- внутренняя семантика залога (2) была улучшена многими способами. Основные моменты: новое обещание, которое позволяет объявленным программам устанавливать атрибуты setugid, более строгое выполнение обещаний recvfd и chroot (2) больше не разрешено для заложенных программ.
- были зафиксированы некоторые ошибки, связанные с обещанием (2) (отсутствующие обещания, непреднамеренные изменения поведения, сбои), особенно в gzip (1), nc (1), sed (1), skeyinit (1), stty (1) и различные связанные с диском утилиты, такие как disklabel (8) и fdisk (8).
- Исправлены ошибки вычисления размера блока в драйвере аудио (4).
- Драйвер usb (4) теперь кэширует идентификаторы поставщиков и продуктов. Устраняет проблему, вызванную вызовом usbdevs (8) в цикле, что приведет к остановке работы устройства массовой памяти USB.
- Драйверы rsu (4) и урала (4) теперь снова работают после того, как они были случайно сломаны в 5.9.
- OpenSMTPD 6.0.0
- Безопасность:
- Внедрить шаблон fork + exec в smtpd (8).
- Исправить проблему с логикой в машине состояния SMTP, которая может привести к недопустимому состоянию и привести к сбою.
- Вставьте утечку указателя файла, которая может привести к исчерпанию ресурсов и привести к сбою.
- Используйте автоматические параметры DH вместо фиксированных.
- Отключить DHE по умолчанию, поскольку он является дорогостоящим с вычислительной точки зрения и потенциальным вектором DoS.
- В версии 6.2 были внесены следующие улучшения:
- Добавьте параметр -r в пакетный пакет smtpd (8) для совместимости с mailx.
- Добавьте отсутствующую дату или идентификатор сообщения при прослушивании на порту отправки.
- Исправить "smtpctl show queue & quot; сообщение "недействительно" состояние конверта.
- Исправить формат "Received" чтобы часть TLS не нарушала RFC.
- Увеличьте количество подключений, которые локальный адрес может установить, и уменьшите задержку между транзакциями в одном сеансе.
- Исправить доставку LMTP серверам, возвращающим строки продолжения.
- Дальнейшее улучшение API экспериментальных фильтров и устранение различных связанных проблем.
- Начать улучшать и унифицировать формат сообщений журнала.
- Исправить несколько несоответствий документации и опечаток на страницах руководства.
- OpenSSH 7.3
- Безопасность:
- sshd (8): Сгладить потенциальную атаку отказа в обслуживании с помощью функции crypt (3) системы через sshd (8). Злоумышленник может отправлять очень длинные пароли, что может привести к чрезмерному использованию ЦП в склепе (3). sshd (8) теперь отказывается принимать запросы на аутентификацию с паролем длиной более 1024 символов.
- sshd (8): Уменьшить временные различия в аутентификации паролей, которые могут использоваться для распознавания действительных из недопустимых имен учетной записи при отправке длинных паролей, и на сервере используются определенные алгоритмы хеширования пароля. CVE-2016-6210.
- ssh (1), sshd (8): Исправьте наблюдаемую слабость синхронизации в контрмерах прохода оракула CBC. Обратите внимание, что CBC-шифры по умолчанию отключены и включены только для совместимости с предыдущими версиями.
- ssh (1), sshd (8): улучшите порядок проверки MAC для алгоритмов MAC MAC-шифрования Encrypt-then-MAC (EtM), чтобы проверить MAC до дешифрования любого зашифрованного текста. Это устраняет возможность разграничения временных разбросов фактов об открытом тексте, хотя такая утечка не известна.
- Новые / измененные функции:
- ssh (1): добавьте параметр ProxyJump и соответствующий флаг командной строки -J, чтобы упростить косвенность через один или несколько бастионов SSH или «прыгать в хостах».
- ssh (1): добавьте параметр IdentityAgent, чтобы разрешить указание определенных сокетов агента вместо того, чтобы принимать его из среды.
- ssh (1): Разрешить ExitOnForwardFailure и ClearAllForwardings необязательно переопределяться при использовании ssh -W. (BZ # 2577)
- ssh (1), sshd (8): выполнить поддержку режима терминала IUTF8 в соответствии с draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): добавьте поддержку дополнительных фиксированных групп Diffie-Hellman 2K, 4K и 8K из draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): поддержка сертификатов SHA256 и SHA512 RSA в сертификатах.
- ssh (1): добавьте директиву Include для файлов ssh_config (5).
- ssh (1): Разрешить символы UTF-8 в баннерах предварительной аутентификации, отправленных с сервера. (BZ # 2058)
- В версии 6.2 исправлены следующие существенные ошибки:
- В scp (1) и sftp (1) предотвратите закручивание настроек терминала, избегая байтов, не образующих символы ASCII или UTF-8.
- ssh (1), sshd (8): Уменьшите уровень syslog некоторых относительно общих событий протокола от LOG_CRIT. (BZ # 2585)
- sshd (8): отказаться от аутентификацииMethods = & quot; & quot; в конфигурациях и принять AuthenticationMethods = any для поведения по умолчанию, не требующего множественной аутентификации. (BZ # 2398)
- sshd (8): удалить устаревшее и вводящее в заблуждение «ВОЗМОЖНОЕ ВОЗВРАЩЕНИЕ ВСПЫШКИ!» когда прямой и обратный DNS не совпадают. (BZ # 2585)
- ssh (1): закрыть контрольный процесс Stprer ControlPersist, кроме режима отладки или при входе в syslog. (BZ # 1988) литий>
- misc: Сделать описание PROTOCOL для direct-streamlocal@openssh.com. Открытые сообщения канала соответствуют развернутому коду. (BZ # 2529)
- ssh (1): Дедупликация записей LocalForward и RemoteForward для исправления сбоев при включении как календаря ExitOnForwardFailure, так и имени хоста. (BZ # 2562)
- sshd (8): удалить резервную копию от модулей до устаревших «простых чисел». файл, который устарел в 2001 году. (bz # 2559)
- sshd_config (5): Правильное описание UseDNS: оно влияет на обработку имени хоста ssh для authorized_keys, not known_hosts. (BZ # 2554)
- ssh (1): исправить аутентификацию с использованием одиночных ключей сертификата в агенте без соответствующих закрытых ключей в файловой системе. (BZ # 2550) литий>
- sshd (8): отправлять клики ClientAliveInterval, когда установлен параметр RekeyLimit, основанный на времени; ранее неактивные пакеты не отправлялись. (BZ # 2252)
- OpenNTPD 6.0
- Когда одно ограничение " , попробуйте все возвращенные адреса, пока не будет успешным, а не первый возвращенный адрес.
- Отмечено, что маржа ошибки ограничения будет пропорциональна количеству одноранговых узлов NTP, избегайте постоянных пересоединений, когда есть плохая точка NTP.
- Отключена поддержка поддержки hotplug (4) отключена.
- Добавлена поддержка обнаружения сбоев в подпроцессах ограничений.
- Перемещено выполнение ограничений из процесса ntp в родительский процесс, что обеспечивает лучшее разделение привилегий, поскольку процесс ntp может быть дополнительно ограничен.
- Исправлено использование центрального процессора, когда сеть отключена.
- Исправлены различные утечки памяти.
- Переключение на RMS для расчетов дрожания.
- Унифицированные функции ведения журнала с другими базовыми программами OpenBSD.
- Установите MOD_MAXERROR, чтобы избежать несинхронизированного времени при использовании ntp_adjtime.
- Фиксированный заголовок заголовка HTTP Timestamp для использования strptime (3) более переносимым образом.
- Ограниченные TLS для ограничений ntpd (8), позволяющие проверять имя сервера.
- LibreSSL 2.4.2
- Видимые пользователем функции:
- Исправлены некоторые сломанные ссылки ссылок в целевой установке.
- cert.pem был реорганизован и синхронизирован с хранилищем сертификатов Mozilla.
- Исправление надежности, исправление ошибки при анализе определенных элементов ASN.1 размером более 16 тыс..
- Реализован набор шифров IETF ChaCha20-Poly1305.
- Исправлены подсказки пароля из openssl (1) для правильной обработки ^ C.
- Улучшения кода:
- Исправлена проблема совместимости nginx, добавляя цель сборки install_sw.
- Изменена реализация EVP_aead_chacha20_poly1305 (3) по умолчанию для версии IETF, которая по умолчанию используется по умолчанию.
- Переработанная обработка ошибок в libtls, чтобы ошибки конфигурации были более заметными.
- Добавлена недостающая обработка ошибок вокруг вызовов bn_wexpand (3).
- Добавлены функции explicit_bzero (3) для освобожденных объектов ASN.1.
- Исправлены функции X509_ * set_object для возврата 0 при неудаче выделения.
- Устаревшее внутреннее использование EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Исправлена проблема, которая препятствует запуску алгоритма подписи DSA в постоянное время, даже если установлен флаг BN_FLG_CONSTTIME.
- Исправлено несколько проблем в коде OCSP, которые могут привести к некорректному генерации и синтаксическому анализу запросов OCSP. Это устраняет недостаток проверки ошибок при анализе времени в этих функциях и гарантирует, что для OCSP принимаются только форматы GENERALIZEDTIME, как RFC 6960.
- Исправлены следующие CVE:
- Переполнение CVE-2016-2105-EVP_EncodeUpdate.
- Переполнение CVE-2016-2106-EVP_EncryptUpdate.
- CVE-2016-2107 - прописная оракула в проверке MAC AES-NI CBC.
- Коррекция CVE-2016-2108 в кодере ASN.1.
- CVE-2016-2109-ASN.1 BIO избыточное выделение памяти.
- Порты и пакеты:
- Новый инструмент proot (1) в дереве портов для создания пакетов в chroot.
- Множество готовых пакетов для каждой архитектуры:
- alpha: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Некоторые основные моменты:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 и 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Перейти 1.6.3
- Groff 1.22.3
- JDK 7u80 и 8u72
- KDE 3.5.10 и 4.14.3 (плюс обновления ядра KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 и 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr и 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 и 2.4.44
- PHP 5.5.37, 5.6.23 и 7.0.8
- Postfix 3.1.1 и 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 и 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 и 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 и 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Как обычно, неуклонное улучшение страниц руководства и другая документация.
- Система включает в себя следующие основные компоненты от внешних поставщиков:
- Xenocara (основано на X.Org 7.7 с XServer 1.18.3 + патчи, Freetype 2.6.3, 2.11.1 FontConfig, Mesa 11.2.2, XTERM 322, xkeyboard-конфигурации 2,18 и более)
- GCC 4.2.1 (+ исправления) и 3.3.6 (+ патчи)
- Perl 5.20.3 (+ патчи)
- SQLite 3.9.2 (+ патчи)
- NSD 4.1.10
- Unbound 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ патчи)
- Gdb 6.3 (+ патчи)
- Awk 10 августа 2011 г. версия
- Expat 2.1.1
Что нового в версии 6.1:
- Новые / расширенные платформы:
- ARMv7:
- Добавлен загрузчик EFI, теперь ядра загружаются из FFS вместо файловых систем FAT или EXT, без заголовков U-Boot.
- Одно ядро и ramdisk теперь используются для всех SoC.
- Аппаратное обеспечение динамически перечисляется с помощью дерева Flattened Device Tree (FDT) вместо статических таблиц на основе номеров идентификаторов платы.
- Изображения установщика Miniroot включают U-Boot 2016.07 с поддержкой полезных нагрузок EFI.
- VAX:
- Удален.
- Улучшена поддержка аппаратного обеспечения, в том числе:
- Новый драйвер bytgpio (4) для контроллера Intel Bay Trail GPIO.
- Новый драйвер chvgpio (4) для контроллера Intel Cherry View GPIO.
- Новый драйвер maxrtc (4) для часов реального времени Maxim DS1307.
- Новый драйвер nvme (4) для интерфейса контроллера хоста с энергонезависимой памятью (NVMe).
- Новый драйвер pcfrtc (4) для часов реального времени NXP PCF8523.
- Новый драйвер umb (4) для модели интерфейса мобильного широкополосного доступа (MBIM).
- Новый драйвер (4) для RealTek RTL8152 на базе 10/100 USB-устройств Ethernet.
- Новый драйвер utvfu (4) для устройств аудио / видеозахвата на базе Fushicai USBTV007.
- Драйвер iwm (4) теперь поддерживает устройства Intel Wireless 3165 и 8260 и работает более надежно в ядрах RAMDISK.
- Поддержка I2C HID-устройств с сигнальными прерываниями GPIO была добавлена в dwiic (4).
- Поддержка больших шинных шин, высокоскоростных режимов и передачи DMA была добавлена в sdmmc (4), rtsx (4), sdhc (4) и imxesdhc (4).
- Поддержка EHCI и совместимых с OHCI USB-контроллеров на SoCs Octeon II.
- Многие драйверы устройств USB были включены в OpenBSD / octeon.
- Улучшена поддержка аппаратных сокращений ACPI.
- Улучшена поддержка версий ACPI 5.0.
- AES-NI crypto теперь выполняется без блокировки ядра.
- Улучшена поддержка AGP на машинах PowerPC G5.
- Добавлена поддержка слота для SD-карт в SoCs Bay Bay Trail.
- Драйвер ichiic (4) теперь игнорирует прерывание SMBALERT #, чтобы предотвратить прерывистый шторм с ошибками реализации BIOS.
- Исправлены проблемы с подключением устройства с драйвером axen (4).
- Драйвер ral (4) более стабилен под нагрузкой с устройствами RT2860.
- Проблемы с мертвыми клавиатурами после возобновления были исправлены в драйвере pckbd (4).
- Драйвер rtsx (4) теперь поддерживает устройства RTS522A.
- Добавлена начальная поддержка MSI-X.
- Поддержка MSI-X в драйвере virtio (4).
- Добавлен обходной путь для аппаратного переполнения DMA для драйвера dc (4).
- Теперь драйвер acpitz (4) вращает вентилятор после охлаждения, если ACPI использует гистерезис для активного охлаждения.
- Драйвер xhci (4) теперь корректно выполняет эстафетную передачу из BIOS, поддерживающего xHCI.
- Поддержка драйвера multi-touch добавлена в драйвер wsmouse (4).
- Теперь драйвер uslcom (4) поддерживает последовательную консоль беспроводных контроллеров Aruba 7xxx.
- Драйвер re (4) теперь работает с разбитыми светодиодными конфигурациями в EEPROM APU1.
- Драйвер ehci (4) теперь работает с проблемами с USB-контроллерами ATI (например, SB700).
- Драйвер xen (4) теперь поддерживает конфигурацию domU в Qubes OS.
- Улучшения в беспроводном стеке IEEE 802.11:
- Логика буфера приема в блоке HT-блока принимает алгоритм, указанный в спецификации 802.11-2012.
- Теперь драйвер iwn (4) отслеживает изменения защиты HT, связанные с 11n AP.
- Беспроводной стек и несколько драйверов более активно используют RTS / CTS, чтобы избежать помех от устаревших устройств и скрытых узлов.
- Команда netstat (1) -W теперь показывает информацию о событиях 802.11n.
- В режиме hostap не следует повторно использовать идентификаторы ассоциаций узлов, которые все еще кэшируются. Устраняет проблему, когда точка доступа, использующая драйвер ral (4), застряла на скорости 1 Мбит / с, поскольку учет скорости Tx произошел на неправильном объекте узла.
- Улучшение общих сетевых стеков:
- Таблица маршрутизации теперь основана на ART, предлагающем более быстрый поиск.
- Количество маршрутов для каждого пакета сокращено до 1 в пути пересылки.
- Поле prio в заголовках VLAN теперь правильно установлено на каждом фрагменте пакета IPv4, выходящем на интерфейс vlan (4).
- Включено клонирование устройств для bpf (4). Это позволяет системе иметь только один узел устройства bpf в / dev, который обслуживает всех пользователей bpf (до 1024).
- Теперь очередь Tx драйвера cnmac (4) теперь обрабатывается параллельно остальной части ядра.
- Сетевой путь ввода теперь выполняется в контексте потока.
- Усовершенствования установщика:
- обновленный список ограниченных пользовательских кодов
- install.sh и upgrade.sh объединены в install.sub
- update автоматически запускает sysmerge (8) в пакетном режиме до fw_update (1)
- вопросы и ответы регистрируются в формате, который может использоваться в качестве файла ответов для использования с помощью autoinstall (8)
- / usr / local устанавливается на wxallowed во время установки
- Маршрутизация демонов и другие улучшения сети пользователя:
- Добавьте поддержку таблицы маршрутизации в rc.d (8) и rcctl (8).
- Пусть nc (1) поддерживает имена служб в дополнение к номерам портов.
- Добавить -M и -m TTL-флаги в nc (1).
- Добавьте поддержку AF_UNIX в tcpbench (1).
- Исправлена регрессия в rarpd (8). Демон мог висеть, если он долгое время простаивал.
- Добавлена опция llprio в ifconfig (8).
- Несколько программ, использующих bpf (4), были изменены, чтобы использовать bpf (4) клонирование устройств, открыв / dev / bpf0 вместо того, чтобы переходить через / dev / bpf * устройства. Эти программы включают arp (8), dhclient (8), dhcpd (8), dhcrelay (8), hostapd (8), mopd (8), npppd (8), rarpd (8), rbootd (8) и tcpdump (8). Библиотека libpcap также была соответствующим образом изменена.
- Улучшения безопасности:
- W ^ X теперь строго соблюдается по умолчанию; программа может только нарушать его, если исполняемый файл помечен PT_OPENBSD_WXNEEDED и расположен на файловой системе, установленной с опцией wxallowed mount (8). Поскольку по-прежнему слишком много портов, которые нарушают W ^ X, установщик монтирует / usr / локальную файловую систему с wxallowed. Это позволяет базовой системе быть более безопасной, если / usr / local является отдельной файловой системой. Если вы не используете программы, нарушающие W ^ X, рассмотрите возможность отмены этой опции вручную.
- Семейство функций setjmp (3) теперь применяет файлы cookie XOR для стека и значений возвращаемого адреса в jmpbuf на amd64, hppa, i386, mips64 и powerpc.
- SROP mitigation: sigreturn (2) теперь может использоваться только батутом с предоставленным ядром, с куки-файлом, чтобы обнаружить попытки его повторного использования.
- Чтобы сдерживать эксплойты повторного использования кода, rc (8) повторно связывает libc.so при запуске, помещая объекты в произвольный порядок.
- В семействе функций getpwnam (3) прекратите открытие теневой базы данных по умолчанию.
- Разрешить запуск tcpdump (8) -r без привилегий root.
- Удалите systrace.
- Удалить поддержку эмуляции Linux.
- Удалите поддержку опции usermount.
- Кэш TCP SYN периодически обновляет свою случайную хеш-функцию. Это не позволяет злоумышленнику рассчитать распределение хеш-функции с помощью временной атаки.
- Чтобы работать с атаками SYN flooding, администратор теперь может изменить размер массива хэшей. netstat (1) -s -p tcp показывает соответствующую информацию для настройки кэша SYN с помощью sysctl (8) net.inet.tcp.
- Администратор может потребовать привилегии root для привязки к некоторым портам TCP и UDP с помощью sysctl (8) net.inet.tcp.rootonly и sysctl (8) net.inet.udp.rootonly.
- Удалить указатель на функцию из структуры данных mbuf (9) и вместо этого использовать индекс в массив допустимых функций.
- Различные улучшения:
- Теперь библиотека потоков может быть загружена в однопоточный процесс.
- Улучшена обработка символов и соответствие стандартам в libc. Например, определение функции open () больше не будет мешать работе fopen (3).
- разделы PT_TLS теперь поддерживаются в первоначально загруженном объекте.
- Улучшена обработка «нет путей» и «пустого пути» в fts (3).
- В pcap (3) укажите функции pcap_free_datalinks () и pcap_offline_filter ().
- Многие исправления ошибок и структурная очистка в библиотеке editline (3).
- Удалить старые функции dbm (3); ndbm (3) остается.
- Добавьте ключевое слово setenv для более эффективной обработки среды в doas.conf (5).
- Добавьте параметры -g и -p в aucat.1 для определения времени.
- Перепишите audioctl (1) с более простым пользовательским интерфейсом.
- Добавить параметр -F для установки (1) в файл fsync (2) перед закрытием файла.
- kdump (1) теперь сбрасывает структуры pollfd.
- Улучшить различные детали соответствия ksh (1) POSIX.
- mknod (8) перезаписано в залоге (2) - дружелюбный стиль и поддерживает одновременное создание нескольких устройств.
- Реализация rcctl (8) получает все и getdef все.
- Внедрите флаг rcs (1) -I (интерактивный).
- В rcs (1) реализуем замену ключевого слова Mdocdate.
- В верхней части (1) разрешите фильтровать аргументы процесса, если они отображаются.
- Добавлена поддержка UTF-8 для складывания (1) и rev (1).
- Включить UTF-8 по умолчанию в xterm (1) и pod2man (1).
- Отфильтруйте не-ASCII символы в стене (1).
- Регулярно обрабатывайте переменную окружения COLUMNS во многих программах.
- Параметры -c и -k позволяют предоставлять сертификаты клиентов TLS для syslogd (8) на стороне отправки. При этом принимающая сторона может проверить, что сообщения журнала аутентичны. Обратите внимание, что syslogd еще не имеет этой функции проверки.
- При переполнении буфера klog syslogd будет записывать сообщение журнала, чтобы показать, что некоторые записи отсутствуют.
- В OpenBSD / octeon буферизация записи кэша процессора позволяет повысить производительность.
- pkg_add (1) и pkg_info (1) теперь понимают понятие ветви, чтобы облегчить выбор некоторых популярных пакетов, таких как python или php, например, pkg_add python% 3.4, чтобы выбрать ветвь 3.4 и использовать pkg_info -zm для получить нечеткий список с выбором ветви, подходящим для pkg_add -l.
- fdisk (8) и pdisk (8) немедленно выходят, если не переданы специальные устройства символов
- st (4) правильно отслеживает текущее количество блоков для блоков с переменным размером.
- fsck_ext2fs (8) снова работает
- softraid (4) тома могут быть построены с дисками с размером сектора, отличным от 512 байт.
- dhclient (8) DECLINE и отбрасывает неиспользованные ПРЕДЛОЖЕНИЯ.
- dhclient (8) немедленно выходит, если его интерфейс (например, мост (4)) возвращает EAFNOSUPPORT при отправке пакета.
- httpd (8) возвращает 400 Bad Request для запросов HTTP v0.9.
- Инициализация ленивых узлов ffs2 позволяет избежать обработки данных случайных дисков как inode
- fcntl (2) invocations в базовых программах использует idiom fcntl (n, F_GETFL) вместо fcntl (n, F_GETFL, 0)
- socket (2) и accept4 (2) вызовы в базовых программах используют SOCK_NONBLOCK, чтобы устранить необходимость в отдельном fcntl (2).
- tmpfs не включен по умолчанию
- внутренняя семантика залога (2) была улучшена многими способами. Основные моменты: новое обещание, которое позволяет объявленным программам устанавливать атрибуты setugid, более строгое выполнение обещаний recvfd и chroot (2) больше не разрешено для заложенных программ.
- были зафиксированы некоторые ошибки, связанные с обещанием (2) (отсутствующие обещания, непреднамеренные изменения поведения, сбои), особенно в gzip (1), nc (1), sed (1), skeyinit (1), stty (1) и различные связанные с диском утилиты, такие как disklabel (8) и fdisk (8).
- Исправлены ошибки вычисления размера блока в драйвере аудио (4).
- Драйвер usb (4) теперь кэширует идентификаторы поставщиков и продуктов. Устраняет проблему, вызванную вызовом usbdevs (8) в цикле, что приведет к остановке работы устройства массовой памяти USB.
- Драйверы rsu (4) и урала (4) теперь снова работают после того, как они были случайно сломаны в 5.9.
- OpenSMTPD 6.0.0
- Безопасность:
- Внедрить шаблон fork + exec в smtpd (8).
- Исправить проблему с логикой в машине состояния SMTP, которая может привести к недопустимому состоянию и привести к сбою.
- Вставьте утечку указателя файла, которая может привести к исчерпанию ресурсов и привести к сбою.
- Используйте автоматические параметры DH вместо фиксированных.
- Отключить DHE по умолчанию, поскольку он является дорогостоящим с вычислительной точки зрения и потенциальным вектором DoS.
- В версии 6.1 были внесены следующие улучшения:
- Добавьте параметр -r в пакетный пакет smtpd (8) для совместимости с mailx.
- Добавьте отсутствующую дату или идентификатор сообщения при прослушивании на порту отправки.
- Исправить «очередь show smtpctl», сообщая «недопустимое» состояние конверта.
- Исправить формат заголовка «Received», чтобы часть TLS не нарушала RFC.
- Увеличьте количество подключений, которые локальный адрес может установить, и уменьшите задержку между транзакциями в одном сеансе.
- Исправить доставку LMTP серверам, возвращающим строки продолжения.
- Дальнейшее улучшение API экспериментальных фильтров и устранение различных связанных проблем.
- Начать улучшать и унифицировать формат сообщений журнала.
- Исправить несколько несоответствий документации и опечаток на страницах руководства.
- OpenSSH 7.3
- Безопасность:
- sshd (8): Сгладить потенциальную атаку отказа в обслуживании с помощью функции crypt (3) системы через sshd (8). Злоумышленник может отправлять очень длинные пароли, что может привести к чрезмерному использованию ЦП в склепе (3). sshd (8) теперь отказывается принимать запросы на аутентификацию с паролем длиной более 1024 символов.
- sshd (8): Уменьшить временные различия в аутентификации паролей, которые могут использоваться для распознавания действительных из недопустимых имен учетной записи при отправке длинных паролей, и на сервере используются определенные алгоритмы хеширования пароля. CVE-2016-6210.
- ssh (1), sshd (8): Исправьте наблюдаемую слабость синхронизации в контрмерах прохода оракула CBC. Обратите внимание, что CBC-шифры по умолчанию отключены и включены только для совместимости с предыдущими версиями.
- ssh (1), sshd (8): улучшите порядок проверки MAC для алгоритмов MAC MAC-шифрования Encrypt-then-MAC (EtM), чтобы проверить MAC до дешифрования любого зашифрованного текста. Это устраняет возможность разграничения временных разбросов фактов об открытом тексте, хотя такая утечка не известна.
- Новые / измененные функции:
- ssh (1): добавьте параметр ProxyJump и соответствующий флаг командной строки -J, чтобы разрешить упрощенную косвенность через один или несколько бастионов SSH или «прыгать с хостами».
- ssh (1): добавьте параметр IdentityAgent, чтобы разрешить указание определенных сокетов агента вместо того, чтобы принимать его из среды.
- ssh (1): Разрешить ExitOnForwardFailure и ClearAllForwardings необязательно переопределяться при использовании ssh -W. (BZ # 2577)
- ssh (1), sshd (8): выполнить поддержку режима терминала IUTF8 в соответствии с draft-sgtatham-secsh-iutf8-00.
- ssh (1), sshd (8): добавьте поддержку дополнительных фиксированных групп Diffie-Hellman 2K, 4K и 8K из draft-ietf-curdle-ssh-kex-sha2-03.
- ssh-keygen (1), ssh (1), sshd (8): поддержка сертификатов SHA256 и SHA512 RSA в сертификатах.
- ssh (1): добавьте директиву Include для файлов ssh_config (5).
- ssh (1): Разрешить символы UTF-8 в баннерах предварительной аутентификации, отправленных с сервера. (BZ # 2058)
- В версии 6.1 исправлены следующие существенные ошибки:
- В scp (1) и sftp (1) предотвратите закручивание настроек терминала, избегая байтов, не образующих символы ASCII или UTF-8.
- ssh (1), sshd (8): Уменьшите уровень syslog некоторых относительно общих событий протокола от LOG_CRIT. (BZ # 2585)
- sshd (8): Отказаться от аутентификацииMethods = "" в конфигурациях и принять AuthenticationMethods = any для поведения по умолчанию, не требующего множественной аутентификации. (BZ # 2398)
- sshd (8): Удалите устаревшее и вводящее в заблуждение «ВОЗМОЖНОЕ ВОЗВРАЩЕНИЕ ВПЕРЕДИ!». когда прямой и обратный DNS не совпадают. (BZ # 2585)
- ssh (1): закрыть контрольный процесс Stprer ControlPersist, кроме режима отладки или при входе в syslog. (BZ # 1988) литий>
- misc: Сделать описание PROTOCOL для direct-streamlocal@openssh.com. Открытые сообщения канала соответствуют развернутому коду. (BZ # 2529)
- ssh (1): Дедупликация записей LocalForward и RemoteForward для исправления сбоев при включении как календаря ExitOnForwardFailure, так и имени хоста. (BZ # 2562)
- sshd (8): удалить резервную копию от модулей до устаревшего файла «простых чисел», который устарел в 2001 году. (bz # 2559)
- sshd_config (5): Правильное описание UseDNS: оно влияет на обработку имени хоста ssh для authorized_keys, not known_hosts. (BZ # 2554)
- ssh (1): исправить аутентификацию с использованием одиночных ключей сертификата в агенте без соответствующих закрытых ключей в файловой системе. (BZ # 2550) литий>
- sshd (8): отправлять клики ClientAliveInterval, когда установлен параметр RekeyLimit, основанный на времени; ранее неактивные пакеты не отправлялись. (BZ # 2252)
- OpenNTPD 6.0
- Если указано одно ограничение, попробуйте все возвращенные адреса до тех пор, пока не будет успешным, а не первым возвращенным адресом.
- Отмечено, что маржа ошибки ограничения будет пропорциональна количеству одноранговых узлов NTP, избегайте постоянных пересоединений, когда есть плохая точка NTP.
- Отключена поддержка поддержки hotplug (4) отключена.
- Добавлена поддержка обнаружения сбоев в подпроцессах ограничений.
- Перемещено выполнение ограничений из процесса ntp в родительский процесс, что обеспечивает лучшее разделение привилегий, поскольку процесс ntp может быть дополнительно ограничен.
- Исправлено использование центрального процессора, когда сеть отключена.
- Исправлены различные утечки памяти.
- Переключение на RMS для расчетов дрожания.
- Унифицированные функции ведения журнала с другими базовыми программами OpenBSD.
- Установите MOD_MAXERROR, чтобы избежать несинхронизированного времени при использовании ntp_adjtime.
- Фиксированный заголовок заголовка HTTP Timestamp для использования strptime (3) более переносимым образом.
- Ограниченные TLS для ограничений ntpd (8), позволяющие проверять имя сервера.
- LibreSSL 2.4.2
- Видимые пользователем функции:
- Исправлены некоторые сломанные ссылки ссылок в целевой установке.
- cert.pem был реорганизован и синхронизирован с хранилищем сертификатов Mozilla.
- Исправление надежности, исправление ошибки при анализе определенных элементов ASN.1 размером более 16 тыс..
- Реализован набор шифров IETF ChaCha20-Poly1305.
- Исправлены подсказки пароля из openssl (1) для правильной обработки ^ C.
- Улучшения кода:
- Исправлена проблема совместимости nginx, добавляя цель сборки install_sw.
- Изменена реализация EVP_aead_chacha20_poly1305 (3) по умолчанию для версии IETF, которая по умолчанию используется по умолчанию.
- Переработанная обработка ошибок в libtls, чтобы ошибки конфигурации были более заметными.
- Добавлена недостающая обработка ошибок вокруг вызовов bn_wexpand (3).
- Добавлены функции explicit_bzero (3) для освобожденных объектов ASN.1.
- Исправлены функции X509_ * set_object для возврата 0 при неудаче выделения.
- Устаревшее внутреннее использование EVP_ [Cipher | Encrypt | Decrypt] _Final.
- Исправлена проблема, которая препятствует запуску алгоритма подписи DSA в постоянное время, даже если установлен флаг BN_FLG_CONSTTIME.
- Исправлено несколько проблем в коде OCSP, которые могут привести к некорректному генерации и синтаксическому анализу запросов OCSP. Это устраняет недостаток проверки ошибок при анализе времени в этих функциях и гарантирует, что для OCSP принимаются только форматы GENERALIZEDTIME, как RFC 6960.
- Исправлены следующие CVE:
- Переполнение CVE-2016-2105-EVP_EncodeUpdate.
- Переполнение CVE-2016-2106-EVP_EncryptUpdate.
- CVE-2016-2107 - прописная оракула в проверке MAC AES-NI CBC.
- Коррекция CVE-2016-2108 в кодере ASN.1.
- CVE-2016-2109-ASN.1 BIO избыточное выделение памяти.
- Порты и пакеты:
- Новый инструмент proot (1) в дереве портов для создания пакетов в chroot.
- Множество готовых пакетов для каждой архитектуры:
- alpha: 7422
- amd64: 9433
- hppa: 6346
- i386: 9394
- mips64: 7921
- mips64el: 7767
- powerpc: 8318
- sparc64: 8570
- Некоторые основные моменты:
- Afl 2.19b
- Chromium 51.0.2704.106
- Emacs 21.4 и 24.5
- GCC 4.9.3
- GHC 7.10.3
- Gimp 2.8.16
- GNOME 3.20.2
- Перейти 1.6.3
- Groff 1.22.3
- JDK 7u80 и 8u72
- KDE 3.5.10 и 4.14.3 (плюс обновления ядра KDE4)
- LLVM / Clang 3.8.0
- LibreOffice 5.1.4.2
- Lua 5.1.5, 5.2.4 и 5.3.3
- MariaDB 10.0.25
- Mono 4.4.0.182
- Mozilla Firefox 45.2.0esr и 47.0.1
- Mozilla Thunderbird 45.2.0
- Mutt 1.6.2
- Node.js 4.4.5
- Ocaml 4.3.0
- OpenLDAP 2.3.43 и 2.4.44
- PHP 5.5.37, 5.6.23 и 7.0.8
- Postfix 3.1.1 и 3.2-20160515
- PostgreSQL 9.5.3
- Python 2.7.12, 3.4.5 и 3.5.2
- R 3.3.1
- Ruby 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 и 2.3.1
- Rust 1.9.0-20160608
- Sendmail 8.15.2
- Sudo 1.8.17.1
- Tcl / Tk 8.5.18 и 8.6.4
- TeX Live 2015
- Vim 7.4.1467
- Xfce 4.12
- Как обычно, неуклонное улучшение страниц руководства и другая документация.
- Система включает в себя следующие основные компоненты от внешних поставщиков:
- Xenocara (на основе X.Org 7.7 с xserver 1.18.3 + исправлениями, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 и более)
- GCC 4.2.1 (+ исправления) и 3.3.6 (+ патчи)
- Perl 5.20.3 (+ патчи)
- SQLite 3.9.2 (+ патчи)
- NSD 4.1.10
- Unbound 1.5.9
- Ncurses 5.7
- Binutils 2.17 (+ патчи)
- Gdb 6.3 (+ патчи)
- Awk 10 августа 2011 г. версия
- Expat 2.1.1
Комментарии не найдены