OpenBSD

O

OpenBSD é um projeto gratuito que oferece um sistema operacional semelhante a UNIX multiplataforma que é portátil, eficiente, seguro e baseado na plataforma 4.4BSD. É um poderoso produto de servidor usado em centenas de milhares de computadores em todo o mundo.

O sistema operacional está disponível gratuitamente para download na seção dedicada (veja acima) como imagens ISO ou pacotes binários que permitem aos usuários instalá-lo pela rede. As imagens ISO podem ser gravadas em discos de CD, inicializáveis ​​diretamente no BIOS da maioria dos PCs.

O OpenBSD suporta a emulação binária da maioria dos programas a partir do SVR4 (Solaris), FreeBSD, Linux, BSD, SunOS e HP-UX. Ele pode ser instalado em uma ampla gama de arquiteturas, incluindo i386, sparc64, alfa, m68k, sh, amd64, PowerPC, m88k, & nbsp; sparc, ARM, hppa, vax, mips64 e mips64el.

A imagem do CD inicializa automaticamente sem interação do usuário e perguntará se deseja instalar manualmente, atualizar ou instalar automaticamente o sistema operacional, bem como soltar para um prompt do shell.

Instalação manual ou automática

Uma instalação padrão (leia-se manual) exigirá que os usuários escolham um layout de teclado, defina o nome do host, escolha uma interface de rede e configure-a com IPv4 e / ou IPv6, bem como defina uma nova senha para a raiz ( administrador do sistema).

Além disso, você pode optar por iniciar os serviços SSH e NTP quando o sistema for iniciado, escolher se deseja usar o Sistema X Window ou não, configurar um usuário, escolher um fuso horário, particionar a unidade de disco e instalar conjuntos .

Entre os pacotes de software incluídos para o OpenBSD, podemos citar os ambientes de desktop GNOME, KDE e Xfce, os servidores MySQL, PostgreSQL, Postfix e OpenLDAP, Mozilla Firefox, Mozilla Thunderbird, LibreOffice, Emacs, Vim e Chromium, bem como as linguagens de programação PHP, Python, Ruby, Tcl / Tk, JDK, Mono e Go.

O que há de novo nesta versão:

• Suporte aprimorado ao hardware, incluindo:
• Suporte a SMP nas plataformas OpenBSD / arm64.
• Suporte a VFP e NEON nas plataformas OpenBSD / armv7.
• Novo driver acrtc (4) para o codec de áudio X-Powers AC100 e o Real Time Clock.
• Novo driver axppmic (4) para CIs de gerenciamento de energia X-Powers AXP.
• Novo driver bcmrng (4) para o gerador de números aleatórios Broadcom BCM2835 / BCM2836 / BCM2837.
• Novo driver bcmtemp (4) para o monitor de temperatura Broadcom BCM2835 / BCM2836 / BCM2837.
• Novo driver bgw (4) para o sensor de movimento da Bosch.
• Novo driver bwfm (4) para dispositivos Broadcom e Cypress FullMAC 802.11 (ainda experimental e não compilado no kernel por padrão)
• Novo driver efi (4) para os serviços de tempo de execução EFI.
• Novo driver imxanatop (4) para o regulador integrado i.MX6.
• Novo driver rkpcie (4) para ponte Host / PCIe Rockchip RK3399.
• Novo driver sxirsb (4) para o controlador Allwinner Reduced Serial Bus.
• Novo driver sxitemp (4) para o monitor de temperatura Allwinner.
• Novo driver sxits (4) para sensor de temperatura no controlador do touchpad Allwinner A10 / A20.
• Novo driver sxitwi (4) para barramento de dois fios encontrado em vários SoCs Allwinner.
• Novo driver sypwr (4) para o regulador Silergy SY8106A.
• O suporte para SoCs Rockchip RK3328 foi adicionado aos drivers dwge (4), rkgrf (4), rkclock (4) e rkpinctrl (4).
• O suporte para SoCs Rockchip RK3288 / RK3328 foi adicionado ao driver rktemp (4).
• Suporte para SoCs Allwinner A10 / A20, A23 / A33, A80 e R40 / V40 foi adicionado ao driver sxiccmu (4).
• O suporte para SoCs Allwinner A33, GR8 e R40 / V40 foi adicionado ao driver sxipio (4).
• O suporte para SAS3.5 MegaRAIDs foi adicionado ao driver mfii (4).
• O suporte para a Ethernet integrada Intel Cannon Lake e Ice Lake foi adicionado ao driver em (4).
• As portas cnmac (4) são agora atribuídas a diferentes núcleos de CPU para processamento de interrupções distribuídas.
• O driver pms (4) agora detecta e manipula os anúncios de reinicialização.
• Em amd64, o microcódigo da CPU Intel é carregado na inicialização e instalado / atualizado pelo fw_update (1).
• Ofereça suporte à API do cookie de interrupção do hypervisor sun4v, adicionando suporte a máquinas SPARC T7-1 / 2/4.
• Suporte para hibernação foi adicionado para armazenamento SD / MMC anexado a controladores sdhc (4).
• O clang (1) agora é usado como o compilador do sistema no armv7, e também é fornecido no sparc64.

Melhorias em
• vmm (4) / vmd (8):
• Adicione suporte de CD-ROM / DVD ISO ao vmd (8) via vioscsi (4).
• vmd (8) não cria mais uma interface de ponte subjacente para comutadores virtuais definidos no vm.conf (5).
• vmd (8) recebe informações de troca (rdomain, etc) da interface de switch subjacente em conjunto com as configurações no vm.conf (5).
• Suporte do Time Stamp Counter (TSC) em VMs convidadas.
• Suporta unikernels ukvm / Solo5 em vmm (4).
• Manipule codificações de instruções válidas (mas incomuns) melhor.
• Melhor suporte de paginação de PAE para VMs guest Linux de 32 bits.

O
• vmd (8) agora permite até quatro interfaces de rede em cada VM.
• Adicione suporte a migração e instantâneos pausados ​​à vmm (4) para hosts AMD SVM / RVI.
• Os comandos BREAK enviados por um pty (4) são agora entendidos por vmd (8).
• Muitas correções para o tratamento de erros vmctl (8) e vmd (8).

Melhorias na pilha sem fio IEEE 802.11:
• Os drivers iwm (4) e iwn (4) farão automaticamente roaming entre os pontos de acesso que compartilham um ESSID. Forçar o endereço MAC de um determinado AP com o comando bssid do ifconfig desativa o roaming.
• Limpa automaticamente as chaves WEP / WPA configuradas quando um novo ESSID de rede é configurado.
• Removida a capacidade do usuário de ler as chaves WEP / WPA configuradas do kernel.
• O driver iwm (4) agora pode se conectar a redes com um SSID oculto.
• Os dispositivos USB suportados pelo driver athn (4) agora usam um firmware de fonte aberta e o modo hostap agora funciona com esses dispositivos.
• Melhorias genéricas na pilha de rede:
• A pilha de rede não é mais executada com o KERNEL_LOCK () quando o IPsec está ativado.
• O processamento de pacotes TCP / UDP recebidos agora é feito sem KERNEL_LOCK ().
• A tarefa de emenda de soquete é executada sem KERNEL_LOCK ().
• Limpeza e remoção de código em sys / netinet6, já que a autoconfiguração é executada na userland agora.
• bridge (4) membros agora podem ser impedidos de falar uns com os outros com a nova opção protegida.
• O recurso de transferência de pacotes pf foi simplificado. A opção de socket IP_DIVERTFL foi removida do desvio (4).
• Vários casos de canto de pf desviar para e desviar-responder são mais consistentes agora.
• Aplique em pf (4) que todos os pacotes de descoberta vizinhos tenham 255 em seu campo de limite de salto de cabeçalho IPv6.
• Nova opção de configuração de syncookies no pf.conf (5).
• Suporte para GRE sobre IPv6.
• Novo driver egre (4) para túneis Ethernet sobre GRE.
• Suporte para o cabeçalho da chave GRE opcional e a entropia da chave GRE em gre (4) e egre (4).
• Novo driver nvgre (4) para virtualização de rede usando encapsulamento de roteamento genérico.
• Suporte para configurar os pacotes de sinalização Não fragmentar encapsulados por interfaces de túnel.
• Melhorias no instalador:
• se install.site ou upgrade.site falhar, notifique o usuário e cometerá um erro após armazenar rand.seed.
• permite a notação CIDR ao inserir endereços IPv4 e IPv6.
• repara a seleção de um espelho HTTP da lista de espelhos.
• allow '-' nos nomes de usuários.
• faça uma pergunta no final do processo de instalação / atualização para que o retorno de carro cause a ação apropriada, por exemplo, reinicialize.
• exibe os prompts do modo (instalar ou atualizar), desde que nenhum nome de host seja conhecido.
• detecta corretamente qual interface tem a rota padrão e se foi configurada via DHCP.
• garantir que os conjuntos possam ser lidos na área de pré-busca.
• certifique-se de que o redirecionamento de URL seja eficiente para toda a instalação / atualização.
• adicione o proxy HTTP usado ao buscar conjuntos para rc.firsttime, onde fw_update e syspatch podem encontrá-lo e usá-lo.
• adicione a lógica para suportar o RFC 7217 com o SLAAC.
• certifique-se de que o IPv6 esteja configurado para interfaces de rede criadas dinamicamente, como vlan (4).
• crie o nome do host correto quando as opções de nome de domínio e de pesquisa de domínio forem fornecidas na concessão do DHCP.
• Daemons de roteamento e outras melhorias na rede de usuários:
• O bgpctl (8) tem uma nova opção ssv que gera entradas de ressaltos como um único ponto-e-vírgula separado, como para seleção antes da saída.
• O slaacd (8) gera endereços de autoconfiguração sem estado IPv6 aleatórios, mas estáveis, de acordo com a RFC 7217. Eles são habilitados por padrão, de acordo com a RFC 8064.
• slaacd (8) segue a RFC 4862 removendo uma limitação artificial em prefixos / 64 usando endereços de autoconfiguração sem estado RFC 7217 (aleatório mas estável) e RFC 4941 (privacidade).
• ospfd (8) agora pode definir a métrica para uma rota, dependendo do status de uma interface.
• O ifconfig (8) tem uma nova opção staticarp para fazer com que as interfaces respondam apenas a solicitações ARP.
• O ipsecctl (8) agora pode recolher as saídas de fluxo com a mesma origem ou destino.
• A opção -n no netstart (8) não mexeu mais na rota padrão. Agora está documentado também.
• Melhorias na segurança:
• Use ainda mais sleds de armadilha em várias arquiteturas.
• Maior uso de .rodata para variáveis ​​constantes na fonte de montagem.
• Parar de usar x86 & quot; repz ret & quot; em cantos empoeirados da árvore.
• Introduza & quot; execpromises & quot; em penhor (2).
• O utilitário elfrdsetroot usado para criar os ramdisks e o processo de monitoramento rebound (8) agora usam o penhor (2).
• Prepare-se para a introdução do MAP_STACK no mmap (2) após 6.3.
• Envie um pequeno pedaço do texto do kernel vinculado ao KARL para o gerador de números aleatórios como entropia na inicialização.
• Coloque um pequeno espaço aleatório na parte superior das pilhas de encadeamentos, para que os invasores tenham outro cálculo a ser executado em seu trabalho de ROP.
• Mitigação para vulnerabilidade de fusão para as CPUs amd64 da marca Intel.
• O OpenBSD / arm64 agora usa o isolamento da tabela de páginas do kernel para mitigar os ataques da Variante 3 (Derretimento) do Specter.
• O OpenBSD / armv7 e o OpenBSD / arm64 agora liberam o Buffer de destino de ramificação (BTB) nos processadores que executam a execução especulativa para mitigar os ataques de Variante 2 do Specter.
• pool_get (9) perturba a ordem dos itens em páginas recém-alocadas, tornando o layout de heap do kernel mais difícil de prever.
• A chamada do sistema fktrace (2) foi excluída.

Melhorias do
• dhclient (8):
• A análise do dhclient.conf (5) não vaza mais as strings SSID, que são longas demais para o buffer de análise ou para opções e comandos de string repetidos.
• Armazenar concessões no dhclient.conf (5) não é mais suportado.
• 'DENY' não é mais válido em dhclient.conf (5).
• dhclient.conf (5) e dhclient.leases (5) as mensagens de erro de análise foram simplificadas e esclarecidas, com melhor comportamento na presença de ponto e vírgula inesperado.
• Mais cuidado é tomado para usar somente informações de configuração que foram analisadas com êxito.
• '- n' foi adicionado, o que faz com que o dhclient (8) saia após a análise do dhclient.conf (5).
• Rotas padrão nas opções classless-static-routes (121) e classless-ms-static-routes (249) agora estão representadas corretamente nos arquivos dhclient.leases (5).
• Sobrescreva o arquivo especificado com '-L' em vez de anexá-lo a ele.
• As concessões em dhclient.leases (5) agora contêm um atributo 'epoch' que registra a hora em que a concessão foi aceita, que é usada para calcular os tempos corretos de renovação, religação e expiração.
• Não se preocupe mais com sublinhados em nomes que violam o RFC 952.
• Envia incondicionalmente informações sobre o nome do host ao solicitar uma concessão, eliminando a necessidade do dhclient.conf (5) na instalação padrão.
• Fique quieto por padrão. '-q' foi removido e '-v' foi adicionado para ativar o log detalhado.
• Recusar ofertas duplicadas para o endereço solicitado.
• Incondicionalmente, vá para o segundo plano após o tempo limite do link.
• Reduza significativamente o log quando estiver em silêncio, mas faça o log '-v' de todas as informações de depuração sem precisar compilar um executável personalizado.
• Ignore instruções 'interface' em dhclient.leases (5) e assuma que todas as concessões no arquivo são para a interface que está sendo configurada.
• Exibe a origem do limite da concessão para a interface.

As declarações 'li' 'ignore', 'request' e 'require' no dhclient.conf (5) agora adicionam as opções especificadas à lista relevante em vez de substituir a lista.
• Elimine uma corrida de inicialização que poderia resultar na saída do dhclient (8) sem configurar a interface.
• Melhorias variadas:
• Reorganização de código e outras melhorias para malloc (3) e amigos para torná-los mais eficientes.
• Ao executar operações de suspensão ou hibernação, verifique se todos os sistemas de arquivos estão devidamente sincronizados e marcados como limpos ou se não podem ser colocados em estado perfeitamente limpo no disco (devido à abertura de arquivos não vinculados) e marcados como sujos. / unhibernate é garantido para executar fsck (8).
• acme-client (1) autodetecta o URL do contrato e segue 30x redirecionamentos HTTP.
• Adicionada __cxa_thread_atexit () para suportar cadeias modernas de ferramentas C ++.
• Adicionou suporte a EVFILT_DEVICE ao kqueue (2) para monitorar alterações em dispositivos drm (4).
• ldexp (3) agora lida com o sinal de números denormal corretamente em mips64.
• Novas funções sincos (3) na libm.

O
• fdisk (8) agora garante a validade dos deslocamentos da partição MBR inseridos durante a edição.

O
• fdisk (8) agora garante que os valores padrão estejam dentro do intervalo válido.
• less (1) agora divide apenas a variável de ambiente LESS em '$'.
• less (1) não cria mais um arquivo falso ao encontrar '$' no comando inicial.
• O softraid (4) agora valida o número de partes ao montar um volume, garantindo que os metadados em disco e na memória estejam sincronizados.
• disklabel (8) agora oferece sempre editar o tamanho de fragmento de uma partição FFS antes de oferecer a edição do tamanho do bloco.

O
• disklabel (8) agora permite editar o atributo cilindros / grupo (cpg) sempre que o tamanho do bloco da partição puder ser editado.
• disklabel (8) agora detecta ^ D e entrada inválida durante os comandos (R) esize.

O
• disklabel (8) agora detecta underflows e overflows quando os operadores - / + são usados.
• disklabel (8) agora evita um off-by-one ao calcular o número de cilindros em um bloco livre.
• disklabel (8) agora valida o tamanho da partição solicitada em relação ao tamanho do maior pedaço livre em vez do total de espaço livre.
• Suporte para descarregar transferências USB via bpf (4).

O
• tcpdump (8) agora pode entender os despejos de transferências USB no formato USBPcap.
• Os prompts padrão de csh (1), ksh (1) e sh (1) agora incluem o nome do host.
• A alocação de memória em ksh (1) foi trocada de calloc (3) de volta para malloc (3), facilitando o reconhecimento de memória não inicializada. Como resultado, um bug relacionado ao histórico no modo de edição do emacs foi descoberto e corrigido.
• Nova opção de script (1) -c para executar um comando em vez de um shell.
• Nova opção grep (1) -m para limitar o número de correspondências.
• Nova opção uniq (1) -i para comparação sem distinção entre maiúsculas e minúsculas.
• A string de formato printf (3) não é mais validada ao procurar por% formats. Baseado em um commit do android e seguindo a maioria dos outros sistemas operacionais.
• Verificação de erros aprimorada no vfwprintf (3).
• Muitos programas base foram auditados e corrigidos para descritores de arquivos obsoletos, incluindo cron (8), ftp (1), mandoc (1), openssl (1), ssh (1) e sshd (8).
• Várias correções de erros e melhorias no jot (1):
• Limites de comprimento arbitrário para os argumentos para as opções -b, -s, -w foram removidos.
• O especificador de formato% F agora é suportado e um erro no formato% D foi corrigido.
• Melhor cobertura de código em testes de regressão.
• Vários excessos de buffer foram corrigidos.
• O utilitário patch (1) agora lida melhor com git diffs que criam ou excluem arquivos.

O
• pkg_add (1) agora melhorou o suporte a redirecionadores HTTP (S) como o cdn.openbsd.org.
• ftp (1) e pkg_add (1) agora suportam a retomada da sessão HTTPS para maior velocidade.
• tamanho do arquivo de saída mandoc (1) -T ps reduzido em mais de 50%.
• syslogd (8) registra se houve avisos durante a inicialização.
• syslogd (8) parou de registrar em arquivos em um sistema de arquivos completo. Agora, ele grava um aviso e continua depois que o espaço foi disponibilizado.
• vmt (4) agora permite clonar e tirar instantâneos somente em disco de convidados em execução.
• OpenSMTPD 6.0.4
• Adicione a opção spf walk ao smtpctl (8).
• Limpeza e melhorias variadas.
• Várias correções de página e melhorias manuais.
• OpenSSH 7.7
• Novos / alterados recursos:
• Todos: Adicionar suporte experimental a chaves PQC XMSS (assinaturas baseadas em hash estendido) com base no algoritmo descrito em https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures -12 O código de assinatura do XMSS é experimental e não compilado por padrão.
• sshd (8): Adicione um & quot; rdomain & quot; critérios para a palavra-chave sshd_config Match para permitir a configuração condicional que depende de qual domínio de roteamento uma conexão foi recebida (atualmente suportada no OpenBSD e no Linux).
• sshd_config (5): Adicione um qualificador rdomain opcional à diretiva ListenAddress para permitir a escuta em diferentes domínios de roteamento. Isso é suportado apenas no OpenBSD e no Linux atualmente.
• sshd_config (5): Adicione a diretiva RDomain para permitir que a sessão autenticada seja colocada em um domínio de roteamento explícito. Isso só é suportado no OpenBSD atualmente.
• sshd (8): Adicionar "tempo de expiração" opção para arquivos authorized_keys para permitir chaves expiradas.
• ssh (1): Adicione uma opção BindInterface para permitir a vinculação da conexão de saída ao endereço de uma interface (basicamente um BindAddress mais utilizável).
• ssh (1): Expor o dispositivo alocado para o tun / tap forwarding através de uma nova expansão% T para o LocalCommand. Isso permite que o LocalCommand seja usado para preparar a interface.
• sshd (8): Exponha o dispositivo alocado para o tun / tap forwarding através de uma nova variável de ambiente SSH_TUNNEL. Isso permite a configuração automática da interface e da configuração de rede circundante automaticamente no servidor.
• ssh (1) / scp (1) / sftp (1): Adicionar suporte URI a ssh, sftp e scp, e. ssh: // usuário @ host ou sftp: // usuário @ host / caminho. Parâmetros de conexão adicionais descritos em draft-ietf-secsh-scp-sftp-ssh-uri-04 não são implementados, pois o formato de impressão digital ssh no rascunho usa o hash MD5 reprovado sem nenhuma maneira de especificar qualquer outro algoritmo.
• ssh-keygen (1): permite intervalos de validade do certificado que especificam apenas um horário de início ou término (em vez de ambos ou nenhum).
• sftp (1): Permitir que & quot; cd & quot; e? lcd? comandos sem argumento de caminho explícito. O lcd mudará para o diretório inicial do usuário local como de costume. cd mudará para o diretório inicial da sessão (porque o protocolo não oferece nenhuma maneira de obter o diretório pessoal do usuário remoto). bz # 2760
• sshd (8): Ao fazer um teste de configuração com sshd -T, é necessário apenas os atributos que são realmente usados ​​em critérios de correspondência, em vez de (uma lista incompleta de) todos os critérios.
• Os seguintes erros significativos foram corrigidos nesta versão:
• ssh (1) / sshd (8): Verifique mais rigorosamente os tipos de assinatura durante a troca de chaves em relação ao que foi negociado. Evita o downgrade de assinaturas RSA feitas com SHA-256/512 para SHA-1.
• sshd (8): Correção de suporte para o cliente que anuncia uma versão de protocolo de & quot; 1.99 & quot; (indicando que eles estão preparados para aceitar tanto o SSHv1 quanto o SSHv2). Isso foi quebrado no OpenSSH 7.6 durante a remoção do suporte SSHv1. bz # 2810
• ssh (1): Avisa quando o agente retorna uma assinatura ssh-rsa (SHA1) quando uma assinatura rsa-sha2-256 / 512 foi solicitada. Essa condição é possível quando um agente antigo ou não-OpenSSH está em uso. bz # 2799
• ssh-agent (1): Correção de regressão introduzida em 7.6 que fazia com que o ssh-agent terminasse fatalmente se fosse apresentada uma mensagem de pedido de assinatura inválida.
• sshd_config (5): Aceitar opções de sinalização sim / não sem diferenciação de maiúsculas e minúsculas, como tem sido o caso em ssh_config (5) por um longo tempo. bz # 2664
• ssh (1): melhora o relatório de erros em caso de falhas durante a conexão. Em algumas circunstâncias, erros enganosos estavam sendo mostrados. bz # 2814
• ssh-keyscan (1): opção Add -D para permitir a impressão de resultados diretamente no formato SSHFP. bz # 2821
• testes de regressão: corrija o teste de interoperabilidade do PuTTY quebrado na remoção SSHv1 do último release. bz # 2823
• ssh (1): Correção de compatibilidade para alguns servidores que soltam erroneamente a conexão quando a opção IUTF8 (RFC8160) é enviada.
• scp (1): Desative RemoteCommand e RequestTTY na sessão ssh iniciada por scp (o sftp já estava fazendo isso.)
• ssh-keygen (1): Recuse-se a criar um certificado com um número inutilizável de entidades.
• ssh-keygen (1): fatalmente, saia se o ssh-keygen não conseguir gravar toda a chave pública durante a geração da chave. Anteriormente, ignorava silenciosamente os erros ao escrever o comentário e ao finalizar a nova linha.
• ssh (1): Não modifique os argumentos do hostname que são endereços, forçando-os automaticamente a minúsculas. Em vez disso, canonize-os para resolver ambiguidades (por exemplo, :: 0001 = & gt; :: 1) antes de serem correspondidos a known_hosts. bz # 2763
• ssh (1): Não aceite lixo eletrônico depois de & quot; sim & quot; ou & quot; não & quot; respostas aos prompts do hostkey. bz # 2803
• sftp (1): Faz com que o sftp imprima um aviso sobre a limpeza do shell quando a decodificação do primeiro pacote falha, o que geralmente é causado por shells poluindo o stdout de startups não interativas. bz # 2800
• ssh (1) / sshd (8): Troca os temporizadores no código do pacote usando a hora do relógio na hora monótona, permitindo que a camada de pacote funcione melhor em uma etapa do clock e evitando possíveis transbordamentos de inteiros durante as etapas.
• Várias correções de página e melhorias manuais.
• LibreSSL 2.7.2
• Adicionado suporte para muitas APIs OpenSSL 1.0.2 e 1.1, com base em observações de uso real em aplicativos. Eles são implementados em paralelo com as APIs existentes do OpenSSL 1.0.1 - alterações de visibilidade não foram feitas nas estruturas existentes, permitindo que o código criado para APIs mais antigas do OpenSSL continuem funcionando.
• Extensivas correções, melhorias e adições à documentação da API, incluindo novas APIs públicas do OpenSSL que não tinham documentação pré-existente.
• Adicionado suporte para inicialização automática de bibliotecas em libcrypto, libssl e libtls. O suporte para pthread_once ou um equivalente compatível é agora requerido do sistema operacional de destino. Como efeito colateral, o suporte mínimo do Windows é o Vista ou superior.
• Convertei mais métodos de manipulação de pacotes no CBB, o que melhora a resiliência ao gerar mensagens TLS.
• Reescrita a manipulação de extensão TLS concluída, melhorando a consistência das verificações de extensões mal formadas e duplicadas.
• Rewrote ASN1_TYPE_ {get, set} _octetstring () usando o ASN.1 modelo. Isso remove o último uso restante das antigas macros M_ASN1_ * (asn1_mac.h) da API que precisa continuar existindo.
• Adicionado suporte para retomada de sessão do lado do cliente em libtls. Um cliente de libtls pode especificar um descritor de arquivo de sessão (um arquivo regular com propriedade e permissões apropriadas) e os libtls gerenciarão a leitura e a gravação dos dados da sessão por meio de handshakes de TLS.
• Suporte aprimorado para alinhamento estrito em arquiteturas ARMv7, habilitando condicionalmente a montagem nesses casos.
• Corrigido vazamento de memória em libtls ao reutilizar um tls_config.
• Mesclou mais suporte DTLS ao caminho de código TLS regular, removendo o código duplicado.
• Portas e pacotes:

As portas
• dpb (1) e normal (7) podem agora desfrutar do mesmo modelo separado por privilégios, configurando PORTS_PRIVSEP = Yes
• Muitos pacotes pré-criados para cada arquitetura:
• aarch64: 7990
• alpha: 1
• amd64: 9912
• arm: XXXX
• hppa: XXXX
• i386: 9861
• mips64: 8149
• mips64el: XXXX
• powerpc: XXXX
• sh: 1
• sparc64: XXXX
• Alguns destaques:
• AFL 2.52b
• CMake 3.10.2
• Chromium 65.0.3325.181
• Emacs 21.4 e 25.3
• GCC 4.9.4
• GHC 8.2.2
• Gimp 2.8.22
• GNOME 3.26.2
• Ir 1,10
• Groff 1.22.3
• JDK 8u144
• KDE 3.5.10 e 4.14.3 (mais atualizações principais do KDE4)
• LLVM / Clang 5.0.1
• LibreOffice 6.0.2.1
• Lua 5.1.5, 5.2.4 e 5.3.4
• MariaDB 10.0.34
• Mozilla Firefox 52.7.3esr e 59.0.2
• Mozilla Thunderbird 52.7.0
• Mutt 1.9.4 e NeoMutt 20180223
• Node.js 8.9.4
• Ocaml 4.03.0
• OpenLDAP 2.3.43 e 2.4.45
• PHP 5.6.34 e 7.0.28
• Postfix 3.3.0 e 3.4-20180203
• PostgreSQL 10.3
• Python 2.7.14 e 3.6.4
• R 3.4.4
• Ruby 2.3.6, 2.4.3 e 2.5.0
• Ferrugem 1.24.0
• Sendmail 8.16.0.21
• SQLite3 3.22.0
• Sudo 1.8.22
• Tcl / Tk 8.5.19 e 8.6.8
• TeX Live 2017
• Vim 8.0.1589
• Xfce 4.12
• Como de costume, melhorias constantes em páginas de manual e outras documentações.
• O sistema inclui os seguintes componentes principais de fornecedores externos:
• Xenocara (baseado no X.Org 7.7 com xserver 1.19.6 + patches, freetype 2.8.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 e mais)
• LLVM / Clang 5.0.1 (+ patches)
• GCC 4.2.1 (+ patches) e 3.3.6 (+ patches)
• Perl 5.24.3 (+ patches)
• NSD 4.1.20
• Não consolidado 1.6.8
• Ncurses 5,7
• Binutils 2.17 (+ patches)
• Gdb 6,3 (+ patches)
• Awk 10 de agosto de 2011 versão
• Expatriados 2.2.5

O que há de novo na versão 6.2:

• Plataformas novas / estendidas:
• armv7:
• Carregador de inicialização EFI adicionado, os kernels agora são carregados do FFS em vez de sistemas de arquivos FAT ou EXT, sem os cabeçalhos U-Boot.
• Um único kernel e um ramdisk agora são usados ​​para todos os SoCs.
• O hardware é enumerado dinamicamente via Árvore de dispositivos nivelados (FDT) em vez de tabelas estáticas com base nos números de identificação da placa.
• As imagens do instalador do Miniroot incluem o U-Boot 2016.07 com suporte para cargas úteis do EFI.
• vax:
• removido.
• Suporte aprimorado ao hardware, incluindo:
• Novo driver bytgpio (4) para o controlador Intel Bay Trail GPIO.
• Novo driver chvgpio (4) para o controlador Intel Cherry View GPIO.
• Novo driver maxrtc (4) para o relógio de tempo real Maxim DS1307.
• Novo driver nvme (4) para a interface do controlador host de Memória não volátil Express (NVMe).
• Novo driver pcfrtc (4) para o relógio em tempo real NXP PCF8523.
• Novo driver umb (4) para o Modelo de Interface de Banda Larga Móvel (MBIM).
• Novo driver (4) para dispositivos Ethernet 10/100 USB baseados em RealTek RTL8152.
• Novo driver utvfu (4) para dispositivos de captura de áudio / vídeo baseados no USBTV007 da Fushicai.
• O driver iwm (4) agora suporta dispositivos Intel Wireless 3165 e 8260 e funciona de forma mais confiável em kernels RAMDISK.
• Suporte para dispositivos I2C HID com interrupções sinalizadas GPIO foi adicionado ao dwiic (4).
• O suporte para larguras de barramento maiores, modos de alta velocidade e transferências de DMA foi adicionado a sdmmc (4), rtsx (4), sdhc (4) e imxesdhc (4).
• Suporte para controladores USB compatíveis com EHCI e OHCI em SoCs Octeon II.
• Muitos drivers de dispositivos USB foram ativados no OpenBSD / octeon.
• Suporte aprimorado para implementações de ACPI com redução de hardware.
• Suporte aprimorado para implementações da ACPI 5.0.
• A criptografia AES-NI agora é feita sem conter o bloqueio do kernel.
• Suporte aprimorado a AGP em máquinas PowerPC G5.
• Adicionado suporte para o slot para cartão SD nos SoCs do Intel Bay Trail.
• O driver ichiic (4) agora ignora a interrupção do SMBALERT # para evitar uma tempestade de interrupções com implementações de BIOS com bugs.
• Problemas de anexos de dispositivos com o driver axen (4) foram corrigidos.
• O driver ral (4) é mais estável sob carga com dispositivos RT2860.
• Problemas com teclados mortos após o reinício foram corrigidos no driver pckbd (4).
• O driver rtsx (4) agora suporta dispositivos RTS522A.
• O suporte inicial para MSI-X foi adicionado.
• Suporte MSI-X no driver virtio (4).
• Adicionada uma solução alternativa para sobrecargas de DMA de hardware para o driver dc (4).
• O driver acpitz (4) agora gira o ventilador para baixo após o resfriamento, se a ACPI usar histerese para resfriamento ativo.
• O driver xhci (4) agora executa handoff de um BIOS compatível com xHCI corretamente.
• O suporte para entrada multitoque foi adicionado ao driver wsmouse (4).
• O driver uslcom (4) agora suporta o console serial dos controladores sem fio Aruba 7xxx.
• O driver re (4) agora trabalha com configurações de LED quebradas em EEPROMs APU1.
• O driver ehci (4) agora resolve problemas com os controladores USB da ATI (por exemplo, o SB700).
• O driver xen (4) agora suporta a configuração domU no sistema operacional Qubes.

Melhorias na pilha sem fio IEEE 802.11:
• A lógica de buffer de recepção de bloqueio de HT segue o algoritmo dado na especificação 802.11-2012 mais de perto.
• O driver iwn (4) agora controla as alterações de proteção do HT enquanto associado a um AP 11n.
• A pilha sem fio e vários drivers fazem uso mais agressivo do RTS / CTS para evitar interferência de dispositivos legados e nós ocultos.
• O comando netstat (1) -W agora mostra informações sobre eventos 802.11n.
• No modo de hostap, não reutilize IDs de associação de nós que ainda estejam armazenados em cache. Corrige um problema em que um ponto de acesso usando o driver ral (4) ficava preso a 1 Mbps porque a contabilização da taxa Tx acontecia no objeto de nó errado.
• Melhorias genéricas na pilha de rede:
• A tabela de roteamento agora é baseada no ART, oferecendo uma pesquisa mais rápida.
• O número de pesquisa de rota por pacote foi reduzido para 1 no caminho de encaminhamento.
• O campo prio nos cabeçalhos da VLAN agora está definido corretamente em cada fragmento de um pacote IPv4 que sai em uma interface vlan (4).
• Clonagem de dispositivo ativado para bpf (4). Isso permite que o sistema tenha apenas um nó de dispositivo bpf em / dev que atenda a todos os consumidores bpf (até 1024).
• A fila Tx do driver cnmac (4) agora pode ser processada em paralelo ao resto do kernel.
• O caminho de entrada da rede agora é executado no contexto do encadeamento.
• Melhorias no instalador:
• lista atualizada de usercodes restritos
• install.sh e upgrade.sh mesclados em install.sub
• update executa automaticamente sysmerge (8) no modo batch antes de fw_update (1)
• perguntas e respostas são registradas em um formato que pode ser usado como um arquivo de resposta para uso por autoinstall (8)
• / usr / local está definido como wxallowed durante a instalação
• Daemons de roteamento e outras melhorias na rede de usuários:
• Adicione suporte à tabela de roteamento para rc.d (8) e rcctl (8).
• Permitir que nc (1) suporte nomes de serviços além dos números de porta.
• Adicione sinalizadores -M e -m TTL a nc (1).
• Adicione suporte AF_UNIX ao tcpbench (1).
• Corrigida uma regressão no rarpd (8). O daemon poderia travar se estivesse ocioso por um longo tempo.
• Adicionada a opção llprio no ifconfig (8).
• Vários programas que usam bpf (4) foram modificados para aproveitar a clonagem de dispositivos bpf (4) abrindo / dev / bpf0 ao invés de fazer um loop através dos dispositivos / dev / bpf *. Esses programas incluem o arp (8), o dhclient (8), o dhcpd (8), o dhcrelay (8), o hostapd (8), o mopd (8), o npppd (8), o rarpd (8), o rbootd (8) e o tcpdump. (8). A biblioteca libpcap também foi modificada de acordo.
• Melhorias na segurança:
• W ^ X agora é rigorosamente aplicado por padrão; um programa só pode violá-lo se o executável estiver marcado com PT_OPENBSD_WXNEEDED e estiver localizado em um sistema de arquivos montado com a opção de montagem wxallowed (8). Como ainda existem muitas portas que violam W ^ X, o instalador monta o sistema de arquivos / usr / local com wxallowed. Isso permite que o sistema base seja mais seguro, desde que / usr / local seja um sistema de arquivos separado. Se você não usar programas que violem o W ^ X, considere revogar manualmente essa opção.
• A família de funções setjmp (3) agora aplica cookies XOR para empilhar e retornar os valores de endereço no jmpbuf em amd64, hppa, i386, mips64 e powerpc.
• Mitigação de SROP: sigreturn (2) agora só pode ser usado pelo trampolim de sinal fornecido pelo kernel, com um cookie para detectar tentativas de reutilizá-lo.
• Para impedir o código de reutilizar explorações, o rc (8) reconecta o libc.so na inicialização, colocando os objetos em uma ordem aleatória.
• Na família de funções getpwnam (3), pare de abrir o banco de dados de sombra por padrão.
• Permitir que o tcpdump (8) -r seja iniciado sem privilégios de root.
• Remova o systrace.
• Remova o suporte à emulação do Linux.
• Remover suporte para a opção usermount.
• O cache TCP SYN reinicia sua função hash aleatória de tempos em tempos. Isso impede que um invasor calcule a distribuição da função hash com um ataque de sincronização.
• Para trabalhar contra ataques de inundação de SYN, o administrador pode alterar o tamanho do array de hash agora. netstat (1) -s -p tcp mostra as informações relevantes para ajustar o cache SYN com sysctl (8) net.inet.tcp.
• O administrador pode exigir privilégios de root para ligação a algumas portas TCP e UDP com sysctl (8) net.inet.tcp.rootonly e sysctl (8) net.inet.udp.rootonly.
• Remova um ponteiro de função da estrutura de dados mbuf (9) e use um índice em uma matriz de funções aceitáveis.
• Melhorias variadas:
• A biblioteca de encadeamentos agora pode ser carregada em um processo de encadeamento único.
• Manipulação de símbolos aprimorada e conformidade com padrões na libc. Por exemplo, definir uma função open () não interferirá mais na operação de fopen (3).

As seções
• PT_TLS agora são suportadas no objeto carregado inicialmente.
• Melhoria no processamento de & quot; sem caminhos & quot; e & quot; caminho vazio & quot; em fts (3).
• No pcap (3), forneça as funções pcap_free_datalinks () e pcap_offline_filter ().
• Muitas correções de bugs e limpeza estrutural na biblioteca editline (3).
• Remove antigas funções de dbm (3); ndbm (3) permanece.
• Adicione a palavra-chave setenv para um gerenciamento de ambiente mais poderoso no doas.conf (5).
• Adicione as opções -g e -p ao aucat.1 para o posicionamento do tempo.
• Reescreva o audioctl (1) com uma interface de usuário mais simples.
• Adicione a opção -F para instalar (1) para fsync (2) o arquivo antes de fechá-lo.
• O kdump (1) agora desdobra as estruturas do pollfd.
• Melhore vários detalhes da conformidade POSIX do ksh (1).
• mknod (8) reescrito em um estilo amigo (2) e para criar múltiplos dispositivos ao mesmo tempo.
• Implemente o rcctl (8) get all e getdef all.
• Implemente o sinalizador rcs (1) -I (interativo).
• No rcs (1), implemente a substituição de palavra-chave do Mdocdate.
• Na parte superior (1), permita filtrar os argumentos do processo, se estiverem sendo exibidos.
• Adicionado suporte UTF-8 para fold (1) e rev (1).
• Habilite o UTF-8 por padrão no xterm (1) e no pod2man (1).
• Filtre caracteres não-ASCII na parede (1).
• Manipula a variável de ambiente COLUMNS de forma consistente em vários programas.
• As opções -c e -k permitem fornecer certificados de cliente TLS para o syslogd (8) no lado de envio. Com isso, o lado de recebimento pode verificar se as mensagens de log são autênticas. Observe que o syslogd ainda não possui esse recurso de verificação.
• Quando o buffer de klog estourar, o syslogd gravará uma mensagem de log para mostrar que algumas entradas estão faltando.
• No OpenBSD / octeon, o buffer de gravação do cache da CPU é ativado para melhorar o desempenho.
• pkg_add (1) e pkg_info (1) agora entendem uma noção de ramificação para facilitar a seleção de alguns pacotes populares como python ou php, por exemplo, pkg_add python% 3.4 para selecionar a ramificação 3.4 e usar pkg_info -zm para obter uma listagem fuzzy com seleção de ramificação adequada para pkg_add -l.
• fdisk (8) e pdisk (8) saem imediatamente a menos que tenham passado por um dispositivo especial de caractere
• st (4) rastreia corretamente a contagem atual de blocos para blocos de tamanho variável
• fsck_ext2fs (8) funciona novamente

Os volumes
• softraid (4) podem ser construídos com discos que possuem um tamanho de setor diferente de 512 bytes
• dhclient (8) DECLINE e descarta OFERTAS não usadas.
• O dhclient (8) sai imediatamente se sua interface (por exemplo, uma bridge (4)) retornar EAFNOSUPPORT quando um pacote for enviado.
• httpd (8) retorna 400 pedidos incorretos para solicitações HTTP v0.9.

A inicialização do nó preguiçoso do
• ffs2 evita tratar dados do disco aleatório como um inode
• fcntl (2) invocações em programas base usam o idiom fcntl (n, F_GETFL) em vez de fcntl (n, F_GETFL, 0)

As invocações de
• socket (2) e accept4 (2) nos programas base usam SOCK_NONBLOCK para eliminar a necessidade de um fcntl (2) separado.
• tmpfs não ativado por padrão
• a semântica in-kernel do penhor (2) foi melhorada de várias maneiras. Os destaques incluem: uma nova promessa chown que permite que os programas prometidos definam atributos setugid, uma aplicação mais rigorosa da promessa recvfd e chroot (2) não é mais permitida para programas prometidos.
• um número de erros relacionados com a promessa (2) (falta de promessas, alterações involuntárias de comportamento, falhas) foram corrigidos, nomeadamente em gzip (1), nc (1), sed (1), skeyinit (1), stty (1) e vários utilitários relacionados ao disco, como disklabel (8) e fdisk (8).
• Erros de cálculo do tamanho do bloco no driver de áudio (4) foram corrigidos.
• O driver usb (4) agora armazena os IDs do fornecedor e do produto. Corrige um problema em que o usbdevs (8) chamado em um loop faria com que um dispositivo de armazenamento em massa USB interrompesse a operação.
• Os drivers rsu (4) e ural (4) agora estão funcionando novamente após terem sido acidentalmente quebrados em 5.9.
• OpenSMTPD 6.0.0
• Segurança:
• Implemente o padrão fork + exec no smtpd (8).
• Corrija um problema de lógica na máquina de estado do SMTP que pode levar a um estado inválido e resultar em uma falha.
• Conecte um vazamento de ponteiro de arquivo que pode levar à exaustão de recursos e resultar em uma falha.
• Use parâmetros DH automáticos em vez de parâmetros fixos.
• Desative o DHE por padrão, pois ele é computacionalmente caro e um vetor DoS em potencial.
• Os seguintes aprimoramentos foram trazidos na versão 6.2:
• Adicione a opção -r ao compilador smtpd (8) para compatibilidade com o mailx.
• Adicione a data em falta ou o ID da mensagem ao ouvir a porta de envio.
• Corrigir & quot; fila de exibição smtpctl & quot; relatórios & quot; inválidos & quot; estado do envelope.
• Retrabalho do formato do & quot; Recebido & quot; cabeçalho para que a parte TLS não viole o RFC.
• Aumente o número de conexões que um endereço local pode estabelecer e diminua o atraso entre as transações na mesma sessão.
• Corrija a entrega do LMTP para servidores que retornam linhas de continuação.
• Aprimore ainda mais a API do filtro experimental e corrija vários problemas relacionados.
• Comece a melhorar e unificar o formato das mensagens de log.
• Corrigir várias discrepâncias de documentação e erros de digitação nas páginas do manual.
• OpenSSH 7.3
• Segurança:
• sshd (8): Mitigue um possível ataque de negação de serviço contra a função crypt (3) do sistema via sshd (8). Um invasor pode enviar senhas muito longas que causariam uso excessivo da CPU na cripta (3). O sshd (8) agora se recusa a aceitar solicitações de autenticação de senha com comprimento superior a 1024 caracteres.
• sshd (8): atenua as diferenças de tempo na autenticação de senha que podem ser usadas para discernir nomes de contas válidos de inválidos quando senhas longas foram enviadas e algoritmos de hash de senha específicos estão em uso no servidor. CVE-2016-6210.
• ssh (1), sshd (8): Correção da fraqueza de tempo observável nas contramedidas oracle do encapsulamento CBC. Observe que as cifras CBC estão desativadas por padrão e incluídas apenas para compatibilidade legada.
• ssh (1), sshd (8): Melhora na ordenação de verificação MAC para algoritmos MAC de transporte do modo Encrypt-then-MAC (EtM) para verificar o MAC antes de descriptografar qualquer texto cifrado. Isso elimina a possibilidade de diferenças temporais que vazam fatos sobre o texto simples, embora nenhum vazamento seja conhecido.
• Novos / alterados recursos:
• ssh (1): Adicione uma opção ProxyJump e o sinalizador de linha de comando -J correspondente para permitir a indireta simplificada por meio de um ou mais bastiões SSH ou "jump hosts".
• ssh (1): Adicione uma opção IdentityAgent para permitir a especificação de soquetes de agente específicos em vez de aceitar um do ambiente.
• ssh (1): permite que ExitOnForwardFailure e ClearAllForwardings sejam substituídos opcionalmente ao usar ssh -W. (bz # 2577)
• ssh (1), sshd (8): Implementa o suporte para o modo de terminal do IUTF8 conforme o rascunho-sgtatham-secsh-iutf8-00.
• ssh (1), sshd (8): Adicione suporte para grupos fixos Diffie-Hellman 2K, 4K e 8K do draft-ietf-curdle-ssh-kex-sha2-03.
• ssh-keygen (1), ssh (1), sshd (8): suporte a assinaturas SHA256 e SHA512 RSA em certificados.
• ssh (1): Adicione uma diretiva Include para arquivos ssh_config (5).
• ssh (1): permite caracteres UTF-8 em banners de pré-autenticação enviados pelo servidor. (bz # 2058)
• Os seguintes erros significativos foram corrigidos na versão 6.2:
• Em scp (1) e sftp (1), evite estragar as configurações do terminal escapando de bytes que não formam caracteres ASCII ou UTF-8.
• ssh (1), sshd (8): Reduz o nível de syslog de alguns eventos de protocolo relativamente comuns de LOG_CRIT. (bz # 2585)
• sshd (8): Métodos de autenticação de recusar = "& quot; nas configurações e aceite AuthenticationMethods = any para o comportamento padrão de não exigir autenticação múltipla. (bz # 2398)
• sshd (8): Remover obsoleto e enganoso & quot; TENTATIVA DE INTERRUPÇÃO POSSÍVEL! & quot; mensagem quando o DNS direto e reverso não corresponde. (bz # 2585)
• ssh (1): Fecha o stderr do processo em segundo plano do ControlPersist, exceto no modo de depuração ou ao efetuar login no syslog. (bz # 1988)
• variado: Faça a descrição do PROTOCOL para que as mensagens abertas do canal direct-streamlocal@openssh.com correspondam ao código implantado. (bz # 2529)
• ssh (1): Desduplica as entradas LocalForward e RemoteForward para corrigir falhas quando a canonização ExitOnForwardFailure e o nome do host estiverem ativados. (bz # 2562)
• sshd (8): Remove fallback de moduli para obsoleto & quot; primes & quot; arquivo que foi preterido em 2001. (bz # 2559)
• sshd_config (5): Descrição correta de UseDNS: afeta o processamento do nome de host ssh para authorized_keys, não known_hosts. (bz # 2554)
• ssh (1): corrija a autenticação usando chaves de certificado isoladas em um agente sem chaves privadas correspondentes no sistema de arquivos. (bz # 2550)
• sshd (8): envia pings ClientAliveInterval quando um RekeyLimit baseado em tempo é definido; anteriormente os pacotes keepalive não estavam sendo enviados. (bz # 2252)
• OpenNTPD 6.0
• Quando uma única & quot; restrição & quot; for especificado, tente todos os endereços retornados até que um seja bem-sucedido, em vez do primeiro endereço retornado.
• Desativada a margem de erro de restrição para ser proporcional ao número de pares de NTP, evite reconexões constantes quando houver um par de NTP defeituoso.
• Removido o suporte do sensor hotplug desativado (4).
• Adicionado suporte para detectar falhas em subprocessos de restrições.
• Movido a execução de restrições do processo ntp para o processo pai, permitindo uma melhor separação de privilégios, pois o processo ntp pode ser ainda mais restrito.
• Corrigido alto uso da CPU quando a rede está inativa.
• Corrigido vários vazamentos de memória.
• Comutado para o RMS para cálculos de jitter.
• Funções de registro unificadas com outros programas base do OpenBSD.
• Defina MOD_MAXERROR para evitar o status de tempo não sincronizado ao usar ntp_adjtime.
• Corrigida a análise do cabeçalho do registro de data e hora HTTP para usar o strptime (3) de uma maneira mais portátil.
• TLS endurecido para restrições ntpd (8), permitindo a verificação do nome do servidor.
• LibreSSL 2.4.2
• Recursos visíveis ao usuário:
• Corrigidos alguns links de páginas da página quebrados no destino da instalação.
• cert.pem foi reorganizado e sincronizado com o armazenamento de certificados da Mozilla.
• Correção de confiabilidade, corrigindo um erro ao analisar determinados elementos ASN.1 com tamanho superior a 16k.
• Implementou os conjuntos de criptografia IETF ChaCha20-Poly1305.
• Prompts de senha fixos de openssl (1) para manipular corretamente ^ C.
• Melhorias no código:
• Corrigido um problema de compatibilidade do nginx ao adicionar um destino de compilação 'install_sw'.
• Alterou a implementação padrão do EVP_aead_chacha20_poly1305 (3) para a versão do IETF, que agora é o padrão.
• Tratamento de erros retrabalhado em libtls para que os erros de configuração fiquem mais visíveis.
• Adicionada a manipulação de erros perdidos em torno das chamadas bn_wexpand (3).
• Adicionado explicit_bzero (3) solicita objetos ASN.1 liberados.
• Fixo X509_ * funções set_object para retornar 0 na falha de alocação.
• Uso interno obsoleto de EVP_ [Cifra | Criptografar | Descriptografar] _Final.
• Corrigido um problema que impede que o algoritmo de assinatura do DSA seja executado em tempo constante, mesmo se o sinalizador BN_FLG_CONSTTIME estiver definido.
• Corrigidos vários problemas no código OCSP que podem resultar na geração e análise incorretas de solicitações OCSP. Isso corrige a falta de verificação de erros na análise de tempo nessas funções e garante que apenas os formatos GENERALIZEDTIME sejam aceitos para o OCSP, conforme o RFC 6960.
• Os seguintes CVEs foram corrigidos:
• Estouro de CVE-2016-2105-EVP_EncodeUpdate.
• Estouro CVE-2016-2106-EVP_EncryptUpdate.
• CVE-2016-2107-padding oracle na verificação AES-NI CBC MAC.
• Corrupção de memória do CVE-2016-2108 no codificador ASN.1.
• CVE-2016-2109-ASN.1 BIO alocação excessiva de memória.
• Portas e pacotes:
• Nova ferramenta proot (1) na árvore de portes para criar pacotes em um chroot.
• Muitos pacotes pré-criados para cada arquitetura:
• alpha: 7422
• amd64: 9433
• hppa: 6346
• i386: 9394
• mips64: 7921
• mips64el: 7767
• powerpc: 8318
• sparc64: 8570
• Alguns destaques:
• Afl 2.19b
• Cromo 51.0.2704.106
• Emacs 21.4 e 24.5
• GCC 4.9.3
• GHC 7.10.3
• Gimp 2.8.16
• GNOME 3.20.2
• Go 1.6.3
• Groff 1.22.3
• JDK 7u80 e 8u72
• KDE 3.5.10 e 4.14.3 (além de atualizações do núcleo do KDE4)
• LLVM / Clang 3.8.0
• LibreOffice 5.1.4.2
• Lua 5.1.5, 5.2.4 e 5.3.3
• MariaDB 10.0.25
• Mono 4.4.0.182
• Mozilla Firefox 45.2.0esr e 47.0.1
• Mozilla Thunderbird 45.2.0
• Mutt 1.6.2
• Node.js 4.4.5
• Ocaml 4.3.0
• OpenLDAP 2.3.43 e 2.4.44
• PHP 5.5.37, 5.6.23 e 7.0.8
• Postfix 3.1.1 e 3.2-20160515
• PostgreSQL 9.5.3
• Python 2.7.12, 3.4.5 e 3.5.2
• R 3.3.1
• Rubi 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 e 2.3.1
• Rust 1.9.0-20160608
• Sendmail 8.15.2
• Sudo 1.8.17.1
• Tcl / Tk 8.5.18 e 8.6.4
• TeX Live 2015
• Vim 7.4.1467
• Xfce 4.12
• Como de costume, melhorias constantes em páginas de manuais e outros documentos.
• O sistema inclui os seguintes componentes principais de fornecedores externos:
• Xenocara (baseado em X.Org 7,7 com xserver 1.18.3 + patches, freetype 2.6.3, 2.11.1 fontconfig, Mesa 11.2.2, xterm 322, XKEYBOARD-config 2,18 e mais)
• GCC 4.2.1 (+ patches) e 3.3.6 (+ patches)
• Perl 5.20.3 (+ patches)
• SQLite 3.9.2 (+ patches)
• NSD 4.1.10
• Não consolidado 1.5.9
• Ncurses 5,7
• Binutils 2.17 (+ patches)
• Gdb 6,3 (+ patches)
• Awk 10 de agosto de 2011 versão
• Expat 2.1.1

O que há de novo na versão 6.1:

• Novas plataformas / estendidas:
• armv7:
• Carregador de inicialização EFI adicionado, os kernels agora são carregados do FFS em vez de sistemas de arquivos FAT ou EXT, sem os cabeçalhos U-Boot.
• Um único kernel e um ramdisk agora são usados ​​para todos os SoCs.
• O hardware é enumerado dinamicamente via Árvore de dispositivos nivelados (FDT) em vez de tabelas estáticas com base nos números de identificação da placa.
• As imagens do instalador do Miniroot incluem o U-Boot 2016.07 com suporte para cargas úteis do EFI.
• vax:
• removido.
• Suporte aprimorado ao hardware, incluindo:
• Novo driver bytgpio (4) para o controlador Intel Bay Trail GPIO.
• Novo driver chvgpio (4) para o controlador Intel Cherry View GPIO.
• Novo driver maxrtc (4) para o relógio de tempo real Maxim DS1307.
• Novo driver nvme (4) para a interface do controlador host de Memória não volátil Express (NVMe).
• Novo driver pcfrtc (4) para o relógio em tempo real NXP PCF8523.
• Novo driver umb (4) para o Modelo de Interface de Banda Larga Móvel (MBIM).
• Novo driver (4) para dispositivos Ethernet 10/100 USB baseados em RealTek RTL8152.
• Novo driver utvfu (4) para dispositivos de captura de áudio / vídeo baseados no USBTV007 da Fushicai.
• O driver iwm (4) agora suporta dispositivos Intel Wireless 3165 e 8260 e funciona de forma mais confiável em kernels RAMDISK.
• Suporte para dispositivos I2C HID com interrupções sinalizadas GPIO foi adicionado ao dwiic (4).
• O suporte para larguras de barramento maiores, modos de alta velocidade e transferências de DMA foi adicionado a sdmmc (4), rtsx (4), sdhc (4) e imxesdhc (4).
• Suporte para controladores USB compatíveis com EHCI e OHCI em SoCs Octeon II.
• Muitos drivers de dispositivos USB foram ativados no OpenBSD / octeon.
• Suporte aprimorado para implementações de ACPI com redução de hardware.
• Suporte aprimorado para implementações da ACPI 5.0.
• A criptografia AES-NI agora é feita sem conter o bloqueio do kernel.
• Suporte aprimorado a AGP em máquinas PowerPC G5.
• Adicionado suporte para o slot para cartão SD nos SoCs do Intel Bay Trail.
• O driver ichiic (4) agora ignora a interrupção do SMBALERT # para evitar uma tempestade de interrupções com implementações de BIOS com bugs.
• Problemas de anexos de dispositivos com o driver axen (4) foram corrigidos.
• O driver ral (4) é mais estável sob carga com dispositivos RT2860.
• Problemas com teclados mortos após o reinício foram corrigidos no driver pckbd (4).
• O driver rtsx (4) agora suporta dispositivos RTS522A.
• O suporte inicial para MSI-X foi adicionado.
• Suporte MSI-X no driver virtio (4).
• Adicionada uma solução alternativa para sobrecargas de DMA de hardware para o driver dc (4).
• O driver acpitz (4) agora gira o ventilador para baixo após o resfriamento, se a ACPI usar histerese para resfriamento ativo.
• O driver xhci (4) agora executa handoff de um BIOS compatível com xHCI corretamente.
• O suporte para entrada multitoque foi adicionado ao driver wsmouse (4).
• O driver uslcom (4) agora suporta o console serial dos controladores sem fio Aruba 7xxx.
• O driver re (4) agora trabalha com configurações de LED quebradas em EEPROMs APU1.
• O driver ehci (4) agora resolve problemas com os controladores USB da ATI (por exemplo, o SB700).
• O driver xen (4) agora suporta a configuração domU no sistema operacional Qubes.

Melhorias na pilha sem fio IEEE 802.11:
• A lógica de buffer de recepção de bloqueio de HT segue o algoritmo dado na especificação 802.11-2012 mais de perto.
• O driver iwn (4) agora controla as alterações de proteção do HT enquanto associado a um AP 11n.
• A pilha sem fio e vários drivers fazem uso mais agressivo do RTS / CTS para evitar interferência de dispositivos legados e nós ocultos.
• O comando netstat (1) -W agora mostra informações sobre eventos 802.11n.
• No modo de hostap, não reutilize IDs de associação de nós que ainda estejam armazenados em cache. Corrige um problema em que um ponto de acesso usando o driver ral (4) ficava preso a 1 Mbps porque a contabilização da taxa Tx acontecia no objeto de nó errado.
• Melhorias genéricas na pilha de rede:
• A tabela de roteamento agora é baseada no ART, oferecendo uma pesquisa mais rápida.
• O número de pesquisa de rota por pacote foi reduzido para 1 no caminho de encaminhamento.
• O campo prio nos cabeçalhos da VLAN agora está definido corretamente em cada fragmento de um pacote IPv4 que sai em uma interface vlan (4).
• Clonagem de dispositivo ativado para bpf (4). Isso permite que o sistema tenha apenas um nó de dispositivo bpf em / dev que atenda a todos os consumidores bpf (até 1024).
• A fila Tx do driver cnmac (4) agora pode ser processada em paralelo ao resto do kernel.
• O caminho de entrada da rede agora é executado no contexto do encadeamento.
• Melhorias no instalador:
• lista atualizada de usercodes restritos
• install.sh e upgrade.sh mesclados em install.sub
• update executa automaticamente sysmerge (8) no modo batch antes de fw_update (1)
• perguntas e respostas são registradas em um formato que pode ser usado como um arquivo de resposta para uso por autoinstall (8)
• / usr / local está definido como wxallowed durante a instalação
• Daemons de roteamento e outras melhorias na rede de usuários:
• Adicione suporte à tabela de roteamento para rc.d (8) e rcctl (8).
• Permitir que nc (1) suporte nomes de serviços além dos números de porta.
• Adicione sinalizadores -M e -m TTL a nc (1).
• Adicione suporte AF_UNIX ao tcpbench (1).
• Corrigida uma regressão no rarpd (8). O daemon poderia travar se estivesse ocioso por um longo tempo.
• Adicionada a opção llprio no ifconfig (8).
• Vários programas que usam bpf (4) foram modificados para aproveitar a clonagem de dispositivos bpf (4) abrindo / dev / bpf0 ao invés de fazer um loop através dos dispositivos / dev / bpf *. Esses programas incluem o arp (8), o dhclient (8), o dhcpd (8), o dhcrelay (8), o hostapd (8), o mopd (8), o npppd (8), o rarpd (8), o rbootd (8) e o tcpdump. (8). A biblioteca libpcap também foi modificada de acordo.
• Melhorias na segurança:
• W ^ X agora é rigorosamente aplicado por padrão; um programa só pode violá-lo se o executável estiver marcado com PT_OPENBSD_WXNEEDED e estiver localizado em um sistema de arquivos montado com a opção de montagem wxallowed (8). Como ainda existem muitas portas que violam W ^ X, o instalador monta o sistema de arquivos / usr / local com wxallowed. Isso permite que o sistema base seja mais seguro, desde que / usr / local seja um sistema de arquivos separado. Se você não usar programas que violem o W ^ X, considere revogar manualmente essa opção.
• A família de funções setjmp (3) agora aplica cookies XOR para empilhar e retornar os valores de endereço no jmpbuf em amd64, hppa, i386, mips64 e powerpc.
• Mitigação de SROP: sigreturn (2) agora só pode ser usado pelo trampolim de sinal fornecido pelo kernel, com um cookie para detectar tentativas de reutilizá-lo.
• Para impedir o código de reutilizar explorações, o rc (8) reconecta o libc.so na inicialização, colocando os objetos em uma ordem aleatória.
• Na família de funções getpwnam (3), pare de abrir o banco de dados de sombra por padrão.
• Permitir que o tcpdump (8) -r seja iniciado sem privilégios de root.
• Remova o systrace.
• Remova o suporte à emulação do Linux.
• Remover suporte para a opção usermount.
• O cache TCP SYN reinicia sua função hash aleatória de tempos em tempos. Isso impede que um invasor calcule a distribuição da função hash com um ataque de sincronização.
• Para trabalhar contra ataques de inundação de SYN, o administrador pode alterar o tamanho do array de hash agora. netstat (1) -s -p tcp mostra as informações relevantes para ajustar o cache SYN com sysctl (8) net.inet.tcp.
• O administrador pode exigir privilégios de root para ligação a algumas portas TCP e UDP com sysctl (8) net.inet.tcp.rootonly e sysctl (8) net.inet.udp.rootonly.
• Remova um ponteiro de função da estrutura de dados mbuf (9) e use um índice em uma matriz de funções aceitáveis.
• Melhorias variadas:
• A biblioteca de encadeamentos agora pode ser carregada em um processo de encadeamento único.
• Manipulação de símbolos aprimorada e conformidade com padrões na libc. Por exemplo, definir uma função open () não interferirá mais na operação de fopen (3).

As seções
• PT_TLS agora são suportadas no objeto carregado inicialmente.
• Manipulação aprimorada de "sem caminhos" e "caminho vazio" em fts (3).
• No pcap (3), forneça as funções pcap_free_datalinks () e pcap_offline_filter ().
• Muitas correções de bugs e limpeza estrutural na biblioteca editline (3).
• Remove antigas funções de dbm (3); ndbm (3) permanece.
• Adicione a palavra-chave setenv para um gerenciamento de ambiente mais poderoso no doas.conf (5).
• Adicione as opções -g e -p ao aucat.1 para o posicionamento do tempo.
• Reescreva o audioctl (1) com uma interface de usuário mais simples.
• Adicione a opção -F para instalar (1) para fsync (2) o arquivo antes de fechá-lo.
• O kdump (1) agora desdobra as estruturas do pollfd.
• Melhore vários detalhes da conformidade POSIX do ksh (1).
• mknod (8) reescrito em um estilo amigo (2) e para criar múltiplos dispositivos ao mesmo tempo.
• Implemente o rcctl (8) get all e getdef all.
• Implemente o sinalizador rcs (1) -I (interativo).
• No rcs (1), implemente a substituição de palavra-chave do Mdocdate.
• Na parte superior (1), permita filtrar os argumentos do processo, se estiverem sendo exibidos.
• Adicionado suporte UTF-8 para fold (1) e rev (1).
• Habilite o UTF-8 por padrão no xterm (1) e no pod2man (1).
• Filtre caracteres não-ASCII na parede (1).
• Manipula a variável de ambiente COLUMNS de forma consistente em vários programas.
• As opções -c e -k permitem fornecer certificados de cliente TLS para o syslogd (8) no lado de envio. Com isso, o lado de recebimento pode verificar se as mensagens de log são autênticas. Observe que o syslogd ainda não possui esse recurso de verificação.
• Quando o buffer de klog estourar, o syslogd gravará uma mensagem de log para mostrar que algumas entradas estão faltando.
• No OpenBSD / octeon, o buffer de gravação do cache da CPU é ativado para melhorar o desempenho.
• pkg_add (1) e pkg_info (1) agora entendem uma noção de ramificação para facilitar a seleção de alguns pacotes populares como python ou php, por exemplo, pkg_add python% 3.4 para selecionar a ramificação 3.4 e usar pkg_info -zm para obter uma listagem fuzzy com seleção de ramificação adequada para pkg_add -l.
• fdisk (8) e pdisk (8) saem imediatamente a menos que tenham passado por um dispositivo especial de caractere
• st (4) rastreia corretamente a contagem atual de blocos para blocos de tamanho variável
• fsck_ext2fs (8) funciona novamente

Os volumes
• softraid (4) podem ser construídos com discos que possuem um tamanho de setor diferente de 512 bytes
• dhclient (8) DECLINE e descarta OFERTAS não usadas.
• O dhclient (8) sai imediatamente se sua interface (por exemplo, uma bridge (4)) retornar EAFNOSUPPORT quando um pacote for enviado.
• httpd (8) retorna 400 pedidos incorretos para solicitações HTTP v0.9.

A inicialização do nó preguiçoso do
• ffs2 evita tratar dados do disco aleatório como um inode
• fcntl (2) invocações em programas base usam o idiom fcntl (n, F_GETFL) em vez de fcntl (n, F_GETFL, 0)

As invocações de
• socket (2) e accept4 (2) nos programas base usam SOCK_NONBLOCK para eliminar a necessidade de um fcntl (2) separado.
• tmpfs não ativado por padrão
• a semântica in-kernel do penhor (2) foi melhorada de várias maneiras. Os destaques incluem: uma nova promessa chown que permite que os programas prometidos definam atributos setugid, uma aplicação mais rigorosa da promessa recvfd e chroot (2) não é mais permitida para programas prometidos.
• um número de erros relacionados com a promessa (2) (falta de promessas, alterações involuntárias de comportamento, falhas) foram corrigidos, nomeadamente em gzip (1), nc (1), sed (1), skeyinit (1), stty (1) e vários utilitários relacionados ao disco, como disklabel (8) e fdisk (8).
• Erros de cálculo do tamanho do bloco no driver de áudio (4) foram corrigidos.
• O driver usb (4) agora armazena os IDs do fornecedor e do produto. Corrige um problema em que o usbdevs (8) chamado em um loop faria com que um dispositivo de armazenamento em massa USB interrompesse a operação.
• Os drivers rsu (4) e ural (4) agora estão funcionando novamente após terem sido acidentalmente quebrados em 5.9.
• OpenSMTPD 6.0.0
• Segurança:
• Implemente o padrão fork + exec no smtpd (8).
• Corrija um problema de lógica na máquina de estado do SMTP que pode levar a um estado inválido e resultar em uma falha.
• Conecte um vazamento de ponteiro de arquivo que pode levar à exaustão de recursos e resultar em uma falha.
• Use parâmetros DH automáticos em vez de parâmetros fixos.
• Desative o DHE por padrão, pois ele é computacionalmente caro e um vetor DoS em potencial.
• Os seguintes aprimoramentos foram trazidos na versão 6.1:
• Adicione a opção -r ao compilador smtpd (8) para compatibilidade com o mailx.
• Adicione a data em falta ou o ID da mensagem ao ouvir a porta de envio.
• Corrija "smtpctl show queue" informando estado de envelope "inválido".
• Retrabalhe o formato do cabeçalho "Recebido" para que a parte do TLS não viole a RFC.
• Aumente o número de conexões que um endereço local pode estabelecer e diminua o atraso entre as transações na mesma sessão.
• Corrija a entrega do LMTP para servidores que retornam linhas de continuação.
• Aprimore ainda mais a API do filtro experimental e corrija vários problemas relacionados.
• Comece a melhorar e unificar o formato das mensagens de log.
• Corrigir várias discrepâncias de documentação e erros de digitação nas páginas do manual.
• OpenSSH 7.3
• Segurança:
• sshd (8): Mitigue um possível ataque de negação de serviço contra a função crypt (3) do sistema via sshd (8). Um invasor pode enviar senhas muito longas que causariam uso excessivo da CPU na cripta (3). O sshd (8) agora se recusa a aceitar solicitações de autenticação de senha com comprimento superior a 1024 caracteres.
• sshd (8): atenua as diferenças de tempo na autenticação de senha que podem ser usadas para discernir nomes de contas válidos de inválidos quando senhas longas foram enviadas e algoritmos de hash de senha específicos estão em uso no servidor. CVE-2016-6210.
• ssh (1), sshd (8): Correção da fraqueza de tempo observável nas contramedidas oracle do encapsulamento CBC. Observe que as cifras CBC estão desativadas por padrão e incluídas apenas para compatibilidade legada.
• ssh (1), sshd (8): Melhora na ordenação de verificação MAC para algoritmos MAC de transporte do modo Encrypt-then-MAC (EtM) para verificar o MAC antes de descriptografar qualquer texto cifrado. Isso elimina a possibilidade de diferenças temporais que vazam fatos sobre o texto simples, embora nenhum vazamento seja conhecido.
• Novos / alterados recursos:
• ssh (1): Adicione uma opção ProxyJump e o sinalizador de linha de comando -J correspondente para permitir a indireta simplificada por meio de um ou mais bastiões SSH ou "jump hosts".
• ssh (1): Adicione uma opção IdentityAgent para permitir a especificação de soquetes de agente específicos em vez de aceitar um do ambiente.
• ssh (1): permite que ExitOnForwardFailure e ClearAllForwardings sejam substituídos opcionalmente ao usar ssh -W. (bz # 2577)
• ssh (1), sshd (8): Implementa o suporte para o modo de terminal do IUTF8 conforme o rascunho-sgtatham-secsh-iutf8-00.
• ssh (1), sshd (8): Adicione suporte para grupos fixos Diffie-Hellman 2K, 4K e 8K do draft-ietf-curdle-ssh-kex-sha2-03.
• ssh-keygen (1), ssh (1), sshd (8): suporte a assinaturas SHA256 e SHA512 RSA em certificados.
• ssh (1): Adicione uma diretiva Include para arquivos ssh_config (5).
• ssh (1): permite caracteres UTF-8 em banners de pré-autenticação enviados pelo servidor. (bz # 2058)
• Os seguintes erros significativos foram corrigidos na versão 6.1:
• Em scp (1) e sftp (1), evite estragar as configurações do terminal escapando de bytes que não formam caracteres ASCII ou UTF-8.
• ssh (1), sshd (8): Reduz o nível de syslog de alguns eventos de protocolo relativamente comuns de LOG_CRIT. (bz # 2585)
• sshd (8): Recuse AuthenticationMethods = "" nas configurações e aceite AuthenticationMethods = any para o comportamento padrão de não exigir autenticação múltipla. (bz # 2398)
• sshd (8): Remover obsoleta e enganosa "TENTATIVA DE INTERRUPÇÃO POSSÍVEL!" mensagem quando o DNS direto e reverso não corresponde. (bz # 2585)
• ssh (1): Fecha o stderr do processo em segundo plano do ControlPersist, exceto no modo de depuração ou ao efetuar login no syslog. (bz # 1988)
• variado: Faça a descrição do PROTOCOL para que as mensagens abertas do canal direct-streamlocal@openssh.com correspondam ao código implantado. (bz # 2529)
• ssh (1): Desduplica as entradas LocalForward e RemoteForward para corrigir falhas quando a canonização ExitOnForwardFailure e o nome do host estiverem ativados. (bz # 2562)
• sshd (8): Remove o fallback do moduli para o arquivo "primes" obsoleto que foi descontinuado em 2001. (bz # 2559)
• sshd_config (5): Descrição correta de UseDNS: afeta o processamento do nome de host ssh para authorized_keys, não known_hosts. (bz # 2554)
• ssh (1): corrija a autenticação usando chaves de certificado isoladas em um agente sem chaves privadas correspondentes no sistema de arquivos. (bz # 2550)
• sshd (8): envia pings ClientAliveInterval quando um RekeyLimit baseado em tempo é definido; anteriormente os pacotes keepalive não estavam sendo enviados. (bz # 2252)
• OpenNTPD 6.0
• Quando uma única "restrição" é especificada, tente todos os endereços retornados até que um seja bem-sucedido, em vez do primeiro endereço retornado.
• Desativada a margem de erro de restrição para ser proporcional ao número de pares de NTP, evite reconexões constantes quando houver um par de NTP defeituoso.
• Removido o suporte do sensor hotplug desativado (4).
• Adicionado suporte para detectar falhas em subprocessos de restrições.
• Movido a execução de restrições do processo ntp para o processo pai, permitindo uma melhor separação de privilégios, pois o processo ntp pode ser ainda mais restrito.
• Corrigido alto uso da CPU quando a rede está inativa.
• Corrigido vários vazamentos de memória.
• Comutado para o RMS para cálculos de jitter.
• Funções de registro unificadas com outros programas base do OpenBSD.
• Defina MOD_MAXERROR para evitar o status de tempo não sincronizado ao usar ntp_adjtime.
• Corrigida a análise do cabeçalho do registro de data e hora HTTP para usar o strptime (3) de uma maneira mais portátil.
• TLS endurecido para restrições ntpd (8), permitindo a verificação do nome do servidor.
• LibreSSL 2.4.2
• Recursos visíveis ao usuário:
• Corrigidos alguns links de páginas da página quebrados no destino da instalação.
• cert.pem foi reorganizado e sincronizado com o armazenamento de certificados da Mozilla.
• Correção de confiabilidade, corrigindo um erro ao analisar determinados elementos ASN.1 com tamanho superior a 16k.
• Implementou os conjuntos de criptografia IETF ChaCha20-Poly1305.
• Prompts de senha fixos de openssl (1) para manipular corretamente ^ C.
• Melhorias no código:
• Corrigido um problema de compatibilidade do nginx ao adicionar um destino de compilação 'install_sw'.
• Alterou a implementação padrão do EVP_aead_chacha20_poly1305 (3) para a versão do IETF, que agora é o padrão.
• Tratamento de erros retrabalhado em libtls para que os erros de configuração fiquem mais visíveis.
• Adicionada a manipulação de erros perdidos em torno das chamadas bn_wexpand (3).
• Adicionado explicit_bzero (3) solicita objetos ASN.1 liberados.
• Fixo X509_ * funções set_object para retornar 0 na falha de alocação.
• Uso interno obsoleto de EVP_ [Cifra | Criptografar | Descriptografar] _Final.
• Corrigido um problema que impede que o algoritmo de assinatura do DSA seja executado em tempo constante, mesmo se o sinalizador BN_FLG_CONSTTIME estiver definido.
• Corrigidos vários problemas no código OCSP que podem resultar na geração e análise incorretas de solicitações OCSP. Isso corrige a falta de verificação de erros na análise de tempo nessas funções e garante que apenas os formatos GENERALIZEDTIME sejam aceitos para o OCSP, conforme o RFC 6960.
• Os seguintes CVEs foram corrigidos:
• Estouro de CVE-2016-2105-EVP_EncodeUpdate.
• Estouro CVE-2016-2106-EVP_EncryptUpdate.
• CVE-2016-2107-padding oracle na verificação AES-NI CBC MAC.
• Corrupção de memória do CVE-2016-2108 no codificador ASN.1.
• CVE-2016-2109-ASN.1 BIO alocação excessiva de memória.
• Portas e pacotes:
• Nova ferramenta proot (1) na árvore de portes para criar pacotes em um chroot.
• Muitos pacotes pré-criados para cada arquitetura:
• alpha: 7422
• amd64: 9433
• hppa: 6346
• i386: 9394
• mips64: 7921
• mips64el: 7767
• powerpc: 8318
• sparc64: 8570
• Alguns destaques:
• Afl 2.19b
• Cromo 51.0.2704.106
• Emacs 21.4 e 24.5
• GCC 4.9.3
• GHC 7.10.3
• Gimp 2.8.16
• GNOME 3.20.2
• Go 1.6.3
• Groff 1.22.3
• JDK 7u80 e 8u72
• KDE 3.5.10 e 4.14.3 (além de atualizações do núcleo do KDE4)
• LLVM / Clang 3.8.0
• LibreOffice 5.1.4.2
• Lua 5.1.5, 5.2.4 e 5.3.3
• MariaDB 10.0.25
• Mono 4.4.0.182
• Mozilla Firefox 45.2.0esr e 47.0.1
• Mozilla Thunderbird 45.2.0
• Mutt 1.6.2
• Node.js 4.4.5
• Ocaml 4.3.0
• OpenLDAP 2.3.43 e 2.4.44
• PHP 5.5.37, 5.6.23 e 7.0.8
• Postfix 3.1.1 e 3.2-20160515
• PostgreSQL 9.5.3
• Python 2.7.12, 3.4.5 e 3.5.2
• R 3.3.1
• Rubi 1.8.7.374, 2.0.0.648, 2.1.9, 2.2.5 e 2.3.1
• Rust 1.9.0-20160608
• Sendmail 8.15.2
• Sudo 1.8.17.1
• Tcl / Tk 8.5.18 e 8.6.4
• TeX Live 2015
• Vim 7.4.1467
• Xfce 4.12
• Como de costume, melhorias constantes em páginas de manuais e outros documentos.
• O sistema inclui os seguintes componentes principais de fornecedores externos:
• Xenocara (baseado no X.Org 7.7 com xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 e mais)
• GCC 4.2.1 (+ patches) e 3.3.6 (+ patches)
• Perl 5.20.3 (+ patches)
• SQLite 3.9.2 (+ patches)
• NSD 4.1.10
• Não consolidado 1.5.9
• Ncurses 5,7
• Binutils 2.17 (+ patches)
• Gdb 6,3 (+ patches)
• Awk 10 de agosto de 2011 versão
• Expat 2.1.1