OpenBSD 5.8

58
29
nov.
2015
OpenBSD

Pour ses 20 ans, OpenBSD 5.8 est de sortie un peu en avance ce 18 octobre. OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit.

logo openbsd 5.8

Mises à jour

Logiciels

Suppressions

Plusieurs logiciels ont été supprimés de la distribution OpenBSD :

  • La commande sudo a été remplacée par doas(1), une version simplifiée et donc normalement plus sûre. La commande sudo est toujours disponible en tant que paquet.
  • Le protocole SSHv1 a été supprimé d'OpenSSH

Améliorations

  • L'appel système tame(2) fait son apparition. Cet appel système a déjà fait l'objet d'un journal. Il est a noter que pour la prochaine version, il sera renommé pledge(2).
  • Le jeu worm(6) grandit maintenant à un taux proportionnel à la taille du terminal.
  • relayd(8) n'utilise plus que TLS 1.2 par défaut
  • ping, ping6, traceroute, traceroute6 ont été améliorés afin de résister aux changements d'horloges négatifs
  • corrections diverses sur le binaire sort

Mises à niveau logicielles

  • Sqlite 3.8.8.3
  • xf86-input-synaptics 1.8.2
  • xf86-video-ati 7.5.0
  • GCC 4.9.3
  • GNOME 3.16.2
  • PostgreSQL 9.4.4
  • Postfix 3.0.2
  • Python 3.4.3
  • MariaDB 10.0.20
  • Clang 3.5
  • LibreOffice 4.4.4.3
  • Firefox 39.0.3

Réseau

  • Correction de la configuration des routes sur le pilote mpe
  • La MTU des interfaces VLAN peut désormais être modifiée indépendamment de l'interface parente
  • Le pilote mpw fait son apparition. Il servira à gérer communément toute la couche MPLS au niveau noyau
  • Le même réseau IP peut être attribué à plusieurs interfaces. La priorité sur ces interfaces déterminera le choix de l'interface à utiliser.
  • Beaucoup d'améliorations sur ldpd, le démon MPLS, en coordination avec le nouveau pilote mpw
  • bgpd permet aux règles de vérifier des numéros de systèmes autonomes (AS)
  • ospfd sait désormais gérer correctement les interfaces de type CARP (Common Address Redundancy Protocol) qui sont en mode backup à leur démarrage
  • dhcpd et dhclient acceptent les noms d'hôtes commençant par un chiffre

Sécurité

  • La commande file(1) est remplacée par une implémentation plus moderne qui utilise les méthodes de « bac à sable » et de séparation des privilèges
  • Bannissement des clefs curve25519 vides dans SSH conformément au dernier papier sur les curves du CFRG
  • IPSec: début du support de la RFC 7427 dans iked
  • pkg_info vérifie que les paquets distants sont signés
  • pkg_add déclare les installations locales de confiance
  • Ajout du nouveau service radiusd afin de gérer les authentification RADIUS
  • sudo a été remplacé par la commande doas

Pilotes

  • Le pilote rtsx sait gérer les puces RTL8411
  • Correction d'un problème WPA/WEP sur les puces AR5211 du pilote ath
  • Le pilote re-fonctionne avec des périphériques plus récents, comme la puce RTL8111GU
  • Les puces RTL8188EU sont supportées par le pilote urtwn
  • Apparition des pilotes octdwctwo et amdcf permettant de gérer respectivement l'USB et les mémoires flash sur les architectures octeon

Performances

  • Amélioration des performances sur les verrous de pmap en architecture amd64
  • Le noyau utilisera des instructions AVX pour les CPU sachant les gérer

Installeur

  • La logique de la question demandant si on souhaite activer le login SSH a été modifiée à 'no' par défaut et permet de sélectionner 'prohibit-password'
  • L'installeur autoinstall, essentiellement utilisé pour de l'installation automatisée par le réseau permet désormais d'avoir les fichiers de réponse dans des sous-répertoires et de parser des fichiers modèles pour partitionner le disque
  • ntpd est activé par défaut à l'installation

Service httpd

  • Support des redirections et pattern matching via les patterns Lua
  • Support de l'en-tête If-Modified-Since
  • Partageant beaucoup de code en commun avec relayd, les tests de regressions sont aussi basés sur ceux de relayd
  • Par défaut httpd n'utilise plus que TLS 1.2

Conclusion

Une version pour les 20 ans d'OpenBSD qui continue dans sa philosophie de sécurité tout en n'oubliant pas de moderniser ses composants.

Aller plus loin

  • # worm

    Posté par  . Évalué à 2.

    Par curiosité, worm existe t'il sous GNU/Linux ? Je n'ai rien trouvé sur Debian. Ou peut on avoir le code source ?

  • # Bluetooth

    Posté par  (site web personnel) . Évalué à 2.

    Le bluetooth a été retiré il y a quelques versions de cela, j'espère que ça reviendra un jour.

    git is great because linus did it, mercurial is better because he didn't

    • [^] # Re: Bluetooth

      Posté par  . Évalué à 1.

      le module bt etait trop bugge et puisque personne ne semblait s en soucier a l epoque … Du coup, pour un eventuel retour …

  • # file ?

    Posté par  . Évalué à 2.

    A propos de file, c'est une nouvelle implémentation ? Pas une nouvelle commande ?
    La phrase dans la dépêche est ambiguë.
    Avez vous un pointeur décrivant cette nouvelle implémentation ?

    • [^] # Re: file ?

      Posté par  . Évalué à 1.

      Tu n'as pas du chercher longtemps : https://news.ycombinator.com/item?id=9439778

      • [^] # Re: file ?

        Posté par  . Évalué à 1. Dernière modification le 03 décembre 2015 à 16:21.

        Je n'ai pas dit que j'avais cherché.
        La dépêche dit "file a une nouvelle implémentation" et donne un lien vers le man de file. Cela n'apporte aucune information. Je sais ce que fait la commande file. Par contre je suis intéressé par savoir ce qui posait problème et ce qui a été corrigé.
        Note que je remercie l'auteur de la dépêche au demeurant très intéressante.

        Merci pour le lien.
        Je partage assez:

        But it's still a bit unnerving to me that a bug in a utility like file(1), which needs to do nothing but read a file and output text to stdout, could possibly do things like overwrite other files, write to the network, etc., even in the presence of parsing bugs and a maliciously crafted file.

        Ça fait frissonner

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.