Buenas tardes estimados Steemians, amantes de las nuevas tecnologías y del opensource, en este post vamos a describir los datos y características de la nueva versión del sistema operativo OpenBSD 6.4 liberada el día 18 de Octubre de 2018!
Esperamos que esta información les sea de utilidad!
Creador del sistema es Theo de Raadt.
Lea la información de la página del sitio FTP para obtener una lista de máquinas espejo.
Vaya al directorio pub/OpenBSD/6.4/ en uno de los sitios espejo.
Lea la página de errata para una lista de bugs conocidos y soluciones alternas.
Vea una bitácora detallada de los cambios entre las liberaciones 6.3 y la 6.4.
Las llaves públicas generadas por signify(1) para esta liberación:
base: RWQq6XmS4eDAcQW4KsT5Ka0KwTQp2JMOP9V/DR4HTVOL5Bc0D7LeuPwA
fw: RWRoBbjnosJ/39llpve1XaNIrrQND4knG+jSBeIUYU8x4WNkxz6a2K97
pkg: RWRF5TTY+LoN/51QD5kM2hKDtMTzycQBBPmPYhyQEb1+4pff/H6fh/kA
Todos los derechos de copia aplicables y los créditos se encuentran en los archivos: src.tar.gz, sys.tar.gz, xenocara.tar.gz, ports.tar.gz o en los archivos obtenidos vía ports.tar.gz.
Qué hay de Nuevo.
Esta es una lista parcial de las características y los sistemas incluidos en OpenBSD 6.4. Para una lista completa, vea la bitácora de cambios al inicio de la versión 6.4.
Soporte de hardware mejorado, incluyendo:
Soporte ACPI en plataformas OpenBSD/arm64.
El controlador radeondrm(4) fué actualizado al código basado en Linux 4.4.155, agregando soporte de configuración de modo para las APUs KAVERI/KABINI/MULLINS y GPUs OLAND/BONAIRE/HAINAN/HAWAII.
Soporte para radeondrm(4) en plataformas OpenBSD/arm64.
Nuevo controlador umt(4) para los dispositivos USB Windows Precision Touchpad.
Nuevo controlador bnxt(4) para adaptadores ethernet Broadcom NetXtreme-C/E PCI Express basados en el juego de chips Broadcom BCM573xx y BCM574xx. Activado en plataformas amd64 y arm64.
Nuevo controlador mue(4) para el Microchip LAN7500/LAN7505/LAN7515/LAN7850 USB 2.0 y dispositivos Gigabit Ethernet LAN7800/LAN7801 USB 3.0.
Nuevo controlador acpisurface(4) que proporciona soporte ACPI para las laptops Microsoft Surface Book.
Nuevo controlador agintcmsi(4/arm64) para el componente ITS para el GIC ARM.
Nuevo controlador dwpcie(4) para el controlador Synopsys Designware PCIe, que esta interconstruido en varios SoCs.
Nuevo controaldor acpipci(4/arm64) proporcionando soporte para puentes host PCI basados en información proporcionada por ACPI.
Nuevos controaldores mvclock(4), mvgpio(4), mvicu(4), mvrng(4), mvrtc(4),y mvtemp(4) para varios componentes de los SoCs de Marvell Armada.
Nuevos controladores hiclock(4), hidwusb(4), hireset(4), y hitemp(4) para varios componentes de los SoCs de HiSilicon.
Nuevos controladores ccp(4) y octcrypto(4/octeon) para criptografía acelerada por hardware.
Nuevos controladores ccpmic(4) y tipmic(4) para el Intel Crystal Cove y el Dollar Cove TI Administradores de Energía ICs.
Nuevo controlador imxrtc(4) para el RC integrado en los procesadores Freescale i.MX7 e i.MX8.
Nuevo controlador fanpwr(4) par los reguladores de voltage Fairchild FAN53555 y Silergy SYR827/828.
Nuevo controlador pinctrl(4) para pin genérico de multiplexación.
Nuevo Controlador plgpio(4) para el controlador ARM PrimeCell PL061 GPIO.
Soporte PIE para la plataforma m88k.
Suporte para algunos dispositivos de pantallas touch HID-sobre-I2C en imt(4).
Soporte para RTL8188EE y RTL8723AE en rtwn(4).
Soporte para RT3290 en ral(4).
Soporte para controladores SAS 3.5 (SAS34xx y SAS35xx) en mpii(4).
Suporte para drive y sensores de estado de batería y bio en mfii(4).
En procesadores Intel i386 se ha cargado el microcódigo en el arranque.
En i386 se reduce el tamáño del área reservada para brk(2) para hacer disponible más memoria a las llamadas anónimas de mmap(2).
En sparc64 el ldomctl(8) soporta ahora firmware moderno encontrado en máquinas SPARC T2+ y T3 en particular en las T1000, T5120 y T5240. Las variables en NVRAM ahora pueden ser ajustadas por dominio lógico.
com(4) ofrece mejor soporte para los UARTs de Synopsys Designware.
Nuevo controlador islrtc(4) para el Reloj de tiempo Real Intersil ISL1208.
Soporte pra el Huawei k3772 en umsm(4).
Soporte para el juego de chips VIA VX900 en viapm(4).
Soporte para las redes GNSS que sean diferentes de los GPS en nmea(4).
Soporte para los tracpoints de Elantech en pms(4).
Se agregó sensor para el puerto replicador al acpithinkpad(4).
Soporte para los SoC Allwinner H3 y A64 en scitemp(4).
Mejoras en vmm(4) y vmd(8):
Soporte para disco e imagenes instantaneas qcow2.
Soporte para plantillas VM e instancias derivadas en vm.conf(5) y vmctl(8).
Se agregó soporte inicial en unveil(2) a vmctl(8) junto con otras limpiezas generales.
Varias correcciones de bugs y mejoras.
Mejoras en la pila de red inalámbrica IEEE 802.11:
conla nueva característica ´join´(unir) (administrada con ifconfig(8)), el ernel administra automáticamente los cambios entre diferentes redes WiFi.
ifconfig(8) el rendimiento de exploración ha sido mejorado en muchos dispositivos.
Mejoras en la pila genérica de red:
trunk(4) ahora tiene controles administrativos LACP para modo, tiempo de expiración, prioridad de sistema, prioridad de puerto, y prioridad ifq.
ifconfig(8) ahora tiene la habilidad de ajustar controles administrativos LACP lacpmode y lacptimeout.
sendmsg(2), sendto(2), recvfrom(2) y recvmsg(2) ejecutarn sin el KERNEL_LOCK.
Nuevos contadores globales IPsec están disponibles vía netstat(1).
Nueva interfase eoip(4) para el Ethernet sobre IP de MikroTik (EoIP) protocolo de encapsulación.
Mejoras de instalador:
installurl(5) ahora dirige por defecto a cdn.openbsd.org si no se escoge sitio espejo durante la instalación. pkg_add(1) y syspatch(8) funcionará después de instalarse correctamente.
DUID puede usarse para responder la pregunta a "Cuál disco es el disco raíz (root disk)?" durante la actualización.
Instalar una configuración diskless(8) puede realizarse a traves de interfases configuradas con dhclient(8).
disklabel(8) crea ahora una partición /usr/obj con un tamáño mínimo de 5 GB cuando se use la distribución automática de disco.
disklabel(8) crea ahora una partición /usr/local con una tamáño máximo de 20 GB cuando se use la distribución automática de disco.
Mejoras de Seguridad:
Nueva llamada de sistema unveil(2) para restringir acceso al sistema de archivos del proceso de llamada al archivo o directorios especificados. es más poderoso cuando se combina apropidamente con la separación de privilegios y pledge(2).
Se implementó la opción MAP_STACK para mmap(2). en fallas de página y llamadas de sistema el kernel que el apuntador de la pila apunte a memoria MAP_STACK, lo cual mitigaataques usando pivotes de pila.
Nuevo mecanismo de seguridad RETGUARD en amd64 y arm64: usa cooies alateatorias por función para proteger el acceso a instrucciones de retorno de funciones, haciendolas más difíciles de usar en dispositivos ROP.
clang(1) incluye un paso que identifica instrucciones comunes que podrían ser útiles en dispositivos ROP y los reemplaza con alternativas seguras en procesadores amd64 e i386.
La mitigación "Retpoline" contra la Variante 2 de Spectre ha sido activada en clang(1) y en archivos de ensamblado en amd64 e i386.
Se agregó mitigación de SpectreRSB en amd64.
Se agregó mitigiación Intel L1 de Falla terminal en amd64.
Cuando esté disponible, los PCIDs son usados en amd64 para separar entradas de hilos TLB de ejecución de usuario y kernel.
Se agregó mitigiación de Meltdown en i386.
amd64 ahora usa el cambio ansioso de -FPU para evitar que se fugue especulativamente información de estado de FPU a traves de los límites de protección.
Debido a que la Multitarea Simultanea (SMT) usa recursos de núcleo de manera compartida y no segura, ahora esta desactivada por defecto. Puede ser activada con la nueva variable hw.smt sysctl(2).
El grabado de audio ahora esta desactivado por defecto y puede ser activado con la nueva variable kern.audio.record sysctl(2).
getpwnam(3) y getpwuid(3) ya no regresan un puntero a un almacenamiento estático, sino a una ubucación administrada que no se puede mapear. Esto permite la detección de acceso a entradas viciadas.
sshd(8) incluye una defensa mejorada contra un número de ataques de usuario.
Daemons de ruteo y otras mejoras del entorno de red de usuario:
ospf6d(8) ahorapuede configurar la metrica para una ruta dependiendo del estado de la interfase.
ospf6d(8) ahora puede ser enlazado en un dominio de ruteo alternado.
ospf6d(8) ahora esta comprometido.
Evita que ospfd(8) y ospf6d(8) sean iniciadas mas de una vez (en el mismo dominio de ruteo).
slaacd(8) ahora esta competamente comprometido.
slaacd(8) esta informado por el ernel cuando falla una Detección de Dirección Duplicada (DDD) y genera direcciones diferentes cuando sea posible.
Cuando slaacd(8) detecta itinerancia (roaming) entre redes, esto desaprueba todas las IPs configuradas. IPs de nuevos prefijos anunciados serán preferidas.
Un nuevo daemon, rad(8), envía mensajes de anuncio de ruteador IPv6 y reemplaza al daemon antiguo rtadvd(8) de KAME.
El archivo de configuración anacronista networks(5) ya no es soportado.
Rutinas de parseo más robustas de pfctl(8) y correcciones de casos límite alrededor del manejo de tablas y anclas.
route(8) ahora marca error en el mal uso de -netmask/-prefixlen en lugar de configurar rutas ambiguas.
dhclient(8) ahora agrega una ruta directa a la pasarela por defecto cuando la pasarela no es alcanzable por medio de la dirección/mascara de red proporcionada por el dhcp.
dhclient(8) ahora actualiza dhclient.leases(5), resolv.conf(5), y cualquier archivo '-L' antes de levantar el daemon y regresar el control a los scripts que lo invocan.
la opción '-i' de dhclient(8) ahora descarta cualquier valor definido previamente para las opciones que serán ignoradas.
Cualquier cambio en cualquier interfase ahora provoca que dhclient(8) actualice apropiadamente resolv.conf(5).
dhclient(8) ahora registra siempre el identificador de cliente usado para obtener una dirección IP, activando una mejor conformidad con el RFC 6842.
dhclient(8) ahora tiene la opción '-r' para liberar la dirección actual asignada y salir.
dhclient(8) ahora evita cambios no apropiados en resolv.conf(5) por medio de ignorar dhclient.leases(5) para interfases que no pueden reportar su estatus de conexión.
Mejoras en bgpd(8):
La acción por defecto de filtrado fue cambiada de permitir a denegar ( allow to deny).
Laopción de config 'announce (all|self|none|default-route)' ha sido declarada inválida y sustituida por configuración de filtro.
Se mejoró ajustes de prefijo (prefix-sets)tanto en velocidad como experiencia de usuario.
Se introdujo ajustes-as (as-sets) para que coincida ASPATH contra una lista larga de numeros AS.
Soporte para BGP Validación de Orígen RFC 6811 atraves de la directiva "roa-set" .
Se agregó ajustes de orígen "origin-sets" para que coincida con pares AS de prefijo/orígen (prefix / origin) de forma eficiente.
Algunas limpiezas de sintaxis: lineas nuevas son opcionales dentro de las listas de expansión (anteriormente las líneas nuevas necesitaban ser "escapadas") pero, en los bloques vecino, grupo y dominior (neighbor, group y rdomain) multiples sentencias tenían que estar en líneas nuevas.
Reduce la cantidad de trabajo durante una recarga de configuración.
La recarga de configuración ya no bloquea otro manejador de eventos del motor de dicisión de ruteo.
Mejor soporte y corrección de bugs para multiples procesos en diferentes dominiosr.
Mejoras diversas:
rasops(9)-Respalda consolas de framebuffer tales como inteldrm(4), radeondrm(4) y efifb(4) ahora soporta regresos para arriba.
rebound(8) obtuvo soporte para registros A permanentes, similiar a datos-locales (local-data) soportados por unbound(8).
Nuevo controlador kcov(4) usado para recolactar coberturas de código dentro del kernel. Es usado en un esfuerzo contínuo para difuminar el kernel.
uid_from_user(3) y gid_from_group(3) fueron agregados a la biblioteca de C y ahora son usados en varios programas para acelerar busquedas repetidas.
Nueva implementación de semaforo haciendo que sem_post(3) sea seguro asincronamente.
pcap_set_immediate_mode(3) fue importado desde la línea principal libpcap, permitiendo a programas procesar paquetes tan pronto como ellos lleguen.
ksh(1) ahora soporta enteros de 64-bit en todas las arquitecturas.
Un bug en ksh(1) relativo a una expansión de variable de variables de sólo lectura ha sido corregidos.
lam(1) ahora proporciona soporte UTF-8.
Activa trunk(4) y vlan(4) en Disco RAM en arm64.
pf(4) El reensamblado de fragmentos IP usa un mejor algoritmo para hacerlo robusto contra ataques de denegación de servicio.
Nueva herramienta ldap(1) implementando una búsqueda simple de cliente LDAP.
Un bug en init(8) que causó procesos colgados en i386 bajo VMware ha sido corregido.
Soporte de arranque TFTP fue agregado para U-Boot basado en plataformas arm64 y armv7 vía El Protocolo de Red simple EFI.
Se agregó soporte para el Protocolo Generador de Números Aleatorios EFI para insertar entropía adicional en el kernel al momento de arrancar.
Soporte para RFC 3430 (conexiones TCP) fue agregado en snmpd(8).
Se activó bwfm(4) en amd64, i386, arm64 y armv7. También en dispositivos USB loongson y macppc.
Nuevo tipo de letra "Spleen 5x8" agregado a wsfont, orientado a pequeños displays OLED.
usbdevs(8) reporta ahora el estatus de puerto USB.
top(1) y systat(1) reporta ahora el tiempo empleado por cada CPU esperando en bloqueos giratorios.
Se mejora velocidad de lectura en MSDOSFS via clustering.
Acceso a nodos NFS ahora es serializado.
systat(1) tiene una nueva vista uvm que despliega estadísticas relevantes al subsistema UVM.
mg(1) ahora maneja retornos de carro durante búsquedas incrementales por medio de ajustar la marca y salirse de la búsqueda, como lo hace el emcasen moderno.
disklabel(8) mejoró el redondeo de compensación de particiones y tamáños de los límites de los cilindros.
disklabel(8) ahora "range" checa toda la entrada del usuario.
disklabel(8) ya no permite que particiones FS_RAID se les de un punto de montaje.
disklabel(8) ahora cambia la información de la partición sólo cuando toda la entrada del usuario sea válida.
relayd(8) ha mejorado directivas de registro de bitácora en su archivo de configuración por un control granular más fino de lo que se registro.
tmux(1) ahora maneja colores en terminfo mayores de 256 correctamente.
httpd(8) ahora soporta certificado de autenticación de cliente.
Numerosas mejoras al subsistema fuse(4).
Mejoras en la manera que el kernel busca memoria disponible para satisfacer llamadas anónimos mmap(2).
efifb(4) ahora re-mapea el framebuffer de EFI de forma temprana para usar un mapeo combinativo de escritura, acelerando las cosas de forma considerable.
OpenSMTPD
Cambio incompatible al archivo smtpd.conf(5) gramática: separa el sobre de emparejamiento, que ocurre durante el dialogo SMTP mientras recibe un mensaje y solamente resultó en la asignación de una acción, desde acciones de entrega, las cuales no toman efecto hasta que el ejecutor de la cola hace un intento de entrega. Esto se deshace de varios bloques diferentes en el desarrollo de OpenSMTPD.
Mejoró el motor del servidor SMTP con un nuevo parseador de mensaje del RFC 5322.
Elimina limitaciones que evitan al smtpd(8) de lidiar con clientes que envían archivos grandes.
Se mejoró la seguridad por medio de mover la expansión de variables del archivo .forward dentro de un proceso MDA del usuario.
Se introducen envolturas MDA permitiendo a comandos de destinatario MDA para que sean envueltos de forma transparente dentro de comandos globales.
Una nueva línea de comando cliente en smtp(1) ha sido agregada.
Mejoras diversas en documentación, limpieza y correcciones de bugs menores.
OpenSSH 7.9
Nuevas características:
En la mayoría de los lugares en ssh(1) y sshd(8) donde los números de puerto son usados, ahora se pueden usar nombres de servicio (desde /etc/services).
La directiva de configuración de IdentityAgent (Identidad de Agente) en ssh(1) ahora acepta nombre de variables de ambiente. Esto soporta e uso de multiples sockets de agente sin la necesidad de usar rutas fijas.
Soporta la señalización de sesiones vía el protocolo SSH en sshd(8).
"ssh -Q sig" puede usarse para listar la opciones de firma soportadas. También "ssh -Q help" mostrará el conjunto completo de consultas soportadas.
La nueva opción de CASignatureAlgorithms (Algoritmos de Firma CA) en ssh(1) y sshd(8) controla los formatos de firma CA permitidas para firmar certificados. Por ejemplo, esto permite prohibir CAs que firman certificados usando el algoritmo de firmado RSA-SHA1.
Lista de revocación de Clave (KRLs - Key Revokation Lists) ahora puede contener claves especificadas por hash SHA256. Estas listas estan administradas por ssh-keygen(8). Adicionalmente, las KRLs ahora pueden ser creadas desde huellas digitales SHA256 codificadas desde base64, p.ej. solo desde la información contenida en la bitácora de mensajes de autenticación en sshd(8).
Lista no exhaustiva de correcciones de bugs:
ssh(1): ssh-keygen(1): evita errores espurios "invalid format (formato inválido)" cuando intenta cargar llaves privadas PEM mientras usa una frase de contraseña incorrecta.
sshd(8): cuando un mensaje de canal cerrado es recibido desde un cliente, se cierra el descriptor de archivo stderr al mismo tiempo. Esto evita procesos atorados que están esperando por un stderr que cierre y fueron insensibles al cierre de un stdin/out.
ssh(1): permite ForwardX11Timeout=0 para desactivar el tiempo de expiración de reenvío no confiable X11 y soporta e reenvio X11 de forma indefinida. El comportamiento anterior de ForwardX11Timeout=0 no estaba definido.
sshd(8): no falla el cerrado cuando se configura con una lista de clave de revocación que contenga una clave demasiado corta.
ssh(1): intentos de conexión con ProxyJump especificado se tratan igual que aquellos con un ajuste ProxyCommand con saludos a la canonización del nombre de host (p.ej. no intenta canonizar el nombre de host a menos que CanonicalizeHostname este configurado como 'siempre' ('always').
ssh(1): se corrigió regresión en OpenSSH 7.8 que podría evitar autenticación con llave pública usando certificado hospedados en un ssh-agent(1) o contra sshd(8) desde OpenSSH menor a la versión 7.8.
LibreSSL 2.8.2
Mejoras a la API y a la Documentación
La verificación X509 ahora es más estricta así que una falla en X509_VERIFY_PARAM de nombre de host, ip o correo electrónico provocará que futuras llamadas a X509_verify_cert(3) fallen.
Soporte para suites de cifrado DES ha sido removida.
Soporte para RSASSA-PKCS1-v1_5 (RFC 8017) se ha agregado en RSA_sign(3)
Firma modificada de CRYPTO_mem_leaks_*(3) retornará -1. Esta función no es una opción en LibreSSL, así que esta función retornará un error pero no para indicar la (no)existencia de fugas de memoria.
SSL_copy_session_id(3), PEM_Sign, EVP_EncodeUpdate(3), BIO_set_cipher(3), X509_OBJECT_up_ref_count(3) retornáran ahora un entero para el manejo de error, coincidiendo con OpenSSL.
Se convirtieron un número de #defines en funciones propias, haciendo que coincidan con el ABI de OpenSSL (p.ej. X509_CRL_get_issuer(3) y otras funciones X509_*get*(3))
Se agregó X509_get0_serialNumber(3) desde OpenSSL.
Se elminó EVP_PKEY2PKCS8_broken(3) y PKCS8_set_broken(3), mientras se agregaron PKCS8_pkey_add1_attr_by_NID(3) y PKCS8_pkey_get0_attrs(3), coincidiendo con OpenSSL.
Se elimnaron formatos rotos pkcs8 desde openssl(1).
Se agregaron RSA_meth_get_finish(3) y RSA_meth_set1_name(3) desde OpenSSL.
Se agregó nueva API EVP_CIPHER_CTX_(get|set)_iv(3) que permite al IV ser recuperado y configurado con la validación apropiada.
Actualizaciones extensivas a la documentación e historia adicional de la API.
Se eliminó SSL_OP_TLS_ROLLBACK_BUG solución alternativa con bugs del cliente.
Se hizo que ENGINE_finish(3) y ENGINE_free(3) sean existosos en NULL y simplifica llamadas y ahora coincide con el comportamiento de OpenSSL, se reescribió la documentación ENGINE_*.
Se agregaron anotaciones constantes a muchas APIs existentes desde OpenSSL, haciendo la interoperabilidad más fácil para aplicaciones que se desarrollen más adelante.
Se documentaron trampas de seguridad con BN_FLG_CONSTTIME y operación de tiempo-constante de funciones BN_*.
Pruebas y Seguridad Proactiva.
Se agregó soporte para prueba Wycheproof para vectores de prueba ECDH, RSASSA-PSS, AES-GCM, AES-CMAC, AES-CCM, AES-CBC-PKCS5, DSA, ChaCha20-Poly1305, ECDSA, y X25519. Se aplicaron correciones apropiadas para errores descubiertos por las pruebas.
Se agregaron más pruebas de cifrado, incluyendo todos los cifradores TLSv1.2.
Se agregó un valor ciego cuando se generan firmas DSA y ECDSA, en orden de reducir la posibilidad de un canal lateral de ataque que pudiera filtrar la llave privada.
Se agregó comparaciones de sincronización segura (timing-safe) para verificar resultados de verificación de firmas.
Se agregó soporte para multiplicación escalar de tiempo constante ECC. De Billy Brumley y su equipo en la Universidad de Tecnología de Tampere.
Mejoras Internas
Generación y verificación simplificada de intercambio de clave de firmas.
Se convirtieron más rutas de código para que usen CBB/CBS. Todos los mensajes de saludo de mano ahora son creados por CBB. El intercambio de llaves RSA se ha simplificado y usa buffers dedicados para los secretos.
Manejo y parseo de tiquet de sesión simplificado, inspirado en BoringSSL.
Se detuvo el manejo de AES-GCM en ssl_cipher_get_evp, dado que ellos usan la interfase EVP_AEAD.
Se dejó de usar composite EVP_CIPHER AEADs.
Se eliminaron banderas sin usar SSL3_FLAGS_DELAY_CLIENT_FINISHED y SSL3_FLAGS_POP_BUFFER en la ruta de escritura, simplificando las rutas de IO.
Se actualizó BN_clear para usar explicit_bzero.
Se limpiaron las implementaciones BN_* siguiendo los cambios realizados en OpenSSL por Davide Galassi y otros.
Se revisó la implementación de RSASSA-PKCS1-v1_5 para que coincida la especificación en el RFC 8017. Basado en una consolidación en OpenSSL hecha por David Benjamin.
Correcciones de bugs
Se corrigió una invasión de buffer de un byte en llamadas de EVP_read_pw_string
Se corrigieron varias fugas de memoria encontradas por Coverity.
Se convirtieron más funciones en API pública para usar argumentos constantes.
Se limpia correctamente el estado de cifrado actual, cuando se cambia el estado del cifrado. Esto corrigió un problema donde la renegociación de las suites de cifrado podrían fallar cuando cambiaran de AEAD a no-AEAD o viceversa. Problema reportado por Bernard Spil.
Se corrigieron un par de bugs de más de 20 años en X509_NAME_add_entry
Se corrigió una fuga de memoria potencial en caso de falla en ASN1_item_digest
Se corrigió un posible crasheo potencial por alineación de memoria en in asn1_item_combine_free
Se corrigieron pequeñas sincronizaciones de canales laterales (side-channels) en ecdsa_sign_setup y en dsa_sign_setup.
Se agregaron verificaciones de límites perdidos en c2i_ASN1_BIT_STRING.
Se corrigió una fuga potencial o retorno de valor incorrecto en generación de firma DSA.
Mandoc 1.14.4
En la salida HTML, muchos macros de mdoc(7) usan ahora mas elementos HTML.
En la salida HTML, casi todos los atributos de "estilo" (style) y un número de atributos redundantes "clase" (class) fueron removidos.
Se dan los primeros pasos hacia un diseño responsivo: se usa una consulta @media en mandoc.css, se hace uso del elemento "meta viewport" de HTML, y se elimina todos los anchos y los altos hardcodeados del código HTML generado.
Muchas mejoras de estilo en mandoc.css.
Más de 15 nuevas características de bajo nivel en roff(7) y man-ext de GNU. Mandoc ahora puede formatear manuales del puerto groff.
Puertos y paquetes:
update-plist(1) ha sido reescrito y ahora resuelve MULTI_PACKAGES y sustitución de variables cási al 100%.
Los paquetes nuevos ahora corren herramientas de mantenimiento a a base de datos como update-desktop-database solamente una vez en lugar de hacerlos después de agregar o borrar un paquete.
Manuales de infraestructura de los puertos (bulk(8), dpb(1) y otros) ahora estan incluidos en la instalación base y por lo tanto son legibles sin el árbol de ports.
Muchos paquetes precompilados para cada arquitectura:
aarch64: 8319
amd64: 10304
arm:
i386: 10230
mips64: 7181
mips64el:
powerpc:
sparc64: 7327
Algunos puntos sobresalientes:
AFL 2.52b
CMake 3.10.2
Chromium 69.0.3497.100
Emacs 21.4 y 26.1
GCC 4.9.4
GHC 8.2.2
Gimp 2.8.22
GNOME 3.28.2
Go 1.11
Groff 1.22.3
JDK 8u172
LLVM/Clang 6.0.1
LibreOffice 6.1.1.2
Lua 5.1.5, 5.2.4 y 5.3.5
MariaDB 10.0.36
Mono 5.14.0.177
Mozilla Firefox 60.2.2esr y 62.0.3
Mozilla Thunderbird 60.2.1
Mutt 1.10.1 y NeoMutt 20180716
Node.js 8.12.0
OCaml 4.03.0
OpenLDAP 2.3.43 y 2.4.46
PHP 5.6.38, 7.0.32, 7.1.22 y 7.2.10
Postfix 3.3.1 y 3.4-20180904
PostgreSQL 10.5
Python 2.7.15 y 3.6.6
R 3.5.1
Ruby 2.3.7, 2.4.4 y 2.5.1
Rust 1.29.2
Sendmail 8.16.0.29
SQLite3 3.24.0
Sudo 1.8.25
Tcl/Tk 8.5.19 y 8.6.8
TeX Live 2017
Vim 8.1.438
Xfce 4.12
Como siempre, mejoras graduales en páginas de manual y otra documentación.
El sistema incluye los siguientes componentes mayores de proveedores externos:
Xenocara (basado en X.Org 7.7 con xserver 1.19.6 + parches, freetype 2.9.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 331, xkeyboard-config 2.20 y más)
LLVM/Clang 6.0.0 (+ parches)
GCC 4.2.1 (+ parches) y 3.3.6 (+ parches)
Perl 5.24.3 (+ parches)
NSD 4.1.25
Unbound 1.8.1
Ncurses 5.7
Binutils 2.17 (+ parches)
Gdb 6.3 (+ parches)
Awk versión de Agosto 10, 2011
Expat 2.2.6
Como instalar
Por favor refierase a os archivos siguientes en el sitio espejo para detalles extensivos en como instalar OpenBSD 6.4 en su equipo:
.../OpenBSD/6.4/alpha/INSTALL.alpha
.../OpenBSD/6.4/amd64/INSTALL.amd64
.../OpenBSD/6.4/arm64/INSTALL.arm64
.../OpenBSD/6.4/armv7/INSTALL.armv7
.../OpenBSD/6.4/hppa/INSTALL.hppa
.../OpenBSD/6.4/i386/INSTALL.i386
.../OpenBSD/6.4/landisk/INSTALL.landisk
.../OpenBSD/6.4/loongson/INSTALL.loongson
.../OpenBSD/6.4/luna88k/INSTALL.luna88k
.../OpenBSD/6.4/macppc/INSTALL.macppc
.../OpenBSD/6.4/octeon/INSTALL.octeon
.../OpenBSD/6.4/sgi/INSTALL.sgi
.../OpenBSD/6.4/sparc64/INSTALL.sparc64
Información para instalación rápida para gente familiarizada con OpenBSD, y el uso del comando "disklabel -E".
Si se tienen dudas al instalar OpenBS, lea por favor los archivos relevantes INSTALL.* que se listan arriba!
OpenBSD/alpha:
Grabe el archivo floppy64.fs o floppyB64.fs (dependiendo de su equipo) en un disco y teclee "boot dva0". Refierase a las instrucciones del archivo INSTALL.alpha para más detalles.
Asegurese de usar un disquete formateado apropiadamente SIN SECTORES MALOS o su instalación muy probablemente fallará.
OpenBSD/amd64:
Si su máquina puede arrancar desde un CD, puede grabar los archivos install64.iso o cd64.iso en un CD y arranque desde él. Puede necesitar ajustar las opciones de arranque del BIOS primero.
Si su equipo puede arrancar desde USB, usted puede grabar el archivo install64.fs o miniroot64.fs en una memoria USB y arrancar desde ella.
Si no puede arrancar desde un CD, disquete o USB, puede instalar desde la red usando PXE como se describe en el documento incluido INSTALL.amd64.
Si esta planeando un arranque dual de OpenBSD con otro sistema operativo, necesitará leer INSTALL.amd64.
OpenBSD/arm64:
Grabe el archivo miniroot64.fs en un disco y arranque desde el después de conectarse a la consola serial. Refierase al archivo INSTALL.arm64 para más detalles.
OpenBSD/armv7:
Grabe un miniroot específico de sistema en una tarjeta SD y arranca desde él después de conectarse a la consola serial. Refierase al archivo INSTALL.armv7 para más detalles.
OpenBSD/hppa:
Arranque desde la red siguiendo las instrucciones en el archivo INSTALL.hppa o la página de la plataforma hppa.
OpenBSD/i386:
Si su equipo puede arrancar desde CD, usted puede grabar el archivo install64.iso o cd64.iso en un CD y arrancar desde él. Puede que tenga que ajustar las opciones del BIOS primero.
Si su equipo puede arrancar desde USB, usted puede grabar el archivo install64.fs o miniroot64.fs en una memoria USB y arrancar desde ella.
Si no puede arrancar desde un CD, disquete o USB, usted puede instalar desde la red usando PXE como se describe en el archivo INSTALL.i386.
Si esta planeando un arranque dual de OpenBSD con otro sistema operativo necesitará leerwith another OS, you will need to read INSTALL.i386.
OpenBSD/landisk:
Grabe el archivo miniroot64.fs al principio del CF o disco, y arranque normalmente.
OpenBSD/loongson:
Escriba el archivo miniroot64.fs a una memoria USB y arranque bsd.rd desde ahí o arranque bsd.rd via tftp. Refierase a las instrucciones en el archivo INSTALL.loongson por más detalles.
OpenBSD/luna88k:
Copie los archivos `boot' y `bsd.rd' en una partición Mach o UniOS, y arranque el cargador de arranque desde el PROM, y entonces el archivo bsd.rd desde el cargador de arranque. Refierase a las instrucciones en el archivo INSTALL.luna88k por más detalles.
OpenBSD/macppc:
Queme la imagen desde un sitio espejo en un CDROM, y encienda su equipo mientras presiona la tecla "C" hasta que el display se encienda y muestre el arranque OpenBSD/macppc.
Alternativamente, en el prompt de Open Firmware, teclee: boot cd:,ofwboot /6.4/macppc/bsd.rd
OpenBSD/octeon:
Después de conectar el puerto serial, arranque bsd.rd a traves de la red vía DHCP/tftp. Refierase a las instrucciones en INSTALL.octeon por más detalles.
OpenBSD/sgi:
Para instalar, queme la imagen cd64.iso en un CD-R, pongalo en la unidad de CD del equipo y seleccione Install System Software (Instalar Software de Systema) desde el System Maintenance menu (Menú de Mantenimiento del Sistema). El sistema Indigo/Indy/Indigo2 (R4000) no arrancará automáticamente desde el CD-ROM, y necesita una invocación apropiada desde el prompt del PROM. Refierase a las instrucciones del archivo INSTALL.sgi por más detalles.
Si su equipo no tiene una unidad de CD, usted puede configurar un servidor DHCP/tftp en la red, y arrancar usando "bootp()/bsd.rd.IP##" usando el kernel que coincida con su tipo de sistema. Refierase a las instrucciones del archivo INSTALL.sgi por más detalles.
OpenBSD/sparc64:
Queme la imagen desde el sitio espejo en un CDROM, arranque desde él, y teclee "boot cdrom".
Si esto no funciona, o no se cuenta con una unidad de CDROM, puede grabar los archivos floppy64.fs o floppyB64.fs (dependiendo de su equipo) en un disquete y arrancarlo con "boot floppy". Refierase al archivo INSTALL.sparc64 por más detalles.
Asegurese de que usa un disquete formateado apropiadamente que NO TENGA BLOCKS MALOS o su instalación muy probablemente fallará.
También puede grabar el archivo miniroot64.fs en la partición swap en el disco y arrancar tecleando "boot disk:b".
Si nada funciona, se puede arrancar a traves de la red como se describe en el archivo INSTALL.sparc64.
Cómo actualizar
Si ya tiene un sistema OpenBSD 6.3, y no quiere reinstalar, instrucciones y consejos para actualizar pueden encontrarse en la Guía para Actualizar.
Notas sobre el código fuente
src.tar.gz contiene un archivo fuente empezando en el directorio /usr/src. Este archivo contiene todo excepto por la fuentes del kernel, los cuales estan en un archivo separado. Para extraerlos teclee lo siguiente:
# mkdir -p /usr/src
# cd /usr/src
# tar xvfz /tmp/src.tar.gz
sys.tar.gz contiene un archivo fuente al inicio del directorio /usr/src/sys. Este archivo contiene las fuentes de kernel necesarias para recompilar kernels. Para extraerlos teclee lo siguiente:
# mkdir -p /usr/src/sys
# cd /usr/src
# tar xvfz /tmp/sys.tar.gz
Ambos árboles son una verificación regular CVS. Usando estos árboles es posible obtener un inicio de cabecera al usar los servidores anoncvs servers como se describe en la documentación. Usando estos archivos, resulta en un proceso inicial mucho más rápido de la actualización CVS de la que se podría esperar desde una verificación fresca del árbol completo de código fuente de OpenBSD.
Árbol de Ports
Un archivo del árbol de ports también es proporcionado. Para extraerlo teclee:
# cd /usr
# tar xvfz /tmp/ports.tar.gz
Lea la página de los ports si no conoce nada sobre los ports hasta este punto. Este texto no es un manual de cómo usar los ports. Más bien, es un conjunto de notas dirigidas a impulsar al usuario en el uso del sistema de ports de OpenBSD.
El directorio de ports/ representa una verificación CVS de nuestros ports. Así como de nuestró árbol completo de códigos fuentes que está disponible vía AnonCVS. Así que en orden de mantenerlo actualizado con la rama "-stable", debe hacer que el árbol de ports este disponible en un medio de lectura-escritura y actualizar el árbol con un comando como el siguiente:
# cd /usr/ports
# cvs -d [email protected]:/cvs update -Pd -rOPENBSD_6_4
[Por supuesto, usted debe reemplazar el nombre del servidor con algun servidor anoncvs cercano.]
Note que la mayoría de los ports estan disponibles como paquetes en nuestros espejos. Ports actualizados para la liberación 6.4 se harán disponibles si surge algún problema.
Si tiene interés en ver algún port agregado, quiere ayudar, o solo quiere saber más, la lista de correo electrónico [email protected] es un buen lugar para empezar.
Bueno estimados Steemians, espero que esta información les resulte de utilidad!
Cosmicboy123 fuera!
Fuente: