OpenBSD 5.3 alias « Blade Swimmer »

Posté par . Édité par Xavier Claude, Nils Ratusznik, Xavier Teyssier, tuiu pol, patrick_g et Nÿco. Modéré par Florent Zara. Licence CC by-sa
40
1
mai
2013
OpenBSD

Le premier mai est un grand jour, non pas seulement parce qu’il porte les revendications sociales du travail, mais surtout parce qu’il marque la sortie d’une nouvelle version officielle d’OpenBSD. Cette fois c’est la version 5.3 alias « Blade Swimmer » qui pointe le bout de son nez. C’est donc le film « Blade Runner » qui a été choisi pour illustrer cette release.

RoyPuffy

Pour rappel, OpenBSD est un système d’exploitation libre (probablement le plus libre d'entre tous d’ailleurs) reconnu comme étant particulièrement fiable et sécurisé. L’attention fanatique des développeurs se porte en effet sur la sécurité, l’exactitude, la convivialité et la liberté. Il fonctionne sur de nombreuses plateformes, les processeurs 32 et 64bits les plus répandus (i386 et amd64), les PowerPC (macppc), les processeurs Sparc (sparc et sparc64), et de moins connus comme le Sharp Zaurus, le Yeeloong Lemote ou encore le VAX. Il concentre presque tous ses efforts dans les fonctions de sécurité. Il a démontré, depuis de nombreuses années, qu’un code correct a un taux d'échec beaucoup plus faible, garantissant ainsi une plus grande sécurité. Les développeurs d’OpenBSD s'efforcent en effet de mettre correctement en œuvre leurs solutions. Ils en font une règle stricte pour concevoir de manière fiable et sécurisée, suivant les meilleures pratiques de programmation actuelles. OpenBSD s'efforce donc, avec seulement deux vulnérabilités exploitables à distance depuis sa création, d'être le système d'exploitation le plus sécurisé.

Comme à son habitude, cette nouvelle version apporte son lot de nouveautés. Elles concernent des améliorations de la prise en charge de matériel, de la pile réseau, du filtre de paquets (pf), de la sécurité, des performances, et de bien d’autres choses. Soulignons tout particulièrement de grosses améliorations de dhclient(8), le débarquement d'OpenSSH 6.2, et l’arrivée de la version stable d’OpenSMTPD, la 5.3. Je vous invite d’ailleurs, si ce n’est pas déjà fait, à découvrir sans plus tarder ce nouvel acteur dans le monde des serveurs de messagerie électronique.

Le système de base inclus également des logiciels externes au projet :

  • Xenocara (basé sur X.Org 7.7 avec xserver 1.12.3 + patchs, freetype 2.4.11, fontconfig 2.8.0, Mesa 7.11.2, xterm 287, xkeyboard-config 2.7 et plus) ;
  • Gcc 4.2.1 (+patchs), 3.3.6 (+ patchs) and 2.95.3 (+ patchs) ;
  • Perl 5.12.2 (+ patchs) ;
  • Une version sécurisée d’Apache 1.3, avec SSL/TLS et le support DSO ;
  • Nginx 1.2.6 (+ patchs) ;
  • OpenSSL 1.0.1c (+ patchs) ;
  • SQLite 3.7.14.1 (+ patchs) ;
  • Sendmail 8.14.6, avec libmilter ;
  • Bind 9.4.2-P2 (+ patchs) ;
  • NSD 3.2.15 ;
  • Lynx 2.8.7rel.2 avec HTTPS et le support d’IPv6 (+ patchs) ;
  • Sudo 1.7.2p8 ;
  • Ncurses 5.7 ;
  • Heimdal 0.7.2 (+ patchs) ;
  • Binutils 2.15 (+ patchs) ;
  • Gdb 6.3 (+ patchs) ;
  • Less 444 (+ patchs) ;
  • Awk, version du 10 août 2011.

Du côté des ports, on note les principaux logiciels suivants :

  • GNOME 3.6.2 ;
  • KDE 3.5.10 ;
  • Xfce 4.10 ;
  • MySQL 5.1.68 ;
  • PostgreSQL 9.2.3 ;
  • Mozilla Firefox 3.6.28 et 18.0.2 ;
  • LibreOffice 3.6.5.2.

Cette sortie s’accompagne bien sûr de nouveaux objets : CD, poster, et T-shirt (clin d’oeil au roman « Les androïdes rêvent-ils de moutons électriques ? »). En plus d’être chouettes, ils permettent de soutenir le projet, alors n’hésitez plus à en faire l’acquisition… :-)

Bonne installation ou mise à jour !

  • # Absolute

    Posté par (page perso) . Évalué à  10 .

    On peut noter également la sortie de la seconde édition du livre de Michael Lucas "Absolute OpenBSD" : https://www.michaelwlucas.com/nonfiction/absolute-openbsd-2nd-edition
    Ce bouquin est la bible OpenBSD et il a été remis à jour pour cette version 5.3 de l'OS au poisson qui pique.

    Une vente aux enchères du premier exemplaire (signé par l'auteur) a d'ailleurs été organisée au profit de la fondation OpenBSD.

    • [^] # Re: Absolute

      Posté par . Évalué à  2 .

      Effectivement, j'ai complètement oublié d'en parler… Et puis la dépêche a été postée un peu vite, la version 5.3 ne devrait être annoncée qu'en fin de journée.

      "Whenever you find yourself on the side of the majority, it's time to pause and reflect."

  • # Oh...

    Posté par (page perso) . Évalué à  10 .

    libre (probablement le plus libre d'entre tous d’ailleurs)

    Entre "privateur" avant et "plus libre que libre" ici, les modos en laisse passer des trolls diviseurs de compétition :).

  • # KDE 3.5 ?

    Posté par . Évalué à  4 .

    KDE 3.5 n'est-il pas abandonné ?

    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: KDE 3.5 ?

      Posté par (page perso) . Évalué à  3 . Dernière modification : le 01/05/13 à 10:25

      Si mais tant que ça tourne et qu'il n'y a pas de problème avec, pourquoi devrait-on s'en priver ? Il y a plus de personnes qui regrettent KDE 3.5 qu'on ne le pense :)

      Outre le fait qu'il est plutôt moche j'en ai eu que des bons souvenirs et c'est d'ailleurs avec KDE 3.5 que j'ai commencé à utiliser GNU/Linux. Mandriva 2007 <3

      Love, bépo.

      • [^] # Re: KDE 3.5 ?

        Posté par . Évalué à  5 . Dernière modification : le 01/05/13 à 10:32

        Quid des failles de sécurité ?
        KDE 3.5 est un gros morceau, même si on s'occupe "juste" des failles, de la compilation, et du packaging.

        (sinon j'en ai aussi que des bons souvenirs, et je le trouve plus beau que KDE 4. J'ai commencé avec lui avec Kubuntu 6.06)

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: KDE 3.5 ?

          Posté par (page perso) . Évalué à  0 .

          Il y existe des failles suffisemment importantes pour que ça soit rédibitoire à l'utiliser ?

          Love, bépo.

          • [^] # Re: KDE 3.5 ?

            Posté par . Évalué à  4 .

            J'en sais rien, mais il y en a certainement.

            Pour avoir un OS sécurisé, le minimum c'est d'avoir des logiciels qui ne sont pas abandonnées, AMHA.

            "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

            • [^] # Re: KDE 3.5 ?

              Posté par (page perso) . Évalué à  -1 .

              Mouais. Du moment qu'on utilise pas Konqueror pour aller sur le ouaib ça ne doit pas être si dangereux. Et qui sait configurer PF saura protéger ses petits.

              Love, bépo.

            • [^] # Re: KDE 3.5 ?

              Posté par . Évalué à  8 .

              En pratique, rien ne prouve qu'il y ai moins de faille dans KDE 4.10 que dans KDE 3.5.

              KDE 4.10 étant une réécriture qui a eu moins de temps pour ce stabiliser, d'aucuns pourraient aussi affirmer l'inverse. Quoiqu'il arrive, je pense que le lien "non maintenu → plus de failles" n'est pas clair. Introduire des fonctionnalités, c'est introduire des failles potentielles.

              • [^] # Re: KDE 3.5 ?

                Posté par . Évalué à  2 .

                Le logiciel n'est pas comme du bon vin, ça se bonifie pas tout seul avec l'âge. Si KDE 3.5 avait des failles il y a 4 ans qui n'ont pas été découvertes et résolues par des mainteneurs alors il y a toutes les chances qu'elles y soient encore. Qu'importe l'épaisseur de la poussière sur le code.

                • [^] # Re: KDE 3.5 ?

                  Posté par . Évalué à  4 .

                  Si X avait des failles et qu'elles n'ont pas été corrigées, alors X a ces failles.

                  Raisonnement indéniable, mais si le code ne se bonifie pas avec l'age, il ne perd pas en qualité non plus.

                  Et si KDE 4.10 a introduit des failles à sa sortie et qu'elles n'ont pas été résolues par des mainteneurs, il y a des chances qu'elles y soient encore. Qu'importe la couche de nouveauté sur le code.

                  Dans tout les cas, ces affirmations aussi évidentes qu'elles soient ne donnent aucune information quantitative permettant d'étayer le fait qu'il y aurait moins de failles dans 4.10 que dans 3.5, ou l'inverse.

                  • [^] # Re: KDE 3.5 ?

                    Posté par . Évalué à  4 .

                    Non, mais il y en a un qui est supporté et l'autre pas. Pour un logiciel de cette taille, c'est une raison plus que suffisante pour privilégier la version récente.

  • # En musique

    Posté par . Évalué à  5 .

    Pour le morceau de musique associé à la nouvelle version, c'est par ici. Il n'y a pas encore de commentaire écrit.

    Peu de paroles cette fois-ci, très instrumental :

    I've seen things your programs wouldn't believe.

    Stack frames unwinding with Turing complete behaviour.

    I watched threads racing trampoline bindings in ld.so.

    [..]

    (Pas mon préféré, mais les goûts et les couleurs… J'aime bien 3.9: Blob! entre autres.)

  • # serveurs web Apache et Nginx

    Posté par . Évalué à  0 .

    Salut,

    Depuis la dernière version OpenBSD 5.2, la base incorpore Nginx. Je pense, qu'à terme, Nginx remplacera Apache ; est-ce le cas?
    Apache fonctionne sous chroot.
    Nginx, non ( du moins je ne crois pas ou alors j'ai mal regardé, ce qui est possible). A terme Nginx sera chrooté?

  • # Upgrade: parfait

    Posté par (page perso) . Évalué à  3 .

    J'ai fait l'upgrade de notre routeur WAN BGP ce matin, rien à dire niquel, et je suis bien content de récupérer les 2 ports BCM5720 qui étaient inutilisables sur ma carte mère afin d'augmenter ma bande passante en routage LAN :)

    On met le CD, on lance le process upgrade, on choisi les sets, reboot c'est fini. sysmerge si jamais on a besoin de nouveautés (comme l'excellent npppd qu'ils ont ajouté).

    Prochaine étape, migration des routeurs clients OSPF+squid+DNS+DHCP.

    CNRS & UNIX-Experience

    • [^] # Re: Upgrade: parfait

      Posté par (page perso) . Évalué à  2 .

      J'ai fait l'upgrade de notre routeur WAN BGP

      En passant y'a déjà un errata pour OpenBGPd dans la 5.3 ?
      http://www.openbsd.org/fr/errata53.html

      Perso on utilise une release - 1 (toujours en 5.1 quoi, passage en 5.2 cet été) pour nos pare-feux/routeurs.

      les pixels au peuple !

      • [^] # Je complète :)

        Posté par . Évalué à  1 . Dernière modification : le 03/05/13 à 14:10

        "Ce bogue a été trouvé par inspection (nous ne savons pas comment le reproduire, considérez cela comme un challenge)."

        Si y'a des challegers intéressés :)

        Quand on vous dit que OpenBSD c'est la sécurité pro-active… Ils attendent pas une exploitation de grande envergure pour corriger :)

        • [^] # Re: Je complète :)

          Posté par (page perso) . Évalué à  2 .

          Quand on vous dit que OpenBSD c'est la sécurité pro-active… Ils attendent pas une exploitation de grande envergure pour corriger :)

          Bof bof. J'y crois plus à ce genre de trucs, j'ai eu ma dose de bugs sous Open comme ailleurs. C'est bien pour ça que j'utilise une release - 1.

          http://ftp.openbsd.org/pub/OpenBSD/patches/4.8/common/001_bgpd.patch c'est moi qui suis tombé dessus…

          les pixels au peuple !

          • [^] # Re: Je complète :)

            Posté par . Évalué à  2 . Dernière modification : le 03/05/13 à 15:42

            Pour ma culture personnelle, c’est quoi la différence entre malloc(x) et calloc(1, x) ?

            Edit : houla, je vieillis, c’est l’initialisation à zéro de la zone mémoire bien sûr.

      • [^] # Re: Upgrade: parfait

        Posté par (page perso) . Évalué à  2 . Dernière modification : le 04/05/13 à 22:23

        Tu as a raison, je souhaitais upgrader pour récupérer mes cartes broadcom.

        Aujourd'hui j'ai upgradé un second routeur et c'était… horrible, l'agrégat de lien (LACP) avec les BCM5720 faisait freezer la machine complètement avec une carte intel activée (chose étrange sur le routeur de bordure je n'ai pas ce souci alors que la configuration hard est identique) => BCM de côté et utilisation de la gateway cliente comme avant. Dommage je voulais doubler la bande passante pour le confort

        CNRS & UNIX-Experience

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.