OpenBSD 5.8 - LinuxFr.org

Pour ses 20 ans, OpenBSD 5.8 est de sortie un peu en avance ce 18 octobre. OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit.

logo openbsd 5.8

Mises à jour

Logiciels

Suppressions

Plusieurs logiciels ont été supprimés de la distribution OpenBSD :

La commande sudo a été remplacée par doas(1), une version simplifiée et donc normalement plus sûre. La commande sudo est toujours disponible en tant que paquet.
Le protocole SSHv1 a été supprimé d'OpenSSH

Améliorations

L'appel système tame(2) fait son apparition. Cet appel système a déjà fait l'objet d'un journal. Il est a noter que pour la prochaine version, il sera renommé pledge(2).
Le jeu worm(6) grandit maintenant à un taux proportionnel à la taille du terminal.
relayd(8) n'utilise plus que TLS 1.2 par défaut
ping, ping6, traceroute, traceroute6 ont été améliorés afin de résister aux changements d'horloges négatifs
corrections diverses sur le binaire sort

Mises à niveau logicielles

Sqlite 3.8.8.3
xf86-input-synaptics 1.8.2
xf86-video-ati 7.5.0
GCC 4.9.3
GNOME 3.16.2
PostgreSQL 9.4.4
Postfix 3.0.2
Python 3.4.3
MariaDB 10.0.20
Clang 3.5
LibreOffice 4.4.4.3
Firefox 39.0.3

Réseau

Correction de la configuration des routes sur le pilote mpe
La MTU des interfaces VLAN peut désormais être modifiée indépendamment de l'interface parente
Le pilote mpw fait son apparition. Il servira à gérer communément toute la couche MPLS au niveau noyau
Le même réseau IP peut être attribué à plusieurs interfaces. La priorité sur ces interfaces déterminera le choix de l'interface à utiliser.
Beaucoup d'améliorations sur ldpd, le démon MPLS, en coordination avec le nouveau pilote mpw
bgpd permet aux règles de vérifier des numéros de systèmes autonomes (AS)
ospfd sait désormais gérer correctement les interfaces de type CARP (Common Address Redundancy Protocol) qui sont en mode backup à leur démarrage
dhcpd et dhclient acceptent les noms d'hôtes commençant par un chiffre

Sécurité

La commande file(1) est remplacée par une implémentation plus moderne qui utilise les méthodes de « bac à sable » et de séparation des privilèges
Bannissement des clefs curve25519 vides dans SSH conformément au dernier papier sur les curves du CFRG
IPSec: début du support de la RFC 7427 dans iked
pkg_info vérifie que les paquets distants sont signés
pkg_add déclare les installations locales de confiance
Ajout du nouveau service radiusd afin de gérer les authentification RADIUS
sudo a été remplacé par la commande doas

Pilotes

Le pilote rtsx sait gérer les puces RTL8411
Correction d'un problème WPA/WEP sur les puces AR5211 du pilote ath
Le pilote re-fonctionne avec des périphériques plus récents, comme la puce RTL8111GU
Les puces RTL8188EU sont supportées par le pilote urtwn
Apparition des pilotes octdwctwo et amdcf permettant de gérer respectivement l'USB et les mémoires flash sur les architectures octeon

Performances

Amélioration des performances sur les verrous de pmap en architecture amd64
Le noyau utilisera des instructions AVX pour les CPU sachant les gérer

Installeur

La logique de la question demandant si on souhaite activer le login SSH a été modifiée à 'no' par défaut et permet de sélectionner 'prohibit-password'
L'installeur autoinstall, essentiellement utilisé pour de l'installation automatisée par le réseau permet désormais d'avoir les fichiers de réponse dans des sous-répertoires et de parser des fichiers modèles pour partitionner le disque
ntpd est activé par défaut à l'installation

Service httpd

Support des redirections et pattern matching via les patterns Lua
Support de l'en-tête If-Modified-Since
Partageant beaucoup de code en commun avec relayd, les tests de regressions sont aussi basés sur ceux de relayd
Par défaut httpd n'utilise plus que TLS 1.2

Conclusion

Une version pour les 20 ans d'OpenBSD qui continue dans sa philosophie de sécurité tout en n'oubliant pas de moderniser ses composants.

Aller plus loin

Annonce de sortie (342 clics)
Liste des changements (226 clics)
Téléchargements, liste des mirroirs FTP (195 clics)
Achat de boites CDroms, DVD (soutiens et "goodies") (139 clics)
« 20 years ago today », chanson pour cette 5.8 (128 clics)
« Fanza », seconde chanson de cette 5.8 (93 clics)
« So much Better », encore une célébration en musique (85 clics)
« A Year in a Life », cette 5.8 a beaucoup inspiré (105 clics)

# worm

Posté par RyDroid le 29 novembre 2015 à 17:10. Évalué à 2.

Par curiosité, worm existe t'il sous GNU/Linux ? Je n'ai rien trouvé sur Debian. Ou peut on avoir le code source ?
- [^] # Re: worm
  
  Posté par gouttegd (site web personnel) le 29 novembre 2015 à 17:41. Évalué à 6.
  
  Dans Debian, il est dans le paquet bsdgames.
- [^] # Re: worm
  
  Posté par rewind (Mastodon) le 29 novembre 2015 à 17:43. Évalué à 3.
  
  http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/games/ (il y a deux répertoires worm et worms)
# Bluetooth

Posté par David Demelier (site web personnel) le 30 novembre 2015 à 09:42. Évalué à 2.

Le bluetooth a été retiré il y a quelques versions de cela, j'espère que ça reviendra un jour.

git is great because linus did it, mercurial is better because he didn't
- [^] # Re: Bluetooth
  
  Posté par David Carlier le 22 décembre 2015 à 10:36. Évalué à 1.
  
  le module bt etait trop bugge et puisque personne ne semblait s en soucier a l epoque … Du coup, pour un eventuel retour …
# file ?

Posté par steph1978 le 02 décembre 2015 à 23:22. Évalué à 2.

A propos de file, c'est une nouvelle implémentation ? Pas une nouvelle commande ?
La phrase dans la dépêche est ambiguë.
Avez vous un pointeur décrivant cette nouvelle implémentation ?
- [^] # Re: file ?
  
  Posté par nonas le 02 décembre 2015 à 23:59. Évalué à 1.
  
  Tu n'as pas du chercher longtemps : https://news.ycombinator.com/item?id=9439778
  - [^] # Re: file ?
    
    Posté par steph1978 le 03 décembre 2015 à 16:18. Évalué à 1. Dernière modification le 03 décembre 2015 à 16:21.
    
    Je n'ai pas dit que j'avais cherché.
    La dépêche dit "file a une nouvelle implémentation" et donne un lien vers le man de file. Cela n'apporte aucune information. Je sais ce que fait la commande file. Par contre je suis intéressé par savoir ce qui posait problème et ce qui a été corrigé.
    Note que je remercie l'auteur de la dépêche au demeurant très intéressante.
    
    Merci pour le lien.
    Je partage assez:
    
    But it's still a bit unnerving to me that a bug in a utility like file(1), which needs to do nothing but read a file and output text to stdout, could possibly do things like overwrite other files, write to the network, etc., even in the presence of parsing bugs and a maliciously crafted file.
    
    Ça fait frissonner

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.