Anuncio de la Liberación de OpenBSD 7.2 Parte 2

in blurthispano •  2 years ago 


image.png
Logo tomado de la liga:
https://www.openbsd.org/images/puffy72.gif

Continuamos con con el anuncio de la liberación del sistema operativo OpenBSD 7.2

  • Mejoras de Seguridad:

    • Se implementó la separación de privilegión en xlock(1).
    • Se agregó la separación de privilegios al snmpd(8).
    • La variable de ambiente TZ ya no soporta rutas absolutas, para entrar mejor en el modelo de derivación de pledge(2).
    • El conector (Socket) AF_UNIX bind(2) y connect(2) ahora sigue la configuración unveil(2).
    • Nueva llamada de sistema de ypconnect(2) crea un conector basado en la dirección IP codificada directamente en un archivo bloqueado por ypbinding, y eliminando de ese modo un hack horrible para soportar busquedas YP en programas que usan reglas fuertes de pledge(2) .
    • Procesos que prometen("vminfo") pueden usar ahora las operaciones de solo lectura SWAP_NSWAP y SWAP_STATS de swapctl(2) que proporcionan información en dispositivos de intercambio (swap).
    • Se hizo aleatorio el intervalo de volver a introducir (rekey) de arc4random(3).
    • Reduce la superficie de ataque por medio de introducir un modo de 'local bind' en ypldap(8). En este modo ypldap une sus conectores RPC al bucle invertido (loopback), de esa manera los servicios YP solo estarán disponibles al anfitrión (host) en el que esté ejecutando. ypldap escribe el archivo de enlazamiento YP en el mismo /var/yp/binding y reemplaza a ypbind(8) y a ypserv(8). Esto también implica que portmap(8) no necesita estar corriendo más cuando el modo "local bind" sea usado.
    • Se cambiaron los daemons /sbin dhcpleased(8),mountd(8),nfsd(8),pflogd(8),resolvd(8),slaacd(8), y unwind(8) para que sean ligados dinámicamente para permitir que se beneficien de todas las mitigaciones adicionales que los ejecutables enlazados ganen. El montaje NFS de /usr ahora usa una dirección IP configurada estáticamente.
  • Cambios en la pila de red:

    • Se agregó la llamada de sistema en recvmmsg(2) que permite recibir multiples msghdrs de una sola vez, y la llamada de sistema en sendmmsg que permite el envío de multoples msghdrs de una sola vez.
    • Verificación relajada de disponibilidad de dirección para binds de multicast(4) de tal forma que procesos escuchando para la misma dirección multicast no necesitan ser del mismo UID.
    • Se introdujeron entradas de ligas dedicadas para instantaneas en
    • pfsync(4).
    • Se cambió el manejo en pf(4) de los paquetes IGMP e ICMP6 MLD para permitir que el control de paquetes multicast funcione por defecto.
    • Se hizo que pf(4) sea más paranoico sobre mensajes IGMP/MLD.
    • Se corrigió un bug de lógica en pf_find_state() que podía causar que pf(4) bloqueara incorrectamente un paquete.
    • Se corrigió syncookies en pf(4) durante el reuso rápido en TCP.
    • Se corrigió un bug en pf(4) dónde un tanque de direcciones IP definido como "172.16.0.0/16" podría contar como un tanque del tamaño de una sola dirección. También se corrigió un selección aleatória de dirección de orígen para que sea uniforme a lo largo del tanque completo de direcciones.
    • Se corrigió un pánico de kernel en pf(4) si opciones IP de un paquete de carga útil ICMP fueron truncados. Tales paquetes ahora serán descartados.
    • Permite reenvíos desde y hacia IPs en el rango 240/4.
    • Se corrigió el Puente Virtual Ethernet veb(4) para evitar llamar a if_enqueue desde una sección crítica smr.
    • Se retrabajó el código kroute rttimer para corregir caídas de sistema debido a icmp_pmtu_timeout.
    • Se corrigió una tormenta de interrupciones al momento de hacer suspensión en tarjetas arm64 Amlogic.
    • Se corrigió una condición de carrera entre pflow_output_process() y pflow_clone_destroy() en pflow(4).
    • Se agregó una entrada de paso de validación faltante en MPPE keylenbits de pipex(4) .
  • Daemons de ruteo y otras mejoras de red en el entorno de usuario:

    • Se mejoró el soporte IPsec:
      • Se hizó que iked(8) ignore cualquier carga útil CERT después de la primera en lugar de fallar el intercambio cuando más de una carga útil CERT es recibida.
      • Added iked(8) soporte para enviar cadenas de certificados con CAs intermediarios en múltiples cargas útiles CERT.
      • Se agregó una carga útil de ID de proveedor OpenIKED en el saludo de mano inicial de iked(8) para hacer más sencillo el manejo de problemas de interoperabilidad con versiones más antiguas en el futuro.
      • Se agregó a iked(8) estadísiticas de conexión para conexiones exitosas y fallidas, tipos de error, y otros eventos que pueden ser desplegados con "ikectl show stats".
    • En bgpd(8),
      • Se implementó el filtro max-communities para limitar el número de comunidades permitidas, (comunidades externas) ext-communities y (comunidades grandes) large-communities.
      • Se corrigió la inserción de comunidades extendidas adicionales no transitivas (non-transitive) cuando se envían prefijos.
      • Se relajó la limitación de direcciones IP por medio de permitir prefijos en 240/4.
      • Se implementó RFC 9234 - Prevención y Detección de Fugas de Ruteo Usando Roles en mensajes UPDATE y OPEN.
      • Soporte completo para RFC 7911 - Publicidad de Múltiples Rutas en BGP (ADD-PATH).
      • Se mejoro código FIB, ya maneja apropiadamente direcciones de alcance IPv6.
      • Se agregó bgplgd(8),un servidor FastCGI proporcionando una REST API para ejecutar comandos bgpctl(8).
      • Corrección de Bug:bgpd(8) podría fallar al invalidar nexthops y dejarlos incorrectamente en el FIB o en Adj-RIB-Out.
      • Aceleración de bgpctl en show rib 10/8 or-longer y en show rib 10/8 or-shorter.
      • Se cambiaron varias tablas hash estáticas a árboles RB mejorando el rendimiento en sistemas grandes.
      • Exportar por vecino pendiente de actualización y retiro de estadísticas
      • Se corrigió condición de carrera entre un reinicio de sesión de vecino y la reserva del mensaje de actualización
      • Se mejoró el manejo de los cambios de estado de alcanzabilidad de nexthop
      • Se aseguró que solo un bgpd(8) roa softreconfig runner corra en cualquier momento dado.
    • rpki-client(8) ha visto algunos cambios:
      • Permite más de un CRL URI en certificados.
      • No aplica compensaciones de zona horaria cuando se convierten a tiempos X509. Los tiempos X509 están en UTC y compararlos con tiempos en diferentes zonas horarias podría causar problemas de validez.
      • Se agregó soporte para una instalación para lista de "pasar por alto" configurable por un operador. Los operadores pueden especificar una lista de FQDN que no deberían de ser contactados cuando se sincroniza el caché local a la red.
      • Emite una advertencia cuando una número de serie de sesión RRDP disminuye.
      • Las funciones de decodificación DER fueron reconstruidos para aprovechar las plantillas ASN.1.
      • Se agrega soporte para validar e inspeccionar archivos .sig que contienen listas de verificación firmadas en RPKI en modo de archivo (filemode) (-f). (draft-ietf-sidrops-rpki-rsc-08)
      • Imprime varias estadísticas después de completar el proceso principal.
      • Se agregó soporte para decodificar e imprimir detalles TAL (RFC 8630) en modo de archivo (-f).
      • Emite objetos en formato JSON concatenado cuando esta en modo archivo (-f) y la bandera de salida JSON (-j) estan combinados.
      • Se agregó soporte para validar objetos de Autorización Proveedor de Sistema Atónomo (ASPA) que se conforman al draft-ietf-sidrops-aspa-profile-10. Las cargas útiles ASPA validadas son visibles en la salida JSON y en modo archivo (-f).
      • Se asignó en rsync(1) un valor de expiración de conexión I/O de 15 segundos.
      • Se unificó el tiempo máximo de espera I/O y el tiempo de expiración de conexión para rsync(1) y HTTPS.
      • rpki-client(8) realiza ahora una validación de certificado EE más estricto:
        • Se deja de permitir extensiones de recursos AS en certificados ROA.
        • Se deja de permitir extensiones de Acceso de Información de Asunto (SIA) en certificados EE de Listas de Verificación firmadas RPKI.
        • Se verifica los recursos en ROAs y RSCs contra certificados EE.
      • Se mejoró la legibilidad y se agregaron varios despliegues de información diversa en modo detallado (verbose).
      • Se agregó salida extendida en modo de archivo (-f) y se despliega certificados X.509 en formato PEM cuando se especifíca el incremento del detalle (-vv).
      • Se acortó el tiempo de expiración de espera de RRDP I/O.
      • Se introdujo un temporizador de límite que aborta toda la sincronización de repositorio después de siete tiempos de expiración (-s). Con esto el cliente rpki-ha mejorado las oportunidades para completar y producir una salida incluso cuando un CA es excesivamente lento.
      • Aborta el proceso RRDP cuando el tiempo de expiración por repositorio es alcanzado.
      • Permite múltiple entradas AccessDescription en extensiones SIA X.509. Mientras que obtener de ubicaciones secundarias aún no esta soportado, el rpki-client no tratará dicha ocurrencia como un error fatal.
      • Se resolvió un potencial de condición de carrera en deltas RRDP no atómicos.
      • Se corrigieron algunas fugas de memoria.
      • Se mejoró compatibilidad con la especificación del protocolo HTTP.
    • En snmpd(8),
      • Se permiten nombres de objetos para que sean usados adicionalmente a los OIDs en snmpd.conf(5).
      • Mejor sugerencia de tipos para registro de bitácora de depuración.
      • Se introdujo una característica de lista de bloqueo, lo que elimina a los sub-árboles de la vista.
      • Se reintrodujo el soporte maestro de AgentX.
      • Se eliminaron métricas no relacionadas con SNMP en su propio back-end basado en AgentX.
      • El proceso snmpe ahora esta prometido stdio recvfd inet unix.
      • Se importó snmpd_metrics(8). Esto permite a aquellos que necesiten usar net-snmpd la habilidad de acceder a métricas base de snmpd(8).
    • En ldapd(8), Se hace coincidir esquemas de password sensibles a mayúsculas y minúsculas.
    • En ospfd(8), se relajan las limitaciones en cuanto a que es una IP unicast aceptable. No hay más experimentos en IPv4 y por ello hay menos razones para que los daemons de red nieguen formalmente espacio IP experimental. IPs multicast (224/4) y bucle invertido (loopback) (127/8) siguen sin estar permitidos.
    • se agregó verificación a acme-client(1) para asegurar que el token de desafío se convierta en un nombre de archivo que tenga codificación base64url.
    • Se agregó soporte RFC 9234 "BGP Role" a tcpdump(8)
    • Se tiene en tcpdump(8) que despliega ASnumbers en formato 'asplain' en lugar del antiguo formato 'asdot'.
    • Se corrigió una caida de sistema en libpcap cuando éste podría salir del final del arreglo realizando liberaciones.
    • Se hace que la opción -X para conectar SOCKS trabaje con direcciones IPv6 en nc(1).
    • Se introdujo un back-end de lista de bloqueo y palabras clave en snmpd(8), esto hace que el filter-pf-addresses sea obsoleto.
    • Se cambió dhclient(8) para diferir a dhcpleased(8) por medio de hacer execve ifconfig y proporcionando advertencias en syslog sobre opciones obsoletas.
    • Se implementó en dig(1) soporte para registros de tipo SVCB y HTTPS.
    • Se hizo que resolvd(8) escriba el archivo /etc/resolv.conf de una forma más atómica.
    • Se agregó una bandera -t en slowcgi(8) para cambiar la expiración de la solicitud.
    • Se corrigió el manejo de una terminación anormal FastCGI en httpd(8).
    • Se hicieron nuevas definiciones de tipos MIME que toman precedencia sobre las ya existentes en httpd(8).
    • Se movió la llamada relayd(8) daemon(3) justo antes de la bifurcación del proceso hijo de tal forma que el proceso padre se desasocia de su terminal y de su shell de control, pero no de sus procesos hijos.
    • Se cambió ftp(1) para usar connect(2) sin bloqueo con ppoll(2) y tiempo de expiración en lugar de alarm(3). Esto permite el cambio a otra IP en caso de fallo para aquellos anfitriones donde hay más de una dirección IP.
  • tmux(1) mejoras y correciones de bugs:

    • Se agregó una lista ACL para múltiples usuarios que se conectan al socket tmux(1).
    • Se asegura que el cursor permanezca en el item seleccionado en el menú.
    • Se agregó soporte para hipervínculos OSC 8.
    • Se agregó soporte para hipervínculos con capture-pane -e y formato de mouse_hyperlink.
    • Se agregó un estado "all" (todo) que permite al comando allow-passthrough trabajar en paneles invisibles.
    • Se corrigió una caída de sistema cuando se realizan búsquedas para .* con líneas extremadamente largas.
    • Se agregó en vi(1) ligas Home/End.
    • Se agregó una capacidad Nobr de información de terminal (terminfo) para indicar a tmux(1) que la terminal no usa colores brillantes para negritas.
    • Se agregó una notificación cuando información copiada a memoria temporal es eliminada.
    • Se arregló el reporte de tamaño de ventana.
  • LibreSSL versión 3.6.0

    • Nuevas Características
      • API EVP para HKDF portado desde OpenSSL y limpiada subsecuentemente.
      • El API de nivel de seguridad (SSL_{,CTX}_{get,set}_security_level()) está disponible ahora. Callbacks y ex_data no están soportados. Software Sane no los usará.
      • Soporte experimental para la QUIC API BoringSSL.
      • Se agregó soporte inicial para verificación TS ESSCertIDv2.
      • LibreSSL usa ahora la prueba de primalidad Baillie-PSW en lugar de la Miller-Rabin.
    • Cámbios de compatibilidad
      • El parseador de tiempo ASN.1 ha sido refabricado y reescrito usando CBS. Se ha vuelto más estricto en el sentido de que ahora obliga a respetar las reglas de RFC 5280.
      • Se eliminó ASN1_AFLG_BROKEN.
      • Se agregó verificación de error en tls_session_secret_cb() similar al de OpenSSL.
      • Se agregó ASN1_INTEGER_{get,set}_{u,}int64()
      • Se movió verificaciones de certificado de hoja como la última después de la validación de cadena.
      • Se agregó la opción -s a cifradores openssl(1) que solo muestran el cifrado soportado por el protocolo especificado.
      • Se usa TLS_client_method(3) en lugar de TLSv1_client_method(3) en el comando ciphers de openssl(1).
      • Se validan los protocolos en SSL{_CTX,}_set_alpn_protos().
      • Se hace que TS y PKCS12 sean opacos.
      • Para el RFC 7292, safeContentsBag es una SEQUENCE OF, no un SET OF.
      • Se alineó PKCS12_key_gen_uni() con OpenSSL
      • Se agregaron varios accesos en PKCS12 y TS. En particular la función TS_RESP_CTX_set_time_cb() fué agregada nuevamente.
      • Permite una encabezado NULL en PEM_write{,_bio}()
      • Permite conjuntos de atributos vacíos en CSRs.
      • Se ajustaron firmas de funciones BIO_ctrl.
      • Se proporcionaron definicioes adicionales para EVP AEAD.
      • Se proporciona OPENSSL_cleanup().
      • Se hace que BIO_info_cb() sea idéntico a bio_info_cb().
    • Corrección de Bugs
      • Se evita el uso de no inicializado (uninitialized) en BN_mod_exp_recp().
      • Se corrigió X509_get_extension_flags() para asegurar que EXFLAG_INVALID esté asignado en fallo X509_get_purpose().
      • Se arregló (https://man.openbsd.org/HMAC.3) con una llave NULL.
      • Se agregó ERR_load_{COMP,CT,KDF}_strings() en ERR_load_crypto_strings().
      • Se evitó violaciones estrictas de solapamiento (aliasing) en BN_nist_mod_*().
      • No se devuelve X509_V_ERR_UNSPECIFIED desde X509_check_ca(). Cuando no hay valor de retorno de X509_check_ca() se indica fallo. El código de aplicación por lo tanto emite una llamada de verificado a X509_check_purpose() antes de llamar a X509_check_ca().
      • Se reescribió y corrigió X509v3_asid_subset() para evitar fallas de segmentación en algunas entradas válidas.
      • Se invoca a la llamada de vuelta ASN1_OP_D2I_PRE después de ASN1_item_ex_new().
      • Se corrigió d2i_ASN1_OBJECT para avanzar el apuntador *der_in pointer correctly.
      • Se evitó el uso de no-inicializado (uninitialized) en ASN1_STRING_to_UTF8().
      • No se le pasa puntero no-inicializado (uninitialized) a ASN1_STRING_to_UTF8().
      • No se rechazan direcciones IPv6 válidas en nc(1)'s HTTP CONNECT proxy.
      • No se rechazan primos en divisiones de prueba.
      • Se saca el error en cambios negativos en BN_{r,l}shift() en lugar de accediendo a arreglos fuera de los límites.
      • Se corrigió restricciones de nombre URI, se permite para URIs que no tienen la parte del anfitrión.
      • Se corrigió el comportamiento de la llamada de vuelta del verificador heredado para certs no confiables.
      • Se corrigió el manejo de serfver-side en las actualizaciones de clave TLSv1.3.
      • Se tapó fuga en PKCS12_setup_mac().
      • Se tapó fuga en X509V3_add1_i2d().
      • Solo se imprimen versiones X.509 de las que tenemos conocimiento.
      • Se evita el dsbordamiento de enteros con signo debido a la negación unaria
      • Se inicializa readbytes en BIO_gets().
      • Se tapó fuga de memoria en CMS_add_simple_smimecap().
      • Se tapó fuga de memoria en X509_REQ_print_ex().
      • Se verificó el valor de retorno de HMAC() para evitar el uso posterior de no-inicializado (uninitialized).
      • Se evitó la dereferencia potencial NULL en ssl_set_pkey().
      • Se verificó los valores de retorno en ssl_print_tmp_key().
      • Se cambiaron los límites de bucle desde size_t a entero (int) en check_hosts().
      • Se evitó la división por cero si no se logra la conexión en s_time.c.
      • Se verificó el valor de retorno de sk_SSL_CIPHER_push()
      • Se evitó lectura fuera de los límites (out-of-bounds) en ssl_cipher_process_rulestr().
      • Se usó LONG_MAX como el límite para cifradores con APIs basadas en el tipo de dato long.
    • Mejoras internas
      • Se evitó las verificaciones costosas del RFC 3779 durante la verificación del certificado (cert).
      • La plantilla hecha del decodificador ASN.1 ha sido limpiada, refabricada y modernizada con partes reescritas usando CBB y CBS.
      • El parseador de tiempo ASN.1 ha sido reescrito.
      • Se reescribió y corrigió A03SN1_STRING_to_UTF8().
      • Se usó asn1_abs_set_unused_bits() en lugar de alinearlo.
      • Se simplificó ec_asn1_group2curve().
      • Primer paso de una limpieza de ASN1_item_sign_ctx()
      • ssl_txt.c fué limpiado.
      • Se cambiaron argumentos en funciones internas y el miembro struct ha sido cambiado a size_t.
      • Muchas verificaciones de errores en EVP API fueron agregados.
      • Se limpia y se clarifica BN_kronecker().
      • Se simplifica ASN1_INTEGER_cmp()
      • Se reescribe ASN1_INTEGER_{get,set}() usando CBS y CBB y se vuelve a usar la función ASN1_INTEGER para ASN1_ENUMERATED.
      • Se usó ASN1_INTEGER para parsear y construir {Z,}LONG_it
      • Manejo Refabricado y limpieza de grupo (curva eliptica) en t1_lib.c.
      • Se simplificó el código de manejo de listas de certificado en el servidor heredado.
      • Se hace que CBB_finish() falle si *out_data no es NULL.
      • Se eliminó las llamadas tls_buffer_set_data() y remover/revisar (remove/revise).
      • Se reescribió SSL{_CTX,}_set_alpn_protos() usando CBS.
      • Se simplificó tlsext_supported_groups_server_parse().
      • Se eliminó verificaciones de longitud redundantes en funciones de parseo tlsext.
      • Se simplificó tls13_server_encrypted_extensions_recv().
      • Se agregó soporte de lectura y escritura en tls_buffer.
      • Se convirtio transcripción TLS desde BUF_MEM a tls_buffer.
      • Limpia llaves al salir en PKCS12_gen_mac().
      • Correcciones menores en PKCS12_parse().
      • Proporciona y usa una función de limpieza primitiva para BIGNUM_it.
      • Se usó ASN1_INTEGER para codificar/decodificar (encode/decode) BIGNUM_it.
      • Se apilaron marco en el ensamblado deAES-NI x86_64.
      • Se usaron inicializadores "named" para BIGNUMs.
      • Se ordenaron algunos de los BN_nist_mod_*.
      • Se expandió BLOCK_CIPHER_* y macros relacionados.
      • Se evitó el sombreado del parámetro de la función cbs en tlsext_alpn_server_parse()
      • Se desduplicó el código de procesamiento de la cadena del certificado.
      • Se hizo posible el señalar un error desde una función i2c_*.
      • Se reescribió i2c_ASN1_INTEGER() usando CBB/CBS.
      • Se eliminó la limitación UINT32_MAX en ChaCha() y en CRYPTO_chacha_20().
      • Se eliminó verificaciones de longitud falsa de EVP_aead_chacha20_poly1305().
      • Se trabajó en DSA_size() y en ECDSA_size().
      • Se dejó de usar CBIGNUM_it interno en libcrypto.
      • Se proporcionó c2i_ASN1_ENUMERATED_cbs() y se le llama desde asn1_c2i_primitive().
      • Se aseguró que los tipos ASN.1 estén codificados apropiadamente.
      • Se evitó reciclar ASN1_STRINGs cuando se descodifica ASN.1.
      • Se ordenó un poco la función asn1_c2i_primitive().
      • Se expandió mecánicamente los macros IMPLEMENT_BLOCK_CIPHER, IMPLEMENT_CFBR, BLOCK_CIPHER y el chiflado M_do_cipher.
      • Se usó la longitud correcta para los cifradores de modo EVP CFB.
      • Se proporcionó una versión de ssl_msg_callback() que toma un CBS.
      • Se usó CBS para parsear alertas TLS en la pila heradada.
      • Se incrementó la posición de entrada y salida para EVP AES CFB1.
      • Se aseguró que no existan datos posteriores para un CCS recibido por la pila TLSv1.3.
      • Se usa CBS cuando se procesa un mensaje CCS en la pila heredada.
      • Se es más estricto con el modo de compatibilidad middlebox en el servidor TLSv1.3.
  • OpenSSH 9.1

    • Seguridad
      • ssh-keyscan(1): Se corrigió un desbordamiento de un byte en el procesamiento de banner en SSH
      • ssh-keygen(1): se corrigió un error de doble free() en la ruta de error del código de firmado/verificado (signing/verify)
      • ssh-keysign(8): se corrigió doble-libre (double-free) en ruta de error, introducido en OpenSSH 8.9.
    • Cambios potencialmente-incompatibles
      • ssh(1), sshd(8): Las directivas SetEnv en ssh_config y en sshd_config son ahora del tipo: la primera coincidencia gana (first-match-wins) para coincidir con otras directivas. Previamente si una variable de entorno fue especificada multiples veces el valor del último conjunto debería ser utilizado.
      • ssh-keygen(8): ssh-keygen -A (genera todos los tipos de llaves de host por defecto) ya no va a generar llaves DSA, ya que estas son inseguras y no han sido usadas por defecto por algunos años ya.
      • ssh(1), sshd(8): se agregó una directiva RequiredRSASize para asignar una longitud mínima a la llave RSA. Llaves debajo de esta longitud serán ignoradas para autenticación de usuario y para la autenticación de anfitrión en sshd(8).

        ssh(1) terminarpa la conexión si el servidor ofrece una llave RSA que caiga por debajo de este límite, dado que el protocolo SSH no incluye la habilidad de reintentar un intercambio de llaves fallida
      • sftp-server(8): se agregó una solicitud de extensión [email protected] que permiten que el cliente obtenga nombres de usuarios y grupo (user/group) que correspondan al conjunto de uids/gids.
      • sftp(1): Se usa la extensión de servidor sftp [email protected] (cuando esta disponible) para llenar los nombres de usuario/grupo (user/group) para listados de directorio.
      • sftp-server(8): soporta la solicitud de extensión home-directory definida en draft-ietf-secsh-filexfer-extensions-00. Esto se solapa un poco con la extensión existente "[email protected]", pero algunos otros clientes lo soportan.
      • ssh-keygen(1), sshd(8): permite intervalos de validez de certificado, opciones de tiempo de verificación sshsig y de expiración de llaves autorizadas para que acepten fechas en la zona de tiempo UTC adicionalmente de la zona de tiempo por defecto del sistema local. Fechas en formato fecha/hora (date/times) YYYYMMDD y YYMMDDHHMM[SS] las fechas/horas serán interpretados como si fueran UTC si tiene un como carácter el sufijo 'Z'.

        También se permite intervalos de validez de certificado para que sean especificados en segundos desde epoca como valores hexadecimales, p.ej. -V 0x1234:0x4567890. Esto esta destinado para usarse para pruebas de regresión y otras herramientas que invocan a ssh-keygen como parte de un flujo de trabajo de CA.
      • sftp(1): se permiten argumentos para la opción -D del sftp, p.ej. sftp -D /usr/libexec/sftp-server -el debug3.
      • ssh-keygen(1): permite a la bandera existente -U (usar agente) a trabajar con operaciones -Y sign, donde será interpretado como que requiere para solicitar las llaves privadas almacenadas en un agente.
    • Correciones de bugs
      • ssh-keygen(1): se implementó la opción de certificado "verificación requerida". Esto ya estaba documentado cuando el soporte por parte de las llaves para validación de usuario por medio de llaves FIDO fue agregada, pero faltaba el código para que debutara en el ssh-keygen(1).
      • ssh-agent(1): se conectó la bandera de línea de comando de restrict_websafe; anteriormente la bandera era aceptada pero nunca utilizaba realmente.
      • sftp(1): se mejoró el completado de nombre de archivos con la tecla [tabulador]: nunca intenta completar nombre a comandos no existentes, y mejora la coincidencia del tipo de archivo a completar (nombre local o remoto) contra la posición del argumento que esta siendo completado.
      • ssh-keygen(1), ssh(1), ssh-agent(1): varias correcciones al manejo de llaves FIDO , especialmente relativas a llaves que solicitan verificación del usuario. Estas deberían reducir el número innecesario de prompts para introducir PIN (Número de Identificación Personal) por llaves que soporten verificación de usuario intrinseca.
      • ssh-keygen(1): cuando se enrola una llave residente FIDO, verificar si una credencial que coincide con la aplicación y con la ID del usuario ya existe y, si es así, le pregunta al usuario por confirmación antes de sobreescribir la credencial.
      • sshd(8): se mejoró el registro de errores cuando se abren archivos de llaves autorizadas (authorized_keys).
      • ssh(1): se evitan operaciones multiplexadas que pudieran causar SIGPIPE causando la salida temprana del cliente. bz3454
      • ssh_config(5), sshd_config(5): Se aclara que la directiva RekeyLimit aplica tanto a los datos transmitidos como recibidos.
      • ssh-keygen(1): evita doble fclose() en ruta de error.
      • sshd(8): registra un error si pipe() falla mientras acepta una conexión.
      • ssh(1), ssh-keygen(1): se corrige un posible NULL deref cuando se compila sin soporte FIDO.
      • ssh-keyscan(1): agrega tipos faltantes *-sk en las página de manual de ssh-keyscan.
      • sshd(8): se asegura que los passwords de autenticación sean limpiados de la memoria en rutas de error.
      • ssh(1), ssh-agent(1): evita la posibilidad de que el código de notificador ejecute el comando kill(-1).
      • ssh_config(5): notese que la directiva ProxyJump también acepta los mismos tokens que ProxyCommand.
      • scp(1): no se usa la función ftruncate(3) en archivos de forma temprana cuando se encuentra en modo sftp. El comportamiento anterior de truncar el destino de forma incondicional podía causar que scp ~/foo localhost: y scp localhost:foo ~/ borraran todo el contenido del directorio destino.
      • ssh-keygen(1): se mejoró mensaje de error cuando ssh-keygen -Y sign no es capaz de cargar una llave privada.
      • sftp(1), scp(1): cuando se realizan operaciones con glob(3) en una ruta remota, se asegura que el directorio de trabajo implícito usado para construir la ruta escape los caracteres de glob(3). Esto evita que caracteres glob sean procesador en lugares donde no se debería, p.ej. cd /tmp/a*/, get *.txt debería permitir la operación get trate la ruta /tmp/a* literalmente y no intentar expandirla.
      • ssh(1), sshd(8): Es más estricto en determinar cuales caractéres serán aceptados en especificar una longitud de mascara; permitiendo solo entre 0-9.
      • ssh-keygen(1): evita la impresión del algoritmo hash dos veces cando se hace un volcado de KRL.
      • ssh(1), sshd(8): continua corriendo en E/S (I/O) local para canales abiertos durante el transporte SSH del cambio de claves. Esto debería hacer que las ~-escapes funcionen en el cliente (p.ej. para salir) si la conexión resulta que se colgó durante un evento de cambio de llaves.
      • ssh(1), sshd(8): se evitó un giro potencial de poll() durante el cambio de llaves
      • Mas reforzamiento para los aspectos internos de sshbuf: se deshabilitó la "reparentalización" de un sshbuf jerárquico y asignar a cero si la reubicación completa del buffer falla.
  • mandoc 1.14.6 más algunas nuevas características y muchas correcciones de bugs, incluyendo:

    • Se mejoró significativamente la accesibilidad de mandoc(1) -T html y de la salida de man.cgi(8) por medio de usar sistemáticamente mejores elementos HTML en varios lugares y por medio de agregar roles ARIA y DPUB-ARIA y los atributos de etiquetas aria (aria-label) para muchos elementos HTML.
    • Se eliminaron la líneas arcaicas que enmarcan los encabezados y los pies de página de tablas HTML en favor de flexbox CSS. El rendereo ahora se adapta a las ventanas del navegador de anchos arbitrarios.
    • Se previno la salida -T html por medio de convertir guiones en guiones bajos en identificadores de fragmentos URI.
    • Se mejoró el parseo de la secuencia de escape en roff(7) en varias formas fundamentales sin importar la correctitud de la salida o la compatibilidad groff.
    • Se corrigió la salida que depende del orden de la evaluación de secuencias de escape roff(7) por medio de parsearlas de izquierda a derecha en lugar de derecha a izquierda.
    • Se mejoró significativamente el diagnóstico -T lint relativo a errores de sintaxis en secuencias de escape roff(7) y en sus argumentos.
    • Se dejó de emitir el espacio vertical en tbl(7) antes del macro .TS (inicio de tabla (table start)) por compatibilidad con el mismo cambio en groff. Esto implica que macros .PP o .Pp macros puedan necesitar ser insertados antes de .TS en algunos (pero no en todos!) lugares en algunas páginas de manual usando tbl(7).
    • Se dejó de saltar el espacio vertical después del macro .TE (final de tabla) en tbl(7) de tablas enmarcadas por compatibilidad con el mismo cambio en groff. Esto implica que solicitudes .sp puedan necesitar ser eliminadas después del .TE en algunas páginas de manual que usan tbl(7).
    • Se corrigió el cálculo del ancho de columna en tbl(7).
    • Se mejoró el manejo de caracteres de tabulación literales en texto relleno de multiples formas por compatibilidad con groff y Heirloom troff.
    • Corrección de bugs adicionales para dos fallas por segmentación, dos bucles infinitos, y varias fallas por afirmación.
  • Puertos y Paquetes (Ports/packages): Muchos paquetes precompilados para cada arquitectura:

    • aarch64: 11261
    • amd64: 11451
    • arm: 8182
    • i386: 10225
    • mips64: 8759
    • powerpc: 9577
    • powerpc64: XXXX
    • riscv64: 9808
    • sparc64: 9275

    Algunos softwares sobresalientes:

    • Asterisk 16.28.0, 18.14.0 y 19.6.0
    • Audacity 2.4.2
    • CMake 3.24.2
    • Chromium 105.0.5195.125
    • Emacs 28.2
    • FFmpeg 4.4.2
    • GCC 8.4.0 y 11.2.0
    • GHC 9.2.4
    • GNOME 42.4
    • Go 1.19.1
    • JDK 8u342, 11.0.16 y 17.0.4
    • Aplicaciones KDE 22.08.1
    • Marcos KDE 5.98.0
    • Krita 5.1.1
    • LLVM/Clang 13.0.0
    • LibreOffice 7.4.1.2
    • Lua 5.1.5, 5.2.4 y 5.3.6
    • MariaDB 10.9.3
    • Mono 6.12.0.182
    • Mozilla Firefox 105.0.1 y ESR 102.3.0
    • Mozilla Thunderbird 102.3.0
    • Mutt 2.2.7 y NeoMutt 20220429
    • Node.js 16.17.1
    • OCaml 4.12.1
    • OpenLDAP 2.6.3
    • PHP 7.4.30, 8.0.23 y 8.1.10
    • Postfix 3.7.2
    • PostgreSQL 14.5
    • Python 2.7.18, 3.9.14 y 3.10.7
    • Qt 5.15.6 y 6.3.1
    • R 4.2.1
    • Ruby 2.7.6, 3.0.4 y 3.1.2
    • Rust 1.63.0
    • SQLite 3.39.3
    • Shotcut 22.06.23
    • Sudo 1.9.11.2
    • Suricata 6.0.6
    • Tcl/Tk 8.5.19 and 8.6.12
    • TeX Live 2021
    • Vim 9.0.0192 y Neovim 0.7.2
    • Xfce 4.16
  • Como de costumbre, mejoras constantes en páginas de manual y otra documentación.

  • El sistema incluye los siguientes componentes mayores de proveedores externos:

    • Xenocara (basado en X.Org 7.7 con xserver 21.1.4 + parches, freetype 2.12.1, fontconfig 2.13.94, Mesa 22.1.7, xterm 372, xkeyboard-config 2.20, fonttosfnt 1.2.2 y más)
    • LLVM/Clang 13.0.0 (+ parches)
    • GCC 4.2.1 (+ parches) y 3.3.6 (+ parches)
    • Perl 5.32.1 (+ parches)
    • NSD 4.6.0
    • Unbound 1.16.3
    • Ncurses 5.7
    • Binutils 2.17 (+ parches)
    • Gdb 6.3 (+ parches)
    • Awk Septiembre 12, 2022
    • Expat 2.4.9

En el siguiente post continuarémos con el aspecto de instalación de este sistema operativo.

Este post es una traducción del anuncio original que se encuentra en la siguente liga:

https://www.openbsd.org/72.html


Si lo deseas puedes votar por mi como witness para poder aumentar las capacidades de un servidor.

https://blurtwallet.com/~witnesses?highlight=cosmicboy123


image.png

Integrate al grupo de Telegram de @team-mexico 😀 donde yo y otros usuarios de México y de otros países de habla hispana compartimos experiencias y opiniones así como nuestros propios posts. Una gran iniciativa de @cristo


image.png

| 👉Entra a https://t.me/TeamMexico1 👈 |

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE BLURT!
Sort Order:  
  ·  2 years ago  ·  


** Your post has been upvoted (1.65 %) **

Congratulations, your post has been curated by @r2cornell-curate. Also, find us on Discord

Manually curated by @abiga554

logo3 Discord.png

Felicitaciones, su publication ha sido votado por @r2cornell-curate. También, encuéntranos en Discord