Anuncio de la Liberación OpenBSD 7.3 , Parte 5

OpenBSD 7.3

Continuamos con la quinta entrega del anuncio de la liberación de esta versión de OpenBSD, donde se pueden apreciar mejoras en la seguridad sobre todo en el aspecto de comunicaciones de red seguras.

---

En el siguiente post continuarémos con el aspecto esas mejoras del sistema, correcciones de bugs y protocolos de encripción de red.

Este post es una traducción del anuncio original que se encuentra en la siguente liga:

https://www.openbsd.org/73.html

• Se actualizó zlib a la versión 1.2.13.
• Se actualizó un bug persistente en el encabezado de una biblioteca de lectura de línea (libreadline header) que rompe la interface de comando interactiva de Python.
• Se cambió tftpd(8) para que por defecto trabaje en modo de solo lectura a menos que -w sea especificado para el acceso a escritura (el comportamiento por defecto anterior).
• Dejó de imprimir el prompt para uso no interactivo de tftp(1).
• Se cambió rarpd(8) para solo develar /tftpboot si la opción -t es especificada.
• Se agregó autenticación de certificado de cliente y una SASL EXTERNAL opcional unida a ypldap(8).
• Se ajustó el ancho de dirección ipv6 para alinear el despliege de las columnas de mejor manera en la salida de ndp(8),route(8) y de netstat(1) como ya está disponible en el netstat de systat(1).
• Se usó stravis(3) para desinfectar URIs redirigidas desde el fetch de ftp(1) antes de imprimir.
• Se previene una colisión en unwind(8) cuando una consulta TCP es más grande que la longitud de campo indicado.
• Se preserva el orden original de los servidores de nombre como se configuró vía resolv.conf(5) en resolvd(8).
• Se restrigen los caracteres permitidos en los argumentos de nombre de host de getaddrinfo(3) al conjunto de [A-z0-9-_.]. Adicionalmente, dos puntos consecutivos ('.') no son permitidos y tampoco la cadena puede iniciar con un guión - o con un punto '.'. Esto elimina caracteres como '$', '`', '\n' or '*' que pueden pasar por el DNS sin problema pero que tiene un significado especial como en un shell.
• Se corrigió un númeo de lecturas fuera de los límites en parseo de respuestas DNS del resolvedor asincrono DNS en libc.
• Se agregó la opción -M (mac) a ifconfig(8) para encontrar la dirección mac en una interface e imprimirla.
• Se agregó soporte para configurar interfaces por lladdr para soportar configuración de interface unidas a un dispositivo específico de hardware. La parte "if" del archivo de configuración hostname.if(5) ahora puede ser una dirección MAC.
• Despliegue limitado de pares wireguard por parte de ifconfig(8) ya sea cuando una interface wireguard sea especificada o la bandera "-A" es usada.
• Se implementó la opción de anuncio de router según el RFC 8781 PREF64 en rad(8) el cual es usado para comunicar prefijos NAT64 a anfiriones.
• Se movio la documentación del mapeo de banderas desplegado por "route show" de la página de manual netstat(1) al de route(8).
• Mejoras en nc(1):
  • Deja de clamar el éxito en la conexión en modo UDP a menos que sea verdadera.
  • No prueba la conexión en modo no interactivo. La prueba escribe caracteres al socket que puede corromper datos que puede estar entubada dentro de nc.
  • Algo de refactorización y limpieza de código.
• Mejoras en acme-client(1):
  • Se agregó soporte para nuevas líneas dentro de los bloques de nombres alternativos en acme-client.conf(5).
  • Usa estructuras de datos apropiadas para recuperar nombres alternativos de asuntos en certificados en vez de imprimirlos a un buffer y tokenizar y parsear la cadena no documentada.
  • Se simplificó, corrigió y modernizó el uso de interfaces libcrypto.
  • Se taparon varias filtraciones de memoria.
  • Se usa ASN1_TIME_to_tm(3) en lugar de la versión enrollada a mano del hombre pobre.
  • Use timegm(3) en lugar de mktime(3) para eliminar variaciones en la zona de tiempo (time-zone).
  • Codifica entradas de Nombres de Asunto Alternativos (SAN) antes de imprimir.
  • Previene que acme-client(1) tenga una fuga de solicitud http get cuando reciba una redirección sin un ecabezado de ubicación.
• Se previno un aborto en smtpd(8) debido a una conexión desde una dirección ipv6 de alcance local.
• Se corrigió una dereferencia potencial NULL en un proceso hijo sin privilegios expandiendo %{mda} en smtpd(8).
• Se corrigió el orden de los argumentos para llamadas a shutdown(2) en el socket de ruteo de slaacd(8),dhcpleased(8) y unwind(8).
• Se hizo que sourceaddr de route(8) imprima la dirección usada por inet e inet6, o "default" si no se asigna una sourceaddr y el algoritmo por defecto es usado.
• Se agregó la opción -mpls al comando monitor de route(8). Este puede ser usado para restringir el despliegue de mensajes de ruteo a la familia de direcciones mpls.
• Se corrigió el manejo de números de puerto en rsync(1) en URLs rsync://host[:port]/module.
• Se hizó que tcpdrop(8) acepte la sintaxis de address.port al estilo de netstat.
• Se aseguró que pfctl(8) agregue correctamente direcciones a la tabla de undefined/inactive (no definido/inactivo).
• Se cambió tftpd(8) para que por defecto sea solo-lectura (read-only) a menos que -w se especificado para acceso con escritura (comportamiento por defecto anterior).
• Se cambió rarpd(8) para develar solamente /tftpboot si la opción -t es especificada.
• Se corrigió el ioctl DIOCIGETIFACES de tal forma que todas las interfaces de red son reportadas en pfctl(8). tmux(1) mejoras y correcciones de bug:
• Se agregaron comandos scroll-top y scroll-bottom tmux(1) para desplazar el cursor si esta hasta arriba o hasta el final respectivamente.
• Se agregó una bandera -T al captura de panel de tmux(1) para capturar hasta la última celda usada y no todo el ancho del panel.
• Se preservó el panel marcado cuando se renumean ventanas en tmux(1).
• Se agregó secuencias modificadas de teclas tab a tmux(1).
• Se cambió tmux(1) para asignar solamente la bandera extendida cuando se realizan búsquedas, lo cual permite funcionar a las teclas send (send-keys).
• Se agregó una bandera -l a tmux(1) para desplegar mensaje y de esa forma desactivar la expansión de formato.
• Se corrigió una colisión en tmux(1) cuando no hay buffers de ventana.
• Se corrigió tmux(1) C-S-Tab sin claves extendidas.
• Se agregó tmux(1) enviar-llaves (send-keys) -K para manejar llaves directamente como si fueran tecleadas.
• Se hizo que tmux(1) y sus llaves-tty (tty-keys) acepten \007 como terminador para OSC 10 u 11.
• Se hizo que tmux(1) reconozca secuencias de textos pegados entre corchetes, en lugar de solo reenviarlos desde el programa que está adentro.
• Se soportó -1 sin -N para lista de llaves en tmux(1).
• Se agregó una bandera a tmux(1) despliegue de menu (display-menu) para seleccionar el item del menu que se escogió primero.
• Se agregó soporte tecla Backtab (Backtab key) a tmux(1)
• Se desactivaron multiples seperadores de línea consecutivos en el menu tmux(1).
• Se extendió el despliegue de mensajes para que funcione con clientes de control en tmux(1).
• Se agregó -f a la lista de clientes (list-clients) entmux(1).
• Se agregó un modificar L a tmux(1) como P, W, S para recorrer de forma ciclica sobre los clienes.

• LibreSSL versión 3.7.2
  • Nuevas características
    • Se agregó soporte Ed25519 tanto como primitiva como vía interfaces EVP de OpenSSL.
    • X25519 ahora es soportado vía EVP.
    • La API para llaves públicas y privadas en crudo de OpenSSL 1.1 está disponible con soporte para EVP_PKEY_ED25519, EVP_PKEY_HMAC y EVP_PKEY_X25519. Poly1305 no esta soportado actualmente vía esta interface.
    • Se agregó conjunto de API EVP_CIPHER_meth_*().
    • Se agregaron varias funciones accesorias X.509.
  • Cambios de compatibilidad
    • BIO_read() y BIO_write() ahora se comporta más cercanamente a OpenSSL 3 en varios vasos límites.
  • Correcciones de Bugs
    • Se agregó EVP_chacha20_poly1305() a la lista de todos los cifradores.
    • Se corrigieron filtraciones potenciales de EVP_PKEY en varias funciones de impresión
    • Se corrigió fuga potencial en OBJ_NAME_add().
    • Se evitó desbordamiento firmado en i2c_ASN1_BIT_STRING().
    • Se limpiaron tablas y códigos de EVP_PKEY_ASN1_METHOD.
    • Se corrigieron bugs persistentes en BN_GF2m_poly2arr() y BN_GF2m_mod().
    • Se corrigieron fallos de segmentación en BN_{dec,hex}2bn().
    • Se corrigieron dereferencias NULL en x509_constraints_uri_host() alcanzables únicamente en el proceso de generar certificados.
    • Se corrigieron una variedad de problemas de corrupción de memoria en cadenas BIO viniendo de APIs antiguas y nuevas: BIO_push(), BIO_pop(), BIO_set_next().
    • Se evitó división potencial por cero en BIO_dump_indent_cb()
    • Se corrigió una filtración de memoria, una doble liberación y varios otros problemas en BIO_new_NDEF().
    • Se corrigieron varias colisiones en las herramientas de pruebas openssl(1).
    • No se verifican politicas por defecto en el nuevo verificador X.509.
    • Se evitó una colisión con ASN.1 BOOLEANS en el asn1parse de openssl(1).
    • Se agregó error de verificación perdido en PKCS7.
    • Se invoca CRYPTO_cleanup_all_ex_data() desde OPENSSL_cleanup().

---

Si lo deseas puedes votar por mi como witness para poder aumentar las capacidades de un servidor.

https://blurtwallet.com/~witnesses?highlight=cosmicboy123

Integrate al grupo de Telegram de @team-mexico 😀 donde yo y otros usuarios de México y de otros países de habla hispana compartimos experiencias y opiniones así como nuestros propios posts. Una gran iniciativa de @cristo

| 👉Entra a https://t.me/TeamMexico1 👈 |