Anuncio de la Liberación de OpenBSD 7.5, Parte 3

in blurthispano •  8 months ago 


image.png

Buenos días/tardes/noches estimados blurters, en este post continuamos con la tercera parte del anuncio de la liberación de OpenBSD 7.5, esperamos que les guste la información.

  • Mejoras en la pila inalámbrica IEEE 802.11 y correcciones de bugs :
    • Se ignoran configuraciones de canal ancho de 40/80 MHz que no aparecen en las especificaciones 802.11ac. Esto previene errores de firmware en dispositivos los cuales ocurren cuando un punto de acceso inalámbrico anuncia una configuración de canal no válido.
  • Instalador, mejoras en actualización y cargador de arranque:
    • Se agregó soporte para encripción de disco en instalaciones desatendidas con autoinstall(8), tanto con una frase secreta en texto plano o un disco llave (keydisk).
    • Se eliminaron respuestas por defecto en el archivo de respuesta de autoinstall(8) de tal forma que ahora solo llena con valores que no sean por defecto.
    • Se hizo que fw_update(8) verifique per no sobreescriba ek archivo SHA256.sig.
    • Salida mejorada en fw_update(8) en errores y mejoró el manejo de errores de ftp.
    • Se agregó soporte en el instalador para encriptar el disco raíz con un disco llave.
    • Se previno el re-inicio la actualización automática en octeon y powerpc64, como ya se ha hecho en otras plataformas.
    • Se agregaron imagenes de instalación de CD para arm64.
    • Se creo el archivo de imagen booteable iso de CD de amd64 cdXX.iso y el archivo installXX.iso en modo EFI (por medio de crear una partición de sistema EFI conteniendo los cargadores de arranque EFI que serán instalados como una imagen de arranque de "El Torito").
  • Mejoras de Seguridad:
    • Se introdujo pinsyscalls(2): El kernel y ld.so(1) registran la ubicación de la entrada precisa de cada llamada de sistema usada por un programa, como se describe en la nueva sección ELF .openbsd.syscalls dentro de ld.so y libc.so. ld.so usa la nueva llamada de sistema pinsyscalls(2) para indicar al kernel la ubicación precisa de la entradea de las llamadas del sistema en libc.so.

      Intentar usar una instrucción de llamada de sistema diferente para realizar una operación de llamada de sistema no correspondiente fallará totalmente y el proceso será terminado con la señal SIGABRT.
    • Se eliminó el soporte para syscall(2), la "llamada de sistema con dirección indirecta," una alternativa peligrosa como punto de entrada para todas las llamadas de sistema.

      Junto con pinsyscalls(2) este cambio permite el realizar llamadas de sistema por medio de otra manera distinta a la de las funciones de envoltura de llamada de sistema de libc.

      Usuarios de syscall(2), tales como Perl y el lenguaje de programación Go fueron convertidos para usar las funciones de libc.
    • Se agregó pledge(2) stdio antes de parsear mensajes pfkey para ipsecctl(8) -m y -s.
    • Se apretó más al pledge(2) en pax(1) en modos Lista (List) y Anexar (Append).
    • Se Crearon versiones __OpenBSD de la implementación guardían (guard) de llvm cxa usando futex(2) con el número correcto de argumentos sin usar syscall(2).
    • Mejoras en la Autenticación de Punteros (Pointer Authentication (PAC)) y la Identificación de Rama Objetivo (Branch Target Identification (BTI)) en arm64.
  • Cambios en la pila de red:
    • Se activa el soporte IPv6 en ppp(4)
    • Zocalo (Socket) con tipo de paquete secuenciado y finalización de manejo de mensaje de control registrado correctamente.
    • La tabla de ruteo tiene un numero de generación. Que significa que rutas cacheadas en zocalos serán invalidadas cuando la tabla de ruteo cambie. Especialmente con daemons de ruteo dinámico, conexiones locales usan la ruta actualizada al momento.
    • Los aciertos y fallas en el cache de Ruteo son impresas en estadísitcas netstat(1).
    • Se previno que wg(4) quede atorado al destruirse el par.
    • Se hace que umb(4) borre cualquier dirección v4 existente antes de asignar una nueva, permitiendo mantener una ruta por defecto funcional cuando cambien las direcciones.
    • Se reenvía TCP LRO disabilitando a dispositivos padre y desabilitando TCP LR0 en vlan(4) puenteada y sale por defecto para bpe(4),nvgre(4) y vxlan(4).
    • Se corrigió condición de carrera entre ifconfig(8) la destrucción de una interfase y el temporizador ARP.
  • Se agregaron contadores de estadísticas para el caché de ruteo, reportando aciertos y perdidas en el caché. Esto se muestra en netstat(1) con netstat -s.
  • Los siguientes cambios fueron realizados al muro de fuego (firewall) pf(4):
    • tcpdump en la interfase pflog(4) muestra paquetes descartados por la regla por defecto con la acción bloquear "block". A pesar de que las reglas por defecto es una regla dejar pasar "pass", esta bloquea paquetes mal formados. Sin embargo esto se registra en la bitácora correctamente.
    • Ajustes para mantener alerta al muro de fuego respecto a cambios relativos de MP en la pila de red.
    • Se corrigió el manejo de multiples opciones -K(-k) en pfctl(8), así que el comportamiento ahora coincide con lo que se describe en el manual.
    • Se hizo que pfctl(8) muestre todas las tablas en todas las anclas con pfctl -a "*" -sT.
    • Se agregó verificación para asegurar que pfctl(8) con la opción -f no acepte un directorio e instale un conjunto de reglas vacías.
    • Se agregó validación para opciones de paquete IPv4 en divert(4).
  • Daemons de ruteo y otras mejoras de red en el entorno de usuario:
    • Soporte para IPsec fue mejorado:
      • Se hizo que iked(8) siempre prefiera el grupo de la carga útil inicial KE como respondedor si es soportado.
      • Se corrigió la renovación de certificados expirados en iked(8).
      • Se agregó un mensaje de depuración en iked(8) cuando no se encuentre una política.
      • Se implementó una peerid (id de par) por conexión en iked(8) para control de respuestas.
      • Se hizo que iked(8) desencadene una retransmisión solo por fragmento 1/x para evitar que cada fragmento recibido desencadene retransmision de la cola de fragmento completa.
      • Se evita los bucles de ruteo por medio de descartar paquetes ya encriptados que van de nuevo a traves de sec(4).
    • En bgpd(8),
      • Se reescribió el mecanismo interno de pase de mensaje para que use una nueva API de memoria segura.
      • Se reescribió la mayoría de los parseadores de protocolo para que usen la nueva API de memoria segura. Convierte el parseador de UPDATE (ACTUALIZAR), todo los RTR, así como también ambos códigos de descartado MRT en bgpd y en el parseador bgpctl.
      • Se mejoró el registro de bitácora de RTR, manejo de error y negociación de versión.
    • rpki-client(8) vío este y otros cambios adicionales:
      • Se agregó la habilidad de restringir la autoridad de firmado efectivo del Ancla de Confianza RPKI a un conjunto limitado de números de Internet. Esto permite el confiar en terceros para disfrutar de los beneficios potenciales de asumir confianza, pero dentro de un alcance limitado.
      • Siguiendo un mensaje 'failed fetch' (recuperación fallida) (descrita en el RFC 9286), emite una advertencia y continúa con archivo de manifiesto previamente en caché.
      • Emite una advertencia cuando el repositorio remoto presenta un Manifiesto con un manifestNumber (número de manifiesto) inesperado.
      • Verificación de extensión CRL mejorada.
      • Soporte experimental para el algoritmo de firmado P-256.
      • Una recuperación fallida de manifiesto podría resultar en una desreferencia de apuntador NULL o un uso posterior a la liberación.
      • Rechaza elementos delta RRDP no conformados que no contienen ni una publicación ni un elemento de retirada o retroceso y regresa a la instantanea RRDP.
      • Refactorado y correcciones menores de bug en el despliegue de funciones de advertencia.
      • El manejo de manifiestos recuperados vía rsync o RRDP fue retrabajado para conformarse completamente al RFC 9286.
      • Se corrigió una condición de carrera entre cerrar una conexión colgada y programar una nueva solicitud en ella.
      • El tiempo de evaluación especificado con -P ahora aplica también a los certificados ancla de confianza.
      • Verifica que el eContent completo del CMS fue consumido. Previamente, datos de seguimiento eran descartados silenciosamente en la deserialización de productos.
      • El modo en archivo no considera el sobreclamdo de certificados CA intermedios cómo válido. La advertencia OAA aún se sigue emitiendo.
      • Imprime el tiempo de revocación en el modo archivo.
      • Se tiene más cuidado cuando se convierte identificadores numéricos (NIDs) a cadena de texto.
      • Se agregó soporte para Listas de Prefijos Firmados RPKI.
      • Se agregó una bandera -x para optar dentro del parseado y evolución de tipos de archivo que aún se considera experimental.
      • Se agregó una métrica para rastrear el número de nuevos archivos que fueron movidos a un caché validado.
      • Se aseguró que la lista de FileAndHashes en un manifiesto no contenga nombres de archivo duplicados y no tengan hashes duplicados.

En el siguiente post continuarémos con la cuarta parte de este anuncio abarcando el aspecto de las mejoras del sistema, asi como la instalación de este sistema operativo.

Este post es una traducción del anuncio original que se encuentra en la siguente liga:

https://www.openbsd.org/75.html


Si lo deseas puedes votar por mi como witness para poder aumentar las capacidades de un servidor.

https://blurtwallet.com/~witnesses?highlight=cosmicboy123


image.png

Integrate al grupo de Telegram de @team-mexico 😀 donde yo y otros usuarios de México y de otros países de habla hispana compartimos experiencias y opiniones así como nuestros propios posts. Una gran iniciativa de @cristo


image.png

| 👉Entra a https://t.me/TeamMexico1 👈 |

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE BLURT!