FreeBSD México

Comunidad Mexicana de FreeBSD

OpenBSD 6.2 liberado! (9 de Octubre de 2017)

Esta es una traducción del siguiente sitio: http://www.openbsd.org/62.html

http://www.openbsd.org/images/puffy62.gif

 

Liberado el  9 de  Octubre de 2017
Copyright 1997-2017, Theo de Raadt.

6.2 Canción: llegará en Diciembre (coming in December).

  • Ver la información en la página FTP para una lista de servidores espejo.
  • Ir al directorio pub/OpenBSD/6.2/ en uno de los sitios espejo.
  • Echarle un vistazo a la página de errata del 6.2 por una lista de bugs y soluciones alternas.
  • Ver la bitácora de cambios detallados entre la liberación 6.1 y la 6.2.
  • signify(1) firmó las llaves públicas para esta liberación:
    base: RWRVWzAMgtyg7g27STK1h1xA6RIwtjex6Vr5Y9q5SC5q5+b0GN4lLhfu
    fw:   RWSbA8C2TPUQLi48EqHtg7Rx7KGDt6E/2d8OeJinGZPbpoqGRxA0N2oW
    pkg:  RWRvEq+UPCq0VGI9ar7VMy+HYKDrOb4WS5JLhdUBiX3qvJgPQjyZSTxI
    

    Todos los derechos de copia aplicables y los créditos están en los archivos src.tar.gz, sys.tar.gz, xenocara.tar.gz, ports.tar.gz o en los archivos obtenidos vía ports.tar.gz.

 


¿Qué hay de nuevo?

Esta es una lista parcial de las nuevas características y nuevos sistemas incluidos en OpenBSD 6.2. Para una lista detallada, ver el archivo changelog que encabeza a la liberación 6.2.Soporte

  • Soporte de hardware mejorado, incluyendo:
    • arm: Controlador nuevo rkgrf(4)  para el archivo de registro del Rockchip RK3399/RK3288.
    • arm: Controlador nuevo rkclock(4) para relojes de Rockchip RK3399/RK3288.
    • arm: Controlador nuevo rkpinctrl(4) para pines de control de Rockchip RK3399/RK3288.
    • arm: Controlador nuevo rkgpio(4) para GPIO en SoCS de Rockchip.
    • arm: Controlador nuevo rktemp(4) para sensores de temperatura de Rockchip RK3399.
    • arm: Controlador nuevo rkiic(4) para controladores Rockchip RK3399 I2C.
    • arm: Controlador nuevo rkpmic(4) para el Administración de Energía IC RK808.
    • arm: Controlador nuevo dwmmc(4) para controladores de Synopsis DesignWare SD/MMC.
    • arm: Controlador nuevo dwdog(4) para el temporizador watchdog de Synopsys DesignWare.
    • arm: Controlador nuevo dwxe(4) para la interfase Ethernet de Synopsys DesignWare.
    • arm: Controlador nuevo sxitwi(4) para los SoCS All winner del bus de dos-cables.
    • arm: Controlador nuevo axppmic(4) para el PMIC del AXP209 I2C.
    • arm: Controlador nuevo bcmaux(4) para los interruptores de relojes en dispositivos auxiliares UART y BCM2835.
    • arm: Controlador nuevo mvmpic(4) para un controlador de interrupción en Marvell ARMADA 38x.
    • arm: Controlador nuevo mvpxa(4) para el controlador anfitrión del SD en Marvell ARMADA 38x.
    • arm: Controlador nuevo mvpinctrl(4) para configurar pines en Marvell ARMADA 38x.
    • arm: Controlador nuevo mvneta(4) para el controlador Ethernet en Marvell ARMADA 38x.
    • arm: Controladores nuevos amdisplay(4) y nxphdmi(4) para el controlador LCD Texas Instruments AM335x.
    • octeon: Controlador nuevo octcib(4) controlador para el widget del bus interruptor en CN70xx/CN71xx.
    • octeon: Controlador nuevo octcit(4) para la unidad central de interrupción versión 3 en CN72xx/CN73xx/CN77xx/CN78xx.
    • octeon: Controlador nuevo octsctl(4) para el puente de control SATA OCTEON.
    • octeon: Controlador nuevo octxctl(4) para el puente de control USB3 para el OCTEON.
    • octeon: Los Rhino Labs Inc. SDNA Shasta y los EdgeRouters de Ubiquiti Networks 4 y 6 estan soportados ahora.
    • Nuevo controaldor hvs(4) para el almacenamiento Hyper-V.
    • Nuevo controlador pcxrtc(4) para el Reloj de Tiempo Real NXP PCF8563.
    • Nuevo controlador urng(4) para los dispositivos generadores de números aleatorios.
    • Soporte para Intel 8265 y 3168 fue agregado al controlador iwm(4).
    • Soporte para RTL8192CE fue agregado al controlador rtwn(4).
    • Soporte para RT5360 fue agregado al controlador ral(4).
    • Soporte RTS525A fue agregado al controlador rtsx(4).
    • El controlador acpibat(4) ahora soporta entradas _BIX del ACPI 4.0.
    • Soporte de hiberación ACPI fue agregado al controlador nvme(4).
    • El rendimiento de hibernación ACPI mejoró sustancialmente en el controlador ahci(4).
    • El controlador inteldrm(4) fue actualizado al código basado en el Linux 4.4.70 – ahora soporta dispositivos Skylake, Kaby Lake, y Cherryview y tiene mejor soporte para dispositivos Broadwell y Valleyview.
    • El controlador puc(4) soporta ahora dispositivos ASIX AX99100.
    • Soporte para plataforma Xen y el controlador xbf(4) en particular ha sido mejorado sustancialmente.
    • El controlador nvme(4) ahora reporta correctamente la dirección del último sector a SCSI, permitiendo que un GPT válido sea creado.
    • Se reparó mala configuración de ioapic(4).
  • vmm(4)/ vmd(8) tienen mejoras:
    • vmctl(8) soporta migración de VM pausada e instantaneas de memoria usando los comandos send y receive.
    • VPID/ASID reusar/regresar (reuse/rollover) en vmm(4).
    • SGABIOS importado como una opción de carga de ROM en SeaBIOS (para redirección de VGA o consola serial).
    • vmd(8) reinicia el invitado VM RTC (reloj de tempo real) al momento de resumir el anfitrión a partir de suspender/hibernar (suspend/hibernate) (solamente con invitados OpenBSD).
    • Permite a VMs invitadas acceder a las características AVX/AVX2 del CPU del anfitrión .
    • Soporte para anfitriones AMD SVM/RVI.
    • Permite mayores tamaños de memoria para VM invitado (hasta un MAXDSIZ de tamáño en invitados – p.ej. 32GB en anfitriones amd64).
    • Mejor manejo de instrucciones VM MONITOR/MWAIT y HLT en invitados (VMs).
    • Diversas mejoras en emulación de dispositivos en vmd(8).
    • Incremento del tamáño de cola en virtio(4)  proporcionado por vmd(8) desde 64 hasta 128 entradas, para incrementar el rendimiento.
    • Muchas correcciones en vmctl(8) y manejo de errores en vmd(8).
  • Mejoras en la pila de red inalámbrica IEEE 802.11:
    • El escalamiento de frecuencia TX en el MiRA 802.11n ahora soporta dispositivos con un número desigual de flujos Tx y Rx. Corrige el modo 11n para algunos dispositivos athn(8).
    • Los controladores iwn(8) e iwm(8) ahora iniciarán el escaneo de nuevos puntos de acceso inalámbrico si ya no reciben señales del AP (Punto de Acceso-Access Point) actual.
    • Se prefiere la banda de 5GHz sobre la banda de 2GHz durante la selección del punto de acceso.
    • Salida mejorada de depuración en dmesg(8) cuando una interfase inalámbrica es puesta en modo de depuración con ifconfig(8).
  • Mejoras genéricas en la pila de red:
    • Paquetes IP de entrada y reenviados ahora son procesados sin KERNEL_LOCK, resultando en un mejor rendimiento y latencia reducida.
    • El kernel ya no maneja la autoconfiguración de direcciones IPv6 sin estado (RFC 4862), permitiendo una limpieza y simplificación de la pila de red IPv6.
    • El kernel envía solicitudes de ruteador IPv6 para enlazar direcciones locales con una liga de dirección de orígen local.
    • El algoritmo FQ-CoDel ha sido implementado para uso con colas pf(4).
    • Verificaciones IPv6 mejoradas para políticas IPsec y las hace consistentes con IPv4.
    • Entrega del proceso de entrega de IP local refabricada en un flujo de paquetes IPsec y se evita ponerlas en cola por segunda vez.
    • pf(4) inspecciona ahora paquetes AH y los hace coincidir en el protocolo interno. Esto hace que los encabezados de autenticación IPv4 funcionen como IPv6.
    • La longitud de las cadenas de encabezado de extensión en pf(4) es limitada. Esto evita usar demasiado tiempo de CPU en paquetes elaborados.
    • Bloqueo de paquetes IPv6 en pf(4) que tienen un encabezado de opciones hop-by-hop (salto-por-salto) o un encabezado de opciones de destino. Tales paquetes pueden ser pasados por medio de agregar “allow-opts” a la regla. Esto hace que el manejo de opción IPv6 sea consistente con la de IPv4.
    • Si el ID de IPv4 es reutilizado demasiado rápido, pf(4) el reensamble de fragmento usa una estratégia más inteligente para desechar los paquetes.
    • Se habilitó el uso de caches por CPU en los ubicadores de paquetes de red.
  • Mejoras del Instalador:
    • El instalado ahora usa la Tabla de Ruteo de Asignación (ART).
    • Un solo kernel se crea por el instalador para arrancar después de un proceso de instalar/actualizar.
    • En la instalación de liberación de arquitecturas soportadas por syspatch, “syspatch -c” es agregado ahora al archivo rc.firsttime.
    • Código de compatibilidad hacia atras para soportar la palabra ‘rtsol’ en hostname.if(5) ha sido eliminada.
    • Los scripts  install.site y upgrade.site son ejecutados ahora al final del proceso de instalar/actualizar.
    • Información más detallada se muestra al identificar discos.
    • La selección del ruteador por defecto de IPv6 ha sido corregida.
    • En la plataforma amd64, AES-NI se usa si esta presente.
  • Daemons de ruteo y otras mejoras de red del entorno de usuario:
    • Un nuevo daemon, el slaacd(8) maneja la Autoconfiguración de Direcciones IPv6  Sin Estado (RFC 4862).
    • rtadvd(8) soporta ahora “Reducir el Consumo de Energía de Anuncios de Ruteador” (RFC 7772).
    • rtadvd(8) ha sido corregido para manejar rapidamente cambios de prefijo IPv6 en el sistema.
    • ipsecctl(8) puede mostrar ahora paquetes SA y la palabra clave “bundle” permite que sean creados de forma explicita. Esto evita confusión dado que antes eran usados implicitamente.
    • nc(1) ahora tiene una opción  -W recvlimit para terminar un netcat después de recibir el número especificado de paquetes. Esto permitirá enviar una solicitud UDP, una respuesta es recibida y el resultado revisado en la línea de comando.
    • nc(1) ahora tiene una opción -Z, permitiendo al certificado de par y la cadena ser salvados en un archivo con formato PEM.
    • Una nueva opción -T tlscompat ha sido agregado al comando nc(1), lo cual habilita el uso de todos los protocolos TLS y los cifradores libtls “compatibles”.
    • Varias condiciones de carrera han sido corregidas en relayd(8), expecialmente en modo HTTP troceado.
    • ndp(8) muestra ahora la información NDP relevante cuando corre en un dominio de ruteo que no sea por defecto.
    • ifstated(8) ahora puede lidiar con salidas/llegadas de la interfase.
    • bgpd(8) ahora puede ser iniciado multiples veces en diferente dominios de enrutamiento, esto proporciona la funcionalidad de ruteo virtual.
  • Mejoras en la seguridad:
    • Una nueva función freezero(3) para limpiar y liberar fácilmente memoria que retiene datos sensibles ha sido agregada.
    • Doble detección libre ha sido mejorada cuando la opción  F del malloc(3) es usada. La opción S existente ahora incluye F.
    • La tty ioctl TIOCSTI ha sido eliminada. Los ciclos I/O en los dos últimos consumidores csh(1) y mail(1) fueron reescritos para manejar la eliminación.
    • Trapsleds, una nueva mitigación que reduce significativamente la cantidad de nops en el flujo de instrucciones, reemplazandolos con instrucciones trampa (trap) o secuencias de saltar-sobre-trampa, por lo tanto requiriendo mayor precisión para apuntar a dispositivos potenciales.
    • Liga de dirección aleatoria de Kernel (Kernel Address Randomized Link (KARL)), un nuevo “kit-de-enlazamiento” (“link-kit”) permite a los archivos .o del kernel que sean re-enlazados en un orden aleatorio, creando un kernel único para cada arranque. /bsd ahora no es legible a los usuarios, para tratar de mantener el secreto.
    • Como con previas implementaciones de libc, rc(8) re-enlaza (re-links) libcrypto al momento de arrancar, colocando los objetos en orden aleatorio.
    • Adicionalmente a libcrypto, para prevenir el reuso de código por parte de vulnerabilidades, rc(8) re-enlaza ld.so en el arranque, colocando los objetos en orden aleatorio.
    • Si la auditoría de procesos esta activada con accton(8), el correo diario muestra una gran cantidad de violaciones e interrupciones de programas. lastcomm(1) usa las banderas P y T para tales procesos.
    • pflogd(8) usa el modelo fork+exec (derivar+ejecutar).
    • tcpdump(8) usa el modelo fork+exec (derivar+ejecutar).
    • ifstated(8) usa pledge(2).
    • snmpd(8) y snmpctl(8) ahora usan pledge(2).
    • Aprieta más la promesa (pledge) para at(1).
    • Lógica de promesa (pledge) corregida y simplificada para nc(1).
    • Mas aplicación de recallocarray(3) en entorno de usuario, y tamáños rastreados van a free(9) en el kernel.
    • Se lograron niveles más altos de paranoia en relación a la estrucutra de empacado, y se limpiaron muchos objetos del kerne antes de pasarlos al entorno de usuario.
    • Se desactivaron algunas optimizaciones en clang(1) debido a la incompatibilidad con la seguridad.
    • Por ejemplo, se enfrenta con la asunción de clang(1) que los objetos estáticos o constantes colocados en secciones desconocidas (tales como .openbsd.randomdata) seguramente son 0 todo el tiempo, y por lo tanto esos accesos de memoria pueden ser optimizados de inmediato.
    • En el kernel, aleatoreamente se envía hacia abajo la parte superior de la pila por cada kthread.
  • dhcpd(8)/ dhcrelay(8) mejoras diversas:
    • Se agregó soporte para la sentencia echo-client-id a dhcpd.conf(5).
    • Se tuvo mayor cuidado al procesar todos los datos leídos, y no solo datos leídos desde el socket bpf(4).
    • Uso de /dev/bpf en vez de /dev/bpf0.
    • Manejo de mensajes DHCPINFORM desde clientes detrás de un relé DHCP.
    • Se corrigió el manejo de interfases de carp(4) dentro de dhcrelay(8).
    • No detiene el registro de dhcrelay(8) hacia la stderr cuando es iniciado con la opción -d.
  • dhclient(8) mejoras diversas:
    • Los mensajes de bitácora se retrabajaron y aclararon, en particular por medio de poner prefijo del nombre de la interfase de red relevante.
    • Se da tratamiento al SSID como un dato binario de 0 a 32 bytes, y no como cadena de texto.
    • Se usa RTM_PROPOSAL para tomar control de una interfase en lugar de apagar y encender  interfases con la esperanza de que otras instancias de dhclient(8) lo noten.
    • Reduce la operaciones de archivo necesarias por medio de la opción -L por medio de abrir un archivo al momento del arranque y usarlo durante el tiempo de vida del proceso.
    • Se mejoró el manejo de resolv.conf(5) por medio de reducir las escrituras y determinar con más confianza cual interfase tiene el valor actual del ruteo por defecto.
    • Se tomó gran cuidado para procesar todos los datos leídos, no solo los datos leídos desde el socket bpf(4).
    • Se mejoró la determinación del estado del enlace de una interfase.
    • Se declina apropiadamente las ofertas de renta de direcciones tan pronto como ellas sean consideradas inapropiadas.
    • Se retiró el soporte de los formatos de marca de tiempo usados en archivos de renta creados hace más de 4 años.
    • Acepta una oferta del servidor que envió la primera copia de la oferta, no del servidor que envió la última copia.
    • No borra direcciones y rutas cuando termina.
    • Asegura que paquetes IPv6 no sean leídos desde sockets.
    • No ignora silenciosamente palabras clave obsoletas en dhclient.conf(5).
    • Reduce el uso de memoria por medio de reducir buffers de memoria estáticos sobredimensionados.
    • Elimina aperturas repetidas de socket por medio de abrir los sockets requeridos durante el arranque.
    • Se corrige la construcción de paquetes UDP unicast, rota en openbsd 5.6.
    • Se mejora la determinación de cuándo se requieren cambios en la configuración de la interfase cuando se renueva una renta de dirección.
    • No termina cuando direcciones son agregadas manualmente o borradas desde una interfase.
    • No soporta la opción 33, de direcciones IP de clase completa.
    • Se corrigió la configuración de rutas por defecto proporcionadas por opciones de ruteo sin clase.
    • Se considera el contenido de dhclient.conf(5) cuando se determina cual es el valor de MTU a configurar.
    • Se considera el contenido de dhclient.conf(5) cuando se crea el contenido de resolv.conf(5).
    • Se borran las rutas directas cuando las rutas son purgadas.
    • No se etiquetan rutas con “DHCLIENT nnnn”.
    • No se borran direcciones o rutas que serán agregadas inmediatamente.
    • Borra direcciones y rutas solo cuando la solicitu de eliminación es realizada con NAK.
    • No espera por siempre por información solicitada en la ruta por defecto.
    • No sale cuando un intento de enviar un paquete falla.
    • No registra el envío de un paquete cuando el envío falla.
    • Se elimina la opción -u, rota desde 2013 sin quejas de nadie.
    • Se usa /dev/bpf en lugar de /dev/bpf0.
  • Mejoras diversas:
    • Las plataformas i386 y amd64 han cambiado para usar clang(1) como el compilador base.
    • Edición mejorada de líneas UTF-8 con soporte para ksh(1) en modo de entrada Emacs y Vi.
    • El HISTFILE de ksh(1) ahora usa un formato de texto plano. Se agregó soporte para la variable de ambiente HISTCONTROL.
    • El rendimiento del descolocador de memoria usado por ksh(1) ha sido corregido.
    • La bandera emacs-usemeta de ksh(1)  ya no es necesaria y ahora esta obsoleta.
    • Nueva llamada de sistema futex(2).
    • Nuevas implementaciones de mutex de pthread y de variable de condición mejorando la latencia de aplicaciones con multiples hilos.
    • Nueva implementación POSIX de xlocale escrita desde cero, completa en el sentido de que todas las funciones POSIX *locale(3) y *_l(3) están incluidas, pero en OpenBSD, a nosotros solo nos interesa sobre LC_CTYPE y nosotros sólo soportamos ASCII y UTF-8.
    • Hibernación y suspención automática por parte de apmd cuando la batería esta baja.
    • Nuevas herramientas ctfdump(1) y ctfconv(1) para manipular CTF (Tipo de Formato Compact C).
    • El manejo de errores en syslogd(8) ha sido mejorado. Incluso si ocurren errores internos, el daemon intenta mantener activos los subsistemas no afectados. Así que se registran tantos mensajes como sea posible. Ellos pueden ser filtrados por severidad y facilidad con “syslog”.
    • syslogd(8) ahora puede suprimir “last message repeated (último mensaje repetido)” el cual es útil para registro remoto.
    • syslogd(8) puede escuchar en multiples sockets TLS.
    • syslogd(8) cierra los sockets *.514 UDP cuando no se necesiten.
    • Se truncan los mensajes de bitácora a 8192 bytes en todas partes.
    • newsyslog(8) ahora se salta y registra líneas de configuración no válidas.
    • Puntos de montaje anidados son desmontados en el orden correcto.
    • Corrección en la creación de volúmenes CONCAT de softraid(4).
    • Se incluyó información de volúmen y respaldo de disco en softraid(4) en mensajes de error de e/s (i/o).
    • Se hace que vioscsi(4) sea un dispositivo scsi(4) normal por medio de eliminar su uso del mecanismo obsoleto XS_NO_CCB.
    • Elimina los últimos vestigios del mecanismo en deshuso XS_NO_CCB.
    • El espacio de usuario puede obtener ahora la dirección del bloque de control del hilo de procesamiento sin una llamada del sistema en OCTEON II y posteriores.
    • FPU esta activado en OCTEON III.
    • Kernel GENERIC incluye ahora una sección .SUNW_ctf que contiene datos CTF.
    • Nuevo comando de ddb(4) el comando kill, envía una señal no atrapable SIGABRT a un proceso.
    • Nuevo comando de ddb(4) el comando pprint usando información CTF para (imprimir bonito) “pretty print” símbolos globales.
    • Nuevo comando de ddb(4) el comando show struct, usando información CTF para desplegar el contenido de estructuras internas de memoria C.
    • x86: ddb(4) usa datos CTF para desplegar el número correcto de argumentos de función en rastreos hacia atras.
    • Apaga todos los codecs en azalia(4) para evitar ruido de estática en bocinas y audífonos al momento de reiniciar.
    • Se corrige una regresión al momento de arrancar equipos i386 visto en algunos CPUs muy antiguos 486DX.
    • Nueva herramienta witness(4) para depurar problemas de orden de bloqueo en el kernel. La herramienta no está compilada por defecto, y sólo amd64, hppa e i386 estan soportados.
    • Se moderniza algunos comportamientos bizarros de tty por parte de getty(8).
    • Algunos cambios sutiles al comando pledge(2) para satisfacer requerimientos observados en el mundo real.
    • Se prefiere el uso de waitpid(2) en lugar de wait(3) donde sea posible, para evitar problemas con procesos-hijos preexistentes.
    • Se reescribieron franjas de código de llamadas de sistema “stub” dependientes de la máquina en ld.so(1) en una forma mucho más portable.
    • Caches por-CPU implementados en agrupaciones.
    • Mutex, condition-variable, thread-specific data, pthread_once(3), y pthread_exit(3) estas rutinas cambiaron a libc desde libpthread para facilidad de uso de bibliotecas y compatibilidad con otros SOs (Sistemas Operativos).
    • Se agregó getptmfd(3), fdopenpty(3), y fdforkpty(3) para simplificar la separación de privilegios y el uso de pledge(2).
    • Se mejoró la complejidad computacional en varios casos de strstr(3), qsort(3), y glob(3).
    • Se agregó soporte para EV_RECEIPT y EV_DISPATCH en kqueue(2).
    • Se agregó fktrace(2).
  • OpenSMTPD 6.0.0
    • Se corrigió un uno por uno en el parseador de la configuración que hace un puerto 65535 un puerto inválido.
    • Se corrigió una fuga de den el mecanismo de congestión de sesión.
    • Se corrigió una posible caida del sistema cuando realiza envío de relés con smtps.
    • Se eliminó soporte para la sintaxis “listen secure” (escuchar de forma segura) (explícitamente define en su lugar a dos servidores tls y smtps).
    • Se eliminó soporte experimental para filtros.
    • Limpieza y mejoras de código variado y de documentación.
  • OpenSSH 7.6
    • Seguridad:
      • sftp-server(8): en modo de sólo lectura, sftp-server tenía erroneamente permitida la creación de archivos de longitud cero.
    • Características Nuevas/Cambiadas:
      • Se agregó una opción de comando para RemoteCommand para especificar un comando en el archivo de configuración ssh(1) en lugar de darlo en la línea de comando del cliente. La característica permite automatizar tareas usando la configuración de ssh.
      • sshd(8): Se agregó la opción ExposeAuthInfo que activa detalles de escritura de los métodos de autenticación (incluyendo llaves públicas donde sea aplicable) a un archivo que esta expuesto por medio de la variable de ambiente $SSH_USER_AUTH en la sesión subsecuente.
      • ssh(1): se agregó soporte para reenvío dinámico inverso. En esta modalidad, ssh actuará como un proxy  SOCKS4/5 y reenviará las conexiones a destinos solicitados por el cliente SOCKS remoto. Este modo es solicitado usando la sintaxis extendida para las opciones  -R y RemoteForward y, debido a que es implementado solamente en el cliente, no requiere al servidor que sea actualizado para estar soportado.
      • sshd(8): permite la directiva LogLevel en sshd_config para que coincida los bloques.
      • ssh-keygen(1): permite la inclusión de cadenas arbitrarias o marcar extensiones de certificado y opciones críticas.
      • ssh-keygen(1): permite al ssh-keygen usar una clave retenida en ssh-agent como un CA cuando esta firmando certificados.
      • ssh(1)/sshd(8): permite “IPQoS=none” en ssh/sshd para no imponer un valor explícito ToS/DSCP y solo usar el sistema operativo por defecto.
      • ssh-add(1): agregó la opción -q para hacer ssh-add silencioso en caso de éxito.
      • ssh(1): Se expande la opción StrictHostKeyChecking con dos nuevas configuraciones. La primera “accept-new” (aceptar nuevo) aceptará automáticamente claves “hitherto-unseen” pero rechazará conexiones por llaves de host (hostkeys) cambiadas o inválidas. Este es un subconjunto más seguro del comportamiento actual de StrictHostKeyChecking=no. La segunda configuración “off”, es un sinónimo para el comportamiento actual de StrictHostKeyChecking=no: acepta nuevas clave de host, y continúa la conexión de hosts con claves de host incorrectas. Una liberación futura cambiará el significado de StrictHostKeyChecking=no al comportamiento de “accept-new” (aceptar nuevo).
      • ssh(1): Se agregó la opción SyslogFacility al ssh(1) coincidiendo la opción equivalente en sshd(8).
    • Los siguentes bugs significativos han sido corregidos en ésta liberación:
      • ssh(1): usa HostKeyAlias si se especifíca en lugar del hostname para hacer coincidir los nombres principales de certificado de host.
      • sftp(1): Se implementó el ordenamiento para ls englobados.
      • ssh(1): Se agregó un prefijo user@host a los mensajes “Permission denied” de clientes, útil en particular cuando se usan conexiones apiladas “stacked” (p.ej. ssh -J) donde no es claro cuál host está denegando.
      • ssh(1): acepta extensiones de volúmenes desconocidas EXT_INFO valores que contienen caracteres \0. Esto es legal, pero anteriormente podía causar errores fatales de conexión si se recibían.
      • ssh(1)/sshd(8): repara estadísticas de compresión desplegadas en la salida de la conexión.
      • sftp(1): Despliega ‘?’ en lugar de cuenta de enlace incorrecta (que el protocolo no proporciona) para listados remotos.
      • ssh(1): devuelve falla en lugar de fatal() para más casos durante negociaciones de sesión multiplexada. Provoca que la sesión regrese a una conexión no multiplexada (non-mux) si llegan a ocurrir.
      • ssh(1): se mencionó que el servidor puede enviar mensajes de depuración para explicar problemas de autenticación de llave pública bajo algunas circunstancias.
      • Se tradujeron códigos de error de OpenSSL para reportar mejor errores de frase clave incorrectos cuando se cargan llaves privadas.
      • sshd(8): se ajustaron patrones de compatibilidad para WinSCP para identificar correctamente versiones que implementan solamente el esquema de intercambio de grupo DH heredado.
      • ssh(1): despliega el mensaje “Killed by signal 1” (Liquidado por señal 1) solo en la versión detallada en LogLevel de tal forma que no es mostrado en el nivel por defecto; evita que aparezca durante la ejecución del comando ssh -J y a la configuración equivalente en ProxyCommand.
      • ssh-keygen(1): cuando se generan todas las claves de host (hostkeys) (ssh-keygen -A), elimina claves existentes si existen pero son de longitud cero. Claves de longitud cero pudieron ser generadas previamente si falla el ssh-keygen o fue interrumpido en la parte de la generación de ella.
      • ssh(1): corrigió violación de pledge(2) en la secuencia de escape “~&” usada para colocar la sesión actual en el segundo plano.
      • ssh-keyscan(1): evita double-close() en descriptores de archivo.
      • sshd(8): evita el confiar en el uso de apuntadores compartidos entre monitor y procesos hijos de sshd.
      • sshd_config(8): documento disponible sobre Métodos de Autenticación (AuthenticationMethods).
      • ssh(1): evita el truncado en algunos prompts de login.
      • ssh(1): hace”–” antes de que se procese el argumento de terminación del nombre del host y después del nombre del host también.
      • ssh-keygen(1): Se cambió de algoritmo aes256-cbc a aes256-ctr para la encripción llaves privadas al nuevo estilo. Corrige prolemas relacionados al manejo de llaves privadas por sistemas compilados pero no con OpenSSL.
      • ssh(1): advierte pero no intenta usar llaves cuando las mitades pública y privada no coinciden.
      • sftp(1): no despliega mensajes de error detalladados cuando ssh se desconecta desde sftp.
      • sshd(8): corrige problema de programación para mantener viva la conexión: y la actividad en un puerto redireccionado que evite que la señal para mantener viva la conexión sea enviada.
      • sshd(8): cuando se inicia sin privilegios de root,no require que el usuario o la ruta de separación de privilegios exista. Lo que hace que correr las pruebas de regresión sea más fácil sin tocar el sistema de archivos.
      • Hace que las pruebas de regresión de integrity.sh sean más robustas contra expiraciones de tiempo.
      • ssh(1)/sshd(8): arreglos de correciones para implementación de canales; acepta IDs de canales mayores que  0x7FFFFFFF.
  • LibreSSL 2.6.3
    • Se agregó soporte por medio de proporcionar CRLs a los libtls – una vez que un CRL es proporcionado por medio de tls_config_set_crl_file(3) o tls_config_set_crl_mem(3), la verificación de CRL esta activada y requerida por la cadena completa de certificado.
    • Se retrabajó el código de verificación de nombre TLS para ser más estricto siguiendo la RFC 6125.
    • Se limpió y simplificó el manejo EC del intercambio de llaves de servidor.
    • Se eliminó el manejo inconsistente IPv6 de las funciones BIO_get_accept_socket(), la  BIO_get_host_ip() simplificada y la del BIO_accept().
    • Se agregaron definiciones para tres OIDs usados en certificados EV.
    • Validación relajada SNI para permitir a clientes que no cumplen con la RFC usar direcciones IP literales con SNI para conectar a un servidor TLS basado en libtls.
    • Se agregó tls_peer_cert_chain_pem() a libtls, útil en llamadas de validación de certificado privado tales como aquellas que hay en relayd.
    • Se conviriteron secuencias explicitas clear/free (limpiar/liberar) para usar freezero(3).
    • Se corrigió el comando ca de openssl(1) de tal forma que ahora genera certificados con tiempo que se conforma al RFC 5280.
    • Se agregó ASN1_TIME_set_tm(3) para configurar un tiempo ASN.1 desde una estructura tm *.
    • Se agregaron funciones SSL{,_CTX}_set_{min,max}_proto_version(3).
    • Se importó HKDF (HMAC Función de Derivación de Llave) desde BoringSSL.
    • Se proporcionó una función tls_unload_file(3) que libera la memoria retornada desde una llamada de un tls_load_file(3) , asegurandose que el contenido se vuelva inaccesible.
    • Se implementó conteo de referencia para libtls tls_config, permitiendo a tls_config_free(3) ser llamado tan pronto como este sea pasado a la llamada final tls_configure(3), simplificando el rastreo del tiempo de vida para la aplicación.
    • Se descartaron suites de cifrado que usan autenticación DSS.
    • Se eliminó soporte para DSS/DSA desde libssl.
    • Se hace distinción entre certificados auto-emitidos y certificados autofirmados. El código de verificación de certificado tiene casos especiales para certificados autofirmados y sin este cambio, certificados auto-emitidos (los cuales parecen ser comunes con openvpn/easyrsa) tambien eran incluidos en esta categoría.
    • Se agregó un entorno para el manejo de una nueva extensión TLS  y se convirtieron todas las extensiones TLS que la usan.
    • Se mejoraron y agregaron muchas páginas de manual nuevas. Se actualizaron las p
    • aginas de manual de SSL_{CTX_,}check_private_key(3) con cuidados especiales en relación a su uso.
    • Se limpió y simplificó el manejo de la configuración de la llave/curva EC.
    • Se agregó tls_config_set_ecdhecurves(3) a libtls, lo cual permite a los nombre de las curvas elipticas que se especificarán, que pueden ser usadas durante el intercambio de llaves cliente y servidor.
    • Se convirtieron más rutas de código para usar CBB/CBS.
    • Se eliminó soporte NPN – NPN nunca fue estandarizado y el último borrador expiró en Octubre de 2012.
    • Se eliminó la solución alterna para el bug SSL_OP_CRYPTOPRO_TLSEXT_BUG por parte de clientes CryptoPro antiguos/rotos.
    • Se eliminó el soporte para la extensión de relleno de TLS, la cual fue agregada como una solución alterna para un antiguo bug en la terminación F5 de TLS.
    • Se agregó la habilidad para atrapar valores notafter (no después) en certificados para sistemas con un time_t de 32-bit. Esto es necesario para conformarse a la RFC 5280 4.1.2.5.
    • Se eliminó la suite de cifrado original (pre-IETF) chacha20-poly1305.
    • Se reclasificó ECDHE-RSA-DES-CBC3-SHA de HIGH (ALTO) a MEDIUM (MEDIO).
    • Proporciona un error útil con libtls si no hay URLs OCSP en un certificado de pares.
    • Sigue el rastro de cuales pares de llaves estan en uso por un contexto TLS, corrigiendo un bug donde un servidor TLS con SNI puede no retornar solamente la grapa de OCSP para el par de llaves por defecto.
    • Si se llamó a la función tls_config_parse_protocols(3) con un puntero NULL ahora retorna los protocolos por defecto.
  • mandoc 1.14.3
    • Bases de datos completas mandoc.db(5) estan disponibles por defecto, permitiendo búsquedas semánticas con  apropos(1) sin ningún cambio en la configuración local.
    • Integración total de la antigua herramienta mdoclint(1) dentro de mandoc(1)  Niveles de mensajes -Wall, nuevo -Wstyle y -Wopenbsd, y muchos mensajes nuevos, por ejemplo sobre algunos errores de dedo en líneas .Sh , destinos desconocidos .Xr, y enlaces a si mismo.
    • Pasos adicionales unificando los parseadores mdoc(7), man(7), y roff(7): uso de un tipo de dato comun y ohash_init(3) para todas las solicitudes y macros y soporte de creación de nodos de árbol de sintaxis en el parseador roff(7), permitiendo el soporte para muchas características nuevas de bajo nivel roff(7). Ahora Solo unos 25 puertos requieren aún USE_GROFF.
    • Muchas mejoras de parseo y formateo para  tbl(7), incluyendo el reacomodo automático de líneas dentro de columnas de tabla.
    • Muchas mejoras en el parseo y formateo para eqn(7) , incluyendo mejor selección de tipos de letra, reconocimiento de nombres de funciones matemáticas bien conocidas, y la escritura de etiquetas <mn> y <mo> de HTML.
    • Rendereo inteligible de simbolos matemáticos en la salida -Tascii.
    • Muchas mejoras de parseo y rendereo para el macro .Lk  mdoc(7) .
    • Algunas mejoras de CSS en la salida HTML, en particular para el macro .Bl mdoc(7) .
  • Puertos y paquetes:
    Una cantidad masiva de correcciones relativas a clang ocurrieron entre 6.1 y 6.2.
    Muchos paquetes precompilados para cada arquitectura:
    • aarch64: 7942
    • alpha: 7426
    • amd64: 9728
    • arm: 7939
    • hppa: 6260
    • i386: 9685
    • mips64: 7972
    • mips64el: XXXX
    • powerpc: XXXX
    • sparc64: XXXX
    Algunos puntos sobresalientes:
    • AFL 2.51b
    • CMake 3.9.3
    • Chromium 61.0.3163.100
    • Emacs 21.4 y 25.3
    • GCC 4.9.4
    • GHC 7.10.3
    • Gimp 2.8.22
    • GNOME 3.24.2
    • Go 1.9
    • Groff 1.22.3
    • JDK 8u144
    • KDE 3.5.10 y 4.14.3 (más actualizaciones del núcleo KDE4)
    • LLVM/Clang 5.0.0
    • LibreOffice 5.2.7.2
    • Lua 5.1.5, 5.2.4, y 5.3.4
    • MariaDB 10.0.32
    • Mozilla Firefox 52.4.0esr y 56.0.0
    • Mozilla Thunderbird 52.2.1
    • Mutt 1.9.1 y NeoMutt 20170912
    • Node.js 6.11.2
    • Ocaml 4.03.0
    • OpenLDAP 2.3.43 y 2.4.45
    • PHP 5.6.31 y 7.0.23
    • Postfix 3.2.2 y 3.3-20170910
    • PostgreSQL 9.6.5
    • Python 2.7.14 y 3.6.2
    • R 3.4.1
    • Ruby 1.8.7.374, 2.1.9, 2.2.8, 2.3.5 y 2.4.2
    • Rust 1.20.0
    • Sendmail 8.16.0.21
    • SQLite3 3.20.1
    • Sudo 1.8.21.2
    • Tcl/Tk 8.5.19 y 8.6.6
    • TeX Live 2016
    • Vim 8.0.0987
    • Xfce 4.12
  • Como de costumbre, mejoras contínuas en páginas de manual y otra documentación.
  • El sistema incluye la los siguientes componentes mayores de proveedores externos:
    • Xenocara (basado en X.Org 7.7 con xserver 1.18.4 + parches, freetype 2.8.0, fontconfig 2.12.4, Mesa 13.0.6, xterm 330, xkeyboard-config 2.20 y más)
    • LLVM/Clang 4.0.0 (+ parches)
    • GCC 4.2.1 (+ parches) y 3.3.6 (+ parches)
    • Perl 5.24.2 (+ parches)
    • NSD 4.1.17
    • Unbound 1.6.6
    • Ncurses 5.7
    • Binutils 2.17 (+ parches)
    • Gdb 6.3 (+ parches)
    • Awk versión de Ago 10, 2011
    • Expat 2.2.4

Cómo Instalar

Por favor refierase a los siguientes archivos en el sitio espejo para detalles exahustivos de cómo instalar OpenBSD 6.2 en tu máquina:


Información para instalación rápida para personas familiarizadas con OpenBSD, y el uso del comando “disklabel -E”. Si se encuentra totalmente confundido al instalar OpenBSD, lea el archivo relevante INSTALL.* como se listó arriba!

OpenBSD/alpha:

  • Grabe floppy62.fs o floppyB62.fs (dependiendo de su máquina) en un diskette y teclee boot dva0. Refierase al archivo INSTALL.alpha para más detalles.
  • Asegurese de que se utilice un floppy formateado apropiadamente sin BLOQUES MALOS o su instalación muy probablemente fallará.

OpenBSD/amd64:

  • Si su máquina puede arrancar desde CD, usted puede grabar install62.iso o cd62.iso en un CD y arranque desde él. Y Usted puede necesitar ajustar sus opciones de BIOS primero.
  • Si su máquina puede arrancar desde una memoria USB, usted puede grabar install62.fs o miniroot62.fs en una memoria USB y arranque desde él.
  • Si no se puede arrancar desde un CD, floppy disk, o memoria USB, usted puede instalar a traves de la red usando PXE como se describe en el documento incluido en el archivo INSTALL.amd64.
  • Si estas planeando un arranque dual de OpenBSD con otro SO, usted necesitará leer el archivo INSTALL.amd64.

OpenBSD/arm64:

  • Grabe miniroot62.fs a un disco y arranque desde él después de conectar la consola en el puerto serial . Refierase al archivo INSTALL.arm64 para más detalles.

OpenBSD/armv7:

  • Grabe un miniroot de sistema específico a una tarjeta SD y arranque desde él después de conectar la consola del puerto serial. Refierase al archivo INSTALL.armv7 para más detalles.

OpenBSD/hppa:

OpenBSD/i386:

  • Si su máquina puede arrancar desde un CD, usted puede grabar el archivo install62.iso o cd62.iso en un CD y arrancar desde él. Puede ser que necesite ajustar sus opciones de BIOS primero.
  • Si su máquina puede arrancar desde una memoria USB, usted puede grabar el archivo install62.fs o miniroot62.fs a una memoria USB y arrancar desde ahí.
  • Si no puede arrancar desde un CD, floppy disk, o memoria USB, usted puede instalar a traves de la red usando PXE como se describe in el documento incluido en INSTALL.i386.
  • Si esta planeando un arranque dual entre OpenBSD y otro SO, necesitará leer el archivo INSTALL.i386.

OpenBSD/landisk:

  • Grabe el archivo miniroot62.fs al principio del CF o disco, y arranque normalmente.

OpenBSD/loongson:

  • Grabe el archivo miniroot62.fs a una memoria USB y arranque bsd.rd desde él o arranque bsd.rd vía tftp. Refierase a las instrucciones en INSTALL.loongson para más detalles.

OpenBSD/luna88k:

  • Copie `boot’ y `bsd.rd’ a una partición Mach o UniOS, y arranque el cargador desde el PROM, y entonces el bsd.rd desde el cargador de arranque. Refierase a las instrucciones en INSTALL.luna88k para más detalles.

OpenBSD/macppc:

  • Grabe la imágen desde un sitio espejo a un CDROM, y encienda su equipo mientras presiona la tecla C hasta que la pantalla se encienda y muestre OpenBSD/macppc boot.
  • De forma alternativa, en el prompt del Open Firmware teclee boot cd:,ofwboot /6.2/macppc/bsd.rd

OpenBSD/octeon:

  • Después de conectar un puerto serial, arranque bsd.rd a traves de la red vía DHCP/tftp. Refierase a las instrucciones en INSTALL.octeon para más detalles.

OpenBSD/sgi:

  • Para instalar, grabe el archivo cd62.iso en un CD-R, pongalo en la unidad de CD de su equipo y seleccione  Install System Software desde el menú de mantenimiento del sistema. Los sistemas Indigo/Indy/Indigo2 (R4000) no arrancarán automáticamente desde un CD-ROM, y necesitaran una invocación apropiada desde el prompt del PROM. Refierase a las instrucciones en el archivo INSTALL.sgi para más detalles.
  • Si su máquina no tiene una unidad de CD, puede configurar un servidor de red DHCP/tftp, y arrrancar usando  “bootp()/bsd.rd.IP##” usando el kernel que coincida con su tipo de sistema.
  • Refierase a las instrucciones en el archivo INSTALL.sgi para más detalles.

OpenBSD/sparc64:

  • Grabe la imágen desde el sitio espejo en un CDROM, arranque desde el, y teclee boot cdrom.
  • Si esto no funciona, o si no tiene una unidad CDROM, puede grabar en un diskette la imagen floppy62.fs o floppyB62.fs (dependiendo de su máquina) y arranque desde él con el comando boot floppy. Refierase al archivo INSTALL.sparc64 para más detalles.
  • Asegurese de usar disketes formateados apropiadamente que NO TENGAN BLOQUES MALOS o su instalación muy probablemente fallará.
  • También puede grabar el archivo miniroot62.fs en la partición swap en el disco y arrancar con el comando boot disk:b.
  • Si nada funciona, usted puede arrancar desde la red como se describe en INSTALL.sparc64.

Cómo actualizar

Si ya tiene un sistema OpenBSD 6.1, y no quiere reinstalar, las instrucciones de actualización y consejos pueden encontrarse en la  Guía de Actualización.


Notas sobre el código fuente

src.tar.gz este archivo contiene un archivo de código fuente empezando en /usr/src. Este archivo contiene todo lo que necesita excepto las fuentes del kernel, las cuales vienen en un archivo separado. Para extraer teclee lo siguiente:

# mkdir -p /usr/src
# cd /usr/src
# tar xvfz /tmp/src.tar.gz

sys.tar.gz contiene el archivo de código fuente empezando en /usr/src/sys. Este archivo contiene todas las fuentes del kernel que necesitas para recompilar kernels. Para extraer teclee lo siguiente:

# mkdir -p /usr/src/sys
# cd /usr/src
# tar xvfz /tmp/sys.tar.gz

Ambos árboles de código son verificaciones regulares CVS. Usando estos árboles es posible empezar el uso de servidores anoncvs como se describe aquí. Usar estos archivos resulta en una actualización CVS más rápida de la que podría esperar de una verificación fresca de todo el árbol de código fuente de OpenBSD.


Árbol de Puertos

Un archivo del árbol de puertos también se proporciona. Para extraerlo teclee:

# cd /usr
# tar xvfz /tmp/ports.tar.gz

Lea la página de ports si no sabe nada de los ports hasta este momento. Este texto no es un manual de cómo usar los ports. En lugar de ello, es un conjunto de notas dirigidas para impulsar a un usuario en el sistema de ports de OpenBSD.

El directorio ports/ representa una verificación CVS de nuestros puertos. Así como de nuestra árbol de código completo, nuestro árbol de puertos esta disponible vía AnonCVS. Así que, para mantenerlo actualizado con la rama  -stable , necesita hacer que el árbol de ports/ esté disponible en un medio de lectura-escritura y actualizar el árbol con un comando como el siguiente:

# cd /usr/ports
# cvs -d anoncvs@server.openbsd.org:/cvs update -Pd -rOPENBSD_6_2

[Por supuesto, usted debe reemplazar el nombre del servidor aquí con el de un servidor anoncvs cercano a usted.]

Note que la mayoría de los ports estan disponibles en paquetes en nuestros servidores espejo. Puertos actualizado para la liberación 6.2 se harán disponibles si surge algun problema.

Si esta interesado en ver un puerto agregado, o quiere contribuir, o solo conocer más, la lista de correo de ports@openbsd.org es un buen lugar para comenzar.

 

_________________________

Nos leeremos en el siguiente artículo!

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mis cuentas de BitCoin o LiteCoin:

BTC:   37Eyuc6a9YFw3NYAWriBRdsNztjeUCjeBY

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

http://busterfaucet.com/?ref=14747

_________________________

 Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIX, Linux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric@freebsd.mx, eric_delacruz@yahoo.com y en eric@iteso.mx y en twitter: @COSMICBOY123 y en Steemit  https://steemit.com/@cosmicboy123

No Responses to “OpenBSD 6.2 liberado! (9 de Octubre de 2017)”

No comments have been made on this post



Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*