KARL - kernel address randomized link https://t.co/WBF4sb2LSW

— OpenBSD Journal (@openbsdjournal) June 13, 2017

Theo de Raadt, az OpenBSD projekt vezetője tegnap arról számolt be az openbsd-tech@ levelezési listán, hogy az elmúlt három hétben egy új randomizálási technikán dolgozik. A KARL néven futó új biztonsági funkció célja az OpenBSD kernel védelme. A KARL működéséről részletesen itt lehet olvasni.

Az OpenBSD projekt mögött álló The OpenBSD Foundation-t nem csak nagy cégek, hanem a közösség is támogatja. A közösség tagjaitól érkező adományok ebben az évben már akkora összeget tettek ki, amellyel a közösség - 2017 elsőként - az alapítvány arany fokozatú támogatójává vált. Az alapítvány reméli, hogy a közösség a 2016-os évhez hasonlóan idén is eljut az Iridium (100 000 dollár vagy több) támogatói szintre.

Ezzel azonban az alapítvány még messze van a 2017-re kitűzött céljától, a 300 ezer dollártól.

Adományozni lehet itt.

Az OpenBSD projekt befejezte a CD-s kiadások terjesztését. Az OpenBSD 6.1 már úgy jelent meg, hogy nem lehetett CD-n megrendelni. Mindössze egyetlen aláírt CD-készlet készült, amelynek artwork-jét személyesen Theo de Raadt, a projekt alapítója készítette. Erre a készletre az eBay-en lehet licitálni még pár napon keresztül. A licit jelenleg 1 055 445 HUF értéken áll. Licitálni május 13-ig lehet itt.

Goodbye SSH version 1 - Anyone still using you has been delusional for a very long time. https://t.co/43EgGta16k

— Bob Beck (@bob_beck) April 30, 2017

Az OpenBSD projekt korábbi ígéretéhez híven dobta az SSHv1 támogatást.

djm@ changed usr.bin/ssh: remove SSHv1 ciphers; ok markus@

— OpenBSD src Changes (@OpenBSD_src) April 30, 2017

Részletek Damien Miller commitlogjában.

deraadt@ modified share/mk/bsd.own.mk: ship clang with i386 and amd64. It does not become the main compiler YET. ok kettenis

— OpenBSD src Changes (@OpenBSD_src) April 18, 2017

Egy commit sorozat következtében amd64 és i386 platformokon megjelent a clang az OpenBSD (-current) alaprendszerben. Ahogy Theo de Raadt fogalmazott: nem elsődleges fordítóprogram MÉG.

On OpenBSD CDs: “Most things come to an end, sorry” https://t.co/fMMma7Cb4d

— Hacker News (@newsycombinator) April 16, 2017

Azoknak, akik hozzám hasonlóan lemaradtak róla... Theo de Raadt tegnap egy felhasználói kérdésre felelve kifejtette, hogy miért van vége az OpenBSD CD-knek. Részletek Theo levelében.

Az OpenBSD fejlesztők nevében Theo de Raadt bejelentette az OpenBSD 6.1 elérhetőségét:

A bejelentés elolvasható itt. Letölthető a tükörszerverekről.

Bejelentették az OpenSSH 7.5-ös verzióját. A kiadás főként hibajavításokat tartalmaz. A kiadással megszűnt UsePrivilegeSeparation sshd_config opció, így a privilege separation kötelezővé vált. A következő nagyobb kiadásban, ami június és augusztus közt várható, eltávolítják az SSH v.1 protokoll maradékát is.

Részletek a bejelentésben.

Az OpenSSH csapat bejelentette az OpenSSH 7.4 elérhetőségét. A kiadás bejelentésében felhívják a figyelmet arra, hogy a soron következő kiadásokban több elavult kripto funkció, feature is nyugdíjazásra kerül. Többek közt:

• 2017 augusztusában környékén eltávolítják az SSH v.1 protokoll maradékát (csak kliens oldali, fordítási időben letiltott jelenleg) is
• ugyanabban a kiadásban búcsúzik a Blowfish / RC4 / RIPE-MD160 HMAC
• elutasításra kerülnek a 1024 bitnél kisebb RSA kulcsok
• a következő kiadástól megszűnik a priv. sep. nélkül futó sshd támogatása
• stb.

Részletek a bejelentésben.

Sikeresen teljesítette, illetve jelentősen túlszárnyalta az OpenBSD Foundation a 2016-ra előirányzott pénzgyűjtési kampányát. 250 ezer dollárt szeretett volna az alapítvány összekalapozni erre az évre, de a Smartisan nagylelkű, 280 ezer kanadai dolláros támogatásával 525 ezer dollárt mutat jelenleg az egyenleg. Ezzel az adománnyal a Smarisan lett az első "Iridium" szintű támogató az OpenBSD Foundation történetében. Érdekesség, hogy a tavaly "Gold" szponzori szerepben feltűnő Microsoft idén is támogatja az alapítványt, de már csak "Silver" minőségben.

Szemfülesek észrevették ezt a commitot, ami arra utal, hogy az openbsd.org nyitóoldalán felbukkant egy link, ami a GitHub egyik oldalára, a github.com/openbsd oldalra mutat. A nevezett oldalon az OpenBSD hivatalos forrásának mirrorja található. Azért érdekes, hogy a projekt nyitóoldalára felkerült a GitHub link, mert nemrég még elég ellenséges volt a GitHub fogadtatása egyes OpenBSD fejlesztők körében.

@phessler Still a lot to do, but it seems stable enough for people to use for more than just toy stuff now. Working on bug backlog :)

— Mike Larkin (@mlarkin2012) October 12, 2016

Az OpenBSD felhasználók régóta szerettek volna egy natív OpeBSD-s hypervisor-t. Egyszer valaki vett egy sört Mike Larkin fejlesztőnek. Így kezdődött a vmm, azaz a Virtual Machine Monitor története. Mike a Brisbane 2015 Hackathon alatt kezdte el fejleszteni és az első commit-re 2015 őszén már sor is került. Azóta folyt a fejlesztés és mostanra addig jutott, hogy nemrég engedélyezték az OpenBSD fejlesztők amd64-en. Munka akad még vele jócskán, de a szerző szerint már elég stabil a szélesebb körű teszteléshez.

Öt OpenBSD 6.0 CD-ROM készletet írt alá 40 OpenBSD fejlesztő Cambrigde-ben megrendezett g2k16 Hackathon ideje alatt.

Nemrég volt szó arról, hogy az LLVM projekt újralicencelést tervez, vagyis az eddig használt BSD-stílusú NCSA licencét a szabadalmi kérdések szempontjából jobb Apache 2.0 licencre cserélné. Ennek ismeretében Benjamin Sauerhaft Coplon azt a kérdést tette fel az openbsd-misc levelezési listán, hogy ez a licencváltás milyen következményekkel járna az OpenBSD projektre nézve.

Ingo Schwarze fejlesztő a kérdésre azt válaszolta, hogy az OpenBSD projekt szempontjából rossz lenne, ha az LLVM licencet váltana, mert le kéne ragadniuk a licencváltás előtti legutolsó verziónál és úgy járnának, mint ahogy a gcc-vel jártak:

Theo de Raadt szintén hozzászólt a témafelvetéshez és nem festett túl jó képet a tervezett licencváltással kapcsolatban...

A Zaurus és sparc platformok dobása nyomán felszabadult "helyet" az OpenBSD projekt felhasználta az LLVM alaprendszerbe emelésére. Részlet Pascal Stumpf commitjének CVS logjából:

Philip Guenther commit-je nyomán eltávolításra került az OpenBSD-ből a Zaurus platform támogatása:

Az OpenBSD fejlesztők nevében Theo de Raadt bejelentette az OpenBSD 6.0 elérhetőségét:

A bejelentés elolvasható itt. Letölthető a tükörszerverekről.

Nyilvánvaló karbantartás hiánya miatt Theo de Raadt úgy döntött, hogy letiltja az OpenBSD fejlesztői ágában a tempfs támogatást:

CVSROOT:	/cvs
Module name:	src
Changes by:		2016/07/25 13:52:56

Modified files:
	sys/conf       : GENERIC 

Log message:
disable tmpfs because it receives zero maintainance.

Patrick Wildt (patrick@) munkája nyomán kezdeti Raspberry Pi 2 / 3 támogatás érkezett az OpenBSD -current ágába:

Damien Miller bejelentette, hogy elérhető az OpenSSH 7.3-as kiadása. A bejelentésben előzetes figyelmeztetés olvasható arról, hogy a fejlesztői csapat milyen elavult kripto funkciók kivezetését tervezi rövid- és középtávon:

• Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits)
• Removing server-side support for the SSH v.1 protocol (currently compile-time disabled).
• In approximately 1 year, removing all support for the SSH v.1 protocol (currently compile-time disabled).

Részletek a bejelentésben.

Közeledik az OpenBSD soron következő őszi kiadása (tervezett kiadási dátum: 2016. szeptember 1.), így nem meglepő, hogy Theo de Raadt aktiválta az OpenBSD 6.0 előrendelési oldalát. Az OpenBSD 6.0 telepítőkészlet előrendelhető 35 fontos áron. A CD-n négy architektúrához - i386, amd64, macppc, sparc64 - találhatók meg a teljes telepítőkomponensek. A 6.0-ban érkező újdonságokról (majd) itt lehet tájékozódni.

Theo de Raadt frissíti az OpenBSD.org 60.html oldalát és a CVS log - valamit a nevezett weboldal szerint is - a megszokottnál jóval előbb, 2016. szeptember 1-én fog megérkezni az OpenBSD soron következő, 6.0-s kiadása:

CVSROOT:	/cvs
Module name:	www
Changes by:		2016/07/23 08:18:28

Modified files:
	.              : 60.html 

Log message:
the 6.0 release date will come as a surprise

Theo de Raadt úgy döntött, hogy az usermount - lehetővé teszi !root felhasználók számára fájlrendszerek felcsatolását - funkciónak nincs helye a biztonságot komolyan vevők gépén, ezért az eltávolításra kerül az OpenBSD-ből:

Theo döntésével számos fejlesztő egyetértett. Az OpenBSD 6.0-ban a kern.usermount értéke figyelmen kívül lesz hagyva, a későbbi kiadásokból pedig a kern.usermount rendszerváltozó hiányozni fog.

Részletek itt.

A dotsecurity.io konferencián Theo de Raadt, az OpenBSD projekt vezetője tartott előadást az OpenBSD két biztonsági megoldásáról, a Privilege Separation-ről és pledge-ről.

A Sigreturn Oriented Programming (SROP) egy újszerű exploitálási technika UNIX-szerű rendszereken. Róla bővebben Erik Bosman és Herbert Bos "Framing Signals—A Return to Portable Shellcode" munkájában lehet olvasni. A SROP elleni mitigációs megoldás felbukkant már a Linux körül is, bár beolvasztásra még nem került.

Theo de Raadt előállt a saját, OpenBSD-hez készített javaslatával. Ugyan még széles körű tesztnek nem vetették alá, de draftnak már megállja a helyét. Részletek Theo levelében.