OpenBSD

KARL - kernel address randomized link

 ( trey | 2017. június 14., szerda - 7:50 )

Theo de Raadt, az OpenBSD projekt vezetője tegnap arról számolt be az openbsd-tech@ levelezési listán, hogy az elmúlt három hétben egy új randomizálási technikán dolgozik. A KARL néven futó új biztonsági funkció célja az OpenBSD kernel védelme. A KARL működéséről részletesen itt lehet olvasni.

Az OpenBSD közösség a The OpenBSD Foundation arany fokozatú támogatójává vált 2017-ben

 ( trey | 2017. május 10., szerda - 13:11 )

Az OpenBSD projekt mögött álló The OpenBSD Foundation-t nem csak nagy cégek, hanem a közösség is támogatja. A közösség tagjaitól érkező adományok ebben az évben már akkora összeget tettek ki, amellyel a közösség - 2017 elsőként - az alapítvány arany fokozatú támogatójává vált. Az alapítvány reméli, hogy a közösség a 2016-os évhez hasonlóan idén is eljut az Iridium (100 000 dollár vagy több) támogatói szintre.

Ezzel azonban az alapítvány még messze van a 2017-re kitűzött céljától, a 300 ezer dollártól.

Adományozni lehet itt.

Még pár napig lehet licitálni az egyetlen hivatalos OpenBSD 6.1-es CD-készletre

 ( trey | 2017. május 7., vasárnap - 9:01 )

Hivatalos OpenBSD 6.1 CD-készlet - az egyetlen

Az OpenBSD projekt befejezte a CD-s kiadások terjesztését. Az OpenBSD 6.1 már úgy jelent meg, hogy nem lehetett CD-n megrendelni. Mindössze egyetlen aláírt CD-készlet készült, amelynek artwork-jét személyesen Theo de Raadt, a projekt alapítója készítette. Erre a készletre az eBay-en lehet licitálni még pár napon keresztül. A licit jelenleg 1 055 445 HUF értéken áll. Licitálni május 13-ig lehet itt.

Az OpenBSD dobta az SSHv1 támogatást

 ( trey | 2017. május 2., kedd - 14:28 )

Az OpenBSD projekt korábbi ígéretéhez híven dobta az SSHv1 támogatást.

Részletek Damien Miller commitlogjában.

amd64 és i386 platformon megjelent a clang az OpenBSD (-current) alaprendszerben

 ( trey | 2017. április 21., péntek - 19:59 )

Egy commit sorozat következtében amd64 és i386 platformokon megjelent a clang az OpenBSD (-current) alaprendszerben. Ahogy Theo de Raadt fogalmazott: nem elsődleges fordítóprogram MÉG.

Vége az OpenBSD CD-knek

 ( trey | 2017. április 17., hétfő - 9:56 )

Azoknak, akik hozzám hasonlóan lemaradtak róla... Theo de Raadt tegnap egy felhasználói kérdésre felelve kifejtette, hogy miért van vége az OpenBSD CD-knek. Részletek Theo levelében.

OpenBSD 6.1

 ( trey | 2017. április 11., kedd - 16:08 )

Az OpenBSD fejlesztők nevében Theo de Raadt bejelentette az OpenBSD 6.1 elérhetőségét:

Idézet:
Örömmel jelentjük be az OpenBSD 6.1 hivatalos kiadását. Ez a 42. kiadásunk. Továbbra is büszkék vagyunk az OpenBSD azon rekordjára, hogy több mint 20 év alatt csak két távolról kihasználható hibát tartalmazott alapértelmezett telepítés esetén.

A bejelentés elolvasható itt. Letölthető a tükörszerverekről.

OpenSSH 7.5

 ( trey | 2017. március 20., hétfő - 20:30 )

Bejelentették az OpenSSH 7.5-ös verzióját. A kiadás főként hibajavításokat tartalmaz. A kiadással megszűnt UsePrivilegeSeparation sshd_config opció, így a privilege separation kötelezővé vált. A következő nagyobb kiadásban, ami június és augusztus közt várható, eltávolítják az SSH v.1 protokoll maradékát is.

Részletek a bejelentésben.

OpenSSH 7.4

 ( trey | 2016. december 19., hétfő - 18:49 )

Az OpenSSH csapat bejelentette az OpenSSH 7.4 elérhetőségét. A kiadás bejelentésében felhívják a figyelmet arra, hogy a soron következő kiadásokban több elavult kripto funkció, feature is nyugdíjazásra kerül. Többek közt:

  • 2017 augusztusában környékén eltávolítják az SSH v.1 protokoll maradékát (csak kliens oldali, fordítási időben letiltott jelenleg) is
  • ugyanabban a kiadásban búcsúzik a Blowfish / RC4 / RIPE-MD160 HMAC
  • elutasításra kerülnek a 1024 bitnél kisebb RSA kulcsok
  • a következő kiadástól megszűnik a priv. sep. nélkül futó sshd támogatása
  • stb.

Részletek a bejelentésben.

Megjelent az első "Iridium" szintű támogató az OpenBSD Foundation mögött

 ( trey | 2016. november 24., csütörtök - 14:07 )

Sikeresen teljesítette, illetve jelentősen túlszárnyalta az OpenBSD Foundation a 2016-ra előirányzott pénzgyűjtési kampányát. 250 ezer dollárt szeretett volna az alapítvány összekalapozni erre az évre, de a Smartisan nagylelkű, 280 ezer kanadai dolláros támogatásával 525 ezer dollárt mutat jelenleg az egyenleg. Ezzel az adománnyal a Smarisan lett az első "Iridium" szintű támogató az OpenBSD Foundation történetében. Érdekesség, hogy a tavaly "Gold" szponzori szerepben feltűnő Microsoft idén is támogatja az alapítványt, de már csak "Silver" minőségben.

Megjelent az OpenBSD a GitHub-on

 ( trey | 2016. október 18., kedd - 10:08 )

Szemfülesek észrevették ezt a commitot, ami arra utal, hogy az openbsd.org nyitóoldalán felbukkant egy link, ami a GitHub egyik oldalára, a github.com/openbsd oldalra mutat. A nevezett oldalon az OpenBSD hivatalos forrásának mirrorja található. Azért érdekes, hogy a projekt nyitóoldalára felkerült a GitHub link, mert nemrég még elég ellenséges volt a GitHub fogadtatása egyes OpenBSD fejlesztők körében.

Engedélyezték a vmm-et az OpenBSD-ben

 ( trey | 2016. október 13., csütörtök - 13:46 )

Az OpenBSD felhasználók régóta szerettek volna egy natív OpeBSD-s hypervisor-t. Egyszer valaki vett egy sört Mike Larkin fejlesztőnek. Így kezdődött a vmm, azaz a Virtual Machine Monitor története. Mike a Brisbane 2015 Hackathon alatt kezdte el fejleszteni és az első commit-re 2015 őszén már sor is került. Azóta folyt a fejlesztés és mostanra addig jutott, hogy nemrég engedélyezték az OpenBSD fejlesztők amd64-en. Munka akad még vele jócskán, de a szerző szerint már elég stabil a szélesebb körű teszteléshez.

Fejlesztők által aláírt OpenBSD 6.0 Limited Edition CD-készlet eBay árverésen

 ( trey | 2016. október 1., szombat - 15:59 )

OpenBSD 6.0 Limited Edition CD-készlet

Öt OpenBSD 6.0 CD-ROM készletet írt alá 40 OpenBSD fejlesztő Cambrigde-ben megrendezett g2k16 Hackathon ideje alatt.

Rossz hír az OpenBSD számára, hogy az LLVM projekt Apache licencre váltana

 ( trey | 2016. szeptember 28., szerda - 12:58 )

Nemrég volt szó arról, hogy az LLVM projekt újralicencelést tervez, vagyis az eddig használt BSD-stílusú NCSA licencét a szabadalmi kérdések szempontjából jobb Apache 2.0 licencre cserélné. Ennek ismeretében Benjamin Sauerhaft Coplon azt a kérdést tette fel az openbsd-misc levelezési listán, hogy ez a licencváltás milyen következményekkel járna az OpenBSD projektre nézve.

Ingo Schwarze fejlesztő a kérdésre azt válaszolta, hogy az OpenBSD projekt szempontjából rossz lenne, ha az LLVM licencet váltana, mert le kéne ragadniuk a licencváltás előtti legutolsó verziónál és úgy járnának, mint ahogy a gcc-vel jártak:

Idézet:
If LLVM would move to the Apache 2 license, we would become unable to use versions released after that change, and would be stuck with version released before the change, just like we are stuck with pre-GPLv3 gcc now. So it would be very bad for us.

Theo de Raadt szintén hozzászólt a témafelvetéshez és nem festett túl jó képet a tervezett licencváltással kapcsolatban...

Beolvasztották az LLVM/Clang-et az OpenBSD alaprendszerbe

 ( trey | 2016. szeptember 6., kedd - 11:47 )

A Zaurus és sparc platformok dobása nyomán felszabadult "helyet" az OpenBSD projekt felhasználta az LLVM alaprendszerbe emelésére. Részlet Pascal Stumpf commitjének CVS logjából:

Idézet:
CVSROOT:	/cvs
Module name:	src
Changes by:		2016/09/03 16:47:02

Log message:
    Use the space freed up by sparc and zaurus to import LLVM.
    
    ok hackroom@

    Status:
    
    Vendor Tag:	LLVM
    Release Tags:	LLVM_3_8_1

    [...]

Az OpenBSD dobta a Zaurus platform támogatását

 ( trey | 2016. szeptember 4., vasárnap - 19:12 )

Philip Guenther commit-je nyomán eltávolításra került az OpenBSD-ből a Zaurus platform támogatása:

Idézet:
CVSROOT:	/cvs
Module name:	src
Changes by:		2016/09/03 07:37:46

[…]

Log message:
Retire zaurus, as it hasn't made the EABI jump and will be permanently broken shortly when we use the hardware thread register in userland

OpenBSD 6.0

 ( trey | 2016. szeptember 1., csütörtök - 12:46 )

Az OpenBSD fejlesztők nevében Theo de Raadt bejelentette az OpenBSD 6.0 elérhetőségét:

Idézet:
Örömmel jelentjük be az OpenBSD 6.0 hivatalos kiadását. Ez a 40. kiadásunk CD-ROM-on (és a 41. FTP-n keresztül). Továbbra is büszkék vagyunk az OpenBSD azon rekordjára, hogy több mint 20 év alatt csak két távolról kihasználható hibát tartalmazott alapértelmezett telepítés esetén.

A bejelentés elolvasható itt. Letölthető a tükörszerverekről.

Féllábbal kilóg már a tmpfs az OpenBSD-ből

 ( trey | 2016. augusztus 15., hétfő - 7:37 )

Nyilvánvaló karbantartás hiánya miatt Theo de Raadt úgy döntött, hogy letiltja az OpenBSD fejlesztői ágában a tempfs támogatást:

CVSROOT:	/cvs
Module name:	src
Changes by:		2016/07/25 13:52:56

Modified files:
	sys/conf       : GENERIC 

Log message:
disable tmpfs because it receives zero maintainance.

Kezdeti Raspberry Pi 2 / 3 támogatás érkezett az OpenBSD-be

 ( trey | 2016. augusztus 10., szerda - 14:23 )

Patrick Wildt (patrick@) munkája nyomán kezdeti Raspberry Pi 2 / 3 támogatás érkezett az OpenBSD -current ágába:

Mark Kettenis írta:
Initial support for Raspberry Pi 2/3. All the hard work done by patrick@, I
just cleaned things up a bit. Any bugs introduced in that process are
entirely mine.

This doesn't work yet. But when it does, you'll need recent firmware from
the Raspberry Pi Foundation git repository at

https://github.com/raspberrypi/firmware

The device tree for the Raspberry Pi is somewhat in flux as bits and pieces
to support the Raspberry Pi 2 and 3 are committed to the mainline Linux
kernel.

OpenSSH 7.3

 ( trey | 2016. augusztus 2., kedd - 7:49 )

Damien Miller bejelentette, hogy elérhető az OpenSSH 7.3-as kiadása. A bejelentésben előzetes figyelmeztetés olvasható arról, hogy a fejlesztői csapat milyen elavult kripto funkciók kivezetését tervezi rövid- és középtávon:

  • Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits)
  • Removing server-side support for the SSH v.1 protocol (currently compile-time disabled).
  • In approximately 1 year, removing all support for the SSH v.1 protocol (currently compile-time disabled).

Részletek a bejelentésben.

Elindult az OpenBSD 6.0 előrendelése

 ( trey | 2016. július 27., szerda - 7:52 )

OpenBSD 6.0

Közeledik az OpenBSD soron következő őszi kiadása (tervezett kiadási dátum: 2016. szeptember 1.), így nem meglepő, hogy Theo de Raadt aktiválta az OpenBSD 6.0 előrendelési oldalát. Az OpenBSD 6.0 telepítőkészlet előrendelhető 35 fontos áron. A CD-n négy architektúrához - i386, amd64, macppc, sparc64 - találhatók meg a teljes telepítőkomponensek. A 6.0-ban érkező újdonságokról (majd) itt lehet tájékozódni.

Szeptember 1-én érkezik az OpenBSD 6.0

 ( trey | 2016. július 25., hétfő - 13:12 )

Theo de Raadt frissíti az OpenBSD.org 60.html oldalát és a CVS log - valamit a nevezett weboldal szerint is - a megszokottnál jóval előbb, 2016. szeptember 1-én fog megérkezni az OpenBSD soron következő, 6.0-s kiadása:

CVSROOT:	/cvs
Module name:	www
Changes by:		2016/07/23 08:18:28

Modified files:
	.              : 60.html 

Log message:
the 6.0 release date will come as a surprise

Eltávolítják az usermount funkciót az OpenBSD-ből

 ( trey | 2016. július 19., kedd - 8:51 )

Theo de Raadt úgy döntött, hogy az usermount - lehetővé teszi !root felhasználók számára fájlrendszerek felcsatolását - funkciónak nincs helye a biztonságot komolyan vevők gépén, ezért az eltávolításra kerül az OpenBSD-ből:

Idézet:
kern.usermount=1 is unsafe for everyone, since it allows any non-pledged program to call the mount/umount system calls. There is no way any user can be expected to keep their system safe / reliable with this feature. Ignore setting to =1, and after release we'll delete the sysctl entirely. ok lots of people

Theo döntésével számos fejlesztő egyetértett. Az OpenBSD 6.0-ban a kern.usermount értéke figyelmen kívül lesz hagyva, a későbbi kiadásokból pedig a kern.usermount rendszerváltozó hiányozni fog.

Részletek itt.

[Videó] Theo de Raadt - Privilege Separation és Pledge

 ( trey | 2016. május 25., szerda - 21:12 )

A dotsecurity.io konferencián Theo de Raadt, az OpenBSD projekt vezetője tartott előadást az OpenBSD két biztonsági megoldásáról, a Privilege Separation-ről és pledge-ről.

Kezdeti állapotú SROP mitigációs megoldást commitoltak az OpenBSD-be

 ( trey | 2016. május 12., csütörtök - 12:37 )

A Sigreturn Oriented Programming (SROP) egy újszerű exploitálási technika UNIX-szerű rendszereken. Róla bővebben Erik Bosman és Herbert Bos "Framing Signals—A Return to Portable Shellcode" munkájában lehet olvasni. A SROP elleni mitigációs megoldás felbukkant már a Linux körül is, bár beolvasztásra még nem került.

Theo de Raadt előállt a saját, OpenBSD-hez készített javaslatával. Ugyan még széles körű tesztnek nem vetették alá, de draftnak már megállja a helyét. Részletek Theo levelében.