OpenBSD 7.4 já foi lançado e essas são suas novidades

David Y. Naranjo

Minutos 5

OpenBSD 7.4

Banner do OpenBSD 7.4

O lançamento da nova versão do OpenBSD 7.4, Sendo esta a quarta parcela do desenvolvimento deste ramo 7.x em que foram apresentadas grandes melhorias na parte de suporte, bem como em segurança, portas e muito mais.

Para quem não conhece o OpenBSD, você deve saber que É um sistema operacional semelhante ao Unix, gratuito e de código aberto. software focado em segurança que pertence à família de sistemas operacionais BSD e é conhecido por seus componentes que se difundiram em outros sistemas e provaram ser uma das soluções mais seguras e de mais alta qualidade.

Principais Novos Recursos do OpenBSD 7.4

Nesta nova versão que é apresentada Destacam-se melhorias de suporte para novo hardware, Desde que novos drivers foram incluídos, o instalador melhorou o suporte para RAID de software, bem como a capacidade de colocar a partição raiz em softraid em sistemas riscv64 e arm64, além de arm64, suporte para criptografia de disco guiada.

Também se destaca suporte inicial para TSO e LRO para processamento de segmentos e agregação de pacotes no lado da NIC, carregamento acelerado de regras de filtragem de pacotes PF do kernel usando o utilitário pfctl e processamento habilitado de ações “keep state” e “nat-to” para mensagens de erro retornadas via ICMP.

Para arquiteturas AMD64 e i386, componentes adicionados para atualizar o microcódigo para processadores AMD. Novas versões de microcódigo Eles são instalados automaticamente quando baixados. A porta "ports/sysutils/firmware/amd" foi preparada para distribuir arquivos binários com microcódigo. A instalação do novo microcódigo é feita usando o utilitário fw_update padrão. Também para AMD64 e i386, foi implementado suporte ao pseudo dispositivo dt para organizar o monitoramento dinâmico do sistema e dos aplicativos. Adicionada a chamada de sistema utrace para inserir entradas de usuário no log do ktrace.

Do lado do kernel e do espaço do usuário, nesta nova versão do OpenBSD 7.4, a implementação do framework drm está sincronizado com o kernel Linux 6.1.55, com desempenho aprimorado em sistemas com processadores Intel baseados nas microarquiteturas Alder Lake e Raptor Lake. euOs mecanismos de proteção IBT e BTI estão habilitados para bloquear violações de fluxo de controle resultantes da utilização de exploits que modificam ponteiros de função armazenados na memória (a proteção implementada não permite que códigos maliciosos saltem para o centro da função).

Melhorias foram feitas no hipervisor VMM. vmd implementa suporte para um modelo multithread para dispositivos virtio de rede e bloco, e suporte para entrada/saída vetorial no modo de cópia zero foi adicionado ao dispositivo virtio de bloco. O acesso dos sistemas convidados aos modos p-state dos processadores AMD é limitado. Os proprietários de máquinas virtuais podem substituir o kernel de inicialização usando vmctl.

Nos sistemas arm64, a autenticação do ponteiro está habilitada para proteger o espaço do usuário. A tecnologia permite que instruções ARM64 especializadas sejam usadas para verificar endereços de retorno usando assinaturas digitais armazenadas nos bits superiores não utilizados do ponteiro.

Além disso, destaca-se também que o as configurações do compilador do sistema clang, bem como as portas clang e gcc, foram alteradas para aplicar os mecanismos de proteção anteriores, o que fortaleceu significativamente a proteção de todos os aplicativos básicos e da maioria dos aplicativos portuários contra explorações que usam métodos de programação orientados ao retorno.

Nota-se também que um nova chamada de sistema kqueue1, que difere de kqueue na passagem do sinalizador. Atualmente, kqueue1 suporta apenas o sinalizador O_CLOEXEC para fechar automaticamente os descritores de arquivo em um processo filho após chamar exec().

Do outras mudanças que se destacam:

  • O utilitário wsconsctl adicionou a capacidade de atribuir botões a serem pressionados com dois ou três dedos em um painel de controle.
  • Adicionado suporte inicial para VPNs IPsec baseadas em rotas.
  • O desempenho do rpki-client foi aumentado em 30-50%.
  • Adicionado suporte para compactação gzip e deflate.
  • Instalação aprimorada em sistemas com processadores armv7 e arm64.
  • Adicionado suporte para carregar arquivos da partição do sistema EFI.
  • Adicionada função malloc para verificar todos os blocos na lista de desalocação de memória lenta para identificar situações de gravação na área de memória liberada.
  • O comando shutdown agora requer que o usuário seja adicionado ao grupo "_shutdown", permitindo a separação das permissões de desligamento e leitura direta dos dispositivos de disco.
  • Ao usar a chamada de sistema de revelação, o utilitário patch está limitado a acessar apenas o diretório atual, o diretório que contém os arquivos temporários e os arquivos listados na linha de comando.
  • Quando você configura um endereço IPv6 em uma interface de rede, um anúncio é enviado aos roteadores vizinhos usando um endereço multicast.
  • Correções foram portadas do FreeBSD para resolver comportamento indefinido ao usar sistemas de arquivos MS-DOS.
  • A opção de montagem softdep usada para write-back de metadados agrupados foi desativada.
  • Os programas protegidos com a chamada de sistema unvel podem salvar core dumps no diretório de trabalho atual.
  • A arquitetura ARM64 usa a capacidade de entrar em estados ociosos profundos, disponível nos chips Apple M1/M2, para economizar energia e implementar o modo de espera.
  • Adicionada proteção alternativa contra a vulnerabilidade Zenbleed em processadores AMD.
  • Os cálculos de soma de verificação IP, TCP e UDP estão desabilitados para interfaces de loopback.

Por fim, se estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir