OpenBSD 7.6 bringt viele Verbesserungen
Hauptentwickler Theo de Raadt hat OpenBSD in Version 7.6 angekündigt. Für die diversen Plattformen bringt die neue Version zahlreiche Verbesserungen mit.
Hauptentwickler Theo de Raadt hat OpenBSD in Version 7.6 angekündigt. Für die diversen Plattformen bringt die neue Version zahlreiche Verbesserungen mit.
Die FreeBSD Foundation hat bekannt gegeben, dass der deutsche Sovereign Tech Fund (STF) 686.400 Euro in das FreeBSD-Projekt investieren wird.
Die FreeBSD Community Survey wurde im Februar 2024 online durchgeführt.
Die Entwickler von OpenBSD, der auf Sicherheit getrimmten BSD-Variante, haben die Version 7.5 veröffentlicht.
Das NetBSD Project hat mit NetBSD 10.0, die achtzehnte Hauptversion des NetBSD-Betriebssystems, angekündigt. Diese beinhaltet die kumulativen Verbesserungen des Betriebssystems seit NetBSD 9.3.
Mit der Unterstützung von Rust im Basissystem von FreeBSD könnten viele Anwendungen auf die sichere Sprache portiert werden.
Das Team von OpenBSD will den Syscall-Aufruf komplett aus seinem System entfernen. Das soll Exploits deutlich erschweren.
Das auf Sicherheit fokussierte Open-Source-Betriebssystem OpenBSD möchte den Systemaufruf Syscall komplett aus dem eigenen Kernel und der Standard-C-Bibliothek entfernen. Das kündigt der Begründer und Leiter von OpenBSD, Theo de Raadt, auf der Mailingliste des Projekts an und verschickt dazu auch passende Änderungsdateien. Ziel dieser tiefgreifenden Änderung ist, wie es bei dem Projekt zu erwarten ist, die Sicherheit zu erhöhen.
Mit Hilfe des Syscall-Aufrufs können die anderen Systemaufrufe des Betriebssystems indirekt über eine Zahl aufgerufen werden, die die entsprechende Assembler-Sprache der genutzten Plattform unterstützen muss. Dafür gibt es Tabellen, welche etwa im Fall von OpenBSD bis zur Gründung des Projekts zurückreichen. Die Idee des Syscall-Aufrufs ist dabei noch deutlich älter und stammt dabei aus dem originalen BSD von Anfang der 80er Jahre, ist seitdem aber auch von anderen unixartigen Systemen implementiert worden. In der Linux-Dokumentation etwa heißt es, der Aufruf sei sinnvoll für den Fall, falls der gewünschte Systemaufruf über keine eigene Wrapper-Funktion in der C-Bibliothek verfüge.
De Raadt begründet den Schritt mit dem Ziel, möglichst viele Aktionen unterbinden zu wollen, die bei der Ausnutzung einer Sicherheitslücke zum Ausführen von Code führen können. Er schreibt weiter: “Mir ist klar, dass wir niemals alle [von den Angreifern] verwendeten Mechanismen vollständig beseitigen können. Ich hoffe jedoch, dass ich die Programmierer von Angriffen dazu zwinge, immer kompliziertere Methoden zu verwenden. Gleichzeitig bedeutet dies, dass weniger Methoden verfügbar sind. Andere Methoden machen die Ausnutzung anfälliger. Dies drückt die Erfolgsquoten in den ‘statistischen Niedrigprozentbereich’.”
Weiter heißt es, der Entwickler versuche dabei zuerst, die einfachen Methoden zu entfernen und Angreifer eben zu immer komplexeren Aufgaben zu zwingen. In Zukunft sollen auch die komplexeren Aufgaben zum Ausnutzen von Sicherheitslücken unterbunden werden. Sollte die Änderung für den Syscall-Aufruf wie geplant umgesetzt werden, muss sich das Team zunächst aber um die damit verbundenen Auswirkungen auf andere Software kümmern. So müssen viele Programme angepasst werden, die den Aufruf bisher benutzt haben. Das gelte insbesondere für das Go-Ökosystem, schreibt de Raadt.
Der Beitrag OpenBSD will indirekte Systemaufrufe unterbinden erschien zuerst auf Linux-Magazin.
Mit OpenBSD 7.4 können die Entwickler die inzwischen 55. Release des Betriebssystems ankündigen. Version 7.4 biete signifikante Verbesserungen, einschließlich neuer Features, in fast allen Bereichen des Systems, heißt es weiter.
Entsprechend lang ist die Liste der Neuerungen und Änderungen in der Ankündigung von Hauptentwickler Theo de Raadt.Release Notes. Zu den Neuerungen zählt ein kqueue1()-Systemaufruf, der ein Close-on-Exec-Verhalten ermöglicht. Außerdem gibt es eine verbesserte Integrität des Arm64-Kontrollflusses und Unterstützung für TCP-Segmentierungs-Offloading.
Zu en Bugfixes zählt, dass es kein undefiniertes Verhalten bei der Verwendung von MS-DOS-Dateisystemen mehr gibt. Die Korrekturen für diesen Bug habe man von FreeBSD importiert, teilt de Raadt mit.
Zudem ist es VMM-Gästen nun erlaubt, Supervisor IBT (Indirect Branch Tracking)zu aktivieren und zu verwenden. Bei den Treibern gibt es ebenfalls diverse Updates, etwa einen Treiber für den Qualcomm RNG-Chip, der auf dem ThinkPad X13s als Random Number Generator zum Einsatz kommt. In der Mitteilung sind alle Neuerungen und Änderungen vermerkt.
Der Beitrag OpenBSD 7.4 bringt Neuerungen erschien zuerst auf Linux-Magazin.
OPNsense verliert sich mehr und mehr. Kommentar eines Admins, der mehr als ein Dutzend davon betreut.
Die Entwickler von FreeBSD haben mit Version 13.2 die dritte Ausgabe im stabilen 13er-Zweig veröffentlicht und dabei eine ganze Reihe von aktualisierten Paketen integriert.
So kommt OpenSSH in Version 9.2p1 und OpenSSL in Ausgabe 1.1.1t. ZFS wurde auf OpenZFS Version 2.1.9 aktualisiert, Sendmail auf Version 8.17.1 und Sqlite auf die Version 3.40.1.
Dass der Bhyve-Hypervisor jetzt mehr als 16 virtuelle CPUs in einem Gast unterstützt, zählt zu den neuen Features. Standardmäßig erlaubt bhyve jedem Gast, die gleiche Anzahl von vCPUs zu erzeugen wie die Anzahl der physischen CPUs auf dem Host. Diese Grenze kann über die Loader-Tunable hw.vmm.maxcpu angepasst werden.
Dass sich nun Snapshots auf UFS-Dateisystemen erstellen lassen, wenn diese mit Journalde Soft-Updates betrieben werden, ist ebenfalls neu.
FreeBSD 13.2 ist für die Architekturen amd64, i386, powerpc, powerpc64, powerpc64le, powerpcspe, armv6, armv7, aarch64 und riscv64 verfügbar.
Der Beitrag FreeBSD 13.2 bringt Updates und Features erschien zuerst auf Linux-Magazin.
Das Betriebssystem helloSystem 0.8 basiert auf FreeBSD 13.1-RELEASE und lehnt sich beim Design eindeutig an macOS an. Auf GitHub ist unter den Entwicklern auch Clement Lefebvre gelistet und den kennen die meisten Linuxer als die treibende Kraft hinter Linux Mint. Aus diesem Grund war ich auch neugierig und habe mir das System kurz angesehen. Die VirtualBox Guest Additions sind vorinstalliert und deswegen war es einfach, das Betriebssystem in VirtualBox zu betreiben. Einige AppImage-Dateien lassen sich nun über den Befehl launch […]
Der Beitrag helloSystem 0.8 – FreeBSD im macOS Look ist von bitblokes.de.
Ab sofort kannst Du eine erste Beta-Version von OpenVPN 2.6 testen. Es ist ein wichtiger Meilenstein, weil es Unterstützung für Data Channel Offloading (DCO) Kernel-Beschleunigung bietet – für Linux, FreeBSD und Windows. Wer sich wie ich für VPNs interessiert, ist über mehr Performance immer dankbar. Die Beschleunigung wird mit dem Kernel-Modul ovpn-dco umgesetzt, das sich bisher allerdings noch nicht im Mainline-Kernel befindet. Im Blog von OpenVPN findest Du weitere Informationen zu DCO und auch Benchmarks, die zeigen sollen, dass das […]
Der Beitrag OpenVPN 2.6 Beta mit DCO unterstützt OpenSSL 3.0 ist von bitblokes.de.
Die Entwickler von FreeBSD haben ein Advisory für eine über das Ping-Programm ausnutzbare Sicherheitslücke herausgegeben. Über das Ping-Kommando könnte unter Umständen Schadcode eingeschmuggelt werden, heißt es in der Warnung der Entwickler.
Anwender von FreeBSD müssen ihr System auf den neuesten Stand bringen, um das Problem zu beheben, heißt es in der Meldung. Die jeweilige Vorgehensweise dafür ist im Advisory beschrieben.
Mit Ping lässt sich die Erreichbarkeit eines entfernten Hosts mit Hilfe von ICMP-Nachrichten testen. Um ICMP-Nachrichten zu senden und zu empfangen, verwendet Ping RAW-Sockets und benötige daher erhöhte Rechte, teilen die FreeBSD-Entwickler mit.
Ping lese IP-Pakete aus dem Netz, um die Antworten mit der Funktion pr_pack() zu verarbeiten. Als Teil der Verarbeitung muss ping den IP-Header, den ICMP-Header und, falls vorhanden, ein “zitiertes Paket” rekonstruieren, das das Paket darstellt, das einen ICMP-Fehler erzeugt hat, teilt FreeBSD mit. Das “quoted packet” habe wiederum einen IP-Header und einen ICMP-Header.
Die Funktion pr_pack() kopiere die empfangenen IP- und ICMP-Header zur weiteren Verarbeitung in Stack Buffers. Und dabei entstehe das Problem, weil das mögliche Vorhandensein von IP-Options-Headern nach dem IP-Header weder in der Antwort noch in dem zitierten Paket berücksichtigt werde. Sei diese IP-Optionen vorhanden, überlaufe pr_pack() den Zielpuffer um bis zu 40 Bytes, heißt es weiter.
Dieser Speichersicherheitsfehler könne von einem entfernten Host ausgelöst werden und das Ping-Programm zum Absturz bringen. Es sei auch möglich sein, dass ein bösartiger Host die eine Remotecodeausführung in Ping auslöse.
Der Beitrag FreeBSD warnt vor Ping-Sicherheitslücke erschien zuerst auf Linux-Magazin.