Syspatch: correctif HID - multi-arch - 6.6, 6.7

Rédigé par PengouinBSD Aucun commentaire
Classé dans : Syspatch Mots clés : syspatch, HID, amd64, arm64, armv7, hppa, i386, landisk, loongson, luna88k, macppc, sparc64, 6.6, 6.7
L'équipe OpenBSD sort officiellement ce jour un correctif :

  • nommé "HID" - un correctif de sécurité - où de malicieux descripteurs HID pouvaient être analysés de manière incorrecte. 6.6 : patch n°30 ; 6.7 : patch n°8 .

Il est nécessaire de redémarrer la machine, car ce correctif touche au fonctionnement du noyau.



Architectures concernées :
  • amd64, arm64 et i386 qui peuvent le faire par syspatch
  • toutes les autres architectures concernées armv7, hppa, landisk, loongson, luna88k, macppc, sparc64  doivent le faire par recompilation.

Lire la FAQ Administration Système pour savoir quoi faire : EN Official FAQ, FR



Syspatch: correctifs rpki, ssh, libssl, unbound - multi-arch - 6.7

Rédigé par PengouinBSD Aucun commentaire
Officiellement, l'équipe d'OpenBSD met à disposition, dès demain : 22 mai 2020, quatre nouveaux correctifs, pour la 6.7 :

  • le premier à-propos du client "rpki" - correctif de fiabilité - en effet, rpki-client pouvait se retrouver suspendu à cause d'une mise en attente inapproprié avec les processus rsync. patch n°2 .
  • le second en relation avec "ssh" - correctif de sécurité - l'utilitaire ssh-keygen plante lors de tentatives de téléchargement des clés résidentes à partir d'un jeton FIDO qui ne nécessite pas de mot de passe ou de code PIN. patch n°3 .
  • le troisième touche la "libssl" - correctif de fiabilité - un client TLS avec la vérification de pair peut planter lorsqu'il contacte un serveur qui envoie une liste de certificat vide. patch n°4 .
  • le dernier impacte les services unbound et unwind - correctif de sécurité - Des requêtes spécialement créées peuvent planter unbound et unwind. Les deux services peuvent être dupés pour amplifier une requête entrante. patch n°5 ; disponible aussi pour la 6.6 : patch n°28 . Il est nécessaire de redémarrer les services concernés si utilisés.



Architectures concernées :
  • amd64, arm64 et i386 qui peuvent le faire par syspatch
  • toutes les autres architectures concernées armv7, hppa, landisk, loongson, luna88k, macppc, sparc64  doivent le faire par recompilation.

Lire la FAQ Administration Système pour savoir quoi faire : EN Official FAQ, FR


Publication d'OpenBSD 6.7 !

Rédigé par PengouinBSD Aucun commentaire
Classé dans : News Mots clés : OpenBSD, 6.7, Publication
Quel plaisir d'annoncer la publication d'OpenBSD 6.7. Cette version apporte son lot de nouveautés dont nous allons discuter dans cet article. Il va de soi que la liste n'est pas exhaustive et qu'il est conseillé de consulter les notes de publication  ainsi que le changelog complet .

Changements notables

Les changements les plus notables sont :

- L'adoption du système de fichiers FFS2 pour toute nouvelle installation sur toutes les architectures supportées. Il est intéressant de lire le manpage boot(8) à minima, voire celui concernant l'architecture ciblée.

- Des améliorations concernant la gestion des multi-processeurs.

- Des améliorations en terme de gestion matérielle :
  • divers ajouts de pilotes dont fido(4) qui va nous permettre d'utiliser les clés de sécurité USB de type FIDO/U2F.
  • Le framework sndio(7) et différents pilotes audio ont été revus, il est maintenant nécessaire d'utiliser sndioctl(1) et non plus mixerctl(1) ; de même, les dispositifs /dev/audio* et rmidi* ne sont plus accessibles par les utilisateurs.
  • Les deux architectures arm64 et armv7 ont beaucoup d'ajouts et autres améliorations.
  • Les piles réseau Ethernet et Wireless ne sont pas en reste. 
  • sysupgrade(8)  appelle maintenant l'utilitaire fw_upgrade(1) dans son processus de mise à jour
  • en rapport avec la sécurité système : unveil(2) gère maintenant plus de 80 programmes en espace utilisateur. Un nouveau appel système nommé msyscall(2) pour lutter contre certaines formes d'attaques.
  • et bien d'autres…
Mises à jours logiciels importantes :
  • OpenSMTPD 6.7.0 ;
  • LibreSSL 3.1.1 et son support de TLS v1.3, activé par défaut, et automatiquement sur les clients ; 
  • OpenSSH 8.3 : divers suppressions relatives à SHA1, ajout de la gestion FIDO2.
  • Mandoc 1.14.6
Actuellement le projet supporte, selon l'architecture cible, entre un peu moins de 10000 à plus de 11000 paquets tiers.

Mettre à niveau

Lire le Guide de Migration 6.7 ou la traduction FR est disponible : ATTENTION, il y a beaucoup de modifs logiciels, voire de fichiers à supprimer.

Le processus de migration est normalement simple, en tant qu'administrateur root et non pas avec doas, une fois les fichiers bsd.rd et de signature téléchargés :
$ ftp https://cdn.openbsd.org/pub/OpenBSD/6.7/$(machine)/{bsd.rd,SHA256.sig}
$
signify -C -p /etc/signify/openbsd-67-base.pub -x SHA256.sig bsd.rd # sysupgrade
# syspatch
# sysmerge
# reboot
# pkg_add -u
# pkg_check
# sysclean ; si installé
# reboot

Et, voilà !


Syspatch: correctif wscons - multi-arch - 6.5, 6.6, 6.7

Rédigé par PengouinBSD Aucun commentaire
L'équipe OpenBSD nous livre un correctif pour wscons :

  • nommé "wscons" - correctif de sécurité - un accès à l'index hors des limites dans wscons(4) peut provoquer des plantages du noyau. 6.5 : patch n°37 ; 6.6 : patch n°27 ; 6.7 : patch n°1 .
Il est nécessaire de redémarrer la machine, car ce correctif touche au fonctionnement du noyau.



Architectures concernées :
  • amd64, arm64 et i386 qui peuvent le faire par syspatch
  • toutes les autres architectures concernées armv7, hppa, landisk, loongson, luna88k, macppc, sparc64  doivent le faire par recompilation.

Lire la FAQ Administration Système pour savoir quoi faire : EN Official FAQ, FR


PS : Pour ceux qui seraient étonnés d'un premier patch pour la 6.7 alors qu'elle n'est pas officielle…le correctif sera disponible le 19 mai, jour de la sortie officielle de la 6.7 !
Fil RSS des articles de ce mot clé