diff --git a/archetypes/default.md b/archetypes/default.md
index 00e77bd..f63bb33 100644
--- a/archetypes/default.md
+++ b/archetypes/default.md
@@ -1,6 +1,8 @@
 ---
-title: "{{ replace .Name "-" " " | title }}"
+categories: ['']
 date: {{ .Date }}
+description: ''
 draft: true
+tags: ['']
+title: "{{ replace .Name "-" " " | title }}"
 ---
-
diff --git a/content/posts/syspatch-bgpd-relayd-libc-6.8-6.9.md b/content/posts/syspatch-bgpd-relayd-libc-6.8-6.9.md
new file mode 100644
index 0000000..c19c8d5
--- /dev/null
+++ b/content/posts/syspatch-bgpd-relayd-libc-6.8-6.9.md
@@ -0,0 +1,160 @@
+---
+categories: ['Syspatch']
+date: 2021-07-26T08:08:39+02:00
+description: "Correctifs OpenBSD: bgpd, relayd (6.9 : toutes architectures) et libc (6.8, 6.9 : mips64)"
+draft: false
+tags: ['Syspatch','bgpd','libc','relayd','6.8','6.9']
+title: "Syspatch : bgpd, relayd, libc (2021/07/25)"
+---
+
+## Correctif de fiabilité : bgpd
+
+**Lors de rechargements de la configuration de bgpd, des préfixes de mauvaises 
+familles d'adresses pouvaient fuir vers des pairs, entraînant des réinitialisations 
+de sessions.**
+
+- Architectures ciblées : toutes celles supportées par le projet OpenBSD 6.9
+
+## Correctifs de sécurité 
+
+1/ relayd
+
+**When using the http protocol strip filter directive or http protocol macro expansion, processes format strings.**
+
+*(désolé, c'est incompréhensible)*
+
+- Architectures ciblées : toutes celles supportées par le projet OpenBSD 6.9
+
+
+2/ libc
+
+**Les fonctions strchr/index/strrchr/rindex dans la libc géraient de manière incorrecte les caractères signés**.
+
+- Architectures ciblées : mips64 pour OpenBSD 6.8 et 6.9
+
+---
+
+Pour toutes les architectures supportées :
+- amd64, arm64, i386 par `syspatch`
+- armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par [recompilation](#recompilation)
+
+---
+
+## Syspatch
+
+Cette étape ne concerne que les architectures amd64, arm64, i386 !
+
+```ksh
+# syspatch
+```
+
+Ensuite, préférez [redémarrer](#restart) le service.
+
+## Recompilation
+
+Voici les étapes de recompilation nécessaires :
+
+Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :
+
+⇒ pour bgpd 
+
+```ksh
+# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/009_bgpd.patch.sig
+# signify -Vep /etc/signify/openbsd-69-base.pub -x 009_bgpd.patch.sig \
+        -m - | (cd /usr/src && patch -p0)
+``` 
+
+⇒ La phase de recompilation : 
+
+```ksh
+$ cd /usr/src/usr.sbin/bgpd
+# make obj
+# make
+# make install
+```
+
+Ensuite, préférez [redémarrer](#restart) le service.
+
+---
+
+⇒ pour relayd
+
+```ksh
+# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/010_relayd.patch.sig
+# signify -Vep /etc/signify/openbsd-69-base.pub -x 010_relayd.patch.sig \
+        -m - | (cd /usr/src && patch -p0)
+``` 
+
+⇒ La phase de recompilation : 
+
+```ksh
+$ cd /usr/src/usr.sbin/relayd
+# make obj
+# make
+# make install
+```
+
+Ensuite, préférez [redémarrer](#restart) le service.
+
+---
+
+⇒ pour la libc : 
+
+- sur 6.8 : 
+
+```ksh
+# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/026_strchr.patch.sig
+# signify -Vep /etc/signify/openbsd-68-base.pub -x 026_strchr.patch.sig \
+        -m - | (cd /usr/src && patch -p0)
+``` 
+
+- sur 6.9 : 
+
+```ksh
+# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/011_strchr.patch.sig
+# signify -Vep /etc/signify/openbsd-69-base.pub -x 011_strchr.patch.sig \
+        -m - | (cd /usr/src && patch -p0)
+``` 
+
+⇒ La phase de recompilation : 
+
+```ksh
+$ cd /usr/src/lib/libc
+# make obj && make && make install
+$ cd /usr/src/bin
+# make obj && make && make install
+$ cd /usr/src/sbin
+# make obj && make && make install
+$ cd /usr/src/usr.bin/kdump
+# make obj && make && make install
+$ cd /usr/src/usr.bin/ktrace
+# make obj && make && make install
+$ cd /usr/src/usr.sbin/chroot
+# make obj && make && make install
+$ cd /usr/src/usr.sbin/installboot
+# make obj && make && make install
+$ cd /usr/src/usr.sbin/watchdogd
+# make obj && make && make install
+```
+
+Ensuite, préférez redémarrer la machine.
+
+## Restart
+
+```ksh
+# rcctl restart bgpd
+# rcctl restart relayd
+```
+
+---
+
+Plus d'informations sur les pages d'Errata [6.9][1] et [6.8][2]… <br> 
+*et leurs versions FR respectives : [6.9 FR][3] et [6.8 FR][4].*
+
+---
+
+[1]: https://openbsd.org/errata69.html
+[2]: https://openbsd.org/errata68.html
+[3]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata69
+[4]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata68
+
diff --git a/content/posts/syspatch-vmd-6.9.md b/content/posts/syspatch-vmd-6.9.md
index e124590..6a64c22 100644
--- a/content/posts/syspatch-vmd-6.9.md
+++ b/content/posts/syspatch-vmd-6.9.md
@@ -33,26 +33,26 @@ Voici les étapes de recompilation nécessaires :
 ⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :
 
 ```ksh
-# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/001_vmd.patch.sig
-# signify -Vep /etc/signify/openbsd-69-base.pub -x 001_vmd.patch.sig \
+# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/010_relayd.patch.sig
+# signify -Vep /etc/signify/openbsd-69-base.pub -x 010_relayd.patch.sig \
         -m - | (cd /usr/src && patch -p0)
 ``` 
 
 ⇒ La phase de recompilation : 
 
 ```ksh
-$ cd /usr/src/usr.sbin/vmd
+$ cd /usr/src/usr.sbin/relayd
 # make obj
 # make
 # make install
 ```
 
-Ensuite, préférez [redémarrer](#restart) le service et vos VM.
+Ensuite, préférez [redémarrer](#restart) le service.
 
 ## Restart
 
 ```ksh
-# rcctl restart vmd
+# rcctl restart relayd
 ```
 
 ---
diff --git a/public/atom.xml b/public/atom.xml
index 717a0b4..dc4bc43 100644
--- a/public/atom.xml
+++ b/public/atom.xml
@@ -4,7 +4,7 @@
 <feed xmlns="http://www.w3.org/2005/Atom" xml:lang="fr">
     <title type="text">OpenBSD Pour Tous 🐡</title>
     <subtitle type="html">OBSD4* : Site de la communauté francophone autour d&#39;OpenBSD.</subtitle>
-    <updated>2021-06-08T21:03:19&#43;02:00</updated>
+    <updated>2021-06-09T09:58:39&#43;02:00</updated>
     <id>https://openbsd.fr.eu.org/</id>
     <link rel="alternate" type="text/html" href="https://openbsd.fr.eu.org/" />
     <link rel="self" type="application/atom&#43;xml" href="https://openbsd.fr.eu.org/atom.xml" />
@@ -20,7 +20,7 @@
             <title type="text">Syspatch : vmd (2021/06/08)</title>
             <link rel="alternate" type="text/html" href="https://openbsd.fr.eu.org/posts/2021/06/08/syspatch-vmd-6.8-6.9/" />
             <id>https://openbsd.fr.eu.org/posts/2021/06/08/syspatch-vmd-6.8-6.9/</id>
-            <updated>2021-06-08T21:01:29&#43;02:00</updated>
+            <updated>2021-06-09T09:56:58&#43;02:00</updated>
             <published>2021-06-08T20:55:42&#43;02:00</published>
             <author>
                     <name>OBSD4a</name>
@@ -52,7 +52,7 @@ des requêtes dhcp malicieuses lors de l&amp;rsquo;utilisation des interfaces lo
 &lt;pre class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
 &lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
 &lt;td class=&#34;lntd&#34;&gt;
-&lt;pre class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-ksh&#34; data-lang=&#34;ksh&#34;&gt;&lt;span class=&#34;c1&#34;&gt;# reboot&lt;/span&gt;
+&lt;pre class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-ksh&#34; data-lang=&#34;ksh&#34;&gt;&lt;span class=&#34;c1&#34;&gt;# rcctl restart vmd&lt;/span&gt;
 &lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
 &lt;/div&gt;
 &lt;/div&gt;&lt;hr&gt;
diff --git a/public/categories/index.html b/public/categories/index.html
index e46371a..5938d8c 100644
--- a/public/categories/index.html
+++ b/public/categories/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/categories/",
         "name": "Categories",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
diff --git a/public/categories/syspatch/index.html b/public/categories/syspatch/index.html
index 79390e8..9287362 100644
--- a/public/categories/syspatch/index.html
+++ b/public/categories/syspatch/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/categories/syspatch/",
         "name": "Categories: Syspatch",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
diff --git a/public/index.html b/public/index.html
index c156167..5c57e3c 100644
--- a/public/index.html
+++ b/public/index.html
@@ -56,7 +56,7 @@
         "@context": "https://schema.org",
         "@type": "WebSite",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
         "image": "https://openbsd.fr.eu.org/Puffy.svg",
@@ -230,7 +230,7 @@
     
     
         
-        <time datetime="2021-06-08T21:01:29&#43;02:00" class="post-meta-item modified dt-updated"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 448 512" class="icon post-meta-icon"><path d="M400 64h-48V12c0-6.627-5.373-12-12-12h-40c-6.627 0-12 5.373-12 12v52H160V12c0-6.627-5.373-12-12-12h-40c-6.627 0-12 5.373-12 12v52H48C21.49 64 0 85.49 0 112v352c0 26.51 21.49 48 48 48h352c26.51 0 48-21.49 48-48V112c0-26.51-21.49-48-48-48zm-6 400H54a6 6 0 0 1-6-6V160h352v298a6 6 0 0 1-6 6zm-52.849-200.65L198.842 404.519c-4.705 4.667-12.303 4.637-16.971-.068l-75.091-75.699c-4.667-4.705-4.637-12.303.068-16.971l22.719-22.536c4.705-4.667 12.303-4.637 16.97.069l44.104 44.461 111.072-110.181c4.705-4.667 12.303-4.637 16.971.068l22.536 22.718c4.667 4.705 4.636 12.303-.069 16.97z"/></svg>&nbsp;2021.6.8</time>
+        <time datetime="2021-06-09T09:56:58&#43;02:00" class="post-meta-item modified dt-updated"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 448 512" class="icon post-meta-icon"><path d="M400 64h-48V12c0-6.627-5.373-12-12-12h-40c-6.627 0-12 5.373-12 12v52H160V12c0-6.627-5.373-12-12-12h-40c-6.627 0-12 5.373-12 12v52H48C21.49 64 0 85.49 0 112v352c0 26.51 21.49 48 48 48h352c26.51 0 48-21.49 48-48V112c0-26.51-21.49-48-48-48zm-6 400H54a6 6 0 0 1-6-6V160h352v298a6 6 0 0 1-6 6zm-52.849-200.65L198.842 404.519c-4.705 4.667-12.303 4.637-16.971-.068l-75.091-75.699c-4.667-4.705-4.637-12.303.068-16.971l22.719-22.536c4.705-4.667 12.303-4.637 16.97.069l44.104 44.461 111.072-110.181c4.705-4.667 12.303-4.637 16.971.068l22.536 22.718c4.667 4.705 4.636 12.303-.069 16.97z"/></svg>&nbsp;2021.6.9</time>
     
     
     
@@ -244,7 +244,7 @@
     
     
         
-        <span class="post-meta-item wordcount"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 512 512" class="icon post-meta-icon"><path d="M497.9 142.1l-46.1 46.1c-4.7 4.7-12.3 4.7-17 0l-111-111c-4.7-4.7-4.7-12.3 0-17l46.1-46.1c18.7-18.7 49.1-18.7 67.9 0l60.1 60.1c18.8 18.7 18.8 49.1 0 67.9zM284.2 99.8L21.6 362.4.4 483.9c-2.9 16.4 11.4 30.6 27.8 27.8l121.5-21.3 262.6-262.6c4.7-4.7 4.7-12.3 0-17l-111-111c-4.8-4.7-12.4-4.7-17.1 0zM124.1 339.9c-5.5-5.5-5.5-14.3 0-19.8l154-154c5.5-5.5 14.3-5.5 19.8 0s5.5 14.3 0 19.8l-154 154c-5.5 5.5-14.3 5.5-19.8 0zM88 424h48v36.3l-64.5 11.3-31.1-31.1L51.7 376H88v48z"/></svg>&nbsp;67</span>
+        <span class="post-meta-item wordcount"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 512 512" class="icon post-meta-icon"><path d="M497.9 142.1l-46.1 46.1c-4.7 4.7-12.3 4.7-17 0l-111-111c-4.7-4.7-4.7-12.3 0-17l46.1-46.1c18.7-18.7 49.1-18.7 67.9 0l60.1 60.1c18.8 18.7 18.8 49.1 0 67.9zM284.2 99.8L21.6 362.4.4 483.9c-2.9 16.4 11.4 30.6 27.8 27.8l121.5-21.3 262.6-262.6c4.7-4.7 4.7-12.3 0-17l-111-111c-4.8-4.7-12.4-4.7-17.1 0zM124.1 339.9c-5.5-5.5-5.5-14.3 0-19.8l154-154c5.5-5.5 14.3-5.5 19.8 0s5.5 14.3 0 19.8l-154 154c-5.5 5.5-14.3 5.5-19.8 0zM88 424h48v36.3l-64.5 11.3-31.1-31.1L51.7 376H88v48z"/></svg>&nbsp;69</span>
     
     
         
diff --git a/public/posts/index.html b/public/posts/index.html
index 3a9cd64..dea7607 100644
--- a/public/posts/index.html
+++ b/public/posts/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/posts/",
         "name": "Posts",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
diff --git a/public/rss.xml b/public/rss.xml
index 48ffd31..86ba1ca 100644
--- a/public/rss.xml
+++ b/public/rss.xml
@@ -23,7 +23,7 @@
         
             <copyright>[CC 0](https://creativecommons.org/publicdomain/zero/1.0/deed.fr)</copyright>
         
-        <lastBuildDate>Tue, 08 Jun 2021 21:03:19 &#43;0200</lastBuildDate>
+        <lastBuildDate>Wed, 09 Jun 2021 09:58:39 &#43;0200</lastBuildDate>
         
             <atom:link rel="self" type="application/rss&#43;xml" href="https://openbsd.fr.eu.org/rss.xml" />
         
@@ -61,7 +61,7 @@ des requêtes dhcp malicieuses lors de l&amp;rsquo;utilisation des interfaces lo
 &lt;pre class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
 &lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
 &lt;td class=&#34;lntd&#34;&gt;
-&lt;pre class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-ksh&#34; data-lang=&#34;ksh&#34;&gt;&lt;span class=&#34;c1&#34;&gt;# reboot&lt;/span&gt;
+&lt;pre class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-ksh&#34; data-lang=&#34;ksh&#34;&gt;&lt;span class=&#34;c1&#34;&gt;# rcctl restart vmd&lt;/span&gt;
 &lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
 &lt;/div&gt;
 &lt;/div&gt;&lt;hr&gt;
diff --git a/public/search.json b/public/search.json
index 04f176e..39ff436 100644
--- a/public/search.json
+++ b/public/search.json
@@ -1 +1 @@
-[{"categories":["Syspatch"],"content":"Correctif de sécurité Les VM invitées pouvaient causer des débordements de la pile en créant des requêtes dhcp malicieuses lors de l’utilisation des interfaces locales.\n Architecture ciblée : amd64.   Syspatch 1  # syspatch   Ensuite, préférez redémarrer le service et vos VM.\nRestart 1  # reboot    Documentations ⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: vmd","tags":["Syspatch","vmd","6.8","6.9"],"title":"Syspatch : vmd (2021/06/08)","uri":"/posts/2021/06/08/syspatch-vmd-6.8-6.9/"},{"categories":["Syspatch"],"content":"Correctifs de fiabilité 1/ pour les CPU Intel et AMD : cpuswitch\nLes machines récentes basées sur les CPU Intel ou AMD peuvent planter car le noyau ne vidait pas toutes les TLB dont les processus multi-thread requerraient.\n Architectures ciblées : amd64.  2/ pour les GPU Intel : inteldrm\nDésactive la fonctionnalité PPGTT des GPU Intel Cherryview et Braswell afin d’éviter une corruption de la mémoire.\n Architecture ciblée : amd64 et i386.   Syspatch Cette étape ne concerne que les architectures amd64, i386 !\n1  # syspatch   Ensuite redémarrez la machine car ces correctifs affectent le noyau !\nRestart 1  # reboot    Documentations ⇒ Note : La TLB est une mémoire cache du processeur. cf : Article Wikipédia à-propos de la TLB : FR, EN\n⇒ Note : la fonctionnalité PPGTT (Per-Process Graphics Translation Tables) semble être un processus d’isolation du GPU. cf : Article sur Phoronix\n⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: Intel et AMD CPU","tags":["Syspatch","cpu","6.8","6.9"],"title":"Syspatch : cpuswitch + inteldrm (2021/06/07)","uri":"/posts/2021/06/07/syspatch-cpuswitch-inteldrm-6.8-6.9/"},{"categories":null,"content":"Description Une petite annonce officielle pour informer de nos changements de canaux de discussion :\n Canal IRC : #obsd4a / irc.geeknode.org Salon Matrix : #obsd4a:matrix.fdn.fr  la communauté est “visible” sur son espace de communauté Matrix   Salon Jabber (XMPP) : #obsd4a%irc.geeknode.org@irc.automario.eu  À vous de basculer vers ses nouveaux canaux de discussions officiels !\nMerci d’en tenir compte…\n ","description":"La communauté ‘OpenBSD Pour Tous’ change de canaux de communications.","tags":null,"title":"Changement de canal sur IRC, Jabber et Matrix","uri":"/posts/2021/06/01/changement-irc-matrix-xmpp/"},{"categories":["Syspatch"],"content":"Correctifs de fiabilité pmapglobal Les machines Intel récentes pouvaient planter ou se bloquer car les mappages globaux venant de la TLB n’étaient pas vidés.\n Architecture ciblée : amd64.   Syspatch 1  # syspatch   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRestart 1  # reboot    Documentations ⇒ Note : La TLB est une mémoire cache du processeur. ⇒ Article Wikipédia à-propos de la TLB : FR, EN\n⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: pmapglobal","tags":["Syspatch","pmapglobal","6.8","6.9"],"title":"Syspatch : pmapglobal (2021/05/22)","uri":"/posts/2021/05/23/syspatch-pmapglobal-6.8-6.9/"},{"categories":["Syspatch"],"content":"Correctif de sécurité Une validation insuffisante des trames A-MSDU et des frames 802.11 fragmentées pouvait être abusée pour injecter des frames arbitraires.\n Architectures ciblées : toutes celles supportées par le projet OpenBSD.   Pour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\nAprès avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n pour 6.9  1 2 3  # https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/004_net80211.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 004_net80211.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    pour 6.8  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/021_net80211.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 021_net80211.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    la phase de recompilation :  1 2 3 4 5 6  $ KK=`sysctl -n kern.osversion | cut -d# -f1` $ cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRestart 1  # reboot    Documentations Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: net80211 (Wifi)","tags":["Syspatch","net80211","6.8","6.9"],"title":"Syspatch : net80211 (2021/05/20)","uri":"/posts/2021/05/20/syspatch-net82011-6.8-6.9/"},{"categories":["OpenIKED","rpki-client"],"content":"Description L’équipe OpenBSD dévoile deux nouvelles versions de ses produits phares :\n OpenIKED v6.9.0 rpki-client v7.1  OpenIKED Cette implémentation libre d’IKEv2, faisant partie du projet d’OpenBSD, est basée sur la version d’OpenBSD 6.9.\n L’équipe en profite pour renouveller complétement la version portable, connue pour fonctionner sur :\n certaines distributions Linux, telles Arch Linux, Debian 10 et sur certains BSD : FreeBSD 12, FreeBSD 13 et NetBSD 9.   Pour rappel, la version portable peut être téléchargée depuis les miroirs du projet OpenBSD, sous le répertoire : /pub/OpenBSD/OpenIKED.\n Ceux qui veulent faire remonter des bogues, peuvent le faire sur :\n bugs@openbsd.org : pour les bogues de manière générale https://github.com/openiked/openiked-portable, spécifiques à la version portable  rpki-client Cette nouvelle version 7.1 intègre les changements suivants :\n * Add keep-alive support to the HTTP client code for RRDP, * Reference-count and delete unused files synced via RRDP, as far as possible, * In the JSON output, change the AS Number from a string (\"AS123\") to an integer (\"123\") to make processing of the output easier, * Add an 'expires' column to CSV \u0026 JSON output, based on certificate and CRL validity times. The 'expires' value can be used to avoid route selection based on stale data when generating VRP sets, when faced with loss of communication between consumer and valdiator, or validator and CA repository, * Make the runtime timeout (-s option) also triggers in child proecesses. * Improved RRDP support, we encourage testing of RRDP with the -r option so that RRDP can be enabled by default in a future release. Please report any issues found. Quant à la version portable :\n * Improve support for older libressl versions (altough the latest stable release is recommended), * Add missing compat headers in release packages so they build on Alpine Linux and macOS.  Pour rappel, rpki-client est connu pour fonctionner sur les systèmes d’exploitation suivant :\n Alpine 3.12, Debian 9, 10, Fedora 31, 32, 33, macOS, RHEL/CentOS 7, 8, Windows Subsystem for Linux 2, et OpenBSD.   La version portable peut être téléchargée depuis :\n https://www.rpki-client.org/portable.html   Si vous souhaitez faire remonter des bogues, faites-le sur :\n tech@openbsd.org pour les bogues généraux https://github.com/rpki-client/rpki-client-portable pour ceux relatifs à la version portable   ","description":"Sortie des versions d’OpenIKED 6.9 et rpki-client 7.1","tags":["OpenIKED","rpki-client","6.9","7.1"],"title":"OpenIKED 6.9.0 ; rpki-client 7.1","uri":"/posts/2021/05/18/openiked-6.9-rpki-client-7.1/"},{"categories":["Syspatch"],"content":"Correctifs de sécurité 1/ pour la libX11 :\nLes vérifications des longueurs de requêtes dans la bibliothèque libX11 étaient manquantes.\n Architectures ciblées : toutes celles supportées par le projet OpenBSD.  2/ pour vmd :\nLes pilotes virtio des invités de vmd pouvaient provoquer des débordements de pile en fabriquant des longueurs de descripteurs virtio invalides.\n Architecture ciblée : amd64.   Pour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service, si utilisé !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\nAprès avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n⇒ Pour la libX11 :\n pour 6.9  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/002_libx11.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 002_libx11.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    pour 6.8  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/019_libx11.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 019_libx11.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    la phase de recompilation :  1 2 3  $ cd /usr/xenocara/lib/libX11 # make -f Makefile.bsd-wrapper obj # make -f Makefile.bsd-wrapper build   Ensuite redémarrez le service xenodm, si utilisé !\n⇒ pour vmd, utilisez simplement syspatch…\nEnsuite redémarrez le service vmd, voire les VM, si utilisés !\nRestart 1  # rcctl restart vmd xenodm    Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: libX11 \u0026 vmd","tags":["Syspatch","libX11","vmd","6.8","6.9"],"title":"Syspatch : libX11, vmd (2021/05/18)","uri":"/posts/2021/05/18/syspatch-libx11-vmd-6.8-6.9/"},{"categories":["LibreSSL"],"content":"Description L’équipe d’OpenBSD dévoile la nouvelle version stable de LibreSSL, basée sur OpenBSD 6.9.\nCette version inclut les changements suivants :\n⇒ De nouvelles fonctionnalités :\n* Support for DTLSv1.2. * Continued rewrite of the record layer for the legacy stack. * Numerous bugs and interoperability issues were fixed in the new verifier. A few bugs and incompatibilities remain, so this release uses the old verifier by default. * The OpenSSL 1.1 TLSv1.3 API is not yet available. ⇒ Des améliorations pour la version portable :\n* Added '--enable-libtls-only' build option, which builds and installs a statically-linked libtls, skipping libcrypto and libssl. This is useful for systems that ship with OpenSSL but wish to also package libtls. * Update getentropy on Windows to use Cryptography Next Generation (CNG). wincrypt is deprecated and no longer works with newer Windows environments, such as in Windows Store apps. ⇒ Des améliorations de l’API et de la Documentation :\n* Add a number of RPKI OIDs from RFC 6482, 6484, 6493, 8182, 8360, draft-ietf-sidrops-rpki-rta, and draft-ietf-opsawg-finding-geofeeds. * Add support for SSL_get_shared_ciphers(3) with TLSv1.3. * Add DTLSv1.2 methods. * Implement SSL_is_dtls(3) and use it internally in place of the SSL_IS_DTLS macro. * Provide EVP_PKEY_new_CMAC_KEY(3). * Add missing prototype for d2i_DSAPrivateKey_fp(3) to x509.h. * Add DTLSv1.2 to openssl(1) s_server and s_client protocol message logging. * Provide SSL_use_certificate_chain_file(3). * Provide SSL_set_hostflags(3) and SSL_get0_peername(3). * Provide various DTLSv1.2 specific functions and defines. * Document meaning of '*' in the genrsa output. * Updated documentation for SSL_get_shared_ciphers(3). * Add documentation for SSL_get_finished(3). * Document EVP_PKEY_new_CMAC_key(3). * Document SSL_use_certificate_chain_file(3). * Document SSL_set_hostflags(3) and SSL_get0_peername(3). * Update SSL_get_version(3) manual for DTLSv.1.2 support. * Make supported protocols and options for DHE params more prominent in tls_config_set_protocols(3). * Various documentation improvements around TLS methods. ⇒ Des changements de compatibilités :\n* Make openssl(1) s_server ignore -4 and -6 for compatibility with OpenSSL. * Set SO_REUSEADDR on the server socket in the openssl(1) ocsp command. * Send a host header with OCSP queries to make openssl(1) ocsp work with some widely used OCSP responders. * Add ability to ocspcheck(8) to parse a port in the specified OCSP URL. * Implement auto chain for the TLSv1.3 server since some software relies on this. * Implement key exporter for TLSv1.3. * Align SSL_get_shared_ciphers(3) with OpenSSL. This takes into account that it never returned server ciphers, so now it will fail when called from the client side. * Sync cert.pem with Mozilla NSS root CAs except \"GeoTrust Global CA\". * Make SSL{_CTX,}_get_{min,max}_proto_version(3) return a version of zero if the minimum or maximum has been set to zero to match OpenSSL's behavior. * Add DTLSv1.2 support to openssl(1) s_client/s_server. * Testing and Proactive Security * Malformed ASN.1 in a certificate revocation list or a timestamp response token can lead to a NULL pointer dereference. * Pull in fix for EVP_CipherUpdate(3) overflow from OpenSSL. * Use EXFLAG_INVALID to handle out of memory and parse errors in x509v3_cache_extensions(). * Refactor and clean up ocspcheck(8) and add regression tests. * Internal Improvements * Further cleanup of the DTLS record handling. * Continue the replacement of the TLSv1.2 record layer by reimplementing the read side of the TLSv1.2 record handling. * Replace DTLSv1_enc_data() with TLSv1_1_enc_data(). * Merge d1_{clnt,srvr}.c into ssl_{clnt,srvr}.c. * Add const to ssl_ciphers and tls1[23]_sigalgs* to push them into .data.rel.ro and .rodata, respectively. * Add a const qualifier to srtp_known_profiles. * Simplify TLS method by removing the client and server specific methods internally. * Avoid casting away const in ssl_ctx_make_profiles(). * Avoid explicitly conditioning an assert on DTLS1_VERSION to make the assert work for newer DTLS versions. * Merge SSL_ENC_METHOD into SSL_METHOD_INTERNAL. * Add a flag to mark DTLS methods as DTLS to have an easy way to recognize DTLS methods that avoids inspecting the version number. * Mark a few more internal static tables const. * Switch finish{,_peer}_md_len from an int to a size_t. * Use EVP_MD_MAX_MD_SIZE instead of 2 * EVP_MD_MAX_MD_SIZE as size for cert_verify_md[], finish_md[] and peer_finish_md[]. The factor 2 was a historical artefact. * Free struct members in tls13_record_layer_free() in their natural order for reviewability. * Use consistent names in tls13_{client,server}_finished_{recv,send}(). * Add tls13_secret_{init,cleanup}() and use them throughout the TLSv1.3 code base. * Move the read MAC key into the TLSv1.2 record layer. * Make tls12_record_layer_free() NULL safe. * Split the record protection from the TLSv1.2 record layer. * Clean up sequence number handling in the new TLSv1.2 record layer. * Clean up sequence number handling in DTLS. * Clean up dtls1_reset_seq_numbers(). * Factor out code for explicit IV length, block size and MAC length from tls12_record_layer_open_record_protected_cipher(). * Provide record layer overhead for DTLS. * Provide functions to determine if TLSv1.2 record protection is engaged. * Add code to handle change of cipher state in the new TLSv1.2 record layer. * Mop up now unused dtls1_build_sequence_numbers() function. * Allow setting a keypair on a tls context without specifying the private key, and fake it internally in libtls. This removes the need for privsep engines like relayd to use bogus keys. * Skip the private key check for fake private keys. * Move the private key setup from tls_configure_ssl_keypair() to a helper function with proper error checking. * Change the internal tls_configure_ssl_keypair() function to return -1 instead of 1 on failure. * Move sequence numbers into the new TLSv1.2 record layer. * Move AEAD handling into the new TLSv1.2 record layer. * Factor out legacy stack version checks. * Correct handshake MAC/PRF for various TLSv1.2 cipher suites which were originally added with the default handshake MAC and PRF rather than the SHA256 handshake MAC and PRF. * Absorb ssl3_get_algorithm2() into ssl_get_handshake_evp_md(). * Use dtls1_record_retrieve_buffered_record() to load buffered application data. * Enforce read ahead with DTLS. * Remove bogus DTLS checks that disabled ECC and OCSP. * Clean up and simplify dtls1_get_cipher(). * Group HelloVerifyRequest decoding and add missing check for trailing data. * Revise HelloVerifyRequest handling for DTLSv1.2. * Handle DTLS1_2_VERSION in various places. * Rename the \"truncated\" label into \"decode_err\" and the \"f_err\" label into \"fatal_err\". * Factor out and change some of the legacy client version code. * Simplify version checks in the TLSv1.3 client. Ensure that the server announced TLSv1.3 and nothing higher and check that the legacy_version is set to TLSv1.2 as required by RFC 8446. * Only use TLS versions internally rather than both TLS and DTLS versions since the latter are the one's complement of the human readable version numbers, which means that newer versions decrease in value. * Identify DTLS based on the version major value. * Move handling of cipher/hash based cipher suites into the new record layer. * Add tls12_record_protection_unused() and call it from CCS functions. * Move key/IV length checks closer to usage sites. Also add explicit checks against EVP_CIPHER_{iv,key}_length(). * Replace two handrolled tls12_record_protection_engaged(). * Improve internal version handling: add handshake fields for our minimum version, our maximum version and the TLS version negotiated during the handshake. Convert most of the internal code to use these version fields. * Guard against future internal use of TLS1_get_{client,}_version() macros. * Remove the internal ssl_downgrade_max_version() function which is no longer needed. * Add support for DTLSv1.2 version handling. * Remove no longer needed read ahead workarounds in the s_client and s_server. * Split TLSv1.3 record protection from record layer. * Move the TLSv1.3 handshake struct inside the shared handshake struct. * Fully initialize rrec in tls12_record_layer_open_record_protected() to avoid confusing some static analyzers. * Use tls_set_errorx() on OCSP_basic_verify() failure since the latter does not set errno. * Convert openssl(1) x509 to new option handling and do the usual clean up that goes along with it. * Add SSL_HANDSHAKE_TLS12 for TLSv1.2 specific handshake data. * Rename new_cipher to cipher to align naming with keyblock or other parts of the handshake data. * Move the TLSv1.2 record number increment into the new record layer. * Move finished and peer finished into the handshake struct. * Remove pointless assignment in SSL_get0_alpn_selected(). * Add some error checking to openssl(1) x509. ⇒ Des correctifs de bogue :\n* Move point-on-curve check to set_affine_coordinates to avoid verifying ECDSA signatures with unchecked public keys. * Fix SSL_is_server(3) to behave as documented by re-introducing the client-specific methods. * Avoid undefined behavior due to memcpy(NULL, NULL, 0). * Make SSL_get{,_peer}_finished() work when used with TLSv1.3. * Correct the return value type from ERR_peek_error() to a long. * Avoid use of uninitialized in ASN1_time_parse() which could happen on parsing UTCTime if the caller did not initialize the passed struct tm. * Destroy the mutex in a tls_config object on tls_config_free(). * Free alert_data and phh_data in tls13_record_layer_free(). These could leak if SSL_shutdown(3) or tls_close(3) were called after closing the underlying socket(). * Gracefully handle root certificates being both trusted and untrusted. * Handle X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE in the new verifier. * Use the legacy verifier when building auto chains for TLS. * Search the intermediates only after searching the root certs in the new verifier to avoid problems with the legacy callback. * Bail out early after finding a single chain in the new verifier, if we have been called via the legacy verifier API. * Set (invalid and likely incomplete) chain on the xsc on chain build failure prior to calling the callback. This is required by various callers, including auto chain. * Remove direct assignment of aead_ctx to avoid a leak. * Fail early in legacy exporter if the master secret is not available to avoid a segfault if it is called when the handshake is not completed. * Only print the certificate file once on verification failure. * Fix an off-by-one in x509_verify_set_xsc_chain() to make sure that the new validator checks for EXFLAG_CRITICAL in x509_vfy_check_chain_extension() for all untrusted certs in the chain. Take into account that the root is not necessarily trusted. * Avoid passing last and depth to x509_verify_cert_error() on ENOMEM. * Fix two bugs in the legacy verifier that resulted from refactoring of X509_verify_cert(3) for the new verifier: a return value was incorrectly treated as boolean, making it insufficient to decide whether validation should carry on or not. * Fix checks for memory caps of constraints names. There are internal caps on the number of name constraints and other names, that the new name constraints code allocates per cert chain. These limits were checked too late, making them only partially effective. * Fix a copy-paste error - skid was confused with an akid when checking for EXFLAG_INVALID. This broke OCSP validation with certain mirrors. * Avoid a use-after-scope in tls13_cert_add(). * Avoid mangled output in BIO_debug_callback(). * Fix client initiated renegotiation by replacing use of s-\u003einternal-type with s-\u003eserver. * Avoid transcript initialization when sending a TLS HelloRequest, fixing server initiated renegotiation. * Avoid leaking param-\u003ename in x509_verify_param_zero(). * Avoid a leak in an error path in openssl(1) x509. * When sending an alert in TLSv1.3, only set its error code when no other error was set previously. Certain clients rely on specific SSL_R_ error codes to identify that they are dealing with a self signed cert. * When switching from the TLSv1.3 stack to the legacy stack include a TLS record header. This is necessary if there is more than one handshake message in the TLS plaintext record. * Fix resource handling on error in OCSP_request_add0_id(). * Make sure there is enough room for stashing the handshake message when switching to the legacy TLS stack. * Fix a memory leak in the openssl(1) s_client. * Unbreak DTLS retransmissions for flights that include a CCS. * If x509_verify() fails, ensure that the error is set on both the x509_verify_ctx() and its store context to make some failures visible from SSL_get_verify_result(). * Use the X509_STORE_CTX get_issuer() callback from the new X.509 verifier to fix hashed certificate directories. * Only check BIO_should_read(3) on read and BIO_should_write(3) on write. Previously, BIO_should_write(3) was also checked after read and BIO_should_read(3) after write which could cause stalls in software that uses the same BIO for read and write. * In openssl(1) verify, also check for error on the store context since the return value of X509_verify_cert(3) is unreliable in presence of a callback that returns 1 too often. * Handle additional certificate error cases in the new X.509 verifier. Keep track of the errors encountered if a verify callback tells the verifier to continue and report them back via the error on the store context. This mimics the behavior of the old verifier that would persist the first error encountered while building the chain. * Report specific failures for \"self signed certificates\" in a way compatible with the old verifier since software relies on the error code. * Plug a large memory leak in the new verifier caused by calling X509_policy_check(3) repeatedly. * Avoid leaking memory in x509_verify_chain_dup().  Retrouvez la note de version :\n 3.3.3   ","description":"Sortie de LibreSSL: 3.3.3 (2021/05/04)","tags":["LibreSSL","3.3"],"title":"LibreSSL : 3.3.3","uri":"/posts/2021/05/04/libressl-3.3.3/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité : vmd Les VM invités de vmd peuvent déclencher des messages de journalisation excessifs sur l’hôte par l’envoi de certains paquets réseaux.\nPour toutes les architectures supportées :\n amd64 par syspatch ou par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite, préférez redémarrer le service et vos VM.\nRecompilation Voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/001_vmd.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 001_vmd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  $ cd /usr/src/usr.sbin/vmd # make obj # make # make install   Ensuite, préférez redémarrer le service et vos VM.\nRestart 1  # rcctl restart vmd    Plus d’informations sur les pages d’Errata 6.9… et la versions FR respective : 6.9 FR.\n ","description":"Correctif OpenBSD: vmd","tags":["Syspatch","vmd","6.9"],"title":"Syspatch : vmd (2021/05/04)","uri":"/posts/2021/05/04/syspatch-vmd-6.9/"},{"categories":["OpenBSD"],"content":"Description L’équipe OpenBSD sort la version 6.9 d'OpenBSD.\nC’est la 50ème mouture du système d’exploitation.\nL’équipe est fière d’annoncer que cela fait plus de 20 ans qu’elle n’a eu que deux failles de sécurités à distance dans l’installation de base.\nChangelog ⇒ De nombreux changements, améliorations sont apportés :\n début de la prise en charge du SOC M1 Apple amélioration du support des plateformes arm64, PowerPC64 des améliorations autour du noyau, dont parmi les plus notables :  RAID1C: prise en charge du chiffrement pour le Raid1 video(4): introduction du paramètre sysctl kern.video.record désactivé par défaut, dans le contexte de politique de confidentialité ; et la possibilité d’activer plusieurs dispositifs en même temps.   des améliorations pour le SMP (processeurs multiples) des améliorations pour la virtualisation VMD/VMM, dont principalement :  ajout du dispositif veb(4) en tant que bridge supporté par vmd(8). ajout de la capacité de démarrer sur les ramdisk compressés   de nouvelles fonctionnalités en “espace utilisateur” :  doas.conf: ajout de l’option “nolog” afin de ne pas avoir d’enregistrement dans syslog(3). sndio(7) et sndiod(8): autovolume désactivé par défaut, et volume par défaut sur 127 logger(1) pour rcctl(8), rc.subr(8) et rc.d(8) wscontl(8): une meilleure gestion des mouvements et autres touchés des touchpads apm(4) actif pour l’architecture arm64.   de nombreuses améliorations et autres ajouts de différents matériels, de dispositifs réseaux dont wifi des changements notables dans PF, IPSec, httpd, d’outils tels rpki-client, dig, dhclient, dont :  deux nouveaux démons dhcpleased(8) et resolvd(8) ont été ajoutés, désactivés par défaut, gérables par le contrôleur rcctl afin de fournir une configuration simple et cohérente des interfaces réseaux et de la résolution DNS.    et, bien sûr bien d’autres changements, correctifs et ajouts, lisibles en anglais dans l'annonce officielle.\n⇒ Parmi les nouvelles versions de logiciels internes à OpenBSD 6.9, retrouvons :\n LibreSSL 3.3.2 OpenSSH 8.5 OpenSMTPD 6.9.0  Guide de Migration Retrouvez le Guide de Migration 6.8 → 6.9 qui explique :\n ce qu’il faut faire avant d’utiliser la méthode de mise à niveau de choisir sa méthode de mise à niveau, dont la méthode de mise sans surveillance par le biais de sysupgrade(8). ce qu’il est nécessaire de faire après la mise à niveau sans oublier ensuite de gérer les changements de configuration et de syntaxe, les fichiers à supprimer, et de vérifier certains paquets spécifiques.   la version officielle EN du guide : https://www.openbsd.org/faq/upgrade69.html la traduction EN → FR officieuse par nos soins : https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/faq/upgrade69   Art ⇒ Voici le poster :\n\n⇒ Retrouvez la nouvelle chanson nommée “Vetera Novis”.\n https://www.OpenBSD.org/lyrics.html#69  Vente ⇒ Et voici la vente officielle de vêtements estampillés OpenBSD 6.9 :\n https://openbsd.creator-spring.com/search?searchterm=6.9   ","description":"Sortie d’OpenBSD 6.9 (20210501)","tags":["OpenBSD","6.9"],"title":"OpenBSD 6.9","uri":"/posts/2021/05/01/openbsd-6.9/"},{"categories":["Syspatch"],"content":"Correctif de sécurité XInput Des échecs de validations d’entrées dans les extensions XInput du serveur X peuvent permettre une élévation des privilèges pour des clients autorisés.\nIl vaut mieux redémarrer le service X après l’application du correctif ! (ou les clients X utilisés)\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/018_xi.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 018_xi.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/038_xi.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 038_xi.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3  $ cd /usr/xenocara/xserver # make -f Makefile.bsd-wrapper obj # make -f Makefile.bsd-wrapper build   Pour finir, redémarrez le service !\nRestart 1  # rcctl restart xenodm    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: Serveur X","tags":["Syspatch","XInput","6.7","6.8"],"title":"Syspatch : XInput (2021/04/13)","uri":"/posts/2021/04/13/syspatch-xi-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.\nElle inclut le correctif suivant :\n* A TLS client using session resumption may cause a use-after-free.  Retrouvez la note de version :\n 3.2.45   ","description":"Sortie de LibreSSL: 3.2.5 (2021/03/17)","tags":["LibreSSL","3.2"],"title":"LibreSSL : 3.2.5","uri":"/posts/2021/03/17/libressl-3.2.5/"},{"categories":["Syspatch"],"content":"Correctif de sécurité Un client TLS utilisant la reprise de session peut provoquer une utilisation après libération (use-after-free).\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service unwind si vous l’utilisez !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/017_libssl.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 017_libssl.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6 7 8  $ cd /usr/src/lib/libssl # make obj  # make # make install $ cd /usr/src/sbin/unwind # make obj # make # make install   Ensuite redémarrez le service unwind si vous l’utilisez !\nRestart 1  # rcctl restart unwind    Plus d’informations sur les pages d’Errata 6.8… et leurs versions FR respectives : 6.8 FR.\n ","description":"Correctif OpenBSD: libssl","tags":["Syspatch","libssl","6.8"],"title":"Syspatch : libssl (2021/03/15)","uri":"/posts/2021/03/15/syspatch-libssl-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité npppd Le gestionnaire de protocole PPTP peut provoquer une sur-lecture du tas, ce qui peut entraîner un crash.\nIl est nécessaire de redémarrer le service après l’application du correctif !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service, si utilisé !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/016_npppd.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 016_npppd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/037_npppd.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 037_npppd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  $ cd /usr/src/usr.sbin/npppd # make obj # make # make install   Ensuite redémarrez le service, si utilisé !\nRestart 1  # rcctl restart npppd    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: npppd","tags":["Syspatch","npppd","6.7","6.8"],"title":"Syspatch : npppd (2021/03/09)","uri":"/posts/2021/03/09/syspatch-npppd-6.7-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité ssh-agent Double libération (de mémoire) dans ssh-agent(1)\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez votre client ssh-agent !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/015_sshagent.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 015_sshagent.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/036_sshagent.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 036_sshagent.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5  $ cd /usr/src/usr.bin/ssh # make obj # make clean # make # make install   Ensuite redémarrez votre client ssh-agent !\n Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: SSH","tags":["Syspatch","ssh","6.7","6.8"],"title":"Syspatch : ssh-agent (2021/03/03)","uri":"/posts/2021/03/03/syspatch-ssh-agent-6.7-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité pffrag Une séquence de fragments IPv4 se chevauchant pourrait faire planter le noyau en pf en raison d’une assertion.\nIl est nécessaire de redémarrer le noyau !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/014_pffrag.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 014_pffrag.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/035_pffrag.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 035_pffrag.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: PF","tags":["Syspatch","PF","6.7","6.8"],"title":"Syspatch : pffrag (2021/02/24)","uri":"/posts/2021/02/24/syspatch-pffrag-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.\nElle inclut les correctifs des bogues et d’interopérabilités suivants :\n* Switch back to certificate verification code from LibreSSL 3.1.x. The new verifier is not bug compatible with the old verifier causing issues with applications expecting behavior of the old verifier. * Unbreak DTLS retransmissions for flights that include a CCS * Only check BIO_should_read() on read and BIO_should_write() on write * Implement autochain for the TLSv1.3 server * Use the legacy verifier for autochain * Implement exporter for TLSv1.3 * Free alert_data and phh_data in tls13_record_layer_free() * Plug leak in x509_verify_chain_dup() * Free the policy tree in x509_vfy_check_policy()  Retrouvez la note de version :\n 3.2.4   ","description":"Sortie de LibreSSL: 3.2.4 (2021/02/12)","tags":["LibreSSL","3.2"],"title":"LibreSSL : 3.2.4","uri":"/posts/2021/02/13/libressl-3.2.4/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité libressl De nombreux problèmes d’interopérabilité et failles mémoire ont été découvertes dans les bibliothèques libcrypto et libssl.\nIl peut-être nécessaire de redémarrer certains services, tels isakmpd, unwind.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez les services utilisés, si c’est le cas !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/013_libressl.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 013_libressl.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16  cd /usr/src/lib/libcrypto make obj make make install cd /usr/src/lib/libssl make obj make make install cd /usr/src/sbin/isakmpd make obj make make install cd /usr/src/sbin/unwind make obj make make install   Pour finir, redémarrez les services, si utilisés.\nRestart 1  # rcctl restart isakmpd unwind    Plus d’informations sur les pages d’Errata 6.8… et leurs versions FR respectives : 6.8 FR.\n ","description":"Correctif OpenBSD: libressl","tags":["Syspatch","libressl","6.8"],"title":"Syspatch : libressl (2021/02/02)","uri":"/posts/2021/02/03/syspatch-libressl-6.8/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité carp L’utilisation de bpf(4) sur une interface CARP pourrait entraîner une utilisation après une erreur.\nIl est nécessaire de redémarrer la machine car ce correctif affecte le noyau.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/012_carp.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 012_carp.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: carp, bpf","tags":["Syspatch","carp","bpf","6.8"],"title":"Syspatch : carp (2021/01/13)","uri":"/posts/2021/01/13/syspatch-carp-bpf/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité nd6 Quand une entrée NDP est invalide sur la couche de niveau 2, celle-ci n’est pas invalidée.\nIl est nécessaire de redémarrer la machine car ce correctif affecte le noyau.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/011_nd6.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 011_nd6.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/034_nd6.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 034_nd6.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: NDP","tags":["Syspatch","NDP","IPv6","6.7","6.8"],"title":"Syspatch : NDP - IPv6 (2021/01/11)","uri":"/posts/2021/01/11/syspatch-nd6/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité smtpd La machine à états de filtrage de smtpd peut libérer prématurément des ressources conduisant à un plantage.\nIl est nécessaire de redémarrer le service après l’application du correctif !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/010_smtpd.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 010_smtpd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/033_smtpd.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 033_smtpd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  # cd /usr/src/usr.sbin/smtpd # make obj # make # make install   Pour finir, redémarrez le service !\nRestart 1  # rcctl restart smtpd    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: smtpd","tags":["Syspatch","smtpd","6.7","6.8"],"title":"Syspatch : smptd (2020/12/23)","uri":"/posts/2020/12/24/syspatch-smptd-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif de sécurité à-propos d’asn.1, l’équipe OpenBSD délivre trois nouvelles versions de LibreSSL.\nRetrouvez les notes respectives de ces trois versions :\n 3.3.1 3.2.3 3.1.5   ","description":"Sortie de trois versions de LibreSSL: 3.3.1, 3.2.3, 3.1.5 (2020/12/09)","tags":["LibreSSL","3.3","3.2","3.1"],"title":"LibreSSL : 3.3.1, 3.2.3, 3.1.5","uri":"/posts/2020/12/09/libressl-3.3.1-3.2.3-3.1.5/"},{"categories":["OpenNTPD"],"content":"Description L’équipe OpenBSD sort une nouvelle version d’OpenNTDP, la 6.8p1.\ncela fait quelques années qu’il n’y avait pas eu de sortie majeure, depuis la 6.2p3\nChangelog   The ntpd daemon now gets and sets the clock in a secure way when booting even when a battery-backed clock is absent.\n  Improvements in DNS resolving and constraints checking, especially during startup. Unreliable NTP peers are removed from the pool and DNS resolving is repeated to add replacements.\n  Improved reliability and security of TLS constraint checking.\n  Improved logging of failure cases.\n  Prevent the case of multiple ntpds running at once by checking presence of the local control socket.\n  TLS certificates are now searched in TLS_CA_CERT_FILE.\n  The default ntpd.conf configuration file now uses 9.9.9.9 and 2620:fe::fe, in addition to google.com, when performing time constraint validation.\n  Improved handling unsynched mode when there is no replies from an NTP server, such as when there are network connectivity issues.\n  To build OpenNTPD with time constraint support, libtls from LibreSSL 3.2.2 or later is recommended.\n   ","description":"Sortie d’OpenNTPD 6.8p1 (20201209)","tags":["OpenNTPD","6.8"],"title":"OpenNTPD 6.8p1","uri":"/posts/2020/12/09/openntpd-6.8p1/"},{"categories":["Syspatch"],"content":"Correctif de Sécurité asn.1 Concernant LibreSSL, une notation ASN.1 mal formée dans une liste de révocation de certificat ou une réponse de timestamp peut amener vers un pointeur de déréférencement NULL\n le correctif affecte le noyau OpenBSD 6.7 et 6.8 et nécessite le redémarrage de la machine  Correctif de fiabilité exit Lors d’un processus de sortie, dans des programmes multithread un faux code de sortie peut être reporté.\n Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: asn.1 \u0026 exit","tags":["Syspatch","asn.1","exit","6.7","6.8"],"title":"Syspatch : asn.1, exit (2020/12/08)","uri":"/posts/2020/12/09/syspatch-asn1-exit/"},{"categories":null,"content":"Description Une liste de diffusion est disponible pour toute personne souhaitant demander de l’aide ou simplement discuter par un autre biais que le forum.\nPour écrire un message, la liste ne nécessite pas d’inscription. Toutefois, pour recevoir les messages envoyés sur la liste, il faut être inscrit.\nUtilisation  Pour écrire à la liste, adressez un email à l’adresse blabla@openbsd.fr.eu.org. Merci d’écrire vos messages au format text/plain. Les messages en html ne seront pas publiés. Si vous souhaitez vous inscrire à la liste pour recevoir les messages qui y sont postés, envoyez un message à blabla+subscribe@openbsd.fr.eu.org. Peu importe le sujet choisi. Les messages envoyés sur la liste sont gardés en copie pour consultation et recherche ultérieure. Les archives sont publiques et disponibles ici. Les messages sont synchronisés tous les jours, à une heure fixe. Pour ne plus recevoir les messages de la liste, envoyez un message à l’adresse blabla+unsubscribe@openbsd.fr.eu.org. Le serveur utilise Rspamd pour l’anti-spam, un délai est possible avant que votre message ne soit publié.   ","description":"Liste de diffusion de la communauté OBSD4a - OpenBSD Pour Tous","tags":null,"title":"Liste de diffusion","uri":"/liste/"},{"categories":null,"content":"OpenBSD pour tou(te?)s existe aussi grâce à…\nCe site ne comporte aucune publicité ni traceur. Il n’existe que grâce aux contributeurs qui accordent de leur temps ou participent financièrement. Merci à eux !\n  PengouinBSD, pour tout son temps d’administration, de traduction, + sa participation financière de 12 € / an (directement auprès de prx, et depuis novembre 2020, auprès de Vincent Finance, @vinishor, notre “hébergeur” actuel).\n  Mimoza, pour son temps de relecture et de modération.\n  16/10/2016 : linox\n  02/05/2017 : Arnoux Yannic\n  09/06/2017 : Frederic P. aka trefix\n  22/12/2020 : un utilisateur qui souhaite rester anonyme décide de faire une participation hebdomadaire de 5 €…\n  07/01/2020 : @Mimoza - notre 3ème donateur - nous offre une participation hebdomadaire de 2 €.\n  Merci beaucoup à vous tous ! :D\n Sans oublier tous les contributeurs qui rédigent sur le wiki et donnent de leur temps sur le forum et la liste de diffusion ♥.\nDons Vos dons financiers pour supporter le coût du serveur, une 60aine d'€ / an auprès d’obsd.ams, peuvent être fait par le moyen de :\n Liberapay  \n ","description":"Page de dons et remerciements publics auprès de tous ceux qui supportent, voire financent la communauté OBSD4a - OpenBSD Pour Tous","tags":null,"title":"Page de dons et remerciements","uri":"/donate/"},{"categories":null,"content":"OpenBSD pour tou(te?)s Communauté française autour d’OpenBSD Ce site est ouvert à tou(te)s : des débutant(e)s qui n’oseraient pas discuter sur la liste de diffusion anglaise et aux plus expérimenté(e)s qui voudraient échanger des astuces à propos d'OpenBSD.\nFlux de syndication Retrouvez les flux de syndication suivants :\n Atom RSS  Les services La communauté “OpenBSD Pour Tous” fournit :\n un forum de discussion, entraide, et informations un wiki collaboratif - une documentation fournissant diverses traductions dont celles du site OpenBSD, de ses différentes FAQ - celle de PF et des Ports. une liste de diffusion.  Elle est également présente à travers :\n IRC : irc.geeknode.org #obsd4a Matrix : #obsd4a:matrix.fdn.fr et sur le salon XMPP : obsd4a%irc.geeknode.org@irc.automario.eu.  Remerciements Merci à toutes les personnes qui donnent de leur temps ou un peu d’argent pour faire vivre ce site.\nHistorique Cette communauté, historiquement appelée OBSD4a, est créée depuis 2016, vers l’époque d’OpenBSD 5.9.\nLes raisons : partant du constat de la nécessité de promouvoir en français, de manière claire, simple OpenBSD auprès d’un public débutant, Xavier Cartron, @prx est l’initiateur de ce projet. Auquel s’est joint Stéphane HUC, @PengouinBSD, afin de le soutenir dans l’administration de celui-ci. Ce sont les deux fondateurs de cette communauté.\nHébergement Ce site, ainsi que le forum et le wiki, sont hébergés sur une machine virtuelle louée chez obsd.ams.\n ","description":"À-propos de la communauté française d’OpenBSD","tags":null,"title":"À-propos…","uri":"/about/"}]
+[{"categories":["Syspatch"],"content":"Correctif de sécurité Les VM invitées pouvaient causer des débordements de la pile en créant des requêtes dhcp malicieuses lors de l’utilisation des interfaces locales.\n Architecture ciblée : amd64.   Syspatch 1  # syspatch   Ensuite, préférez redémarrer le service et vos VM.\nRestart 1  # rcctl restart vmd    Documentations ⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: vmd","tags":["Syspatch","vmd","6.8","6.9"],"title":"Syspatch : vmd (2021/06/08)","uri":"/posts/2021/06/08/syspatch-vmd-6.8-6.9/"},{"categories":["Syspatch"],"content":"Correctifs de fiabilité 1/ pour les CPU Intel et AMD : cpuswitch\nLes machines récentes basées sur les CPU Intel ou AMD peuvent planter car le noyau ne vidait pas toutes les TLB dont les processus multi-thread requerraient.\n Architectures ciblées : amd64.  2/ pour les GPU Intel : inteldrm\nDésactive la fonctionnalité PPGTT des GPU Intel Cherryview et Braswell afin d’éviter une corruption de la mémoire.\n Architecture ciblée : amd64 et i386.   Syspatch Cette étape ne concerne que les architectures amd64, i386 !\n1  # syspatch   Ensuite redémarrez la machine car ces correctifs affectent le noyau !\nRestart 1  # reboot    Documentations ⇒ Note : La TLB est une mémoire cache du processeur. cf : Article Wikipédia à-propos de la TLB : FR, EN\n⇒ Note : la fonctionnalité PPGTT (Per-Process Graphics Translation Tables) semble être un processus d’isolation du GPU. cf : Article sur Phoronix\n⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: Intel et AMD CPU","tags":["Syspatch","cpu","6.8","6.9"],"title":"Syspatch : cpuswitch + inteldrm (2021/06/07)","uri":"/posts/2021/06/07/syspatch-cpuswitch-inteldrm-6.8-6.9/"},{"categories":null,"content":"Description Une petite annonce officielle pour informer de nos changements de canaux de discussion :\n Canal IRC : #obsd4a / irc.geeknode.org Salon Matrix : #obsd4a:matrix.fdn.fr  la communauté est “visible” sur son espace de communauté Matrix   Salon Jabber (XMPP) : #obsd4a%irc.geeknode.org@irc.automario.eu  À vous de basculer vers ses nouveaux canaux de discussions officiels !\nMerci d’en tenir compte…\n ","description":"La communauté ‘OpenBSD Pour Tous’ change de canaux de communications.","tags":null,"title":"Changement de canal sur IRC, Jabber et Matrix","uri":"/posts/2021/06/01/changement-irc-matrix-xmpp/"},{"categories":["Syspatch"],"content":"Correctifs de fiabilité pmapglobal Les machines Intel récentes pouvaient planter ou se bloquer car les mappages globaux venant de la TLB n’étaient pas vidés.\n Architecture ciblée : amd64.   Syspatch 1  # syspatch   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRestart 1  # reboot    Documentations ⇒ Note : La TLB est une mémoire cache du processeur. ⇒ Article Wikipédia à-propos de la TLB : FR, EN\n⇒ Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: pmapglobal","tags":["Syspatch","pmapglobal","6.8","6.9"],"title":"Syspatch : pmapglobal (2021/05/22)","uri":"/posts/2021/05/23/syspatch-pmapglobal-6.8-6.9/"},{"categories":["Syspatch"],"content":"Correctif de sécurité Une validation insuffisante des trames A-MSDU et des frames 802.11 fragmentées pouvait être abusée pour injecter des frames arbitraires.\n Architectures ciblées : toutes celles supportées par le projet OpenBSD.   Pour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\nAprès avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n pour 6.9  1 2 3  # https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/004_net80211.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 004_net80211.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    pour 6.8  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/021_net80211.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 021_net80211.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    la phase de recompilation :  1 2 3 4 5 6  $ KK=`sysctl -n kern.osversion | cut -d# -f1` $ cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Ensuite redémarrez la machine car ce correctif affecte le noyau !\nRestart 1  # reboot    Documentations Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: net80211 (Wifi)","tags":["Syspatch","net80211","6.8","6.9"],"title":"Syspatch : net80211 (2021/05/20)","uri":"/posts/2021/05/20/syspatch-net82011-6.8-6.9/"},{"categories":["OpenIKED","rpki-client"],"content":"Description L’équipe OpenBSD dévoile deux nouvelles versions de ses produits phares :\n OpenIKED v6.9.0 rpki-client v7.1  OpenIKED Cette implémentation libre d’IKEv2, faisant partie du projet d’OpenBSD, est basée sur la version d’OpenBSD 6.9.\n L’équipe en profite pour renouveller complétement la version portable, connue pour fonctionner sur :\n certaines distributions Linux, telles Arch Linux, Debian 10 et sur certains BSD : FreeBSD 12, FreeBSD 13 et NetBSD 9.   Pour rappel, la version portable peut être téléchargée depuis les miroirs du projet OpenBSD, sous le répertoire : /pub/OpenBSD/OpenIKED.\n Ceux qui veulent faire remonter des bogues, peuvent le faire sur :\n bugs@openbsd.org : pour les bogues de manière générale https://github.com/openiked/openiked-portable, spécifiques à la version portable  rpki-client Cette nouvelle version 7.1 intègre les changements suivants :\n * Add keep-alive support to the HTTP client code for RRDP, * Reference-count and delete unused files synced via RRDP, as far as possible, * In the JSON output, change the AS Number from a string (\"AS123\") to an integer (\"123\") to make processing of the output easier, * Add an 'expires' column to CSV \u0026 JSON output, based on certificate and CRL validity times. The 'expires' value can be used to avoid route selection based on stale data when generating VRP sets, when faced with loss of communication between consumer and valdiator, or validator and CA repository, * Make the runtime timeout (-s option) also triggers in child proecesses. * Improved RRDP support, we encourage testing of RRDP with the -r option so that RRDP can be enabled by default in a future release. Please report any issues found. Quant à la version portable :\n * Improve support for older libressl versions (altough the latest stable release is recommended), * Add missing compat headers in release packages so they build on Alpine Linux and macOS.  Pour rappel, rpki-client est connu pour fonctionner sur les systèmes d’exploitation suivant :\n Alpine 3.12, Debian 9, 10, Fedora 31, 32, 33, macOS, RHEL/CentOS 7, 8, Windows Subsystem for Linux 2, et OpenBSD.   La version portable peut être téléchargée depuis :\n https://www.rpki-client.org/portable.html   Si vous souhaitez faire remonter des bogues, faites-le sur :\n tech@openbsd.org pour les bogues généraux https://github.com/rpki-client/rpki-client-portable pour ceux relatifs à la version portable   ","description":"Sortie des versions d’OpenIKED 6.9 et rpki-client 7.1","tags":["OpenIKED","rpki-client","6.9","7.1"],"title":"OpenIKED 6.9.0 ; rpki-client 7.1","uri":"/posts/2021/05/18/openiked-6.9-rpki-client-7.1/"},{"categories":["Syspatch"],"content":"Correctifs de sécurité 1/ pour la libX11 :\nLes vérifications des longueurs de requêtes dans la bibliothèque libX11 étaient manquantes.\n Architectures ciblées : toutes celles supportées par le projet OpenBSD.  2/ pour vmd :\nLes pilotes virtio des invités de vmd pouvaient provoquer des débordements de pile en fabriquant des longueurs de descripteurs virtio invalides.\n Architecture ciblée : amd64.   Pour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service, si utilisé !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\nAprès avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n⇒ Pour la libX11 :\n pour 6.9  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/002_libx11.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 002_libx11.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    pour 6.8  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/019_libx11.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 019_libx11.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    la phase de recompilation :  1 2 3  $ cd /usr/xenocara/lib/libX11 # make -f Makefile.bsd-wrapper obj # make -f Makefile.bsd-wrapper build   Ensuite redémarrez le service xenodm, si utilisé !\n⇒ pour vmd, utilisez simplement syspatch…\nEnsuite redémarrez le service vmd, voire les VM, si utilisés !\nRestart 1  # rcctl restart vmd xenodm    Plus d’informations sur les pages d’Errata 6.9 et 6.8… et leurs versions FR respectives : 6.9 FR et 6.8 FR.\n ","description":"Correctif OpenBSD: libX11 \u0026 vmd","tags":["Syspatch","libX11","vmd","6.8","6.9"],"title":"Syspatch : libX11, vmd (2021/05/18)","uri":"/posts/2021/05/18/syspatch-libx11-vmd-6.8-6.9/"},{"categories":["LibreSSL"],"content":"Description L’équipe d’OpenBSD dévoile la nouvelle version stable de LibreSSL, basée sur OpenBSD 6.9.\nCette version inclut les changements suivants :\n⇒ De nouvelles fonctionnalités :\n* Support for DTLSv1.2. * Continued rewrite of the record layer for the legacy stack. * Numerous bugs and interoperability issues were fixed in the new verifier. A few bugs and incompatibilities remain, so this release uses the old verifier by default. * The OpenSSL 1.1 TLSv1.3 API is not yet available. ⇒ Des améliorations pour la version portable :\n* Added '--enable-libtls-only' build option, which builds and installs a statically-linked libtls, skipping libcrypto and libssl. This is useful for systems that ship with OpenSSL but wish to also package libtls. * Update getentropy on Windows to use Cryptography Next Generation (CNG). wincrypt is deprecated and no longer works with newer Windows environments, such as in Windows Store apps. ⇒ Des améliorations de l’API et de la Documentation :\n* Add a number of RPKI OIDs from RFC 6482, 6484, 6493, 8182, 8360, draft-ietf-sidrops-rpki-rta, and draft-ietf-opsawg-finding-geofeeds. * Add support for SSL_get_shared_ciphers(3) with TLSv1.3. * Add DTLSv1.2 methods. * Implement SSL_is_dtls(3) and use it internally in place of the SSL_IS_DTLS macro. * Provide EVP_PKEY_new_CMAC_KEY(3). * Add missing prototype for d2i_DSAPrivateKey_fp(3) to x509.h. * Add DTLSv1.2 to openssl(1) s_server and s_client protocol message logging. * Provide SSL_use_certificate_chain_file(3). * Provide SSL_set_hostflags(3) and SSL_get0_peername(3). * Provide various DTLSv1.2 specific functions and defines. * Document meaning of '*' in the genrsa output. * Updated documentation for SSL_get_shared_ciphers(3). * Add documentation for SSL_get_finished(3). * Document EVP_PKEY_new_CMAC_key(3). * Document SSL_use_certificate_chain_file(3). * Document SSL_set_hostflags(3) and SSL_get0_peername(3). * Update SSL_get_version(3) manual for DTLSv.1.2 support. * Make supported protocols and options for DHE params more prominent in tls_config_set_protocols(3). * Various documentation improvements around TLS methods. ⇒ Des changements de compatibilités :\n* Make openssl(1) s_server ignore -4 and -6 for compatibility with OpenSSL. * Set SO_REUSEADDR on the server socket in the openssl(1) ocsp command. * Send a host header with OCSP queries to make openssl(1) ocsp work with some widely used OCSP responders. * Add ability to ocspcheck(8) to parse a port in the specified OCSP URL. * Implement auto chain for the TLSv1.3 server since some software relies on this. * Implement key exporter for TLSv1.3. * Align SSL_get_shared_ciphers(3) with OpenSSL. This takes into account that it never returned server ciphers, so now it will fail when called from the client side. * Sync cert.pem with Mozilla NSS root CAs except \"GeoTrust Global CA\". * Make SSL{_CTX,}_get_{min,max}_proto_version(3) return a version of zero if the minimum or maximum has been set to zero to match OpenSSL's behavior. * Add DTLSv1.2 support to openssl(1) s_client/s_server. * Testing and Proactive Security * Malformed ASN.1 in a certificate revocation list or a timestamp response token can lead to a NULL pointer dereference. * Pull in fix for EVP_CipherUpdate(3) overflow from OpenSSL. * Use EXFLAG_INVALID to handle out of memory and parse errors in x509v3_cache_extensions(). * Refactor and clean up ocspcheck(8) and add regression tests. * Internal Improvements * Further cleanup of the DTLS record handling. * Continue the replacement of the TLSv1.2 record layer by reimplementing the read side of the TLSv1.2 record handling. * Replace DTLSv1_enc_data() with TLSv1_1_enc_data(). * Merge d1_{clnt,srvr}.c into ssl_{clnt,srvr}.c. * Add const to ssl_ciphers and tls1[23]_sigalgs* to push them into .data.rel.ro and .rodata, respectively. * Add a const qualifier to srtp_known_profiles. * Simplify TLS method by removing the client and server specific methods internally. * Avoid casting away const in ssl_ctx_make_profiles(). * Avoid explicitly conditioning an assert on DTLS1_VERSION to make the assert work for newer DTLS versions. * Merge SSL_ENC_METHOD into SSL_METHOD_INTERNAL. * Add a flag to mark DTLS methods as DTLS to have an easy way to recognize DTLS methods that avoids inspecting the version number. * Mark a few more internal static tables const. * Switch finish{,_peer}_md_len from an int to a size_t. * Use EVP_MD_MAX_MD_SIZE instead of 2 * EVP_MD_MAX_MD_SIZE as size for cert_verify_md[], finish_md[] and peer_finish_md[]. The factor 2 was a historical artefact. * Free struct members in tls13_record_layer_free() in their natural order for reviewability. * Use consistent names in tls13_{client,server}_finished_{recv,send}(). * Add tls13_secret_{init,cleanup}() and use them throughout the TLSv1.3 code base. * Move the read MAC key into the TLSv1.2 record layer. * Make tls12_record_layer_free() NULL safe. * Split the record protection from the TLSv1.2 record layer. * Clean up sequence number handling in the new TLSv1.2 record layer. * Clean up sequence number handling in DTLS. * Clean up dtls1_reset_seq_numbers(). * Factor out code for explicit IV length, block size and MAC length from tls12_record_layer_open_record_protected_cipher(). * Provide record layer overhead for DTLS. * Provide functions to determine if TLSv1.2 record protection is engaged. * Add code to handle change of cipher state in the new TLSv1.2 record layer. * Mop up now unused dtls1_build_sequence_numbers() function. * Allow setting a keypair on a tls context without specifying the private key, and fake it internally in libtls. This removes the need for privsep engines like relayd to use bogus keys. * Skip the private key check for fake private keys. * Move the private key setup from tls_configure_ssl_keypair() to a helper function with proper error checking. * Change the internal tls_configure_ssl_keypair() function to return -1 instead of 1 on failure. * Move sequence numbers into the new TLSv1.2 record layer. * Move AEAD handling into the new TLSv1.2 record layer. * Factor out legacy stack version checks. * Correct handshake MAC/PRF for various TLSv1.2 cipher suites which were originally added with the default handshake MAC and PRF rather than the SHA256 handshake MAC and PRF. * Absorb ssl3_get_algorithm2() into ssl_get_handshake_evp_md(). * Use dtls1_record_retrieve_buffered_record() to load buffered application data. * Enforce read ahead with DTLS. * Remove bogus DTLS checks that disabled ECC and OCSP. * Clean up and simplify dtls1_get_cipher(). * Group HelloVerifyRequest decoding and add missing check for trailing data. * Revise HelloVerifyRequest handling for DTLSv1.2. * Handle DTLS1_2_VERSION in various places. * Rename the \"truncated\" label into \"decode_err\" and the \"f_err\" label into \"fatal_err\". * Factor out and change some of the legacy client version code. * Simplify version checks in the TLSv1.3 client. Ensure that the server announced TLSv1.3 and nothing higher and check that the legacy_version is set to TLSv1.2 as required by RFC 8446. * Only use TLS versions internally rather than both TLS and DTLS versions since the latter are the one's complement of the human readable version numbers, which means that newer versions decrease in value. * Identify DTLS based on the version major value. * Move handling of cipher/hash based cipher suites into the new record layer. * Add tls12_record_protection_unused() and call it from CCS functions. * Move key/IV length checks closer to usage sites. Also add explicit checks against EVP_CIPHER_{iv,key}_length(). * Replace two handrolled tls12_record_protection_engaged(). * Improve internal version handling: add handshake fields for our minimum version, our maximum version and the TLS version negotiated during the handshake. Convert most of the internal code to use these version fields. * Guard against future internal use of TLS1_get_{client,}_version() macros. * Remove the internal ssl_downgrade_max_version() function which is no longer needed. * Add support for DTLSv1.2 version handling. * Remove no longer needed read ahead workarounds in the s_client and s_server. * Split TLSv1.3 record protection from record layer. * Move the TLSv1.3 handshake struct inside the shared handshake struct. * Fully initialize rrec in tls12_record_layer_open_record_protected() to avoid confusing some static analyzers. * Use tls_set_errorx() on OCSP_basic_verify() failure since the latter does not set errno. * Convert openssl(1) x509 to new option handling and do the usual clean up that goes along with it. * Add SSL_HANDSHAKE_TLS12 for TLSv1.2 specific handshake data. * Rename new_cipher to cipher to align naming with keyblock or other parts of the handshake data. * Move the TLSv1.2 record number increment into the new record layer. * Move finished and peer finished into the handshake struct. * Remove pointless assignment in SSL_get0_alpn_selected(). * Add some error checking to openssl(1) x509. ⇒ Des correctifs de bogue :\n* Move point-on-curve check to set_affine_coordinates to avoid verifying ECDSA signatures with unchecked public keys. * Fix SSL_is_server(3) to behave as documented by re-introducing the client-specific methods. * Avoid undefined behavior due to memcpy(NULL, NULL, 0). * Make SSL_get{,_peer}_finished() work when used with TLSv1.3. * Correct the return value type from ERR_peek_error() to a long. * Avoid use of uninitialized in ASN1_time_parse() which could happen on parsing UTCTime if the caller did not initialize the passed struct tm. * Destroy the mutex in a tls_config object on tls_config_free(). * Free alert_data and phh_data in tls13_record_layer_free(). These could leak if SSL_shutdown(3) or tls_close(3) were called after closing the underlying socket(). * Gracefully handle root certificates being both trusted and untrusted. * Handle X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE in the new verifier. * Use the legacy verifier when building auto chains for TLS. * Search the intermediates only after searching the root certs in the new verifier to avoid problems with the legacy callback. * Bail out early after finding a single chain in the new verifier, if we have been called via the legacy verifier API. * Set (invalid and likely incomplete) chain on the xsc on chain build failure prior to calling the callback. This is required by various callers, including auto chain. * Remove direct assignment of aead_ctx to avoid a leak. * Fail early in legacy exporter if the master secret is not available to avoid a segfault if it is called when the handshake is not completed. * Only print the certificate file once on verification failure. * Fix an off-by-one in x509_verify_set_xsc_chain() to make sure that the new validator checks for EXFLAG_CRITICAL in x509_vfy_check_chain_extension() for all untrusted certs in the chain. Take into account that the root is not necessarily trusted. * Avoid passing last and depth to x509_verify_cert_error() on ENOMEM. * Fix two bugs in the legacy verifier that resulted from refactoring of X509_verify_cert(3) for the new verifier: a return value was incorrectly treated as boolean, making it insufficient to decide whether validation should carry on or not. * Fix checks for memory caps of constraints names. There are internal caps on the number of name constraints and other names, that the new name constraints code allocates per cert chain. These limits were checked too late, making them only partially effective. * Fix a copy-paste error - skid was confused with an akid when checking for EXFLAG_INVALID. This broke OCSP validation with certain mirrors. * Avoid a use-after-scope in tls13_cert_add(). * Avoid mangled output in BIO_debug_callback(). * Fix client initiated renegotiation by replacing use of s-\u003einternal-type with s-\u003eserver. * Avoid transcript initialization when sending a TLS HelloRequest, fixing server initiated renegotiation. * Avoid leaking param-\u003ename in x509_verify_param_zero(). * Avoid a leak in an error path in openssl(1) x509. * When sending an alert in TLSv1.3, only set its error code when no other error was set previously. Certain clients rely on specific SSL_R_ error codes to identify that they are dealing with a self signed cert. * When switching from the TLSv1.3 stack to the legacy stack include a TLS record header. This is necessary if there is more than one handshake message in the TLS plaintext record. * Fix resource handling on error in OCSP_request_add0_id(). * Make sure there is enough room for stashing the handshake message when switching to the legacy TLS stack. * Fix a memory leak in the openssl(1) s_client. * Unbreak DTLS retransmissions for flights that include a CCS. * If x509_verify() fails, ensure that the error is set on both the x509_verify_ctx() and its store context to make some failures visible from SSL_get_verify_result(). * Use the X509_STORE_CTX get_issuer() callback from the new X.509 verifier to fix hashed certificate directories. * Only check BIO_should_read(3) on read and BIO_should_write(3) on write. Previously, BIO_should_write(3) was also checked after read and BIO_should_read(3) after write which could cause stalls in software that uses the same BIO for read and write. * In openssl(1) verify, also check for error on the store context since the return value of X509_verify_cert(3) is unreliable in presence of a callback that returns 1 too often. * Handle additional certificate error cases in the new X.509 verifier. Keep track of the errors encountered if a verify callback tells the verifier to continue and report them back via the error on the store context. This mimics the behavior of the old verifier that would persist the first error encountered while building the chain. * Report specific failures for \"self signed certificates\" in a way compatible with the old verifier since software relies on the error code. * Plug a large memory leak in the new verifier caused by calling X509_policy_check(3) repeatedly. * Avoid leaking memory in x509_verify_chain_dup().  Retrouvez la note de version :\n 3.3.3   ","description":"Sortie de LibreSSL: 3.3.3 (2021/05/04)","tags":["LibreSSL","3.3"],"title":"LibreSSL : 3.3.3","uri":"/posts/2021/05/04/libressl-3.3.3/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité : vmd Les VM invités de vmd peuvent déclencher des messages de journalisation excessifs sur l’hôte par l’envoi de certains paquets réseaux.\nPour toutes les architectures supportées :\n amd64 par syspatch ou par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite, préférez redémarrer le service et vos VM.\nRecompilation Voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/001_vmd.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 001_vmd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  $ cd /usr/src/usr.sbin/vmd # make obj # make # make install   Ensuite, préférez redémarrer le service et vos VM.\nRestart 1  # rcctl restart vmd    Plus d’informations sur les pages d’Errata 6.9… et la versions FR respective : 6.9 FR.\n ","description":"Correctif OpenBSD: vmd","tags":["Syspatch","vmd","6.9"],"title":"Syspatch : vmd (2021/05/04)","uri":"/posts/2021/05/04/syspatch-vmd-6.9/"},{"categories":["OpenBSD"],"content":"Description L’équipe OpenBSD sort la version 6.9 d'OpenBSD.\nC’est la 50ème mouture du système d’exploitation.\nL’équipe est fière d’annoncer que cela fait plus de 20 ans qu’elle n’a eu que deux failles de sécurités à distance dans l’installation de base.\nChangelog ⇒ De nombreux changements, améliorations sont apportés :\n début de la prise en charge du SOC M1 Apple amélioration du support des plateformes arm64, PowerPC64 des améliorations autour du noyau, dont parmi les plus notables :  RAID1C: prise en charge du chiffrement pour le Raid1 video(4): introduction du paramètre sysctl kern.video.record désactivé par défaut, dans le contexte de politique de confidentialité ; et la possibilité d’activer plusieurs dispositifs en même temps.   des améliorations pour le SMP (processeurs multiples) des améliorations pour la virtualisation VMD/VMM, dont principalement :  ajout du dispositif veb(4) en tant que bridge supporté par vmd(8). ajout de la capacité de démarrer sur les ramdisk compressés   de nouvelles fonctionnalités en “espace utilisateur” :  doas.conf: ajout de l’option “nolog” afin de ne pas avoir d’enregistrement dans syslog(3). sndio(7) et sndiod(8): autovolume désactivé par défaut, et volume par défaut sur 127 logger(1) pour rcctl(8), rc.subr(8) et rc.d(8) wscontl(8): une meilleure gestion des mouvements et autres touchés des touchpads apm(4) actif pour l’architecture arm64.   de nombreuses améliorations et autres ajouts de différents matériels, de dispositifs réseaux dont wifi des changements notables dans PF, IPSec, httpd, d’outils tels rpki-client, dig, dhclient, dont :  deux nouveaux démons dhcpleased(8) et resolvd(8) ont été ajoutés, désactivés par défaut, gérables par le contrôleur rcctl afin de fournir une configuration simple et cohérente des interfaces réseaux et de la résolution DNS.    et, bien sûr bien d’autres changements, correctifs et ajouts, lisibles en anglais dans l'annonce officielle.\n⇒ Parmi les nouvelles versions de logiciels internes à OpenBSD 6.9, retrouvons :\n LibreSSL 3.3.2 OpenSSH 8.5 OpenSMTPD 6.9.0  Guide de Migration Retrouvez le Guide de Migration 6.8 → 6.9 qui explique :\n ce qu’il faut faire avant d’utiliser la méthode de mise à niveau de choisir sa méthode de mise à niveau, dont la méthode de mise sans surveillance par le biais de sysupgrade(8). ce qu’il est nécessaire de faire après la mise à niveau sans oublier ensuite de gérer les changements de configuration et de syntaxe, les fichiers à supprimer, et de vérifier certains paquets spécifiques.   la version officielle EN du guide : https://www.openbsd.org/faq/upgrade69.html la traduction EN → FR officieuse par nos soins : https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/faq/upgrade69   Art ⇒ Voici le poster :\n\n⇒ Retrouvez la nouvelle chanson nommée “Vetera Novis”.\n https://www.OpenBSD.org/lyrics.html#69  Vente ⇒ Et voici la vente officielle de vêtements estampillés OpenBSD 6.9 :\n https://openbsd.creator-spring.com/search?searchterm=6.9   ","description":"Sortie d’OpenBSD 6.9 (20210501)","tags":["OpenBSD","6.9"],"title":"OpenBSD 6.9","uri":"/posts/2021/05/01/openbsd-6.9/"},{"categories":["Syspatch"],"content":"Correctif de sécurité XInput Des échecs de validations d’entrées dans les extensions XInput du serveur X peuvent permettre une élévation des privilèges pour des clients autorisés.\nIl vaut mieux redémarrer le service X après l’application du correctif ! (ou les clients X utilisés)\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/018_xi.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 018_xi.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/038_xi.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 038_xi.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3  $ cd /usr/xenocara/xserver # make -f Makefile.bsd-wrapper obj # make -f Makefile.bsd-wrapper build   Pour finir, redémarrez le service !\nRestart 1  # rcctl restart xenodm    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: Serveur X","tags":["Syspatch","XInput","6.7","6.8"],"title":"Syspatch : XInput (2021/04/13)","uri":"/posts/2021/04/13/syspatch-xi-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.\nElle inclut le correctif suivant :\n* A TLS client using session resumption may cause a use-after-free.  Retrouvez la note de version :\n 3.2.45   ","description":"Sortie de LibreSSL: 3.2.5 (2021/03/17)","tags":["LibreSSL","3.2"],"title":"LibreSSL : 3.2.5","uri":"/posts/2021/03/17/libressl-3.2.5/"},{"categories":["Syspatch"],"content":"Correctif de sécurité Un client TLS utilisant la reprise de session peut provoquer une utilisation après libération (use-after-free).\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service unwind si vous l’utilisez !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/017_libssl.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 017_libssl.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6 7 8  $ cd /usr/src/lib/libssl # make obj  # make # make install $ cd /usr/src/sbin/unwind # make obj # make # make install   Ensuite redémarrez le service unwind si vous l’utilisez !\nRestart 1  # rcctl restart unwind    Plus d’informations sur les pages d’Errata 6.8… et leurs versions FR respectives : 6.8 FR.\n ","description":"Correctif OpenBSD: libssl","tags":["Syspatch","libssl","6.8"],"title":"Syspatch : libssl (2021/03/15)","uri":"/posts/2021/03/15/syspatch-libssl-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité npppd Le gestionnaire de protocole PPTP peut provoquer une sur-lecture du tas, ce qui peut entraîner un crash.\nIl est nécessaire de redémarrer le service après l’application du correctif !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service, si utilisé !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/016_npppd.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 016_npppd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/037_npppd.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 037_npppd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  $ cd /usr/src/usr.sbin/npppd # make obj # make # make install   Ensuite redémarrez le service, si utilisé !\nRestart 1  # rcctl restart npppd    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: npppd","tags":["Syspatch","npppd","6.7","6.8"],"title":"Syspatch : npppd (2021/03/09)","uri":"/posts/2021/03/09/syspatch-npppd-6.7-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité ssh-agent Double libération (de mémoire) dans ssh-agent(1)\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez votre client ssh-agent !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/015_sshagent.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 015_sshagent.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/036_sshagent.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 036_sshagent.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5  $ cd /usr/src/usr.bin/ssh # make obj # make clean # make # make install   Ensuite redémarrez votre client ssh-agent !\n Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: SSH","tags":["Syspatch","ssh","6.7","6.8"],"title":"Syspatch : ssh-agent (2021/03/03)","uri":"/posts/2021/03/03/syspatch-ssh-agent-6.7-6.8/"},{"categories":["Syspatch"],"content":"Correctif de sécurité pffrag Une séquence de fragments IPv4 se chevauchant pourrait faire planter le noyau en pf en raison d’une assertion.\nIl est nécessaire de redémarrer le noyau !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/014_pffrag.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 014_pffrag.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/035_pffrag.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 035_pffrag.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: PF","tags":["Syspatch","PF","6.7","6.8"],"title":"Syspatch : pffrag (2021/02/24)","uri":"/posts/2021/02/24/syspatch-pffrag-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.\nElle inclut les correctifs des bogues et d’interopérabilités suivants :\n* Switch back to certificate verification code from LibreSSL 3.1.x. The new verifier is not bug compatible with the old verifier causing issues with applications expecting behavior of the old verifier. * Unbreak DTLS retransmissions for flights that include a CCS * Only check BIO_should_read() on read and BIO_should_write() on write * Implement autochain for the TLSv1.3 server * Use the legacy verifier for autochain * Implement exporter for TLSv1.3 * Free alert_data and phh_data in tls13_record_layer_free() * Plug leak in x509_verify_chain_dup() * Free the policy tree in x509_vfy_check_policy()  Retrouvez la note de version :\n 3.2.4   ","description":"Sortie de LibreSSL: 3.2.4 (2021/02/12)","tags":["LibreSSL","3.2"],"title":"LibreSSL : 3.2.4","uri":"/posts/2021/02/13/libressl-3.2.4/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité libressl De nombreux problèmes d’interopérabilité et failles mémoire ont été découvertes dans les bibliothèques libcrypto et libssl.\nIl peut-être nécessaire de redémarrer certains services, tels isakmpd, unwind.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez les services utilisés, si c’est le cas !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/013_libressl.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 013_libressl.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16  cd /usr/src/lib/libcrypto make obj make make install cd /usr/src/lib/libssl make obj make make install cd /usr/src/sbin/isakmpd make obj make make install cd /usr/src/sbin/unwind make obj make make install   Pour finir, redémarrez les services, si utilisés.\nRestart 1  # rcctl restart isakmpd unwind    Plus d’informations sur les pages d’Errata 6.8… et leurs versions FR respectives : 6.8 FR.\n ","description":"Correctif OpenBSD: libressl","tags":["Syspatch","libressl","6.8"],"title":"Syspatch : libressl (2021/02/02)","uri":"/posts/2021/02/03/syspatch-libressl-6.8/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité carp L’utilisation de bpf(4) sur une interface CARP pourrait entraîner une utilisation après une erreur.\nIl est nécessaire de redémarrer la machine car ce correctif affecte le noyau.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/012_carp.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 012_carp.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: carp, bpf","tags":["Syspatch","carp","bpf","6.8"],"title":"Syspatch : carp (2021/01/13)","uri":"/posts/2021/01/13/syspatch-carp-bpf/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité nd6 Quand une entrée NDP est invalide sur la couche de niveau 2, celle-ci n’est pas invalidée.\nIl est nécessaire de redémarrer la machine car ce correctif affecte le noyau.\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez la machine !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/011_nd6.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 011_nd6.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/034_nd6.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 034_nd6.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4 5 6  # KK=`sysctl -n kern.osversion | cut -d# -f1` # cd /usr/src/sys/arch/`machine`/compile/$KK # make obj # make config # make # make install   Pour finir, redémarrez la machine !\nRestart 1  # reboot    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: NDP","tags":["Syspatch","NDP","IPv6","6.7","6.8"],"title":"Syspatch : NDP - IPv6 (2021/01/11)","uri":"/posts/2021/01/11/syspatch-nd6/"},{"categories":["Syspatch"],"content":"Correctif de fiabilité smtpd La machine à états de filtrage de smtpd peut libérer prématurément des ressources conduisant à un plantage.\nIl est nécessaire de redémarrer le service après l’application du correctif !\nPour toutes les architectures supportées :\n amd64, arm64, i386 par syspatch armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation   Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386 !\n1  # syspatch   Ensuite redémarrez le service !\nRecompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :\n⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :\n Pour 6.8 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/010_smtpd.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 010_smtpd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)    Pour 6.7 :  1 2 3  # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/033_smtpd.patch.sig # signify -Vep /etc/signify/openbsd-67-base.pub -x 033_smtpd.patch.sig \\ -m - | (cd /usr/src \u0026\u0026 patch -p0)   ⇒ La phase de recompilation :\n1 2 3 4  # cd /usr/src/usr.sbin/smtpd # make obj # make # make install   Pour finir, redémarrez le service !\nRestart 1  # rcctl restart smtpd    Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: smtpd","tags":["Syspatch","smtpd","6.7","6.8"],"title":"Syspatch : smptd (2020/12/23)","uri":"/posts/2020/12/24/syspatch-smptd-6.7-6.8/"},{"categories":["LibreSSL"],"content":"Description Suite au correctif de sécurité à-propos d’asn.1, l’équipe OpenBSD délivre trois nouvelles versions de LibreSSL.\nRetrouvez les notes respectives de ces trois versions :\n 3.3.1 3.2.3 3.1.5   ","description":"Sortie de trois versions de LibreSSL: 3.3.1, 3.2.3, 3.1.5 (2020/12/09)","tags":["LibreSSL","3.3","3.2","3.1"],"title":"LibreSSL : 3.3.1, 3.2.3, 3.1.5","uri":"/posts/2020/12/09/libressl-3.3.1-3.2.3-3.1.5/"},{"categories":["OpenNTPD"],"content":"Description L’équipe OpenBSD sort une nouvelle version d’OpenNTDP, la 6.8p1.\ncela fait quelques années qu’il n’y avait pas eu de sortie majeure, depuis la 6.2p3\nChangelog   The ntpd daemon now gets and sets the clock in a secure way when booting even when a battery-backed clock is absent.\n  Improvements in DNS resolving and constraints checking, especially during startup. Unreliable NTP peers are removed from the pool and DNS resolving is repeated to add replacements.\n  Improved reliability and security of TLS constraint checking.\n  Improved logging of failure cases.\n  Prevent the case of multiple ntpds running at once by checking presence of the local control socket.\n  TLS certificates are now searched in TLS_CA_CERT_FILE.\n  The default ntpd.conf configuration file now uses 9.9.9.9 and 2620:fe::fe, in addition to google.com, when performing time constraint validation.\n  Improved handling unsynched mode when there is no replies from an NTP server, such as when there are network connectivity issues.\n  To build OpenNTPD with time constraint support, libtls from LibreSSL 3.2.2 or later is recommended.\n   ","description":"Sortie d’OpenNTPD 6.8p1 (20201209)","tags":["OpenNTPD","6.8"],"title":"OpenNTPD 6.8p1","uri":"/posts/2020/12/09/openntpd-6.8p1/"},{"categories":["Syspatch"],"content":"Correctif de Sécurité asn.1 Concernant LibreSSL, une notation ASN.1 mal formée dans une liste de révocation de certificat ou une réponse de timestamp peut amener vers un pointeur de déréférencement NULL\n le correctif affecte le noyau OpenBSD 6.7 et 6.8 et nécessite le redémarrage de la machine  Correctif de fiabilité exit Lors d’un processus de sortie, dans des programmes multithread un faux code de sortie peut être reporté.\n Plus d’informations sur les pages d’Errata 6.8 et 6.7… et leurs versions FR respectives : 6.8 FR et 6.7 FR.\n ","description":"Correctif OpenBSD: asn.1 \u0026 exit","tags":["Syspatch","asn.1","exit","6.7","6.8"],"title":"Syspatch : asn.1, exit (2020/12/08)","uri":"/posts/2020/12/09/syspatch-asn1-exit/"},{"categories":null,"content":"Description Une liste de diffusion est disponible pour toute personne souhaitant demander de l’aide ou simplement discuter par un autre biais que le forum.\nPour écrire un message, la liste ne nécessite pas d’inscription. Toutefois, pour recevoir les messages envoyés sur la liste, il faut être inscrit.\nUtilisation  Pour écrire à la liste, adressez un email à l’adresse blabla@openbsd.fr.eu.org. Merci d’écrire vos messages au format text/plain. Les messages en html ne seront pas publiés. Si vous souhaitez vous inscrire à la liste pour recevoir les messages qui y sont postés, envoyez un message à blabla+subscribe@openbsd.fr.eu.org. Peu importe le sujet choisi. Les messages envoyés sur la liste sont gardés en copie pour consultation et recherche ultérieure. Les archives sont publiques et disponibles ici. Les messages sont synchronisés tous les jours, à une heure fixe. Pour ne plus recevoir les messages de la liste, envoyez un message à l’adresse blabla+unsubscribe@openbsd.fr.eu.org. Le serveur utilise Rspamd pour l’anti-spam, un délai est possible avant que votre message ne soit publié.   ","description":"Liste de diffusion de la communauté OBSD4a - OpenBSD Pour Tous","tags":null,"title":"Liste de diffusion","uri":"/liste/"},{"categories":null,"content":"OpenBSD pour tou(te?)s existe aussi grâce à…\nCe site ne comporte aucune publicité ni traceur. Il n’existe que grâce aux contributeurs qui accordent de leur temps ou participent financièrement. Merci à eux !\n  PengouinBSD, pour tout son temps d’administration, de traduction, + sa participation financière de 12 € / an (directement auprès de prx, et depuis novembre 2020, auprès de Vincent Finance, @vinishor, notre “hébergeur” actuel).\n  Mimoza, pour son temps de relecture et de modération.\n  16/10/2016 : linox\n  02/05/2017 : Arnoux Yannic\n  09/06/2017 : Frederic P. aka trefix\n  22/12/2020 : un utilisateur qui souhaite rester anonyme décide de faire une participation hebdomadaire de 5 €…\n  07/01/2020 : @Mimoza - notre 3ème donateur - nous offre une participation hebdomadaire de 2 €.\n  Merci beaucoup à vous tous ! :D\n Sans oublier tous les contributeurs qui rédigent sur le wiki et donnent de leur temps sur le forum et la liste de diffusion ♥.\nDons Vos dons financiers pour supporter le coût du serveur, une 60aine d'€ / an auprès d’obsd.ams, peuvent être fait par le moyen de :\n Liberapay  \n ","description":"Page de dons et remerciements publics auprès de tous ceux qui supportent, voire financent la communauté OBSD4a - OpenBSD Pour Tous","tags":null,"title":"Page de dons et remerciements","uri":"/donate/"},{"categories":null,"content":"OpenBSD pour tou(te?)s Communauté française autour d’OpenBSD Ce site est ouvert à tou(te)s : des débutant(e)s qui n’oseraient pas discuter sur la liste de diffusion anglaise et aux plus expérimenté(e)s qui voudraient échanger des astuces à propos d'OpenBSD.\nFlux de syndication Retrouvez les flux de syndication suivants :\n Atom RSS  Les services La communauté “OpenBSD Pour Tous” fournit :\n un forum de discussion, entraide, et informations un wiki collaboratif - une documentation fournissant diverses traductions dont celles du site OpenBSD, de ses différentes FAQ - celle de PF et des Ports. une liste de diffusion.  Elle est également présente à travers :\n IRC : irc.geeknode.org #obsd4a Matrix : #obsd4a:matrix.fdn.fr et sur le salon XMPP : obsd4a%irc.geeknode.org@irc.automario.eu.  Remerciements Merci à toutes les personnes qui donnent de leur temps ou un peu d’argent pour faire vivre ce site.\nHistorique Cette communauté, historiquement appelée OBSD4a, est créée depuis 2016, vers l’époque d’OpenBSD 5.9.\nLes raisons : partant du constat de la nécessité de promouvoir en français, de manière claire, simple OpenBSD auprès d’un public débutant, Xavier Cartron, @prx est l’initiateur de ce projet. Auquel s’est joint Stéphane HUC, @PengouinBSD, afin de le soutenir dans l’administration de celui-ci. Ce sont les deux fondateurs de cette communauté.\nHébergement Ce site, ainsi que le forum et le wiki, sont hébergés sur une machine virtuelle louée chez obsd.ams.\n ","description":"À-propos de la communauté française d’OpenBSD","tags":null,"title":"À-propos…","uri":"/about/"}]
diff --git a/public/sitemap.xml b/public/sitemap.xml
index 631f413..08ab4a8 100644
--- a/public/sitemap.xml
+++ b/public/sitemap.xml
@@ -4,52 +4,52 @@
   
   <url>
     <loc>https://openbsd.fr.eu.org/tags/6.8/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/tags/6.9/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/categories/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/posts/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/tags/syspatch/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/categories/syspatch/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/posts/2021/06/08/syspatch-vmd-6.8-6.9/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/tags/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
     <loc>https://openbsd.fr.eu.org/tags/vmd/</loc>
-    <lastmod>2021-06-08T21:01:29+02:00</lastmod>
+    <lastmod>2021-06-09T09:56:58+02:00</lastmod>
   </url>
   
   <url>
diff --git a/public/tags/6.8/index.html b/public/tags/6.8/index.html
index 0a3b0bd..4b914ae 100644
--- a/public/tags/6.8/index.html
+++ b/public/tags/6.8/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/tags/6.8/",
         "name": "Tags: 6.8",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
diff --git a/public/tags/index.html b/public/tags/index.html
index 9c24ee4..37b7def 100644
--- a/public/tags/index.html
+++ b/public/tags/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/tags/",
         "name": "Tags",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",
diff --git a/public/tags/syspatch/index.html b/public/tags/syspatch/index.html
index 48a3a95..87df724 100644
--- a/public/tags/syspatch/index.html
+++ b/public/tags/syspatch/index.html
@@ -54,7 +54,7 @@
         "@context": "https://schema.org",
         "@type": "WebPage",
         "datePublished": "2016-09-01T01:01:01+00:00",
-        "dateModified": "2021-06-08T21:01:29+02:00",
+        "dateModified": "2021-06-09T09:56:58+02:00",
         "url": "https://openbsd.fr.eu.org/tags/syspatch/",
         "name": "Tags: Syspatch",
         "description": "OBSD4* : Site de la communauté francophone autour d'OpenBSD.",