OpenBSD Pour Tous 🐡

OpenBSD 6.9

puffy@openbsd.fr.eu.org (OBSD4a) — Sat, 01 May 2021 00:00:00 +0200

Description

L’équipe OpenBSD sort la version 6.9 d'OpenBSD.

C’est la 50^ème mouture du système d’exploitation.

L’équipe est fière d’annoncer que cela fait plus de 20 ans qu’elle n’a eu que deux failles de sécurités à distance dans l’installation de base.

Changelog

⇒ De nombreux changements, améliorations sont apportés :

début de la prise en charge du SOC M1 Apple
amélioration du support des plateformes arm64, PowerPC64
des améliorations autour du noyau, dont parmi les plus notables :
- RAID1C: prise en charge du chiffrement pour le Raid1
- video(4): introduction du paramètre sysctl kern.video.record désactivé par défaut, dans le contexte de politique de confidentialité ; et la possibilité d’activer plusieurs dispositifs en même temps.
des améliorations pour le SMP (processeurs multiples)
des améliorations pour la virtualisation VMD/VMM, dont principalement :
- ajout du dispositif veb(4) en tant que bridge supporté par vmd(8).
- ajout de la capacité de démarrer sur les ramdisk compressés
de nouvelles fonctionnalités en “espace utilisateur” :
- doas.conf: ajout de l’option “nolog” afin de ne pas avoir d’enregistrement dans syslog(3).
- sndio(7) et sndiod(8): autovolume désactivé par défaut, et volume par défaut sur 127
- logger(1) pour rcctl(8), rc.subr(8) et rc.d(8)
- wscontl(8): une meilleure gestion des mouvements et autres touchés des touchpads
- apm(4) actif pour l’architecture arm64.
de nombreuses améliorations et autres ajouts de différents matériels, de dispositifs réseaux dont wifi
des changements notables dans PF, IPSec, httpd, d’outils tels rpki-client, dig, dhclient, dont :
- deux nouveaux démons dhcpleased(8) et resolvd(8) ont été ajoutés, désactivés par défaut, gérables par le contrôleur rcctl afin de fournir une configuration simple et cohérente des interfaces réseaux et de la résolution DNS.

et, bien sûr bien d’autres changements, correctifs et ajouts, lisibles en anglais dans l'annonce officielle.

⇒ Parmi les nouvelles versions de logiciels internes à OpenBSD 6.9, retrouvons :

LibreSSL 3.3.2
OpenSSH 8.5
OpenSMTPD 6.9.0

Guide de Migration

Retrouvez le Guide de Migration 6.8 → 6.9 qui explique :

ce qu’il faut faire avant d’utiliser la méthode de mise à niveau
de choisir sa méthode de mise à niveau, dont la méthode de mise sans surveillance par le biais de sysupgrade(8).
ce qu’il est nécessaire de faire après la mise à niveau
sans oublier ensuite de gérer les changements de configuration et de syntaxe, les fichiers à supprimer, et de vérifier certains paquets spécifiques.

la version officielle EN du guide : https://www.openbsd.org/faq/upgrade69.html
la traduction EN → FR officieuse par nos soins : https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/faq/upgrade69

Art

⇒ Voici le poster :

⇒ Retrouvez la nouvelle chanson nommée “Vetera Novis”.

https://www.OpenBSD.org/lyrics.html#69

Vente

⇒ Et voici la vente officielle de vêtements estampillés OpenBSD 6.9 :

https://openbsd.creator-spring.com/search?searchterm=6.9

Syspatch : XInput (2021/04/13)

puffy@openbsd.fr.eu.org (OBSD4a) — Tue, 13 Apr 2021 17:23:58 +0200

Correctif de sécurité XInput

Des échecs de validations d’entrées dans les extensions XInput du serveur X peuvent permettre une élévation des privilèges pour des clients autorisés.

Il vaut mieux redémarrer le service X après l’application du correctif !
(ou les clients X utilisés)

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez le service !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/018_xi.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 018_xi.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/038_xi.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 038_xi.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

1
2
3

$ cd /usr/xenocara/xserver
# make -f Makefile.bsd-wrapper obj
# make -f Makefile.bsd-wrapper build

Pour finir, redémarrez le service !

Restart

`1`	`# rcctl restart xenodm`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

LibreSSL : 3.2.5

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 17 Mar 2021 08:45:49 +0100

Description

Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.

Elle inclut le correctif suivant :

* A TLS client using session resumption may cause a use-after-free.

Retrouvez la note de version :

3.2.45

Syspatch : libssl (2021/03/15)

puffy@openbsd.fr.eu.org (OBSD4a) — Mon, 15 Mar 2021 18:08:33 +0100

Correctif de sécurité

Un client TLS utilisant la reprise de session peut provoquer une utilisation après libération (use-after-free).

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez le service unwind si vous l’utilisez !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/017_libssl.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 017_libssl.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

$ cd /usr/src/lib/libssl
# make obj     
# make
# make install
$ cd /usr/src/sbin/unwind
# make obj
# make
# make install

Ensuite redémarrez le service unwind si vous l’utilisez !

Restart

`1`	`# rcctl restart unwind`

Plus d’informations sur les pages d’Errata 6.8…
et leurs versions FR respectives : 6.8 FR.

Syspatch : npppd (2021/03/09)

puffy@openbsd.fr.eu.org (OBSD4a) — Tue, 09 Mar 2021 12:14:49 +0100

Correctif de sécurité npppd

Le gestionnaire de protocole PPTP peut provoquer une sur-lecture du tas, ce qui peut entraîner un crash.

Il est nécessaire de redémarrer le service après l’application du correctif !

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez le service, si utilisé !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/016_npppd.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 016_npppd.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/037_npppd.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 037_npppd.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

$ cd /usr/src/usr.sbin/npppd
# make obj
# make
# make install

Ensuite redémarrez le service, si utilisé !

Restart

`1`	`# rcctl restart npppd`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

Syspatch : ssh-agent (2021/03/03)

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 03 Mar 2021 23:12:34 +0100

Correctif de sécurité ssh-agent

Double libération (de mémoire) dans ssh-agent(1)

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez votre client ssh-agent !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/015_sshagent.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 015_sshagent.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/036_sshagent.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 036_sshagent.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

$ cd /usr/src/usr.bin/ssh
# make obj
# make clean
# make
# make install

Ensuite redémarrez votre client ssh-agent !

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

Syspatch : pffrag (2021/02/24)

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 24 Feb 2021 18:52:52 +0100

Correctif de sécurité pffrag

Une séquence de fragments IPv4 se chevauchant pourrait faire planter le noyau en pf en raison d’une assertion.

Il est nécessaire de redémarrer le noyau !

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez la machine !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/014_pffrag.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 014_pffrag.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/035_pffrag.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 035_pffrag.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

# KK=`sysctl -n kern.osversion | cut -d# -f1`
# cd /usr/src/sys/arch/`machine`/compile/$KK
# make obj
# make config
# make
# make install

Pour finir, redémarrez la machine !

Restart

`1`	`# reboot`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

LibreSSL : 3.2.4

puffy@openbsd.fr.eu.org (OBSD4a) — Sat, 13 Feb 2021 06:32:39 +0100

Description

Suite au correctif libressl, l’équipe OpenBSD délivre une nouvelle version de LibreSSL.

Elle inclut les correctifs des bogues et d’interopérabilités suivants :

* Switch back to certificate verification code from LibreSSL 3.1.x. The
new verifier is not bug compatible with the old verifier causing issues
with applications expecting behavior of the old verifier.

* Unbreak DTLS retransmissions for flights that include a CCS

* Only check BIO_should_read() on read and BIO_should_write() on write

* Implement autochain for the TLSv1.3 server

* Use the legacy verifier for autochain

* Implement exporter for TLSv1.3

* Free alert_data and phh_data in tls13_record_layer_free()

* Plug leak in x509_verify_chain_dup()

* Free the policy tree in x509_vfy_check_policy()

Retrouvez la note de version :

3.2.4

Syspatch : libressl (2021/02/02)

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 03 Feb 2021 07:14:19 +0100

Correctif de fiabilité libressl

De nombreux problèmes d’interopérabilité et failles mémoire ont été découvertes dans les bibliothèques libcrypto et libssl.

Il peut-être nécessaire de redémarrer certains services, tels isakmpd, unwind.

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez les services utilisés, si c’est le cas !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/013_libressl.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 013_libressl.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

cd /usr/src/lib/libcrypto
make obj
make
make install
cd /usr/src/lib/libssl
make obj
make
make install
cd /usr/src/sbin/isakmpd
make obj
make
make install
cd /usr/src/sbin/unwind
make obj
make
make install

Pour finir, redémarrez les services, si utilisés.

Restart

`1`	`# rcctl restart isakmpd unwind`

Plus d’informations sur les pages d’Errata 6.8…
et leurs versions FR respectives : 6.8 FR.

Syspatch : carp (2021/01/13)

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 13 Jan 2021 20:02:39 +0100

Correctif de fiabilité carp

L’utilisation de bpf(4) sur une interface CARP pourrait entraîner une utilisation après une erreur.

Il est nécessaire de redémarrer la machine car ce correctif affecte le noyau.

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez la machine !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/012_carp.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 012_carp.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

# KK=`sysctl -n kern.osversion | cut -d# -f1`
# cd /usr/src/sys/arch/`machine`/compile/$KK
# make obj
# make config
# make
# make install

Pour finir, redémarrez la machine !

Restart

`1`	`# reboot`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

Syspatch : NDP - IPv6 (2021/01/11)

puffy@openbsd.fr.eu.org (OBSD4a) — Mon, 11 Jan 2021 15:05:12 +0100

Correctif de fiabilité nd6

Quand une entrée NDP est invalide sur la couche de niveau 2, celle-ci n’est pas invalidée.

Il est nécessaire de redémarrer la machine car ce correctif affecte le noyau.

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez la machine !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/011_nd6.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 011_nd6.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/034_nd6.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 034_nd6.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

# KK=`sysctl -n kern.osversion | cut -d# -f1`
# cd /usr/src/sys/arch/`machine`/compile/$KK
# make obj
# make config
# make
# make install

Pour finir, redémarrez la machine !

Restart

`1`	`# reboot`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

Syspatch : smptd (2020/12/23)

puffy@openbsd.fr.eu.org (OBSD4a) — Thu, 24 Dec 2020 15:05:12 +0100

Correctif de fiabilité smtpd

La machine à états de filtrage de smtpd peut libérer prématurément des ressources conduisant à un plantage.

Il est nécessaire de redémarrer le service après l’application du correctif !

Pour toutes les architectures supportées :

amd64, arm64, i386 par syspatch
armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386 !

`1`	`# syspatch`

Ensuite redémarrez le service !

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

Pour 6.8 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/010_smtpd.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 010_smtpd.patch.sig \
        -m - | (cd /usr/src && patch -p0)

Pour 6.7 :

1
2
3

# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.7/common/033_smtpd.patch.sig
# signify -Vep /etc/signify/openbsd-67-base.pub -x 033_smtpd.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ La phase de recompilation :

# cd /usr/src/usr.sbin/smtpd
# make obj
# make
# make install

Pour finir, redémarrez le service !

Restart

`1`	`# rcctl restart smtpd`

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.

LibreSSL : 3.3.1, 3.2.3, 3.1.5

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 09 Dec 2020 13:23:17 +0100

Description

Suite au correctif de sécurité à-propos d’asn.1, l’équipe OpenBSD délivre trois nouvelles versions de LibreSSL.

Retrouvez les notes respectives de ces trois versions :

OpenNTPD 6.8p1

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 09 Dec 2020 13:13:58 +0100

Description

L’équipe OpenBSD sort une nouvelle version d’OpenNTDP, la 6.8p1.

cela fait quelques années qu’il n’y avait pas eu de sortie majeure, depuis la 6.2p3

Changelog

The ntpd daemon now gets and sets the clock in a secure way when booting even when a battery-backed clock is absent.
Improvements in DNS resolving and constraints checking, especially during startup. Unreliable NTP peers are removed from the pool and DNS resolving is repeated to add replacements.
Improved reliability and security of TLS constraint checking.
Improved logging of failure cases.
Prevent the case of multiple ntpds running at once by checking presence of the local control socket.
TLS certificates are now searched in TLS_CA_CERT_FILE.
The default ntpd.conf configuration file now uses 9.9.9.9 and 2620:fe::fe, in addition to google.com, when performing time constraint validation.
Improved handling unsynched mode when there is no replies from an NTP server, such as when there are network connectivity issues.
To build OpenNTPD with time constraint support, libtls from LibreSSL 3.2.2 or later is recommended.

Syspatch : asn.1, exit (2020/12/08)

puffy@openbsd.fr.eu.org (OBSD4a) — Wed, 09 Dec 2020 12:51:50 +0100

Correctif de Sécurité asn.1

Concernant LibreSSL, une notation ASN.1 mal formée dans une liste de révocation de certificat ou une réponse de timestamp peut amener vers un pointeur de déréférencement NULL

le correctif affecte le noyau OpenBSD 6.7 et 6.8 et nécessite le redémarrage de la machine

Correctif de fiabilité exit

Lors d’un processus de sortie, dans des programmes multithread un faux code de sortie peut être reporté.

Plus d’informations sur les pages d’Errata 6.8 et 6.7…
et leurs versions FR respectives : 6.8 FR et 6.7 FR.