Banner de OpenBSD 7.4

Se dió a conocer el lanzamiento de la nueva versión de OpenBSD 7.4, siendo esta la cuarta entrega del desarrollo de esta rama 7.x y en la cuál se han presentado grandes mejoras en la parte de soporte, así como también en la seguridad, ports y más.

Para quiénes desconocen de OpenBSD, deben saber que es un sistema operativo tipo Unix libre y de código abierto centrado en la seguridad que pertenece a la familia de sistemas operativos BSD y que es conocido por sus componentes que se han generalizado en otros sistemas y han demostrado ser una de las soluciones más seguras y de mayor calidad.

Principales novedades de OpenBSD 7.4

En esta nueva versión que se presenta se destacan las mejoras de soporte para nuevo hardware, ya que se incluyeron nuevos controladores, en el instalador ha mejorado el soporte para software RAID, así como también que se agregó la capacidad de colocar la partición root en softraid en sistemas riscv64 y arm64, además de que en arm64, se implementó la compatibilidad con Guided Disk Encryption.

También se destaca el soporte inicial para TSO y LRO para el procesamiento de segmentos y la agregación de paquetes en el lado de la NIC, se ha acelerado la carga de reglas de filtrado de paquetes pf desde el kernel mediante la utilidad pfctl y se habilitó el procesamiento de acciones de «mantener estado» y «nat-to» para mensajes de error devueltos a través de ICMP.

Para las arquitecturas AMD64 e i386, se agregaron componentes para actualizar el microcódigo para procesadores AMD. Las nuevas versiones de microcódigo se instalan automáticamente al descargarlas. El port «ports/sysutils/firmware/amd» ha sido preparado para distribuir archivos binarios con microcódigo. La instalación del nuevo microcódigo se realiza mediante la utilidad estándar fw_update. También para AMD64 e i386, se implementó soporte para el pseudo dispositivo dt para organizar el seguimiento dinámico del sistema y las aplicaciones. Se agregó la llamada al sistema utrace para insertar entradas de usuario en el registro de ktrace .

Por la parte del kernel y el espacio de usuario, en esta nueva versión de OpenBSD 7.4 , la implementación del marco drm está sincronizada con el kernel de Linux 6.1.55, con un rendimiento mejorado en sistemas con procesadores Intel basados ​​en microarquitecturas Alder Lake y Raptor Lake. Los mecanismos de protección IBT y BTI están habilitados para bloquear las violaciones del flujo de control resultantes del uso de exploits que modifican los punteros de función almacenados en la memoria (la protección implementada). no permite que el código malicioso salte al centro de la función).

Se han realizado mejoras en el hipervisor VMM. vmd implementa soporte para un modelo multiproceso para dispositivos virtio de red y bloques, ademas de que se ha agregado soporte para entrada/salida vectorial en modo de copia cero al dispositivo virtio de bloque. El acceso de los sistemas invitados a los modos p-state de los procesadores AMD es limitado. Los propietarios de máquinas virtuales pueden anular el kernel de arranque mediante vmctl.

En los sistemas arm64, la autenticación de puntero está habilitada para proteger el espacio del usuario. La tecnología permite utilizar instrucciones ARM64 especializadas para verificar las direcciones de retorno mediante firmas digitales que se almacenan en los bits superiores no utilizados del puntero.

Ademas de ello, también se destaca que la configuración del compilador del sistema clang, así como clang y gcc de los ports, se han cambiado para aplicar los mecanismos de protección anteriores, lo que ha fortalecido significativamente la protección de todas las aplicaciones base y de la mayoría de las aplicaciones de los ports contra exploits que utilizan orientado al retorno de métodos de programación.

También se destaca que se agregó una nueva llamada al sistema kqueue1, que se diferencia de kqueue en el paso de indicadores. Actualmente, kqueue1 solo admite el indicador O_CLOEXEC para cerrar automáticamente los descriptores de archivos en un proceso secundario después de llamar a exec().

De los demás cambios que se destacan:

• La utilidad wsconsctl ha agregado la capacidad de asignar botones para presionar con dos o tres dedos en un panel de control.
• Se agregó soporte inicial para VPN IPsec basadas en rutas.
• El rendimiento de rpki-client se ha incrementado entre un 30 y un 50 %.
• Se agregó soporte para compresión gzip y deflate.
• Instalación mejorada en sistemas con procesadores armv7 y arm64.
• Se agregó soporte para cargar archivos desde la partición del sistema EFI.
• Se agregó la función malloc para verificar todos los bloques en la lista de desasignación de memoria diferida para identificar situaciones de escritura en el área de memoria liberada.
• El comando de apagado ahora requiere que el usuario sea agregado al grupo «_shutdown», lo que permite la separación de los permisos de apagado y lectura directa de los dispositivos de disco.
• Al utilizar la llamada al sistema de revelación, la utilidad de parche se limita a acceder solo al directorio actual, al directorio que contiene archivos temporales y a los archivos enumerados en la línea de comando.
• Al configurar una dirección IPv6 en una interfaz de red, se envía un anuncio a los enrutadores vecinos mediante una dirección de multidifusión.
• Se han trasladado correcciones desde FreeBSD para abordar el comportamiento indefinido al utilizar sistemas de archivos MS-DOS.
• La opción de montaje softdep utilizada para la escritura diferida de metadatos agrupados se ha deshabilitado.
• Los programas protegidos con la llamada al sistema unveil pueden guardar volcados de núcleo en el directorio de trabajo actual.
• La arquitectura ARM64 utiliza la capacidad de ingresar a estados inactivos profundos, disponible en los chips Apple M1/M2, para ahorrar energía e implementar el modo de espera.
• Se agregó protección alternativa contra la vulnerabilidad Zenbleed en los procesadores AMD.
• Los cálculos de suma de comprobación de IP, TCP y UDP están deshabilitados para las interfaces de loopback.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.