26 ноября разработчик OpenBSD Dale Rahn закомиттил CVS-репозиторий проекта изменения, которые сопровождались следующим комментарием: “Начало портирования OpenBSD на аппаратное обеспечение Openmoko. Работа в процессе”.

Автор подтвердил свой анонс приложением ряда файлов для каталога sys/arch/moko. Какое будущее ожидает этот порт, пока не совсем ясно, однако можно вспомнить неожиданный успех OpenBSD на Sharp Zaurus, связанный с повышенным интересом разработчиков к этой платформе в свое время.

>>> Новость на linuxphone.ru

Чуть более недели назад в исходное дерево кодов OpenBSD была добавлена реализация SMTP-демона. Согласно сообщениям от разработчиков проекта и обсуждению в списках рассылки, основная задача - сделать безопасный, простой и легкий почтовый сервер, пусть не обладающий практически неограниченными возможностями sendmail (а именно sendmail в данный момент является почтовым сервером в базовой поставке), зато простой в конфигурировании и удовлетворяющий большинство потребностей.

В частности, большой интерес вызывает использования pf-подобного синтаксиса для конфигурирования почты:

listen on localhost port 25
hostname localhost
accept for domain "localhost" deliver to mbox "/var/mail/%u"
accept from $local for all relay

Первая публичная версия демона ожидается в OpenBSD 4.5.

>>> Сообщение в блоге от разработчика

В OpenSSH включена поддержка визуализации отпечатка ssh-ключа хоста. Это сделано для упрощения контроля над ключами хостов, к которым выполняется доступ.
То есть контроль за своими ssh-соединениями можно будет вести на уровне "к этому хосту у меня был котик, а теперь там слоник. Что-то случилось, не иначе". :-)

>>> Лог коммита

Спустя примерно пять лет после того, как все современные ОС научились поддерживать WPA, механизмы работы с этим протоколом появились и в OpenBSD. Пока что поддерживается только режим WPA-PSK.
Как и в случае с другими технологиями, OpenBSD'шники показали, что долго запрягают, однако быстро едут. Их реализация WPA заявлена как самая "чистая" и корректная.

>>> Ссылка на анонс

Вышла новая песня, приуроченная к скорому релизу OpenBSD 4.2. На этот раз песня исполнена в стиле известной группы Rush, и подвергает сатире всех, кто прикрывается терминами "Free" и "Open" чтобы лоббировать свои интересы и зарабатывать деньги на чужом труде, ничего не давая взамен. Песня раскрывает главный вопрос, зачем OpenBSD folks всем этим занимаются: "We are here to have fun doing right".

>>> Сайт проекта

1 мая официально вышел очередной релиз OpenBSD 4.1 Как всегда, в новом релизе масса улучшений и новой функциональности, поддержка новых устройств и многое другое. В частности, полная поддержка систем UltraSparc III, новый демон hoststated(8), драйвера для новых 802.11 устройств, множество улучшений в пакетном фильтре pf(4) и т.д.

>>> Информация о новом релизе

Erik Tews, Andrei Pychkine и Ralf-Philipp Weinmann из Технического Университета в Дармштадте, Германия, разработали новый метод вскрытия WEP-ключа длиной 104 или 40 бит. Теперь для вскрытия ключа требуется всего 6 секунд и 40 тыс. пакетов (их легко сгенерировать существующими утилитами). Для сравнения, самая популярная на сегодняшний день атака, реализованная в популярной утилите aircrack-ng - модифицированная атака Корека - требует от 200 тыс. пакетов и вскрывает ключ гораздо дольше.
Исследователями также была разработана утилита aircrack-ptw для демонстрации работы их метода.

>>> Страница с описанием и примером реализации атаки

16 апреля на сайте openbsd.org появилась новая тема и песня, посвященная скорому выходу OpenBSD 4.1. "Puffy Baba and the 40 Vendors" обыгрывает тему "Али Бабы и 40 разбойников": отважный Паффи борется за открытую документацию аппаратных спецификаций, выступает против NDA и прочих ограничивающих свободы документов. В конце концов он открывает волшебные ворота и устраивает оазис с фонтаном посреди пустыни. То есть дает своим пользователям полностью работоспособный драйвер, под совершенно свободной лицензией.

>>> Музыкальная страница OpenBSD

13 марта CoreSecurity Tech опубликовали историю переписки между ними и разработчиками OpenBSD. Согласно ей, ошибка при обработке специально сформированных IPv6-пакетов (об этом уже сообщали на LOR) может привести не только к отказу в обслуживании, но и дает возможность удаленно выполнять код в режиме ядра, т.е привести к полной удаленной компрометации системы. Хакеры из CoreLabs предоставили разработчикам PoC-эксплоит в качестве доказательства.

В связи с чем Theo de Raadt отметил эту уязвимость как "очень важную" (изначально это был bug, а не vulnerability) и рекомендовал всем как можно скорее пропатчить свои системы.

Это - вторая за 10 лет удаленная уязвимость в OpenBSD, установленной по умолчанию.

>>> Официальный advisory от Core Labs

Стартовый rc-скрипт для подсистемы jail во FreeBSD (/etc/rc.d/jail), служащий для запуска и остановки jail'ов, не выполняет проверку пути к каталогам внутри jail'а перед его использованием, а именно, является ли указанный путь симлинком. Таким образом, он уязвим к классической symlink-атаке. Если вы - root внутри jail'a, но не имеете привилегий снаружи (в "реальной системе"), вы можете переписывать произвольные файлы в "наружной" системе путем создания симлинков в jail'е на файлы в реальной системе, а значит - и выполнять различные команды от имени суперпользователя в реальной системе или монтировать внешние файловые системы внутри своего jail'а.

>>> Security Advisory

hostated, ранее известный как slbd, включен в базовую систему OpenBSD. Этот демон мониторит хосты (используя ICMP/TCP/HTTP проверки) и вносит соответствующие изменения в таблицы пакетного фильтра pf в случае отказа одного из хостов.
Пример использования: имеется кластер из трех www-серверов. Машина с pf перенаправляет запросы на свой 80 порт на эти сервера (round-robin), используя таблицу <webservers> и rdr-правило. В случае отказа одного из хостов hostated удаляет IP этого сервера из таблицы <webservers>.

>>> Страница проекта

Руслан Ермилов, русский комиттер FreeBSD, инициировал процесс перевода man-страниц этой ОС на русский язык. Все желающие приглашаются к участию.

>>> Копия сообщения в список рассылки

Daniel Hartmeier, разработчик OpenBSD, опубликовал патч, который добавляет поддержку PKI (Public Key Infrastructure) в OpenSSH. Теперь клиент перед сервером или сервер перед сервером могут аутентифицироваться по цифровым X.509 сертификатам. Данная модель предполагает наличие третьей доверенной стороны - центра сертификации (CA) - который удостоверяет валидность сертификата клиента и сервера. PKI, который широко используется в электронном документообороте и для обеспечения безопасности транзакций по протоколу SSL/TLS, теперь доступен и в OpenSSH.

>>> Анонс в списках рассылки

Согласно своему письму в список рассылки OpenBSD, Wim Vandeputte, один из разработчиков и активистов этой системы, в декабре посетит Москву. С собой он привезет некоторое количество официальных футболок, дисков и постеров, которые в России нигде не продаются.
Планируется устроить неофициальную встречу поклонников OpenBSD, да и всех любителей BSD-систем вообще.

>>> Письмо в misc@

Разработчик Linux из OSL, Greg Kroah-Hartman, представил доклад, в котором постарался развеять основные домыслы и заблуждения, связанные с ядром Linux.
В ироничной форме обсуждаются такие часто поднимаемые вопросы как непостоянство kernel API, отсутствие у Linux красивого "правильного" дизайна, отсутствие 'plug-n-play' на уровне, сравнимом с Windows, и т.п.
В конце заявляется, что все хорошо, и постепенный захват мирового господства идет по плану :)

>>> Презентация

Выпущен первый релиз новой ветки squid-2.6.
Как сообщает opennet.ru, из ключевых новшеств можно отметить:

• Изменен метод конфигурирования в качестве прозрачного прокси или акселератора, теперь настроить работу данных подсистем стало значительно проще. Директивы httpd_accel_* объявлены устаревшими, на смену им пришли ключи "accelerated" и "transparent";
• Squid теперь может объединять несколько запросов от разных клиентов к одному хосту в один запрос к серверу;
• Возможность гибкой настройки информации выводимой в логи;
• Новые подсистемы аутентификации: Digest LDAP, Native Windows basic, NTLM, negotiate;
• Дополнительные параметры в ACL директивах, связанные с поддержкой SSL;
• Учет содержимого HTTP заголовка X-Forwarded-For в ACL;

>>> Release Notes

После долгих обсуждений, коллектив разработчиков NetBSD, в лице Christos Zoulas, решил удалить MTA Sendmail из базовой системы. Причина - не прекращающаяся череда уязвимостей в этом программном продукте. Критичного для пользователей NetBSD ничего нет - уже давно в этой ОС в качестве штатного МТА по умолчанию используется Postfix.
Решение имеет смысл, однако оно весьма спорное. Так, разработчики OpenBSD идут другим путем, проводя аудит кода всей системы, улучшая все компонены. Известный факт, что sendmail в OpenBSD довольно сильно отличается от "стокового" варианта. Что ж, более старшая NetBSD пошла другим путем.

>>> Анонс от разработчиков

1 мая на всех ftp-серверах проекта OpenBSD официально выложена новая версия этой свободной, функциональной и безопасной операционной системы. Как всегда, в системе - масса улучшений, в том числе:
- новая подсистема сенсоров (hw.sensors) для мониторинга оборудования сервера
- Открытый драйвер nfe для Nvidia NForce, написанный с нуля, долой binary blob!
- Переработанная, улучшенная ftp-proxy(8)
- Улучшения в ipsecctl(8), утилите, позволяющей поднять ipsec буквально за пару минут.
- Улучшения в hostapd(8) и всей беспроводной подсистеме.
И многое, многое другое. Для полного списка изменений смотрите ссылку.

>>> Страница проекта

Вышел artwork и песенка, посвященная грядущему релизу OpeBSD 3.9. На этот раз едкая сатира разработчиков обращена в сторону вендоров, выпускающих binary-only (BLOB) драйвера для своего железа.
Отсутствие исходных кодов драйверов и спецификаций к железу - это невозможность аудита качества кода, его улучшения, портирования на другие системы, полноценной поддержки системой. К сожалению, в opensource-сообществе многие мирятся с таким положением дел. OpenBSD - открытая система, остается верна своим принципам во всем.

>>> Песни релизов OpenBSD

Вышла версия 8.13.6 самого популярного почтового сервера. В новой версии исправлена серьезная ошибка (CVE-2006-0058), позволяющая удаленному пользователю выполнять на целевой системе произвольные команды с правами пользователя, запустившего sendmail (часто это root). Уязвимы все предыдущие версии, разработчики рекомендуют всем срочно обновиться.

>>> Сайт проекта