OpenBSD

Was am 19. Oktober 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Die schlanke VPN-Lösung bekommt ihren Platz im Kern des Betriebssystems.

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

Die aktuelle Version 6.6 des Betriebssystems OpenBSD ermöglicht einfache und automatisierte Systemupgrades für seine Nutzer. Das System unterstützt außerdem den AMDGPU-Treiber und erweitert die Nutzung des Werkzeugs Unveil.

Wegen der Kooperation von Mozilla und Cloudflare für DNS über HTTPS (DoH) deaktiviert das Team von OpenBSD die Nutzung des Protokolls für alle Firefox-Nutzer des freien Betriebssystems. Interessierte können die Technik aber weiterhin einsetzen.

Das auf Sicherheit fokussierte Betriebssystemprojekt OpenBSD unterstützt nun auch die Nutzung der freien VPN-Technik Wireguard. Noch fehlt eine Implementierung im Kernel, die viel Aufwand bedeuten würde.

Die aktuelle Version 6.5 des Betriebssystems OpenBSD nutzt den neuen Stack-Protector Retguard. Die Entwickler liefern außerdem einen eigenen lokalen DNS-Resolver aus und arbeiten an einer Eigenentwicklung für Rsync, die nun getestet werden kann.

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Die aktuelle Version 6.4 des Betriebssystems OpenBSD deaktiviert automatisch Hyperthreading auf Intel-Chips. Ein neuer Systemaufruf verschleiert Dateisystemzugriffe, was direkt für den eigenen Hypervisor genutzt wird. Das Team hat außerdem viel Hardware-Unterstützung hinzugefügt.

Die Compiler-Werkzeug LLVM bringt in der aktuellen Version 7 neue Sanitizer zum Auffinden von Fehlern und erweitert die Unterstützung für bestehende. Darüber hinaus hat das Team neue Analysewerkzeuge erstellt.

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Intels Hyper-Threading ist laut OpenBSD wahrscheinlich durch Sicherheitslücken vom Typ Spectre verwundbar. Das Sicherheitsrisiko führt die Entwickler zu einem drastischen Schritt: Die Technik wird im sicherheitsorientierten Betriebssystem standardmäßig deaktiviert.

Die Version 6.3 von OpenBSD unterstützt mehrere ARM-SoC von Allwinner, Rockchip oder auch Broadcom sowie ARM-Neon. Das System schützt seine Nutzer außerdem vor den Meltdown- und Spectre-Angriffen. OpenSSH lässt Schlüssel nach einer Zeit verfallen und LibreSSL unterstützt weitere APIs aus OpenSSL.

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.

Das Unix-Betriebssystem OpenBSD gilt als besonders sicher und stabil. Microsoft erkennt dessen Potential und macht es für Azure verfügbar. Dazu kooperiert das Unternehmen mit dem deutschen Firewall-Hersteller Esdenera.

Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.

Das OpenBSD-Projekt sichert sein Basissystem ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) ist. Zudem verzichtet das Team auf VAX- und Linux-Support, hat aber die ARMv7-Unterstützung erweitert.

Die Funktion zum Filtern und Beschränken von Systemaufrufen ist in OpenBSD 5.9 um viele Anwendungen erweitert worden. Außerdem unterstützt das System nun neuere Laptops besser - dank UEFI und WLAN nach 802.11n.

Das OpenBSD-Projekt sichert seinen Browser ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) gemacht wird. Nach OpenBSD nutzt dies nun auch Firefox Nightly für Javascript-Code.

Etwas eher als üblich ist OpenBSD auf den Tag genau 20 Jahre nach der Projektgründung erschienen. Für bessere Sicherheit wird das NX-Bit nun auch in der 32-Bit-X86-Architektur genutzt, der Sudo-Befehl ist ersetzt worden und das System kann offiziell gezähmt werden.

Das auf Sicherheit bedachte OpenBSD wird einen eigenen Hypervisor zur Virtualisierung von Gastsystemen erhalten. Aus technischen Gründen sei keine Portierung einer bestehenden Lösung möglich gewesen, weshalb der Code von Grund auf neu entstehe, sagt OpenBSD-Entwickler Mike Larkin.

Mindestens ein Webbrowser soll durch die Umsetzung einer Speicherrichtlinie aus OpenBSD abgesichert werden. Dafür bezahlt die Stiftung des Betriebssystems einen Entwickler mit Erfahrung bei Libressl.

Das NTP-Protokoll, mit dem man die Systemzeit über das Internet stellen kann, bietet keine sichere Authentifizierung und ist anfällig für Man-in-the-Middle-Angriffe. Von OpenBSD kommt jetzt eine Lösung für dieses Problem - eine Kombination aus NTP und HTTPS zum sicheren Stellen der Uhrzeit.

Die aktuelle Version 5.6 von OpenBSD enthält erstmals den OpenSSL-Fork LibreSSL und die Entwickler ersetzen den Standard-MTA Sendmail durch die Eigenentwicklung OpenSMTPD. Begleitet wird die Veröffentlichung von Wagners Walkürenritt.

Das von OpenBSD-Entwicklern gestartete LibreSSL-Projekt erstellt ein komplett neues API, das von OpenSSL und dem Fork abstrahiert. Die Schnittstelle soll auf tatsächliche Anwendungsfälle beschränkt bleiben und könnte universellen Charakter für den TLS-Stack bekommen.

Def Con 22 Mit Hilfe eines Seitenkanalangriffs ist es einem Sicherheitsforscher gelungen, einen geheimen Token eines netzbasierten Lichtschalters herauszufinden. Grund ist ein Timingproblem in der Funktion memcmp(). Solche Angriffe galten bislang als unpraktikabel.

LibreSSL ist in der Version 2.0.0 veröffentlicht worden. Es ist die erste Version des OpenSSL-Forks, die nicht nur unter OpenBSD läuft. Getestet wurde sie unter Linux, Solaris, Mac OS X und FreeBSD.

Einen Monat nach dem OpenSSL-Fork gibt OpenBSD-Foundation-Vorstand Bob Beck einen Lagebericht ab. Das Projekt suche weiter nach einer Finanzierung, habe den Code aber weiter verbessert und Fehler behoben.

Die Unix-Zeit von OpenBSD nutzt nun fast ausschließlich eine 64-Bit-Variable und löst damit das Jahr-2038-Problem. Die Installation ist zudem signiert.

Der OpenSSL-Code sei zu chaotisch, um ihn zu reparieren, sagt OpenBSD-Gründer Theo de Raadt der US-Seite Ars Technica. Das rechtfertige die Aufräumarbeiten und den Fork LibreSSL.

Nach dem Beginn von Aufräumarbeiten hat das OpenBSD-Team offiziell einen Fork von OpenSSL gestartet. Das Projekt LibreSSL soll erstmals in OpenBSD 5.6 erscheinen, das für kommenden November geplant ist.

Entwickler des OpenBSD-Projekts haben begonnen, den Code der Kryptobibliothek OpenSSL zu entrümpeln. Ob ihre Änderungen vom OpenSSL-Projekt übernommen werden, ist aber ungewiss.

In der Debatte um das Init-System Debians wurde behauptet, Gnome hänge zu stark von Systemd ab. Dem widerspricht Release-Team-Mitglied Clasen deutlich und verweist auf die Arbeit von Free- und OpenBSD.

Wegen fehlender Einnahmen sieht sich die OpenBSD-Foundation nicht in der Lage, ihre Stromkosten zu zahlen. Ändert sich daran nichts, müssten schlimmstenfalls die Server abgeschaltet werden.

Die aktuelle OpenBSD-Version stuft den Mail-Transfer-Agent OpenSMTPD als stabil ein. Außerdem unterstützt das auf Sicherheit ausgelegte System Virtio.

Mit der aktuellen OpenBSD-Version können mehrere CPUs und -Kerne genutzt werden. Zudem beherrscht das System nun den Hibernation-Ruhezustand auf einigen Rechnern.

Der Fork Bitrig plant, die OpenBSD-Basis zu modernisieren und legt weniger Wert auf Sicherheit als das Original. Mit LLVMs Clang als Compiler soll das System zudem schneller werden.

Das auf Sicherheit ausgerichtete OpenBSD 5.1 stellt Gnome 3.2 als optionale Oberfläche zur Verfügung. Außerdem unterstützt das System nun die Grafikchipsätze der Sandy-Bridge-Architektur.

OpenBSD 5.0 erlaubt bei der Installation erstmals das Nachladen unfreier Firmware aus dem Internet. Das Entwicklerteam hat auch zahlreiche Anwendungen aktualisiert und die Netzwerkfunktionen ausgebaut.

Die BSD-Variante OpenBSD ist in Version 4.9 erschienen. Das Entwicklerteam hat eine Vielzahl von Anwendungen aktualisiert. OpenSSH bekommt mit Version 5.8 neue Funktionen.

Nach einer ersten Prüfung des Codes des IPSEC-Stacks in OpenBSD geben die Entwickler Entwarnung: Es gebe keine Hinweise dafür, dass Backdoor-Programme in den Code eingeschleust wurden.

Der IPSEC-Stack von OpenBSD enthält möglicherweise mehrere Hintertüren, die im Auftrag der US-Regierung in die Software integriert wurden. Auf Basis der Software entstanden viele weitere freie IPSEC-Implementierungen, so dass die Backdoor ihren Weg in andere Software gefunden haben könnte.

Die quelloffene BSD-Variante OpenBSD ist in der Version 4.7 erschienen. Vor allem im Paket OpenSSH 5.5 haben die Entwickler Reparaturen eingepflegt und neue Funktionen integriert.

Die neue Version der Live-CD BSDanywhere basiert auf der aktuellen OpenBSD-Version 4.6 und bringt jetzt statt Enlightenment E17 den Window-Manager Icewm mit.

Die Live-CD BSDanywhere ist in der Version 4.5 erschienen. Sie basiert auf der neuen OpenBSD-Version 4.5 und ermöglicht es, das Unix-System ohne Installation auszuprobieren.

Die neue Version 4.5 des freien Unix-Derivates OpenBSD läuft auf dem Openmoko-Smartphone. Darüber hinaus wurde die Hardwareunterstützung erweitert und die Softwareauswahl aktualisiert.

Das freie Unix-Derivat OpenBSD ist in der Version 4.4 erschienen. Neben aktualisierten Programmen finden sich darin auch neue Treiber. Die Entwickler haben zudem die Dateisystemleistung steigern können.

Der OpenBSD-Entwickler Otto Moerbeek hat einen Fehler im Parsergenerator Yacc aufgespürt und behoben, der dort schon seit 1975 vorhanden war. Moerbeek war bei seiner Arbeit am Speicherverteiler Malloc darauf gestoßen.

OpenBSD-Entwickler Marc Balmer hat einen Fehler im Betriebssystem, der bereits seit 1983 besteht, behoben. Der Fehler hatte zur Folge, dass ein Samba-Server abstürzte, wenn er Dateien von einem MS-DOS-Dateisystem anbieten sollte. Laut Balmer findet sich der Fehler in allen BSD-Varianten.