Supersäkra OpenBSD 6.0 nu släppt

Det supersäkra operativsystemet OpenBSD är nu ute i version 6.0 och innehåller en hel del säkerhetshöjande funktioner. Nytt är bl.a. att W^X är obligatoriskt för bas-systemet och ger förstärkt skydd mot buffer-overflows (likt DEP).

För att ytterligare höja säkerheten har Linux-stödet, usermount samt systrace tagits bort. Även har OpenSMTPD, LibreSSL, OpenSSH, OpenNTPD uppdaterats med nya funktioner och säkerhetshöjande åtgärder.

En ny intressant funktion i OpenSSH är stöd för ProxyJump. Denna funktion låter dig hoppa via en server vidare, exempelvis ssh -J jump.host.se [email protected]

Även denna intressanta men enkla metod för att försvåra return into libc payloads:

To deter code reuse exploits, rc(8) re-links libc.so on startup, placing the objects in a random order.

Följande paket följer med grundsystemet från tredjepartsutvecklare:

  • Xenocara (based on X.Org 7.7 with xserver 1.18.3 + patches, freetype 2.6.3, fontconfig 2.11.1, Mesa 11.2.2, xterm 322, xkeyboard-config 2.18 and more)
  • GCC 4.2.1 (+ patches) and 3.3.6 (+ patches)
  • Perl 5.20.3 (+ patches)
  • SQLite 3.9.2 (+ patches)
  • NSD 4.1.10
  • Unbound 1.5.9
  • Ncurses 5.7
  • Binutils 2.17 (+ patches)
  • Gdb 6.3 (+ patches)
  • Awk Aug 10, 2011 version
  • Expat 2.1.1

Följande säkerhetsbrister är fixade i LibreSSL:

  • CVE-2016-2105—EVP_EncodeUpdate overflow.
  • CVE-2016-2106—EVP_EncryptUpdate overflow.
  • CVE-2016-2107—padding oracle in AES-NI CBC MAC check.
  • CVE-2016-2108—memory corruption in the ASN.1 encoder.
  • CVE-2016-2109—ASN.1 BIO excessive memory allocation.

Och OpenSSH fixar CVE-2016-6210 som gör att du kan lista ut användarnamn.

Givetvis finns det även en musik framtagen för denna version, lyssna på den här: https://www.openbsd.org/lyrics.html#60a

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>