Im Release 6.2 von OpenBSD finden sich einige neue Funktionen im Bereich der Sicherheit. Aber auch in den Hypervisor VMM haben die Entwickler Arbeit gesteckt, der mittlerweile den Kinderschuhen entwachsen ist.

Rund eine Woche vor dem ursprünglich geplanten Termin veröffentlicht Theo de Raadt OpenBSD Version 6.2. Wie erwartet gibt es neue, innovative Sicherheitsfunktionen und viele Änderungen im Detail.

Neue Sicherheitsfunktionen

Mit KARL (Kernel Address Randomized Link) erhält OpenBSD 6.2 einen Mechanismus, der die Bestandteile des Kernels für den jeweils nächsten Neustart in zufälliger Reihenfolge neu zusammenstellt und so das Sammeln von Daten für ROP-Angriffe (Return Oriented Programming) erschwert. Zusätzlich ist nun der Kernel /bsd nicht mehr mit Nutzerrechten lesbar. Auch libcrypto und ld.so verlinkt das System zufällig. Über das neue Trapsled von Todd Mortimer werden längere Sequenzen von NOP-Befehlen (Nulloperation) im Code durch INT3-Befehle und einen Sprung über diese ersetzt, was die "NOP-Rutschen" von Angreifern unwirksam macht.

Ferner arbeiten die Entwickler mit OpenBSD 6.2 weiter an der ARMv7-Architektur. Die Octeon-Plattform erhält einen SATA- und USB-3-Treiber, bei Octeon III ist die FPU aktiviert. Auch für x86 gibt es Neuerungen: i386/amd64 bietet mit einem auf Linux 4.4.70 basierenden inteldrm(4) eine stabilere Unterstützung für Intels Skylake, Kaby Lake und Cherryview sowie Broadwell und Valleyview. Außerdem gibt es mit hvs(4) einen Treiber für den Storage Virtual Service Client (StorVSC) von Hyper-V.

Hypervisor vmm wird erwachsen

OpenBSDs nativer und komplett neu entwickelter Hypervisor vmm(4) beziehungsweise vmd(8) läuft nun auch auf AMD-Hosts mit SVM/RVI. Den Arbeitsspeicher einer VM begrenzt MAXDSIZ, bei amd64 immerhin 32 GByte. Vom Speicher einer VM kann der Nutzer einen Snapshot anlegen und angehaltene VMs so migrieren. Das SeaBIOS für VMs erhält ein SGABIOS als optionales ROM für die Umleitung von VGA auf die serielle Konsole. VMs können eventuell vorhandenes AVX/AVX2 der Host-CPU nutzen. Mehr zum Thema Virtualisierung mit OpenBSD finden Interessierte im aktuellen iX kompakt.

Zu den Verbesserungen im Bereich Netzwerk gehören vor allem ein vereinfachter IPv6-Stack und eine Verarbeitung von IP-Paketen ohne KERNEL_LOCK, was die Latenz verringert. Neu ist slaacd(8) für die Stateless Address Autoconfiguration von IPv6 (RFC 4862). Ferner haben die Entwickler den DHCP-Server und -Client stark überarbeitet.

Abschied von GCC

Die i386- und amd64-Plattform übersetzt OpenBSD nun standardmäßig mit LLVM/Clang 4.0.0, GCC 4.2.1 und 3.3.6 sowie der Debugger GDB 6.3 liegen dem System bei. Das zum Basissystem gehörende Xenocara (X.Org 7.7, X-Server 1.18.4 sowie weitere Komponenten) kann der Nutzer mit vielen Fenstermanagern von cwm oder i3 über OpenBox/Fluxbox bis hin zu vollständigen Desktop-Umgebungen wie GNOME 3.24.2, KDE 3.5.10/4.14.3 oder Xfce 4.12 aufrüsten. Serverseitig steht neben Python 2.7.14 und 3.6.2 auch PHP 5.6.31 und 7.0.23 sowie MariaDB 10.0.32 oder PostgreSQL 9.6.5 zur Verfügung.

Abschließend eine winzige aber nervenschonende Verbesserung: Das bei manchen OpenBSD-Servern und -Appliances nach einem Neustart statische Rauschen aus den Lautsprechern des High-Definition-Audio-Treibers azalia(4) wurde durch das initiale Abschalten aller Codecs behoben. OpenBSD 6.2 ist Herman Melvilles Moby Dick gewidmet und liegt auf den Spiegelservern zum Download bereit. Das übliche Lied zum Release soll im Dezember folgen, auch das ausführliche Changelog fehlt wie schon bei Version 6.1 mangels eines Maintainers. Alle Änderungen sind allerdings in den Release Notes aufgeführt.

