Notes sur FreeBSD/alpha 4.6-STABLE

Le Projet FreeBSD

$FreeBSD$

Les notes de version pour FreeBSD 4.6-STABLE contiennent un r�sum� des modifications apport�es au syst�me FreeBSD de base depuis la 4.6-RELEASE. Les changements concernant le noyau et les programmes utilisateurs sont indiqu�s ainsi que les avis de s�curit� pour le syst�me de base �mis depuis la derni�re version. Quelques br�ves remarques à propos de la mise à jour sont �galement pr�sent�es.


Table of Contents
1 Introduction
2 Les nouveaut�s
2.1 Changements concernant le noyau
2.1.1 Support Processeur/Carte m�re
2.1.2 Boot
2.1.3 Support des interfaces r�seaux
2.1.4 Protocoles r�seaux
2.1.5 Disques et stockage
2.1.6 Syst�mes de fichier
2.1.7 Support PCCARD
2.1.8 Support Multim�dia
2.1.9 Logiciels tiers
2.2 Avis de s�curit�
2.3 Changements dans les programmes utilisateurs
2.3.1 Logiciels tiers
2.3.2 Collection de Paquetages/Ports
2.4 Int�gration et cr�ation des versions
3 Mise à jour depuis une version ant�rieure de FreeBSD

1 Introduction

Ce document contient les notes de version pour FreeBSD 4.6-STABLE sur plate-forme Alpha/AXP. Il d�crit les nouvelles fonctionnalit�s de FreeBSD ajout�es (ou modifi�es) depuis la 4.6-RELEASE. Il donne �galement quelques informations au sujet de la mise à jour depuis les versions pr�c�dentes de FreeBSD.

La distribution snapshot à laquelle ces notes de version s'appliquent repr�sente un "instantan�" dans le d�veloppement de la branche 4-STABLE entre la 4.6-RELEASE et la future 4.7-RELEASE. Des distributions binaires pr�-compil�es de snapshot de cette branche sont disponibles sur http://snapshots.jp.FreeBSD.org/.


2 Les nouveaut�s

Cette section d�crit les nouvelles fonctionnalit�s ou les modifications les plus visibles dans FreeBSD depuis la 4.6-RELEASE. Il s'agit typiquement des nouveaux drivers ou des nouveaux mat�riels support�s, des nouvelles commandes ou options, des corrections de bugs majeurs ou des mises à jour des logiciels tiers. Les avis de s�curit� concernant le syst�me de base d�couverts apr�s la 4.6-RELEASE sont �galement indiqu�s.


2.1 Changements concernant le noyau

Le p�riph�rique dump du noyau peut maintenant �tre indiqu� au d�marrage via la variable dumpdev. Il est donc maintenant possible d'obtenir des dumps de paniques se produisant durant les derni�res �tapes de l'initialisation du noyau (avant que le syst�me n'entre en mode mono-utilisateur).

Le p�riph�rique snp(4) n'est plus statique et peut maintenant �tre compil� en module.


2.1.3 Support des interfaces r�seaux

Le driver an(4) supporte d�sormais le Cisco LEAP ainsi que la clef ``Home'' WEP. Les utilitaires Aironet pour Linux sont maintenant support�s via l'�mulation.

Le driver dc(4) supporte maintenant les VLANs.

Le driver fpa(4) fonctionne maintenant sur les machines Alpha.

Ajout du driver my, qui supporte les adaptateurs Fast Ethernet et Gigabit Ethernet Myson.

Le driver wi(4) supporte maintenant les cartes r�seaux bas�es sur les Prism II et Prism 2.5. Le WEP en 104/128 bits fonctionne d�sormais avec les cartes Prism.

Le driver wi(4) supporte d�sormais l'utilisation de FreeBSD en tant que point d'acc�s sans fil. Cette fonction peut �tre activ�e avec l'option mediaopt hostap option de ifconfig(8). Elle recquiert un adaptateur sans fil bas� sur le composant Prism II.

Le driver wi(4) supporte maintenant les bsd-airtools.

Le driver xe peut maintenant �tre compil� en tant que module.

Quelques drivers r�seaux proposent maintenant un mode "semi-polling", ce qui rends le syst�me bien plus r�sistant aux attaques et aux pointes de charges. Pour autoriser ce mode, les options suivantes sont requises dans le fichier de configuration du noyau :

    options DEVICE_POLLING
    options HZ=1000 # pas obligatoire mais fortement recommand�e
La variable syst�me kern.polling.enable activera alors ce mode; avec la variable kern.polling.user_frac indiquant le pourcentage de temps processeur r�serv� aux programmes utilisateurs. Les p�riph�riques supportant pour le moment ce mode sont dc(4), fxp(4), rl(4) et sis(4). D'autres informations sont disponibles dans la page de manuel polling(4).


2.1.4 Protocoles r�seaux

bridge(4) a maintenant un meilleur support des clusters de passerelles ind�pendantes et est beaucoup plus stable en pr�sence d'attachements et de d�tachements dynamiques. Un support complet des VLANs est �galement pr�sent.

Un bug dans le traitement IPsec pour IPv4, qui faisait en sorte que les v�rifications SPD en entr�es �taient ignor�es, a �t� corrig�.

Ajout du nouveau module netgraph ng_eiface qui appara�t comme une interface Ethernet mais qui d�livre ses trames Ethernet vers une redirection Netgraph.

Nouveau noeud netgraph ng_etf(4) qui permet aux paquets de type Ethernet d'�tre filtr�s vers diff�rentes redirections selon le type ethernet.

L'impl�mentation syncache de tcp(4) avait un bug qui pouvait provoquer des paniques du noyau; cela a �t� corrig�.

L'impl�mentation TCP ignore maintenant correctement les paquets à destination des adresses broadcast de la couche IP.


2.1.5 Disques et stockage

Le driver ahc(4) a �t� mis à jour avec la version de FreeBSD -CURRENT du 29 Avril 2002.

Le driver ata(4) a �t� mis à jour avec la version de FreeBSD -CURRENT du 18 Mars 2002.

Important: Quelques utilisateurs ont rencontr� des probl�mes lors de tests avec le "tagged queueing" ATA. Les symptomes typiques sont des d�passements de d�lai en lecture lors du d�marrage ce qui conduit à un �chec pour monter le syst�me de fichier racine. Ces probl�mes sont apparus uniquement sur les syst�mes ayant des disques qui supportent le "tagged queueing" connect�s aux contr�leurs ATA de la carte m�re. Comme cette fonction est seulement support�e par certains disques durs ATA et doit �tre activ�e explicitement (en ajoutant hw.ata.tags="1" dans le fichier /boot/loader.conf), cela ne devrait pas poser de probl�me pour la majorit� des utilisateurs.

Le driver ata(4) supporte maintenant la cr�ation, la suppression, l'interrogation et la reconstruction des RAID ATA avec atacontrol(8).


2.1.6 Syst�mes de fichier

Correction d'un bug dans "soft updates" qui pouvait provoquer occasionnellement une corruption du syst�me de fichier si le syst�me �tait arr�t� imm�diatement apr�s une intense activit� du syst�me de fichier, comme l'installation d'un nouveau noyau ou d'un logiciel.


2.1.9 Logiciels tiers

2.1.9.1 IPFilter

Mise à jour de IPFilter avec la version 3.4.27.


2.2 Avis de s�curit�

Un bug ``off-by-one'' a �t� corrig� dans le code de multiplexage de OpenSSH. Ce bug pouvait permettre à un utilisateur distant authentifi� de faire ex�cuter du code par sshd(8) avec les privil�ges super-utilisateur ou pouvait permettre à un serveur SSH d'ex�cuter du code sur le syst�me client avec les privil�ges de l'utilisateur du client. (Consultez l'avis de s�curit� FreeBSD-SA-02:13.)

Une erreur de programmation dans zlib pouvait conduire à essayer de lib�rer le m�me bloc m�moire plusieurs fois. Les routines malloc(3)/ free(3) utilis�s dans FreeBSD ne sont pas vuln�rables à cette erreur, mais les applications recevant des blocs sp�cialement con�us dans ce but ou des donn�es compress�es invalides pouvaient ne plus fonctionner correctement ou s'interrompre. Ce bug de zlib a �t� corrig�. Pour les solutions et savoir comment comment contourner le probl�me, consultez l'avis de s�curit� FreeBSD-SA-02:18.

Des bugs dans les impl�mentations du cache SYN (``syncache'') et du cookie SYN (``syncookie'') de TCP, qui pouvait faire planter une machine avec un traffic TCP/IP tout à fait correct, ont �t� corrig�s. Pour les patches et savoir comment contourner ce probl�me, consultez l'avis de s�curit� FreeBSD-SA-02:20.

Une perte m�moire dans la table de routage, qui pouvait permettre à un attaquant distant d'�puiser les ressources m�moires d'une machine cible, a �t� corrig�. Les patches et le moyen de contourner ce probl�me sont disponibles dans l'avis de s�curit� FreeBSD-SA-02:21.

Un bug concernant les Entr�es/Sorties "mapp�es" en m�moire, qui pouvait provoquer un crash du syst�me, a �t� corrig�. Pour plus d'informations à propos de la solution, consultez l'avis de s�curit� FreeBSD-SA-02:22.

Un trou de s�curit�, gr�ce auquel les programmes SUID pouvaient lire ou �crire des fichiers incorrects en manipulant leurs descripteurs de fichier d'Entr�es/Sorties standards, a �t� corrig�. La solution est disponible dans l'avis de s�curit� FreeBSD-SA-02:23.

Un comportement inattendu pouvait se produire avec k5su(8) parce qu'il ne v�rifiait pas que l'utilisateur �tait membre du groupe wheel lorsqu'il essayait de passer en super-utilisateur (c'est le cas avec su(1)). Pour �viter cette situation, k5su(8) est maintenant install� en non-SUID par d�faut (ce qui le rends inutilisable). Plus d'informations sont disponibles dans l'avis de s�curit� FreeBSD-SA-02:24.

Plusieurs vuln�rabilit�s ont �t� d�couvertes dans l'utilitaire bzip2(1), qui pouvait conduire à l'�crasement de fichiers sans avertissement ou permettre à des utilisateurs locaux d'acc�der à des fichiers prot�g�s. Ces probl�mes ont �t� corrig�s avec la mise à jour de bzip2. Pour plus d'informations, consultez l'avis de s�curit� FreeBSD-SA-02:25.

Un bug a �t� corrig� dans l'impl�mentation du cache SYN de TCP (``syncache''), qui pouvait permettre à un attaquant distant d'interdire l'acc�s à un service lorsque les filtres d'acc�s (voir accept_filter(9)) �taient utilis�s. Ce bug a �t� corrig�; pour plus d'informations, consultez l'avis de s�curit� FreeBSD-SA-02:26.

A cause d'un bug dans l'utilisation des caract�res sp�ciaux du shell dans rc(8), les utilisateurs pouvaient supprimer le contenu de n'importe quel fichier si /tmp/.X11-unix n'existait pas et que le syst�me �tait relanc�. Ce bug a �t� corrig� (consultez l'avis de s�curit�FreeBSD-SA-02:27).


2.3 Changements dans les programmes utilisateurs

Ajout de atacontrol(8) pour contr�ler divers aspects du driver ata(4).

Pour les lecteurs CDROM ATAPI, cdcontrol(1) supporte maintenant une commande speed afin d'indiquer la vitesse maximale à utiliser avec le lecteur.

ctags(1) ne cr�� plus un fichier de tags corrompu si le fichier source utilise des commentaires // (style C++).

dump(8) donne maintenant une indication sur sa progression dans le titre du processus, ce qui peut �tre utile pour surveiller les sauvegardes automatiques.

/etc/rc.firewall et /etc/rc.firewall6 n'ajoutent plus leurs propres r�gles dans les cas o� le fichier de r�gles est indiqu� dans la variable firewall_type ou si le type de firewall n'existe pas (la motivation pour cette modification est d'�viter de faire des suppositions sur la politique de s�curit� d'un site). De plus, le firewall de type closed fonctionne d�sormais tel que document� dans la page de manuel rc.firewall(8).

Les fonctionnalit�s de /etc/security ont �t� d�plac�es vers un ensemble de scripts dans le cadre de periodic(8), de mani�re à faciliter les personnalisations et à les rendre plus simple à maintenir. Ces scripts sont maintenant situ�s dans /etc/periodic/security/.

La famille d'adresse ether de ifconfig(8) a �t� modifi�e au profit de la famille link plus g�n�rique (ether est toujours accept� pour conserver la compatibilit�).

fsdb(8) supporte maintenant une commande blocks afin de lister les blocs allou�s par un inode particulier.

ispppcontrol(8) a �t� supprim� et ses fonctionnalit�s ont �t� ajout�es dans spppcontrol(8).

k5su(8) n'est plus install� par d�faut en tant que SUID root. Les utilisateurs qui ont besoin de cette fonction peuvent soit changer manuellement les permissions sur l'ex�cutable k5su(8) ou ajouter ENABLE_SUID_K5SU=yes dans le fichier /etc/make.conf avant une mise à jour via les sources.

ldd(1) peut maintenant s'utiliser avec les librairies partag�es, en plus des ex�cutables.

last(1) supporte d�sormais une option -y qui permet d'inclure l'ann�e dans la date de d�but de session.

libstand supporte d�sormais le chargement de noyaux et modules de taille importante partag�s entre plusieurs p�riph�riques.

libusb a �t� renomm� en libusbhidpour suivre les conventions de nommage de NetBSD.

lpd(8) reconnait maintenant l'option -s en tant qu'�quivalent à l'option -p (ces options indiquent à lpd(8) de ne pas ouvrir de socket pour les travaux d'impression en r�seau).

lpd(8) dispose maintenant d'une nouvelle option printcap rc. Lorsqu'elle est sp�cifi�e dans une file d'impression pour un h�te distant, cette option indique à lpd(8) de r�envoyer le fichier de donn�es pour chaque copie demand�e par l'utilisateur via la commande lpr -#n.

ls(1) accepte d�sormais l'option -h, qui lorsqu'elle est combin�e avec l'option -l, permet d'afficher l'unit� utilis�e pour les tailles des fichiers choisi de fa�on à ce que le nombre de chiffres affich�s soit inf�rieur à quatre.

m4(1) accepte maintenant l'option -s qui permet d'�mettre les directives #line pour une utilisation avec cpp(1).

mergemaster(8) supporte d�sormais deux nouvelles options. L'option -p indique un mode ``pre-buildworld'' pour comparer les fichiers essentiels à la r�ussite des �tapes buildworld et installworld de la mise à jour du syst�me. L'option -C, utilis� apr�s une premi�re utilisation r�ussie de mergemaster(8), compare les options de /etc/rc.conf avec les options par d�faut de /etc/defaults/rc.conf.

ngctl(8) supporte maintenant une commande write pour envoyer un paquet de donn�es à travers une redirection donn�e.

patch(1) accepte maintenant une option -i pour lire un patch depuis un fichier plut�t que depuis l'entr�e standard.

Un module pam_ssh(8) a �t� ajout� afin de permettre l'utilisation des mots de passe et des clefs SSH pour l'authentification. Ce module prends �galement en charge la gestion des sessions en utilisant ssh-agent(1).

pr(1) supporte maintenant les options -f et -p pour interrompre la sortie vers le terminal.

L'option -W de ps(1) (pour extraire des informations à partir d'un p�riph�rique de swap sp�cifique) est inutile depuis d�jà quelque temps; elle a �t� supprim�e.

reboot(8) accepte maintenant une option -k pour sp�cifier le noyau lors du prochain d�marrage.

sshd(8) n'�mets plus un faux challenge S/Key pour les utilisateurs qui n'ont pas activ� S/Key. Le comportement ant�rieur pouvait pr�ter à confusion en envoyant une invite inutile de mot de passe à utilisation unique avec certains clients SSH r�cents lors d'une connexion à un syst�me FreeBSD.

sysinstall(8) a maintenant un support rudimentaire pour retrouver les paquetages depuis le bon volume d'une installation faites à partir de plusieurs volumes (comme une distribution sur plusieurs CD).

tftp(1) et tftpd(8) supportent d�sormais IPv6.

Ajout de usbhidctl(1) pour la manipulation des p�riph�riques d'interfaces homme-machine USB.

uuencode(1) et uudecode(1) acceptent d�sormais une option -o pour indiquer leurs fichiers de sortie. uuencode(1) peut maintenant coder en base64 gr�ce à l'option -m, et uudecode(1) peut maintenant automatiquement d�coder les fichiers base64.

watch(8) dispose maintenant d'une option -f pour sp�cifier le p�riph�rique snp(4) à utiliser.

Les noms de locales de la forme *.EUC ont �t� renomm�s en *.euc??. Par exemple, ja_JP.EUC est devenu ja_JP.eucJP. Cela permet d'am�liorer la compatibilit� des noms de locales avec FreeBSD CURRENT, X11R6 et plusieurs autres versions d'UNIX.

Le support de la localisation a �t� mis à jour avec FreeBSD -CURRENT. Ce changement apporte un support des cat�gories LC_NUMERIC, LC_MONETARY, et LC_MESSAGES, plusieurs am�liorations à strftime(3), une r�vision des d�finitions de locales, et une am�lioration de la localisation pour de nombreux programmes du syst�me de base.


2.3.1 Logiciels tiers

Mise à jour de BIND avec la version 8.3.2-T1B.

Mise à jour de bzip2 avec la version 1.0.2.

Mise à jour de Heimdal Kerberos avec la version 0.4e.

Mise à jour du client ISC DHCP avec la version 3.0.1RC8.

Mise à jour de texinfo avec la version 4.1.

Mise à jour de la base de donn�es des fuseaux horaires avec la version tzdata2002c.


2.3.1.1 Sendmail

Mise à jour de sendmail avec la version 8.12.3. sendmail(8) n'est plus install� en tant que binaire avec les droits root (et il appartient maintenant au groupe smmsp). Consultez /usr/src/contrib/sendmail/RELEASE_NOTES et /etc/mail/README pour plus d'informations.

Avec cette mise à jour de sendmail, plusieurs d�mons sendmail (dont certains requis pour la gestion des messages sortant) sont lanc�s par rc(8) m�me si la variable sendmail_enable est mise à NO. Pour d�sactiver compl�tement sendmail, sendmail_enable doit �tre mis à NONE. Pour les syst�mes utilisant un MTA diff�rent, la variable mta_start_script peut �tre utilis�e pour pointer sur un script de d�marrage diff�rent (de plus amples d�tails se trouvent dans rc.sendmail(8)).

Les permissions des alias et des bases de donn�es sendmail g�n�r�s via /etc/mail/Makefile ont maintenant le mode 0640 par d�faut pour assurer une protection contre le d�ni de service par v�rouillage local du fichier. Ce mode peut �tre modifi� avec la nouvelle option SENDMAIL_MAP_PERMS du fichier make.conf.

Les permissions du fichier de statistiques /var/log/sendmail.st de sendmail ont �t� modifi�s du mode 0644 au mode 0640 pour assurer une protection contre le d�ni de service par v�rouillage local du fichier.


2.3.2 Collection de Paquetages/Ports

La collection des ports utilise d�sormais XFree86 4.2.0 comme version par d�faut de X Window pour le respect des d�pendances. Pour utiliser XFree86 3.3.6, ajoutez la ligne suivante au fichier /etc/make.conf :

    XFREE86_VERSION=3

2.4 Int�gration et cr�ation des versions

XFree86 4.2.0 est maintenant la version par d�faut de X Window support� par sysinstall(8). Il installe XFree86 comme un ensemble de paquetages binaires standards et donc les utilitaires habituels d�di�s aux paquetages comme pkg_info(1) peuvent �tre utilis�s afin d'examiner/de manipuler ses composants.


3 Mise à jour depuis une version ant�rieure de FreeBSD

Si vous effectuez une mise à jour depuis une version ant�rieure de FreeBSD, vous avez g�n�ralement 3 options :



Veuillez consulter le fichier INSTALL.TXT pour plus d'informations, si possible avant de commencer la mise à jour. Si vous faites une mise à jour à partir des sources, consultez �galement le fichier /usr/src/UPDATING.

Enfin, si vous d�sirez utiliser une des mani�res de suivre les branches -STABLE ou -CURRENT de FreeBSD, veuillez consulter la section ``-CURRENT vs. -STABLE'' du Manuel de R�f�rence FreeBSD.

Important: La mise à jour de FreeBSD doit, bien �videmment, �tre effectu�e uniquement apr�s avoir sauvegard� toutes les donn�es et tous les fichiers de configuration.


This file, and other release-related documents, can be downloaded from http://snapshots.jp.FreeBSD.org/.

For questions about FreeBSD, read the documentation before contacting <[email protected]>.

All users of FreeBSD 4-STABLE should subscribe to the <[email protected]> mailing list.

For questions about this documentation, e-mail <[email protected]>.