Das FreeBSD 15.1-RELEASE konzentriert sich vor allem auf Sicherheit, Wartung und Modernisierung: Seit Version 15.0 wurden mehr als 30 Security Advisories behoben, darunter mehrere Schwachstellen mit Remote-Code-Ausführung, Privilegieneskalation und Denial-of-Service-Potenzial. Eigentlich sollte FreeBSD 15.1 bereits Anfang Juni freigegeben werden. Ein merkwürdiger Fehler, unter anderem im Zusammenhang mit Intel-Microcode-Updates, sorgte jedoch dafür, dass FreeBSD beim Starten auf x86-Systemen abgestürzt ist – und so musste das Release um zwei Wochen auf Mitte Juni verschoben werden. Auch die schon für FreeBSD 15.0 angekündigte Funktion, KDE schon aus dem Installer heraus installieren zu können, wurde auf FreeBSD 15.2 verschoben.
Wie bei anderen Open-Source-Projekten auch überfluten die neuen KI-/LLM-gestützten Erkennungswerkzeuge die FreeBSD-Entwickler mit Unmengen an Bugreports – zum Teil irrelevant und von Hobby-Bughuntern eingereicht. Trotzdem finden die KIs etliche Fehler, die ihren menschlichen Kollegen bislang entgangen sind. FreeBSD 15.1-RC1 enthielt daher schon eine Reihe von Sicherheitskorrekturen, die aus diesem neuen Bereich der KI-gestützten Sicherheitsforschung stammen.
Calif.io beispielsweise hat zusammen mit Partnern eine „Use-after-free“-Sicherheitslücke im Kernel über Systemaufrufe für Dateideskriptoren entdeckt. GLM-5.1 von Z.ai entdeckte eine fehlende Validierung in ptrace (PT_SC_REMOTE), die es nicht privilegierten lokalen Benutzern ermöglichen kann, ihre Berechtigungen auf Root zu erweitern. Weitere durch KI entdeckte Bugs während der Installation beim WLAN-Scan, Heap-Überläufe im Code des FUSE-Dateisystems oder eine fehlerhafte Manipulation der libcap_net-Einschränkungsliste mussten gefixt werden.
Neben den vielen Sicherheitsfixes hat sich dank finanzieller Unterstützung aus Wirtschaft und Regierungen die Weiterentwicklung von FreeBSD beschleunigt. Der bisherige Tipp, „nur alte ThinkPads“ laufen mit FreeBSD problemlos, hat sich relativiert, denn im Bereich WiFi, Grafik, Audio, Stromsparfunktionen und dem Installer hat sich im Zuge von FreeBSD 15 und jetzt 15.1 viel getan. Auch moderne oder aktuelle Notebook- oder Desktop-Hardware läuft nun überraschend gut unter FreeBSD. Für mehr Komfort sorgen das verbesserte Firmware-Tool fwget(8) und deutlich erweiterte Manualpages.
FreeBSD 15.1 erhält ein neues Framework zur Auswahl von CPU-Schedulern, mit dem sich verschiedene Scheduler bereits beim Systemstart per Tunable aktivieren lassen und das als Grundlage für künftige Scheduler-Implementierungen dient. Zudem wurde der bisherige Standard-Scheduler ULE als eigenständige Instanz umgesetzt. In der GENERIC-Kernelkonfiguration für amd64 sind nun sowohl SCHED_ULE als auch SCHED_4BSD enthalten, sodass Nutzer per kern.sched zwischen beiden Varianten wählen können.
Bei den Treibern erweitert FreeBSD 15.1 vor allem die Unterstützung für aktuelle Server-, Netzwerk- und Cloud-Hardware. Neu hinzugekommen sind unter anderem Support für Intel-WLAN-Chips der AX210/AX211/AX411-Serie, Intel-E835-Netzwerkadapter, zusätzliche Intel-QAT-Beschleuniger sowie NVMe-Controller in Google-Cloud-Instanzen.
Auch Raspberry-Pi-Systeme profitieren von Verbesserungen: FreeBSD unterstützt nun den VirtGPIO-Controller bestimmter Modelle und behebt Probleme bei der USB-Initialisierung des Raspberry Pi 400. Zudem wurde der ENA-Netzwerktreiber für Amazons EC2-Umgebungen aktualisiert, was bei der Verarbeitung großer Pakete laut Projekt eine mehr als zehnfache Steigerung des Datendurchsatzes ermöglichen kann.
Auch OpenZFS erhält mehrere Leistungsverbesserungen. Kürzere Mindestlaufzeiten für Scrub- und Resilver-Vorgänge ermöglichen schnellere Transaktionszyklen auf modernen Speichersystemen und können die Schreibleistung unter hoher Last steigern.
Darüber hinaus reduziert ein neuer ARC-Tuning-Parameter die Sperrkonflikte beim Freigeben von Cache-Inhalten und erhöht so den Datendurchsatz bei bestimmten Workloads. Zudem wurde der zpool-Prefetch für Metadaten erweitert, was die Performance von Block-Klonen und das Freigeben geklonter Datenblöcke beschleunigen soll.
Im Bereich NFS verbessert FreeBSD 15.1 die Kompatibilität und Unterstützung für disklose Systeme. Der NFS-Client geht nun korrekt mit groß-/kleinschreibungsunabhängigen Dateisystemen um, während NFSv4-Installationen erstmals ein Root-Dateisystem direkt über das Netzwerk bereitstellen und dabei auch Namens- und ID-Zuordnungen über nfsuserd unterstützen können.
Zudem wurde die Interoperabilität mit Windows-NFS-Clients verbessert, und die Implementierung enthält bereits die technischen Grundlagen für eine künftige Unterstützung erweiterter POSIX-ACLs auf Basis von NFSv4.2. Auch iSCSI verhält sich wieder RFC-konform und behandelt Target-Namen bei der Anmeldung unabhängig von der Groß- und Kleinschreibung.
Im Cloud-Umfeld verbessert FreeBSD 15.1 vor allem die Wartbarkeit und Performance von Instanzen. Cloud- und VM-Abbilder mit paketbasiertem Basissystem enthalten nun standardmäßig pkg, zudem können Basis-Pakete bei der ersten Inbetriebnahme automatisch auf den aktuellen Stand gebracht werden.
Für Amazon-EC2-Instanzen mit Graviton-Prozessoren wurde die Netzwerkleistung durch eine bessere Verteilung der ENA-Interrupts auf mehrere CPU-Kerne erhöht. Darüber hinaus wurden die Google-Cloud-Abbilder eindeutiger benannt, während die Unterstützung für Oracle Cloud Infrastructure eingestellt wurde. Die letzten offiziellen OCI-Images basieren auf FreeBSD 15.0.
Bei der Virtualisierung erweitert FreeBSD 15.1 insbesondere die Möglichkeiten von bhyve und verbessert die Unterstützung moderner ARM- und Cloud-Plattformen. So lässt sich der PCI-Passthrough-Zugriff in Jails nun gezielt über eine neue Konfigurationsoption freigeben, während bhyve dank Unterstützung für Unix-Domain-Sockets auch in netzwerklosen Jails eine grafische Konsole bereitstellen kann.
Darüber hinaus wurde die Virtualisierungsunterstützung auf arm64 durch die Unterstützung der Fine-Grained-Trap-Register ausgebaut. Weitere Neuerungen umfassen die Grafikunterstützung für Parallels Desktop über den Virtio-GPU-Treiber sowie Verbesserungen für große Cloud-Instanzen, darunter die Unterstützung von bis zu 32.768 APIC-IDs auf amd64-Systemen.
FreeBSD hat – gesponsort durch Yandex LLC – die ipfw(8) Firewall um eine mächtige Funktion erweitert: Die Unterstützung von maskierten IP-Adress-Suchen in Tabellen, sogenannte „masked lookups“. Diese Neuerung löst ein altes Problem und ermöglicht es, Firewall-Regeln deutlich effizienter zu gestalten. Bisher konnten ipfw-Tabellen nur zusammenhängende Netzpräfixe (wie 192.168.0.0/16) speichern. Wer bestimmte Bits einer IP-Adresse ignorieren wollte, etwa um alle Adressen mit identischem ersten Byte zu erfassen, musste viele Einzelregeln schreiben. Beim neuen Tabellen-Lookup lässt sich nun eine Bitmaske angeben. Dadurch lassen sich Adressen nach frei definierbaren Bitmustern gruppieren, viele Firewall-Regeln in wenige Tabelleneinträge zusammenfassen und Paketvergleiche durch einfache Bitoperationen durchführen – was nebenbei deutlich weniger CPU-Last erzeugt.
Der Code für die Kompatibilität zu ipfw(8) Version 3 (FreeBSD 8 und älter) wurde entfernt und ipfw(8) so etwas schlanker.
Finanziert durch OPNsense und Klara Inc. wurden Divert-Sockets auf IPv6 angepasst. Die Änderung hebt eine alte Einschränkung auf: Divert-Socket-Anwendungen können nun neben IPv4- auch IPv6-Pakete empfangen, analysieren, verändern und wieder in den Netzwerk-Stack einspeisen. Dadurch lassen sich bestehende ipfw-basierte Netzwerkwerkzeuge vollständig für IPv4 und IPv6 einsetzen.
FreeBSD kann jetzt IPv6-Adressen nach RFC 7217 erzeugen, anstatt wie bisher oft einen Interface-Identifier zu verwenden, der direkt aus der MAC-Adresse abgeleitet wird (EUI-64). Bei klassischem IPv6-SLAAC (Stateless Address Autoconfiguration) wurde häufig die MAC-Adresse in die IPv6-Adresse eingebaut, womit sich Anonymität oder Datenschutz leicht aushebeln lassen. RFC 7217 erzeugt den Host-Teil der IPv6-Adresse aus einem kryptographischen Hash statt aus der MAC-Adresse. Die Funktion ist in FreeBSD 15.1 vorhanden, aber standardmäßig deaktiviert, damit bestehende Systeme ihr bisheriges Verhalten behalten. Damit erhält FreeBSD 15.1 eine moderne und datenschutzfreundlichere Methode zur Erzeugung von SLAAC-IPv6-Adressen, ohne die Vorteile stabiler Adressen zu verlieren.
Dank Bjoern A. Zeeb fühlt sich FreeBSD 15.1 in WiFi-Netzwerken wesentlich wohler. Der FreeBSD-Entwickler hat gleich mehrere WiFi-Treiber auf den Stand von Linux 7.0 gebracht: iwlwifi(4) für die weit verbreiteten Intel IEEE 802.11a/b/g/n/ac/ax/be-Chipsätze, rtw89(4) für Realtek IEEE 802.11ax- und rtw88(4) für Realtek IEEE 802.11n/ac-Chips. Bei einigen Realtek-Chipsätzen muss man nach wie vor mit Problemen rechnen. Ältere Intel-Chipsätze, die iwlwifi(4) nicht unterstützt, laufen mit dem iwn(4)-Treiber.
Für die RISC-V-Architektur gibt es eine grundlegende Unterstützung für LinuxKPI-basierte WiFi-Treiber, allen voran iwlwifi(4). Da ACPI auf RISC-V noch nicht komplett implementiert ist, läuft WiFi hier nicht in allen Fällen reibungslos.
Das Ende 2024 auf den Weg gebrachte „Laptop Support and Usability Project“ soll dabei helfen, die bis dahin vorsichtig ausgedrückt leicht defizitäre Hardware-Unterstützung von FreeBSD für Notebooks zu verbessern. Gefördert wird das Projekt mit immerhin 750.000 US-Dollar, wovon 500.000 Dollar von der FreeBSD Foundation und 250.000 Dollar von Quantum Leap Research kommen. Das US-Forschungsunternehmen ist spezialisiert auf die Entwicklung und Anwendung von Technologien unter anderem für die nationale Sicherheit des Landes. Die zuständige Program Managerin der FreeBSD Foundation ist Alice Sowerby, die es bereits schaffte, die 686.400 Euro vom Sovereign Tech Fund (jetzt Sovereign Tech Agency) und 137.500 US-Dollar von der Initiative Alpha-Omega für einen Audit unter Dach und Fach zu bringen.
Geld und Know-how sollten damit ausreichend vorhanden sein, um FreeBSD im Bereich Sicherheit und für die Nutzung auf moderner und mobiler Hardware deutlich zu verbessern. Anwender können helfen, indem sie ihre (Notebook-)Hardware durch hw-probe analysieren lassen und alle Daten an das Testing-Projekt schicken, was den Entwicklern enorm helfen kann. Vorsicht ist bei sensibler Hardware geboten, denn in einigen Log-Dateien werden MAC- und Seriennummern zwar ausgeblendet, in anderen wie beispielsweise „geom“ und „smartctl“ stehen jedoch die vollständigen Seriennummern aller Datenträger.
Die Hardware-Details einer erfolgreichen Installation aller möglichen BSDs (und GNU/Linux) werden übrigens schon seit langem auf „Hardware for FreeBSD“ gesammelt, um Anwendern die Möglichkeit zu geben, die Kompatibilität einzelner Komponenten oder Geräte vor einer Installation zu prüfen.
Finanziert wiederum von Alpha-Omega hat die FreeBSD Foundation das „FreeBSD AI-Assisted Vulnerability Discovery Project“ geschaffen. Ziel des auf sechs Monate angelegten Vorhabens ist es, die Zahl potenziell ausnutzbarer Sicherheitslücken im FreeBSD-Quellcode zu reduzieren. Mit den bereitgestellten Mitteln werden Mitglieder des FreeBSD Security Teams zeitlich befristet beschäftigt, um den Quellcode systematisch auf Schwachstellen zu untersuchen, Sicherheitsprobleme zu analysieren und entsprechende Korrekturen vorzubereiten. Dabei kommt künstliche Intelligenz ausschließlich zur Unterstützung bei der Identifikation und Bewertung möglicher Sicherheitslücken zum Einsatz. Die dafür benötigten Zugänge zu öffentlich verfügbaren KI-Modellen und die erforderlichen Nutzungskontingente werden den Projektbeteiligten kostenfrei bereitgestellt.
Wichtig: Die Entwicklung und Prüfung von Patches erfolgt weiterhin vollständig durch Menschen. KI-generierter Code soll nicht direkt in FreeBSD übernommen werden. Stattdessen dient die Technologie als Werkzeug, um bislang unentdeckte Schwachstellen schneller aufzuspüren. Neben einigen Sicherheitsexperten mit Zugang zu Claude Mythos Preview durch Project Glasswing haben sich unter anderem Netflix, NetApp, Verisign und andere bereit erklärt, beim Ausmerzen der gefundenen Fehler zu helfen.
Beim Rauswerfen von Code für vermeintlich unnütze 32-Bit-Prozessoren sind die Entwickler in ihrem Eifer über das Ziel hinweg geschossen und haben padlock_rng entfernt. Die Funktion benutzte die ursprünglich von VIA in ihren Centaur-CPUs vorgestellten hardware-beschleunigten Instruktionen für einen Zufallszahlengenerator (RNG), Advanced Encryption Standard (AES), SHA-1, SHA256 und Montgomery Modular Multiplication. Doch auch 64-Bit-Prozessoren wie der Via Nano, der Nano X2 und einige Zhaoxin-CPUs (in chinesischen Laptops oder NAS wie dem QNAP TVS-675) verwenden diese Optimierungen, so dass die Entwickler die Löschung rückgangig machten.
So langsam müssen sich Freunde klassischer PC-Hardware allerdings zumindest bei FreeBSD von ihren Diskettenlaufwerken und Grafikkarten für den Accelerated Graphics Port (AGP) verabschieden. Der agp(4)- und der fdc(4)-Treiber (Floppy Disk Controller) wurden als veraltet (deprecated) gekennzeichnet und sollen mit FreeBSD 16.0 entfernt werden. Das wird auch alle „fd-Tools“ (fdcontrol(8), fdformat(8), fdread(1), fdwrite(1)) betreffen.
Nachdem die Standardshell des root-Benutzers bereits von csh(1) auf das mehr POSIX-konforme sh(1) umgestellt wurde, werden mit FreeBSD 15.1 auch der Benutzer „freebsd“ und „vagrant“ standardmäßig auf sh(1) umgestellt. Die Installation von FreeBSD 15.1 lässt sich so ein wenig einfacher in typische Automatisierungs- und Infrastruktur-Tools (Cloud-Images, Vagrant, CI/CD, Container) integrieren. Eigene Skripte, die Funktionen der csh(1) nutzen, müssen angepasst werden:
setenv VAR value # cshexport VAR=value # sh/bash
Zu guter Letzt können FreeBSD-Anwender mit einem Faible für Ästhetik nun neben einer Grafik beim Start (Splash-Screen) auch eine Grafik beim Herunterfahren genießen. Die loader.conf(5) muss dazu folgendes enthalten:
splash="/boot/images/freebsd-start.png"shutdown_splash="/boot/images/freebsd-shutdown.png"boot_mute="YES"
FreeBSD 15.1 ist erst ein paar Stunden verfügbar, aber bei ersten Updates von FreeBSD 15.0 auf 15.1 kommt es – wie schon bei Version 14 – im Zusammenhang mit speziellen Kernelmodulen manchmal zu Problemen. Gerade die vorherige GPU-Firmware und die drm-kmod-Treiber müssen eventuell von Hand deinstalliert und nach dem Update neu installiert werden. Die Entwickler werden dazu sicherlich in Kürze etwas auf der Errata-Seite veröffentlichen.
Die Webseite des FreeBSD-Projektes wurde modernisiert. Bei dem alten Design konnte man direkt, kompakt und auf einen Blick alle wichtigen Links sehen und anklicken. Das neue Design benötigt ein gut geöltes Mausrad, denn es besteht überwiegend aus Whitespaces und einem toten, rosa Werbeblock für die Funktionen von FreeBSD. Wer nicht amd64 oder aarch64 einsetzt, kommt über das unscheinbare „other“ zu den altbekannten Downloads.
Alle Neuerungen von FreeBSD 15.1 beschreiben die Entwickler in den Release Notes. Das unter der freien BSD-Lizenz stehende quelloffene FreeBSD 15.1 ist ab sofort kostenlos über die neu gestaltete Projektseite für die Hardware-Plattformen amd64, aarch64, armv7, powerpc64/le und riscv64 erhältlich.
(axk)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。