Доступен значительный релиз операционной системы NetBSD 8.0, в котором реализована очередная порция новых возможностей. Для загрузки подготовлены установочные образы размером 730 Мб. Релиз NetBSD 8.0 официально доступен в сборках для 58 системных архитектур и 16 различных семейств CPU.
Отдельно выделены 8 первично поддерживаемых портов, составляющих ядро стратегии развития NetBSD: amd64, i386, evbarm, evbmips, evbppc, hpcarm, sparc64 и xen. 49 портов, связанных с такими CPU, как alpha, hppa, m68010, m68k, sh3, sparc и vax, отнесены ко второй категории, т.е. ещё поддерживаются, но уже потеряли актуальность или не имеют достаточного числа заинтересованных в их развитии разработчиков. Один порт (acorn26) включён в третью категорию, в которой размещены неработоспособные порты, претендующие на удаление, если не найдётся заинтересованных в их разработке энтузиастов.
Ключевые улучшения NetBSD 8.0:
- Переработанный USB-стек с поддержкой USB3;
- Встроенная в ядро система микширования звука;
- Обеспечение повторяемых сборок, позволяющих убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений;
- Задействование по умолчанию механизма защиты памяти W^X (Write XOR Execute или PaX MPROTECT), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека (записанный за пределы буфера код не может быть исполнен). Защита активирована для ELF-файлов для архитектур i386, amd64, evbarm, landisk и pmax;
- На архитектурах i386, amd64, evbarm, landisk, pmax и sparc64 включена по умолчанию рандомизация адресного пространства (ASLR) при сборке;
- На архитектурах i386, amd64, arm, m68k, mips, sh3 и sparc64 по умолчанию исполняемые файлы собраны в режиме MKPIE (position independent executables);
- Добавлен драйвер с реализацией сокетов для шин CAN;
- Добавлена утилита ipsecif для настройки VPN;
- Часть сетевого стека избавлена от глобальной блокировки и помечена как MP-safe. В ядро добавлена опция NET_MPSAFE;
- Повышена стабильность и производительность подсистемы журналирования мета-данных (WAPBL);
- Добавлен новый порт or1k;
- Ядро для архитектуры i386 собрано в режиме GENERIC_PAE, поддерживающем работу на системах с более чем 4 GB ОЗУ;
- В драйвер ext2fs добавлена поддержка различных новых возможностенй файловой системы ext4, включая индексы htree, экстенты, extra_inodes, поддержка более 64000 жестких ссылок;
- В состав включена новая утилита intrctl для управления распределением прерываний;
- В утилиту ftp добавлена поддержка SNI для HTTPS;
- Добавлена утилита ip6addrctl для настройки правил выбора адресов IPv6;
- Добавлена защита от атак Meltdown, Spectre (v2, v4) и LazyFP;
- Добавлена поддержка набора инструкций SMAP (Supervisor Mode Access Prevention), который позволяет блокировать доступ к данным в пространстве пользователя из привилегированного кода, выполняемого на уровне ядра;
- Добавлен загрузчик для систем с UEFI;
- Добавлены новые драйверы: nvme (SSD-накопители), iwm (Intel Wireless AC7260, AC7265, AC3160), ixg (X540, X550), ixv (Intel 10G Ethernet), bta2dpd (Bluetooth Advanced Audio Distribution Profile);
- Обновлены версии сторонних компонентов: GCC 5.5 с поддержкой Address Sanitizer и Undefined Behavior Sanitizer,
GDB 7.12,
GNU binutils 2.27,
Clang/LLVM 3.8.1,
OpenSSH 7.6,
OpenSSL 1.0.2k,
mdocml 1.14.1,
acpica 20170303,
ntp 4.2.8p11-o,
dhcpcd 7.0.3,
Lua 5.3.4.
