Nach verheerenden WireGuard-Bugs: moderne VPN-Software bei FreeBSD wieder dabei

FreeBSD hat mit der Version 13.2 das dritte und damit letzte stable/13er-Release vor Version 14.0 – geplant für Mitte Juli – freigegeben. Eigentlich sollte der Release Candidate 4 (RC4) die letzte Vorabversion von FreeBSD 13.2 sein, aber um einen zusätzlich behobenen Fehler zu testen, gab es einen RC5 – und danach sogar einen RC6 wegen eines Problems im AMD64-Wake-up-Code. Damit wurde im letzten Moment noch ein Bug im Suspend/Resume-Cycle bei einigen Laptop-Modellen behoben.

WireGuard nach Drama wieder zurück

WireGuard ist eine VPN-Software, die der Konkurrenz wie OpenVPN deutlich überlegen ist und für GNU/Linux und FreeBSD erscheint. Den Code für WireGuard wollten die Entwickler in den FreeBSD-Kernel integrieren, damit es ein fester Bestandteil von pfSense 2.5 wird. Einige pfSense-Benutzer meldeten jedoch Bugs im Zusammenhang mit WireGuard, die schließlich WireGuard-Entwickler Jason Donenfeld untersuchte. Vor der geplanten Veröffentlichung von FreeBSD 13.0-RELEASE entdeckte er verheerende Fehler im Code, der in Folge komplett aus dem Kernel entfernt wurde. Mit FreeBSD 13.2, also ziemlich genau ein Jahr später, sollen diese Probleme behoben sein und WireGuard ist wieder ohne Verrenkungen unter dem BSD benutzbar.

Das Update bei externen Komponenten wie OpenSSH auf Version 92.p1 enthält einige wichtige Sicherheitskorrekturen und Leistungsoptimierungen. OpenSSL wurde auf Version 1.1.1t aktualisiert. OpenZFS hat FreeBSD gegenüber 13.1 von Version 2.1.4 auf 2.1.9 aktualisiert, wobei es vor allem viele Änderungen im GNU/Linux-Code und eine Anpassung auf der Linux-Kernel 6.1 gibt. Da FreeBSD problemlos GNU/Linux-Software über den ABI-Support ausführen kann, gab es auch in diesem Bereich viele Anpassungen. Selbst kdump(1) kann nun unter FreeBSD die Systemaufrufe von GNU/Linux-Software anzeigen, die mit ktrace(1) in einem für Menschen einigermaßen lesbaren Format erstellt wurden.

Verbesserungen tief im Inneren

Die Address Space Layout Randomization (ASLR) ist jetzt standardmäßig für 64-Bit-Programme aktiviert. Bhyve, der native Hypervisor von FreeBSD, kann virtuellen Maschinen ab sofort bis zu 16 vCPUs zuweisen.

In FreeBSD 13.2 wurde ferner ein Workaround für ein Problem der Hardware Page Invalidation auf Hybrid CPUs der Intel-Baureihen Alder Lake (12. Generation) und Raptor Lake (13. Generation) implementiert. Der Fehler kann zu Dateisystemkorruption mit UFS und MSDOSFS und anderen Speicherkorruptionen führen. Mit dem Workaround nutzen die E-Kerne automatisch eine langsamere Methode der Seiteninvalidierung. Auf UFS-Dateisystemen kann man nun Snapshots erstellen, sofern man die neue UFS-Journaling-Funktion nutzt.

FreeBSD 13.2 ist als freies Betriebssystem ab sofort kostenlos für die Architekturen amd64, i386, powerpc, powerpc64, powerpc64le, powerpcspe, armv6, armv7, aarch64 und riscv64 verfügbar.

(fo)