Das FreeBSD 15.1-RELEASE konzentriert sich vor allem auf Sicherheit, Wartung und Modernisierung: Seit Version 15.0 wurden mehr als 30 Security Advisories behoben, darunter mehrere Schwachstellen mit Remote-Code-Ausführung, Privilegieneskalation und Denial-of-Service-Potenzial. Eigentlich sollte FreeBSD 15.1 bereits Anfang Juni freigegeben werden. Ein merkwürdiger Fehler, unter anderem im Zusammenhang mit Intel-Microcode-Updates, sorgte jedoch dafür, dass FreeBSD beim Starten auf x86-Systemen abgestürzt ist – und so musste das Release um zwei Wochen auf Mitte Juni verschoben werden. Auch die schon für FreeBSD 15.0 angekündigte Funktion, KDE schon aus dem Installer heraus installieren zu können, wurde auf FreeBSD 15.2 verschoben.
Wie bei anderen Open-Source-Projekten auch überfluten die neuen KI-/LLM-gestützten Erkennungswerkzeuge die FreeBSD-Entwickler mit Unmengen an Bugreports – zum Teil irrelevant und von Hobby-Bughuntern eingereicht. Trotzdem finden die KIs etliche Fehler, die ihren menschlichen Kollegen bislang entgangen sind. FreeBSD 15.1-RC1 enthielt daher schon eine Reihe von Sicherheitskorrekturen, die aus diesem neuen Bereich der KI-gestützten Sicherheitsforschung stammen.
Calif.io beispielsweise hat zusammen mit Partnern eine „Use-after-free“-Sicherheitslücke im Kernel über Systemaufrufe für Dateideskriptoren entdeckt. GLM-5.1 von Z.ai entdeckte eine fehlende Validierung in ptrace (PT_SC_REMOTE), die es nicht privilegierten lokalen Benutzern ermöglichen kann, ihre Berechtigungen auf Root zu erweitern. Weitere durch KI entdeckte Bugs während der Installation beim WLAN-Scan, Heap-Überläufe im Code des FUSE-Dateisystems oder eine fehlerhafte Manipulation der libcap_net-Einschränkungsliste mussten gefixt werden.
Neben den vielen Sicherheitsfixes hat sich dank finanzieller Unterstützung aus Wirtschaft und Regierungen die Weiterentwicklung von FreeBSD beschleunigt. Der bisherige Tipp, „nur alte ThinkPads“ laufen mit FreeBSD problemlos, hat sich relativiert, denn im Bereich WiFi, Grafik, Audio, Stromsparfunktionen und dem Installer hat sich im Zuge von FreeBSD 15 und jetzt 15.1 viel getan. Auch moderne oder aktuelle Notebook- oder Desktop-Hardware läuft nun überraschend gut unter FreeBSD. Für mehr Komfort sorgen das verbesserte Firmware-Tool fwget(8) und deutlich erweiterte Manualpages.
Unter der Haube: Scheduler-Tuning und neue Treiber
FreeBSD 15.1 erhält ein neues Framework zur Auswahl von CPU-Schedulern, mit dem sich verschiedene Scheduler bereits beim Systemstart per Tunable aktivieren lassen und das als Grundlage für künftige Scheduler-Implementierungen dient. Zudem wurde der bisherige Standard-Scheduler ULE als eigenständige Instanz umgesetzt. In der GENERIC-Kernelkonfiguration für amd64 sind nun sowohl SCHED_ULE als auch SCHED_4BSD enthalten , sodass Nutzer per kern.sched zwischen beiden Varianten wählen können.
Bei den Treibern erweitert FreeBSD 15.1 vor allem die Unterstützung für aktuelle Server-, Netzwerk- und Cloud-Hardware. Neu hinzugekommen sind unter anderem Support für Intel-WLAN-Chips der AX210/AX211/AX411-Serie, Intel-E835-Netzwerkadapter, zusätzliche Intel-QAT-Beschleuniger sowie NVMe-Controller in Google-Cloud-Instanzen.
Auch Raspberry-Pi-Systeme profitieren von Verbesserungen: FreeBSD unterstützt nun den VirtGPIO-Controller bestimmter Modelle und behebt Probleme bei der USB-Initialisierung des Raspberry Pi 400. Zudem wurde der ENA-Netzwerktreiber für Amazons EC2-Umgebungen aktualisiert, was bei der Verarbeitung großer Pakete laut Projekt eine mehr als zehnfache Steigerung des Datendurchsatzes ermöglichen kann.
Schneller Scrub bei OpenZFS und mehr NFS-Kompatibilität
Auch OpenZFS erhält mehrere Leistungsverbesserungen . Kürzere Mindestlaufzeiten für Scrub- und Resilver-Vorgänge ermöglichen schnellere Transaktionszyklen auf modernen Speichersystemen und können die Schreibleistung unter hoher Last steigern.
Darüber hinaus reduziert ein neuer ARC-Tuning-Parameter die Sperrkonflikte beim Freigeben von Cache-Inhalten und erhöht so den Datendurchsatz bei bestimmten Workloads. Zudem wurde der zpool-Prefetch für Metadaten erweitert, was die Performance von Block-Klonen und das Freigeben geklonter Datenblöcke beschleunigen soll.
Im Bereich NFS verbessert FreeBSD 15.1 die Kompatibilität und Unterstützung für disklose Systeme. Der NFS-Client geht nun korrekt mit groß-/kleinschreibungsunabhängigen Dateisystemen um , während NFSv4-Installationen erstmals ein Root-Dateisystem direkt über das Netzwerk bereitstellen und dabei auch Namens- und ID-Zuordnungen über nfsuserd unterstützen können.
Zudem wurde die Interoperabilität mit Windows-NFS-Clients verbessert, und die Implementierung enthält bereits die technischen Grundlagen für eine künftige Unterstützung erweiterter POSIX-ACLs auf Basis von NFSv4.2. Auch iSCSI verhält sich wieder RFC-konform und behandelt Target-Namen bei der Anmeldung unabhängig von der Groß- und Kleinschreibung.
Oracle-Cloud Images (OCI) fliegen mangels Support raus…
Read the full article at heise online →
Germany