7.11. Sicherheit (Maschinenübersetzung)
OpenSCAPrpmverifypackage
funktioniert nicht richtig
Die chdir
und chroot
Systemaufrufe werden von der rpmverifypackage
Sonde zweimal aufgerufen. Folglich tritt ein Fehler auf, wenn die Sonde während eines OpenSCAP-Scans mit benutzerdefiniertem Inhalt der Open Vulnerability and Assessment Language (OVAL) verwendet wird.
Um dieses Problem zu umgehen, verwenden Sie den rpmverifypackage_test
OVAL-Test nicht in Ihren Inhalten oder verwenden Sie nur die Inhalte aus dem scap-security-guide
Paket, in dem rpmverifypackage_test
sie nicht verwendet werden.
(BZ#1646197)
libssh
nicht mit der systemweiten Krypto-Richtlinie übereinstimmt
Die libssh
Bibliothek folgt nicht den systemweiten kryptographischen Richtlinieneinstellungen. Infolgedessen wird der Satz der unterstützten Algorithmen nicht geändert, wenn der Administrator die Ebene der Krypto-Richtlinien mit dem update-crypto-policies
Befehl ändert.
Um dieses Problem zu umgehen, muss der Satz der beworbenen Algorithmen von jeder Anwendung, die diese verwendetlibssh
, individuell eingestellt werden. Wenn das System auf die Richtlinienebene LEGACY oder FUTURE eingestellt ist, libssh
verhalten sich Anwendungen, die verwenden, daher inkonsistent im Vergleich zu OpenSSH
.
(BZ#1646563)
SCAP Workbench kann keine ergebnisbasierten Korrekturen aus maßgeschneiderten Profilen generieren
Der folgende Fehler tritt auf, wenn versucht wird, mit dem Werkzeug SCAP Workbench aus einem benutzerdefinierten Profil ergebnisbasierte Korrekturrollen zu generieren:
Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]
Um dieses Problem zu umgehen, verwenden Sie den oscap
Befehl mit der --tailoring-file
Option.
(BZ#1640715)
OpenSCAPrpmverifyfile
funktioniert nicht
Der OpenSCAP-Scanner ändert das aktuelle Arbeitsverzeichnis nicht korrekt im Offlinemodus, und die fchdir
Funktion wird nicht mit den richtigen Argumenten in der OpenSCAP-Sonderpmverifyfile
aufgerufen. Folglich schlägt das Scannen beliebiger Dateisysteme mit dem oscap-chroot
Befehl fehl, wenn rpmverifyfile_test
es in einem SCAP-Inhalt verwendet wird. Infolgedessen wird das beschriebene Szenario oscap-chroot
abgebrochen.
(BZ#1636431)
Ein Dienstprogramm für die Sicherheits- und Konformitätsprüfung von Containern ist nicht verfügbar
In Red Hat Enterprise Linux 7 kann das oscap-docker
Dienstprogramm zum Scannen von Docker-Containern auf Basis von Atomic-Technologien verwendet werden. In Red Hat Enterprise Linux 8 sind die Docker- und Atom-bezogenen OpenSCAP-Befehle nicht verfügbar. Infolgedessen ist in RHEL 8 derzeit kein gleichwertiges Dienstprogramm für die Sicherheits- und Konformitätsprüfung von Containern verfügbaroscap-docker
.
(BZ#1642373)