ApoyoConsolaDesarrolladoresIniciar una pruebaContacto

6.4.3. Seguridad

fapolicyd ya no impide las actualizaciones de RHEL

Cuando una actualización sustituye el binario de una aplicación en ejecución, el kernel modifica la ruta del binario de la aplicación en la memoria añadiendo el sufijo " (eliminado)". Anteriormente, el demonio de la política de acceso a archivos fapolicyd trataba dichas aplicaciones como no confiables, y les impedía abrir y ejecutar cualquier otro archivo. Como consecuencia, el sistema a veces no podía arrancar después de aplicar las actualizaciones.

Con la publicación del aviso RHBA-2020:5241, fapolicyd ignora el sufijo en la ruta del binario para que éste pueda coincidir con la base de datos de confianza. Como resultado, fapolicyd aplica las reglas correctamente y el proceso de actualización puede finalizar.

(BZ#1897092)

SELinux ya no impide que Tomcat envíe correos electrónicos

Antes de esta actualización, la política de SELinux no permitía que los dominios tomcat_t y pki_tomcat_t se conectaran a los puertos SMTP. En consecuencia, SELinux denegaba a las aplicaciones del servidor Tomcat el envío de correos electrónicos. Con esta actualización de los paquetes selinux-policy, la política permite que los procesos de los dominios Tomcat accedan a los puertos SMTP, y SELinux ya no impide que las aplicaciones en Tomcat envíen correos electrónicos.

(BZ#1687798)

lockdev ahora se ejecuta correctamente con SELinux

Anteriormente, la herramienta lockdev no podía pasar al contexto lockdev_t aunque la política SELinux para lockdev_t estaba definida. Como consecuencia, lockdev podía ejecutarse en el dominio 'unconfined_t' cuando era utilizado por el usuario root. Esto introducía vulnerabilidades en el sistema. Con esta actualización, la transición a lockdev_t ha sido definida, y ahora lockdev puede ser utilizado correctamente con SELinux en modo de refuerzo.

(BZ#1673269)

iotop ahora funciona correctamente con SELinux

Anteriormente, la herramienta iotop no podía pasar al contexto iotop_t aunque la política SELinux para iotop_t estaba definida. Como consecuencia, iotop podía ejecutarse en el dominio 'unconfined_t' cuando era utilizado por el usuario root. Esto introducía vulnerabilidades en el sistema. Con esta actualización, la transición a iotop_t ha sido definida, y ahora iotop puede ser utilizado correctamente con SELinux en modo enforcing.

(BZ#1671241)

SELinux ahora maneja correctamente NFS 'crossmnt'

El protocolo NFS con la opción crossmnt crea automáticamente montajes internos cuando un proceso accede a un subdirectorio ya utilizado como punto de montaje en el servidor. Anteriormente, esto provocaba que SELinux comprobara si el proceso que accedía a un directorio montado en NFS tenía permiso de montaje, lo que provocaba denegaciones de AVC. En la versión actual, la comprobación de permisos de SELinux omite estos montajes internos. Como resultado, el acceso a un directorio NFS que está montado en el lado del servidor no requiere permiso de montaje.

(BZ#1647723)

La recarga de la política de SELinux ya no provoca falsos errores ENOMEM

La recarga de la política de SELinux provocaba anteriormente que la tabla interna de búsqueda de contextos de seguridad no respondiera. En consecuencia, cuando el kernel encontraba un nuevo contexto de seguridad durante la recarga de la política, la operación fallaba con un falso error "Out of memory" (ENOMEM). Con esta actualización, la tabla de búsqueda del Identificador de Seguridad (SID) interno ha sido rediseñada y ya no se congela. Como resultado, el kernel ya no devuelve errores ENOMEM engañosos durante la recarga de la política de SELinux.

(BZ#1656787)

Los dominios no confinados pueden ahora utilizar smc_socket

Anteriormente, la política de SELinux no tenía las reglas de permiso para la clase smc_socket. En consecuencia, SELinux bloqueaba el acceso a smc_socket para los dominios no confinados. Con esta actualización, se han añadido las reglas de permiso a la política de SELinux. Como resultado, los dominios no confinados pueden utilizar smc_socket.

(BZ#1683642)

Los procedimientos de limpieza de Kerberos son ahora compatibles con GSSAPIDelegateCredentials y la caché por defecto de krb5.conf

Anteriormente, cuando se configuraba la opción default_ccache_name en el archivo krb5.conf, las credenciales de kerberos no se limpiaban con las opciones GSSAPIDelegateCredentials y GSSAPICleanupCredentials configuradas. Este error se ha corregido actualizando el código fuente para limpiar la caché de credenciales en los casos de uso descritos. Tras la configuración, la caché de credenciales se limpia al salir si el usuario la configura.

(BZ#1683295)

OpenSSH ahora maneja correctamente las URI PKCS #11 para claves con etiquetas que no coinciden

Anteriormente, especificar URIs PKCS #11 con la parte del objeto (etiqueta de la clave) podía impedir que OpenSSH encontrara objetos relacionados en PKCS #11. Con esta actualización, la etiqueta se ignora si no se encuentran los objetos coincidentes, y las claves se comparan sólo por sus ID. Como resultado, OpenSSH es ahora capaz de usar claves en tarjetas inteligentes referenciadas usando URIs PKCS #11 completas.

(BZ#1671262)

Las conexiones SSH con sistemas alojados en VMware ahora funcionan correctamente

La versión anterior de la suite OpenSSH introdujo un cambio de las banderas de calidad de servicio IP (IPQoS) por defecto en los paquetes SSH, que no era manejado correctamente por la plataforma de virtualización VMware. En consecuencia, no era posible establecer una conexión SSH con sistemas en VMware. El problema ha sido corregido en VMWare Workstation 15, y las conexiones SSH con sistemas alojados en VMware ahora funcionan correctamente.

(BZ#1651763)

curve25519-sha256 es ahora soportado por defecto en OpenSSH

Anteriormente, el algoritmo de intercambio de claves SSH curve25519-sha256 no aparecía en las configuraciones de las políticas criptográficas de todo el sistema para el cliente y el servidor OpenSSH, aunque fuera compatible con el nivel de política por defecto. Como consecuencia, si un cliente o un servidor utilizaba curve25519-sha256 y este algoritmo no era compatible con el host, la conexión podía fallar. Esta actualización del paquete crypto-policies corrige el error, y las conexiones SSH ya no fallan en el escenario descrito.

(BZ#1678661)

Los playbooks de Ansible para los perfiles OSPP y PCI-DSS ya no salen después de encontrar un fallo

Anteriormente, las correcciones de Ansible para los perfiles del Protocolo de Automatización de Contenidos de Seguridad (OSPP) y del Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI-DSS) fallaban debido a un orden incorrecto y a otros errores en las correcciones. Esta actualización corrige el orden y los errores en los playbooks de corrección de Ansible generados, y las correcciones de Ansible ahora funcionan correctamente.

(BZ#1741455)

La auditoría transport=KRB5 ahora funciona correctamente

Antes de esta actualización, el modo de transporte KRB5 de Audit no funcionaba correctamente. En consecuencia, el registro remoto de Auditoría utilizando la autenticación de pares Kerberos no funcionaba. Con esta actualización, el problema se ha solucionado, y el registro remoto de Auditoría ahora funciona correctamente en el escenario descrito.

(BZ#1730382)

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.