8.6. Red
El bloqueo en la función qdisc_run
ahora no provoca el bloqueo del kernel
Anteriormente, una condición de carrera cuando la disciplina de la cola pfifo_fast
se restablece mientras el tráfico dequeuing estaba llevando a la transmisión de paquetes después de que fueron liberados. Como consecuencia, a veces el kernel se terminaba inesperadamente. Con esta actualización, se ha mejorado el bloqueo en la función qdisc_run
. Como resultado, el kernel ya no se bloquea en el escenario descrito.
(BZ#1744397)
Las APIs de DBus en org.fedoraproject.FirewallD1.config.service
funcionan como se espera
Anteriormente, las funciones getIncludes
, setIncludes
y queryIncludes
de la API de DBus en org. fedoraproject
.
FirewallD1
devolvían un mensaje de error: org.fedoraproject.FirewallD1.Exception: list index out of range
due to bad indexing. Con esta actualización, las funciones getIncludes
, setIncludes
y queryIncludes
de la API de DBus funcionan como se esperaba.
RHEL ya no registra una advertencia del kernel al descargar el módulo ipvs
Anteriormente, el módulo del servidor virtual IP(ipvs
) utilizaba un recuento de referencias incorrecto, lo que provocaba una condición de carrera al descargar el módulo. En consecuencia, RHEL registraba una advertencia del kernel. Esta actualización corrige la condición de carrera. Como resultado, el kernel ya no registra la advertencia cuando se descarga el módulo ipvs
.
(BZ#1687094)
La utilidad nft
ya no interpreta los argumentos como opciones de la línea de comandos después del primer argumento no opcional
Anteriormente, la utilidad nft
aceptaba opciones en cualquier parte de un comando nft
. Por ejemplo, los administradores podían usar opciones entre o después de argumentos que no eran opciones. Como consecuencia, debido al guión inicial, nft
interpretaba los valores de prioridad negativos como opciones, y el comando fallaba. El analizador de la línea de comandos de la utilidad nft
se ha actualizado para que no interprete los argumentos que comienzan con un guión después de que se haya leído el primer argumento que no es una opción. Como resultado, los administradores ya no necesitan soluciones para pasar valores de prioridad negativa a nft
.
Tenga en cuenta que, debido a este cambio, ahora debe pasar todas las opciones de comandos a nft
antes del primer argumento que no sea una opción. Antes de actualizar, verifique sus scripts de nftables para que se ajusten a este nuevo criterio para asegurarse de que el script funciona como se espera después de instalar esta actualización.
Los archivos /etc/hosts.allow
y /etc/hosts.deny
ya no contienen referencias obsoletas a los tcp_wrappers
eliminados
Anteriormente, los archivos /etc/hosts.allow
y /etc/hosts.deny
contenían información obsoleta sobre el paquete tcp_wrappers
. Los archivos se han eliminado en RHEL 8 porque ya no son necesarios para tcp_wrappers
, que se ha eliminado.
Se ha añadido un parámetro de configuración a firewalld
para desactivar la deriva de zonas
Anteriormente, el servicio firewalld
contenía un comportamiento no documentado conocido como "zone drifting". RHEL 8.0 eliminó este comportamiento porque podía tener un impacto negativo en la seguridad. Como consecuencia, en los hosts que utilizaban este comportamiento para configurar una zona de captura o de reserva, firewalld
denegaba conexiones que antes estaban permitidas. Esta actualización vuelve a añadir el comportamiento de deriva de zona, pero como una característica configurable. Como resultado, los usuarios pueden ahora decidir usar el desvío de zona o deshabilitar el comportamiento para una configuración más segura del cortafuegos.
Por defecto, en RHEL 8.2, el nuevo parámetro AllowZoneDrifting
en el archivo /etc/firewalld/firewalld.conf
está establecido en yes
. Tenga en cuenta que, si el parámetro está activado, firewalld
registra:
ADVERTENCIA: AllowZoneDrifting está activado. Se considera una opción de configuración insegura. Se eliminará en una futura versión. Por favor, considere desactivarla ahora.
(BZ#1772208)