Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

5.5. Sécurité

download PDF

Optimisation matérielle activée sur libgcrypt en mode FIPS

Auparavant, la norme FIPS 140-2 (Federal Information Processing Standard) n'autorisait pas l'utilisation de l'optimisation matérielle. Par conséquent, dans les versions précédentes de RHEL, l'opération était désactivée dans le paquet libgcrypt en mode FIPS. RHEL 9 permet l'optimisation matérielle en mode FIPS et, par conséquent, toutes les opérations cryptographiques sont exécutées plus rapidement.

(BZ#1990059)

crypto-policies il est désormais possible de désactiver l'utilisation du cryptogramme ChaCha20

Auparavant, le paquet crypto-policies utilisait un mot-clé erroné pour désactiver le chiffrement ChaCha20 dans OpenSSL. Par conséquent, vous ne pouviez pas désactiver ChaCha20 pour le protocole TLS 1.2 dans OpenSSL via crypto-policies. Avec cette mise à jour, le mot-clé -CHACHA20 est utilisé à la place de -CHACHA20-POLY1305. Par conséquent, vous pouvez maintenant utiliser les politiques cryptographiques pour désactiver l'utilisation du chiffrement ChaCha20 dans OpenSSL pour TLS 1.2 et TLS 1.3.

(BZ#2004207)

les systèmes IBM Z 64 bits ne deviennent plus non amorçables lors de l'installation en mode FIPS

Auparavant, la commande fips-mode-setup avec l'option --no-bootcfg n'exécutait pas l'outil zipl. Comme fips-mode-setup régénère le disque RAM initial (initrd) et que le système résultant a besoin d'une mise à jour de l'état interne de zipl pour démarrer, les systèmes IBM Z 64 bits se retrouvaient dans un état non amorçable après une installation en mode FIPS. Avec cette mise à jour, fips-mode-setup exécute désormais zipl sur les systèmes IBM Z 64 bits, même s'il est invoqué avec --no-bootcfg, ce qui permet au système nouvellement installé de démarrer avec succès.

(BZ#2013195)

GNUTLS_NO_EXPLICIT_INIT ne désactive plus l'initialisation implicite de la bibliothèque

Auparavant, la variable d'environnement GNUTLS_NO_EXPLICIT_INIT désactivait l'initialisation implicite de la bibliothèque. Dans RHEL 9, la variable GNUTLS_NO_IMPLICIT_INIT désactive l'initialisation implicite des bibliothèques.

(BZ#1999639)

Les applications basées sur OpenSSL fonctionnent désormais correctement avec les paramètres linguistiques turcs

La bibliothèque OpenSSL utilisant des fonctions de comparaison de chaînes insensibles à la casse, les applications basées sur OpenSSL ne fonctionnaient pas correctement avec les paramètres linguistiques turcs, et les vérifications omises provoquaient le plantage des applications utilisant ces paramètres. Cette mise à jour fournit un correctif permettant d'utiliser les paramètres régionaux POSIX (Portable Operating System Interface) pour la comparaison de chaînes insensibles à la casse. Par conséquent, les applications basées sur OpenSSL telles que curl fonctionnent correctement avec les paramètres linguistiques turcs.

(BZ#2071631)

kdump ne plante plus à cause des permissions SELinux

Le service de récupération en cas de panne kdump nécessite des autorisations SELinux supplémentaires pour démarrer correctement. Par conséquent, dans les versions précédentes, SELinux empêchait kdump de fonctionner, kdump signalait qu'il n'était pas opérationnel et des refus d'accès au cache vectoriel (AVC) étaient audités. Dans cette version, les autorisations requises ont été ajoutées à selinux-policy et, par conséquent, kdump fonctionne correctement et aucun déni d'AVC n'est audité.

(BZ#1932752)

Le paquet usbguard-selinux ne dépend plus de usbguard

Auparavant, le paquet usbguard-selinux dépendait du paquet usbguard. Cette dépendance, combinée à d'autres dépendances de ces paquets, entraînait des conflits de fichiers lors de l'installation de usbguard. Par conséquent, cela empêchait l'installation de usbguard sur certains systèmes. Avec cette version, usbguard-selinux ne dépend plus de usbguard, et par conséquent, dnf peut installer usbguard correctement.

(BZ#1986785)

dnf install et dnf update fonctionnent désormais avec fapolicyd dans SELinux

Le paquet fapolicyd-selinux, qui contient les règles SELinux pour fapolicyd, ne contenait pas les autorisations nécessaires pour surveiller tous les fichiers et répertoires. Par conséquent, le paquet fapolicyd-dnf-plugin ne fonctionnait pas correctement, ce qui faisait que les commandes dnf install et dnf update empêchaient le système de répondre indéfiniment. Dans cette version, les autorisations de surveiller tout type de fichier ont été ajoutées à fapolicyd-selinux. En conséquence, fapolicyd-dnf-plugin fonctionne correctement et les commandes dnf install et dnf update sont opérationnelles.

(BZ#1932225)

Les capacités ambiantes sont désormais appliquées correctement aux utilisateurs non root

Par mesure de sécurité, le passage d'un UID (User Identifier) de root à non-root annule les ensembles de capacités autorisées, efficaces et ambiantes.

Cependant, le module pam_cap.so n'est pas en mesure de définir les capacités ambiantes, car une capacité doit figurer à la fois dans l'ensemble autorisé et dans l'ensemble héritable pour faire partie de l'ensemble ambiant. En outre, l'ensemble autorisé est annulé après un changement d'UID (par exemple en utilisant l'utilitaire setuid ), de sorte que la capacité ambiante ne peut pas être définie.

Pour résoudre ce problème, le module pam_cap.so prend désormais en charge l'option keepcaps, qui permet à un processus de conserver ses capacités autorisées après le passage de l'UID "root" à "non-root". Le module pam_cap.so prend également en charge l'option defer, qui permet à pam_cap.so de réappliquer les capacités ambiantes dans un rappel à pam_end(). Ce rappel peut être utilisé par d'autres applications après un changement d'UID.

Par conséquent, si les utilitaires su et login sont mis à jour et compatibles avec PAM, vous pouvez désormais utiliser pam_cap.so avec les options keepcaps et defer pour définir les capacités ambiantes pour les utilisateurs non root.

(BZ#2037215)

usbguard-notifier n'enregistre plus trop de messages d'erreur dans le journal

Auparavant, le service usbguard-notifier ne disposait pas des autorisations de communication interprocessus (IPC) pour se connecter à l'interface IPC usbguard-daemon. Par conséquent, usbguard-notifier n'a pas réussi à se connecter à l'interface et a écrit un message d'erreur correspondant dans le Journal. Comme usbguard-notifier a démarré avec l'option --wait, qui garantit que usbguard-notifier tente de se connecter à l'interface IPC chaque seconde après un échec de connexion, par défaut, le journal contient bientôt un nombre excessif de ces messages.

Avec cette mise à jour, usbguard-notifier ne démarre pas avec --wait par défaut. Le service tente de se connecter au démon seulement trois fois dans les intervalles d'une seconde. Par conséquent, le journal contient au maximum trois messages d'erreur de ce type.

(BZ#2009226)

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.