8.5. Sécurité
USBGuard enregistre les règles même si RuleFile n'est pas défini
Auparavant, si la directive de configuration RuleFile
dans USBGuard était définie mais que RuleFolder
ne l'était pas, le jeu de règles ne pouvait pas être modifié. Avec cette mise à jour, vous pouvez désormais modifier le jeu de règles même si RuleFolder est défini mais pas RuleFile. Par conséquent, vous pouvez modifier la politique permanente dans USBGuard pour enregistrer de manière permanente les règles nouvellement ajoutées.
python-sqlalchemy
repassé à la version 1.4.45
Le paquetage python-sqlalchemy
a été rebasé à la version 1.4.45, qui apporte de nombreuses corrections de bogues par rapport à la version 1.4.37. Cette version contient notamment un correctif pour un bogue de mémoire critique dans la génération de la clé de cache.
crypto-policies
désactive maintenant NSEC3DSA pour BIND
Auparavant, les règles cryptographiques applicables à l'ensemble du système ne contrôlaient pas l'algorithme NSEC3DSA dans la configuration de BIND. Par conséquent, NSEC3DSA, qui ne répond pas aux exigences de sécurité actuelles, n'était pas désactivé sur les serveurs DNS. Avec cette mise à jour, toutes les politiques cryptographiques désactivent par défaut NSEC3DSA dans la configuration BIND.
OpenSSL dans SECLEVEL=3
fonctionne désormais avec les suites de chiffrement PSK
Auparavant, les suites de chiffrement à clé pré-partagée (PSK) n'étaient pas reconnues comme des méthodes d'échange de clés à secret parfait (PFS). Par conséquent, les suites de chiffrement ECDHE-PSK
et DHE-PSK
ne fonctionnaient pas avec OpenSSL configuré sur SECLEVEL=3
, par exemple, lorsque la politique cryptographique du système était définie sur FUTURE
. La nouvelle version du paquet openssl
corrige ce problème.
Clevis saute désormais correctement les dispositifs commentés dans les crypttab
Auparavant, Clevis essayait de déverrouiller les périphériques commentés dans le fichier crypttab
, ce qui entraînait l'exécution du service clevis-luks-askpass
même si le périphérique n'était pas valide. Cela entraînait des exécutions de service inutiles et rendait le dépannage difficile.
Avec cette correction, Clevis ignore les périphériques commentés. Désormais, si un périphérique non valide est commenté, Clevis n'essaie pas de le déverrouiller et clevis-luks-askpass
se termine de manière appropriée. Cela facilite le dépannage et réduit les exécutions de service inutiles.
Clevis ne demande plus trop d'entropie de la part de pwmake
Auparavant, l'utilitaire de génération de mots de passe pwmake
affichait des avertissements indésirables lorsque Clevis utilisait pwmake
pour créer des mots de passe destinés à stocker des données dans les métadonnées LUKS
, ce qui amenait Clevis à utiliser une entropie plus faible. Avec cette mise à jour, Clevis est limité à 256 bits d'entropie fournis à pwmake
, ce qui élimine l'avertissement indésirable et utilise la quantité correcte d'entropie.
USBGuard ne provoque plus d'avertissement déroutant
Auparavant, une condition de course pouvait se produire dans USBGuard lorsqu'un processus parent se terminait plus tôt que le premier processus enfant. En conséquence, systemd
signalait qu'un processus était présent avec un PID parent (PPID) mal identifié. Avec cette mise à jour, un processus parent attend que le premier processus enfant se termine en mode travail. Par conséquent, systemd
ne signale plus ce type d'avertissement.
L'OOM killer ne met plus fin prématurément à usbguard
Auparavant, le fichier usbguard.service
ne contenait pas de définition de l'option OOMScoreAdjust
pour le service systemd
. Par conséquent, lorsque le système manquait de ressources, le processus usbguard-daemon
pouvait être interrompu avant d'autres processus non privilégiés. Avec cette mise à jour, le fichier usbguard.service
contient désormais l'option OOMScoreAdjust
, ce qui évite que le processus usbguard-daemon
ne soit interrompu prématurément par un tueur en mémoire (Out-of-Memory, OOM).
logrotate
ne signale plus incorrectement Rsyslog dans la rotation des journaux
Auparavant, l'ordre des arguments était mal défini dans le script logrotate
, ce qui provoquait une erreur de syntaxe. De ce fait, logrotate
ne signalait pas correctement Rsyslog lors de la rotation des journaux.
Avec cette mise à jour, l'ordre des arguments dans logrotate
est corrigé et logrotate
signale correctement Rsyslog après la rotation des journaux, même lorsque la variable d'environnement POSIXLY_CORRECT
est définie.
imklog
ne fait plus appel à free()
pour les objets manquants
Auparavant, le module imklog
appelait une fonction free()
sur un objet déjà libéré. Par conséquent, imklog
pouvait provoquer une erreur de segmentation. Avec cette mise à jour, l'objet n'est plus libéré deux fois.
fagenrules --load
fonctionne désormais correctement
Auparavant, le service fapolicyd
ne gérait pas correctement le signal de raccrochage (SIGHUP). Par conséquent, fapolicyd
se terminait après avoir reçu le signal SIGHUP et la commande fagenrules --load
ne fonctionnait pas correctement. Cette mise à jour contient un correctif pour ce problème. Par conséquent, fagenrules --load
fonctionne désormais correctement et les mises à jour des règles ne nécessitent plus le redémarrage manuel de fapolicyd
.
Les analyses et les remédiations ignorent correctement les règles d'audit SCAP Clé d'audit
Auparavant, les règles de surveillance d'audit définies sans clé d'audit (clé-k
ou -F
) rencontraient les problèmes suivants :
- Les règles ont été marquées comme non conformes même si d'autres parties de la règle étaient correctes.
- La remédiation Bash a corrigé le chemin d'accès et les autorisations de la règle de surveillance, mais elle n'a pas ajouté la clé d'audit correctement.
-
La remédiation n'a parfois pas corrigé la clé manquante, renvoyant une valeur
error
au lieu d'une valeurfixed
.
Les règles suivantes sont concernées :
-
audit_rules_login_events
-
audit_rules_login_events_faillock
-
audit_rules_login_events_lastlog
-
audit_rules_login_events_tallylog
-
audit_rules_usergroup_modification
-
audit_rules_usergroup_modification_group
-
audit_rules_usergroup_modification_gshadow
-
audit_rules_usergroup_modification_opasswd
-
audit_rules_usergroup_modification_passwd
-
audit_rules_usergroup_modification_shadow
-
audit_rules_time_watch_localtime
-
audit_rules_mac_modification
-
audit_rules_networkconfig_modification
-
audit_rules_sysadmin_actions
-
audit_rules_session_events
-
audit_rules_sudoers
-
audit_rules_sudoers_d
Avec cette mise à jour, la clé Audit a été supprimée des vérifications et des remédiations Bash et Ansible. Par conséquent, les incohérences causées par le champ de clé lors des vérifications et des remédiations ne se produisent plus, et les auditeurs peuvent choisir ces clés arbitrairement pour faciliter la recherche dans les journaux d'audit.
Keylime n'échoue plus dans l'attestation des systèmes qui accèdent à plusieurs fichiers mesurés par l'IMA
Auparavant, si un système qui exécute l'agent Keylime accédait à plusieurs fichiers mesurés par l'architecture de mesure de l'intégrité (IMA) en succession rapide, le vérificateur Keylime traitait incorrectement les ajouts au journal de l'IMA. En conséquence, le hachage en cours d'exécution ne correspondait pas à l'état correct du registre de configuration de la plate-forme (PCR), et le système échouait à l'attestation. Cette mise à jour corrige le problème et les systèmes qui accèdent rapidement à plusieurs fichiers mesurés n'échouent plus à l'attestation.
Le script de génération de la politique Keylime ne provoque plus d'erreur de segmentation ni de vidage du noyau
Le script create_mb_refstate
génère des politiques pour l'attestation de démarrage mesurée dans Keylime. Auparavant, create_mb_refstate
calculait incorrectement la longueur des données dans le champ DevicePath
. En conséquence, le script essayait d'accéder à une mémoire invalide en utilisant la longueur incorrectement calculée, ce qui entraînait une erreur de segmentation et un vidage du noyau.
Cette mise à jour, qui a été publiée dans l'avis RHBA-2022:105318-02, empêche l'erreur de segmentation lors du traitement du journal des événements de démarrage mesuré. Par conséquent, vous pouvez générer une politique de démarrage mesurée.
Les certificats TPM ne font plus planter le registraire Keylime
Auparavant, certains certificats dans le magasin de certificats de Keylime TPM étaient des certificats x509 malformés et provoquaient le plantage du registraire de Keylime. Cette mise à jour corrige le problème, et le registraire Keylime ne se bloque plus à cause de certificats malformés.