8.5. Sécurité


USBGuard enregistre les règles même si RuleFile n'est pas défini

Auparavant, si la directive de configuration RuleFile dans USBGuard était définie mais que RuleFolder ne l'était pas, le jeu de règles ne pouvait pas être modifié. Avec cette mise à jour, vous pouvez désormais modifier le jeu de règles même si RuleFolder est défini mais pas RuleFile. Par conséquent, vous pouvez modifier la politique permanente dans USBGuard pour enregistrer de manière permanente les règles nouvellement ajoutées.

Bugzilla:2155910

python-sqlalchemy repassé à la version 1.4.45

Le paquetage python-sqlalchemy a été rebasé à la version 1.4.45, qui apporte de nombreuses corrections de bogues par rapport à la version 1.4.37. Cette version contient notamment un correctif pour un bogue de mémoire critique dans la génération de la clé de cache.

Bugzilla:2152649

crypto-policies désactive maintenant NSEC3DSA pour BIND

Auparavant, les règles cryptographiques applicables à l'ensemble du système ne contrôlaient pas l'algorithme NSEC3DSA dans la configuration de BIND. Par conséquent, NSEC3DSA, qui ne répond pas aux exigences de sécurité actuelles, n'était pas désactivé sur les serveurs DNS. Avec cette mise à jour, toutes les politiques cryptographiques désactivent par défaut NSEC3DSA dans la configuration BIND.

Bugzilla:2152635

OpenSSL dans SECLEVEL=3 fonctionne désormais avec les suites de chiffrement PSK

Auparavant, les suites de chiffrement à clé pré-partagée (PSK) n'étaient pas reconnues comme des méthodes d'échange de clés à secret parfait (PFS). Par conséquent, les suites de chiffrement ECDHE-PSK et DHE-PSK ne fonctionnaient pas avec OpenSSL configuré sur SECLEVEL=3, par exemple, lorsque la politique cryptographique du système était définie sur FUTURE. La nouvelle version du paquet openssl corrige ce problème.

Bugzilla:2060044

Clevis saute désormais correctement les dispositifs commentés dans les crypttab

Auparavant, Clevis essayait de déverrouiller les périphériques commentés dans le fichier crypttab, ce qui entraînait l'exécution du service clevis-luks-askpass même si le périphérique n'était pas valide. Cela entraînait des exécutions de service inutiles et rendait le dépannage difficile.

Avec cette correction, Clevis ignore les périphériques commentés. Désormais, si un périphérique non valide est commenté, Clevis n'essaie pas de le déverrouiller et clevis-luks-askpass se termine de manière appropriée. Cela facilite le dépannage et réduit les exécutions de service inutiles.

Bugzilla:2159728

Clevis ne demande plus trop d'entropie de la part de pwmake

Auparavant, l'utilitaire de génération de mots de passe pwmake affichait des avertissements indésirables lorsque Clevis utilisait pwmake pour créer des mots de passe destinés à stocker des données dans les métadonnées LUKS, ce qui amenait Clevis à utiliser une entropie plus faible. Avec cette mise à jour, Clevis est limité à 256 bits d'entropie fournis à pwmake, ce qui élimine l'avertissement indésirable et utilise la quantité correcte d'entropie.

Bugzilla:2159735

USBGuard ne provoque plus d'avertissement déroutant

Auparavant, une condition de course pouvait se produire dans USBGuard lorsqu'un processus parent se terminait plus tôt que le premier processus enfant. En conséquence, systemd signalait qu'un processus était présent avec un PID parent (PPID) mal identifié. Avec cette mise à jour, un processus parent attend que le premier processus enfant se termine en mode travail. Par conséquent, systemd ne signale plus ce type d'avertissement.

Bugzilla:2042345

L'OOM killer ne met plus fin prématurément à usbguard

Auparavant, le fichier usbguard.service ne contenait pas de définition de l'option OOMScoreAdjust pour le service systemd. Par conséquent, lorsque le système manquait de ressources, le processus usbguard-daemon pouvait être interrompu avant d'autres processus non privilégiés. Avec cette mise à jour, le fichier usbguard.service contient désormais l'option OOMScoreAdjust, ce qui évite que le processus usbguard-daemon ne soit interrompu prématurément par un tueur en mémoire (Out-of-Memory, OOM).

Bugzilla:2097419

logrotate ne signale plus incorrectement Rsyslog dans la rotation des journaux

Auparavant, l'ordre des arguments était mal défini dans le script logrotate, ce qui provoquait une erreur de syntaxe. De ce fait, logrotate ne signalait pas correctement Rsyslog lors de la rotation des journaux.

Avec cette mise à jour, l'ordre des arguments dans logrotate est corrigé et logrotate signale correctement Rsyslog après la rotation des journaux, même lorsque la variable d'environnement POSIXLY_CORRECT est définie.

Bugzilla:2124488

imklog ne fait plus appel à free() pour les objets manquants

Auparavant, le module imklog appelait une fonction free() sur un objet déjà libéré. Par conséquent, imklog pouvait provoquer une erreur de segmentation. Avec cette mise à jour, l'objet n'est plus libéré deux fois.

Bugzilla:2157659

fagenrules --load fonctionne désormais correctement

Auparavant, le service fapolicyd ne gérait pas correctement le signal de raccrochage (SIGHUP). Par conséquent, fapolicyd se terminait après avoir reçu le signal SIGHUP et la commande fagenrules --load ne fonctionnait pas correctement. Cette mise à jour contient un correctif pour ce problème. Par conséquent, fagenrules --load fonctionne désormais correctement et les mises à jour des règles ne nécessitent plus le redémarrage manuel de fapolicyd.

Bugzilla:2070655

Les analyses et les remédiations ignorent correctement les règles d'audit SCAP Clé d'audit

Auparavant, les règles de surveillance d'audit définies sans clé d'audit (clé-k ou -F ) rencontraient les problèmes suivants :

  • Les règles ont été marquées comme non conformes même si d'autres parties de la règle étaient correctes.
  • La remédiation Bash a corrigé le chemin d'accès et les autorisations de la règle de surveillance, mais elle n'a pas ajouté la clé d'audit correctement.
  • La remédiation n'a parfois pas corrigé la clé manquante, renvoyant une valeur error au lieu d'une valeur fixed.

Les règles suivantes sont concernées :

  • audit_rules_login_events
  • audit_rules_login_events_faillock
  • audit_rules_login_events_lastlog
  • audit_rules_login_events_tallylog
  • audit_rules_usergroup_modification
  • audit_rules_usergroup_modification_group
  • audit_rules_usergroup_modification_gshadow
  • audit_rules_usergroup_modification_opasswd
  • audit_rules_usergroup_modification_passwd
  • audit_rules_usergroup_modification_shadow
  • audit_rules_time_watch_localtime
  • audit_rules_mac_modification
  • audit_rules_networkconfig_modification
  • audit_rules_sysadmin_actions
  • audit_rules_session_events
  • audit_rules_sudoers
  • audit_rules_sudoers_d

Avec cette mise à jour, la clé Audit a été supprimée des vérifications et des remédiations Bash et Ansible. Par conséquent, les incohérences causées par le champ de clé lors des vérifications et des remédiations ne se produisent plus, et les auditeurs peuvent choisir ces clés arbitrairement pour faciliter la recherche dans les journaux d'audit.

Bugzilla:2120978

Keylime n'échoue plus dans l'attestation des systèmes qui accèdent à plusieurs fichiers mesurés par l'IMA

Auparavant, si un système qui exécute l'agent Keylime accédait à plusieurs fichiers mesurés par l'architecture de mesure de l'intégrité (IMA) en succession rapide, le vérificateur Keylime traitait incorrectement les ajouts au journal de l'IMA. En conséquence, le hachage en cours d'exécution ne correspondait pas à l'état correct du registre de configuration de la plate-forme (PCR), et le système échouait à l'attestation. Cette mise à jour corrige le problème et les systèmes qui accèdent rapidement à plusieurs fichiers mesurés n'échouent plus à l'attestation.

Bugzilla:2138167

Le script de génération de la politique Keylime ne provoque plus d'erreur de segmentation ni de vidage du noyau

Le script create_mb_refstate génère des politiques pour l'attestation de démarrage mesurée dans Keylime. Auparavant, create_mb_refstate calculait incorrectement la longueur des données dans le champ DevicePath. En conséquence, le script essayait d'accéder à une mémoire invalide en utilisant la longueur incorrectement calculée, ce qui entraînait une erreur de segmentation et un vidage du noyau.

Cette mise à jour, qui a été publiée dans l'avis RHBA-2022:105318-02, empêche l'erreur de segmentation lors du traitement du journal des événements de démarrage mesuré. Par conséquent, vous pouvez générer une politique de démarrage mesurée.

Bugzilla:2140670

Les certificats TPM ne font plus planter le registraire Keylime

Auparavant, certains certificats dans le magasin de certificats de Keylime TPM étaient des certificats x509 malformés et provoquaient le plantage du registraire de Keylime. Cette mise à jour corrige le problème, et le registraire Keylime ne se bloque plus à cause de certificats malformés.

Bugzilla:2142009

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.