Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

4.6. Sécurité

download PDF

Libreswan rebasé à 4,9

Les paquets libreswan ont été mis à jour vers la version 4.9. Les changements notables par rapport à la version précédente sont les suivants :

  • Prise en charge des options {left,right}pubkey= des utilitaires addconn et whack
  • Autotests du KDF

  • Afficher la clé d'authentification de l'hôte (showhostkey) :

    • Prise en charge des clés publiques ECDSA
    • Nouvelle option --pem pour imprimer la clé publique encodée PEM

  • Le protocole d'échange de clés Internet version 2 (IKEv2) :

    • Protocole d'authentification extensible - Sécurité de la couche transport (EAP-TLS)
    • Prise en charge de l'authentification EAP uniquement

  • Le démon IKE de pluto:

    • Prise en charge des compteurs maxbytes et maxpacket

Bugzilla:2128669

OpenSSL repassé à la version 3.0.7

Les paquets OpenSSL ont été rebasés vers la version 3.0.7, qui contient plusieurs corrections de bogues et améliorations. En particulier, le fournisseur par défaut inclut désormais la fonction de hachage RIPEMD160.

Bugzilla:2129063

libssh prend désormais en charge les cartes à puce

Vous pouvez désormais utiliser des cartes à puce par le biais de l'identificateur de ressources uniformes (URI) #11 de la norme de cryptographie à clé publique (PKCS). Par conséquent, vous pouvez utiliser des cartes à puce avec la bibliothèque SSH libssh et avec les applications qui utilisent libssh.

Bugzilla:2026449

libssh repassé à la version 0.10.4

La bibliothèque libssh, qui implémente le protocole SSH pour l'accès à distance sécurisé et le transfert de fichiers entre machines, a été mise à jour à la version 0.10.4.

Nouvelles fonctionnalités :

  • La prise en charge d'OpenSSL 3.0 a été ajoutée.
  • La prise en charge des cartes à puce a été ajoutée.
  • Deux nouvelles options de configuration IdentityAgent et ModuliFile ont été ajoutées.

D'autres changements notables sont à signaler :

  • Les versions d'OpenSSL antérieures à 1.0.1 ne sont plus prises en charge
  • Par défaut, la prise en charge de l'algorithme de signature numérique (DSA) a été désactivée au moment de la construction.
  • L'API SCP est obsolète.
  • Les API pubkey et privatekey sont obsolètes.

Bugzilla:2068475

Mise à jour des paquets SELinux pour l'espace utilisateur vers la version 3.5

Les paquets SELinux pour l'espace utilisateur libselinux, libsepol, libsemanage, checkpolicy, mcstrans, et policycoreutils, qui inclut l'utilitaire sepolicy, ont été mis à jour vers la version 3.5. Les améliorations notables et les corrections de bogues incluent :

  • L'utilitaire sepolicy:

    • Ajout des booléens manquants dans les pages de manuel
    • Plusieurs mises à jour de Python et GTK
  • Ajout d'une solution de contournement à libselinux qui réduit l'utilisation de la mémoire du tas par la bibliothèque PCRE2

  • Le paquet libsepol:

    • Rejette les attributs dans les règles de type AV pour les politiques du noyau
    • N'écrit plus de définitions de classes vides, ce qui permet de simplifier les tests d'aller-retour
    • Une validation plus stricte des politiques
  • Le script fixfiles démonte les montages bind temporaires sur le signal SIGINT
  • Correction de nombreux bugs de code et d'orthographe
  • Suppression de la dépendance au module Python obsolète distutils et de l'installation à l'aide de PIP
  • L'option semodule --rebuild-if-modules-changed a été renommée en --refresh
  • Mise à jour des traductions pour les descriptions générées et amélioration de la gestion des langues non prises en charge
  • Correction de nombreux bogues d'analyse statique du code, de problèmes de fuzzer et d'avertissements du compilateur

Bugzilla:2145224, Bugzilla:2145230, Bugzilla :2145228, Bugzilla :2145229, Bugzilla :2145226, Bugzilla:2145231

OpenSCAP repassé à la version 1.3.7

Les paquets OpenSCAP ont été rebasés vers la version amont 1.3.7. Cette version apporte diverses corrections de bogues et améliorations, notamment :

  • Correction d'une erreur lors du traitement des filtres OVAL(RHBZ#2126882)
  • OpenSCAP n'émet plus d'éléments vides invalides sur xmlfilecontent si XPath ne correspond pas(RHBZ#2139060)
  • Prévention des erreurs Failed to check available memory (RHBZ#2111040)

Bugzilla:2159286

Le guide de sécurité SCAP passe à la version 0.1.66

Les paquets du guide de sécurité SCAP (SSG) ont été rebasés vers la version amont 0.1.66. Cette version apporte diverses améliorations et corrections de bogues, notamment :

  • Nouveaux profils CIS RHEL9
  • Dépréciation de la règle account_passwords_pam_faillock_audit en faveur de accounts_passwords_pam_faillock_audit

Bugzilla:2158405

Nouvelle règle SCAP pour la fin de session inactive

Une nouvelle règle SCAP logind_session_timeout a été ajoutée au paquet scap-security-guide dans les profils ANSSI-BP-028 pour les niveaux Enhanced et High. Cette règle utilise une nouvelle fonctionnalité du gestionnaire de services systemd et met fin aux sessions utilisateur inactives après un certain temps. Cette règle fournit une configuration automatique d'un mécanisme robuste de fin de session inactive qui est requis par plusieurs politiques de sécurité. Par conséquent, OpenSCAP peut automatiquement vérifier l'exigence de sécurité liée à la fin des sessions utilisateur inactives et, si nécessaire, y remédier.

Bugzilla:2122325

scap-security-guide les règles pour les fichiers journaux Rsyslog sont compatibles avec les journaux RainerScript

Les règles de scap-security-guide pour la vérification et la correction de la propriété, de la propriété du groupe et des permissions des fichiers journaux Rsyslog sont désormais également compatibles avec la syntaxe RainerScript. Les systèmes modernes utilisent déjà la syntaxe RainerScript dans les fichiers de configuration Rsyslog et les règles correspondantes n'étaient pas en mesure de reconnaître cette syntaxe. Par conséquent, les règles scap-security-guide peuvent désormais vérifier et corriger la propriété, la propriété de groupe et les permissions des fichiers journaux Rsyslog dans les deux syntaxes disponibles.

Bugzilla:2169414

Keylime passe à la version 6.5.2

Les paquets keylime ont été rebasés vers la version amont - keylime-6.5.2-5.el9. Cette version contient diverses améliorations et corrections de bogues, notamment les suivantes :

  • Corrige la vulnérabilité CVE-2022-3500
  • L'agent Keylime n'échoue plus à l'attestation IMA lorsqu'un script est exécuté rapidement après un autre RHBZ#2138167
  • Correction d'une erreur de segmentation dans le script /usr/share/keylime/create_mb_refstate RHBZ#2140670
  • Le bureau d'enregistrement ne se bloque plus pendant la validation de l'EK lorsque l'option require_ek_cert est activée RHBZ#2142009

Bugzilla:2150830

Clevis accepte les jetons externes

Avec la nouvelle option -e introduite dans l'outil de chiffrement automatisé Clevis, vous pouvez fournir un jeton d'identification externe pour éviter d'entrer votre mot de passe pendant cryptsetup. Cette fonctionnalité rend le processus de configuration plus automatisé et plus pratique, et est particulièrement utile pour les paquets tels que stratis qui utilisent Clevis.

Bugzilla:2126533

La journalisation cryptée TLS de Rsyslog prend désormais en charge plusieurs fichiers d'autorité de certification

La nouvelle directive NetstreamDriverCaExtraFiles permet de spécifier une liste de fichiers d'autorité de certification (CA) supplémentaires pour la journalisation à distance cryptée par TLS. Notez que cette nouvelle directive n'est disponible que pour le pilote de flux réseau Rsyslog de ossl (OpenSSL).

Bugzilla:2124849

Les privilèges Rsyslog sont limités

Les privilèges du système de traitement des logs Rsyslog sont désormais limités aux seuls privilèges explicitement requis par Rsyslog. Cela minimise l'exposition à la sécurité en cas d'erreur potentielle dans les ressources d'entrée, par exemple, un plugin de réseau. Par conséquent, Rsyslog dispose des mêmes fonctionnalités, mais n'a pas de privilèges superflus.

Bugzilla:2127404

La politique SELinux permet à Rsyslog de supprimer les privilèges au démarrage

Les privilèges du système de traitement des journaux Rsyslog étant désormais plus limités afin de minimiser l'exposition à la sécurité(RHBZ#2127404), la politique SELinux a été mise à jour afin de permettre au service rsyslog d'abandonner ses privilèges au démarrage.

Bugzilla:2151841

Tang utilise maintenant systemd-sysusers

Le serveur de présence réseau Tang ajoute désormais les utilisateurs et les groupes du système par l'intermédiaire du service systemd-sysusers au lieu de scripts shell contenant des commandes useradd. Cela simplifie la vérification de la liste des utilisateurs du système et vous pouvez également remplacer les définitions des utilisateurs du système en fournissant des fichiers sysuser.d avec une priorité plus élevée.

Bugzilla:2095474

opencryptoki repassé à la version 3.19.0

Le paquet opencryptoki est passé à la version 3.19.0, qui apporte de nombreuses améliorations et corrections de bogues. En particulier, opencryptoki prend désormais en charge les fonctionnalités suivantes :

  • Clés Dilithium spécifiques à IBM
  • Fonctions cryptographiques à double fonction
  • Annulation des opérations actives basées sur une session à l'aide de la nouvelle fonction C_SessionCancel, telle que décrite dans la spécification PKCS #11 Cryptographic Token Interface Base Specification v3.0
  • Signatures de Schnorr à travers le mécanisme CKM_IBM_ECDSA_OTHER
  • Dérivation de la clé Bitcoin par le mécanisme CKM_IBM_BTC_DERIVE
  • Jetons EP11 dans les systèmes IBM z16

Bugzilla:2110314

SELinux limite désormais mptcpd et udftools

Avec cette mise à jour des paquets selinux-policy, SELinux restreint les services suivants :

  • mptcpd
  • udftools

Bugzilla:1972222

fapolicyd permet désormais de filtrer la base de données RPM

Avec le nouveau fichier de configuration /etc/fapolicyd/rpm-filter.conf, vous pouvez personnaliser la liste des fichiers de la base de données RPM que le cadre logiciel fapolicyd stocke dans la base de données de confiance. Vous pouvez ainsi bloquer certaines applications installées par RPM ou autoriser une application refusée par le filtre de configuration par défaut.

Jira:RHEL-192

GnuTLS peut ajouter et supprimer du rembourrage lors du décryptage et du cryptage

La mise en œuvre de certains protocoles nécessite un remplissage PKCS#7 lors du décryptage et du cryptage. Les fonctions de chiffrement par bloc gnutls_cipher_encrypt3 et gnutls_cipher_decrypt3 ont été ajoutées à GnuTLS pour gérer de manière transparente le remplissage. Par conséquent, vous pouvez désormais utiliser ces fonctions en combinaison avec le drapeau GNUTLS_CIPHER_PADDING_PKCS7 pour ajouter ou supprimer automatiquement le remplissage si la longueur du texte clair original n'est pas un multiple de la taille du bloc.

Bugzilla:2084161

Les NSS ne prennent plus en charge les clés RSA de moins de 1023 bits

La mise à jour des bibliothèques Network Security Services (NSS) modifie la taille minimale des clés pour toutes les opérations RSA de 128 à 1023 bits. Cela signifie que les NSS n'exécutent plus les fonctions suivantes :

  • Générer des clés RSA plus courtes que 1023 bits.
  • Signer ou vérifier des signatures RSA avec des clés RSA de moins de 1023 bits.
  • Chiffrer ou déchiffrer des valeurs avec une clé RSA inférieure à 1023 bits.

Bugzilla:2091905

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.