Red Hat Summit6.2. セキュリティー
keylime-agent-rust がバージョン 0.2.5 で提供される
Keylime エージェントを含む keylime-agent-rust パッケージは、RHEL 10 のバージョン 0.2.5 で提供されます。このバージョンでは、重要な機能拡張とバグ修正が提供されており、以下が最も重要なものとなります。
デバイスアイデンティティーの Initial Device Identity (IDevID) および Initial Attestation Key (IAK) のサポートが追加されました。次の設定オプションが追加されました。
enable_iak_idevid-
(デフォルト:
false) デバイスを識別するために IDevID および IAK 証明書の使用を有効にします。 iak_idevid_template-
(デフォルト:
detect) IDevID および IAK (TPM 2.0 Keys for Identity and Attestation, section 7.3.4 で定義) に使用するアルゴリズムを設定するテンプレートを指定します。detectキーワードは、設定された証明書で使用されるアルゴリズムに従ってテンプレートを設定します。 iak_idevid_name_alg-
(デフォルト:
sha256) IDevID および IAK で使用されるダイジェストアルゴリズムを指定します。iak_idevid_templateオプションがdetectに設定されていない場合にのみ使用されます。 iak_idevid_asymmetric_alg-
(デフォルト:
rsa) IDevID および IAK で使用される署名アルゴリズムを指定します。iak_idevid_templateオプションがdetectに設定されていない場合にのみ使用されます。 iak_cert-
(デフォルト:
default) X509 IAK 証明書が含まれるファイルへのパスを指定します。デフォルトのパスは/var/lib/keylime/iak-cert.crtです。 idevid_cert-
(デフォルト:
default) X509 IDevID 証明書が含まれるファイルへのパスを指定します。デフォルトのパスは/var/lib/keylime/idevid-cert.crtです。
-
新しい
ima_ml_pathおよびmeasuredboot_ml_path設定オプションを使用することで、設定可能な IMA および測定ブートイベントログのロケーションがサポートされます。 - ローカル DNS 名、ローカル IP、および設定された連絡先 IP は、生成された自己署名 X509 証明書のサブジェクト代替名の一部として含まれます。
-
registrar_ip設定オプションでは、括弧の有無にかかわらず IPv6 アドレスがサポートされます。 -
tpm_ownerpassword設定オプションでは、16 進数でエンコードされた値がサポートされています。 - エージェントへの接続では TLS 1.3 が有効化されています。
libreswan がバージョン 4.15 で提供される
libreswan パッケージは、RHEL 10 のバージョン 4.15 で提供されます。このバージョンでは、以前のリリースで提供されていたバージョン 4.12 に比べ、大幅な改善が加えられています。
-
libsystemdを介したlibxzへの依存関係を削除しました。 -
IKEv1 では、デフォルトの提案は、Encapsulating Security Payload (ESP) の場合は
aes-sha1、Authentication Header (AH) の場合はsha1に設定されています。 - IKEv1 は、Authenticated Encryption と Associated Data (AEAD) と空でない INTEG を組み合わせた ESP 提案を拒否します。
- IKEv1 は、接続に提案がない場合には交換を拒否します。
IKEv1 には、より制限されたデフォルトの cryptosuite があります。
IKE={AES_CBC,3DES_CBC}-{HMAC_SHA2_256,HMAC_SHA2_512HMAC_SHA1}-{MODP2048,MODP1536,DH19,DH31} ESP={AES_CBC,3DES_CBC}-{HMAC_SHA1_96,HMAC_SHA2_512_256,HMAC_SHA2_256_128}-{AES_GCM_16_128,AES_GCM_16_256} AH=HMAC_SHA1_96+HMAC_SHA2_512_256+HMAC_SHA2_256_128IKE={AES_CBC,3DES_CBC}-{HMAC_SHA2_256,HMAC_SHA2_512HMAC_SHA1}-{MODP2048,MODP1536,DH19,DH31} ESP={AES_CBC,3DES_CBC}-{HMAC_SHA1_96,HMAC_SHA2_512_256,HMAC_SHA2_256_128}-{AES_GCM_16_128,AES_GCM_16_256} AH=HMAC_SHA1_96+HMAC_SHA2_512_256+HMAC_SHA2_256_128Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
libcap-ngライブラリーの障害は、回復不能ではなくなりました。 -
plutoユーティリティーの AEAD アルゴリズムに TFC パディングが設定されています。
Jira:RHEL-52935[1]
Libreswan はより迅速に大量の接続を追加する
この更新前は、特定の状況下では、libreswan IPsec 実装で 1,000 の接続を追加するのに約 30 分かかりました。libreswan の最新バージョンでは、番号付き接続での getservbyname() 関数がスキップされ、既存の接続の検証が pluto デーモンにオフロードされるため、大きな設定ファイルのロード時間が大幅に短縮されます。その結果、同じ設定であれば、1,000 件の接続を追加するのにかかる時間は約 30 分ではなく、約 50 秒になるはずです。
Jira:RHEL-74850[1]
GnuTLS がバージョン 3.8.9 で提供される
RHEL 10 では、バージョン 3.8.9 で gnutls パッケージが提供されます。他の改善点に加えて、このバージョンには、以前のバージョンとの互換性がない、以下のセキュリティー関連の変更が含まれています。
- TLS での証明書圧縮はサポートされています (RFC 8879)。
- 最適非対称暗号化パディングスキーム (RSA-OAEP) がサポートされています (RFC 8017)。
- 複数の呼び出しにわたって任意の長さの SHAKE ハッシュを増分計算するための API が追加されました。
- PKCS #1 v1.5 パディングを使用した RSA 暗号化および復号化は非推奨となり、デフォルトでは許可されません。
-
FIPS モードでは、
gnutlsはデフォルトで、RFC 9579 で定義されている Password-Based Message Authentication Code 1 (PBMAC1) を使用して PKCS #12 ファイルをエクスポートするようになりました。FIPS モードで実行されているシステムとの相互運用性が必要な場合は、PBMAC1 を明示的に使用してください。 - GnuTLS は、Online Certificate Status Protocol (OCSP) 応答内のすべてのレコードをチェックするようになりました。この更新前は、単一の OCSP 応答で複数のレコードが提供された場合、最初のレコードのみがチェックされていました。このバージョンの GnuTLS は、サーバー証明書が一致するまですべてのレコードを検査します。
- FIPS モードで承認される検証の最小 RSA キーサイズが 2048 ビットに増加されました。
Jira:RHEL-69524[1]
OpenSSH がバージョン 9.9 で提供される
RHEL 10 では OpenSSH バージョン 9.9 が提供されており、RHEL 9 で提供されていた OpenSSH 8.7 と比べ、多くの修正と改善が導入されています。変更に関する完全なリストは、openssh-9.9p1/ChangeLog ファイルを参照してください。最も重要な変更点は次のとおりです。
-
ssh-agentプログラムに追加されたキーの転送と使用を制限するシステムが、ssh、sshd、ssh-add、およびssh-agentプログラムに追加されました。 FIDO 標準の使用の改善:
-
verify-required証明書オプションがssh-keygenに追加されました。 - FIDO キー処理の修正により、固有のユーザー検証をサポートするキーの不要な PIN プロンプトが削減されます。
-
ssh-keygenプログラムで既存の一致する認証情報をチェックすると、認証情報を上書きする前にユーザーにプロンプトが表示されます。
-
-
ssh_config設定ファイルの新しいEnableEscapeCommandlineオプションにより、対話型セッションのEscapeCharメニューのコマンドラインオプションが有効になります。 -
新しい
ChannelTimeoutキーワードは、sshdデーモンが非アクティブなチャネルを閉じるかどうか、また閉じる場合はその速さを指定します。 -
ssh-keygenユーティリティーは、FIPS モード (デフォルトは RSA) を除き、デフォルトで Ed25519 キーを生成します。 -
sshクライアントは、少量のデータのみが送信される場合、固定間隔 (デフォルトでは 20 ミリ秒ごと) で対話型トラフィックを送信することにより、キーストロークタイミングの難読化を実行します。また、ObscureKeystrokeTimingキーワードで定義された最後の実際のキーストロークの後のランダムな間隔で偽のキーストロークを送信します。 - DSA キーのサポートは削除されました。
-
pam-ssh-agentサブコンポーネントは削除されました。 -
ssh-keysignツールは別のサブパッケージに移動されました。 -
新しい
ChannelTimeoutタイプでは、指定された間隔ですべてのチャネルにトラフィックがない場合、sshとsshdは開いているすべてのチャネルを閉じます。これは、既存のチャネルごとのタイムアウトに加えて行われます。 -
sshdサーバーは、認証に繰り返し失敗したり、認証を完了せずに繰り返し接続したり、サーバーをクラッシュさせたりしたクライアントアドレスをブロックします。 -
sshdサーバーは、認証を正常に完了しないクライアントアドレスにペナルティーを課します。ペナルティーは、sshd_configの新しいPerSourcePenaltiesキーワードによって制御されます。 -
sshdサーバーは、リスナーバイナリーsshdとセッションごとのバイナリーsshd-sessionに分割されます。これにより、SSH プロトコルをサポートする必要のないリスナーのバイナリーサイズが削減されます。これにより、特権分離の無効化とsshdの再実行の無効化のサポートも削除されます。 -
ポータブル OpenSSH では、
sshdは PAM サービス名としてargv[0]を使用しなくなりました。sshd_configファイルの新しいPAMServiceNameディレクティブを使用して、実行時にサービス名を選択できます。デフォルトは "sshd" です。 -
HostkeyAlgorithmsキーワードを使用すると、sshは証明書ホストキーからプレーンホストキーへの暗黙的なフォールバックを無効にできます。 - コンポーネントは全体的に強化されており、PKCS #11 標準でより適切に動作します。
- OpenSSH は、テクノロジープレビューとして耐量子計算機暗号 (PQC) をサポートしています。
pkcs11-provider のカスタム設定を追加
pkcs11-provider を使用すると、OpenSSL プログラムから pkcs11 URI を使用してハードウェアトークンに直接アクセスできます。インストール時に、pkcs11-provider が自動的に有効になり、デフォルトで p11-kit ドライバーを使用して pcscd デーモンによって検出されたトークンがロードされます。その結果、パッケージをインストールすることで、その形式をサポートするアプリケーションに pkcs11 URI 仕様を使用してキー URI を提供すると、OpenSSL 設定をさらに変更する必要なしに、システムで使用可能なトークンを使用できるようになります。パッケージをアンインストールすると、OpenSSL 設定スニペットも削除され、OpenSSL が設定ファイルを解析するときにエラーが発生するのを防ぎます。
SELinux ポリシーでファイルコンテキストの同等性が /var/run = /run に設定される
以前の /run = /var/run ファイルコンテキストの同等性が逆転され、現在は /var/run = /run となりました。これに伴い、SELinux のポリシーソースも更新されました。実際のファイルシステムの状態と一致させ、一部のユーザー空間ツールがエラーを報告しないようにするために、同等性が逆転されました。この変更は、ユーザーまたは管理者の視点からは見えません。/var/run 内のファイルのファイル指定を含むカスタムモジュールがある場合は、それらを /run に変更します。
Jira:RHEL-36094[1]
OpenSSL はハードウェアトークンに pkcs11-provider を使用する
OpenSSL 3.0 ではエンジンが非推奨となり、プロバイダーに置き換えられたため、RHEL 10 では openssl-pkcs11 エンジンが pkcs11-provider に置き換えられました。これにより、OpenSSL は、apache HTTPD、libssh、bind などのアプリケーションや、OpenSSL にリンクされ、HSM、スマートカード、または PKCS #11 ドライバーが利用可能なその他のトークンに保存された非対称秘密鍵を使用するその他のアプリケーションで、ハードウェアトークンを使用できるようになります。
新しい capability.conf(5) man ページの追加
capability.conf(5) man ページが追加されました。capability.conf 設定ファイルと pam_cap.so モジュール引数の説明が提供されています。
libkcapi がバージョン 1.5.0 で提供される
RHEL 10.0 では、libkcapi パッケージはアップストリームバージョン 1.5.0 で提供されます。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
-
sha*アプリケーションは削除され、kcapi-hasherという単一のアプリケーションに置き換えられました。元のsha*アプリケーションと同等の名前を持つkcapi-hasherへのシンボリックリンクが、binおよびlibexecディレクトリーに追加されました。この変更によって既知のリグレッションは発生しません。 -
SHA-3 を使用するファイルのチェックサムを出力する
sha3sumコマンドが追加されました。 -
kcapi_md_sha3_*ラッパー API が追加されました。
Jira:RHEL-50457[1]
より厳格な SSH ホストキー権限が復元される
必要なホストキー権限は、以前のそれほど厳密ではない値 0640 から、アップストリームでも使用されている値である 0600 に変更されました。以前にすべての SSH キーを所有していた ssh_keys グループも削除されました。したがって、ssh-keysign ユーティリティーは SGID ビットの代わりに SUID ビットを使用します。
Jira:RHEL-59102[1]
バージョン 0.11.1 で提供される libssh
libssh SSH ライブラリーはバージョン 0.11.1 で提供され、機能が追加されました。最も重要なのは次のとおりです。
- より優れた非同期 SFTP IO
- OpenSSL 3.0 の PKCS #11 プロバイダーのサポート
- GSSAPI 認証のテスト
- プロキシージャンプ
p11-kit がバージョン 0.25.5 で提供される
p11-kit パッケージは、RHEL 10 のバージョン 0.25.5 で提供されます。このバージョンでは、以前のバージョンに比べて、特に次の点が機能拡張および修正されています。
-
再帰属性のサポートが
p11-kitRPC プロトコルに追加されました。 - ライブラリーのランタイムバージョンを確認する機能が追加されました。
- バージョン情報はマクロを通じてアクセスできなくなりました。
-
新しい
--idオプションを使用すると、generate-keypairコマンドで生成されたキーペア、またはimport-objectコマンドでインポートされたキーペアに ID を割り当てることができます。 -
新しい
--providerオプションを使用すると、p11-kitコマンドを使用するときに PKCS #11 モジュールを指定できます。 -
generate-keypairで EdDSA メカニズムが認識されないp11-kitのバグを修正しました。 -
C_GetInterface関数がサポートされていない場合、p11-kitはC_GetFunctionList関数にフォールバックします。
Jira:RHEL-46898[1]
pkeyutil がカプセル化とカプセル化解除をサポートするようになる
pkeyutil OpenSSL サブコマンドは、カプセル化およびカプセル化解除の暗号化操作の実行をサポートします。新しい耐量子計算機暗号 (PQC) アルゴリズムの ML-KEM (FIPS 203) では、カプセル化とカプセル化解除の操作のみが許可されます。ユーザーは、pkeyutil を通じて RSASVE や ML-KEM などのアルゴリズムを使用できるようになりました。
GnuTLS が証明書圧縮を使用できる
GnuTLS は、クライアントとサーバーの両方が対応し、有効化している場合、RFC 8879 に従って zlib、brotli、または zstd 圧縮方式を使用してクライアント証明書とサーバー証明書を圧縮します。この方法によりデータ使用量が削減され、ユーザーには気づかれないはずです。
Jira:RHEL-42514[1]
OpenSSL の新しい no-atexit オプション
OpenSSL は no-atexit オプションを使用してビルドされるようになったため、OPENSSL_cleanup 関数は atexit ハンドラーとして登録されなくなりました。このオプションを使用しているため、valgrind デバッグツールによって、OpenSSL の起動時に割り当てられたリソースに対して 1 回限りのメモリーリークが報告される可能性があります。
setools がバージョン 4.5.0 で提供される
setools パッケージは、RHEL 10 のバージョン 4.5.0 で提供されます。このバージョンでは、バグ修正および機能拡張が行われていますが、特に注目すべき点は次のとおりです。
-
情報フロー解析とドメイン遷移解析のグラフィカルな結果が、
apol、sedta、seinfoflowツールに追加されました。 -
クエリーの相互参照や結果の分析、コンテキストに応じたヘルプを支援するために、
apolにツールチップと詳細ポップアップが追加されました。
RHEL 10 では NSS のバージョン 3.101 が提供される
NSS 暗号化ツールキットパッケージは、RHEL 10 のバージョン 3.101 で提供されています。これには、多くのバグ修正と機能拡張が提供されています。主な変更点は以下のとおりです。
- DTLS 1.3 プロトコルがサポートされるようになりました (RFC 9147)。
- PKCS#12 (RFC 9579) に PBMAC1 サポートが追加されました。
-
ハイブリッド型の耐量子計算機鍵合意方式である X25519Kyber768Draft00 の実験的なサポートが追加されました (
draft-tls-westerbaan-xyber768d00)。これは今後のリリースで削除されます。 -
lib::pkixは、RHEL 10 のデフォルトのバリデーターです。 - システム全体の暗号化ポリシーに従い、2048 ビットより短いキーを持つ RSA 証明書は SSL サーバーで機能しなくなります。
OpenSSL が FIPS 準拠の PKCS #12 ファイルを作成できる
OpenSSL セキュア通信スイートが更新され、RFC 9579 ドキュメントに従って PKCS #12 ファイルを作成できるようになりました。
DEFAULT 暗号化ポリシーが追加のスコープを使用する
crypto-policies パッケージでは、追加のスコープ @pkcs12、@pkcs12-legacy、@smime、@smime-legacy が提供されるようになり、これらは DEFAULT システム全体の暗号化ポリシーで使用されます。ネットワークセキュリティーサービス (NSS) が基盤となる暗号化ライブラリーである場合に PKCS #12 および S/MIME に使用される暗号化アルゴリズムの選択は、システム全体の暗号化ポリシーに従うようになりました。したがって、カスタムポリシーとサブポリシーを使用すると、より細かい粒度のアルゴリズムをより簡単に選択できます。スコープでは、以下の暗号、ハッシュ、およびキー交換が使用されます。
LEGACY 暗号化ポリシーでは、DEFAULT ポリシーよりも厳密ではない暗号、ハッシュ、およびキー交換の選択が使用されますが、FUTURE ポリシーはより厳密です。その結果、PKCS #12 ファイルのインポートとエクスポート、および S/MIME の暗号化と復号化に NSS で使用されるアルゴリズムをカスタマイズできるようになります。NSS は現在、新しく提供されるスコープにリンクされている唯一の暗号化ライブラリーです。
FIPS モードの OpenSSH がデフォルトで RSA キーを生成する
以前のバージョンでは、OpenSSH の ssh-keygen ユーティリティーによってデフォルトで RSA キーが生成されていました。RHEL 10 で提供されるバージョンでは、ssh-keygen は非 FIPS モードではデフォルトで ed25519 キーを生成し、FIPS モードではデフォルトで RSA キーを生成します。
NSS は FIPS モードで FIPS 準拠の PKCS #12 を作成する
PKCS #12 は整合性チェックにアドホックメカニズムを使用します。PKCS #12 バージョン 1.1 の公開以降、PKCS #5 バージョン 2.0 では、Password-Based Message Authentication Code 1 (PBMAC1) という、より厳密な整合性チェック方法が作成されました。この更新により、RFC 9579 ドキュメントに従って、PKCS #12 ファイルの PBMAC1 サポートがネットワークセキュリティーサービス (NSS) に追加されます。その結果、NSS は RFC 9579 を使用する任意の .p12 ファイルを読み取り、ユーザーのリクエストに応じて RFC 9579 準拠のメッセージ認証コード (MAC) を生成できるようになりました。互換性のため、NSS は FIPS モードではない場合、デフォルトで古い MAC を生成します。新しい MAC の生成に関する詳細は、システムの pk12util(1) man ページを参照してください。
OpenSC がバージョン 0.26.1 で提供される
RHEL 10 は、アップストリームバージョン 0.26.1 で opensc パッケージを提供します。主な機能拡張とバグ修正は次のとおりです。
- 復号化後の RSA PKCS #1 v1.5 パディング削除に関連するタイムサイドチャネル漏洩を削除するための追加修正。
- 統合された OpenSSL ロギング。
-
pkcs11-toolユーティリティーでの HKDF、RSA OEAP 暗号化、AES GCM、および AES GMAC メカニズムのサポート。 - 初期化されていないメモリーの問題を対象とした CVE の修正: CVE-2024-45615、CVE-2024-45616、CVE-2024-45617、CVE-2024-45618、CVE-2024-45619、CVE-2024-45620
- Chromium Web ブラウザーでクラッシュを引き起こしていた、アライメントされたメモリーの割り当ての修正。
- TeleSec Chipcard Operating System (TCOS) カードドライバーでの証明書の読み取りの修正。
OpenSC パッケージが opensc と opensc-lib に分割される
RHEL 10 では、Flatpak アプリケーションでスマートカードをサポートできるように、opensc パッケージが opensc と opensc-lib のサブパッケージに分割されました。
新しいパッケージ: tpm2-openssl
RHEL 10 には、OpenSSL TLS ツールキット用の TPM2 プロバイダーを含む新しい tpm2-openssl パッケージが含まれています。TPM2 プロバイダーにより、OpenSSL API を介して Trusted Platform Module (TPM) 2.0 チップからの暗号鍵を使用できるようになります。
Jira:RHEL-30799[1]
ルールベースの Audit イベントのフィルタリングと転送
新しい audisp-filter プラグインを使用すると、カスタム ausearch 式に基づいて特定の Audit イベントを柔軟に抑制できるため、ダウンストリームのプラグインへの不要な出力が削減されます。
このプラグインは、Audit と他のプラグイン間のブリッジとして機能します。特定の Audit イベントを除外し、設定ファイルで指定されたルールに一致するイベントのみを転送します。
その結果、許可リストモードまたはブロックリストモードを使用して、Audit イベントを選択的にフィルター処理できるようになります。audisp-filter を使用する各プラグインは、一致するルールを含む独自の設定ファイルを定義できます。一般的な使用例の 1 つは、ノイズの多い、または無関係な Audit イベントを除外し、重要なイベントのみを syslog プラグインに転送することです。これにより、フィルタリングされたイベントを syslog で記録できるようになり、Audit ログの管理が容易になります。
SELinux ポリシーに制限されている追加サービス
この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。
-
iio-sensor-proxy -
samba-bgqd -
tlshd -
gnome-remote-desktop -
pcm-sensor-server
その結果、これらのサービスは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンがないことを確認する" ルールに違反する unconfined_service_t SELinux ラベルで実行されなくなり、SELinux enforcing モードで正常に実行されるようになりました。
CentOS Stream 10 の selinux-policy Git リポジトリーが一般公開される
CentOS Stream のコントリビューターは、fedora-selinux/selinux-policy Git リポジトリーの c10s ブランチにコントリビュートすることで、SELinux ポリシーの開発に参加できるようになりました。これらの貢献内容は、RHEL 10 の SELinux ポリシーを改善するために使用されます。
setroubleshoot がバージョン 3.3.35 で提供される
setroubleshoot パッケージは、RHEL 10 のバージョン 3.3.35 で提供されます。このバージョンでは、さまざまな修正と機能拡張が行われていますが、最も重要なのは次のとおりです。
- CoreOS のバックトレースが修正されました。
- 壊れた AppStream メタデータが更新されました。
- 使用アイコンのパスが最近更新されたパスに修正されました。
追加の libvirt サービス向けルールが SELinux ポリシーに追加される
libvirt サービスに関連する次の SELinux タイプが SELinux ポリシーに追加されました。
-
virt_dbus_t -
virt_hook_unconfined_t -
virt_qmf_t -
virtinterfaced_t -
virtnetworkd_t -
virtnodedevd_t -
virtnwfilterd_t -
virtproxyd_t -
virtqemud_t -
virtsecretd_t -
virtstoraged_t -
virtvboxd_t -
virtvzd_t -
virtxend_t
EPEL パッケージに関連する SELinux ポリシーモジュールが selinux-policy-epel に移動される
RHEL パッケージではなく、Extra Packages for Enterprise Linux (EPEL) リポジトリーに含まれるパッケージのみに関連する SELinux ポリシーモジュールが、selinux-policy パッケージから新しい selinux-policy-epel パッケージに移動されました。その結果、selinux-policy のサイズが小さくなり、システムは SELinux ポリシーの再構築やロードなどの操作をより速く実行します。
SELinux ユーザー空間がバージョン 3.8 で提供される
RHEL 10 には、SELinux user-space コンポーネントがバージョン 3.8 に含まれています。このバージョンでは、以前のバージョンに比べて、特に次の点が機能拡張および修正されています。
-
CIL 出力モードに新しい
audit2allow -Cオプションが追加されました。 -
semanageユーティリティーを使用するとadd時にレコードを変更できます。 -
semanageユーティリティーは、ローカルのfcontext定義をソートしなくなりました。 -
checkpolicyプログラムは、nodeconステートメントの CIDR 表記をサポートします。 -
SELinux
sandboxユーティリティーは Wayland 表示プロトコルをサポートしています。 - SELinux ポリシーの再構築中、ポリシーストア内のファイルコンテキストと所有権は保持されます。
-
バイナリー
file_contexts.binファイルの形式が変更され、古い形式を使用するファイルは無視されます。新しい形式は最適化されており、アーキテクチャーに依存しません。SELinux ポリシーを再ビルドすることで、新しい形式のバイナリーfile_contexts.binファイルを作成できます。 -
selabel_lookupライブラリー呼び出しのパフォーマンスが大幅に向上しました。
Rsyslog はバージョン 8.2412.0 で提供される
rsyslog パッケージは、RHEL 10.0 ではバージョン 8.2412.0 で提供されます。他の修正や機能拡張に加えて、ルールセットを imjournal モジュールにバインドできるようになりました。この最適化により、ログメッセージを入力段階でフィルタリングして処理できるため、メインメッセージキューの負荷が軽減されます。この機能は、リソースの使用率を最小限に抑えることで、大量のログをよりスムーズに処理できるようにします。
Jira:RHEL-70110[1]
バージョン 21 で PKCS #11 をサポートする Clevis が提供される
RHEL 10 では、バージョン 21 で clevis パッケージが提供されます。このバージョンには、多くの機能拡張とバグ修正が含まれており、特に次の点が挙げられます。
-
PKCS #11 デバイス (スマートカード) を使用して LUKS で暗号化されたボリュームのロックを解除するための
pkcs11ピンを提供するclevis-pin-pkcs11サブパッケージを追加しました。 -
clevis-udisks2サブパッケージに 2 つのチェックを追加しました。 - "Address in use" エラーを防ぐ修正を追加しました。
jose がバージョン 14 で提供される
jose パッケージは、RHEL 10 のバージョン 14 で提供されます。jose ユーティリティーは、Javascript Object Signing and Encryption (JOSE) 標準の C 言語実装です。最も重要な機能拡張と修正は次のとおりです。
-
SAST (Static Application Security Testing) プロセスによって報告されたエラーの修正として、OpenSSL の
octJWK タイプのlen関数の境界チェックが改善されました。 -
保護された JSON Web Encryption (JWE) ヘッダーに
zipが含まれなくなりました。 -
joseユーティリティーは、高解凍チャンクを使用することで、サービス拒否 (DoS) 攻撃の可能性を回避します。
Keylime がバージョン 7.12 で提供される
RHEL 10 ではバージョン 7.12 の Keylime が提供され、これにより、最も重要な修正と機能拡張が提供されています。最も重要なのは次のとおりです。
-
新しい
keylime-policyツールは、Keylime ランタイムポリシーと測定ブートポリシーのすべての管理タスクを統合し、ポリシー生成のパフォーマンスを向上させます。 -
verifierおよびtenantKeylime コンポーネントでは、agentコンポーネントのペイロードは不要になりました。
Libreswan がバージョン 5.2 で提供される
RHEL 10 では、Libreswan はアップストリームバージョン 5.2 で提供されています。このバージョンでは、多くのバグ修正と機能拡張が行われていますが、最も重要なのは次の点です。
-
whackコマンドの重複した--ctlsocketオプションが修正されました (RHEL-75605)。 - ストリームの交差による期待値の失敗が修正されました (RHEL-73236)。
- protoport 設定の解析が最適化されました (RHEL-74850)。
-
ipsec showhostkeyコマンドの誤った出力が修正されました (RHEL-75975)。 -
ipsec --rereadsecrets実行時のクラッシュが修正されました (RHEL-69403)。 -
keyingtriesおよびdpd*オプションは無視されます。 -
ネットワーク名前空間の
ipsec-interface-managed=noオプションが導入されました。 Linux 固有の更新:
- Linux カーネル 6.7 以降でのパケットオフロードカウンターのサポートが追加されました。
- RFC 9347 に従って、IP-TFS (IP Traffic Flow Security) サポートを実装しました。
- 送信 SA の再生ウィンドウを 0 に設定することで、Linux カーネル 6.10 以降との互換性を確保しました。
-
受信セキュリティーアソシエーション (SA) の
nopmtudisc設定に関連する問題を修正しました。IKEv2 の機能拡張: - RFC 5723 IKE Session Resumption のサポートが導入され、再認証なしでセッション再開が可能になりました。
-
キー交換メカニズムを強化する
draft-ietf-ipsecme-ikev2-qr-alt-04のサポートが追加されました。 - セキュリティーを強化するために、INTERMEDIATE 交換に PPK (Post-quantum Pre-shared Key) を実装しました。
- 注記
-
SHA-1 を使用する PKCS #1 1.5 RSA によるピア認証を行うには、カスタムの暗号化ポリシーのサブポリシーを使用して、NSS で明示的に SHA-1 署名を許可する必要があります。これは、
authby=rsa-sha1が設定されている場合、または認証されたピアが RFC 7427 をサポートしていないデフォルト設定の場合に必要です。
ssh が SSH ログインエラーメッセージに関する追加の詳細へのリンクを提供するようになる
早期エラーが発生した場合、ssh コマンドラインツールは、一般的なエラーメッセージとその解決手順に関する追加の詳細が記載されている Red Hat カスタマーポータルページへのリンクを提供します。これは、対話型モードを使用するときに SSH ログインの問題をトラブルシューティングするのに役立ちます。
Jira:RHEL-62718[1]
バージョン 3.10.1 の nettle が提供される
RHEL 10 には、バージョン 3.10.1 の nettle ライブラリーパッケージが含まれています。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- SHA-256 ハッシュ、AES-GCM 暗号化、および AES 復号化全般が 64 ビット PowerPC 上で最適化される。
- 新しい決定論的乱数ビットジェネレーターである DRBG-CTR-AES256 が追加される。
- SHA-3 ファミリーの任意長ハッシュ関数である SHAKE-128 が追加される。
- RSA-OAEP スキームのサポートが追加される。
- SHAKE ハッシュアルゴリズムの増分インターフェイスが追加される。
Jira:RHEL-79116[1]
OpenSCAP が 1.3.12 にリベース
OpenSCAP パッケージがアップストリームバージョン 1.3.12 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が提供されます。詳細は、OpenSCAP リリースノート を参照してください。
0.1.76 で提供される SCAP Security Guide
詳細は、SCAP Security Guide release notes を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}