第5章 パッケージの更新

バグ修正

BZ#834096

この更新より前は、エントリーの属性の削除を含む同時更新により、ドメインディレクトリーサーバーがセグメンテーション違反と中止する可能性がありました。今回の更新では、変更された属性エントリーに NULL 値があるかどうかがチェックされます。サーバーは、期待どおりに同時更新を処理するようになりました。

BZ#836251

この更新が行われる前は、get_entry 関数は NULL pblock を受け入れませんでした。その結果、Account Usability 機能は、ユーザーアカウントの有効期限およびロックステータスに関する正しい情報を返しませんでした。この更新により、get_entry 関数が NULL pblock を受け入れるように、基礎となるコードが変更されます。

セキュリティーの修正

CVE-2012-2678

389 Directory Server でパスワードの変更を処理する方法に欠陥が見つかりました。LDAP ユーザーがパスワードを変更し、その変更以降にディレクトリーサーバーを再起動しなかった場合、攻撃者はディレクトリーサーバーにバインドすることで、そのユーザーのパスワードのプレーンテキストバージョンを unhashed#user#password 属性で取得できます。

CVE-2012-2746

LDAP ユーザーのパスワードが変更され、監査ログが有効化され（デフォルトでは無効）、新しいパスワードがプレーンテキスト形式で監査ログに書き込まれることがわかりました。今回の更新では、新しい設定パラメーター nsslapd-auditlog-logging-hide-unhashed-pw が導入され、"on" （デフォルトオプション）に設定すると、389 Directory Server がプレーンテキストのパスワードを監査ログに書き込めるのを防ぎます。このオプションは、/etc/dirsrv/slapd-ID/dse.ldif で設定できます。

セキュリティーの修正

CVE-2012-0833

389 Directory Server デーモン(ns-slapd)が証明書グループを使用してアクセス制御命令(ACI)を処理する方法で、欠陥が見つかりました。証明書グループが定義された LDAP ユーザーがディレクトリーサーバーへのバインドを試みた場合、ns-slapd は無限ループに入り、CPU 時間が過剰に消費されます。

バグ修正

BZ#743979

以前は、389 Directory Server は、読み取り/書き込みロックメカニズムの Netscape Portable Runtime (NSPR)実装を使用していました。その結果、サーバーが高負荷時に要求に応答しなくなることがあります。今回の更新で、元のロックメカニズムが POSIX (Portable Operating System Interface)の読み書きロックメカニズムに置き換えられました。サーバーは常に負荷が高い状態で応答するようになりました。

BZ#745201

以前は、識別名(DN)は LDAP 比較操作のアクセスログレコードに含まれていませんでした。そのため、この情報はアクセスログに欠落していました。今回の更新により、基礎となるソースコードが変更され、DN がログに記録され、アクセスログにあるようになりました。

BZ#752577

以前は、389 Directory Server の負荷が高く、輻輳したネットワークに動作している場合、クライアント接続の問題が発生することがありました。サーバーが Simple Paged Result (SPR)検索結果をクライアントに送信している間に接続の問題が発生した場合、クリーンアップルーチンと呼ばれる LDAP サーバーは正しくありません。その結果、メモリーリークが発生し、サーバーが予期せず終了しました。この更新により、基盤となるソースコードが修正され、クリーンアップタスクが正しく実行され、メモリーリークが発生しないようにします。その結果、SPR リクエストを処理する間、サーバーが高負荷で終了したり、応答しなくなったりしません。

BZ#757897

以前は、Change Sequence Number (CSN)を使用した特定の操作はサーバーによって効率的に実行されませんでした。その結果、コンテンツのレプリケーション中に ns-slapd デーモンが多数の CSN 操作を実行するときに、ns-slapd デーモンは最大 100% の CPU 時間を消費しました。今回の更新により、CSN 操作を効率的に実行できるように、基盤となるソースコードが変更されました。その結果、パフォーマンスの問題なしで、コンテンツのレプリケーション中に多数の CSN 操作を実行できるようになりました。

BZ#757898

以前は、Simple Authentication and Security Layer (SASL) ID マッピングをチェックするときに、SASL GSSAPI 認証メソッドの基礎となるコードで割り当てられたメモリーが正しく解放されませんでした。この問題により、SASL バインド要求の処理時にメモリーリークが発生し、最終的に LDAP サーバーがセグメンテーション違反で予期せず終了する可能性がありました。この更新により、割り当てられたメモリーを正しく解放するために必要な関数呼び出しが追加されます。このシナリオでメモリーリークが発生しなくなり、LDAP サーバーがクラッシュしなくなりました。

BZ#759301

以前は、389 Directory Server は Entry USN (Update Sequence Number)インデックスを正しく処理しませんでした。その結果、インデックスがメインデータベースと同期され、USN エントリーに対する検索操作で誤った結果が返されることがありました。この更新により、Entry USN プラグインの基礎となるソースコードが変更されます。その結果、Entry USN インデックスがサーバーによって正しく処理されるようになりました。

BZ#772777

以前は、検索フィルター属性は正規化され、部分文字列正規表現は検索結果セット内のすべてのエントリーに対して繰り返しコンパイルされました。その結果、多くの属性と部分文字列サブフィルターを持つ検索フィルターを使用すると、検索パフォーマンスが低下します。この更新により、検索フィルターが適用される前にプリコンパイルおよび事前正規化されるようになります。このような変更により、多くの属性と部分文字列サブフィルターを含む検索フィルターを適用すると、検索パフォーマンスが向上します。

BZ#772778

以前は、キャッシュされる ACI （アクセス制御情報レコード）の数は 200 に制限されていました。したがって、200 を超える ACI に対して Directory Server エントリーを評価すると、以下のエラーメッセージが表示されて失敗しました。

acl_TestRights - cache overflown

この更新により、デフォルトの ACI キャッシュの制限が 2000 に引き上げられ、設定ファイルエントリー "cn=ACL Plugin,cn=plugins,cn=config" の新しいパラメーター nsslapd-aclpb-max-selected-acls を使用して設定できるようになりました。その結果、新しい制限を超える場合を除き、前述のエラーメッセージが表示されず、必要に応じて制限を変更できるようになりました。

BZ#772779

以前は、復元コマンドには無限ループにつながるコードパスが含まれていました。そのため、データベースバックアップからの復元を実行する際に、389 Directory Server が応答しなくなることがありました。この更新により、基礎となるソースコードから無限ループコードパスが削除されます。その結果、データベースの復元の実行時にサーバーは応答を停止しません。

BZ#781485

以前は、ldapmodify 操作を実行して RUV （レプリカ更新ベクトル）エントリーを変更することが許可されていました。その結果、このような操作を実行する際に 389 Directory Server が応答しなくなりました。この更新により、RUV エントリーを直接変更できなくなります。その結果、このような操作の実行時にサーバーは応答を停止しず、代わりに CLEANRUV 操作の使用を示すエラーメッセージを返します。

BZ#781495

以前は、389 Directory Server の再起動イベントを特定するために、logconv.pl スクリプトは conn=0 fd=" 文字列に対してサーバーログを検索していました。その結果、スクリプトが間違った数のサーバーの再起動を報告していました。今回の更新で、conn=1 fd=" 文字列を検索するようにスクリプトが変更されました。その結果、正しい数のサーバーの再起動が返されるようになりました。

BZ#781500

廃止または廃止されたレプリケーションマスターを持つ RUV 要素を含む LDIF (LDAP データ交換形式)ファイルからデータベースを再読み込みすると、changelog が無効になりました。その結果、389 Directory Server はエラーメッセージを出力し、必要な再初期化になりました。今回の更新により、廃止または廃止されたレプリケーションマスターについて適切に通知され、このようなマスターが RUV エントリーから削除されるようになりました。このシナリオでは、データベースが期待どおりに再読み込みされるようになりました。

BZ#781516

以前は、非リーフノードが tombstone エントリーになると、その子エントリーが親子関係を失いました。そのため、非リーフ tombstone エントリーが子 tombstone エントリーの前にリープされる可能性がありました。今回の更新により、基礎となるソースコードが修正され、非リーフエントリーが削除されても親子関係が維持されるようになりました。その結果、Tombstone が下部で正しくリープされるようになりました。

BZ#781529

以前は、389 Directory Server の管理エントリーを更新する前に、管理エントリーテンプレートに対する管理エントリー属性の検証が行われませんでした。そのため、管理エントリーテンプレートに含まれていない元のエントリー属性を更新すると、管理エントリーが更新された可能性がありました。今回の更新で、変更された属性とマネージドエントリーのテンプレート属性を比較するチェックが追加されました。そのため、元のエントリーの変更属性が管理エントリーテンプレートに含まれていない限り、管理エントリーは更新されません。

BZ#781533

以前は、389 Directory Server は、実行中のすべてのタスクの完了前にシャットダウンしませんでした。その結果、長時間実行されるタスクが実行されたときに Directory Server のシャットダウンに長い時間がかかることがあります。この更新により、長時間実行されるタスク中のサーバーシャットダウン要求のチェックにより、基礎となるソースコードが強化されます。その結果、サーバーが長時間実行されるタスクを処理する場合でも、標準の時間でシャットダウンします。

BZ#781537

以前は、389 Directory Server では、authzid 属性の値が完全に BER （基本エンコーディングルール）でエンコードされていました。その結果、プロキシー認証で ldapsearch コマンドを実行する際に、以下のエラーが返されました。

unable to parse proxied authorization control (2 (protocol error))

今回の更新で、基礎となるソースコードが変更され、提供された authzid 値の完全な BER エンコーディングが不要になりました。その結果、上記のシナリオではエラーが返されません。

BZ#781538

以前は、一致するルール OID （オブジェクト識別子）のバッファーのサイズは 1024 文字でした。その結果、マッチングルール OID は長さが 1024 文字を超えると切り捨てられていました。この更新では、固定サイズのバッファーの代わりに、動的に割り当てられたバッファーを使用するように、基礎となるソースコードが変更されます。その結果、一致するルール OID をいくつでも切り捨てずに処理できます。

BZ#781539

以前は、cn=config オブジェクトで ldapsearch コマンドを実行すると、空の値を持つ属性を含め、オブジェクトのすべての属性が返されていました。この更新により、空の値を持つ属性が "cn=config" に保存されなくなり、空の属性のチェックで ldapsearch コマンドが強化されます。そのため、前述のシナリオで値を持つ属性のみが返されます。

BZ#781541

以前は、プロキシーユーザーを使用して実行された操作のログレコードには、操作を実行したユーザーとして main ユーザーが含まれていました。この更新により、プロキシーユーザーが検索、add、mod、del、および modrdn 操作のログレコードにログインするようになります。

BZ#784343

以前は、データベースのアップグレードスクリプトは、.pid ファイルの存在を確認して、サーバーがオフラインであるかどうかを確認していました。ただし、場合によっては、関連するプロセスがすでに終了した場合でも、ファイルは存在します。その結果、アップグレードスクリプトは、Directory Server がオンラインであると仮定し、サーバーが実際にオフラインであってもデータベースのアップグレードを続行しない場合がありました。この更新では、.pid ファイルで参照されるプロセスが実際に実行されているかどうかを確認する明示的なテストが追加されます。その結果、アップグレードスクリプトが期待どおりに機能するようになりました。

BZ#784344

以前は、repl-monitor コマンドは、ホストの識別にホスト名のサブドメイン部分のみを使用していました。その結果、同じサブドメイン部分のホスト名（例：ldap.domain1"、ldap.domain2）は、1 つのホストとして識別され、不正確な出力が生成されました。この更新により、ホスト名全体がホストの特定に使用されるようになります。その結果、すべてのホスト名は分離され、repl-monitor コマンドの出力は正確です。

BZ#788140

以前は、サーバーは正規化されていない DN 文字列を使用して内部検索と変更操作を実行していましたが、変更操作のコードは正規化された DN 文字列を想定していました。その結果、正規化されていない形式で指定されたドメイン名でレプリケーションを実行すると、以下のようなエラーメッセージがログに記録されました。

NSMMReplicationPlugin - repl_set_mtn_referrals: could not set referrals for 
replica dc=example,dc=com: 32

この更新により、変更操作で使用される前に DN 文字列が確実に正規化されるようになりました。その結果、レプリケーションでは前述のシナリオでエラーメッセージが生成されません。

BZ#788722

以前は、389 -ds-base/ldap/servers/snmp/ ディレクトリーには、著作権ヘッダーのない .mib ファイルが含まれていました。そのため、著作権の理由から、特定の Linux ディストリビューションにファイルを含めることはできませんでした。この更新により、このようなすべてのファイルの情報が、必要な著作権情報が含まれる redhat-directory.mib ファイルにマージされ、ディレクトリー内の唯一のファイルになります。その結果、389 Directory Server が Linux ディストリビューションに含まれなくなった際の著作権の問題はありません。

BZ#788724

以前は、拡張可能な検索フィルターのソースコードは、値の比較に strcmp ルーチンを使用していました。そのため、バイナリーデータで拡張可能な検索フィルターを使用すると、誤った結果が返されました。この更新により、バイナリー対応関数を使用するように、基礎となるソースコードが変更されます。その結果、拡張可能な検索フィルターはバイナリーデータと正しく機能します。

BZ#788725

以前は、検索フィルターの値は、使用されたフィルタータイプとマッチングルールを考慮しませんでした。そのため、検索される属性構文にデフォルトの比較タイプとは異なる値を使用すると、検索が誤った結果を返していました。この更新により、基礎となるソースコードが変更され、フィルター属性と値のマッチングルールの正規化に敏感なものが使用されます。その結果、一致ルールに準拠した検索結果が返されます。

BZ#788729

以前は、Directory Server でデータベース内の子エントリーの廃棄が正しく処理されませんでした。したがって、Tombstone に変換された削除済みエントリーが含まれる場合、entryrdn インデックスのインデックスを再作成しようとすると、次のエラーメッセージが表示されて失敗しました。

_entryrdn_insert_key: Getting "nsuniqueid=ca681083-69f011e0-8115a0d5-f42e0a24,ou=People,dc=example,dc=com" failed

今回の更新により、389 Directory Server は子エントリーの tombstone を正しく処理し、entryrdn インデックスをエラーなしで正常にインデックスを再作成できるようになりました。

BZ#788731

以前のバージョンでは、RUV tombstone エントリーは entryrdn インデックスによって誤ってインデックス化されていました。そのため、そのようなエントリーの検索試行は成功しませんでした。この更新により、entryrdn インデックスでの RUV tombstone エントリーのインデックスを正しくインデックス化し、そのエントリーの検索試行が正常に実行されるようになりました。

BZ#788741

以前は、DNA (Distributed Numeric Assignment)プラグインは、UID の範囲を複製する要求に対して短すぎるタイムアウトを使用していました。そのため、DNA でレプリケーションを使用してユーザーを追加すると、待ち時間が高いネットワークで失敗し、以下のエラーメッセージが返されることがありました。

Operations error: Allocation of a new value for range cn=posix ids,cn=distributed 
numeric assignment plugin,cn=plugins,cn=config failed

今回の更新により、このようなレプリケーションリクエストのデフォルトのタイムアウトが 10 分に設定されました。その結果、DNA でレプリケーションを使用してユーザーの追加にエラーが返されず、操作は成功します。

BZ#788745

以前は、レプリケーションロールが変更されたときに、RUV のシーケンス番号(CSN)が更新されませんでした。その結果、サーバー上のデータに一貫性がありませんでした。この更新により、レプリケーションロールが変更されたときに CSN が更新されます。その結果、前述のケースではデータの不整合は確認されなくなりました。

BZ#788749

以前は、スキーマファイルのエラーはログファイルに明確に報告されませんでした。そのため、メッセージが誤って dse.ldif ファイルにエラーの報告として解釈される可能性がありました。この更新により、エラーメッセージが変更され、エラーが見つかったファイルの名前とパスが含まれるようになりました。

BZ#788750

以前は、アップグレード後にサーバーが古いバージョンの nisDomain スキーマを使用していました。そのため、アップグレード後に 389 Directory Server を再起動すると、次のエラーメッセージが生成されました。

attr_syntax_create - Error: the EQUALITY matching rule [caseIgnoreMatch] is not 
compatible with the syntax [1.3.6.1.4.1.1466.115.121.1.26] for the attribute [nisDomain]

この更新により、サーバーが最新バージョンの nisDomain スキーマを使用するようにします。その結果、アップグレード後にサーバーを再起動してもエラーは表示されません。

BZ#788751

389 Directory Server は以前、正規化操作の終了後に、割り当てられたメモリーを適切に解放しませんでした。これにより、サーバーの実行中にメモリーリークが発生していました。この更新では、割り当てられたメモリーを適切にリリースするように基礎となるコードが修正され、これらの状況でメモリーリークが発生しなくなりました。

BZ#788753

以前は、connection 属性は cn=monitor スキーマに含まれていなかったため、アクセス制御情報(ACI)処理コードが ACI を無視していました。したがって、cn=monitor で匿名検索を実行するときに connection 属性を要求すると、デフォルトの ACI によって拒否された場合でも connection 属性が返されました。この更新により、属性がスキーマにない場合でも ACI が処理されます。その結果、ACI が拒否すると、connection 属性は表示されません。

BZ#788754

以前のバージョンでは、サーバーの起動時に複数のメモリーリークエラーが発生することがありました。今回の更新で、すべてのメモリーリークエラーが修正され、いずれも発生しなくなりました。

BZ#788755

以前は、IPv4 マップ IPv6 アドレスは 389 Directory Server によって独立したアドレスとして扱われていました。その結果、このようなアドレスが標準の IPv4 アドレスと競合した場合に、サーバーの起動時にエラーが報告されました。今回の更新で、すべての IPv4 マッピング IPv6 アドレスの IPv4 部分が、既存の IPv4 アドレスと比較されるようになりました。その結果、IPv4 マップ IPv6 アドレスが標準の IPv4 アドレスと競合する場合でも、サーバーはエラーなしで起動します。

BZ#788756

以前は、389-ds-base の man ページには、いくつかの誤字と事実上のエラーが含まれていました。今回の更新で、man ページが修正され、正しい情報が含まれ、タイプミスがなくなりました。

BZ#790491

以前は、Directory Server レプリカを初期化するときに NULL ポインター逆参照が発生することがありました。その結果、セグメンテーションフォールトでサーバーが予期せず終了しました。この更新により、NULL 値のチェックを使用してレプリカ初期化の基本的なソースコードが強化されます。その結果、レプリカの初期化は常に正常に終了します。

BZ#796770

以前は、孤立した tombstone エントリーを使用した操作中に、二重の空きエラーが発生することがありました。そのため、孤立した tombstone エントリーが tombstone_to_glue 関数に渡されると、Directory Server は予期せずに終了していました。今回の更新により、ancestor tombstone エントリーを取得するためのロジックが修正され、tombstone エントリーを孤立したエントリーに変換する可能性がなくなりました。その結果、前述のシナリオでは予期しないサーバー終了は発生しなくなります。

BZ#800215

以前は、ldapcompare コマンドのコードで内部ループが誤って処理されていました。その結果、仮想属性で同時比較操作を実行すると、Directory Server が応答しなくなっていました。今回の更新で、内部ループの問題が修正されました。その結果、サーバーは問題なく同時比較操作を実行します。

BZ#803930

以前は、389 Directory Server をアップグレードする際に、実際のアップグレード手順が完了する前にサーバーの起動が開始されていました。その結果、起動に失敗し、次のエラーメッセージが表示されました。

ldif2dbm - _get_and_add_parent_rdns: Failed to convert DN cn=TESTRELM.COM to RDN

この更新により、アップグレード手順が完了する前にサーバーが起動しないようになります。その結果、アップグレード後にサーバーが正常に起動します。

BZ#811291

以前は、範囲読み取り操作のコードは、範囲検索操作の実行時にエントリーが削除された状況を正しく処理しませんでした。その結果、負荷が高い場合、削除および範囲付きの検索操作を同時に実行すると、Directory Server が予期せず終了しました。この更新により、このような状況を正しく処理するように基盤となるソースコードが修正されます。その結果、サーバーは、負荷が大きい場合に削除および範囲指定された検索操作を同時に実行する前に終了しません。

BZ#813964

高負荷の 389 Directory Server に対して削除および検索操作を実行すると、スタックバッファーの DB_MULTIPLE_NEXT ポインターが無効な値に設定されている可能性があります。その結果、ポインターの逆参照により、スタックバッファーに割り当てられていないメモリーにアクセスしようとします。これにより、セグメンテーションフォールトでサーバーが予期せず終了しました。今回の更新により、DB_MULTIPLE_NEXT ポインターが適切にテストされるようになりました。ポインターの値が無効な場合、ページまたは値は削除されたと見なされ、スタックバッファーがリロードされます。その結果、このシナリオではセグメンテーション違反が発生しなくなります。

BZ#815991

ldap_initialize() 関数はスレッドセーフではありません。その結果、多くのレプリカ合意でレプリケーションを使用すると、起動時に 389 Directory Server が予期せず終了しました。この更新により、ldap_initialize() 関数の呼び出しが相互除外によって保護されるようになります。その結果、多くのレプリカ合意でレプリケーションを使用すると、サーバーが正しく起動します。

BZ#819643

基礎となるソースコードのエラーにより、新しい文字列シーケンスが文字の異なる小文字/大文字小文字以外は、Relative Distinguished Name (Relative Distinguished Name)文字列の名前の変更を試みると失敗しました。今回の更新ではコードが修正され、大文字と小文字を区別して RDN が同じ文字列シーケンスに名前変更できるようになりました。

BZ#821542

以前は、DN 文字列の名前を変更するときに文字ケース情報が無視されていました。そのため、一部の文字の場合のみ、新しい文字列シーケンスが異なると、DN 文字列が小文字にのみ変換され、ケース情報は失われていました。この更新により、基礎となるコードが変更になり、RDN を同じ文字列シーケンスに名前変更できるようになりました。

BZ#822700

以前は、ACI 処理のコードは指定された DN を拒否しませんでした。その結果、ACI で DN が誤って指定されたため、起動時またはオンラインインポート後に 389 Directory Server が予期せず終了していました。この更新により、ACI を処理する基礎となるソースコードが誤って指定された DN を拒否するようになります。その結果、このシナリオではサーバーは終了しません。

BZ#824014

以前は、「entryusn」 属性を処理するコードがキャッシュエントリーを直接変更していました。その結果、負荷が大きいと、referential integrity が有効な 「entryusn」 属性および 「memberof」 属性を使用して、削除および検索操作を実行すると、サーバーが予期せず終了しました。この更新により、エントリーがキャッシュで直接変更されなくなります。その結果、サーバーは前述の条件で予期せず終了せずに検索を実行します。

機能拡張

BZ#683241

以前は、最初の操作結果が LDAP クライアントに返された後に、post-operation プラグインが実行されていました。そのため、最初の操作の結果がすぐに利用できない可能性があります。今回の更新で、betxnpreoperation プラグインタイプおよびbetxnpostoperation プラグインタイプが導入されました。これらのタイプのプラグインは、初期操作の通常のトランザクション内で実行されます。その結果、これらのプラグインタイプが使用されると、最初の操作の完了前に、最初の操作によってトリガーされる操作が完了しました。

BZ#766322

以前は、LDAP クライアントが使用する必要のあるデフォルトの検索ベースを判断する簡単な方法はありませんでした。その結果、検索ベースが設定されていない LDAP クライアントは、389 Directory Server に対して検索を試みました。今回の更新で、ルート DSE (Directory Server Entry)に新しい属性 defaultNamingContext が追加されました。その結果、クライアントはルート DSE に defaultNamingContext 属性の値をクエリーし、返された値を検索ベースとして使用できます。

BZ#768086

今回の更新で、"on" と "off" の値を持つ nsslapd-minssf-exclude-rootdse 設定属性が導入されました。値が "off" （デフォルト値）の場合、Security Strenght Factor (SSF) の値が nsslapd-minssf 属性値よりも小さい場合でも、サーバーはルート DSE へのアクセスを許可します。その結果、残りのサーバーに SSL/TLS が必要な場合でも、SSL/TLS を使用せずにルート DSE へのアクセスが許可される可能性があります。

BZ#768091

以前は、管理エントリー設定エントリーで削除操作が許可されていませんでした。その結果、このようなエントリーの削除を試みると、以下のエラーメッセージで拒否されました。

ldap_delete: Server is unwilling to perform (53)
additional info: Not a valid operation.

この更新により、基礎となるソースコードが変更され、管理エントリー設定エントリーの削除が許可され、正常に実行できるようになりました。

BZ#781501

以前は、389 Directory Server の LDAP クライアントで拡張ユーザーアカウント情報を利用できませんでした。この更新により、Account Usable Request Control のサポートが追加されました。これにより、LDAP クライアントが拡張ユーザーアカウント情報を取得できるようになります。

BZ#788760

以前は、logconv.pl スクリプトは、ファイルまたは要求された期間の操作の概要しか生成できませんでした。今回の更新では、秒ごとの統計を生成するための m オプションと、分ごとの統計を生成する -M オプションが導入されています。統計は、さらに処理後の処理に適した CSV 形式で生成されます。

BZ#790433

以前は、新しく作成されたすべてのエントリーをグループに手動で追加する必要がありました。この更新により、新しいプラグインが追加され、特定の条件に一致する場合に、新しい各エントリーがグループに自動的に追加されるようになります。

セキュリティーの修正

CVE-2012-5659

/usr/libexec/abrt-action-install-debuginfo-to-abrt-cache ツールが環境変数を十分にサニタイズしていないことが判明しました。これにより、Python モジュールが標準以外のディレクトリー(/tmp/ など)から読み込まれ、実行される可能性があります。ローカル攻撃者は、この脆弱性を利用して、abrt ユーザーの権限を昇格する可能性があります。

CVE-2012-5660

ABRT がクラッシュに関する情報を保存するために使用されるディレクトリーを処理する方法で競合状態が見つかりました。abrt ユーザーの特権を持つローカル攻撃者は、この不具合を使用してシンボリックリンク攻撃を実行できる可能性があり、権限を root にエスカレートできる可能性があります。

セキュリティーの修正

CVE-2012-1106

ABRT の C ハンドラープラグイン(abrt-addon-ccpp パッケージがインストールされ、abrt-ccpp サービスが実行中の)が有効で、sysctl fs.suid_dumpable オプションが 2 （デフォルトでは 0）に設定されている場合、設定されたユーザー ID (setuid)プログラムのコアダンプは安全でないグループ ID パーミッションで作成されました。これにより、ローカル権限のないユーザーが、setuid プロセスのコアダンプファイルから機密情報を取得でき、アクセスできなくなる可能性がありました。

CVE-2011-4088

ABRT を使用すると、ユーザーは収集されたクラッシュ情報で機密データを送信する前に簡単に検索できませんでした。これにより、ユーザーは、送信されたクラッシュレポートを介して機密情報を意図せずに公開する可能性があります。今回の更新では、収集した全データを検索するための機能が追加されました。この修正は、Red Hat カスタマーサポートにレポートが送信されるデフォルト設定には適用されないことに注意してください。Red Hat Bugzilla に情報を送信するユーザーのみが有効になります。

バグ修正

BZ#809587, BZ#745976

ABRT GUI を使用して、メニューボタン Report problem を ABRT でバグを報告すると、空のバグが作成されました。この更新では、テスト目的でのみ使用されたため、このボタンが削除されます。

BZ#800828

新しいダンプディレクトリーが reporter-upload ユーティリティーを使用して /var/spool/abrt-upload/ に保存されると、ABRT デーモンはダンプディレクトリーを /var/spool/abrt/ にコピーし、以前にインクリメントしたクラッシュ数をインクリメントします。クラッシュ数が 2 回増加するため、ダンプディレクトリーはそれ自体の重複としてマークされ、削除されました。今回の更新により、リモートでアップロードされたダンプディレクトリーのクラッシュ数がインクリメントされなくなり、問題を修正しています。

BZ#747624

/usr/bin/abrt-cli ユーティリティーに man ページがありませんでした。今回の更新で、abrt-cli (1) の man ページが追加されました。

BZ#796216

カーネル oops の行を分析すると、line 変数が 2 回解放されました。今回の更新でこのバグが修正され、カーネルの Oops が適切に分析されるようになりました。

BZ#770357

今回の更新以前は、mailx プラグインのデフォルト設定ファイルがないため、mailx プラグインを介した ABRT メール通知が適切に機能しませんでした。今回の更新で、mailx プラグインのデフォルト設定ファイル( /etc/libreport/plugins/mailx.conf )が追加されました。

BZ#799352

dbus がシステムにインストールされていない場合、ABRT デーモンを起動するとエラーが発生していました。今回の更新で dbus 依存関係が削除され、dbus がシステムにインストールされていない場合でも ABRT デーモンを起動できるようになりました。

BZ#727494

ABRT の以前のバージョンでは、ユーザーが警告なしで同じ問題を Bugzilla に報告できました。この動作が変更され、レポートがすでに送信された場合にユーザーに警告が表示されるようになりました。メールアタッチメントとローカルログの最大許容サイズが 1 MB に増加しました。これにより、電子メールで送信したり、ロガー プラグインを使用してローカルに保存された場合にレポートが失われる時間が長い問題が修正されました。

BZ#746727

この更新により、/tmp/anaconda-tb-* ファイルがバイナリーファイルとして認識され、テキストファイルとして認識されることがありました。

BZ#771597

ABRT 2.x は、さまざまな新しいデーモンを追加しました。ただし、ABRT 1.x からの移行時に、追加されたすべてのデーモンが適切に有効化されたわけではありません。この更新により、すべてのデーモンが正しく起動し、ABRT 1.x から ABRT 2.x への更新が期待どおりに機能するようになりました。

BZ#751068

abrt-cli パッケージは以前 abrt-addon-python パッケージに依存していました。これにより、ユーザーは abrt-cli として Yum 経由で abrt-addon-python パッケージも削除できませんでした。今回の更新で、コマンドラインで ABRT を使用するために、必要なパッケージをすべてプルする新しい 「仮想」 abrt-tui パッケージが追加され、前述の問題が解決されました。

BZ#749100

以前は、ABRT ツール内の一部の文字列は翻訳可能としてマークされませんでした。今回の更新でこの問題は修正されています。

BZ#773242

ABRT がデータの移動を試みると、ダンプのコピーが作成されたことを知らせる誤解を招くメッセージがユーザーに返されました。今回の更新で、このメッセージが改善され、ABRT がデータをコピーしずに移動することが明確になりました。

BZ#811147

バックトレースに、長すぎる関数引数で設定されるテキストを含むフレームが含まれている場合、GDB のバックトレースプリンターがその引数を切り捨てます。backtrace パーサーは切り捨てられた引数を処理できず、適切にフォーマットされませんでした。この更新により、バックトレースパーサーは、関数引数が切り捨てられたことを示す切り捨てられた文字列を検出します。次に、パーサーの状態はこの状況に適応し、バックトレースを正しく解析します。

BZ#823411

Bugzilla API の変更により、ABRT bugzilla プラグインが正常に機能しなくなっていました。今回の更新では、新しい Bugzilla API で動作するようにソースコードを変更することで、この問題を解決しています。

BZ#758366

今回の更新で、さまざまな ABRT 設定ファイルのコメント入力エラーが修正されました。

BZ#625485

ABRT の以前のバージョンは、無効な XML ログファイルを生成しました。今回の更新でこれが修正され、ASCII 以外の文字がすべてエスケープされるようになりました。

BZ#788577

ABRT とは異なり、python-meh には、問題のレポートに環境変数のリストが含まれていませんでした。環境変数のリストは、作成されたバグの担当者に割り当てるのに役立つ情報です。今回の更新では、環境変数のリストを生成して libreport に渡すコードが python-meh に追加され、python-meh によって生成された問題レポートに環境変数のリストが含まれるようになりました。

セキュリティーの修正

CVE-2012-1530,CVE-2013-0601,CVE-2013-0602,CVE-2013-0603,CVE-2013-0604,CVE-2013-0605 , CVE -2013-0606 ,CVE-2013-06 07, CVE-2013 -0608 , CVE-2013 -0609 ,CVE-2013-0609,CVE-2013-0610,CVE-2013-0611,CVE-2013 -0613 ,CVE-2013-0613,CVE-2013-0614,CVE-2013-0615,CVE-2013-0616, CVE-2013-0618 , CVE- 2013-0618 , CVE-2013 -0619 ,CVE-2013-0619,CVE-2013-0620,CVE-2013-0621,CVE-2013-0623,CVE-2013-0626

今回の更新で、Adobe Reader のセキュリティー上の欠陥がいくつか修正されています。これらの不具合は、Adobe Security Bulletin APSB13-02 を参照してください。特別に細工された PDF ファイルにより、Adobe Reader がクラッシュしたり、開いたときに Adobe Reader を実行しているユーザーとして任意のコードを実行したりする可能性があります。

BZ#674199

この更新以前は、/etc/asound.state ファイルが存在しない場合、alsactl ツールはすべてのサウンドカードの初期化を試みていました。その結果、SElinux は存在しないデバイスへのアクセスを拒否する可能性がありました。今回の更新で、alsactl が udev から 1 回だけ呼び出されるように、基礎となるコードが変更されます。

BZ#650113

今回の更新で、alsa-delay ユーティリティーおよび alsaloop ユーティリティーが alsa-utils に追加され、システムのオーディオ遅延を管理できるようになりました。

バグ修正

BZ#690058

今回の更新以前は、キックスタート ファイルの noprobe 引数は、最後の既知のコードパスに渡されませんでした。その結果、noprobe リクエストは Anaconda によって適切に適用されませんでした。今回の更新で、引数が最後の既知のコードパスに渡されるようにコードが改善されました。その結果、デバイスドライバーは キックスタート ファイルの device コマンドに従ってロードされます。

BZ#691794

以前は、デバイスマッパーマルチパス(DM-Multipath )環境でブートローダーを初期化するのに、アレイ全体としてアクセスを提供する不適切なデバイスファイルが使用されていました。その結果、システムは起動できませんでした。Anaconda は、アレイ内のすべてのドライブを列挙し、各ドライブでブートローダーを初期化するように変更されました。その結果、システムは期待どおりに起動するようになりました。

BZ#723404

ネットワークを使用せずにメディアから最小限のインストールを実行すると、ネットワークデバイスにはデフォルトのネットワーク設定が機能していませんでした。その結果、ifup コマンドを使用して再起動後にネットワークデバイスを起動できませんでした。この更新により、デフォルトのネットワークデバイス設定ファイルで BOOTPROTO の値が dhcp に設定されます。その結果、説明したシナリオで、再起動後に ifup コマンドを使用して、ネットワークデバイスを正常にアクティブ化できます。

BZ#727136

Anaconda が PowerPC Reference Platform (PReP)の起動パーティションをルートパーティションに別のドライブに配置すると、システムは起動できません。今回の更新で、PReP ブートパーティションがルートパーティションと同じドライブに強制されるようになりました。その結果、システムは期待どおりに起動します。

BZ#734128

リグレッションにより、既存のミラーリングされた論理 ボリューム (LV)を備えたシステムにインストールすると、インストーラーはミラーリングされた論理ボリュームを含む論理ボリューム 管理 設定を適切に検出できませんでした。その結果、インストール前に作成されたミラー化論理ボリュームは表示されず、キックスタート で使用できませんでした。ミラー化論理ボリュームを処理するコードが更新され、以前のバグ修正により変更された udev 情報を使用するようになりました。その結果、ミラーリングされた論理ボリュームはインストーラーによって正しく検出されます。

BZ#736457

IBM System z アーキテクチャーでは、CPU が 1 つだけ割り当てられた z/VM ゲストは、インストール環境で使用される Conversational Monitor System (CMS)設定ファイルを読み取ることができませんでした。その結果、単一の CPU を持つ z/VM ゲストのユーザーは、カーネルブートラインにすべてのインストール環境設定値を渡すか、インストール環境が起動する際に対話式の情報を提供する必要がありました。今回の更新で、/proc ファイルのマウント後にゲストの数を検出するコードが改善されました。その結果、1 つの CPU を持つゲストがブートデバイスをオンラインにして、CMS 設定ファイルを読み取って、自動インストールが期待通りに続行することができます。

BZ#738577

Anaconda によって生成された キックスタート のリポジトリーコマンドには、ベースインストールリポジトリー情報が含まれていましたが、 repo Kickstart コマンドまたはグラフィカルユーザーインターフェイス(GUI)によって追加された追加のリポジトリーのみが含まれている必要があります。その結果、メディアインストールでは、キックスタートファイルが使用されたときにインストール用に生成された repo コマンドで失敗が発生していました。今回の更新で、Anaconda が追加のリポジトリーに対してのみリポジトリーコマンドを生成するようになりました。その結果、メディアインストールではキックスタートは失敗しなくなります。

BZ#740870

レベル 0 またはレベル 1 の BIOS RAID デバイスに手動でインストールすると、インストーラーに Intel Media Storage Manager (IMSM)メタデータ読み取りエラーが発生していました。その結果、ユーザーはこのようなデバイスにインストールできませんでした。今回の更新で、Anaconda が BIOS RAID レベル 0 およびレベル 1 IMSM メタデータを適切に検出するようになりました。その結果、ユーザーはこれらのデバイスにインストールできるようになります。

BZ#746495

LiveCD 環境には、devkit-disks ユーティリティーへのレガシーシンボリックリンクがありませんでした。そのため、自動マウント機能を変更する呼び出しが適切に実行されませんでした。このコードは、適切な非レガシーバイナリーを呼び出すように更新されました。その結果、インストール中に使用された USB デバイスは自動マウントされなくなりました。

BZ#747219

コンソールの tty1 は Anaconda の制御下に配置されましたが、Anaconda が終了すると返されませんでした。そのため、Anaconda の終了時に tty1 の設定を変更して Ctrl C機能を有効にするパーミッションがありませんでした。これにより、Anaconda が予期せず終了した後に、インストーラーが Ctrl+C または Ctrl+Alt+Delete キーの組み合わせをインストーラーから押すように求められても、C が機能しませんでした。init に tty1 コントロールを返すコードが Anaconda に追加されました。その結果、Anaconda がクラッシュしたときにユーザーに押すように求められた場合に、Ctrl+C が期待どおりに機能するようになりました。

BZ#750126

buildinstall スクリプトで使用される Bash バージョンには、=~ 演算子の解析に影響を与えるバグがありました。この Operator は、ファイルを含めるときにアーキテクチャーを確認するために使用されます。そのため、grub コマンドを提供する一部のバイナリーは、インストーラーの x86_64 バージョンに存在していましたが、i686 メディアにはありませんでした。このバグを防ぐために、Bash コードが変更されました。その結果、バイナリーは i686 メディアにも存在し、ユーザーはインストールメディアの grub コマンドが想定どおりに使用できるようになりました。

BZ#750417

アンマウントシーケンスの順序が正しくないため、動的リンカーはリンクライブラリーに失敗しました。これにより、mdadm ユーティリティーが機能せず、ステータスコード 127 で終了します。今回の更新で、マウント解除シーケンスの順序が修正され、その結果、動的リンカーと mdadm が正しく機能するようになりました。

BZ#750710

ファイル記述子が stdout と stderr として渡されたかどうかを確認するチェックはありませんでした。そのため、stdout 記述子と stderr 記述子が同じであった場合、書き込みにこれらの両方を使用すると上書きされ、ログファイルに予想されるすべての行が含まれていませんでした。今回の更新により、stdout 記述子と stderr 記述子が同じである場合、その 1 つだけが stdin と stderr の両方に使用されるようになりました。その結果、ログファイルには stdout と stderr の両方からのすべての行が含まれます。

BZ#753108

PowerPC Reference Platform (PReP)パーティションが存在する複数のディスクを持つシステムにインストールすると、変更しないままにする PReP パーティションが更新されます。今回の更新で問題が修正され、インストール時に使用したパーティション以外の PReP パーティションは変更されません。その結果、古い PReP パーティションは更新されません。

BZ#754031

カーネルコマンドライン /proc/cmdline は \n で終わるが、インストーラーは \0 に対してのみチェックされます。そのため、devel 引数はコマンドラインの最後の引数であったときに検出されず、インストールに失敗していました。今回の更新で、\n もチェックするようにコードが改善されました。その結果、devel 引数が正しく解析され、インストールが期待どおりに進行します。

BZ#756608

IBM System z のネットワークインストールでは、ping コマンドを使用して提供された ネームサーバー アドレスを確認します。ICMP ECHO パケットを制限する環境では、このテストに失敗し、インストールを停止して、指定したネームサーバーアドレスが有効かどうかをユーザーに尋ねます。そのため、このテストに失敗すると、キックスタートを使用した自動インストールが停止します。今回の更新により、ping テストが失敗した場合でも、nslookup コマンドを使用して、指定されたネームサーバーアドレスを検証します。nslookup テストに成功すると、キックスタート はインストールを続行します。その結果、非対話モードでの IBM System z への自動ネットワークインストールは、説明されているシナリオで期待どおりに完了します。

BZ#760250

複数のアクティブなネットワークインターフェイスでシステムを設定し、ksdevice = link コマンドが存在すると、リンク 指定がデバイスのアクティブ化とデバイスの設定に一貫して使用されませんでした。そのため、インストーラーによってアクティベートされるデバイスを対象とする設定を使用して、リンクステータスを持つ他のネットワークデバイスが正しく設定されないことがありました。今回の更新でコードが改善され、デバイスのアクティブ化とデバイス設定の両方の リンク 仕様を持つ同じデバイスを参照するようになりました。その結果、インストール中にリンクステータスを持つ複数のデバイスが存在すると、インストーラーによってアクティベートされ使用されるデバイスの ksdevice = リンク 仕様によって、リンクステータスを持つ別のデバイスの設定に誤設定が発生することはありません。

BZ#766902

Anaconda GUI ホスト名画面を使用してネットワークを設定すると、Configure Network ボタンのキーボードショートカットがありませんでした。今回の更新で、C キーボードショートカットが追加されました。Alt+C キーボードショートカットを使用してネットワーク設定を呼び出すことができるようになりました。

BZ#767727

Anaconda の Ext2FS クラスの最大ファイルサイズ属性は最大 8 TB に正しく設定されていますが、Ext3FS および Ext4FS は、この値をオーバーライドせずに継承しています。したがって、8Tb を超えるサイズの ext3 ファイルシステムまたは ext4 ファイルシステムを作成しようとすると、インストーラーはそれを許可しません。この更新により、インストーラーが新しい ext3 および ext4 ファイルシステムサイズの上限が 8Tb から 16TB に調整されました。その結果、インストーラーは、16TB までの ext3 および ext4 ファイルシステムを作成できるようになりました。

BZ#769145

Anaconda dhcptimeout 起動オプションが機能しませんでした。NetworkManager では、別の値を設定することなく、DHCP トランザクションタイムアウトの 45 秒を使用していました。その結果、場合によっては、NetworkManager がネットワークアドレスを取得できませんでした。NetworkManager は、DHCP 設定ファイルから timeout パラメーターを読み取り、デフォルト値の代わりにそれを使用するように拡張されました。Anaconda は、インストールに使用されるインターフェイス設定ファイルに dhcptimeout 値を書き込むように更新されました。その結果、起動オプション dhcptimeout が機能し、NetworkManager は DHCP クライアント設定ファイルで指定されている DHCP トランザクション期間、アドレスの取得を待機するようになりました。

BZ#783245

今回の更新以前は、USB3 モジュールは Anaconda インストールイメージにはありませんでした。そのため、インストール時に Anaconda で USB3 デバイスが検出されませんでした。今回の更新で、インストールイメージに USB3 モジュールが追加され、インストール中に USB3 デバイスが検出されるようになりました。

BZ#783841

システムのディスクから古いデータを消去するための キックスタート の clearpart コマンドまたはインストーラーの自動パーティショニングオプションが、論理ボリュームやソフトウェア RAID などの複雑なストレージデバイスで使用された場合、LVM ツールにより、デッドロックが原因でインストールプロセスが応答しなくなることがありました。その結果、複雑なストレージデバイスから古いメタデータを削除しようとすると、インストーラーが失敗していました。今回の更新で、インストーラーとともにパッケージ化された udev ルールの LVM コマンドが変更され、ロックの限定的な方法を使用するようになり、ディスクを初期化するときに、古いコンテンツに新しいパーティションテーブルを作成するのではなく、インストーラーが変更され、ディスクからパーティションが明示的に削除されるようになりました。その結果、上記のシナリオで LVM がハングしなくなりました。

BZ#785400

/usr/lib/anaconda/textw/netconfig_text.py ファイルは誤った場所からモジュールをインポートしようとしました。その結果、Anaconda が起動に失敗し、以下のエラーメッセージが生成されました。

No module named textw.netconfig_text

コードが修正され、上記のシナリオでエラーが発生しなくなりました。

BZ#788537

今回の更新以前は、キックスタート リポジトリーエントリーはグローバルプロキシー設定を使用していませんでした。そのため、使用が制限されたネットワークでは、プロキシーインストールが明示的に指定されていない場合に、キックスタートファイル内の追加のリポジトリーエントリーに接続しようとすると、プロキシーインストールが予期せず終了していました。この更新により、追加のリポジトリーにプロキシーが設定されていない場合、グローバルプロキシーを使用するようにコードが変更されます。その結果、グローバルプロキシー設定が使用され、説明されているシナリオでインストールが期待どおりに続行されます。

BZ#800388

キック スタート前およびインストール後のスクリプトには、Anaconda で使用されるプロキシーに関する情報がありませんでした。その結果、wget や curl などのプログラムは、インストール前や、プロキシーの使用に制限されているネットワーク上のインストール後のスクリプトでは適切に機能しませんでした。この更新により、PROXY、PROXY_USER、PROXY_PASSWORD 環境変数が設定されます。その結果、インストール前および後のスクリプトは、Anaconda が使用するプロキシー設定にアクセスできるようになりました。

BZ#802397

kickstart part コマンドに the- onbiosdisk=NUMBER オプションを使用すると、Anaconda が指定された BIOS ディスク番号に一致するディスクを検出できなかったため、インストールが失敗することがありました。キックスタートインストールを制御するために BIOS ディスク番号を使用したい場合、Red Hat Enterprise Linux を正常にインストールできませんでした。この更新により、BIOS ディスク番号と一致する Anaconda の比較が調整され、Linux デバイス名が判断されます。これにより、キックスタートインストールを制御するために BIOS ディスク番号を使用したい場合に、Red Hat Enterprise Linux を正常にインストールできるようになりました。

BZ#805910

リグレッションにより、ディスクのないまたは初期化されていないモードでシステムを実行すると、Anaconda ストレージサブシステムは、ユーザーにオプションの一覧を表示する前に GUI の存在を確認しませんでした。その結果、ユーザーが選択すると、インストーラーが予期せず終了し、トレースバックが発生しました。今回の更新で、GUI の存在のチェックが追加され、存在しない場合は TUI にフォールバックするようになりました。その結果、このシナリオで使用可能なディスクの不足についてユーザーに通知されます。

BZ#823810

ファームウェアブートモードで Qlogic qla4xxx デバイスと iSCSI ターゲットが設定された（有効または無効に） Anaconda を使用する場合、デバイスは iSCSI デバイスとして公開されました。ただし、このモードでは、インストーラーが使用する iscsiadm ツールおよび libiscsi ツールでは、デバイスを処理できません。その結果、インストーラーによるストレージデバイスの調査中に、インストールがトレースバックと共に失敗していました。今回の更新で、iscsiadm または libiscsi で qla4xxx ファームウェアで設定された iSCSI デバイスを管理しないようにインストーラーが変更されます。その結果、ファームウェアモードで iSCSI ターゲットが qla4xxx デバイスで設定されている環境でのインストールは正常に終了します。

注記

ファームウェアブートモードは、qla4xxx.ql4xdisablesysfsboot 起動オプションによりオンまたはオフになります。今回の更新により、デフォルトで有効になります。

機能拡張

BZ#500273

iSCSI 接続のネットワークインターフェイスへのバインディングにはサポートがありませんでした。これは、Device Mapper Multipath (DM-Multipath)接続用に単一のサブネットのターゲットへの複数の iSCSI 接続を使用したインストールに必要です。そのため、すべてのデバイスがデフォルトのネットワークインターフェイスを使用するため、DM-Multipath 接続を単一のサブネットで使用できませんでした。今回の更新で、Bind targets to network interfaces オプションが追加されました。これは、「高度なストレージオプション」 ダイアログボックスに追加されました。オンにすると、アクティブなすべてのネットワークインターフェイスで特別に検出されたターゲットは、選択とログインに利用できます。キックスタートインストールでは、新しい iscsi -- iface オプションを使用して、ターゲットをバインドするネットワークインターフェイスを指定できます。インターフェイスのバインディングが使用されると、すべての iSCSI 接続をバインドする必要があります。つまり、キックスタート内のすべての iscsi コマンドに-- iface オプションを指定する必要があります。iSCSI 接続に必要なネットワークデバイスは、Kickstart network コマンドを-- activate オプションと共に使用するか、または 「Advanced Storage Options」 ダイアログの Configure Network ボタンを使用してグラフィカルユーザーインターフェイス(GUI)でアクティベートする必要があります（インストーラーでデバイスもアクティベートするようにデバイスを設定する際に「自動的に接続」 を確認する必要があります）。その結果、インストール時に、1 つのサブネット上の異なるネットワークインターフェイスを使用して、iSCSI デバイスに対して DM-Multipath 接続を設定および使用できるようになりました。

BZ#625697

curl コマンドラインツールはインストールイメージファイルにはありませんでした。そのため、curl はキックスタートの %pre セクションで使用できませんでした。今回の更新により、curl がインストールイメージに追加され、curl をキックスタートの %pre セクションで使用できるようになりました。

BZ#660686

IP over InfiniBand (IPoIB)インターフェイスを使用したインストールのサポートが追加されました。その結果、IPoIB ネットワークインターフェイスを使用して、InfiniBand ネットワークに直接接続されたシステムをインストールできます。

BZ#663647

キックスタート volgroup コマンドに 2 つの新しいオプションが追加され、初期の未使用領域をメガバイト単位で指定するか、合計ボリュームグループサイズのパーセンテージとして指定するようになりました。これらのオプションは、インストール時に作成されるボリュームグループに対してのみ有効です。その結果、ユーザーは同じボリュームグループ内の論理ボリュームに引き続き、新しいボリュームグループに領域を効果的に確保できます。

BZ#671230

GPT ディスクラベルが、サイズが 2.2 TB 以上のディスクに使用されるようになりました。その結果、Anaconda ではサイズ 2.2 TB 以上のディスクをインストールできるようになりましたが、インストールしたシステムは常にEFI 以外のシステムで適切に起動する訳ではありません。サイズ 2.2 TB 以上のディスクは、インストールプロセス中に使用できますが、データディスクとしてしか使用できません。ブート可能なディスクとしては使用しないでください。

BZ#705328

Anaconda などの設定アプリケーションによりインターフェイス設定ファイルが作成されると、NetworkManager は、既存の設定ファイル名をハッシュ化して Universally Unique IDentifier (UUID)を生成します。その結果、特定のネットワークデバイス名に対して、複数のインストール済みシステムで同じ UUID が生成されました。今回の更新で、NetworkManager 用に Anaconda によりランダムな UUID が生成されるようになり、設定ファイル名をハッシュして接続 UUID を生成する必要がなくなります。その結果、インストールされている全システムのネットワーク接続にはそれぞれ異なる UUID が設定されます。

BZ#735791

IPv6 サポートが、noipv6 起動オプション、network - nopipv6 キックスタートコマンドを使用して、またはローダー Text User Interface (TUI)の 「Configure TCP/IP」 画面を使用して無効になるように設定されていて、インストール時に IPv6 用にネットワークデバイスが設定されていないと、インストールされたシステムの IPv6 カーネルモジュールが無効になります。

BZ#735857

Anaconda でグラフィカルユーザーインターフェイスを使用して、インストール時に追加された Fibre Channel over Ethernet (FCoE)デバイスの VLAN 検出オプションを設定する機能が必要でした。Anaconda インストーラーで作成されたすべての FCoE デバイスは、設定ファイルの AUTO_VLAN 値を yes に設定することにより、fcoemon デーモンを使用して VLAN 検出を実行するように設定されています。「Advanced Storage Options」 ダイアログに、新しい 「Use auto vlan」 チェックボックスが追加されました。これは、「Advanced Storage Devices」 画面の Add Advanced Target ボタンから呼び出されます。これにより、Anaconda に FCoE デバイスを追加するときに、「Advanced Storage Options」 ダイアログの 「Use auto vlan」 チェックボックスを使用してデバイスの VLAN 検出オプションを設定できるようになりました。FCoE デバイス設定ファイル /etc/fcoe/cfg-device の AUTO_VLAN オプションの値が適切に設定されます。

BZ#737097

lsscsi および sg3_utils が インストールイメージに表示されませんでした。その結果、データ整合性フィールド (DIF)ディスクのメンテナンスはできませんでした。今回の更新で、インストール時に DIF ディスクを維持できるように、lsscsi および sg3_utils がインストールイメージに追加され、DIF ディスクを維持できるようになりました。

BZ#743784

Anaconda は、FCoE BFS で使用可能なすべてのイーサネットインターフェイスに対して、新しいスタイルインターフェイスの命名スキームである biosdevname を使用して、/etc/fcoe/ ディレクトリーの下に FCoE 設定ファイルを作成します。ただし、インストール中に FCoE ターゲットを検出した後もオフラインのままになる FCoE インターフェイスの ifname カーネル引数は追加されませんでした。このため、後でシステムを再起動すると、/etc/fcoe/ で古いスタイルの ethX インターフェイス名を見つけようとしましたが、biosdevname を使用して Anaconda が作成したファイルに一致しません。したがって、FCoE 設定ファイルがないため、このインターフェイスに FCoE インターフェイスが作成されることはありません。その結果、FCoE BFS のインストール時に、ターゲットを検出した後にイーサネットインターフェイスがオフラインになると、再起動後に FCoE リンクが起動しませんでした。今回の更新で、インストール時にオフラインになったインターフェイスを含むすべての FCoE インターフェイスの dracut ip パラメーターが追加されました。これにより、インストール中に FCoE インターフェイスの接続が解除され、再起動後にアクティブになります。

BZ#744129

キックスタートで swap が 推奨 するコマンドを使用してインストールすると、インストールされている RAM 容量に関係なく、サイズが 2 GB のスワップファイルと、インストールされている RAM サイズが作成されます。その結果、RAM が多いマシンでは、誤動作の場合にも oom_kill syscall が呼び出されるまでの非常に大きなスワップファイルが長引いていました。今回の更新では、ドキュメント https://access.redhat.com/site/solutions/15244 で 推奨される 値に合わせて、swap 推奨スワップのサイズ計算が変更され、swap キックスタートコマンドおよび GUI/TUI インストールのデフォルトとして- hibernation オプションが追加されました。その結果、swap - recommended が使用される場合、RAM が多いマシンには適切なスワップサイズが確保されるようになりました。ただし、この設定ではハイバネーションが機能しない場合があります。ユーザーがハイバネートを使用する場合は、swap -ハイバネートを使用する必要 があり ます。

BZ#755147

FCoE ブートに複数のイーサネットインターフェイスが設定されている場合は、デフォルトではプライマリーインターフェイスのみがオンになり、他のインターフェイスは設定されません。この更新により、インストール中に FCoE が使用するすべてのネットワークインターフェイスに対して、ifcfg 設定ファイルに ONBOOT=yes の値が設定されます。これにより、FCoE ストレージデバイスへのインストールに使用されるすべてのネットワークデバイスは、再起動後に自動的にアクティベートされます。

BZ#770486

今回の更新で、Netcat (nc)ネットワークユーティリティーがインストール環境に追加されました。ユーザーは、Rescue モードで nc プログラムを使用できるようになりました。

BZ#773545

virt-what シェルスクリプトがインストールイメージに追加されました。キックスタートで virt-what ツールを使用できるようになりました。

BZ#784327

ファームウェアファイルは、ドライバー更新ディスク の $prefix/lib/firmware パス(DUD)の RPM ファイルからのみロードされました。今回の更新で、$prefix/lib/firmware/updates ディレクトリーがファームウェアを検索するパスに追加されました。ファームウェアの更新を含む RPM ファイルに、%prefix/lib/firmware/updates にファームウェアファイルを含めることができるようになりました。

BZ#723350

以前は、ベースの atlas パッケージのバイナリーファイルには、互換性のない命令セット(3DNow!)の不正な命令が含まれていました。その結果、"Illegal instructions" エラーが表示されました。今回の更新で、命令セットの使用が無効になります。

バグ修正

BZ#803349

以前は、サーバーノード名が約 80 文字を超える場合に、監査レコードが同じイベントの一部であるかどうかを判断するために、十分な情報を解析されませんでした。今回の更新で、この問題が修正されています。

BZ#797848

今回の更新で、audit.rules (7) man ページのタイプミスが修正されました。

BZ#658630

この更新より前は、監査ルールにタイプミスがある場合、またはコマンドが Linux カーネルでサポートされていない場合、エラーが発生し、ルールの処理を停止できたか、他のオプションとして、エラーはすべて無視できましたが、成功を返すことができました。この更新では、ignore オプションのように機能する auditctl に-cオプションが導入されますが、成功を返す代わりに、いずれかのルールが原因でエラーが発生すると、-c オプションは失敗を返します。ignore オプションと同様に、-c オプションはすべての監査ルールの処理を継続することに注意してください。

BZ#766920

このリリースでは、フィールド間の比較を可能にする新しいカーネル監査機能のサポートが追加されました。各監査イベントについて、Linux カーネルはイベントの原因となったものに関する情報を収集します。これで、-C オプションを使用して、auid、uid、euid、suid、fsuid、またはobj_uid、または "gid"、"egid"、"fsgid"、または "obj_gid" を比較できるようになりました。2 つのグループを混在させることはできません。比較では、equals 演算子または not equal 演算子のいずれかを使用できます。この拡張機能が機能するには、システムが Linux 2.6.32-244 カーネルを起動する必要があることに注意してください。

BZ#759311

以前は、バッチモードで Augeas を使用する際に--autosave オプションが正しく機能せず、設定の変更が保存されませんでした。その結果、設定の変更は対話モードでのみ保存できました。この更新により、"--autosave" オプションがバッチモードで期待どおりに機能するようになります。

BZ#781690

今回の更新以前は、GRUB 設定ファイルを解析する際に、password コマンドの--encrypted オプションを正しく解析しませんでした。代わりに、パスワードとして "-encrypted" 部分を解析し、2 番目の menu.lst ファイル名としてパスワードハッシュを解析しました。この更新により、GRUB 設定ファイルを解析するときに、password コマンドの-encrypted オプションが正しく解析されるようになります。

BZ#820864

以前は、Augeas は、等号が付いたマウントオプションを含む /etc/fstab ファイルを解析できませんでしたが、値を解析できませんでした。今回の更新で、fstab がそのようなマウントオプションを処理できるように修正されました。その結果、Augeas は、等号が付いたマウントオプションを含む /etc/fstab ファイルを解析できるようになりましたが、値が正しくありません。

BZ#628507

以前は、finite-automata-DOT グラフツール(fadot)は -h オプションをサポートしていませんでした。その結果、-h オプションでファットを起動すると、"Unknown option" メッセージが表示されました。この更新により、-h オプションのサポートが追加され、このオプションを使用してfadot の起動時にヘルプメッセージが表示されます。

BZ#808662

以前は、Augeas は /etc/mdadm.conf ファイルを解析するためのランスがありませんでした。したがって、物理サーバーを仮想ゲスト(Virt-P2V)に変換するためのツールは、MD デバイス上の物理ホストを変換できませんでした。今回の更新で、/etc/mdadm.conf ファイルを解析する新しい lens が追加され、Virt-P2V が MD デバイス上の物理ホストを期待どおりに変換できるようになりました。

BZ#689717

この更新より前は、ファイルが正しくフォーマットされていない場合に SSSD 設定ファイルは解析できませんでした。その結果、authconfig ユーティリティーが予期せず中止する可能性がありました。今回の更新により、エラーが正しく処理され、設定ファイルがバックアップされ、新しいファイルが作成されます。

BZ#708850

今回の更新以前は、man ページの authconfig (8)は、存在しない古い設定ファイルを参照していました。今回の更新で、man ページが変更され、authconfig によって現在変更されている設定ファイルを指すようになります。

BZ#749700

今回の更新以前は、SSSD 設定が更新されると、krb5_server オプションの代わりに、非推奨のkrb_kdcip オプションが設定されていました。この更新により、krb5_server オプションを使用して Kerberos KDC サーバーアドレスを設定するように SSSD 設定が変更されます。

BZ#755975

この更新より前は、システム上の存在しない設定ファイルを処理するため、"--savebackup" オプションが使用されると、authconfig コマンドは常に終了値 "1" を返していました。今回の更新で、authconfig で処理できる一部の設定ファイルがシステムに存在しない場合でも、設定バックアップが成功した場合、終了値は 0 になります。

BZ#731094

今回の更新以前は、authconfig ユーティリティーは IPA バックエンドを使用した SSSD 設定をサポートしていませんでした。今回の更新で、ipa-client-install コマンドを介して IPAv2 ドメインに参加できるようにシステムに追加できるようになりました。

BZ#804615

今回の更新で、このファイルを設定する際に、nss_sss モジュールも nsswitch.conf ファイルの services エントリーで使用されます。

バグ修正

BZ#870929

起動シーケンス中に、自動マウントデーモンが内部ホストマップを使用していた場合、自動マウントはセグメンテーション違反で予期せず終了しました。このバグは修正され、上記のシナリオではクラッシュは発生しなくなります。

BZ#772946

含まれるマップエントリーの削除に関する問題を修正するための最近の変更により、含まれるマップキーの検索に関する新たな問題が発生しました。以前のパッチで使用された条件は広すぎて、マップキー検索メカニズムが、含まれているマルチマウントマップエントリーでキーを見つけることができませんでした。条件が変更され、マルチマウントマップエントリーのキーが正しく検出されるようになりました。

BZ#772356

マウントの場所の有効性をチェックする関数は、マップの場所エラーの小さなサブセットのみをチェックすることを意図していました。この検証関数の論理テストに反転したエラーレポートの最近の改善変更。その結果、テストの範囲が広がり、自動マウントが誤検知の失敗を報告していました。今回の更新で、障害のあるロジックテストが修正され、誤検知の失敗が発生しなくなりました。

BZ#790674

以前は、autofs サブマウントは、シャットダウンの同期とロックの制限を誤って処理していました。その結果、サブマウントの有効期限が切れると、自動マウントが応答しなくなる可能性がありました。この更新により、サブマウントは、状態 ST_SHUTDOWN、ST_SHUTDOWN_PENDING、または ST_SHUTDOWN_FORCE、または状態が ST_READY に変更された後にのみシャットダウンします。

BZ#753964

今回の更新以前は、libtirpc ライブラリーの autofs インターフェイスには、IPv6 互換性関数が誤って含まれていませんでした。これにより、autofs IPv6 RPC コードが機能できませんでした。今回の更新で、autofs の libtirpc インターフェイスコードが修正されました。

BZ#782169

ホストマップにレガシー auto.net スクリプトを使用している場合、複数のエクスポートを処理するスクリプトにエラーがあると、スクリプトでエクスポートされたパスが返されませんでした。このバグは、スクリプトを変更してエクスポートの一意のリストのみを選択するようになり、重複したエクスポートがなくなりました。

BZ#787595

カーネルの NFS マウントオプションのサポートを利用するための mount.nfs ユーティリティーが変更されたため、RPC 処理は mount.nfs からカーネルに移動しました。ただし、カーネル RPC はタイムアウトに使用できないサーバーへの RPC リクエストを待機する必要があり、その結果、利用できないサーバーへの自動マウントを試行する際に対話的な応答が非常に遅くなります。今回の更新で、autofs RPC コードが変更され、この状況を早期に検出し、できるだけ早く適切なエラーメッセージが提供されるようになりました。

BZ#760945

以前は、/net/ ディレクトリーおよび /misc/ ディレクトリーはデフォルトの /etc/auto.master ユーティリティーでのみ使用されますが、autofs RPM パッケージでは指定されませんでした。その結果、rpm ユーティリティーは、どのパッケージにも所有されていないと報告していました。今回の更新で、これらのディレクトリーの両方が autofs spec ファイルに追加されました。

BZ#745527

以前は、autofs init.d スクリプトは、引数なしで呼び出されると、適切な使用メッセージを返していました。または、引数が正しくありませんでした。このバグは修正され、スクリプトは使用状況情報を予想通りに出力するようになりました。

BZ#683523

マップソースとしての System Security Services Daemon (SSSD)の初期サポートが autofs パッケージに追加されました。

セキュリティーの修正

CVE-2012-5784

Apache Axis は、サーバーのホスト名が、X.509 証明書のサブジェクトのコモンネーム(CN)または subjectAltName フィールドのドメイン名と一致することを確認しませんでした。これにより、中間者攻撃者は、任意のドメイン名に対して有効な証明書を持っていた場合に SSL サーバーをスプーフィングできます。

バグ修正

BZ#728693

この更新より前は、logwatch ツールは /var/log/bacula*" ファイルを確認しませんでした。その結果、logwatch レポートは不完全でした。今回の更新では、すべてのログファイルが logwatch 設定ファイルに追加されます。これで、logwatch レポートが完了しました。

BZ#728697

今回の更新以前は、bacula ツール自体が /var/spool/bacula/log ファイルを作成しました。その結果、このログファイルは誤った SELinux コンテキストを使用していました。今回の更新で、bacula パッケージに /var/spool/bacula/log ファイルを作成するように、基礎となるコードが変更されます。このログファイルには正しい SELinux コンテキストが含まれるようになりました。

BZ#729008

この更新以前は、CFLAGS 変数 $RPM_OPT_FLAGS を使用せずに bacula パッケージが構築されていました。そのため、デバッグ情報は生成されませんでした。この更新により、基礎となるコードが変更され、CFLAGS="$RPM_OPT_FLAGS でパッケージがビルドされるようになりました。デバッグ情報は予想通りに生成されるようになりました。

BZ#756803

この更新より前は、my.conf ファイルを生成する perl スクリプトに誤りが含まれていました。その結果、port 変数が正しく設定されませんでした。今回の更新で、misprint が修正されました。今回のリリースより、port 変数は予想通りに設定されるようになりました。

BZ#802158

この更新より前は、show pool コマンドの値は "res->res_client" 項目から取得されていました。その結果、出力には誤った job および file retention 値が表示されました。この更新により、res->res_pool 項目を使用して正しい値を取得します。

BZ#862240

この更新以前は、bacula-storage-common ユーティリティーが更新中の bcopy 関数の代替を誤って削除していました。これにより、更新後に Link to bcop.{mysql,sqlite,postgresql} が消えました。この更新により、基になるコードが変更され、bacula-storage-common ではなく、storage-{mysql,sqlite,postgresql} でこれらのリンクを直接削除されます。

セキュリティーの修正

CVE-2012-3429

bind-dyndb-ldap が LDAP クエリーで使用するために DNS 要求からの名前のエスケープを実行する方法に欠陥が見つかりました。リモートの攻撃者は、bind-dyndb-ldap を使用するように設定された名前付きサーバーに DNS クエリーを送信すると、この不具合を悪用して、アサーションの失敗で名前が予期せず終了する可能性があります。

バグ修正

BZ#751776

bind-dyndb-ldap プラグインは、ゾーン名（例：MX レコード）と同じ 完全修飾ドメイン 名(FQDN)を持つ無効な リソース レコード(RR)が含まれている場合、ゾーン全体のロードを拒否します。今回の更新で、リソースレコードを解析するコードが改善されました。無効な RR が発生すると、エラーメッセージ 「Failed to parse RR entry」 is logged and the zone continue to load successfully. というエラーメッセージが表示されます。

BZ#767489

LDAP サーバーへの接続に失敗しても、bind-dyndb-ldap プラグインは再度接続を試みませんでした。その結果、ユーザーは "rndc reload" コマンドを実行してプラグインを機能させる必要がありました。今回の更新により、プラグインは LDAP サーバーへの接続を定期的に再試行するようになりました。その結果、ユーザーの介入が不要になり、プラグインは期待どおりに機能するようになりました。

BZ#767492

zone_refresh 期間がタイムアウトし、ゾーンが LDAP サーバーから削除されると、プラグインは削除されたゾーンを引き続き提供します。今回の更新により、プラグインは zone_refresh パラメーターの設定時に LDAP から削除されたゾーンを提供しなくなりました。

BZ#789356

指定されたデーモンが rndc reload コマンドまたは SIGHUP シグナルを受信し、プラグインが LDAP サーバーへの接続に失敗した場合、プラグインによって以前に処理されたゾーンに属するクエリーを受信すると、プラグインによって名前が予期せず終了しました。これは修正され、リロード中に LDAP への接続が失敗しても、プラグインはそのゾーンに対応しなくなり、説明したシナリオで LDAP がクラッシュしなくなりました。

BZ#796206

LDAP サーバーへの接続が切断された場合、プラグインが予期せず終了し、その後正常に再接続され、一部のゾーンが LDAP サーバーから削除されました。このバグが修正され、上記のシナリオでプラグインがクラッシュしなくなりました。

BZ#805871

特定の文字列の長さがプラグインで正しく設定されていません。その結果、ipa-server のインストール時に Start of Authority (SOA)シリアル番号と有効期限が正引きゾーンに誤って設定されました。この更新により、コードが改善され、SOA シリアル番号と有効期限が期待どおりに設定されるようになりました。

BZ#811074

ドメイン ネームシステム (DNS)ゾーンが bind-dyndb-ldap プラグインで管理され、サブドメインが別の DNS サーバーに委譲された場合、プラグインは DNS 応答の 「追加セクション」 に記載されている A または AAAA グルレコードを配置しませんでした。その結果、委譲されたサブドメインは、他の DNS サーバーからはアクセスできませんでした。今回の更新で、プラグインが修正され、「追加セクション」 で委譲されたサブドメインの A または AAAA glue レコードを返すようになりました。その結果、委譲されたゾーンは上記のシナリオで正しく解決できます。

BZ#818933

以前は、bind-dyndb-ldap プラグインは、着信 DNS クエリーで非 ASCII 文字を正しくエスケープしませんでした。そのため、プラグインは 「,」 などの ASCII 以外の文字が含まれるクエリーの回答を送信しませんでした。プラグインが修正され、ASCII 以外の文字を使用したクエリーに対する応答が正しく返すようになりました。

機能拡張

BZ#733371

bind-dyndb-ldap プラグインは、クエリーまたは転送の ACL を設定するために使用できる idnsAllowQuery および idnsAllowTransfer の 2 つの新しい属性をサポートするようになりました。属性の詳細は、/usr/share/doc/bind-dyndb-ldap/README を参照してください。

BZ#754433

プラグインは、転送の設定に使用できる新規ゾーン属性 idnsForwarders および idnsForwardPolicy をサポートするようになりました。詳細な説明については、/usr/share/doc/bind-dyndb-ldap/README を参照してください。

BZ#766233

プラグインはゾーン転送に対応するようになりました。

BZ#767494

このプラグインには、A、AAAA レコードとその PTR レコードを同期させるために使用できる sync_ptr という新しいオプションがあります。詳細な説明については、/usr/share/doc/bind-dyndb-ldap/README を参照してください。

BZ#795406

LDAP にプラグインの設定を保存することはできず、設定は named.conf ファイルからのみ取得されました。今回の更新により、LDAP の idnsConfigObject から設定情報を取得できるようになりました。named.conf に設定したオプションは、LDAP で設定したオプションよりも優先度が低くなることに注意してください。優先度は、今後の更新で変更されます。詳細は、README ファイルを参照してください。

バグ修正

BZ#838956

rbtdb.c ソースファイルの競合状態により、名前付きデーモンは INSIST エラーコードで予期せず終了する可能性があります。このバグはコードで修正され、上記のシナリオで名前付きデーモンがクラッシュしなくなりました。

セキュリティーの修正

CVE-2012-5688

BIND の DNS64 実装に欠陥が見つかりました。リモートの攻撃者が特別に細工されたクエリーを名前付きサーバーに送信した場合、名前付きはアサーションの失敗により予期せず終了する可能性があります。DNS64 サポートは、デフォルトでは有効になっていないことに注意してください。

セキュリティーの修正

CVE-2012-4244

BIND が RDATA 値が大きいリソースレコードの処理方法に欠陥が見つかりました。DNS ドメインの悪意のある所有者は、この脆弱性を使用して、特別に細工された DNS リソースレコードを作成し、アサーションの失敗により再帰的なリゾルバーまたはセカンダリーサーバーが予期せず終了する可能性があります。

セキュリティーの修正

CVE-2012-3817

DNSSEC 検証が有効になっていると、BIND で初期化されていないデータ構造の使用の欠陥が見つかりました。リモートの攻撃者は、BIND リゾルバーを検証している DNSSEC に多数のクエリーを送信できると、この不具合を悪用して、アサーションの失敗で予期せず終了する可能性があります。

バグ修正

BZ#858273

以前は、BIND は static-stub ゾーンの forward ステートメントおよび forwarders ステートメントを拒否していました。そのため、特定のクエリーを指定のサーバーに転送することはできませんでした。今回の更新で、BIND が静的スタブゾーンのオプションを適切に受け入れるようになり、このバグが修正されました。

セキュリティーの修正

CVE-2012-5166

BIND がリソースレコードの特定の組み合わせを処理する方法に欠陥が見つかりました。リモートの攻撃者はこの脆弱性を利用して、再帰的なリゾルバーや特定の設定で権威サーバーがロックアップする可能性があります。

バグ修正

BZ#734458

/etc/resolv.conf に再帰が無効になっているネームサーバーが含まれていると、nslookup は特定のホスト名を解決できませんでした。今回の更新で、パッチが適用され、説明したシナリオで nslookup が期待どおりに機能するようになりました。

BZ#739406

この更新より前は、DNSSEC トラストアンカーの自動更新で発生するエラーが正しく処理されませんでした。そのため、シャットダウン時に named デーモンが応答しなくなる可能性がありました。今回の更新により、エラー処理が改善され、シャットダウン時に名前が正常 に 終了するようになりました。

BZ#739410

マルチスレッドのデーモンは、atomic 操作機能を使用して、共有データへのアクセスを高速化します。この機能は、32 ビットおよび 64 ビット PowerPC アーキテクチャーでは正しく機能しませんでした。したがって、これらのアーキテクチャーで 名前付き が応答しなくなることがありました。この更新により、32 ビットおよび 64 ビットの PowerPC アーキテクチャーでアトミック操作機能が無効になり、名前付き がより安定し、信頼性が高く、ハングしなくなりました。

BZ#746694

この更新より前は、DNSSEC 署名の NXDOMAIN 応答の検証で競合状態が発生し、named が予期せず終了する可能性がありました。今回の更新により、基礎となるコードが修正され、競合状態がなくなりました。

BZ#759502

マスターサーバーとして設定された 名前付き デーモンは、圧縮できないゾーンの転送に失敗することがあります。以下のエラーメッセージがログに記録されました。

transfer of './IN': sending zone data: ran out of space

ゾーン転送を処理するコードが修正され、このエラーは説明したシナリオで発生しなくなりました。

BZ#759503

DNS ゾーン転送中に、名前が指定された場合 は、アサーションの失敗により、予期せず終了する場合があります。今回の更新で、コードをより堅牢化するためにパッチが適用され、上記のシナリオで 名前付き の名前がクラッシュしなくなりました。

BZ#768798

以前は、rndc-confgen -a コマンドによるパッケージのインストール中に rndc.key ファイルが生成されていましたが、Red Hat Enterprise Linux 6.1 では、ユーザーが /dev/random にエントロピーがないために、bind パッケージのインストールがハングしたことが報告されていたため、この機能は Red Hat Enterprise Linux 6.1 で削除されました。名前付き の initscript は、サービスの起動時に rndc.key を生成するようになりました（存在しない場合）。

BZ#786362

rndc reload コマンドを実行すると、named が DNSSEC trustanchors の更新に失敗し、以下のメッセージをログに出力します。

managed-keys-zone ./IN: Failed to create fetch for DNSKEY update

この問題は、アップストリームバージョン 9.8.2rc1 で修正されました。

BZ#789886

bind 仕様ファイルのエラーにより、bind-chroot サブパッケージで /dev/null デバイスが作成されませんでした。さらに、バインド をアンインストールした後、一部の空のディレクトリーは残されていました。今回の更新で、bind-chroot パッケージ化エラーが修正されました。

BZ#795414

dynamic-db プラグインが早すぎて、named.conf ファイルの設定がプラグインが提供する設定をオーバーライドしていました。そのため、名前付き が起動できない場合がありました。今回の更新により、プラグインの初期化前に named.conf が解析され、named が期待どおりに起動するようになりました。

BZ#812900

以前は、/var/named ディレクトリーをマウントすると、/etc/init.d/named initscript は、chroot 設定が有効と chroot が有効になっていない状況を区別しませんでした。その結果、named サービスを停止すると、/var/named ディレクトリーが常にアンマウントされました。initscript が修正され、chroot 設定が有効になっている場合にのみ /var/named がアンマウントされるようになりました。その結果、chroot 設定が有効になっていない場合、/var/named は named サービスが停止している後もマウントされたままになります。

BZ#816164

以前は、nslookup ユーティリティーは、応答を取得できなかったときにゼロ以外の終了コードを返しませんでした。そのため、nslookup の実行が成功したかどうかを判断できませんでした。nslookup ユーティリティーが修正され、応答の取得に失敗した場合に終了コードとして "1" を返すようになりました。

機能拡張

BZ#735438

デフォルトでは、BIND はリソースレコードをラウンドロビン順で返します。rrset-order オプションが 固定 順序をサポートするようになりました。このオプションを設定すると、ゾーンファイルからロードされる順序で、各ドメイン名のリソースレコードが常に返されます。

BZ#788870

以前は、named が、外部 DNS クエリーに関連するメッセージが多すぎるとログに記録されていました。これらのエラーメッセージの重大度は 「notice」 から 「debug」 に減少し、システムログはほとんど不要な情報でいっぱいになりました。

BZ#790682

名前付き デーモンは、portreserve を使用して、他のサービスとの競合を回避するために、RNDC( Remote Name Daemon Control )ポートを予約するようになりました。

BZ#676194

以前は、異なるアーキテクチャーのオブジェクトファイルをリンクしようとすると、GNU リンカーがセグメンテーション違反で予期せず終了していました（例：Intel 64 のオブジェクトファイルを含む 32 ビット Intel P6 のオブジェクトファイル）。今回の更新で binutils が変更され、リンカーがエラーメッセージを生成して、上記のシナリオでリンクオブジェクトファイルを拒否するようになりました。

BZ#809616

build-ID ハッシュを生成する際に、GNU リンカーが BSS セクションに以前割り当てていたメモリーです。そのため、リンカーが必要以上のメモリーを使用する可能性がありました。この更新により、リンカーが変更され、BSS セクションがスキップされ、build-ID ハッシュの生成時に不要なメモリー使用量が回避されます。

BZ#739444

今回の更新で、新しい AMD プロセッサーをサポートするためにバックポートされたパッチが追加されました。また、ベルト命令の重複エントリーは、逆アセンブルのテーブルから削除されます。

BZ#739144

GNU リンカーは、PowerPC および PowerPC 64 アーキテクチャーで、内容の表(TOC)のアドレス指定とプロシージャリンクテーブル(PLT)呼び出しスタブのパフォーマンスを向上するために変更されました。

バグ修正

BZ#865446

以前は、biosdevname は複数のポートを持つ PCI カードを適切に処理しませんでした。そのため、biosdevname 命名スキームに従って、これらのカードの最初のポートのネットワークインターフェイスのみが名前が変更されました。このバグは修正され、これらのカードのすべてのポートのネットワークインターフェイスの名前が期待どおりに変更されるようになりました。

バグ修正

BZ#684526

以前は、ocaml の unpackaged ファイルエラーが発生すると、brltty パッケージの構築が失敗する可能性がありました。これは、ocaml パッケージがビルドルートに事前にインストールされている場合にのみ発生しました。パッケージが正しくビルドされるように、"-disable-caml-bindings" オプションが %configure マクロに追加されました。

BZ#809326

以前は、brlapi-devel パッケージによってインストールされた /usr/lib/libbrlapi.so シンボリックリンクが ../../lib/lib/libbrlapi.so に誤って参照していました。リンクが修正され、../../lib/libbrlapi.so.0.5 が正しく参照されるようになりました。

セキュリティーの修正

CVE-2006-1168

Lempel-Ziv 圧縮を使用して圧縮されていない特定のアーカイブファイルが展開される方法で、バッファーアンフローの不具合が見つかりました。ユーザーが、圧縮解除を使用して特別に作成されたアーカイブファイルを拡張すると、BusyBox がクラッシュしたり、BusyBox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2011-2716

BusyBox DHCP クライアント udhcpc は、クライアントのホスト名などの DHCP サーバーの応答で提供される特定のオプションを十分にサニタイズしませんでした。悪意のある DHCP サーバーは、特別に細工された値を持つこのようなオプションを DHCP クライアントに送信する可能性があります。このオプションの値がクライアントシステムに保存され、その後、オプションが信頼されることを想定するプロセスによってセキュアに評価されると、そのプロセスの権限で任意のコードが実行される可能性があります。注記：デフォルトでは、udhcpc は Red Hat Enterprise Linux で使用されず、busybox パッケージでは DHCP クライアントスクリプトは提供されていません。

BZ#751927

今回の更新以前は、findfs コマンドは Btrfs パーティションを認識しませんでした。その結果、コアファイルをダンプするときにエラーメッセージが表示される可能性がありました。今回の更新で、このようなパーティション認識のサポートが追加され、問題が発生しなくなりました。

BZ#752134

"grep" コマンドを "-F" および "-i" オプションとともに同時に使用すると、-i オプションは無視されました。その結果、grep -iF コマンドは、大文字と小文字を区別しない検索ではなく、大文字と小文字を区別した検索を誤って実行していました。-F オプションと -i オプションの組み合わせが期待どおりに機能するようにパッチが適用されました。

BZ#782018

今回の更新以前は、msh シェルは set -o pipefail コマンドをサポートしていませんでした。今回の更新で、このコマンドのサポートが追加されました。

BZ#809092

以前は、変数置換の結果として空のコマンドを実行しようとすると、msh シェルが予期せず終了する可能性がありました(msh -c '$nonexistent_variable' など)。今回の更新で、このようなコマンドを正しく解釈するように msh が変更され、このシナリオでクラッシュしなくなりました。

BZ#752132

以前は、msh シェルが空のループを誤って実行していました。その結果、ループ条件が false の場合でも msh がそのようなループを終了せず、ループを使用するスクリプトが応答しなくなる可能性がありました。今回の更新で、msh が変更され、空のループが正しく終了するように変更され、ハングが発生することはなくなりました。

BZ#743343

Byacc の最大スタック深さが、10000 から 500 リリース間で削減されました。不正確で詳細な else-if 構造がソースコードにコンパイルされている場合、メモリー不足の条件が発生し、YACC スタックオーバーフローおよびビルドが失敗する可能性がありました。このリリースでは、最大スタックの深さが元の値 10000 に復元されるようになりました。注記：基礎となる LR アルゴリズムでは、そのまま解析可能な else-if ステートメントの数にハード制限があります。スタックの深さを元の値に復元すると、以前に byacc に対してコンパイルされていたディープ else-if 構造を持つソースコードが再度実行されます。

BZ#730695

以前は、AF_UNSPEC または AF_INET6 アドレスファミリーを検索すると、AF_INET6 アドレスが見つからない場合、cr-ares ライブラリーは AF_INET ファミリーにフェールバックしていました。その結果、IPv6 アドレスのみが要求された場合でも、IPv4 アドレスが返されました。この更新により、cares は AF_UNSPEC アドレスの検索時のみフォールバックを実行します。

BZ#730693

ユーザーが無効な応答を解析しようとしたときに、iss_parse_a_reply （）関数がメモリーリークしました。今回の更新により、割り当てられたメモリーが適切に解放され、メモリーリークは発生しなくなります。

BZ#713133

ares_malloc_data （）の public 関数内の switch ステートメントに、中断した break ステートメントがありませんでした。これにより、予期しない動作が発生し、アプリケーションが予期せず終了する可能性があります。今回の更新で、欠落していた switch ステートメントが追加され、iss_malloc_data （）関数が意図したとおりに機能するようになりました。

BZ#695426

SeRVice (SRV)レコードクエリーを解析する際に、cares はメモリー内でデータを調整する必要のあるアーキテクチャーでメモリーに誤ってアクセスしていました。これにより、SIGBUS シグナルでプログラムが予期せず終了しました。今回の更新で、上記のシナリオで適切にメモリーにアクセスできるように c-ares が変更されました。

BZ#640944

以前は、iss_gethostbyname の man ページで、ARES_ENODATA エラーコードが有効で予想されるエラーコードとして文書化されませんでした。今回の更新で、man ページもそれに応じて変更されました。

バグ修正

BZ#797990

今回の更新以前は、メモリーの重複が正しく処理されませんでした。その結果、"-graft-points" オプションを指定して genisoimage を呼び出すと、新しく作成されたパスがガーブされ、ルートディレクトリー以外のポイントでパスが作成される可能性がありました。この更新により、基礎となるコードが変更され、期待どおりに graft パスが生成されます。

BZ#765599

この更新以前は、デーモンがユーザー指定の場所にあるファイル(SELinux ポリシーなど)にアクセスできないと、getting-started.txt ファイルで提供される例のいずれかが想定どおりに機能しませんでした。今回の更新により、この問題は getting-started.txt ファイルに文書化されるようになりました。

BZ#765600

この更新が行われる前は、certmonger デーモンはデフォルトでパッケージをインストールするように設定されませんでした。この更新により、デフォルトで certmonger サービスが有効になります。

BZ#796542

この更新以前は、特定の状況で "getcert" コマンドが、引数を必要として引数が指定されていなかったときに誤解を招くエラーメッセージ "invalid option" を表示していました。今回の更新で、正しいメッセージが送信されるようにエラーコードが変更されます。

BZ#766167

この更新が行われる前は、新しく追加された証明書は自動的には表示されませんでした。これらの証明書を表示するには、サーバーを手動で再起動する必要があります。この更新により、メッセージバスを介した D-Bus シグナルの送信が追加され、アプリケーションが新しい証明書を使用する必要のあるアクションを実行できるようになりました。また、ユーザー指定のコマンドを呼び出すための新しい "-C" オプションが追加されました。

BZ#696305

LSB ヘッダーしか持たない複数の Linux Standard Base (LSB)サービスをインストールする場合、関連する LSB init スクリプトの停止の優先度が正しく計算され、-1" に設定されている可能性がありました。今回の更新で、LSB 初期化スクリプトの順序付けメカニズムが修正され、LSB 初期化スクリプトの停止優先度が正しく設定されるようになりました。

BZ#706854

$local_fs 機能を必要とする LSB init スクリプトが install_initd コマンドでインストールされていると、特定の状況でスクリプトのインストールが失敗する可能性がありました。今回の更新で、$local_fs 機能が常に暗黙的に指定されるため、この要件を無視するように基礎となるコードが変更されました。$local_fs の要件を持つ LSB init スクリプトが正しくインストールされるようになりました。

BZ#771454

LSB init スクリプトに Required-Start 依存関係が含まれていても、インストールされた LSB サービスがランレベルで起動するよう設定されていない場合、依存関係が正しく適用されない可能性がありました。その結果、LSB サービスのインストールは警告なしで失敗していました。今回の更新により、chkconfig は、サービスがどのランレベルでも起動するよう設定されていない場合に、インストールに Required-Start 依存関係を厳密に適用しなくなりました。このシナリオでは、LSB サービスが期待どおりにインストールされるようになりました。

BZ#771741

以前は、chkconfig は LSB init スクリプト間の依存関係を正しく処理しませんでした。したがって、LSB サービスが有効になっている場合、それに依存する LSB サービスが正しく設定されていない可能性があります。今回の更新で、依存関係が適切に判断されるように chkconfig が変更され、このシナリオで、依存する LSB サービスが期待どおりに設定されるようになりました。

セキュリティーの修正

CVE-2012-1586

mount.cifs にファイルが存在することが分かっている。setuid ビットセットでツールがインストールされている場合、ローカルの攻撃者はこの脆弱性を使用して、攻撃者がアクセスできないディレクトリーにファイルまたはディレクトリーが存在するかどうかを判断できます。

注記

Red Hat が配布する cifs-utils パッケージの mount.cifs には、setuid ビットが設定されていません。管理者は、mount.cifs の setuid ビットを手動で設定しないことが推奨されます。

BZ#769923

以前は、cifs.mount (8)の man ページに、いくつかのマウントオプションのドキュメントがありませんでした。今回の更新で、欠落しているエントリーが man ページに追加されました。

BZ#770004

以前は、mount.cifs ユーティリティーは、既存の CIFS マウントを再マウントする際に /etc/mtab システム情報ファイルを適切に更新しませんでした。したがって、mount.cifs は、既存のマウントエントリーに重複したエントリーを作成しました。今回の更新で、del_mtab （）関数が cifs.mount に追加されました。これにより、更新されたマウントエントリーを追加する前に、古いマウントエントリーが /etc/mtab から削除されるようになります。

BZ#796463

mount.cifs ユーティリティーは、ユーザーおよびグループ名を UID および GID の数に適切に変換しませんでした。したがって、uid、gid、または "cruid" マウントオプションがユーザーまたはグループ名で指定された場合、CIFS 共有はデフォルト値でマウントされます。これにより、UID および GID がデフォルトで 0 に設定されているため、目的のユーザーがファイル共有にアクセスできなくなりました。今回の更新により、ユーザー名とグループ名が適切に変換され、CIFS 共有が、期待どおりに指定されたユーザーおよびグループの所有権でマウントされるようになりました。

BZ#805490

cifs.upcall ユーティリティーは、krb5.conf ファイルの domain_realm セクションを尊重せず、デフォルトドメインでのみ機能していました。そのため、デフォルトドメインとは異なる CIFS 共有をマウントしようとすると、以下のエラーメッセージが表示されて失敗しました。

mount error (126): Required key not available

今回の更新で、cifs.upcall が複数の Kerberos ドメインを正しく処理するように、基礎となるコードが変更され、CIFS 共有が想定どおりにマルチドメイン環境でマウントできるようになりました。

BZ#748756

以前は、cifs.upcall ユーティリティーは、ユーザーがカスタムの Kerberos 設定ファイルを指定したかどうかに関係なく、/etc/krb5.conf ファイルを常に使用していました。今回の更新で、--krb5conf オプションが cifs.upcall に追加され、管理者が別の krb5.conf ファイルを指定できるようになりました。このオプションの詳細は、cifs.upcall (8)の man ページを参照してください。

BZ#748757

cifs.upcall ユーティリティーは、Kerberos 認証に使用される正しいサービスプリンシパル(SPN)を最適に判断しませんでした。これにより、サーバーの非修飾ドメイン名をマウントする際に krb5 認証が失敗することがありました。今回の更新で cifs.upcall が改善され、SPN の決定に使用されるメソッドがより比例になりました。

BZ#806337

今回の更新で、mount.cifs ユーティリティーに "backupuid" および "backupgid" マウントオプションが追加されました。これらのオプションを指定すると、ユーザーまたはグループにバックアップ目的のファイルへのアクセス権限が付与されます。これらのオプションの詳細は、man ページの mount.cifs (8)を参照してください。

バグ修正

BZ#759603

ノードがトークンのタイムアウト期間と同時にクォーラムデバイスとの接続を失った場合に競合状態が発生しました。ノードが fence に競合するため、クラスターに障害が発生する可能性がありました。競合状態が発生しないように、cman および qdiskd インタラクションタイマーが改善されました。

BZ#750314

以前は、起動中のクラスターのパーティションおよびマージが正しく検出されませんでした。その結果、DLM (Distributed Lock Manager)ロックスペース操作が応答しなくなる可能性がありました。この更新により、パーティションおよびマージイベントが検出され、適切に処理されるようになりました。上記のシナリオで、DLM ロックスペース操作が応答しなくなるようになりました。

BZ#745538

qdisk (5) man ページの複数の ping コマンドの例には、-w オプションが含まれていませんでした。オプションなしで ping コマンドを実行すると、アクションがタイムアウトになる可能性があります。今回の更新で、これらの ping コマンドに the -w オプションが追加されました。

BZ#745161

libgfs2 のバグにより、Sentinel ディレクトリーエントリーは実際のエントリーであるかのようにカウントされました。これにより、mkfs.gfs2 ユーティリティーは、大量のジャーナルメタデータブロックが必要な場合（たとえば、ブロックサイズ 512、9 つ以上のジャーナルを持つファイルシステム）が必要な場合に、fsck チェックに合格しないファイルシステムを作成しました。今回の更新で、Sentinel エントリーを処理する際に、ディレクトリーエントリーの数を増やすことを回避できるようになりました。多くのジャーナルメタデータブロックで作成された GFS2 ファイルシステムが、fsck チェックを正常に渡すようになりました。

BZ#806002

ノードが失敗し、フェンシングされると、ノードは通常再起動され、新しい状態でクラスターに参加します。ただし、再参加操作中にブロックが発生すると、ノードはクラスターに再度参加できず、起動時に試行に失敗します。以前は、cman init スクリプトは起動時に発生したアクションを元に戻しず、一部のデーモンがノードで誤って実行されたままになる可能性がありました。エラー発生時に cman init スクリプトが完全なロールバックを実行できるように、基礎となるソースコードが変更されました。このシナリオでは、デーモンが不必要に実行されることはない。

BZ#804938

cluster.conf ファイルの検証に使用される RELAX NG スキーマは、以前は totem.miss_count_const 定数が有効なオプションとして認識しませんでした。その結果、このオプションが使用されていると、ユーザーは cluster.conf を検証できませんでした。このオプションは RELAX NG スキーマで正しく認識され、cluster.conf ファイルを期待どおりに検証できるようになりました。

BZ#819787

cmannotifyd デーモンは、cman ユーティリティーの後に起動されることがよくあります。つまり、cmannotifyd は、起動時に現在のクラスターステータスで通知を受信またはディスパッチしません。今回の更新で、cman 接続ループが変更され、設定およびメンバーシップが変更された通知が生成されるようになりました。

BZ#749864

gfs2_edit コードで free() 関数を誤って使用すると、メモリーリークが発生し、さまざまな問題が発生する可能性があります。たとえば、gfs2_edit savemeta コマンドを実行すると、gfs2_ edit ユーティリティーが応答しなくなったり、予期せず終了したりする可能性があります。この更新で複数のアップストリームパッチが適用されるようになったため、free() 関数が正しく使用され、メモリーリークは発生しなくなります。今回の更新では、gfs2_edit savemeta コマンドの保存統計がより頻繁に報告されるようになりました。これにより、ユーザーは、大量のメタデータを使用して大規模な Dnode を保存するときにプロセスがまだ実行されていることを認識するようになりました。

BZ#742595

以前は、ファイルシステムにリソースグループが 1 つだけ含まれている場合、gfs2_grow ユーティリティーは GFS ファイルシステムを拡張することができませんでした。これは、古いコードが、リソースグループ間の距離を計算し、1 つのリソースグループでのみ機能していた GFS1 （フィールドが異なる）をベースとしていたためです。今回の更新で、libgfs2 に rgrp_size() 関数が追加されました。これは、前のリソースグループから距離を判断するのではなく、リソースグループのサイズを計算します。これで、1 つのリソースグループのみを持つファイルシステムを正常に拡張できるようになりました。

BZ#742293

以前は、基礎となるデバイスに有効な GFS2 ファイルシステムが含まれていない場合に、gfs2_edit ユーティリティーが不明なエラーメッセージを出力していましたが、これは混乱を招く可能性がありました。今回の更新で、前述のシナリオでユーザーに追加情報が提供されるようになりました。

BZ#769400

以前は、mkfs ユーティリティーは、GFS2 ファイルシステムの作成時にエラーメッセージが不十分であることをユーザーに提供していました。メッセージには、絶対ビルドパスおよびソースコード参照も含まれていましたが、これは不要でした。上記のシナリオで包括的なエラーメッセージをユーザーに提供するパッチが適用されました。

BZ#753300

gfs_controld デーモンは、ファイルシステムのマウント中に、 関数で dlm_controld デーモンによって返されるエラーを無視します。これによりマウントは成功しましたが、分散ロックマネージャー(DLM)を使用して GFS ファイルシステムの復元を調整できませんでした。今回の更新で、このような状況ではファイルシステムのマウントが成功しなくなり、代わりにエラーメッセージが返されます。

機能拡張

BZ#675723, BZ#803510

gfs2_convert ユーティリティーを GFS1 ファイルシステムで使用すると、ファイルシステムを GFS1 から GFS2 に変換できます。ただし、gfs2_convert ユーティリティーでは、変換前にユーザーが gfs_fsck ユーティリティーを実行する必要がありましたが、このツールは Red Hat Enterprise Linux 6 に含まれていないため、ユーザーは Red Hat Enterprise Linux 5 を使用してこのユーティリティーを実行する必要がありました。今回の更新で、gfs2_fsck ユーティリティーで、Red Hat Enterprise Linux 6 システムで GFS2 から GFS 2 への完全な変換を実行できるようになりました。

BZ#678372

qdiskd デーモンと device-mapper-multipath ユーティリティーを使用したクラスターのチューニングは非常に複雑な操作であり、以前はこの設定で qdiskd を誤って設定することが容易になり、クラスターノードに障害が生じる可能性があります。qdiskd デーモンの入出力操作が改善され、手動設定なしにマルチパス関連のタイムアウトが自動的に検出されるようになりました。ユーザーは、device-mapper-multipath を使用して qdiskd を簡単にデプロイできるようになりました。

BZ#733298, BZ#740552

以前は、cman ユーティリティーは corosync で Redundant Ring Protocol (RRP)を正しく設定できず、RRP デプロイメントが無駄に機能しませんでした。今回の更新により、cman が改善され、RRP を適切に設定し、ユーザー設定に対して追加のサニティチェックを実行できるようになりました。RRP を使用してクラスターをデプロイすることが容易になり、ユーザーにはより広範なエラーレポートが提供されるようになりました。

BZ#745150

今回の更新により、Red Hat Enterprise Linux High Availability が VMware vSphere 5.0 リリースに対して検証されるようになりました。

BZ#749228

今回の更新により、fence_scsi フェンシングエージェントが高可用性 LVM (HA-LVM)を使用する 2 ノードクラスターで使用できるように検証されました。

BZ#758127

以前は、プログラム /etc/sysconfig/pacemaker からの環境変数 LRMD_MAX_CHILDREN が適切に評価されませんでした。その結果、ローカルリソース管理デーモン(lrmd)の max_child_count 変数は変更されませんでした。今回の更新によりバグが修正され、環境変数 LRMD_MAX_CHILDREN が期待どおりに評価されるようになりました。

BZ#786746

以前は、操作の実行中に Pacemaker が定期的な操作をキャンセルしようとすると、ローカルリソース管理デーモン(lrmd)が操作を正しくキャンセルしませんでした。その結果、操作は繰り返しリストから削除されませんでした。今回の更新により、実行中にキャンセルされた操作がキャンセルされた場合、キャンセルされた操作が繰り返し操作リストから削除されるようにマークされるようになり、繰り返しキャンセルされた操作が再度実行されなくなりました。

BZ#742431

この更新が行われる前は、特定の状況では、modclusterd サービスのノード間の通信での出力キューが時間の経過とともに増加する可能性がありました。この動作を防ぐために、ノード間の通信のバランスが向上し、キューのサイズが制限されるようになりました。強制キューの介入は /var/log/clumond.log ファイルに記録されます。

BZ#794907

clustermon ユーティリティーを使用してサーバーからクラスタースキーマを取得すると、スキーマが無効な形式で返され、それ以上の処理が妨げられました。このバグは修正され、clustermon は上記のシナリオでスキーマの正確なコピーを提供するようになりました。

バグ修正

BZ#878373

以前は、fenced デーモンは、安全でないパーミッションを持つログファイルを作成しました。この更新により、パスワード、ユーザー名、IP アドレスなどの機密データはファイルに保存されませんでしたが、この更新では適切なパーミッションでログファイルが作成されます。既存のログファイルのパーミッションも、必要に応じて自動的に修正されます。

バグ修正

BZ#849049

以前は、dlm_controld デーモンに起動オプションを指定できませんでした。そのため、特定の機能が期待どおりに機能しませんでした。今回の更新で、/etc/sysconfig/cman 設定ファイルを使用して dlm_controld 起動オプションを指定できるようになり、このバグが修正されました。

バグ修正

BZ#982699

以前は、cman init スクリプトはロックファイルを正しく処理しませんでした。ノードの再起動中に、ノード自体が他のメンバーによってクラスターからエビクトされる可能性がありました。今回の更新で、cman init スクリプトはロックファイルを正しく処理し、クラスターの他のノードがフェンシングアクションを実行しなくなりました。

BZ#738967

ユーザーは開かれているファイルの最大数を設定できるようになりました。これにより、conman デーモンが多数のノードを簡単に管理できるようになります。

BZ#771600

以前のバージョンの control-center パッケージには、Red Hat Enterprise Linux 6 でも配布されていないソフトウェアコンポーネントを必要とするスクリプトである gnome-at-mobility が含まれていました。今回の更新により、機能以外の gnome-at-mobility スクリプトが削除され、control-center パッケージの一部として配布されなくなりました。

BZ#524942

バックグラウンド設定ツールは、XDG Base Directory Specification を使用して、データファイルを保存する場所を決定するようになりました。デフォルトでは、このファイルは ~/.config/gnome-control-center/backgrounds.xml にあります。ユーザーは、XDG_DATA_HOME 環境変数を設定することで ~/.config/ 接頭辞を変更するか、GNOMECC_USE_OLD_BG_PATH 環境変数を 1 に設定して以前の動作を復元し、～/.gnome2/backgrounds.xml ファイルを使用します。

BZ#632680

control-center-extra パッケージに、GNOME コントロールセンター シェルが追加されました。このシェルは、さまざまなコントロールセンターユーティリティーを起動するためのユーザーインターフェイスを提供します。

BZ#769465、BZ#801363

GNOME コントロールセンターで、wacompl ユーティリティーに代わる Wacom グラフィックタブレットの設定ユーティリティーが提供されるようになりました。

BZ#700907

この更新以前は、カードに 3 つ以上の証明書が含まれない限り、Coolkey は Spice 仮想化 CAC カードを認識しませんでした。今回の更新でこの問題が修正され、1 つまたは 2 つの証明書を持つカードが期待どおりに Coolkey によって認識されるようになりました。この問題は、仮想化されていない CAC カードにも影響を及ぼしている可能性があることに注意してください。

BZ#713132

特定のエラー状態では、変数バッファーが正しく解放されなかったため、Coolkey のメモリーデータが漏洩する可能性がありました。今回の更新で、前述のバッファーが適切に解放され、メモリーリークは発生しなくなります。

BZ#772172

制御および印刷されていない文字を表示するための "pr -c [filename]" コマンドと "pr -v [filename]" コマンドを使用すると、pr ユーティリティーがマルチバイトロケールでのセグメンテーションフォールトで終了します。今回の更新により、基礎となるコードが変更され、pr ユーティリティーが期待どおりに機能するようになりました。

BZ#771843

ls コマンドの -Z オプションでは、最後の形式オプションのみが考慮されておらず、ユーザーは ls -Zl と ls -lZ コマンドが別の出力を返した理由を理解していませんでした。今回の更新により、ls info ドキュメントが改善されました。

BZ#769874

"tail --follow" コマンドは、inotify API を使用してファイルの変更に従います。ただし、inotify はリモートファイルシステムでは機能せず、tail ユーティリティーはそのようなファイルシステムのファイルをポーリングする必要があります。リモートファイルシステム GPFS および FhGFS がリモートファイルシステムリストに欠落していたため、"tail --follow" はこれらのファイルシステムのファイルの更新を表示しませんでした。これらのファイルシステムはリモートファイルシステムリストに追加され、問題は発生しなくなります。

BZ#751974

SELinux が有効になっている場合、ls -l コマンドは、コマンドラインで指定された空でないディレクトリー名ごとに 1 つの文字列をリークしました。今回の更新により、このような文字列はメモリーから解放され、問題は発生しなくなります。

BZ#754057

su ユーティリティーは、SIG_CHLD シグナルを無視したプロセスを実行すると、応答しなくなる可能性がありました。これは、su ユーティリティーが waitpid （）関数を使用して子プロセスを待機するために発生しました。waitpid （）関数を使用するループメカニズムは、プロセスが停止状態になるのを待機しています。ただし、SIG_CHLD シグナルをマスクするプロセスはこのステータスになることはありません。今回の更新により、この状況を正しく処理するようにループメカニズムが改善され、問題が発生しなくなりました。

BZ#804604

非対話的な tcsh シェルでは、colorls.csh スクリプトは次のエラーを返しました：tput: No value for $TERM and no -T specified

これは、tcsh シェルが colorls.csh 式で論理 AND の評価を短くしなかったために発生しました。今回の更新により、インタラクティブシェルのチェックが変更され、スクリプトはエラーメッセージを返しなくなりました。

BZ#766461

デフォルトのリストで、df ユーティリティーは、UUID を含む長いファイルシステム名を表示していました。その結果、ファイルシステム名に続く列が右にプッシュされ、df 出力の読み取りが困難になりました。UUID システム名がより一般的になる限り、df は、長い名前がシンボリックリンクを参照する場合に参照情報を出力するようになり、ファイルシステムが指定されなくなりました。

BZ#691466

ユーザーは、chmod ツールを使用してディレクトリーに特別な set-user-id および set-group-id ビットをクリーンアップするときに、8 進数の数字モードを使用することができませんでした。これはアップストリームの変更ですが、以前のすべての Red Hat Enterprise Linux リリースで可能でしたため、後方互換性を提供する必要があります。したがって、chmod ツールでは、8 進数の数字モードが少なくとも 5 桁の場合に、ユーザーが 8 進数の数字モードを使用してディレクトリーの特別なビットをクリアできるようになりました。

バグ修正

BZ#849554

以前は、dbus 出力が有効になっている corosync-notifyd デーモンは、メッセージが dbus 経由で送信されるたびに 0.5 秒待機していました。そのため、corosync-notifyd は、Corosync サーバー集約の出力とメモリーを生成する際に非常に遅くなっていました。さらに、corosync-notifyd が強制終了されると、そのメモリーは解放されませんでした。今回の更新により、corosync-notifyd がこれらの半秒の遅延で動作の速度を低下させなくなり、Corosync が IPC クライアントの終了時にメモリーを適切に解放するようになりました。

BZ#741455

mainconfig モジュールは、corosync ログファイルを開く関数に誤った文字列ポインターを渡しました。(cluster.conf 内の)ファイルへのパスが存在しないディレクトリーが含まれる場合、設定ファイルエラーがあったことを示す誤ったエラーメッセージが返されました。ログファイルを作成できないことをユーザーに通知する正しいエラーメッセージが返されるようになりました。

BZ#797192

coroipcc ライブラリーは、/dev/shm 共有メモリーファイルシステムに保存されている IPC (Inter-Process Communication)接続に使用される一時バッファーを削除しませんでした。/dev/shm メモリーリソースが完全に使用され、サービス拒否イベントが発生していました。ライブラリーが変更され、corosync サーバーによってバッファーが削除されない場合にアプリケーションが一時バッファーを削除するようになりました。/dev/shm システムは、不要のデータで分かりにくくなりました。

BZ#758209

update_aru （）関数の範囲条件により、メッセージ ID の誤ったチェックが行われる可能性があります。corosync ユーティリティーは "FAILED TO RECEIVE" 状態になり、マルチキャストパケットの受信に失敗しました。update_aru （）関数の範囲値はチェックされなくなり、チェックは fail_to_recv_const 定数を使用して実行されます。

BZ#752159

corosync-notifyd デーモンが長時間実行している場合は、corosync プロセスが過剰な量のメモリーを消費しました。これは、corosync-notifyd デーモンが、使用されない corosync オブジェクトが削除されたことを示すことができず、メモリーリークが発生していました。corosync-notifyd デーモンが修正され、corosync-notifyd が長期間実行している場合、corosync のメモリー使用量が増加しなくなりました。

BZ#743813

大規模なクラスターが起動するか、複数の corosync インスタンスが同時に起動されると、CPG (Closed Process Group)イベントはユーザーに送信されませんでした。そのため、ノードは利用不可として誤って検出されるか、またはクラスターを離れて再参加するものとしてした。CPG サービスはそのようなシナリオで終了コードを適切にチェックし、CPG イベントが期待どおりにユーザーに送信されるようになりました。

BZ#743815

OpenAIS EVT (Eventing)サービスにより、タイマーとロックのシリアライズ間で corosync でデッドロックが発生することがありました。ロックの順序が変更され、バグが修正されました。

BZ#743812

corosync が過負荷になると、通知なしに IPC メッセージが失われる可能性があります。これは、一部のサービスが totem_mcast （）関数によって返されるエラーコードを処理しなかったために発生しました。IPC を使用するアプリケーションは、IPC メッセージを適切に送信できず、メッセージを再送信してみてください。

BZ#747628

corosync パッケージおよび cman RPM パッケージの両方が 1 つのシステムにインストールされている場合、RPM 検証プロセスに失敗していました。これは、両方のパッケージが同じディレクトリーを所有するが、それに異なる権限を適用するために発生しました。RPM パッケージには同じ権限があり、RPM 検証は失敗しなくなりました。

BZ#752951

getaddrinfo （）関数でメモリーリークしたため、corosync は過剰なメモリーを消費しました。メモリーは freeadrrinfo （）関数を使用して解放され、getaddrinfo （）はメモリーをリークしなくなりました。

BZ#773720

objdb 構造のメモリー破損により、実行時にデバッグログをアクティブまたは非アクティブにすることはできませんでした。デバッグロギングは、たとえば "corosync-objctl -w logging.debug=off" コマンドで、実行時にアクティブまたは非アクティブにできるようになりました。

BZ#743810

各 IPC 接続はスタックで 48 K を使用します。以前は、スタックサイズが縮小されたマルチスレッドアプリケーションが正しく機能せず、過剰なメモリー使用量が発生していました。ヒープの一時的なメモリーリソースは IPC 接続に割り当てられるようになり、マルチスレッドアプリケーションは IPC 接続のスタックサイズを正当化する必要がなくなります。

バグ修正

BZ#929100

Corosync IPC ライブラリーを使用するアプリケーションを実行すると、Dispatch （）関数の一部のメッセージが損失または複製されました。この更新では、dispatch_put （）関数の戻り値を適切にチェックし、IPC リングバッファーの正しい残りのバイトを返し、IPC クライアントがリングバッファー内のメッセージ数について正しく通知されていることを確認します。今回のリリースより、Dispatch （）関数のメッセージは損失したり、重複したりしなくなりました。

バグ修正

BZ#866467

以前は、cpio コマンドはアーカイブ操作中に 155 バイトを超えるファイル名を 2 つの部分に分割できませんでした。その結果、セグメンテーションフォールトで cpio が予期せず終了する可能性があります。このバグは修正され、cpio はクラッシュすることなく長いファイル名を処理するようになりました。

BZ#746209

今回の更新以前は、--to-stdout および --no-absolute-filenames のオプションは cpio (1) man ページに表示されませんでした。この更新には、欠落しているオプションが含まれ、いくつかの誤プリントが修正されています。

バグ修正

BZ#642838

今回の更新以前は、PCC ドライバーはロード時に ondemand ガバナーではなく、ユーザースペースガバナーを使用していました。今回の更新で、init スクリプトも PCC ドライバーをチェックするように変更されています。

BZ#738463

この更新より前は、cpuspeed init スクリプトは、非推奨の手順であったコアごとに cpufrequency システムファイルの設定を試みていました。この更新では、しきい値がグローバルに設定されます。

BZ#616976

この更新以前は、設定ファイルが空であったときに、cpuspeed ツールは MIN および MAX 値をリセットしませんでした。その結果、MIN_SPEED または MAX_SPEED 値は期待どおりにリセットされませんでした。この更新により、これらの値をチェックするために、init スクリプトに条件が追加されます。MIN_SPEED または MAX_SPEED の値は期待どおりにリセットされるようになりました。

BZ#797055

この更新より前は、init スクリプトは期待どおりに IGNORE_NICE パラメーターを処理しませんでした。その結果、IGNORE_NICE パラメーターの設定時に -n がコマンドオプションに追加されました。今回の更新で、IGNORE_NICE パラメーターを使用するときに NICE オプションの追加を停止するように init スクリプトが変更されました。

BZ#754291

カーネルが Completely Fair Scheduler (CFS) Group Scheduling 機能を有効にし(CONFIG_FAIR_GROUP_SCHED=y)で設定されている場合、クラッシュユーティリティーの runq コマンドは CPU 実行キュー内のすべてのタスクを表示しませんでした。今回の更新で、crash ユーティリティーが変更され、実行キューのすべてのタスクが期待どおりに表示されるようになりました。また、"-d" オプションが "runq" コマンドに追加されました。これにより、/proc/sched_debug ファイルと同じデバッグ情報が提供されます。

BZ#768189

以前は、"bt" コマンドは、Intel 64 アーキテクチャーおよび AMD64 アーキテクチャーで、再帰的なマスク不可割り込み(NMI)を正しく処理しませんでした。その結果、特定の状況では、"bt" コマンドは無限ループでタスクのバックトレースを表示することができました。今回の更新で、crash ユーティリティーが変更され、NMI ハンドラーでの再帰を認識し、バックトレースが無限に表示されなくなりました。

BZ#782837

特定の状況では、圧縮された kdump コアファイルのヘッダーにある "elf_prstatus" エントリーの数が、システムがクラッシュしたときに実行される CPU の数と異なる場合があります。このようなコアファイルが crash ユーティリティーにより分析された場合は、タスクのバックトレースを表示する際にセグメンテーション違反でクラッシュが予期せず終了しました。今回の更新でコードが変更され、このシナリオで "bt" コマンドが想定どおりにバックトレースが表示されるようになりました。

BZ#797229

コードの最近の変更により、crash ユーティリティーが 64 ビット PowerPC アーキテクチャーの圧縮された kdump ダンプファイルを 32 ビット PowerPC アーキテクチャーのダンプファイルとして誤って認識していました。これにより、初期化中に crash ユーティリティーが失敗していました。今回の更新で問題が修正され、crash ユーティリティーが 32 ビットおよび 64 ビット PowerPC アーキテクチャーの圧縮された kdump ダンプファイルを期待どおりに認識および分析するようになりました。

BZ#817247

crash ユーティリティーは、ユーザーページがスワップアウトされたか、IBM System z アーキテクチャーでマッピングされなかった状況を正しく処理しませんでした。その結果、vm -p コマンドが失敗し、読み取りエラーが発生したか、スワップデバイスのオフセット va1lue が正しく設定されていました。この更新により、crash はスワップデバイスの正しいオフセット値を表示するか、ユーザーページがマッピングされていないことを正しく表示します。

BZ#817248

crash ユーティリティーは、IBM System z アーキテクチャーのライブシステムのアクティブなタスクで "bt -t" および "bt -T" コマンドが実行された場合の状況を正しく処理しませんでした。その結果、コマンドは bt: invalid/stale スタックポインターのエラーメッセージと共に失敗していました。今回の更新で、ソースコードが変更され、"bt -t" および "bt -T" コマンドが想定どおりに実行されるようになります。

BZ#736884

この更新により、crash が、Fujitsu Stand Alone Dump 機能によって作成された sadump ダンプファイル形式をサポートするようになりました。

BZ#738865

crash ユーティリティーが、IBM System z の ELF kdump および圧縮された kdump ダンプファイル形式を完全にサポートするように変更されました。

BZ#739096

makedumpfile 機能を使用して、ダンプファイルの作成時に特定のカーネルデータをフィルターにちなすことができます。これにより、crash ユーティリティーが予期しない動作をする可能性があります。今回の更新で、カーネルの一部が消去または makedumpfile で除外された場合に、crash ユーティリティーが早期の警告メッセージを表示するようになりました。

BZ#729018

以前は、crash-trace-command パッケージの trace.so バイナリーは、-g オプションなしで GCC コンパイラーによってコンパイルされていました。したがって、関連する trace.so.debug ファイルにデバッグ情報は含まれていませんでした。これにより、自動バグ報告ツール(ABRT)とその再トレースサーバーによって実行されるクラッシュ分析に影響を及ぼす可能性があります。また、この状況では、GDB ユーティリティーを使用したクラッシュの適切なデバッグはできませんでした。この更新により、crash-trace-command の Makefile が変更され、trace.so バイナリーを RPM_OPT_FLAGS フラグでコンパイルし、コンパイル中に GCC の -g オプションが使用されるようになります。デバッグとクラッシュ分析が想定どおりに実行できるようになりました。

BZ#623105

今回の更新以前は、modifyrepo.py スクリプトのシバン行に #!/usr/bin/env python が含まれていたため、システムパスを使用して Python 実行可能ファイルが検索されていました。別のバージョンの Python がシステムにインストールされているときに /usr/local/python が PATH 環境変数に指定されていた場合、スクリプトは Python の互換性の問題が原因で機能しませんでした。今回の更新で、シバンの行が #!/usr/bin/python に変更され、Python のシステムバージョンが常に使用されるようになりました。

BZ#746648

一部の設定では、cryptsetup ユーティリティーが誤って major:minor デバイスのペアを /dev/ ディレクトリー内のデバイス名に変換されました（例：HP Smart Array デバイス）。今回の更新で、この問題に対処するために基礎となるソースコードが変更され、cryptsetup ユーティリティーが期待どおりに機能するようになりました。(BZ#755478)*cryptsetup status コマンドのデバイス引数に /dev/mapper/ 接頭辞が含まれている場合に、コマンドの出力で接頭辞が重複しました。出力が修正され、重複した文字列が含まれなくなりました。

BZ#794888

この更新より前は、ctdb サービスの起動時に、ctdb 作業ディレクトリー、すべてのサブディレクトリー、およびその中のファイルが誤った SELinux コンテキストで作成されていました。今回の更新では、インストール後のスクリプトを使用して ctdb ディレクトリーを作成し、コマンド /sbin/restorecon -R /var/ctdb が適切な SELinux コンテキストを設定します。

バグ修正

BZ#854472

以前は、最初に認証が提供されていない場合（または要求されても）、cups は正しい "unauthorized" ステータスではなく、forbidden ステータスを返していました。そのため、Web ユーザーインターフェイスを使用したキュー間でのジョブの移動の試行など、特定の操作は失敗していました。このバグに対処するためのアップストリームパッチが提供され、cups が上記のシナリオで正しいステータスを返すようになりました。

バグ修正

BZ#873592

以前は、LDAP 参照が有効になっていると、LDAP クエリーに使用されるオブジェクトの 1 つが 2 回解放され、これにより cupd サービスがセグメンテーションフォールトで予期せず終了していました。さらに、参照された LDAP キューの名前は、1 文字で切り捨てられていました。そのため、名前が指定された複数の印刷キューが最後の文字でのみ定義されている場合、印刷キューが 1 つだけリストされました。今回の更新で、これらの問題を解決するアップストリームパッチがバックポートされ、cupsd サービスがクラッシュしなくなり、LDAP 印刷キューが正しく表示されるようになりました。

BZ#738410

この更新より前は、単一のコピーが要求されたときに、textonly のフィルターが常に出力を正しく生成しませんでした。テキストのみのフィルターは、あるコピーの出力を一時ファイルにスプールし、その一時ファイルのコンテンツを必要に応じて何度か送信することで、単一または複数のコピーの出力を生成します。ただし、PostScript Printer Description (PPD)フィルターとしてではなく MIME タイプの変換にフィルターが使用され、単一のコピーが要求された場合、一時ファイルは作成されず、プログラムは No such file or directory メッセージと共に失敗しました。今回の更新で、指定されたコピーの数に関係なく、一時ファイルを作成するように、テキストのみのフィルターが変更されました。データは期待どおりにプリンターに送信されます。

BZ#738914, BZ#740093

以前は、(lp /dev/null を実行するなどして)出力される空のファイルを送信するか、標準入力として空のファイルを指定することで、lp コマンドを使用して空のジョブを作成できました。このようにして、ジョブは作成されましたが、処理されなかった。今回の更新により、空の印刷ジョブの作成は許可されず、ユーザーはリクエストにファイルが存在しないことを通知するようになりました。

BZ#806818

Web インターフェイスの検索ページテンプレートのドイツ語変換には、検索機能が正常に機能しなくなるというエラー(CUPS Web インターフェイスでのプリンターの検索が失敗)が表示され、ブラウザーにエラーメッセージが表示されました。検索テンプレートのバグが修正され、このシナリオでドイツ語ロケールの検索機能が期待どおりに機能するようになりました。

バグ修正

BZ#671145

今回の更新以前は、C シェル(csh)は CVS_RSH 環境変数を ssh に設定しておらず、ユーザーがリモート CVS サーバーにアクセスするときにリモートシェル(rsh)が使用されていました。そのため、リモートシェルが暗号化されていないか、またはすべてのリモートサーバーで必ずしも有効になっているわけではないため、接続は攻撃に対して脆弱でした。cvs.csh スクリプトは有効な csh 構文を使用するようになり、CVS_RSH 環境変数がログイン時に適切に設定されるようになりました。

BZ#695719

この更新以前は、xinetd パッケージは cvs パッケージの依存関係ではありませんでした。その結果、CVS サーバーにはネットワーク経由でアクセスできませんでした。今回の更新により、CVS inetd 設定ファイルを含む cvs-inetd パッケージにより、xinetd パッケージが依存関係としてインストールされ、xinetd デーモンがシステムで利用可能になります。

バグ修正

BZ#878357

以前は、GSSAPI プラグインは、クライアントが接続された時間全体で認証情報を開いたままにしていました。これらのハンドルは、Kerberos 再生キャッシュ構造へのポインターを保持します。再生キャッシュがファイルの場合、その構造にはオープンファイル記述子が含まれます。GSSAPI を使用したクライアントが多すぎると、ファイルハンドルが不足する可能性がありました。その結果、再起動するまでクライアントが応答しなくなることがありました。今回の更新により、プラグインがセキュリティーコンテキストを取得する直後に GSSAPI 認証情報ハンドルが閉じられたため、このバグを防ぐことができます。

バグ修正

BZ#706147

今回の更新以前は、ダッシュシェルは許可されたログインシェルではありませんでした。その結果、ユーザーはダッシュシェルを使用してログインできませんでした。今回の更新で、ダッシュパッケージをインストールまたはアップグレード時に、許可されたログインシェルの /etc/shells リストにダッシュが追加され、パッケージをアンインストールするときにリストから削除されます。これで、ユーザーはダッシュシェルを使用してログインできるようになりました。

BZ#784662

db4 スペックファイルは単に "BSD" であることを誤って示しましたが、BSD と Sleepycat ライセンスの両方でライセンスが当てられていますが、再配布句を含めることで Berkeley Software Distribution (BSD)ライセンスの後者は、Berkeley Software Distribution (BSD)ライセンスとは異なります。この更新により仕様ファイルが修正され、db4 ソフトウェアが Sleepycat および BSD ライセンスの下に提供されることが正しく示されるようになりました。

バグ修正

BZ#1012586

mutex の初期化呼び出しの順序が正しくないため、特定の状況でも rpm ユーティリティーが終了するまで応答しなくなりました。今回の更新で、mutex 初期化呼び出しの順序が修正されました。その結果、rpm ユーティリティーが応答しなくなることはなくなりました。

セキュリティーの修正

CVE-2012-3524

D-Bus ライブラリーは、昇格された権限で実行している場合でも、環境設定を尊重していることが発見されました。ローカル攻撃者は、この不具合を利用して、D-Bus ライブラリー(libdbus)に対してリンクされた setuid または setgid アプリケーションを実行する前に特定の環境変数を設定することで、権限を昇格する可能性があります。

バグ修正

BZ#837594

マルチパスベクトル（動的に割り当てられたアレイ）が小さいサイズにサイズ変更されると、device-mapper-multipath はアレイにポインターを再割り当てしませんでした。アレイの場所のサイズが縮小することで変更された場合、device-mapper-multipath がメモリーが破損していました。今回の更新で、device-mapper-multipath はこのシナリオでポインターを正しく再割り当てし、メモリー破損は発生しません。

バグ修正

BZ#812832

multipathd デーモンは、シャットダウン中にウェイタースレッドを正しく停止しませんでした。ウェイタースレッドが解放されたメモリーにアクセスし、シャットダウン中にデーモンが予期せず終了する可能性があります。今回の更新により、mutlipathd デーモンは、解放されたメモリーにアクセスする前に待機スレッドを正しく停止し、シャットダウン中にクラッシュしなくなりました。

BZ#662433

デバイスマッパーマルチパスが停止する と、multipathd はデフォルトでマルチパスデバイスの queue_if_no_path オプションを無効にしませんでした。シャットダウン中に multipathd が停止すると、デバイスへのすべてのパスが失われ、シャットダウンプロセスが応答しなくなった場合に、デバイスの I/O がキューに追加されました。この更新により、multipathd は、デフォルトで queue_without_daemon オプションを no に設定するようになりました。その結果、multipathd が停止し、マルチパスが期待どおりにシャットダウンした場合に、すべてのマルチパスデバイスがキューを停止するようになりました。

BZ#752989

Device Mapper Multipath は、組み込みデバイス設定で正規表現を使用して、マルチパスデバイスを決定し、正しい設定をデバイスに適用します。以前は、デバイスのベンダー名と製品 ID を解決するための一部の正規表現では、十分ではありませんでした。その結果、一部のデバイスが誤ったデバイス設定と一致する可能性がありました。今回の更新で、製品およびベンダーの正規表現が変更され、すべてのマルチパスデバイスが適切に設定されるようになりました。

BZ#754586

デバイスの名前を変更すると、multipathd と udev の間に競合状態があり、新しいマルチパスデバイスノードの名前が変更されました。udev が最初にデバイスノードの名前を変更すると、multipathd は udev によって作成されたデバイスを削除し、新しいデバイスノードを作成できませんでした。この更新により、multipathd は新しいデバイスノードをすぐに作成し、競合状態は発生しません。その結果、名前を変更したデバイスが期待どおりに利用できるようになりました。

BZ#769527

以前は、flush_on_last_dev 処理コードはキュー機能の処理を適切に実装しませんでした。したがって、flush_on_last_del 機能がアクティブ化されていても、最後のパスデバイスが削除された直後に削除できなかったマルチパスデバイスで、multipathd を再度有効にしました。今回の更新でコードが修正され、ユーザーが flush_on_last_del を設定すると、デバイスをすぐに閉じることができない場合でも、マルチパスデバイスはキューイングを正しく無効にするようになりました。

BZ#796384

以前は、Device Mapper Multipath は固定サイズのバッファーを使用して、Virtual Device Identification ページ [0x83] を読み取っていました。バッファーサイズはデバイスによって送信されるデータに対応しなくなり、ALUA （非対称論理ユニットアクセス）の優先順位が失敗しました。デバイスマッパーマルチパスは、Virtual Device Identification ページに十分な大きさのバッファーを動的に割り当てるようになり、説明されているシナリオで ALUA プライオリタイザーが失敗しなくなりました。

BZ#744210

以前は、multipathd はデフォルトで max_fds オプションを設定していませんでした。これにより、multipathd が開くことができるファイル記述子の最大数を設定していました。また、user_friendly_names 設定は、/etc/multipath.conf の defaults セクションでのみ設定できます。ユーザーは、max_fds を手動で設定し、デバイス固有の設定で デフォルトの user_friendly_names 値を上書きする必要がありました。今回の更新で、マルチパスはデフォルトで max_fds をシステムの最大値に設定するようになり、user_friendly_names を multipath.conf の devices セクションで設定できるようになりました。ユーザーは大規模なセットアップに max_fds を設定する必要はなく、デバイスタイプごとに user_friendly_names を選択できるようになりました。

BZ#744756

以前は、組み込み設定を変更するには、ユーザーの設定のベンダー文字列と製品ストリングが、組み込み設定のベンダー文字列と製品文字列と同じである必要がありました。ベンダーと製品文字列は正規表現であり、ユーザーは組み込み設定の変更に必要な正しいベンダーと製品文字列を認識しているわけではありません。今回の更新により、hwtable_regex_match オプションが multipath.conf のデフォルトセクションに追加されました。yes に設定すると、Multipath は正規表現の一致を使用して、ユーザーのベンダーと製品文字列が組み込みのデバイス設定文字列と一致するかどうかを判断します。ユーザーはデバイス設定でハードウェアから実際のベンダーおよび製品情報を使用でき、そのデバイスのデフォルト設定が変更されます。デフォルトでは、このオプションは no に設定されています。

BZ#750132

以前は、multipathd は非推奨の OOM (Out-of-Memory)調整インターフェイスを使用していました。その結果、デーモンは OOM killer から適切に保護されませんでした。OOM killer はメモリーが低い場合にデーモンを強制終了する可能性があり、ユーザーは失敗したパスを復元できませんでした。今回の更新で、multipathd が新しい Out-of-Memory adjustment インターフェイスを使用するようになり、Out-of-Memory killer によって強制終了されなくなりました。

BZ#702222

multipath.conf ファイルにコメントが追加されました。このファイルには、変更を有効にするために設定をリロードする必要があることをユーザーに通知します。

BZ#751938

multipath -h （印刷の使用）が実行されると、multipathd デーモンがコード 1 で誤って終了しました。この更新により、基礎となるコードが変更され、上記のシナリオで期待どおりに、multipathd がコード 0 を返すようになりました。

BZ#751039

一部の multipathd スレッドでは、実行を開始する前に、multipathd がシャットダウンしたかどうかを確認しませんでした。その結果、シャットダウン時にセグメンテーション違反により、multipathd デーモンが予期せず終了する可能性があります。この更新により、multipathd スレッドは、実行をトリガーする前に multipathd がシャットダウンしているかどうかをチェックするようになりました。また、multipathd はシャットダウン時にセグメンテーション違反で終了しなくなりました。

BZ#467709

複数のノードが同じストレージを使用している場合、multipathd デーモンには、パスグループの切り替えを処理するフェイルオーバー方法がありませんでした。したがって、1 つのノードが論理ユニットへの優先パスへのアクセスを失うが、他のノードの優先パスが保持されると、multipathd はパスグループ間の切り替えを元に戻す可能性がありました。今回の更新で、followover フェイルバックメソッドが device-mapper-multipath に追加されました。followover フェイルバックメソッドが設定されている場合、multipathd がオンラインに戻らない限り、multipathd は優先パスグループにフェイルバックしません。複数のノードが同じストレージを使用している場合、1 台のマシンでパスが失敗しても、パスグループが継続的に戻り戻っても切り替えられることはなくなりました。

機能拡張

BZ#737051

RDAC (Redundant Disk Array Controller)チェッカーおよび prioritizer のドキュメントに NetApp ブランド名が追加されました。

BZ#788963

Fujitsu ETERNUS の組み込みデバイス設定が追加されました。

BZ#760852

マルチパスチェッカーの設定が tur に設定されている場合、チェックは非同期で実行されませんでした。デバイスが失敗し、チェッカーが SCSI レイヤーのフェイルバックを待機している場合は、他のパスのチェックは待機したままになっていました。チェッカーは、パスを非同期的にチェックするために書き直され、他のパスのパスチェックは期待どおりに続行されます。

BZ#799908

IBM XIV Storage System の組み込み設定が追加されました。

BZ#799842

NetApp LUN の組み込み設定は、デフォルトで tur パスチェッカーを使用するようになりました。また、flush_on_last_del が有効になり、dev_loss_tmo は infinity に設定され、fast_io_fail_tmo は 5 に設定され、pg_init_retries は 50 に設定されています。

セキュリティーの修正

CVE-2012-3571

dhcpd デーモンが長さゼロのクライアント識別子を処理する方法で、サービス拒否の欠陥が見つかりました。リモートの攻撃者は、この脆弱性を使用して、特別に細工されたリクエストを dhcpd に送信する可能性があり、無限ループに入り、CPU 時間を過剰に消費する可能性があります。

CVE-2012-3954

dhcpd デーモンに 2 つのメモリーリークの不具合が見つかりました。リモートの攻撃者はこの脆弱性を利用して、多数の DHCP 要求を送信することで、dhcpd が利用可能なすべてのメモリーを使い切る可能性があります。

BZ#656339

以前は、アドレスの取得または更新で dhclient が失敗すると、他の dhclient プロセスが実行されている場合でも、バックアップから resolv.conf ファイルが復元されていました。その結果、ネットワークトラフィックが不必要に中断される可能性があります。dhclient-script のバグが修正され、dhclient が他に dhclient プロセスが実行されていない場合に、バックアップから resolv.conf を復元するようになりました。

BZ#747017

dhcpd が dhcpd.conf の slp-service-scope オプションを解析しようとすると、バグにより dhcpd プロセスで無限ループが発生していました。その結果、dhcpd は、起動時に CPU サイクルの 100% を消費する時に無限ループに入ります。今回の更新でコードが改善され、問題は発生しなくなります。

BZ#752116

以前は、DHCPv4 クライアントは、DHCPACK メッセージで受信したアドレスがすでに使用されているかどうかを確認しませんでした。その結果、2 つのクライアントの再起動後に、競合する IP アドレスが同じである可能性がありました。今回の更新により、バグが修正され、RFC 2131 に従って DHCPACK で受信されるアドレスがすでに使用されている場合、DHCPv4 クライアントが重複したアドレス検出(DAD)を実行するようになり、DHCPDECLINE メッセージを送信するようになりました。

BZ#756759

dhclient が "-1" コマンドラインオプションで呼び出されると、リースを 1 回取得し、ステータスコード 2 で終了しようとするとします。以前は、コマンドラインオプションを -1" で dhclient を呼び出してから、DHCPDECLINE メッセージを発行した場合、リースの取得を試みて続行されました。今回の更新で、dhclient コードが修正されました。その結果、dhclient はリースの取得の試行を停止し、-1" オプションで開始したときに DHCPDECLINE を送信した後に終了します。

BZ#789719

以前は、dhclient は、3 以下の値（秒）を持つ-timeout オプションで開始すると、DHCPDISCOVER メッセージを無限ループで送信していました。今回の更新により、問題が修正され、-timeout オプションがすべての値で期待どおりに機能するようになりました。

BZ#790686

DHCP サーバーデーモンは、ポート 647 および 847 を再予約するためにポートreserve を使用して、他のプログラムがそれらを占有しないようにするようになりました。

BZ#798735

ブートファイルパラメーターオプションを除く RFC5970 で定義されているすべての DHCPv6 オプションが実装されました。これにより、DHCPv6 サーバーは、システムのアーキテクチャーに基づいて、IPv6 ベースのネットブートクライアント(UEFI)にブートファイル URL を渡すことができます。

バグ修正

BZ#736074

この更新より前は、最初のテーブルサイズが 1024 バケットを超えると、メモリーが破損していました。今回の更新で libdhash が変更され、大きな初期テーブルサイズがメモリーを正しく割り当てるようになりました。

BZ#801393

この更新より前は、バッファーがいっぱいになり、関数 path_concat （）によって調整される 2 つの文字列の組み合わせが宛先バッファーのサイズを超えた場合、割り当てられたサイズが null 用語に設定されていました。今回の更新で、基礎となるコードが変更になり、バッファーの終了後に null 用語が追加されなくなりました。

BZ#729971

今回の更新以前は、RAID セットのデバイスジオメトリーが適切に設定されていないため、grub のインストールは dmraid ミラー上で警告なしで失敗していました。その結果、設定したパーティションの MBR の作成に失敗し、パーティションは起動できませんでした。この更新により、基礎となるコードが変更され、dmraid デバイスのジオメトリーが正しく設定されます。

BZ#729032

dmraid バイナリーは gcc の -g オプションなしでコンパイルされ、debuginfo ファイルには.debug_info セクションが含まれていませんでした。その結果、デバッグ情報を生成し、dmraid を正しくデバッグできませんでした。今回の更新で、バイナリーが適切なデバッグオプションでコンパイルされ、問題は発生しなくなります。

BZ#701501

dmraid ツールが 4 KB セクター以下にアクセスしていた場合、誤解を招くエラーメッセージが返されました。今回の更新により、デバイスサイズを確認するライブラリー機能が変更され、この状況でエラーメッセージが表示されなくなりました。

BZ#794792

新しいサブ dnsmasq-utils が追加されました。dnsmasq-utils サブパッケージには、dhcp_lease_time ユーティリティーおよび dhcp_release ユーティリティーが含まれます。これは、標準の DHCP プロトコルを使用して DHCP サーバーのリースのクエリーと削除を行います。

バグ修正

BZ#639866

この更新以前は、man ページの生成に使用された Perl スクリプトにヘッダーに誤プリントが含まれていました。その結果、docbook-utils が構築したすべての man ページのヘッダー構文が間違っていました。この更新により、スクリプトが修正されます。これで、マニュアルページヘッダーに適切な構文が含まれるようになりました。

バグ修正

BZ#860351

/boot/ ディレクトリーが別のファイルシステムになかった場合、/sysroot/boot で始まるファイル名を持つ sha512hmac ユーティリティーと呼ばれる dracut。その結果、sha512mac は /boot/ 内のファイルチェックサムを検索し、エラーを返し、FIPS チェックが失敗したと判断された dracut を検索しました。最終的にカーネルパニックが発生していました。今回の更新で、dracut は /boot から /sysroot/boot へのシンボリックリンクを使用し、sha512mac が "/boot/" のファイルにアクセスできるようになり、FIPS チェックが合格し、上記のシナリオでシステムが適切に起動できるようになりました。

バグ修正

BZ#839296

以前は、起動中に使用される proc ファイルシステムのデフォルトのマウントオプションは mount -t proc -o nosuid,noexec,nodev proc /proc でした。そのため、proc ファイルシステムのデバイスノードは、特定のカーネルドライバーからアクセスできませんでした。今回の更新で、以前使用されていた mount -t proc /proc にオプションが変更され、カーネルドライバーが proc ファイルシステムに正常にアクセスできるようになりました。

BZ#788119

以前は、dracut モジュールにインストールファイルが含まれていない場合、dracut は installkernel コマンドを実行できませんでした。そのため、dracut fips-aesni モジュールは initramfs イメージに含めることができませんでした。現在は、上記のシナリオで installkernel を正しく実行できるようになり、このバグが修正されました。

BZ#761584

以前は、dracut が劣化した RAID アレイを起動できず、システムが起動しませんでした。この更新により、dracut は rd_retry カーネルコマンドラインパラメーターの値を使用し、rd_retry/2 秒後にアレイを強制的に起動しようとするため、このバグが修正されました。

BZ#747840

起動時に、dracut は udevadm settle コマンドを複数回呼び出します。その結果、コマンドタイムアウトに関する不要なメッセージが返され、コンソール出力にクォンターが作成されることがありました。今回の更新でバグが修正され、上記のシナリオでメッセージが返されなくなりました。

BZ#735529

dracut は、すべてのディスクが利用可能になる前にアレイをアセンブルしようとすることがありました。その結果、dracut がアレイを劣化モードで開始したり、完全に失敗したりしました。このバグは修正され、dracut は、rd_retry カーネルコマンドラインパラメーターで制御される一定期間のみ後に、劣化したアレイを強制的に起動するようになりました。

BZ#714039

dracut パッケージは vconfig パッケージに依存しましたが、vconfig は dracut で使用されていません。今回の更新により、vconfig の依存関係が削除されます。

BZ#794863

以前は、ネットワークインターフェイスが起動した場合、dracut がリンクが利用可能であることを検出するのを 2 秒待機していました。特定のネットワークカードでは、2 秒では不十分です。その結果、ネットワークが適切に設定されず、システムが起動できませんでした。これで、dracut は 10 秒待機するため、このバグが修正されました。

BZ#752584

dracut は起動したネットワークインターフェイスのブロードキャストアドレスを設定しなかったため、0.0.0.0 ブロードキャストアドレスが発生していました。このバグは修正され、起動時にデフォルトのブロードキャストアドレスが正しく設定されるようになりました。

BZ#703164

dracut の man ページの FILES セクションが修正され、不正確な内容が修正されました。

BZ#752073

ユーザーがカーネルコマンドラインに複数の console=[tty] パラメーターを追加すると、最後のパラメーターはプライマリーコンソールを指定します。以前は、dracut はこのコンソールの初期化に失敗し、代わりに /dev/tty0 を無条件に初期化していました。このバグは修正され、dracut は上記のシナリオで正しいコンソールを初期化するようになりました。

BZ#788618

iSCSI インターフェイスでユーザー名とパスワードが指定されていない場合、dracut は以前の iSCSI パラメーターからのログイン情報を再利用します。その結果、認証に失敗し、システムが起動しませんでした。今回の更新でバグが修正されました。

BZ#722879

以前は、サイズを縮小するために initramfs イメージからカーネルドライバーを除外することはできませんでした。今回の更新で、この機能を提供する--omit-driverオプションが導入されました。

BZ#752005

lsinitrd コマンドは、LZMA アルゴリズムによって圧縮された initramfs イメージをサポートするように拡張されました。

バグ修正

BZ#725464

この更新以前は、dropwatch ユーティリティーは、すでに非アクティブ化または停止しているサービスによって非アクティブ化の確認が発行されていたため、応答しなくなることがありました。この更新により、dropwatch は、すでに非アクティブ化または停止中のサービスの非アクティブ化/停止の試行を検出し、ハングしなくなりました。

BZ#684713

以前のバージョンでは、dropwatch ユーティリティーがセグメンテーションフォールトで予期せず終了する場合がありました。この障害は、起動メッセージと停止メッセージの実行中に発生した二重フリーエラーによって生じました。この更新により、解放された関数呼び出しが基礎となるコードから削除され、dropwatch ユーティリティーがクラッシュしなくなります。

バグ修正

BZ#807474

今回の更新以前は、largeisofs ユーティリティーは 32KB のチャンクを作成し、32KB に合わない ISO イメージファイルの書き込み時に、最後のチャンク中にエラーを報告していました。今回の更新により、書き込まれたチャンクを 16 ブロックの倍数にできるようになりました。

BZ#786021

今回の更新以前は、e2fsck -b オプションがこれらのグループ記述子を読み取り、UNINIT フラグをクリアすると、バックアップグループ記述子のチェックサムが間違って表示されていました。これにより、すべての inode がスキャンされていました。その結果、警告メッセージがプロセス中に送信されました。今回の更新では、フラグの変更後にチェックサムが再計算されます。今回のリリースでは、e2fsck -b は、これらのチェックサムの警告なしに完了するようになりました。

BZ#795846

この更新より前は、"-E discard" オプションの使用時に、e2fsck は有効な inode を破棄する可能性がありました。その結果、ファイルシステムが破損してしまう可能性があります。今回の更新により、基礎となるコードが変更され、有効な inode を含むディスク領域が破棄されなくなりました。

BZ#715216

Coverity Scan 分析では、エラーの有無をチェックしなかった割り当てが検出されました。今回の更新により、割り当てでエラーがチェックされるため、バグが修正されました。

セキュリティーの修正

CVE-2012-4545

クライアントからサーバー間の GSS セキュリティーメカニズムネゴシエーション中に、ELinks がクライアントクレデンシャルの委譲を実行したことがわかりました。不正なサーバーは、この脆弱性を使用してクライアントの認証情報を取得し、そのクライアントを GSSAPI を使用している他のサーバーに切り替える可能性があります。

バグ修正

BZ#789997

以前は、eSpeak はシステムのサウンドボリュームを操作することができました。その結果、eSpeak は指定されたアンパリティーに関係なく、サウンドボリュームを最大に設定することができました。サウンドボリューム管理コードは eSpeak から削除され、PulseAudio のみがサウンドボリュームを管理するようになりました。

BZ#674866

この更新より前は、expect (1)の man ページが正しくフォーマットされていませんでした。その結果、マニュアルページの内容を読み取れませんでした。読みやすさを確保するために、フォーマットが修正されました。

BZ#735962

今回の更新以前は、passmass スクリプトは、完全パス(/bin/su)で su バイナリーを呼び出しませんでした。passmass スクリプトは、su ではなく /bin/su を呼び出すように変更され、より安全になりました。

BZ#742911

文字が正しく一致しないため、autoexpect ユーティリティーで作成されたアプリケーションがセグメンテーションフォールトで予期せず終了する可能性があります。この更新により、文字数が正しく一致し、自動エクスプトによって作成されたアプリケーションは正常に実行されます。

BZ#782859

以前は、expect-devel サブパッケージには、想定されるライブラリーへのシンボリックリンクが含まれていたため、不要な依存関係が発生していました。今回の更新により、リンクは expect パッケージに配置されます。

BZ#752699

この更新より前は、fcoe-target ユーティリティーなしで targetadmin を起動すると、以下の出力が発生することがありました。

OSError: [Errno 2] No such file or directory: '/sys/kernel/config/target

今回の更新で、fcoe-target サービスを実行せずに targetcli が呼び出された場合に警告メッセージが表示されるようになりました。

BZ#813664

この更新より前は、fcoe-target-utils は、アップストリームバージョンの現在の名前を反映していなかった実行可能ファイルの targetadmin を使用していました。この更新により、アップストリームバージョンに一致するように、名前が targetcli に変更されます。

BZ#815981

この更新より前は、設定の状態が "tcm_start.sh" に保存され、fcoe-target init スクリプトは fcoe-target サービスの起動時にこのファイルから状態を復元していました。この更新で信頼性を高めるために、新しい方法を使用して fcoe-target 設定を保存し、復元します。現在は /etc/target/saveconfig.json に保存されます。

BZ#750277

この更新以前は、Fibre Channel over Ethernet (fcoe)ターゲットモードの fcoe-target-utils パッケージは、テクノロジープレビューとしてのみ利用できていました。今回の更新で、fcoe-target-utils パッケージが Red Hat Enterprise Linux 6 で完全にサポートされるようになりました。

BZ#804936

service fcoe status コマンドは、fcoe サービスの実行中に誤った戻り値を返しました。この更新により、基礎となるコードが変更され、fcoe がこれらの状況で正しいコードを返すようになりました。

バグ修正

BZ#872620

そうしないと、破損したノードがデータが破損する時間が長くなるため、フェンシングの速度は重要です。この更新より前は、fence_vmware_soap フェンシングエージェントの動作が遅くなり、数百の仮想マシンを持つ VMWare vSphere プラットフォームで使用されるとデータが破損する可能性がありました。今回の更新で、P2V (Physical-to-Virtual)プロセス中に作成できる有効な UUID を持たない仮想マシンの問題が修正されます。今回のリリースより、フェンシングプロセスもはるかに高速になり、UUID のない仮想マシンが検出された場合は終了しなくなりました。

バグ修正

BZ#769681

fence_rhevm フェンシングエージェントは、Red Hat Enterprise Virtualization API を使用して、仮想マシンの電源ステータス（オンまたはオフ）を確認します。up および down の状態に加えて、API には他の状態が含まれます。以前は、マシンが up 状態の場合にのみ、on の電源ステータスが返されていました。マシンが稼働中であっても、off ステータスは他のすべての状態に対して返されました。これにより、マシンの電源が実際にオフになる前にフェンシングを成功させることができました。今回の更新により、fence_rhevm エージェントは、クラスターノードの電源ステータスをより連続して検出し、マシンの電源がオフ(down)の状態である場合にのみ "off" ステータスが返されます。

BZ#772597

以前は、fence_soap_vmware フェンスエージェントは、クラスター内の数百以上のマシンでは動作できませんでした。その結果、fence_soap_vmware フェンスエージェントを使用した VMWare の仮想マシンで実行されているクラスターノードがフェンシングされ、KeyError: 'config.uuid' エラーメッセージが表示されます。今回の更新により、このようなクラスターでフェンシングをサポートするように基礎となるコードが修正されました。

BZ#740484

以前は、fence_ipmilan エージェントは、空白文字を含む passwd_script 引数値を処理できませんでした。そのため、追加のパラメーターを必要とするパスワードスクリプトを使用することができませんでした。この更新により、fence_ipmilan はスペースで passwd_script 引数の値を受け入れ、適切に解析するようになりました。

BZ#771211

以前は、fence_vmware_soap フェンスエージェントはフェンシング用の適切な仮想マシンパスを公開しませんでした。今回の更新により、この仮想マシン ID をサポートするように fence_vmware_soap が修正されました。

BZ#714841

以前は、特定のフェンスエージェントで正しいメタデータ出力が生成されませんでした。その結果、マニュアルページとユーザーインターフェイスの自動生成にメタデータを使用できませんでした。今回の更新により、すべてのフェンスエージェントが期待どおりにメタデータを生成するようになりました。

BZ#771936

バッファーオーバーフローの可能性があり、null 逆参照欠陥が自動ツールによって見つかりました。今回の更新で、これらの問題が修正されました。

BZ#785091

SSH に ID ファイルを使用するフェンスエージェントは、パスワードが想定されているものの提供されなかった場合、予期せず終了しました。このバグは修正され、上記のシナリオで適切なエラーメッセージが返されます。

BZ#787706

fence_ipmilan フェンスエージェントは power_wait オプションを尊重せず、デバイスに電源オフ信号を送信した後も待機しませんでした。その結果、デバイスはシャットダウンシーケンスを終了する可能性がありました。このバグは修正され、fence_ipmilan は予想通りにマシンをシャットダウンする前に待機するようになりました。

BZ#741339

fence_scsi エージェントは、フェンシング解除操作中にノードが登録したデバイスの一覧が含まれる fence_scsi.dev ファイルを作成します。このファイルは、フェンス解除アクションごとにリンクが解除されました。したがって、cluster.conf ファイルで複数のフェンスデバイスエントリーが使用されている場合、fence_scsi.dev には、最新のアンフェンスアクション時にノードが登録したデバイスのみが含まれていました。今回のリリースでは、アンリンクコールではなく、現在登録されているデバイスが fence_scsi.dev に存在しない場合は、ファイルに追加されるようになりました。

BZ#804169

telnet_ssl ユーティリティーを使用してフェンスデバイスが接続され、フェンスデバイスが 5 秒以上設定されている場合、接続はタイムアウトになり、フェンスデバイスが失敗します。現在、接続を開く前に遅延オプションが適用されるようになり、このバグが修正されました。

BZ#806883

以前は、フェンスエージェントによって返される XML メタデータは、すべての属性を誤って unique として表示していました。今回の更新でこの問題が修正され、この情報が有効である場合にのみ属性が一意としてマークされるようになりました。

BZ#806912

今回の更新で、fence_ipmilan エージェントのエラーメッセージにおける誤字のエラーが修正されました。

BZ#806897

この更新以前は、"-M cycle" オプションが使用されると、IPMI のフェンスエージェント(Intelligent Platform Management Interface)が無効なリターンコードを返すことがありました。この無効な戻りコードにより、フェンスアクションで無効な解釈が発生し、最終的にクラスターが応答しなくなる可能性がありました。このバグは修正され、上記のシナリオで事前定義された戻りコードのみが返されるようになりました。

BZ#804805

以前は、fence_brocade フェンスエージェントは、action オプションを標準のオプションと区別しませんでした。そのため、action オプションは無視され、ノードは常にフェンシングされました。このバグは修正され、両方のオプションが適切に認識され、対応するようになりました。

Enhancement

BZ#742003

今回の更新で、セキュアシェルを使用して Fujitsu RSB フェンシングデバイスにアクセスする機能が追加されました。

BZ#753974

今回の更新以前は、libvirt-qpid プラグインが例外を正しく処理しませんでした。その結果、指定の qpid デーモンへの接続が失敗した場合、fence_virtd デーモンがセグメンテーション違反で予期せず終了する可能性があります。今回の更新で、例外処理が変更されました。これで、フェンシング操作が期待どおりに機能するようになりました。

BZ#758392

この更新以前は、キーファイルを読み取れなかった場合に、ハッシュユーティリティー sha_verify がエラーを正しく処理しませんでした。その結果、起動中に fence_virtd が、指定された鍵ファイルを読み取ると、フェンシング要求を受信すると、fence_virtd デーモンがセグメンテーション違反で予期せず終了する可能性がありました。この更新により、キーファイルを読み取れない場合にエラー処理が変更されます。現在では、fence_virtd はこれらの条件下で終了しなくなりました。

BZ#761215

この更新前は、fence_virt.conf (5)の man ページの serial モードの XML の例に、誤ったクローズタグが含まれていました。今回の更新で、このタグが修正されました。

BZ#806949

今回の更新以前は、libvirt-qpid プラグインは、qmfv2 ライブラリーのみではなく、qpid ライブラリーに直接リンクされていました。そのため、新しいバージョンの qpid ライブラリーは、libvirt-qpid プラグインでは使用できませんでした。今回の更新により、qpid ライブラリーに直接リンクしなくなりました。新しい qpid ライブラリーも libvirt-qpid で使用できるようになりました。

BZ#809101

この更新より前は、fence_virtd.conf の man ページと fence_virtd.conf ジェネレーターに、デフォルトで fence_virtd がすべてのネットワークインターフェイスでリッスンしていたと誤って記載されていました。どちらも、デフォルトで fence_virtd がデフォルトのネットワークインターフェイスをリッスンする状態に修正されています。

バグ修正

BZ#795425

file ユーティリティーには QED イメージを検出するための "magic" パターンが含まれていなかったため、このようなイメージを検出できませんでした。QED イメージを検出するための新しい "magic" パターンが追加され、file ユーティリティーがそのイメージを期待どおりに検出するようになりました。

BZ#795761

file ユーティリティーには、VDI イメージを検出するためのマジックパターンが含まれていなかったため、このようなイメージを検出できませんでした。VDI イメージを検出するための新しい "magic" パターンが追加され、file ユーティリティーがそのイメージを期待どおりに検出するようになりました。

BZ#797784

以前は、file ユーティリティーは ~/.magic.mgc ファイルから magic パターンを読み込まなかったため、このファイルに保存されている "magic" パターンが使用できなくなっていました。今回の更新で、file ユーティリティーが変更され、～/.magic.mgc ファイルのロードを試みるようになりました。このファイルは、存在する場合は読み込まれ、このファイルに定義されている magic パターンが期待どおりに機能します。

BZ#801711

以前は、file ユーティリティーは、-z オプションを使用してファイルを解凍する際に読み取りタイムアウトを使用していました。そのため、ユーティリティーは bzip2 ツールで圧縮したファイルを検出できませんでした。基盤となるソースコードが変更され、ファイルが圧縮ファイルの展開時に読み取りタイムアウトを使用しなくなりました。圧縮ファイルは、"-z" オプションを使用する際に期待どおりに検出されるようになりました。

BZ#859834

以前は、file ユーティリティーには、ダンプバックアップツールの出力を検出するための複数のマジックパターンが含まれていました。big-endian アーキテクチャーでは、詳細度の低い magic パターンが使用され、file ユーティリティーの出力に一貫性がありません。より詳細の低い magic パターンが削除され、dump 出力を検出するためのより詳細の "magic" パターンが 1 つだけ使用されています。

BZ#688136

以前は、file ユーティリティーには、1 バイトのみに従ってファイルを誤って検出するマジックパターンが含まれていました。そのため、その特定のバイトで始まる Unicode テキストファイルは、DOS 実行可能ファイルとして誤って認識される可能性があります。今回の更新で、問題のあるパターンが削除されました。16 ビット未満に一致するパターンは受け入れられなくなり、ユーティリティーは DOS 実行可能ファイルとして Unicode ファイルを検出しなくなりました。

BZ#709846

以前は、Dell BIOS ヘッダーを検出するためのマジックパターンは古くなっていました。そのため、file ユーティリティーは新しい BIOS 形式を検出しませんでした。magic パターンが更新され、file ユーティリティーが Dell BIOS の新しい形式を適切に検出するようになりました。

BZ#719583

以前は、ユーザーは新しいマジックファイルをホームディレクトリーにのみ追加できました。その結果、ユーザーはシステム全体で特定の特別なファイル形式に対して magic パターンを設定できませんでした。今回の更新では、バックポートされたパッチが、/etc/magic ファイルからマジックパターンを読み取る方法を提供します。

BZ#733229

以前は、Python の magic パターンでは不十分でした。したがって、file ユーティリティーは Python 関数定義に従って Python スクリプトを検出できませんでした。今回の更新で、Python の検出が改善され、Python スクリプトが適切に認識されるようになりました。

BZ#747999

以前は、file ユーティリティーには、LZMA アルゴリズムを使用して圧縮したファイルを検出するための magic パターンが含まれていませんでした。そのため、file ユーティリティーはこれらのファイルを検出できませんでした。今回の更新で、欠落していた magic パターンが追加され、LZMA 圧縮ファイルが期待どおりに検出されるようになりました。

BZ#758109

以前は、file ユーティリティーには Itanium マイクロプロセッサーでスワップ署名を検出するための magic パターンが含まれていませんでした。その結果、file ユーティリティーは署名を検出できませんでした。今回の更新で、不足しているマジックパターンが追加され、Itanium マイクロプロセッサーのスワップシグネータが期待どおりに検出されるようになりました。

BZ#760083

以前は、file ユーティリティーは、RPM ファイルからの RPM パッケージの名前を解析しませんでした。その結果、ユーティリティーは RPM パッケージの名前を出力しませんでした。今回の更新で、RPM パッケージ名解析のマジックパターンが追加され、名前が期待どおりに出力されるようになりました。

セキュリティーの修正

CVE-2013-0775、CVE-2013-0780、CVE-2013-0782、CVE-2013-0783

不正な Web コンテンツの処理に、いくつかの欠陥が見つかりました。悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2013-0776

プロキシーサーバーの認証プロンプトをキャンセルした後、アドレスバーが継続し、要求されたサイトのアドレスが表示されることが判明しました。攻撃者は、この脆弱性を利用して、信頼できるサイトを隠しているようにユーザーを引き出すことで、フィッシング攻撃を実行する可能性があります。

セキュリティーの修正

CVE-2012-1948,CVE-2012-1951,CVE-2012-1952,CVE-2012-1953,CVE-2012- 1954,CVE-2012-1962,CVE-2012-1967

悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-1959

悪意のある Web ページは、同じ区分セキュリティーラッパー(SCSW)をバイパスして、時系列権限で任意のコードを実行する可能性があります。

CVE-2012-1966

Firefox のコンテキストメニュー機能に欠陥があると、悪意のある Web サイトが意図された制限を回避し、クロスサイトスクリプティング攻撃を許可する可能性があります。

CVE-2012-1950

アドレスバーにドラッグアンドドロップするときに、アドレスバー内のページが表示される可能性があり、悪意のあるサイトやユーザーがフィッシング攻撃を実行しやすくしている可能性があります。

CVE-2012-1955

history.forward および history.back と呼ばれる Firefox の方法の欠陥により、攻撃者は悪意のある URL を取得し、ユーザーが信頼できるサイトを表示してしまう可能性があります。

CVE-2012-1957

Firefox がフィード(RSS など)を解析するために使用するパーサーユーティリティークラスの欠陥により、攻撃者は Firefox を実行しているユーザーの権限で任意の JavaScript を実行できる可能性があります。この問題は、他のブラウザーコンポーネントや、クラスがサニタイズされた入力を返すと仮定するアドオンに影響を与えている可能性があります。

CVE-2012-1961

Firefox が X-Frame-Options ヘッダーを処理する方法の欠陥により、悪意のある Web サイトでクリックジャック攻撃を実行できる可能性があります。

CVE-2012-1963

Firefox によりコンテンツセキュリティーポリシー(CSP)レポートが生成される方法の欠陥により、悪意のある Web ページが被害者の OAuth 2.0 アクセストークンおよび OpenID 認証情報を盗むことができる可能性があります。

CVE-2012-1964

Firefox が証明書の警告を処理する方法に欠陥があると、中間者攻撃者が細工された警告を作成し、ユーザーが任意の証明書を信頼済みとして受け入れるように選択する可能性があります。

CVE-2012-1965

Firefox が feed:javascript URL を処理する方法に欠陥があると、出力フィルタリングをバイパスできる可能性があり、クロスサイトスクリプティング攻撃が発生する可能性があります。

セキュリティーの修正

CVE-2012-1970,CVE-2012-1972,CVE-2012-1973,CVE-2012-1974,CVE-2012-1975,CVE-2012-1976,CVE-2012-3956,CVE-2012-3957,CVE-2012-3958,CVE-2012-3959,CVE-2012-3960、CVE-2012-3961、CVE-2012-3962、CVE-2012-3963、CVE-2012-3964

悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3969,CVE-2012-3970

悪意のある Scalable Vector Graphics (SVG)イメージファイルを含む Web ページで、Firefox がクラッシュしたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3967,CVE-2012-3968

WebGL を使用して Firefox が特定のイメージをレンダリングする方法に、2 つの不具合が見つかりました。悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、特定の条件下で Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3966

Firefox が Icon Format (ICO)ファイルの埋め込みビットマップイメージをデコードする方法に欠陥が見つかりました。悪意のある ICO ファイルを含む Web ページでは、Firefox をクラッシュさせたり、特定の条件下で Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3980

Firefox Web コンソールで "eval" コマンドが処理される方法に欠陥が見つかりました。悪意のあるコンテンツを含む Web ページを表示しているときに Web コンソールでeval を実行すると、Firefox を実行しているユーザーの権限で Firefox が任意のコードが実行される可能性があります。

CVE-2012-3972

Firefox が XSLT の format-number 機能を使用する方法で、範囲外メモリー読み取りの欠陥が見つかりました（拡張可能なスタイルシート言語変換）。悪意のあるコンテンツを含む Web ページは、情報漏えいが発生したり、Firefox がクラッシュしたりする可能性があります。

CVE-2012-3976

メインウィンドウに新しいページが表示され、以前にアクセスしたサイトの SSL 証明書情報がアドレスバーに表示されることがわかりました。これにより、攻撃者がこの不具合を利用して、信頼できるサイトを表示しているのをユーザーが盗む可能性があるため、フィッシング攻撃が発生する可能性があります。

CVE-2012-3978

Firefox の location オブジェクトの実装に欠陥が見つかりました。悪意のあるコンテンツでは、この不具合を使用してコンテンツの読み込みが制限されている可能性があります。

セキュリティーの修正

CVE-2012-4194,CVE-2012-4195,CVE-2012-4196

Firefox の location オブジェクトの実装に複数の欠陥が見つかりました。悪意のあるコンテンツを使用して、クロスサイトスクリプティング攻撃の実行、同じオリジンポリシーのバイパス、または Firefox が任意のコードを実行するために使用できます。

セキュリティーの修正

CVE-2013-0744,CVE-2013-0746,CVE-2013-0750,CVE-2013-0753,CVE-2013-0754,CVE-2013-0762,CVE-2013-0766,CVE-2013-0767,CVE-2013-0769

不正な Web コンテンツの処理に、いくつかの欠陥が見つかりました。悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2013-0758

Chrome Object Wrapper の実装方法に欠陥が見つかりました。悪意のあるコンテンツを使用すると、Firefox にインストールされたプラグインを介して Firefox が任意のコードを実行するために使用できます。

CVE-2013-0759

アドレスバーに Firefox が URL 値を表示する方法の欠陥により、悪意のあるサイトまたはユーザーがフィッシング攻撃を実行できる可能性があります。

CVE-2013-0748

JavaScript の特定の機能が Firefox に実装された方法に、情報漏洩の不具合が見つかりました。攻撃者はこの脆弱性を利用して、Address Space Layout Randomization (ASLR)およびその他のセキュリティー制限をバイパスできます。

セキュリティーの修正

CVE-2012-3982,CVE-2012-3988,CVE-2012-3990,CVE-2012-3995,CVE-2012-4179,CVE-2012-4180,CVE-2012- 4182 , CVE-2012- 4183 , CVE-2012- 4185 ,CVE-2012-4185,CVE-2012- 4187 ,CVE-2012-4187,CVE-2012-4188

不正な Web コンテンツの処理に、いくつかの欠陥が見つかりました。悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3986,CVE-2012-3991

Firefox の 2 つの欠陥により、悪意のある Web サイトが意図された制限を回避し、情報漏えいを引き起こす可能性があります。また、任意のコードを実行する Firefox が発生する可能性があります。情報開示の問題は、他の欠陥と組み合わせて任意のコードを実行できる可能性があることに注意してください。

CVE-2012-1956、CVE-2012-3992、CVE-2012-3994

Firefox の location オブジェクトの実装に複数の欠陥が見つかりました。悪意のあるコンテンツは、クロスサイトスクリプティング攻撃、スクリプトインジェクション、またはなりすまし攻撃を実行するために使用できます。

CVE-2012-3993,CVE-2012-4184

Chrome Object Wrapper の実装方法に 2 つの欠陥が見つかりました。悪意のあるコンテンツを使用して、クロスサイトスクリプティング攻撃を実行したり、Firefox が任意のコードを実行したりする可能性があります。

バグ修正

BZ#809571、BZ#816234

特定の環境では、ホームディレクトリーが NFS 共有にある場合など、NFS 共有に個人 Firefox 設定ファイル(~/.mozilla/)を保存すると、Firefox が正しく機能しませんでした（ナビゲーションボタンが期待どおりに機能しず、ブックマークが保存されないなど）。今回の更新で、この問題を解決するために使用できる新しい設定オプション storage.nfs_filesystem が追加されました。

この問題が発生した場合は、以下を行います。

1. Firefox を起動します。
2. URL バーに "about:config" （引用符なし）と入力し、Enter キーを押します。
3. "This might void your warranty!" と求められた場合は、"I'll be careful, I promise!" ボタンをクリックします。
4. Preference Name 一覧を右クリックします。開いたメニューで、New -> Boolean を選択します。
5. プリファレンス名に対して "storage.nfs_filesystem" （引用符なし）と入力し、OK ボタンをクリックします。
6. ブール値として true を選択し、OK ボタンを押します。

セキュリティーの修正

CVE-2012-4214,CVE-2012-4215,CVE-2012-4216,CVE-2012-5829,CVE-2012-5830,CVE-2012-5833,CVE-2012-58 39,CVE-2012-5839,CVE-2012-5840,CVE-2012-5842

不正な Web コンテンツの処理に、いくつかの欠陥が見つかりました。悪意のあるコンテンツを含む Web ページは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-4202

Firefox が GIF (Graphics Interchange Format)イメージを処理する方法で、バッファーオーバーフローの不具合が見つかりました。悪意のある GIF イメージを含む Web ページでは、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-4210

Firefox の Style Inspector ツールが特定のカスケードスタイルシート(CSS)を処理する方法に欠陥が見つかりました。悪意のある CSS でツール(Tools -> Web Developer -> Inspect)を実行すると、HTML コンテンツおよび CSS コンテンツの実行が chrome 権限を持つ可能性があります。

CVE-2012-4207

Firefox が HZ-GB-2312 文字エンコーディングのデコード方法に欠陥が見つかりました。悪意のあるコンテンツを含む Web ページでは、Firefox が別の Web サイトのパーミッションを持つ JavaScript コードを実行する可能性があります。

CVE-2012-4209

Firefox の location オブジェクトの実装に欠陥が見つかりました。悪意のあるコンテンツは、この不具合を使用して、制限されたコンテンツをプラグインで読み込める可能性があります。

CVE-2012-5841

クロスオリジンラッパーの実装方法に欠陥が見つかりました。悪意のあるコンテンツでは、この不具合を使用してクロスサイトスクリプティング攻撃を行う可能性があります。

CVE-2012-4201

Firefox の evalInSandbox 実装に欠陥が見つかりました。悪意のあるコンテンツでは、この不具合を使用してクロスサイトスクリプティング攻撃を行う可能性があります。

BZ#704187

この更新以前は、firstboot ユーティリティーはユーザーがタイムゾーンを変更できませんでした。今回の更新で、タイムゾーンモジュールが firstboot に追加され、ユーザーが再設定モードでタイムゾーンを変更できるようになりました。

BZ#753658

この更新以前は、firstboot サービスは status オプションを提供していませんでした。今回の更新で、ファーストブートが次回の起動時に実行されるようにスケジュールされているかどうかを表示する "firstboot service status" オプションが追加されました。

セキュリティーの修正

CVE-2012-1535

今回の更新で、Adobe FlashPadding の 1 つの脆弱性が修正されました。この脆弱性は、Adobe security page APSB12-18 を参照してください。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2012-5274,CVE-2012-5275,CVE-2012-5276,CVE-2012-5277,CVE-2012-5278,CVE-2012-5279,CVE-2012-5280

今回の更新では、Adobe FlashPadding のいくつかの脆弱性が修正されています。これらの脆弱性は、Adobe Security Bulletin APSB12-24 で詳しく説明します。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2013-0633,CVE-2013-0634

今回の更新で、Adobe FlashPadding の 2 つの脆弱性が修正されました。これらの脆弱性は、Adobe Security Bulletin APSB13-04 で詳しく説明します。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2012-5248,CVE-2012-5249,CVE-2012-5250,CVE-2012-5251,CVE-2012-552 ,CVE-2012- 52 54 ,CVE-2012-5254,CVE-2012-5255,CVE-2012-5256,CVE-2012-5257,CVE-2012-5258,CVE-2012-5259,CVE-2012-5260,CVE-2012-5261,CVE-2012-5262,CVE-2012- 5264 ,CVE-2012-5264,CVE-2012-5265,CVE-2012- 5267 ,CVE-2012-5267,CVE-2012-5268,CVE-2012-5269,CVE-2012-5270,CVE-2012-5271,CVE-2012-5272

今回の更新では、Adobe FlashPadding のいくつかの脆弱性が修正されています。これらの脆弱性は、Adobe security page APSB12-22 を参照してください。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2012-5676,CVE-2012-5677,CVE-2012-5678

今回の更新で、Adobe FlashPadding の 3 つの脆弱性が修正されました。これらの脆弱性は、Adobe Security Bulletin APSB12-27 で詳しく説明します。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2013-0630

今回の更新で、Adobe FlashPadding の 1 つの脆弱性が修正されました。この脆弱性は、Adobe Security bulletin APSB13-01 で詳しく説明しています。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2013-0638,CVE-2013-0639,CVE-2013-0642,CVE-2013-0644,CVE-2013-0645,CVE-2013-0647,CVE-2013 -1365 , CVE-2013 -1366 , CVE-2013-136 7 ,CVE-2013-1367,CVE-2013-1368,CVE-2013-1369,CVE-2013 -1370,CVE-2013-1372,CVE-2013-1373,CVE-2013-1374

今回の更新では、Adobe FlashPadding のいくつかの脆弱性が修正されています。これらの脆弱性は、Adobe Security Bulletin APSB13-05 で詳しく説明します。特別に細工された SWF コンテンツにより、フラッシュプラグインがクラッシュしたり、被害を受けた SWF コンテンツを含むページをロードしたりする場合に任意のコードを実行したりする可能性があります。

CVE-2013-0637

flash-plugin に欠陥があると、特別に細工された Web ページの閲覧に被害された場合に攻撃者が機密情報を取得できる可能性があります。

BZ#676607

以前は、configure.in ファイルには 64 ビット PowerPC アーキテクチャーの処理方法に関する情報が含まれていませんでした。fontforge-devel マルチlib PowerPC および 64PowerPC RPM パッケージを同じ 64 ビット PowerPC マシンにインストールしようとすると、これらのパッケージ間で競合が発生していました。この更新により、configure.in ファイルが変更され、fontforge-devel の multilib RPM パッケージが同じマシンにインストールできるようになりました。上記のシナリオでは、競合は発生しなくなります。

BZ#665837

以前は、マシンで USB サポートが利用可能な場合（たとえば、ゲストの USB サポートを無効にしたハイパーバイザー上の仮想マシン）、fprintd デーモンは SIGABRT シグナルを受け取るため、異常終了しました。このようなクラッシュによってシステム障害は発生しませんが、自動バグ報告ツール(ABRT)は毎回警告されました。今回の更新で、基礎となるコードが変更され、USB サポートのないマシンで fprintd デーモンが正常に終了するようになりました。

セキュリティーの修正

CVE-2012-3547

radiusd が X.509 クライアント証明書の有効期限フィールドを処理する方法で、バッファーオーバーフローの不具合が検出されました。リモートの攻撃者は、証明書または TLS トンネル化認証方法(EAP-TLS、EAP-TTLS、PEAP など)を使用するように設定されている場合、この脆弱性を使用して radiusd をクラッシュする可能性があります。

BZ#787116

PPP ヒントオプションを要求するための radtest コマンドライン引数が正しく解析されませんでした。その結果、radclient はリクエストパケットに PPP ヒントを追加しず、テストは失敗しました。今回の更新で問題が修正され、radtest が期待どおりに機能するようになりました。

BZ#705723

ログローテーション後、freeradius logrotate スクリプトは、ログローテーションおよびログメッセージが失われた後に radiusd デーモンの再読み込みに失敗していました。今回の更新で、freeradius logrotate スクリプトにコマンドが追加され、radiusd デーモンが再初期化され、ログローテーション後にログファイルが再度開かれました。

BZ#712803

radtest の引数 eap-md5 は、radeapclient ユーティリティーの呼び出し時に IP ファミリー引数に渡され、radeapclient ユーティリティーが IP ファミリーを認識しないために失敗しました。radeapclient は IP ファミリー引数を認識し、radtest が期待どおりに eap-md5 で機能するようになりました。

BZ#700870

以前は、freeradius は--with-udpfromto オプションなしでコンパイルされていました。したがって、マルチホームサーバーを使用して IP アドレスを明示的に指定すると、freeradius が間違った IP アドレスからの応答を送信しました。この更新により、freeradius は --with-udpfromto 設定オプションで作成され、RADIUS 応答は常に要求が送信された IP から取得されるようになりました。

BZ#753764

ローカルパスワードの有効期限フィールドは unix モジュールによってチェックされず、デバッグ情報は誤りでした。その結果、パスワードの有効期限が切れても、ローカルパスワードファイルでパスワードの有効期限が切れているユーザーは認証されました。今回の更新で、パスワードの有効期限の確認が変更されました。ローカルパスワードの有効期限が切れたユーザーはアクセスを拒否し、正しいデバッグ情報がログファイルに書き込まれます。

BZ#690756

PostgreSQL 管理スキーマファイルの構文が無効であるため、FreeRADIUS PostgreSQL テーブルを作成できませんでした。今回の更新により、構文が調整され、テーブルが期待どおりに作成されるようになりました。

BZ#782905

FreeRADIUS が要求を受信すると、以下のメッセージが表示されることがあります。

WARNING: Internal sanity check failed in event handler for request 6

このバグは、アップストリームバージョン 2.1.12 にアップグレードすると修正されました。

BZ#810605

FreeRADIUS には、負荷に基づいて動的に拡張するスレッドプールがあります。rlm_perl （）関数を使用する複数のスレッドが素早く生成されると、rlm_perl_clone （）関数への並列呼び出しが原因で、freeradius がセグメンテーションフォールトで予期せず終了する可能性があります。今回の更新で、スレッドのミューテックスが追加され、問題が発生しなくなりました。

セキュリティーの修正

CVE-2012-5669

FreeType フォントレンダリングエンジンが特定の Glyph Bitmap Distribution Format (BDF)フォントを処理する方法で欠陥が見つかりました。ユーザーが、FreeType に対してリンクされたアプリケーションで特別に細工されたフォントファイルを読み込んだ場合、アプリケーションがクラッシュしたり、アプリケーションを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

バグ修正

BZ#783868

この更新より前は、スタックサイズが unlimited に設定されている場合に ftp コマンド put を使用すると、sysconf (_SC_ARG_MAX)関数が -1 を返すため、malloc （）関数が 0 の引数で呼び出され、Out of memory メッセージが表示されていました。この更新で、基礎となるソースコードが改善され、妥当な最小メモリーを割り当てるようになりました。その結果、スタックサイズが以前に unlimited に設定されている場合、Out of memory メッセージが表示されなくなりました。

バグ修正

BZ#871072

FTP の以前の実装では、コマンドに割り当てられたメモリーが正しく解放されませんでした。その結果、append、put、および send コマンドが実行されるたびに、メモリーリークが発生していました。この更新により、基礎となるソースコードが修正され、割り当てられたメモリーが想定どおりに解放されるようになりました。

BZ#871547

以前は、FTP マクロ定義に使用されるバッファーのサイズは 200 文字に制限されていました。したがって、マクロのサイズが 200 文字を超えると、バッファーがオーバーフローし、FTP クライアントが予期せず終了しました。今回の更新で、FTP コマンドラインの制限のサイズに一致するように FTP マクロのバッファーが拡張され、現在は 4296 文字になりました。このシナリオでは、FTP クライアントがクラッシュしなくなりました。

Enhancement

BZ#871060

以前は、FTP クライアントのコマンドライン幅は 200 文字に制限されていました。今回の更新で、FTP コマンドラインの長さが 4296 文字に拡張されました。

バグ修正

BZ#869858

この更新より前は、200 文字を超えるマクロが定義されてから接続後に使用された場合、ftp クライアントはバッファーオーバーフローが発生し、中止する可能性がありました。この更新により、基礎となるコードと、マクロ名のメモリーを保持するバッファーが拡張されました。現在、ftp はコマンドライン制限の長さに一致し、長い名前を持つマクロが実行されても ftp クライアントが中断されなくなりました。

バグ修正

BZ#665337

以前は、ftp クライアントのコマンドライン幅は 200 文字に制限されていました。今回の更新で、FTP コマンドラインの長さが 4296 文字に拡張されるようになりました。

BZ#786004

この更新以前は、append、put、および send コマンドにより、システムメモリーがリークしていました。ftp コマンドを保持するメモリーが適切に解放されませんでした。この更新により、基礎となるソースコードが改善され、システムリソースが正しく解放され、メモリーリークは存在しなくなりました。

BZ#849940

以前は、ftp クライアントを呼び出して、アクティブモードで直接実行できませんでした。この機能は、ソースコードに追加され、マニュアルページに記載されています。クライアントが追加の "-A" コマンドラインパラメーターを指定して実行できるようになり、アクティブモードで実行するようになりました。

BZ#852636

以前は、ftp-data ポート(20)が利用できない場合に ftp クライアントがハングしていました（例：ブロックしました）。その後、クライアントは手動で終了する必要がありました。ソースコードに追加のロジックが追加されました。今回の更新で、ftp の内部タイムアウトが 30 秒に設定されました。この時間が経過しているときにサーバーからの回答がない場合、ftp は正常にタイムアウトし、ハングしなくなります。

バグ修正

BZ#829558

今回の更新以前は、re_string_skip_chars 関数は raw の長さではなく文字数を誤って使用して文字列の長さを推定していました。そのため、UTF-8 形式を使用していないマルチバイトエンコーディングのテキストはすべて正しく処理できませんでした。今回の更新で、正しい文字列の長さが使用されるように、基礎となるコードが変更されます。マルチバイトエンコーディングが正しく処理されるようになりました。

BZ#648906

今回の更新以前は、特定の状況では、gawk ユーティリティーは、一部のランタイム変数を内部ゼロ長変数プロトタイプとして解釈することができました。gawk がこのようなランタイム変数を解放しようとすると、メモリー節約のために 1 回だけ割り当てられていた内部プロトタイプが解放されていました。その結果、gawk が失敗し、エラーメッセージ awk: double free or corruption が表示されることがありました。今回の更新で問題が修正され、エラーは発生しなくなりました。

BZ#740673

この更新以前は、gawk ユーティリティーはコマンドライン引数から変数をコピーしませんでした。そのため、この変数を意図したとおりにアクセスできませんでした。今回の更新で、gawk がそれらの変数のコピーを作成するように、基礎となるコードが変更されます。

BZ#743242

今回の更新以前は、Yacc インタープリターにより、より大きなスタックの処理で問題が発生していました。その結果、AWK コードを解釈するときに、Yacc インタープリターがスタックオーバーフローエラーで失敗していました。この更新により、スタックが拡大され、Yacc がこれらの AWK プログラムを処理できるようになりました。

BZ#751767

gfortran コンパイラーは、内部コンパイラーエラーでコードをコンパイルできませんでした。これは、要求されるビット精度が対応する型のビット精度よりも小さい場合に、trans-types.c ライブラリーの gfc_type_for_size （）関数が正しいデータ型を返しなかったために発生しました。今回の更新により、適切なより細かい型が見つからず、コードが正しくコンパイルされている場合は、関数は対応するより広い型を返します。

BZ#756138

G++ コンパイラーはセグメンテーション違反で予期せず終了し、-O2 または -O3 最適化オプションでコンパイルするときに内部コンパイラーエラーを返しました。これは、コンパイラーが remove_path （）関数で同じループを 2 回キャンセルしようとしたために生じました。今回の更新により、ループは 1 回だけキャンセルされ、このシナリオではセグメンテーション違反が発生しなくなります。

BZ#756651

以前は、2 セットパターンを分割するときに命令を組み合わせると、GCC が誤ったコードを生成する可能性がありました。これは、命令の結合中に分割パターンが処理される方法のエラーが原因でした。今回の更新で、組み合わせたコード処理命令が修正され、問題が発生しなくなりました。

BZ#767604

以前は、GCC は、レジスタの移動時に -mtune=z10 設定で有効にされたアグレッシブループパイリングによってトリガーされる内部コンパイラーエラーで予期せず終了していました。この更新により、レジスターは命令パターンから正しく決定され、このシナリオでコンパイルが成功するようになります。

BZ#799491

Firefox に Web コンソールを入力すると、Firefox が予期せず終了しました。これは、コンパイラーが、これらの状況で呼び出される関数の 1 つを誤ってクローンするために生じました。今回の更新により、この機能は複製されなくなり、問題は発生しなくなります。

BZ#739443

以前は、GCC コンパイラーには、半分浮動小数点型を変換する関数を含むヘッダーが含まれていませんでした。今回の更新で、ヘッダーと GCC が修正され、AMD FX プロセッサーマイクロアーキテクチャー上の-march=native オプションで正しく機能するようになりました。

BZ#739685

コアファイルを読み込むには、GDB では、コアファイルの生成に使用されたバイナリーが必要です。GDB は組み込み検出を使用して、一致するバイナリーを自動的に読み込みます。ただし、任意のバイナリーを手動で指定し、検出をオーバーライドできます。以前は、呼び出されたコアファイルに一致しない他のバイナリーをロードすると、GDB が予期せず終了する可能性がありました。この更新により、基礎となるコードが変更され、このような状況下で GDB がクラッシュしなくなりました。

BZ#750341

以前は、cp_scan_for_anonymous_namespaces （）関数のエラーが原因で、初期の GCC コンパイラーでコンパイルされた C++ プログラムのシンボルを読み込むと、GDB が予期せず終了していました。今回の更新で、このバグを修正するアップストリームパッチが導入され、GDB がクラッシュせずに既知の実行ファイルを読み込むようになりました。

BZ#781571

GDB が関連する debuginfo rpm シンボルファイルを見つけることができない場合、GDB は、yum ユーティリティーを使用してシンボルファイルをインストールするように、以下のメッセージを表示します。

メインの実行ファイルに個別の debuginfo がない Try: yum --disablerepo='*' --enablerepo='*-debuginfo' install /usr/lib/debug/.build-id/47/830504b69d8312361b1ed465ba86c9e815b800

ただし、提案された "--enablerepo='*-debuginfo' オプションは、RHN (Red Hat Network)デバッグリポジトリーでは機能しませんでした。今回の更新で、--enablerepo='*-debug*' というメッセージのオプションが修正され、推奨されるコマンドが期待どおりに機能するようになりました。

BZ#806920

PowerPC プラットフォームでは、IBM XL Fortran コンパイラーによって作成された DWARF 情報には DW_TAG_subrange_type の DW_AT_type 属性が含まれていませんが、GCC によって生成される DWARF 情報には DW_TAG_subrange_type 属性が常に DW_AT_type 属性に含まれます。以前は、GDB は、DWARF 標準に準拠していても、DW_AT_type 属性が欠落しているため、IBM XL Fortran コンパイラーからの配列を誤って解釈することができました。DW_TAG_subrange_type に DW_AT_type がなく、IBM XL Fortran および GCC コンパイラーの両方からデバッグ情報を正しく処理した場合に、更新された GDB でスタブインデックスタイプが正しく提供されるようになりました。

バグ修正

BZ#860646

gdm を使用して XDMCP (X Display Manager Control Protocol)経由でサーバーに接続すると、ssh -X コマンドを使用したリモートシステムへの別の接続により、X サーバーでの認証に間違っていました。そのため、xterm などのアプリケーションをリモートシステムに表示できませんでした。この更新により、上記のシナリオで互換性のある MIT-MAGIC-COOKIE-1 キーが提供されるため、このバグが修正されました。

バグ修正

BZ#790400

この更新以前は、、gd グラフィックライブラリーは、行のシックネスを変更すると、反転した Y 座標を誤って処理していました。その結果、シックネスが変更された行が誤って抽出されていました。この更新により、基礎となるコードがシックネスが正しく変更された行を引き出すように変更されます。

セキュリティーの修正

CVE-2012-4433

gegl ユーティリティーが .ppm (Portable Pixel Map)イメージファイルを処理する方法で、ヒープベースのバッファーオーバーフローにつながる整数オーバーフローの不具合が見つかりました。攻撃者は、特別に細工された .ppm ファイルを作成できます。これにより、gegl を開くと、gegl がクラッシュしたり、場合によっては任意のコードが実行される可能性があります。

バグ修正

BZ#818755

この更新以前は、geronimo-specs-compat パッケージの説明に不正確な参照が含まれていました。今回の更新では、これらの参照が削除され、説明が正確になりました。

セキュリティーの修正

CVE-2012-4405

ヒープベースのバッファーオーバーフローにつながる整数オーバーフローの欠陥が、Ghostscript の International Color Consortium Format ライブラリー(icclib)で見つかりました。攻撃者は、埋め込みイメージを含む特別に細工された PostScript または PDF ファイルを作成し、Ghostscript がクラッシュしたり、Ghostscript を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

BZ#643105

この更新以前は、CUPS Raster 出力を生成する gdevcups ドライバーがメモリー割り当てを誤って処理していました。これにより、場合によっては ghostscript プログラムが予期せず終了する可能性があります。今回の更新では、このバージョンの ghostscript へのメモリー割り当てを処理するためにバックポートされた修正が適用され、クラッシュは発生しなくなります。

BZ#695766

今回の更新以前は、CID Type2 フォントを含む特定の入力ファイルが、誤った文字スペースでレンダリングされていました。今回の更新では、CID Type2 fonts を持つすべての入力ファイルが正しくレンダリングされるようにコードが変更されます。

BZ#697488

この更新より前は、ランドスケープのページの向きが PXL raster 形式に変換されていた場合、ページの向きが正しくませんでした。この更新により、ランドスケープページサイズとポートアラビクションサイズが一致し、一致するものが見つかった場合は向きパラメーターが正しく設定されます。

セキュリティーの修正

CVE-2012-3481

ヒープベースのバッファーオーバーフローにつながる整数オーバーフローの欠陥が、GIMP の GIF イメージ形式のプラグインで見つかった。攻撃者は、特別に細工された GIF イメージファイルを作成し、開くと GIF プラグインがクラッシュしたり、GIMP を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2011-2896

ヒープベースのバッファーオーバーフローの不具合が、GIMP の GIF イメージ形式のプラグインで使用される Lempel-Ziv-Welch (LZW)展開アルゴリズムの実装で見つかった。攻撃者は、特別に細工された GIF イメージファイルを作成し、開くと GIF プラグインがクラッシュしたり、GIMP を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2012-3403

ヒープベースのバッファーオーバーフローの不具合が GIMP の KiSS CEL ファイル形式プラグインに見つかりました。攻撃者は、特別に細工された KiSS パレットファイルを作成できます。このファイルを開くと、CEL プラグインがクラッシュしたり、GIMP を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

BZ#782194

この更新が行われる前は、gtester-report スクリプトは glib2-devel パッケージで実行ファイルとしてマークされませんでした。そのため、gtester-report はデフォルトの権限で実行されませんでした。今回の更新で、glib2-devel パッケージ定義が変更され、このスクリプトを実行可能になりました。

バグ修正

BZ#843571

今回の更新以前は、このファイルに IPv6 ネームサーバーが 1 つ以上含まれている場合、glibc は /etc/resolv.conf ファイルのオプション rotate オプションを誤って処理していました。その結果、特に 1 つのプロセスで複数のクエリーを発行した場合に、DNS クエリーが予期せず失敗する可能性がありました。この更新により、リストされたサーバーの /etc/resolv.conf の内部構造への内部化と、オプションローテーション機能を実装するためのそれらの構造のソートとローテーションが修正されました。今回のリリースより、DNS 名は上記のシナリオで glibc で正しく解決されるようになりました。

セキュリティーの修正

CVE-2012-3404、CVE-2012-3405、CVE-2012-3406

glibc のフォーマットされた印刷機能の複数のエラーにより、攻撃者は FORTIFY_SOURCE の保護をバイパスし、アプリケーションで文字列欠陥の形式を使用する任意のコードを実行できる可能性があります。これらの保護は、このような欠陥の影響をアプリケーション中止に制限することが想定されます。

バグ修正

BZ#837026

プログラミングエラーにより、/etc/resolv.conf ファイルに IPv6 ネームサーバーが含まれている場合にのみ、ネームサーバーの内部アレイが部分的にのみ初期化されました。近くの構造の内容によっては、特定のアプリケーションがセグメンテーション違反で予期せず終了する可能性があります。/etc/resolv.conf ファイルに記載されている IPv6 ネームサーバーで適切な動作を復元するプログラミングエラーが修正されました。

バグ修正

BZ#902685

論理エラーにより、glibc の DNS コードが DNS サーバーから拒否された応答を誤って処理していました。その結果、サーバーが REJECT 応答を返した後、/etc/resolv.conf ファイルで定義されている追加サーバーの検索に失敗することがあります。今回の更新で、glibc が REJECT 応答を返す場合でも /etc/resolv.conf にリストされているサーバーを介して適切にサイクルするため、このバグが修正されました。

バグ修正

BZ#864046

今回の更新以前は、glibc nscd デーモン内のメモリー管理でエラーが原因で、malloc （）関数で提供されていないポインターが解放されていました。その結果、nscd が予期せず終了する可能性があります。このバグは、多数のメンバーを持つグループを処理する場合にのみ発生しました。この更新により、プールアロケーターによって割り当てられたメモリーが "free" に渡されなくなります。代わりに、プールアロケーターのガベージコレクターがメモリーを再利用できるようにします。その結果、多数のメンバーを持つグループで nscd がクラッシュしなくなりました。

セキュリティーの修正

CVE-2012-3480

文字列を数値表現(strtod （)、strtof （）、および strtold （））に変換するための glibc の関数に、複数の整数オーバーフローの欠陥が発生し、スタックベースのバッファーオーバーフローが見つかりました。攻撃者がこのような関数を攻撃者が制御している場合、アプリケーションがクラッシュしたり、場合によっては任意のコードを実行したりする可能性があります。

バグ修正

BZ#808545

以前は、nscd デーモンが DNS (Domain Name System)クエリーへの応答として CNAME (Canonical Name)レコードを受け取ると、キャッシュされた DNS エントリーが、基盤となる A または AAAA 応答の TTL (Time to Live)値を採用していました。これにより、nscd デーモンが DNS エントリーを再ロードする前に、予想外に長い時間が待機することがありました。今回の更新により、nscd は、レコード全体の TTL として応答からの最短の TTL を使用します。このシナリオでは、DNS エントリーが期待どおりに再読み込みされるようになりました。

BZ#789238

以前は、メインの malloc のロックが再試行パスの誤ったものでした。これにより、スブークリクエストが失敗した場合、デッドロックが発生する可能性がありました。今回の更新で、再試行パス内のメインのロックのロックが修正されました。この問題は、RHSA-2012:0058 更新で提供されているバグ修正で公開されました。

BZ#688720

glibc にはフランス語、スペイン語、ドイツ語のロケールの数値区切りやグループ化に関する誤った情報がありました。したがって、glibc のロケールを使用するアプリケーションは、誤った区切り文字で印刷された番号をサポートし、それらのロケールが使用されている場合にグループ化します。今回の更新により、セパレーターおよびグループ化情報が修正されました。

BZ#781646

一部のプロセッサーでは、memcpy() 関数を呼び出す際に、最適化された関数バリアントが使用されていました。ただし、最適化された関数バリアントは、バッファーの後方互換性をコピーします。その結果、ソースおよびターゲットバッファーが重複した場合、プログラムは予期せぬ動作をしました。このような呼び出しは ANSI/ISO 標準に違反しているため、エラーとみなされるため、この更新では以前の memcpy （）の動作が復元され、このようなプログラムは、関数の非最適化バリアントを使用して、アプリケーションが以前と同じように動作できるようになりました。

BZ#782585

以前は、動的ローダーは初期化の誤った順序を生成していましたが、ELF 仕様に準拠していませんでした。これにより、DSO （動的共有オブジェクト）コンストラクターおよびデストラクタの順序が間違っている可能性がありました。今回の更新により、依存関係の解決が修正されました。

BZ#739971

RHBA-2011:1179 glibc の更新によりリグレッションが発生し、glibc が誤って 126 を超えるメンバーを持つグループを解析しました。そのため、id などのアプリケーションは、特定のユーザーがメンバーであったすべてのグループを一覧表示できませんでした。この更新により、グループ解析が修正されました。

BZ#740506

malloc() ルーチン内の競合状態により、glibc が誤ってメモリーを割り当てすぎます。これにより、マルチスレッドアプリケーションが想定よりも多くのメモリーをスレッドに割り当てる可能性がありました。今回の更新により、競合状態が修正され、malloc の動作が MALLOC_ARENA_TEST および MALLOC_ARENA_MAX 環境変数に関するドキュメントと一致するようになりました。

BZ#795498

以前は、glibc は誤った場所でエラー状態を検索したため、gaih_getanswer() 関数で 2 番目の応答バッファーを処理できませんでした。そのため、getaddrinfo() 関数がすべてのアドレスを適切に返すことができませんでした。今回の更新で、gaih_getanswer() の誤ったエラーテスト条件が修正され、2 番目の応答バッファーが正しく解析されるようになりました。getaddrinfo() 関数がすべてのアドレスを正しく返すようになりました。

BZ#750531

以前は、パラメーター the -O2 および -Wconversion パラメーターで htons() 関数を使用していたコードをコンパイルすると、次のような警告が発生していました。

warning: conversion to \u2018short unsigned int\u2019 from \u2018int\u2019 may alter its value

今回の更新で複数のマクロでタイプが修正され、この状況で警告が返されなくなりました。

BZ#696472

以前は、glibc は Intel Core i3、i5、および i7 プロセッサーを適切に検出しませんでした。そのため、glibc がいくつかの関数の誤った実装を使用したため、パフォーマンスが低下します。この更新で検出プロセスが修正され、ライブラリーがプロセッサーに適切な機能実装を提供します。

BZ#771342

以前は、fork() 呼び出しの後に、glibc は堅牢な futex リストを初期化しませんでした。その結果、共有堅牢なミューテックスロックは、子プロセスの終了後にクリーンアップされませんでした。今回の更新で、フォークシステムコールの後に、堅牢な futex リストが正しく初期化されるようになりました。

BZ#754628

プロセスがヒープに破損すると、malloc() 関数がエラーメッセージ文字列を作成するときにデッドロックになる可能性がありました。その結果、プロセスが応答しなくなる可能性がありました。今回の更新により、プロセスでは mmap() 関数を使用して malloc() 関数の代わりにエラーメッセージにメモリーを割り当てるようになりました。したがって、malloc （）デッドロックは発生しなくなり、破損したヒープのプロセスは正常に中止されるようになりました。

BZ#788959, BZ#797094, BZ#809602

以前は、glibc はさまざまなルーチンでバッファーの割り当てに alloca() を無条件に使用していました。このような割り当てが大規模な内部メモリー要求を適用した場合、スタックオーバーフローが発生し、アプリケーションが予期せず終了する可能性があります。この更新により、複数のアップストリームパッチが適用され、glibc がこれらの割り当てに malloc() を使用するようになり、問題は発生しなくなります。

BZ#789209

以前は、glibc は Ukrainian 通貨に誤ったシンボルを使用していました。今回の更新で、シンボルが修正されました。

BZ#752123

以前は、64 ビットシステムに 32 ビットの glibc-utils パッケージをインストールすることはできず、64 ビットの Intel アーキテクチャーではパッケージが欠落していました。今回の更新で、spec ファイルが変更され、それぞれのファイルを移動して競合を回避できるようになりました。その結果、パッケージが期待どおりにこれらの 64 ビットシステムにインストールされるようになりました。

BZ#657572, BZ#785984

以前は、glibc は、Finish および中国語のロケールの省略月名に、面まないスペースを追加しました。今回の更新で、基礎となるコードが変更され、ロケール内の省略月名にスペースが追加されなくなりました。

BZ#767746

以前は、pthread_create() 関数から、glibc が誤ったエラーコードを返していました。その結果、一部のプログラムは、一時的なメモリー不足の状態など、一時的な障害に対してエラーを誤って発行していました。今回の更新で、pthread_create() 関数でメモリー割り当てが失敗した場合に glibc が正しいエラーコードを返すようになりました。

BZ#752122

以前は、glibc の動的ローダーが Advanced Vector Extensions (AVX)機能を誤って検出し、セグメンテーションフォールトで予期せず終了する可能性がありました。今回の更新で AVX の検出が修正され、問題は発生しなくなります。

BZ#766513

以前は、glibc の getopt ルーチンのエラー文字列が変更され、それぞれの日本翻訳が適合していなかったため、システムはメッセージの日本版を見つけることができませんでした。その結果、システムロケールが日本に設定されていても、エラーメッセージは英語で表示されていました。今回の更新で、エラー文字列の日本翻訳が修正され、問題が発生しなくなりました。

BZ#751750

以前は、IO_flush_all_lockp() 関数の glibc のロックが正しくありませんでした。これにより、マルチスレッドアプリケーションで fork() 関数を呼び出すときに、時折デッドロックが発生することがありました。今回の更新でロックが修正され、競合状態が回避されます。

BZ#784402

以前は、nscd デーモンは、負であってもすべての一時的な結果をキャッシュしていました。これにより、誤って nscd の結果が発生する可能性がありました。この更新により、一時的なエラーの負の結果がキャッシュされなくなります。

BZ#804630

resolv.conf ファイルに IPv6 および options rotate のネームサーバーのみが含まれる場合、検索ドメインは常に追加されていました。ただし、完全修飾ドメイン名(FQDN)の場合や、FQDN が使用された場合に解決されない場合は解決できませんでした。今回の更新により、基礎となるコードが変更され、resolv.conf に複数の IPv6 ネームサーバーが定義されている場合、FQDN が正しく解決されるようになりました。この問題の詳細は、バグ 771204 を参照してください。

BZ#789189

以前は、resolv.conf ファイルを解析する際に、glibc は nameserver エントリーのスペースの解析を正しく処理しませんでした。その結果、正しい DNS ルックアップに失敗していました。今回の更新でスペース解析が修正され、問題が発生しなくなりました。

BZ#804689

getaddrinfo() 呼び出しは、誤った値を返す可能性がありました。これは、getaddrinfo のクエリーが必要以上に複雑で、getaddrinfo がクエリーによって返される追加情報を正しく処理できなかったために発生しました。今回の更新により、クエリーで追加情報が返されなくなり、問題が修正されています。

機能拡張

BZ#697421, BZ#749188

以前は、glibc は、az_AZ、as_IN、および tt_RU の ISO-10646-UCS-2 文字セットに対応していませんでした。今回の更新で、文字セットとロケールのサポートが追加されました。

バグ修正

BZ#829891

以前は、ユーザーがシステムのホットキー（最も一般的な Fn+F7）にアクセスしてディスプレイ設定を変更すると、システムが無効なモードに切り替わり、表示に失敗する可能性がありました。今回の更新により、gnome-desktop が有効な XRandR モードを選択し、ホットキーでディスプレイを正しく切り替えて期待どおりに機能するようになりました。

BZ#639732

以前は、オブジェクトが破棄されないため、Nautilus ファイルマネージャーは過剰な量のメモリーを消費する可能性がありました。したがって、常駐メモリーを常に拡張すると、システムの速度が低下します。メモリーリークが発生しないようにソースコードが変更され、Nautilus は適切な量のメモリーを消費するようになりました。

バグ修正

BZ#860644

スレッドロックメカニズムのバグにより、データの読み取り中に gnome-keyring デーモンが急激に応答しなくなることがあります。この更新により、スレッドロックメカニズムが修正され、上記のシナリオの gnome-keyring でデッドロックがなくなりました。

BZ#708919, BZ#745695

以前は、ロックスレッドのメカニズムがありませんでした。このため、特定の状況では、gnome-keyring は、統合された ssh-agent からの複数のキー要求で予期せず終了する可能性があります。今回の更新により、欠落していたメカニズムが gnome-keyring に統合され、gnome-keyring が期待どおりに機能するようになりました。

バグ修正

BZ#839197

以前は、PackageKit 更新ツールが実行中で、RPM データベースへの書き込み中に、ユーザーがシステムからログアウトしたり、シャットダウンしたりできました。そのため、予期しない終了が原因で rpmdb が破損し、一貫性がなくなる可能性があり、rpm、yum、および PackageKit ユーティリティーの後続の操作でさまざまな問題が発生する可能性があります。この更新により、rpmdb へのトランザクションがアクティブなときにシステムのシャットダウンを許可しないように PackageKit が変更され、このバグが修正されました。

BZ#676866

システムの再開または表示を再度有効にした後、通知領域にアイコンが表示され、"Session active, not inhibited, screen idle. という誤ったツールチップが表示されることがありました。このテストが表示された場合、ディスプレイサーバーは壊れているため、ディストリビューターに通知する必要があります。また、外部の Web ページへの URL を含める必要があります。このエラーメッセージは正しくないため、システムに影響を与えず、無視しても問題ありません。さらに、通知やステータス領域からの外部 URL へのリンクは不要です。これを防ぐために、アイコンはアイドル状態の問題のデバッグに使用されなくなります。

バグ修正

BZ#860643

必須プロファイルが有効になっている場合、Gnome Screensaver Preferences ウィンドウの "Lock when screen saver is active" オプションは無効ではありませんでした。このバグにより、ユーザーのセキュリティーリスクが生じる可能性があります。今回の更新で、上記のシナリオで想定どおりに lock-screen オプションが無効になるようになり、このバグが回避されます。

バグ修正

BZ#866528

以前は、システムホットキーを使用してディスプレイ設定を変更した場合に、有効な XRandR 設定を選択できず、モニターがクローンモードで保持されていませんでした。そのため、ディスプレイを切り替えることは不可能でした。今回の更新で、gnome-settings-daemon は常に有効な XRandR モードを選択し、クローンモードを期待どおりに設定または設定解除するため、このバグが修正されました。

BZ#693843

以前は、特定のマシンの選択したキーボードレイアウトは、ユーザーがログインするたびに "US" レイアウトに戻りました。今回の更新でバグが修正され、選択したキーボードレイアウトが元に戻らなくなりました。

BZ#805036

以前は、スクリーンタブレットの自動マッピングは NVIDIA ドライバーでは機能しませんでした。今回の更新で、NV-CONTROL 拡張機能のサポートが追加され、スクリーンタブレットの自動マッピングが期待どおりに機能するようになりました。

BZ#805042

以前は、Wacom グラフィックタブレットプラグインでは、アクションへのボタンマッピングが機能しませんでした。その結果、Map Buttons は GUI に表示されず、Wacom グラフィックタブレットのアクティブ化ボタンの効果はありませんでした。今回の更新で、これらの問題が修正されました。

BZ#769464

この更新により、Wacom グラフィックタブレットが gnome-settings-daemon でサポートされるようになりました。

BZ#816646

今回の更新で、gnome-settings-daemon が GConf に設定を保存する方法が変更されました。以前は、設定はユーザーごとおよびデバイスごとに保存されていました。今回の更新により、設定はユーザーごと、デバイスごと、およびマシンごとに保存されるようになりました。

BZ#682011

今回の更新以前は、gnome-system-monitor に 64 ビット PowerPC アーキテクチャー上のマシンモデルに関する情報エントリーが含まれている場合、/proc/cpuinfo ファイルの内容を正しく解析できませんでした。その結果、誤った Unknown CPU モデルプロセッサーがアプリケーションによって誤って報告されました。今回の更新では、追加のプロセッサーを特定しない場合に、解析コードがそのような情報を破棄するように変更されます。

BZ#692956

今回の更新以前は、gnome-system-monitor パーサーコードでは、すべてのアーキテクチャーに使用されていない CPU 速度を特定するための特定の文字列が必要でした。その結果、別の文字列(64 ビット PowerPC など)が使用されると、gnome-system-monitor が /proc/cpuinfo からのプロセッサー速度を正しく解析できませんでした。この更新により、このようなアーキテクチャーで使用される異なる文字列タイプをサポートするように解析コードが変更されます。

バグ修正

BZ#819796

この更新の前は、gnome-terminal は完全に Asamese にローカライズされませんでした。今回の更新で、Assamese ロケールが更新されました。

バグ修正

BZ#772637

以前は、ドットツールが 32 ビットおよび 64 ビットのアーキテクチャーで異なるイメージを生成するため、ビルドプロセス時に graphviz を使用するパッケージのマルチlib競合が発生する可能性がありました。この問題は、浮動小数点処理に使用されるさまざまな命令によって引き起こされました。32 ビットの Intel アーキテクチャーでは、コードが--ffloat-store コンパイラーフラグでコンパイルされるようになり、使用されるアーキテクチャーに関係なく同一のイメージが生成されるようになりました。

BZ#821920

graphviz-tcl パッケージには、さまざまな言語の例が含まれていた demo ディレクトリーが含まれていました。これにより、暗黙的な依存関係が導入されました。今回の更新により、すべての例がドキュメントとしてインストールされ、暗黙的な依存関係の数が減少するようになりました。

BZ#849134

%postun スクリプトレットで実行される dot -c" コマンドは、graphviz 設定ファイルを再作成し、インストールされたプラグインの現在の状態とともに最新の状態にします。以前は、コマンドが設定ファイルで指定されたプラグインの読み込みに失敗すると、graphviz-gd パッケージの削除時に警告メッセージが出力されました。これらのメッセージは混乱を招く可能性があるため、削除されました。

BZ#741452

以前は、grep ユーティリティーは EPIPE エラーを処理できませんでした。シェルが SIGPIPE シグナルをブロックしている場合は、grep keep がエラーメッセージを継続的に出力します。この問題に対応するためにアップストリームパッチが適用されたため、grep は最初の EPIPE エラーで終了し、エラーメッセージは 1 つだけ出力されます。

BZ#696960

以前は、grubby が "--args=[arguments] --update-kernel=ALL" オプションで実行され、編集した設定ファイルにブート設定が保存されたすべてのカーネルのコマンドライン引数を更新すると、ファイルの最初のカーネルの引数のみが更新されていました。その結果、他のカーネルの引数は更新されませんでした。この更新により、前述のオプションで grubby の起動時に、設定ファイル内のすべてのカーネルの引数が確実に更新されます。

BZ#670266

基盤となるソースコードのエラーにより、PXE (Preboot Execution Environment)ネットワークインターフェイスカード(NIC)を備えたシステムでネットワークからネットワークを起動すると、以前のバージョンの GRUB が Unified Extensible Firmware Interface (UEFI)モードで起動できない場合があります。この更新により、システムによって提案されるアドレスを使用する代わりに、GRUB が Dynamic Host Configuration Protocol (DHCP)を介してアドレスをすでに取得しているアクティブなインターフェイスを特定して使用しようとします。その結果、UEFI モードでのネットワークからの起動が、複数の NIC を備えたシステムで期待どおりに機能するようになりました。

Enhancement

BZ#755777

今回の更新では、ffmpegcolorspace プラグインにカラー変換の色マトリクスサポートが追加されました。

BZ#697437

以前は、Open Files ダイアログボックスは、以前に検索モードで使用されていた場合に、Size 列を表示できませんでした。今回の更新では、Show Size Column コンテキストメニューオプションに従ってサイズ列が常に表示されるようにすることで、バグが修正されています。

BZ#750756

以前は、Ctrl+Insert キーの組み合わせを使用して、メッセージダイアログ ボックスに表示されるラベルなど、選択可能なラベルからテキストをコピーすることは機能しませんでした。この更新では、選択したテキストをアクティブ化時にクリップボードにコピーする Ctrl+Insert キーの組み合わせが追加されます。

BZ#801620

以前は、virt-viewer などの特定の GTK アプリケーションはメニュー項目に関連付けられたキーバインディングを適切に初期化できませんでした。これは、メニュー項目に関連するプロパティーがライブラリーによって解析された方法のバグが原因でした。この更新によりバグが修正され、この機能を使用するアプリケーションのキーバインディングによってメニュー項目が再びアクセス可能になるようになりました。

BZ#689188

以前は、ファイルタイプフィルターに非常に長い文字列が含まれている場合（特定のイメージホスティング Web サイトで確認）、ダイアログが使用できなくなった場合、ファイルのオープンダイアログボックスが異常な幅と共に表示されていました。今回の更新で、ダイアログボックスはフィルター文字列をテキスト行に分割し、ダイアログで妥当な幅を確保できるようになりました。

バグ修正

BZ#599055

以前は、マウントを無視するルールが制限が多すぎるという問題がありました。ユーザーが Nautilus' サイドバーで暗号化されたボリュームをクリックすると、エラーメッセージが表示され、ボリュームにアクセスできませんでした。基礎となるソースコードには、暗号化されたボリュームが適切なマウントが関連付けられ（利用可能な場合）、予想通りにファイルシステムを参照できるように追加のチェックが含まれるようになりました。

BZ#669526

カーネルのバグにより、新しくフォーマットされた Blu-ray Disk Rewritable (BD-RE)メディアには、メディア全体をカバーする無効なデータを含む 1 つの追跡が含まれています。この空のトラックはこれまで誤検出され、Brasero などの特定のアプリケーションでドライブが使用できなくなりました。今回の更新で、空のトラックを検出する回避策が追加され、新規にフォーマットされた BD-RE メディアが空白と適切に認識されるようになりました。

BZ#682799, BZ#746977, BZ#746978, BZ#749369, BZ#749371, BZ#749372

gvfs-info、gvfs-open、gvfs-cat、gvfs-ls ユーティリティー、gvfs-mount ユーティリティーのコードに、ハードコーディングされた終了コードが含まれていました。これにより、ユーティリティーは終了時に常にゼロを返していました。上記の gvfs ユーティリティーによって適切な終了コードが返されるように、終了コードが修正されました。

BZ#746905

無効なコマンドライン引数を指定して gvfs-set-attribute を実行すると、ユーティリティーはセグメンテーションフォールトで予期せず終了しました。無効な引数が指定されている場合にユーティリティーが適切にエラーメッセージを出力するように、基礎となるソースコードが変更されました。

BZ#809708

オブジェクトのクリーンアップ呼び出しがないため、gvfsd デーモンは過剰な量のメモリーを使用する可能性があり、これによりシステムが応答しなくなります。この更新により、適切なオブジェクトクリーンアップ呼び出しが追加されました。これにより、メモリー消費が一定になり、このシナリオでシステムがハングしなくなりました。

BZ#816735

hsqldb が JDBC 4.1 のスタブを追加するように更新されました。

BZ#737467

今回の更新により、Acer 76ieモニターに関する情報でモニターデータベースが更新されました。また、データベースからいくつかの重複したモニターエントリーが削除されました。

BZ#760014

pci.ids データベースが更新され、Atheros ワイヤレスネットワークアダプター Killer Wireless-N 1103 に関する情報が追加されました。

セキュリティーの修正

CVE-2012-3422

IcedTea-Web プラグインで初期化されていないポインターの使用の不具合が見つかりました。悪意のある Web ページにアクセスすると、IcedTea-Web プラグインを使用する Web ブラウザーがクラッシュしたり、メモリーの一部を開示したり、任意のコードを実行したりする可能性があります。

CVE-2012-3423

IcedTea-Web プラグインが誤ってブラウザーから受信したすべての文字列が NUL 終了されたと仮定しました。NUL 終了文字列のない Web ブラウザーでプラグインを使用する場合、Java アプレットを含む Web ページにアクセスすると、ブラウザーがクラッシュしたり、メモリーの一部を開示したり、任意のコードを実行したりする可能性があります。

セキュリティーの修正

CVE-2012-4540

IcedTea-Web プラグインでバッファーオーバーフローの不具合が見つかりました。悪意のある Web ページにアクセスすると、IcedTea-Web プラグインを使用する Web ブラウザーがクラッシュしたり、場合によっては任意のコードを実行したりする可能性があります。

BZ#713433

この更新以前は、IMSettings デーモンが予期せず、新しいポインターを取得した後に以前のポインターを無効にしていました。この更新により、IMSettingsが変更され、すべてのトランザクションが終了した後にコードが更新されます。

BZ#733265

この更新より前は、10 進数浮動小数点定数のコードで indent ユーティリティーを実行すると、接尾辞が正しく区切られていました。その結果、インデントが原因でコンパイル構文エラーが発生する可能性がありました。今回の更新では、ISO/IEC WDTR2 の N1312 ドラフトで提案されている 10 進数の浮動小数点接尾辞を理解するために、インデントが変更されています。今回のリリースより、インデントが期待どおりに 10 進数浮動小数点定数を処理するようになりました。

BZ#784304

この更新以前は、indent がテストに合格しない場合、内部テストスイートは終了コードによるテストの失敗を通知しませんでした。今回の更新では、ゼロ以外の値を持つ終了呼び出しが追加され、失敗を通知します。

バグ修正

BZ#854852

以前は、VLAN 名の命名ポリシーが厳密すぎていました。そのため、if-down ユーティリティーは、/proc/net/vlan/config ファイルからわかりやすい名前のインターフェイスを適切に削除しませんでした。今回の更新により、名前形式のチェックが削除され、上記のシナリオで if-down が想定どおりに機能するようになりました。

バグ修正

BZ#781493

initscripts の以前のバージョンは、IPv4 ルーティングと同じ方法で IPv6 ルーティングをサポートしていませんでした。IPv6 アドレスおよびルーティングは、/etc/sysconfig/network-scripts/rule - DEVICE_NAME 設定ファイルで ip コマンドを明示的に指定してのみ実行できます。DEVICE_NAME は、それぞれのネットワークインターフェイスの名前に置き換えます。今回の更新で、IPv6 ベースのポリシールーティングのサポートを提供するように、関連するネットワークスクリプトが変更され、IPv6 ルーティングは /etc/sysconfig/network-scripts/rule6-DEVICE_NAME 設定ファイルで個別に設定されるようになりました。

BZ#786404

システムのインストール後の初回起動時に、カーネルエントロピーは sshd の高品質の鍵を生成するのに比較的小さくなっていました。今回の更新で、システムのインストール時にディスクアクティビティーによって作成されたエントロピーが /var/lib/random-seed ファイルに保存され、キーの生成に使用されます。これにより、十分な無作為性が提供され、十分なエントロピーに基づいてキーを生成することができます。

BZ#582002

緊急モードでは、/dev/tty デバイスからの読み取り要求はすべてエラーで失敗したため、/dev/tty デバイスから読み取ることができませんでした。これは、シングルユーザーモードが有効な場合に、sulogin アプリケーションを直接呼び出す rc.sysinit スクリプトが原因で発生しました。ただし、sulogin を正しく動作させるには、コンソールの所有者である必要があります。この更新により、rc.sysinit は rcS-emergency ジョブを開始し、正しいコンソール設定で sulogin を実行します。

BZ#588993

ifconfig ユーティリティーは InfiniBand 環境で 20 バイトの MAC アドレスを処理できず、提供されたアドレスが長すぎたと報告しました。今回の更新により、それぞれの ifconfig コマンドがそれぞれの ip コマンドのエイリアスに変更され、ifconfig は 20 バイトの MAC アドレスを正しく処理するようになりました。

BZ#746045

論理エラーにより、sysfs() 呼び出しによって arp_ip_target が正しく削除されていませんでした。その結果、ボンディングデバイスをシャットダウンしようとすると、次のエラーが表示されました。

ifdown-eth: line 64: echo: write error: Invalid argument

この更新により、スクリプトが発生しなくなり、arp_ip_target が正しく削除されるようになりました。

BZ#746808

serial.conf ファイルには、アクティブなシリアル デバイスに対応する /etc/init/tty<device>.conf ファイルの作成方法に関するコメントが改善されました。

BZ#802119

ネットワーク サービスは、サービスの起動時に以下のようなエラーメッセージを表示していました。

Error: either "dev" is duplicate, or "20" is a garbage.

これは、解析された引数の誤った分割が原因でした。今回の更新により、引数が正しく処理され、問題が発生しなくなりました。

BZ#754984

halt initscript には、apcupsd デーモン（APC の UPS の電源管理と制御(Uninterruptible Power Supply)提供のサポートが含まれていませんでした。その結果、供給は電源障害時にオフにされませんでした。この更新により、スクリプトにサポートが追加され、期待どおりに電源障害状況で UPS モデルがオフになりました。

BZ#755175

以前のバージョンの initscripts では、変数 kernel.msgmnb および kernel.msgmax の説明を含むコメントが正しくありませんでした。今回の更新で、コメントが修正され、変数が正しく説明されるようになりました。

BZ#787107

論理オペレーターが正しくないため、シャットダウンプロセスの失敗時に、ネットワークサービスのシャットダウン時に次のエラーが返されました。

69: echo: write error: Invalid argument

今回の更新で、シャットダウン initscript のコードが変更され、ネットワークサービスのシャットダウン時にエラーが返されなくなりました。

BZ#760018

シャットダウン中にシステムが応答しなくなることがあります。これは、initscript が CIFS (Common Internet File System)共有マウントがあり、シャットダウン前にマウントされた CIFS 共有のアンマウントに失敗したかどうかを確認しなかったために発生しました。今回の更新で、CIFS 共有チェックが追加され、シャットダウン前に共有が停止されるようになりました。

BZ#721010

ifup-aliases スクリプトは、IP エイリアスデバイスの起動時に ifconfig ツールを使用していました。その結果、ifup の実行は、NIC （ネットワークインターフェイスカード）デバイス上のデバイスの数を増やすことで、段階的に遅くなります。今回の更新により、IP エイリアスは ifconfig ではなく ip ツールを使用し、説明されているシナリオで ifup-aliases スクリプトのパフォーマンスが保たれるようになりました。

BZ#765835

今回の更新以前は、netconsole スクリプトは、/etc/sysconfig/netconsole ファイルで指定されたルーターの MAC アドレスを検出し、解決できませんでした。これは、アドレスが 2 つの同一アドレスとして解決され、スクリプトが失敗していたために発生しました。今回の更新で、netconsole スクリプトが正しく処理され、デバイスが期待どおりに検出されるようになりました。

BZ#757637

Malay (ms_MY)ロケールでは、一部のサービスが適切に機能しませんでした。これは、ms.po ファイルの誤字が原因で発生しました。この更新により、ms_MY ロケールの誤りとサービスが期待どおりに実行される問題が修正されました。

BZ#749610

ifup-eth ツールでのボンディングの 主な オプションは、NIC デバイスのボンディング時にタイミングの問題がありました。その結果、ボンディングは設定されていましたが、最初にスレーブに登録されたアクティブなインターフェイスでした。今回の更新で、primary オプションを使用したボンディングのタイミングが修正され、primary オプションで定義されたデバイスが期待どおりに最初にスレーブになりました。

Enhancement

BZ#704919

ユーザーは、/etc/sysconfig/network ファイルまたはその他の関連する設定ファイルで NISDOMAIN パラメーターを設定することにより、NIS （ネットワーク情報サービス）ドメイン名を設定できるようになりました。

バグ修正

BZ#814541、BZ#814548

以前は、指定された名前でキーマップを保存すると、事前定義の命名規則に従って、ファイル名がユーザーに気付かずに - 接頭辞で保存されていました。今回の更新により、ユーザーがキーマップを保存しようとすると、必要なファイル名の形式を表示するダイアログボックスが表示されます。

BZ#819795

この更新では、サポートされているすべてのロケールの完全な iok 翻訳が提供されます。

バグ修正

BZ#736992

xkeyboard-config パッケージの最近の更新で xkb のキーマップが書き換えられているため、Hindi X Keyboard Extension (XKB)を選択するときに iok の言語リストに誤った xkb キーマップ名が含まれていました。この問題を修正するために、iok の xkb パーサーが書き換えられました。

BZ#752667

以前は、iok は "~/.m17n.d" ディレクトリーではなく、"~/.m17n" ディレクトリーに ".mim" 接尾辞が付いたファイルを検索していました。今回の更新で、ディレクトリーパスを正しい "~/.m17n.d" に変更し、ユーザー定義のキーマップファイルが正しいディレクトリーに保存されます。

BZ#752668

以前は、画面のキーボードを使用する場合、マウスクリックは期待どおりに機能していました。ただし、ユーザーが次に選択した文字に関係なく、最初に選択された文字が選択されているため、フェデレーション入力は失敗しました。今回の更新により、ユーザーは詳細モード(iok -a" コマンド)で iok を実行する際にドラッグアンドドロップ機能を使用できるようになりました。これにより、ユーザーは最初のキーボタンを 2 つ目のボタンにドラッグできます。ドラッグアンドドロップ機能は、iok のデフォルトモードでは使用できません。

BZ#798592

xkb 名アレイのサイズが小さいため、ユーザーが xkb-Malayalam キーマップ(Rupee 記号付きの必須スクリプト)を選択した場合に、iok ユーティリティーが予期せずに終了する可能性があります。今回の更新で、xkb の name アレイのサイズが増加し、上記のシナリオでユーティリティーがクラッシュしなくなりました。

セキュリティーの修正

CVE-2012-5484

IPA ドメインに参加しようとするときに、IPA クライアントが IPA サーバーと通信する方法に弱点が見つかりました。参加中に IPA サーバーの認証局(CA)証明書をクライアントに提供する安全な方法がないため、IPA クライアント登録プロセスは中間者攻撃の影響を受けやすくなりました。この欠陥により、攻撃者は IPA クライアントが提供する認証情報を使用して IPA サーバーにアクセスできます。これには、管理者の認証情報を使用して参加が実行された場合、ドメイン全体への管理アクセスが含まれます。

注記

IPA クライアントにはサーバーの CA 証明書がまだ含まれていないため、この弱点は、最初のクライアントがレルムに参加している間のみ公開されました。IPA クライアントがレルムに参加し、IPA サーバーの CA 証明書を取得すると、それ以降の通信はすべて安全になります。クライアントが OTP （ワンタイムパスワード）メソッドを使用してレルムに参加している場合、攻撃者はサーバーへの非特権アクセスのみを取得でき（レルムのみに参加するため）、

バグ修正

BZ#810900

Directory Server の Identity Management パスワードポリシープラグインは、パスワード変更の健全性をチェックする際にユーザーパスワードの履歴を適切に並べ替えませんでした。このバグにより、ユーザーパスワード履歴はランダムにソートされ、リストがオーバーフローしたときに最も古いパスワードではなく、ランダムなパスワードが削除されました。その結果、ユーザーはパスワードの繰り返しのパスワードポリシー要件をバイパスする可能性があります。ユーザーパスワードは、Directory Server の Identity Management パスワードプラグインで正しくソートされ、パスワードの繰り返しの要件が適切に適用されるようになりました。

BZ#805478

Identity Management パーミッションプラグインのバグにより、パーミッションの名前の変更を常に試行するとエラーが発生していました。その結果、ユーザーはパーミッションを削除し、パーミッションの名前を変更する際に、新しい名前で新しいパーミッションを作成する必要がありました。この更新により、この問題に対処するために基礎となるソースコードが変更され、ユーザーはパーミッションの名前を変更できるようになりました。

BZ#701677

以前は、DNS プラグインは、ユーザーが Identity Management が管理するゾーンにクエリーまたは転送ポリシーを設定できませんでした。そのため、プレーンテキストのファイルに保存されているゾーンの場合と同じ方法で、ゾーンのクエリーや転送が可能なユーザーを制御できませんでした。この更新により、ユーザーは Identity Management が管理するすべてのゾーンに ACL を設定できるようになり、ユーザーはゾーンのクエリーやゾーン転送の実行ができるユーザーを制御できます。

BZ#773759

適切な権限を持つユーザーは、他のユーザーのパスワードを変更できます。ただし、以前はこのパーミッションのターゲットグループは制限されていませんでした。その結果、パスワードを変更する権限を持つ管理者以外のユーザーは admin ユーザーのパスワードを変更し、管理者アカウントにアクセスする可能性がありました。今回の更新により、管理者以外のユーザーのみのパスワード変更を許可するようにパーミッションが変更されました。

BZ#751173

ipa passwd CLI コマンドを使用してユーザーのパスワードを変更すると、パスワード変更の失敗時に以下のエラーメッセージが返されました。

ipa: ERROR: Constraint violation: Password Fails to meet minimum strength criteria

ユーザーパスワードの変更は、設定されたパスワードポリシーの対象となります。適切なエラーメッセージがなければ、パスワード変更が失敗した理由（パスワードの複雑性、パスワードの変更など）を調査して、状況を修正することが難しい場合があります。ipa passwd コマンドが失敗した場合、パスワードの変更に使用される Directory Server プラグインが適切なエラーメッセージを返すようになりました。

BZ#751597

Identity Management サーバーが DNS で適切に解決できないカスタムホスト名でインストールされると、そのユーザーにカスタムホスト名の IP アドレスが要求されます。次に、カスタムホスト名が解決可能であり、インストールを続行できるように、ホストレコードが /etc/hosts ファイルに追加されます。ただし、以前は、the -ip- address オプションを使用して IP アドレスが渡される際にレコードは追加されませんでした。その結果、後続の手順でマシンの IP アドレスを解決できないため、インストールが失敗しました。今回の更新で、IP アドレスが the -ip-address オプションを介して渡された場合でも、ホストレコードが /etc/hosts に追加され、インストールプロセスが期待どおりに続行されます。

BZ#751769

LDAP サーバーインスタンスがカスタムポートで実行されており、Identity Management と競合しない場合でも、カスタム LDAP サーバーインスタンスを持つサーバーに Identity Management をインストールできませんでした。そのため、ユーザーは Identity Management を使用するシステムにカスタム LDAP インスタンスをデプロイできませんでした。今回の更新により、Identity Management は LDAP インスタンスが存在しないことを強制しなくなりました。代わりに、予約された LDAP ポート(389 および 636)が空であることを確認します。ユーザーは、カスタムポートで実行される限り、Identity Management サーバーとカスタム LDAP サーバーインスタンスを組み合わせることができます。

BZ#753484

Identity Management Web UI への Kerberos シングルサインオンに失敗すると、Web UI はログインおよびパスワード認証にフォールバックしませんでした。Identity Management の Kerberos レルム外のワークステーション、または互換性のないブラウザーは、Kerberos 認証からログインへのフォールバックおよびパスワード認証が Identity Management Web サーバーで設定されていない限り、Web UI にアクセスできませんでした。Kerberos 認証を使用できない場合、Web UI はフォームベースの認証にフォールバックできるようになりました。

BZ#754973

Active Directory マシンで winsync アグリーメントに対して使用すると、ipa-replica-manage コマンドの force-sync、再初期化、および del サブコマンドが失敗しました。これにより、winsync レプリカ合意を制御するユーザー機能が制限されます。今回の更新で、標準のレプリカ合意と winsync アグリーメントの両方を堅牢な方法で管理するように ipa-replica-manage が修正されました。

BZ#757681

Identity Management インストーラーは、--no-host-dns オプションが渡されたときにホスト IP アドレスを適切に処理しませんでした。ホスト名が解決できず、--no-host-dns オプションが使用されると、ipa-replica-install ユーティリティーはインストール時に失敗し、ipa-server-install ユーティリティーと同様にホスト名の解決を修正しませんでした。今回の更新で、ipa-server-install および ipa-replica-install がホスト IP アドレス処理を共有するようになり、サーバーまたはレプリカのホスト名が解決できない場合に、いずれも /etc/hosts ファイルにレコードを追加するようになりました。

BZ#759100

Identity Management サーバーのインストールスクリプトは、サーバーに 2 つの IP アドレスが割り当てられている場合の状況を適切に処理せず、インストールを続行できませんでした。今回の更新でインストールスクリプトが修正され、デュアル NIC 設定での Identity Management サーバーのインストールが期待どおりに機能します。

BZ#750828

Identity Management を --external-ca オプションを指定してインストールすると、インストールは 2 つのステージに分割されます。インストールプロセスの 2 番目の段階では、最初の段階で保存されたファイルから設定オプションを読み取ります。以前は、インストーラーが DNS フォワーダー IP アドレスを使用して値を適切に保存しませんでした。これはインストールプロセスの第 2 段階で読み取られず、インストールの第 2 段階のネームサーバー設定に失敗していました。今回の更新で、forwarder オプションが正しく保存され、インストールが期待どおりに機能するようになりました。

BZ#772043

今回の更新以前は、Identity Management netgroup プラグインは netgroup 名を検証しませんでした。そのため、無効な名前を持つネットグループは LDAP サーバーに保存され、無効な値が NIS プラグインによって処理されるとクラッシュする可能性がありました。Identity Management netgroup プラグインは、netgroup 名の検証を強制するようになりました。

BZ#772150

特定の Identity Management レプリカ合意は、レプリケーションから除外される必要がある属性のリストを無視していました。LDAP サーバープラグイン（この例では memberOf 属性）によって各マスターにローカルに生成される Identity Management 属性 が複製されました。これにより、すべての Identity Management レプリカの LDAP サーバーが memberOf データを再処理し、LDAP サーバーの負荷を増やします。短期間に多くのエントリーがレプリカに追加されるときや、レプリカが別のマスターから再初期化されると、すべてのレプリカが memberOf の変更であっっぱいになり、すべてのレプリカマシンで高負荷が発生し、パフォーマンスの問題が発生していました。ipa-replica-install ユーティリティーによって追加された新しいレプリカ合意は、レプリケーションから除外される属性のリストを無視しなくなりました。再初期化、または Identity Management LDAP サーバーに追加されたエントリーの数が多いと、memberOf 処理によるパフォーマンスの問題が発生することはなくなりました。古いレプリカ合意が更新され、レプリケーションから除外される属性の正しいリストが含まれるようになりました。

BZ#784025

ipa automountmap-add-indirect コマンドは、新しいマップを作成し、新しい間接マップを参照する親マップ（デフォルトではauto.master ）にキーを追加します。マップネスト化は auto.master マップでのみ許可されるため、他のマップで参照されるサブマウントマップは標準のサブタイプ形式(< key > < origin > < mapname>)に従い、参照されるマップが LDAP から正しく読み込まれるようにする必要があります。ただし、automountmap-add-indirect サブコマンドはこの区別に従い、< origin > 属性と < mapname > 属性が正しく入力されませんでした。そのため、auto.master 以外のマップで参照されるサブマウントマップは、autofs クライアントソフトウェアによって自動マウントマップとして認識されず、マウントされませんでした。auto.master マップではないマップで参照されるサブマウントマップは、正しい < key >、< origin > (-fstype=autofs)、および < mapname > (ldap:$MAP_NAME)を使用して、標準のサブマウント形式に従うようになりました。Auto fs クライアントソフトウェアは、auto.master およびその他のマップの両方のサブマウントマップを正しく処理し、それらをマウントできるようになりました。

BZ#785756

今回の更新以前は、Identity Management ユーザープラグインは、設定された値を使用する代わりに、ユーザーのホームディレクトリーにハードコーディングされたデフォルト値を使用していました。管理者が Identity Management 設定プラグインのデフォルトのユーザーのホームディレクトリーをデフォルト値からカスタム値に変更した場合に、ユーザーの追加時にこの値が許可されませんでした。今回の更新でこのバグが修正され、特別なオプションを介してカスタムホームディレクトリーを指定せずに新しいユーザーが作成されると、デフォルトの設定済みホームディレクトリーが使用されます。

BZ#797274

Identity Management 証明書テンプレートには、RFC 3280 ドキュメントで SHOULD キーワードが付いているにもかかわらず、subjectKeyIdentifier フィールドが含まれていませんでした。このため、これらの証明書を処理する特定のアプリケーションはエラーを報告する可能性があります。今回の更新により、現在の IPA サーバーと新しい IPA サーバーインストールの両方の証明書テンプレートに subjectKeyIdentifier フィールドが含まれるようになりました。

BZ#797562

Identity Management ホストおよび DNS プラグインは、末尾のドットでホスト名または DNS ゾーン名を適切に処理しませんでした。そのため、作成されたホストレコードの FQDN 属性には、正規化された値ではなく 2 つの値が含まれていました。これが原因で、さらにホストレコードの処理で問題が発生する可能性がありました。今回の更新により、すべてのホスト名は末尾のドットのない形式を使用して正規化されるようになりました。Identity Management DNS プラグインは、末尾のドットの有無にかかわらず、両方の形式で DNS ゾーン名を受け入れるようになりました。

BZ#797565

以前のバージョンでは、CSV は CLI と Identity Management 処理のサーバー部分の両方で分割されていました。その結果、エスケープされたコンマ文字を含む値が 2 回目用に誤って分割されました。今回の更新により、CSV 処理はクライアントインターフェイスでのみ実行されるようになりました。Identity Management RPC インターフェイス(XML-RPC および JSON-RPC の両方)は CSV を処理しなくなりました。コンマエスケープも引用に置き換えられました。

BZ#797566

Identity Management サーバーのアンインストールプロセスにより、Identity Management インストールの一部として追加されたシステムユーザーが削除されました。これには、Directory Server がインスタンスを実行するために使用する dirsrv または pkiuser ユーザーが含まれていました。また、これらのユーザーは Directory Server によって生成された独自のログファイルも所有します。Identity Management サーバーが再度インストールされ、新たに追加されたシステムユーザーの UID が変更されると、Directory Server インスタンスは、異なる UID を持つ古いシステムユーザーが所有するログファイルへの書き込みが許可されていなかったため、Directory Server が起動に失敗する可能性がありました。今回の更新により、Identity Management サーバーのインストールによって生成されたシステムユーザーはアンインストールプロセス中に削除されなくなりました。

BZ#747693

LDAP ACI 管理用の Identity Management プラグイン（パーミッション、セルフサービス、および委譲プラグイン）は、それらのオプションを堅牢な方法で処理せず、渡された値の検証を緩和しました。ACI 管理プラグインは、空のオプションまたは- raw オプションが渡されたときに 内部エラー を返す可能性がありました。無効な属性が ACI 属性リストオプションに渡されると、内部エラーも返されました。オプション処理は、検証においてより堅牢で厳格になりました。無効なオプション値または空のオプション値が渡されると、適切なエラーが返されるようになりました。

BZ#746805

有効/無効の状態（ユーザーアカウント、sudo ルール、HBAC ルール、SELinux ポリシー）を持つオブジェクトは、Web UI の関連する検索ページで区別されませんでした。無効化されたオブジェクトを含む行は検索ページでグレーアウトされ、有効な列には状態ごとに異なるアイコンが表示されるようになりました。

BZ#802912

Identity Management 証明書は、新しい証明書発行者を検証するときに、カスタムのユーザー証明書サブジェクトベースを読み取らませんでした。Identity Management サーバーがカスタムサブジェクトベースでインストールされ、デフォルトのサブジェクトベースを使用しない場合は、Identity Management 認証局で新しい証明書を発行すると、invalid issuer エラーが返される場合があります。この更新により、証明書発行者の検証前にカスタムのユーザー証明書サブジェクトベースが常に読み取られ、証明書の発行時に前述のエラーは返されなくなりました。

BZ#803050

内部サーバーエラーなどの予期しないエラーが発生した場合、Web UI のエラーダイアログで Cancel をクリックすると、ページコンテンツが置き換えられたため、Web UI が使用できなくなりました。今回の更新により、エラーメッセージに独自のコンテナーが含まれるようになり、前述の問題が修正されます。

BZ#803836

Identity Management は、常に RootDSE を匿名で利用できるように Directory Server インスタンスを設定し、復号化されませんでした。その結果、ユーザーが Directory Server インスタンス設定の nsslapd-minssf 属性を変更して、インスタンスへの接続に対するセキュリティー需要を向上させると、一部のアプリケーション( SSSDなど)は RootDSE に匿名で読み取られなくなるため、機能しなくなった可能性があります。この問題を修正するために、Identity Management では Directory Server インスタンス設定に nsslapd-minssf-exclude-rootdse オプションが設定されるようになりました。インスタンスに着信接続に対するセキュリティー需要が増加していても、Identity Management Directory Server インスタンスの RootDSE には匿名で RootDSE にアクセスできます。

BZ#807366

以前は、Web UI の Netgroup ページには、すべて のオプションを指定するための入力フィールドがありませんでした。今回の更新で、この機能を追加するために、Netgroup ページ全体が再設計されました。

BZ#688765

Identity Management DNS プラグインは DNS レコードの内容を検証しませんでした。一部の DNS レコードタイプ(MX、LOC、SRV など)には、保存する必要がある複雑なデータ構造があります。そうでないと、レコードが解決できません。緩和された DNS プラグインの検証により、ユーザーは無効なレコードを作成できますが、これらのレコードを LDAP に保存していても解決できませんでした。今回の更新により、関連する RFC ドキュメントに関して、すべての DNS レコードタイプ（実験的な A6 DNS レコードタイプを除く）が検証されるようになりました。検証は最も一般的なユーザーエラーに対応し、ユーザーが入力したレコードが無効である理由に関するガイダンスも提供します。また、改善された DNS プラグインインターフェイスにより、DNS レコードの作成時にガイダンスが得られるように、構造を理解せずに、より複雑な DNS レコードを作成することもできます。また、DNS プラグインでは、無効なレコードを入力できません。

BZ#759501

ログイン試行の失敗回数が、設定されている最大数を超えると、アカウントはロックされます。ただし、ログインの失敗回数が複製されなかったため、特定のユーザーのロックアウトステータスを調査することは困難でした。Identity Management には、設定されたすべてのレプリカで失敗したログイン試行回数と、最後に成功または失敗したログイン試行の時刻を提供する新しい ipa user-status コマンドが追加されました。

BZ#766181

新しいユーザーが追加されると、UPG (User Private Group)が作成され、デフォルトでそのユーザーのプライマリーグループとして割り当てられます。ただし、管理者がすべてのユーザーにプライマリーグループとして割り当てられた共通グループを使用する場合は、ユースケースが発生する可能性があります。UPG の作成を処理する Directory Server プラグインは、新しいユーティリティー ipa-managed-entries で無効にできるようになりました。このユーティリティーを使用すると、管理者は UPG の自動作成を無効にし、すべての新しいユーザーがプライマリーグループとして共通グループを共有できるようになります。

BZ#767725

Identity Management サーバーが DNS サポートで設定されている場合、DNS ゾーンの動的更新ポリシーにより、クライアント IP アドレスが変更された場合、Identity Management クライアントは関連する DNS 転送レコードを更新できます。ただし、セキュリティー上の理由から、クライアントは逆引きゾーンのレコードを変更できるため、逆引きレコードを更新できません。今回の更新により、Identity Management DNS ゾーンを設定することで、正引きレコードが新しい IP アドレスで更新されたときのクライアント逆引きレコードの自動更新が許可されるようになりました。その結果、クライアント IP アドレスが変更されると、クライアントマシンの正引きレコードと逆引きレコードの両方を更新できます。

BZ#772044

Identity Management ホスト プラグインはマシンの MAC アドレスを保存できませんでした。管理者は、Identity Management のホストエントリーに MAC アドレスを割り当てることができませんでした。今回の更新で、MAC アドレスの新しい属性が Identity Management ホストプラグインに追加されました。管理者は、MAC アドレスをホストエントリーに割り当てることができるようになりました。この値は、たとえば次のコマンドを使用して、Identity Management LDAP サーバーから読み取ることができます。

~]$ getent ethers <hostname>

BZ#772301

正引き DNS レコードが作成されると、正引きゾーンと逆引きゾーンの両方が Identity Management によって管理されていても、対応する逆引きレコードは作成されません。ユーザーは、常に正引きレコードと逆引きレコードの両方を手動で作成する必要がありました。今回の更新により、IPv4 または IPv6 転送レコードの作成時に、CLI と Web UI の両方で逆引きレコードを自動的に作成するオプションが追加されました。

BZ#807361

今回の更新以前は、Identity Management Directory Server インスタンスのすべての DNS レコードは公開されていました。Directory Server インスタンス内の一般にアクセス可能な DNS ツリーを使用すると、サーバーにアクセスできるすべてのユーザーがすべての DNS データを取得できます。通常、この操作はアクセス制御ルールで制限されます。この情報は、選択したユーザーのグループのみに限定しておくことが一般的なセキュリティープラクティスです。したがって、今回の更新で、DNS レコードを持つ LDAP ツリー全体が、データをネームサーバー、管理ユーザー、または Read DNS Entries という新しいパーミッションを持つユーザーにフィードする LDAP ドライバーだけがアクセスできるようになりました。その結果、許可されたユーザーのみが、Identity Management Directory Server インスタンスのすべての DNS レコードにアクセスできるようになりました。

BZ#753483

Identity Management サーバーで条件付き転送を使用した DNS ゾーンの作成が許可されていなかったため、ネームサーバーはすべてゾーン要求をカスタムフォワーダーに転送できるようになりました。今回の更新で、Identity Management DNS プラグインにより、ユーザーは DNS ゾーンを作成し、条件付きフォワーダーとそのゾーンの転送ポリシーを設定できるようになりました。

BZ#803822

SSH 公開鍵管理のサポートが Identity Management サーバーに追加され、Identity Management クライアントの OpenSSH が、Identity Management サーバーに保存されている公開鍵を使用するように設定されます。この機能はテクノロジープレビューです。

BZ#745968

Web UI の DNS ページでは、A または AAAA レコードから関連する PTR レコードへのナビゲーションが許可されませんでした。今回の更新で、関連する PTR レコードが存在する場合はそれを指すリンクが追加されました。

バグ修正

BZ#907926

以前は、ipmitool ユーティリティーを使用してユーザーアクセス情報で ipmi キーおよびリンクキーを有効にしても適切に機能しませんでした。そのため、これらの設定の値は考慮されませんでした。これらの設定の値が期待どおりに読み取られ、処理されるようにパッチが用意されています。

BZ#828678

以前の ipmitool パッケージの更新では、lan インターフェイスおよび lanplus インターフェイスで、発信 IPMI リクエストの再送信レートを調整するために、新しいオプション "-R" と "-N" が追加されました。これらのオプションを実装すると、再送信タイムアウトと送信リクエストのデフォルト値が途中で長く設定されました。さらに、場合によっては、タイムアウトの発生時に ipmitool がセグメンテーション違反で予期せず終了する可能性があります。今回の更新で、-N オプションを使用しないデフォルトのタイムアウト値と ipmitool が修正され、以前のバージョンと同様に発信 IPMI リクエストが再送信されるようになりました。

BZ#715615

以前は、ipmitool -o list コマンドの終了コードが正しく設定されていなかったため、コマンドは常に 1 を返すようになりました。今回の更新により、ipmitool が想定どおりに終了コード 0 を返すように変更されています。

BZ#725993

ipmitool sol payload コマンドおよび ipmitool sel コマンドで、誤った引数値を受け入れていました。これにより、ipmitool ユーティリティーがセグメンテーションフォールトで予期せず終了しました。今回の更新により、これらのコマンドの引数値が検証され、ipmitool がクラッシュしなくなりましたが、誤った引数で使用するとエラーメッセージが生成されるようになりました。

BZ#748073

以前は、ipmitool を使用して、LAN または lanplus インターフェイスで IPMI メッセージの再送信間隔を設定できませんでした。今回の更新では、新しいオプション -R および -N が導入され、LAN または lanplus インターフェイスを使用して IPMI メッセージを転送するときに、再送信の数と遅延（秒単位）を指定できます。

BZ#739358

"ipmitool delloem" コマンドが最新のアップストリームバージョンに更新されました。これには、拡張された SD カードに関する情報を表示できる新しい vFlash コマンドが追加されました。このパッチにより、ipmitool delloem コマンドのドキュメントが更新され、エラーの説明が改善され、新しいハードウェアのサポートが追加されました。

BZ#730627

ip6tunnel mode コマンドは、ゼロ化されたパラメーター構造をカーネルに渡し、すべてのトンネルパラメーターをゼロに変更しようとして失敗しました。したがって、ユーザーは ip6tunnel パラメーターを変更できませんでした。今回の更新で、ip6tunnel コードが変更され、変更されたパラメーターのみが更新されるようになりました。その結果、ユーザーは期待どおりに ip6tunnel パラメーターを調整することができるようになりました。

BZ#736106

lnstat ユーティリティーは、ダンプ出力に誤ったファイル記述子を使用していました。その結果、lnstat ユーティリティーはダンプ出力を stdout ではなく stderr に出力します。コードが修正され、lnstat がダンプ出力を stdout に出力するようになりました。

BZ#748767

tc ユーティリティー（トラフィック制御ツール）が強化され、ユーザーが Multi-queue priority (MQPRIO) Queueing Discipline (qdiscs)スケジューラーを操作できるようになりました。MQPRIO qdiscs を使用すると、QOS は外部の QOS スケジューラーをサポートする NIC からオフロードできます。その結果、ユーザーはトラフィッククラスの監視、統計の収集、ソケットバッファー(SKB)の優先度および socket-priority-to-traffic-class マッピングの設定できるようになりました。

BZ#788120

tc ユーティリティーが、Quick Fair Queueing (QFQ)カーネル機能と連携するように更新されました。ユーザーは、ユーザースペースから新しい QFQ-traffic スケジューラーを活用できるようになりました。

BZ#812779

今回の更新では、複数のマルチキャストルーティングテーブルのサポートが追加されました。

バグ修正

BZ#849556

以前は、バッファーオーバーフローのバグにより、ディスクデバイスの詳細情報を表示する際に、iprconfig ユーティリティーがセグメンテーション違反で予期せず終了していました。この問題に対処するためのパッチが提供され、上記のシナリオで iprconfig がクラッシュしなくなりました。

BZ#682350

今回の更新以前は、IPTraf が名前のホワイトリストに対して IPTraf によってチェックされ、インターフェイスがサポートされているかどうかを判別していました。ネットワークデバイスには任意の名前を付けることができ、それらの名前の変更により、インターフェイス名は場所ベースの名前に変更されます。その結果、IPTraf は特定のインターフェイス名を拒否する可能性がありました。今回の更新でインターフェイス名チェックが削除され、その結果、IPTraf は常にデバイス名を受け入れるようになりました。

BZ#788529

この更新以前は、ipvsadm ユーティリティーは、sync デーモンに関するカーネルからの順不同のメッセージを正しく処理しませんでした。その結果、ipvsadm --list --daemon コマンドは、常に sync デーモンのステータスを出力しませんでした。今回の更新で、カーネルからのメッセージの順序が出力に影響を与えなくなり、コマンドは常に sync デーモンのステータスを返します。

バグ修正

BZ#845374

irqbalance デーモンは、システムの各割り込みソースを、デバイスのタイプ(Networking、Storage、Media など)を表すクラスに割り当てます。以前は、irqbalance は特定の NIC デバイスを分類している間に問題があり、影響を受けるシステムにパフォーマンスに影響を与えていました。今回の更新により、すべてのタイプの NIC で動作するように NIC 分類メカニズムが更新されました。

BZ#682211

irqbalance デーモンは、システムの各割り込みソースを、デバイスのタイプ(Networking、Storage、Media など)を表すクラスに割り当てます。以前は、irqbalance は /proc/interrupts ファイルからの IRQ ハンドラー名を使用してソースクラスを決定していたため、irqbalance がネットワーク割り込みを正しく認識しませんでした。そのため、biosdevname NIC の命名を使用するシステムでは、ハードウェア割り込みが分散されず、期待どおりに固定されませんでした。今回の更新で、デバイスの分類メカニズムが改善され、割り込みの分散が改善されました。

バグ修正

BZ#639258

この更新以前は、ユーザーが /unload コマンドを使用して静的モジュールをアンロードしようとすると、Irssi はこのモジュールを利用できないと誤って識別するため、クライアントを再起動しなくても、ユーザーがこのモジュールを再度ロードできませんでした。この更新プログラムは、基礎となるソースコードを調整して、動的モジュールのみをアンロードできるようにします。

BZ#845047

以前のバージョンの irssi (1)では、有効なコマンドラインオプションとして --usage が記載されていました。Irssi がこのオプションをサポートしなくなり、使用しようとするとエラーで失敗したため、これは正しくありません。今回の更新により、man ページが修正され、サポート対象外のコマンドラインオプションが記載されなくなりました。

BZ#738192

iscsistart ユーティリティーは、ハードコーディングされた値を設定として使用していました。そのため、dm-multipath を使用すると、障害の検出とパスのフェイルオーバーを変更するまでに数分かかる場合があります。今回の更新で、iscsistart ユーティリティーが、コマンドラインで提供された設定を処理するように変更されました。

BZ#739049

iSCSI README ファイルには、iscsiadm iSCSI 情報を表示するオプションとして、--info オプションが誤って表示されていました。README が修正され、"-P 1" 引数を使用してそのような情報を取得する必要があることが正しく表示されるようになりました。

BZ#739843

iscsiadm -m iface コマンドが実行されていない場合、TOE (TCP Offload Engine)インターフェイスを介した iSCSI 検出プロセスは失敗しました。これは、iscsiadm -m ディスカバリーコマンドがインターフェイス設定をチェックしなかったために発生しました。今回の更新で、iscsiadm ツールが最初に使用されたときにデフォルトの IMDSv 設定を作成するようになり、問題は発生しなくなります。

BZ#796574

ポート番号が非完全修飾ホスト名で iscsiadm ツールに渡される場合、このツールは、ポートがホスト名に含まれるために作成されたレコードです。そのため、iscsiadm がレコードを見つけることができず、ログインまたは検出操作が失敗していました。この更新により、iscsiadm ポータルパーサーがホスト名とポートを分離するように変更されました。その結果、ポートは解析され、正しく処理されます。

BZ#790609

iscsidm ツールは、QLogic の iSCSI オフロードカードを使用した ping コマンドをサポートし、ホストの CHAP (Challenge-Handshake Authentication Protocol)エントリーを管理するように更新されました。

セキュリティーの修正

CVE-2012-5783

Jakarta Commons HttpClient コンポーネントは、サーバーのホスト名が X.509 証明書のサブジェクトのコモンネーム(CN)または subjectAltName フィールドのドメイン名と一致することを確認しませんでした。これにより、中間者攻撃者は、任意のドメイン名に対して有効な証明書を持っていた場合に SSL サーバーをスプーフィングできます。

セキュリティーの修正

CVE-2012-1531,CVE-2012-3143,CVE-2012-3216,CVE-2012-4820,CVE-2012-4822,CVE-2012-5069,CVE-2012-50 73 , CVE-2012-50 75 ,CVE-2012-5075,CVE-2012-5079,CVE-2012-5081,CVE-2012-5083,CVE-2012-5084,CVE-2012-5089

今回の更新で、IBM Java Runtime Environment および IBM Java Software Development Kit の複数の脆弱性が修正されました。詳細な脆弱性の説明は、IBM Security alerts ページ からリンクされています。

セキュリティーの修正

CVE-2012-1713,CVE-2012-1716,CVE-2012-1717,CVE-2012-1718,CVE-2012-1719,CVE-2012-1725

今回の更新で、IBM Java Runtime Environment および IBM Java Software Development Kit の複数の脆弱性が修正されました。詳細な脆弱性の説明は、IBM Security alerts ページ からリンクされています。

セキュリティーの修正

CVE-2012-0547,CVE-2012-1531, CVE-2012-1532 , CVE-2012- 1533 , CVE-2012 -1682 , CVE-2012 -3159 ,CVE-2012 -3159 , CVE-2012 -4820 ,CVE-2012 -4822 , CVE-2012-4823 , CVE -2012-4823 , CVE-2012-48 23 ,CVE-2012-4823,CVE-2012-4823 ,CVE-2012 CVE-2012-5068,CVE-2012-5069,CVE-2012-5071,CVE-2012-5072,CVE-2012-5073,CVE-2012-50 75, CVE-2012-5081 , CVE -2012-5083 ,CVE-2012-5083,CVE-2012-5084,CVE-2012-5089

今回の更新で、IBM Java Runtime Environment および IBM Java Software Development Kit の複数の脆弱性が修正されました。詳細な脆弱性の説明は、IBM Security alerts ページ からリンクされています。

セキュリティーの修正

CVE-2012-0551、CVE-2012-1713、CVE-2012-1716、CVE-2012-1717、CVE-2012-1718、CVE-2012-1719、CVE-2012-1721、CVE-2012-1722、CVE-2012-1725

今回の更新で、IBM Java Runtime Environment および IBM Java Software Development Kit の複数の脆弱性が修正されました。詳細な脆弱性の説明は、IBM Security alerts ページ からリンクされています。

セキュリティーの修正

CVE-2012-5086、CVE-2012-5084、CVE-2012-5089

OpenJDK の Bean、Swing、および JMX コンポーネントで、複数の不適切なパーミッションチェックの問題が検出されました。信頼できない Java アプリケーションまたはアプレットは、これらの不具合を使用して Java サンドボックスの制限を回避する可能性があります。

CVE-2012-5068,CVE-2012-5071,CVE-2012-5069,CVE-2012-5073,CVE-2012-5072

OpenJDK の Scripting、JMX、Concurrency、Libraries、および Security コンポーネントで、複数の不適切なパーミッションチェックの問題が発見されました。信頼できない Java アプリケーションまたはアプレットは、これらの欠陥を使用して特定の Java サンドボックスの制限を回避する可能性があります。

CVE-2012-5079

これは、プロバイダールックアップの実行中に java.util.ServiceLoader が互換性のないクラスのインスタンスを作成できることを検出しました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して特定の Java サンドボックスの制限を回避する可能性があります。

CVE-2012-5081

Java Secure Socket Extension (JSSE) SSL/TLS 実装が、過度に大きなデータ長値を含むハンドシェイクレコードを適切に処理しなかったことが検出されました。認証されていないリモート攻撃者は、この脆弱性を使用して、SSL/TLS サーバーが例外で終了する可能性があります。

CVE-2012-5075

OpenJDK の JMX コンポーネントが、安全でない方法で特定のアクションを実行できることを検出しました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して機密情報を開示する可能性があります。

CVE-2012-4416

Java HotSpot 仮想マシン最適化コードのバグにより、場合によってはアレイの初期化を実行しない場合があります。信頼されていない Java アプリケーションまたはアプレットは、この不具合を使用して仮想マシンのメモリーの一部を開示する可能性があります。

CVE-2012-5077

SecureRandom クラスが複数のシーダーの作成から適切に保護しなかったことが発見されました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して機密情報を開示する可能性があります。

CVE-2012-3216

java.io.FilePermission クラスが正規化されたパス名のハッシュコードを公開したことが検出されました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して、現在の作業ディレクトリーなどの特定のシステムパスを判別する可能性があります。

CVE-2012-5085

今回の更新で、デフォルトで java.net パッケージでの Gopher プロトコルサポートが無効になります。Gopher サポートを有効にするには、新たに導入されたプロパティー "jdk.net.registerGopherProtocol" を true に設定します。

セキュリティーの修正

CVE-2013-0442,CVE-2013-0445,CVE-2013-0441,CVE-2013-1475,CVE-2013-1476,CVE-2013-0429,CVE-2013-0450,CVE-2013-0425,CVE-2013-0426,CVE-2013-0428

OpenJDK の AWT、CORBA、JMX、および Libraries コンポーネントに、不適切なパーミッションチェックの問題が複数発見されました。信頼できない Java アプリケーションまたはアプレットは、これらの不具合を使用して Java サンドボックスの制限を回避する可能性があります。

CVE-2013-1478、CVE-2013-1480

2D コンポーネントおよび AWT コンポーネントがイメージ raster パラメーターを処理する方法で、複数の欠陥が見つかりました。特別に作成されたイメージにより、Java 仮想マシンのメモリー破損が発生し、仮想マシン権限で任意のコードが実行される可能性があります。

CVE-2013-0432

AWT コンポーネントのクリップボード処理コードに欠陥が見つかりました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用してクリップボードデータにアクセスし、Java サンドボックスの制限を回避する可能性があります。

CVE-2013-0435

デフォルトの Java セキュリティープロパティー設定では、特定の com.sun.xml.internal パッケージへのアクセスが制限されませんでした。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して情報にアクセスし、特定の Java サンドボックスの制限を回避する可能性があります。今回の更新で、パッケージ全体が制限されているとリストされます。

CVE-2013-0427,CVE-2013-0433,CVE-2013-0434

ライブラリー、ネットワーキング、および JAXP コンポーネントに、不適切なパーミッションチェックの問題が複数発見されました。信頼できない Java アプリケーションまたはアプレットは、これらの欠陥を使用して特定の Java サンドボックスの制限を回避する可能性があります。

CVE-2013-0424

RMI コンポーネントの CGIHandler クラスは、サニタイズなしでエラーメッセージでユーザー入力を使用したことが検出されました。攻撃者はこの脆弱性を使用して、クロスサイトスクリプティング(XSS)攻撃を実行することができます。

CVE-2013-0440

JSSE コンポーネントの SSL/TLS 実装がハンドシェイクメッセージの順序付けを適切に適用していなかったことを検出し、ハンドシェイク再起動を無制限に許可しました。リモートの攻撃者はこの脆弱性を利用して、JSSE を使用してハンドシェイクを継続的に再起動することで、JSSE を使用して SSL/TLS サーバーを過剰に消費させることができます。

CVE-2013-0443

JSSE コンポーネントが Diffie-Hellman 公開鍵を適切に検証しなかったことが検出されました。SSL/TLS クライアントは、この不具合を使用して小規模なサブグループ攻撃を実行する可能性があります。

セキュリティーの修正

CVE-2012-1682

OpenJDK の Beans コンポーネントがパーミッションチェックを適切に実行しなかったことが検出されました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して制限されたパッケージのクラスを使用し、Java サンドボックスの制限を回避できる可能性があります。

CVE-2012-0547

OpenJDK の AWT コンポーネントに強化修正が適用され、Java サンドボックスの制限を回避するために、他の不具合と組み合わせて使用された制限付き SunToolkit クラスから機能が削除されました。

セキュリティーの修正

CVE-2013-1486

OpenJDK の JMX コンポーネントで、不適切なパーミッションチェックの問題が発見されました。信頼できない Java アプリケーションまたはアプレットは、この不具合を使用して Java サンドボックスの制限を回避する可能性があります。

CVE-2013-0169

CBC モードの暗号スイートが使用されている場合に、TLS/SSL プロトコル暗号化レコードを復号化する際に、OpenJDK によるタイミング情報が漏洩することを検出しました。リモートの攻撃者は、この脆弱性を使用して、TLS/SSL サーバーをパディング oracle として使用して、暗号化されたパケットからプレーンテキストを取得する可能性があります。

BZ#751203

以前は、OpenJDK を java-1.6.0-openjdk-1.6.0.0-1.40.1.9.10.el6_1 に更新した後、java.rmi.server.codebase 引数で実行される場合にのみ Java Remote Object Registry (rmiregistry)が起動していました。そうしないと、レジストリーの開始に失敗していました。今回の更新でリグレッションが修正され、期待通りに引数なしでレジストリーを起動できます。

BZ#767537

Kerberos プロトコルのチャネルバインディングが正しく実装されず、OpenJDK は受信チャネルバインディングを持たない Kerberos GSS (General Security Services)コンテキストを処理しませんでした。これにより、Windows Server 2008 の Internet Explorer で相互運用性の問題が発生していました。今回の更新により、OpenJDK は設定されていないチャネルバインディングを正しく処理し、Kerberos GSS コンテキストを期待どおりに処理するようになりました。

BZ#804632

jstack （）systemtap サポートで実行された SystemTap スクリプトトランスレーター(stap)は、以下のようなエラーで終了する可能性があります。

ERROR: kernel read fault at 0x0000000000000018 (addr) near identifier '@cast' at /usr/share/systemtap/tapset/x86_64/jstack.stp:362:29

この更新により、定数の定義とエラー処理などを含む jstack コードが改善され、jstack 付きの stap スクリプトがより確実に機能するようになりました。

BZ#805936, BZ#807324

今回の更新で、署名済み jar ファイルの使用時に発生する複数の問題が修正されました。

BZ#751410

Huge Page のサポートが追加されました。

セキュリティーの修正

CVE-2012-1541,CVE-2012-3213,CVE-2012-3342,CVE-2013-0351,CVE-2013-0409,CVE-2013-0419,CVE-2013-0423,CVE-2013-0424,CVE-2013-0425,CVE-2013-0426,CVE-2013-0427,CVE-2013-0428,CVE-2013-0429,CVE-2013-0430,CVE-2013-0432,CVE-2013-0433,CVE-2013-0434,CVE-2013-04 38 ,CVE-2013-0438,CVE-2013-0440,CVE-2013-0441,CVE-2013-0442,CVE-2013-0443,CVE-2013-0445,CVE-2013-0446,CVE-2013-0450,CVE-2013-1473,CVE-2013-1475,CVE-2013-1476,CVE-2013-1478,CVE -2013-1480,CVE-2013-1481

今回の更新で、Oracle Java Runtime EnvironmentおよびOracle Java Software Development Kitの脆弱性がいくつか修正されています。これらの不具合の詳細は、Oracle Java SE Critical Patch Update Advisory のページ を参照してください。

セキュリティーの修正

CVE-2012-0547,CVE-2012-1531,CVE-2012-1532,CVE-2012-1533,CVE-2012-3143 , CVE -2012-3159, CVE -2012-3216 , CVE-2012-4416, CVE-2012 -5068 , CVE-2012 -5069, CVE-2012-50 71、CVE-2012-50 72、CVE-2012-50 73、CVE-2012-50 75、CVE-2012-50 77、CVE-2012-50 79、CVE-2012-50 81、CVE-2012-50 83、CVE-2012-50 84、CVE-2012-50 85、、CVE-2012-5085、CVE-2012-5086、CVE-2012-5089

今回の更新で、Oracle Java Runtime EnvironmentおよびOracle Java Software Development Kitの脆弱性がいくつか修正されています。これらの欠陥に関する詳細情報は、Oracle Java SE Critical Patch Update Advisory および Oracle Security Alert ページを参照してください。

セキュリティーの修正

CVE-2012-1531,CVE-2012-1532, CVE-2012- 1533 , CVE-2012 -1718 , CVE-2012 -3143 , CVE-2012 -3159, CVE-2012 -3216 , CVE-2012 -4821 , CVE-2012 -4821 , CVE-2012-4823 , CVE -2012-4823 , CVE-2012 -4823 ,CVE-2012-4823,CVE-2012-4823 ,CVE-2012 - CVE-2012-5067、CVE-2012-5069、CVE-2012-5070、CVE-2012-5071、CVE-2012-5072、CVE-2012-5073、CVE-2012-5074、CVE-2012-5075、CVE-2012-5076、CVE-2012-5076、CVE-2012-5077 CVE-2012-5079、CVE-2012-5081、CVE-2012-5083、CVE-2012-5084、CVE-2012-5086、CVE-2012-5087、CVE-2012-5088、CVE-2012-5089

今回の更新で、IBM Java Runtime Environment および IBM Java Software Development Kit の複数の脆弱性が修正されました。詳細な脆弱性の説明は、IBM Security alerts ページ からリンクされています。