第7章 更新されたパッケージ

バグ修正

BZ#1193243

対応するバックエンドデータベースなしで接尾辞マッピングツリーエントリーが作成されると、サーバーは起動できませんでした。このバグは修正されています。

BZ#1145072

パスワードポリシー属性の値が削除されると、null 参照とサーバーの予期しない終了が発生していました。これらのクラッシュは発生しなくなります。

BZ#1080185, BZ#1138745

今回の更新で、BZ#1080185 の以前のパッチが原因で原因のメモリーリークが修正されました。

BZ#1048987

Virtual List View 検索が timelimit または adminlimit パラメーターを超えて失敗すると、IDL に割り当てられたメモリーがリークしなくなりました。

BZ#1162704

cn=config エントリーの passwordAdminDN の検索で存在しない値が返されると、メモリーリークは発生しなくなります。

BZ#1169975

Service クラス(CoS)キャッシュを再構築すると、メモリーリークが生じなくなりました。

BZ#1115960

上記のパスワードポリシーが期待どおりに選択されなかった場合のネストされた CoS のバグが修正されました。

BZ#1169974

SASL バインド操作が失敗し、Account Lockout が有効になっている場合、Root DSE エントリーは passwordRetryCount で正しく更新されなくなります。

BZ#1145379

Directory Manager およびパスワード管理者に対するパスワード制限および構文チェックは、これらのロールが影響を受けないように適切に適用されるようになりました。

BZ#1175868、BZ#1166313

大規模なグループの検索によるパフォーマンスの低下は、正規化された DN キャッシュを導入することで修正されました。

BZ#1153739

SSLv3 の既知の脆弱性により、このプロトコルはデフォルトで無効になりました。

BZ#1207024

今回の更新では、サプライヤーとコンシューマー間で負荷分散されていないプロセスの速度でレプリケーションが応答しなくなることがないように、フロー制御が追加されました。

BZ#1171308

add: userPassword 操作を複製するバグが修正されました。

BZ#1145374, BZ#1183820

Windows 同期プラグインコードのバグにより、AD のみのメンバー値が誤って削除されました。現在、ローカルエントリーとリモートエントリーが適切に処理され、データの損失を防ぎます。

BZ#1144092

スキーマの再読み込みを実行すると、実行中の検索で結果が返されないことがありました。現在、リロードが完了するまで古いスキーマは削除されません。検索結果が破損しなくなりました。

BZ#1203338

Berkeley DB ライブラリーは、Directory Server がインデックスファイルを同時に開き、cn=monitor サブツリーで検索を実行すると、予期せず終了しました。2 つの操作は相互に排他的になり、クラッシュを防ぎます。

BZ#1223068, BZ#1228402

簡単なページングされた結果要求が Directory Server に非同期的に送信され、すぐに破棄されると、検索結果が漏洩する可能性があります。また、簡単なページングされた結果の実装はスレッドセーフではありませんでした。今回の更新で、リークが修正され、コードがスレッドセーフになるように変更されるようになりました。

機能拡張

BZ#1167976

新しい memberOf プラグイン設定属性 memberOfSkipNested が追加されました。この属性を使用すると、ネストされたグループチェックをスキップでき、削除操作のパフォーマンスが向上します。

BZ#1118285

Directory Server は、NSS ライブラリーでサポートされる TLS バージョンをサポートするようになりました。

BZ#1193241

logconv.pl ユーティリティーが更新され、アクセスログに SSL/TLS バージョンに関する情報が追加されました。

バグ修正

BZ#1181207

NetworkManager は、キックスタートインストールを使用してカーネルコマンドラインのボンディングパラメーターを処理できず、予期せず終了する可能性があります。今回の更新で、キックスタートインストールが正常に実行されるようになりました。

BZ#1156564

nm-connection-editor を介して特定のユーザーにのみ利用可能な接続を追加すると、NetworkManager デーモンによる不完全な接続が解釈される可能性があります。この意図しない設定を適用すると、NetworkManager が予期せず終了しました。現在、無効な接続が作成されず、NetworkManager がクラッシュしなくなりました。

BZ#1173245

Available to all users および Ask for this password every time 設定でワイヤレスエンタープライズ接続(802.1X ベース)をエディターに保存すると、保存後に消えます。今回の更新で、nm-connection-editor で無効な接続を保存できなくなりました。

BZ#1076169

以前は、NetworkManager は DHCPv6 の設定に失敗し、IPv6 が設定されていないことがありました。今回の更新により、NetworkManager は RA フラグを正しく解析し、想定通りに DHCPv6 を実行します。

BZ#1085015

今回の更新で、Create New Ad-Hoc Wireless Network" nm-applet メニューエントリーの翻訳が修正されました。

BZ#1003877

プライマリーボンディングオプションは、NetworkManager および nm-connection-editor では適切に処理されませんでした。今回のリリースより、アクティブバックアップボンディングを使用した設定は意図されたとおりに機能するようになりました。

BZ#1157867

エイリアス ifcfg ファイルを削除すると、NetworkManager はエイリアスとベースインターフェイスの両方を切断します。これは修正されています。

BZ#1167491

ユーザーにゲートウェイ IP のタイプが間違っていると、警告は出されませんでした。nm-connection-editor は、正しくないゲートウェイフィールドをユーザーに通知するようになりました。

BZ#1207599

NetworkManager の設定に重複する IPv6 アドレスが含まれる場合があります。今回の更新で、D-Bus インターフェイスおよび nmcli ツールで、重複した IPv6 アドレスが使用されるようになりました。

BZ#1213327

NetworkManager と nm-applet の両方が停止し、nmcli con コマンドを実行すると、nmcli ツールが応答しなくなる可能性がありました。

BZ#1111672

欠落している、または 0.0.0.0 の次ホップアドレスを持つ接続は、無効とみなされていました。

機能拡張

BZ#979181

以前は、NM_CONTROLLED=no 設定は、HWADDR も設定されている場合にのみ機能していました。NM_CONTROLLED=no および DEVICE=<interface> を設定して、デバイスが管理解除されるように指定できるようになりました。

BZ#1063661

NetworkManager では、ボンドデバイスに VLAN を設定できませんでした。また、ボンディング上の VLAN を使用した Anaconda インストールは機能しませんでした。今回の更新で、イーサネットボンドおよびイーサネットブリッジ(IEEE 802.1d)の上に VLAN (IEEE 802.11q)がサポートされるようになりました。

BZ#905641

今回の更新で、nm-connection-editor が強化され、IP アドレスとルートの編集が容易になりました。さらに、nm-connection-editor は、タイプミスと誤った設定を自動的に検出して強調表示しようとします。

BZ#1056790

今回の更新で、NetworkManager は静的 IP アドレスを設定する際に arping をサポートしているため、ローカルネットワーク上の他のノードに対して静的に設定された IPv4 アドレスがアナウンスされるようになりました。

BZ#1046074

NetworkManager が、ブリッジインターフェイスの ifcfg ファイルで BRIDGING_OPTS で設定される "multicast_snooping" オプションに対応するようになりました。

BZ#1200131

今回の更新により、カスタム DNS オプションを接続プロファイルで設定できるようになりました。DNS オプションは、ifcfg ファイルの RES_OPTIONS 変数を使用して読み取りと書き込みされます。

バグ修正

BZ#1140837

この更新より前は、RPM v3 バイナリーを使用してカスタムおよびサードパーティーの署名パッケージを再署名した場合、PackageKit はこれらのパッケージのインストールを処理できませんでした。その結果、GUI を使用した特定のパッケージのインストールに失敗し、次のエラーメッセージが表示される可能性がありました。

pct = div *(ts_current - 1)+ pct_start +((div / 100.0)* val)

今回の更新で、このようなまれなケースに対応するように PackageKit が修正され、上記の状況でインストールが失敗することはなくなりました。

BZ#1172119

以前は、MAILTO 受信者が /etc/sysconfig/packagekit-background ファイルに設定されている場合、/etc/cron.daily/packagekit-background.cron スクリプトは、メールレポートを送信する前に、pkcon コマンドからの戻り値のみをチェックしていました。その結果、特定の状況で不要な空メールが 2 つ送信されました。今回の更新で、ファイルが空の場合、$PKTMP ファイルは電子メールで送信されず、役立つ情報を含むメールのみが上記のシナリオで送信されるようになりました。

バグ修正

BZ#1125304

Red Hat Enterprise Linux CEQ の X Virtual Frame Buffer (Xvfb)に加えられた変更により、Xvfb ルート境界の外に置かれた SDL ウィンドウで使用すると、XGrabPointer （）関数は値 0 を返します。その結果、SDL プログラムが元の戻り値を想定すると、問題が発生する可能性があります。この更新により、SDL ライブラリーは新しい動作に準拠し、このライブラリーを使用するプログラムが期待どおりに機能するようになりました。

バグ修正

BZ#1205603

libX11 ライブラリーをアップグレードせずに SDL ライブラリーをアップグレードしようとすると、アプリケーションが以下のエラーを出力する可能性がありました。

シンボルルックアップエラー：/usr/lib64/libSDL-1.2.so.0: 未定義シンボル：SDL の更新後の _XGetRequest

この更新により、SDL 仕様ファイルが変更され、古い libX11 バージョンを持つシステムでのアップグレードが防止されます。その結果、上記のエラーは発生しなくなります。

バグ修正

BZ#1199261

abrt-addon-ccpp プロセスは、rsyslog デーモンを使用してメッセージをログに記録します。rsyslog が予期せず終了すると、/dev/log ソケットが解放されなかったため、abrt-addon-ccpp がデッドロック状態になる可能性がありました。このバグを修正するために基礎となるソースコードが変更され、上記の状況ではデッドロックが発生しなくなりました。

BZ#1208154

bootloader プラグインの名前が boot に変更されました。ただし、ABRT は、SOS レポートを生成する際に古い名前を使用しました。その結果、ABRT はクラッシュレポートに SOS レポートデータを含めませんでした。この更新により、ABRT は正しい名前を使用し、期待どおりに SOS レポートを生成するようになりました。

BZ#1212095

以前は、シンボリックリンクに従うため、libreport ライブラリーは、dump ディレクトリーのファイルまたはモードのモードを変更する可能性がありました。また、libreport は新しいダンプディレクトリーの所有権を変更する可能性があります。この動作により、セキュリティーの問題が発生する可能性があります。今回の更新により、このバグが修正され、libreport がモードまたは所有権を変更しなくなりました。

Enhancement

BZ#1150197, BZ#1152222, BZ#1153311

今回の更新で、ABRT マイクロレポーティングが導入されました。クラッシュが発生すると、マイクロレポート と呼ばれる問題に関する認証済みレポートを送信できるようになりました。これらのレポートには、問題、およびオプションでホスト名、マシン ID、および RHN アカウント番号を説明する機密性の低いデータが含まれます。マイクロレポート は、Red Hat がバグの発生を追跡してクラッシュに対するインスタントソリューションを提供するのに役立ちます。マイクロレポートの詳細は、https://access.redhat.com/node/642323 を参照してください。

バグ修正

BZ#1145812

カスタムストレージ画面で mountpoint and format を EFI システムパーティションとして選択すると、次のエラーメッセージが表示されました。

/boot/efi パーティションを作成していない。

今回の更新で、起動デバイスの検索方法が変更されました。その結果、許容可能なブートデバイスがあり、上記の状況ではエラーが報告されません。

BZ#1139606

GUID パーティションテーブル(GPT)ディスクを使用する場合、Anaconda インストーラーは PowerPC Reference Platform (PReP)パーティションに boot フラグを設定します。その結果、パーティションの GUID が PReP ではなく EFI システムパーティションに変更されました。GPT ディスクを使用する場合、ブートフラグは EFI パーティションとしてフォーマットされたブートパーティションでのみ設定され、PReP パーティション GUID は ESP GUID に置き換えなくなりました。

BZ#1153376

LVM 物理ボリューム(PV)とボリュームグループ(VG)のサイズは、予想よりも小さくなることがありました。したがって、Anaconda は、VG の使用可能な領域よりも大きい論理ボリューム(LV)の作成を試みることがありました。現在、Anaconda は LV の作成時に利用可能な領域の量を検証し、要求が大きすぎると、利用可能な領域のみが使用されます。また、storage.log ファイルに警告メッセージが含まれています。

BZ#1129499

特定の状況下では、名前によるデバイスの検索に失敗すると、関数は no such device を正常に返す代わりに失敗しました。これにより、Anaconda が予期せず終了しました。今回の更新により、名前によるデバイスルックアップに失敗すると、エラーではなく、何も検出されなかったかのように扱われるようになりました。

BZ#1083586

以前は、Anaconda は Linux フレームバッファー(fbdev)の後に vesa ドライバーを強制していました。これにより、起動中に X サーバーが予期せず終了する可能性があります。Anaconda がクラッシュしなくなりました。

BZ#979163

一部のサーバーは、リンクが使用可能であると報告されるため、初期化に非常に時間がかかるネットワークカードを使用します。そのため、キックスタートファイルのダウンロードに失敗していました。今回の更新で、デバイスが接続として報告される前に、ping でゲートウェイをチェックする NetworkManager の機能を使用することで、nicdelay インストーラー起動オプションのサポートが再度追加されます。その結果、ネットワークカードを持つサーバーの初期化に非常に長い時間がかかる場合、nicdelay 起動オプションを使用して、キックスタートのダウンロードが失敗しないようにすることができます。

BZ#1168024

VNC サーバーの起動時に、Anaconda は常に --nevershared オプションを渡して、Anaconda は VNC 接続を 1 つだけ許可していました。この更新により、-nevershared オプションが削除されました。ユーザーは、VNC クライアントの-shared オプションを使用して、共有接続に接続する必要があります。

BZ#1021445

Anaconda インストーラーは、/boot と同じディスクにあるディスクを優先して prepboot ディスクを検索しました。ユーザーが /boot を含むすべてのパーティションを削除すると、オブジェクトは NoneType になります。その結果、Anaconda が予期せず終了しました。今回の更新で、上記の状況で安全なデフォルトを実行するためのガードが追加されました。

機能拡張

BZ#1144979

IBM System z では、LDL 形式の Direct Access Storage Devices (DASD)が検出されると、Anaconda インストーラーに、問題を説明し、Compatible Disk Layout (CDL)をフォーマットするオプションと共に検出された Linux Disk Layout (LDL) DASD のリストを表示するようになりました。LDL DASD はカーネルによって認識されていましたが、インストーラーでは正式にはサポートされていませんでした。ユーザーは、検出された LDL DASD を CDL としてフォーマットするかどうかを選択できるようになりました。

BZ#1083459

今回の更新で、Anaconda インストーラーおよびキックスタート設定内のデバイスタイプとして LVM シンプロビジョニングのサポートが追加されました。

バグ修正

BZ#994201

atd デーモンでの競合状態処理が正しくないため、atd が予期せず終了しました。今回の更新で、atd が競合状態を正しく処理し、上記のシナリオでatd が終了しなくなりました。

BZ#1166882

以前は、"at" コマンドは、fclose （）関数呼び出しの戻り値を適切にチェックしませんでした。これにより、/var/spool/at ファイルシステムがいっぱいになると、at が、spool ディレクトリーに古いファイルが残される可能性がありました。今回の更新により、at は fclose （）の戻り値を適切にチェックし、at は上記のシナリオで空のファイルをスプールのままにしなくなりました。

バグ修正

BZ#1112388

以前は、/etc/cgconfig.conf ファイルで使用される一部の cgroup コントローラータイプは認識されませんでした。その結果、Augeas で解析エラーが発生し、エラーメッセージが返されました。今回の更新により、Augeas モジュールは、これらのコントローラー名を含むファイルを期待どおりに解析できるようになりました。

BZ#1121263

サービス名にコロンを含む /etc/services ファイルのエントリーにより、ファイルの解析が妨げられません。この更新により、services.aug ファイルの service_name フィールドがコロン文字をサポートできるようになり、前述のエントリーを正常に解析できるようになりました。

BZ#1129508

/etc/rsyslog.conf のエントリーが Transmission Control Protocol (TCP)でリモートロギング用に設定されている場合、バグはファイルを解析できませんでした。基礎となるソースコードが修正され、この設定を含むファイルが正常に解析されるようになりました。

BZ#1144652

デフォルトでは、/etc/sysconfig/iptables.save ファイルが誤ったモジュールによって解析され、解析の失敗と Augeas によって報告されたエラーが発生していました。誤ったモジュールが正しいモジュールに置き換えられ、/etc/sysconfig/iptables.save がデフォルトで正しく解析されるようになりました。

BZ#1175854

以前は、Augeas ユーティリティーは /etc/kdump.conf ファイルの ssh パラメーターおよび fence_kdump_*" パラメーターを正しく解析しませんでした。その結果、Augeas を使用して kdump 設定でこれらのパラメーターを編集できませんでした。この更新により、Augeas が "ssh" と "fence_kdump_*" を解析するように更新され、上記の問題は発生しなくなります。

BZ#1186318

以前は、ug_match API は、特殊文字がエスケープされておらず、それ以上の API 呼び出しで使用しないファイルのパスとノードのパスを返していました。そのため、特別に構築されたファイル名が原因で、Augeas 上に構築されたプログラムが正しく機能しなくなり、そのようなプログラムでエスケープを実装することはできませんでした。今回の更新で、ugug_match から返されたパスをエスケープし、aug_match から返されたパスは、さらに API 呼び出しで安全かつ確実に使用できるようになりました。

BZ#1203597

今回の更新以前は、Augeas は中括弧("{}")を持つ値を含む /etc/krb5.conf 設定ファイルを解析できませんでした。このバグを修正するために、Augeas lens (parser)が krb5.conf 設定値でこれらの文字を処理するように修正され、Augeas は想定通りにこれらの krb5.conf ファイルを解析できるようになりました。

BZ#1209885

以前。augeas は空白行で始まる複数行値を含む .properties (Java スタイルの)ファイルを解析できませんでした。augeas lens (parser)が空の開始行を受け入れるように修正され、このバグが修正されました。

Enhancement

BZ#1160261

シャドウパスワードファイルを解析するために、Augeas に /etc/shadow ファイル形式の lens が追加されました。

バグ修正

BZ#1145137

今回の更新以前は、authconfig コマンドで複数の LDAP (Lightweight Directory Access Protocol)サーバーを指定できませんでした。このバグは修正され、複数の LDAP サーバーを期待どおりに指定できるようになりました。

BZ#1194397

以前は、authconfig ユーティリティーは net join を呼び出すときに--winbindjoin オプションによって提供されるパスワードを渡しませんでした。その結果、ユーザーはパスワードの入力を求められました。現在、authconfig から net join にパスワードは自動的に渡され、ユーザーはこの状況でパスワードを提供する必要がなくなりました。

セキュリティーの修正

CVE-2014-8169

Python などのインタープリター言語を使用してこれらの言語のモジュールを見つけてロードするプログラムベースの自動マウントマップが見つかりました。ローカル攻撃者は、この不具合を利用してシステム上の権限を昇格する可能性があります。

注記

この問題は、影響を受ける環境変数に AUTOFS_ 接頭辞を追加することで修正され、システムのサブスクライブに使用されなくなりました。この接頭辞をオーバーライドしたり、接頭辞なしで環境変数を使用したりするための設定オプション(force_standard_program_map_env")が追加されました。さらに、警告が man ページとインストールされた設定ファイルに追加されました。デフォルトでは、プログラムマップの標準の変数には接頭辞の名前が追加された状態でのみ提供されるようになりました。

バグ修正

BZ#1163957

有効なマウントの前に ls*" コマンドが実行された場合、マウントポイントが有効かどうかにかかわらず、autofs プログラムはマウントポイント内の追加のマウント試行に失敗していました。マウントの試行中に、間接マウントのルートディレクトリーの ls *" コマンドが実行され、これにより*のマウントが試行され、負のマップエントリーキャッシュに追加されます。このバグは、負のマップエントリーキャッシュの更新中に*をチェックし、追加しないことで修正されています。

BZ#1124083

設計による autofs プログラムは、NFS サーバーエクスポートリストで重複したエクスポートであったホストマップエントリーをマウントしませんでした。マルチマウントマップエントリーの重複エントリーは構文エラーとして認識され、重複エントリーが発生したときに autofs はマウントの実行を拒否します。今回のリリースより、autofs は、失敗するのではなく、重複エントリーの最後のインスタンスをマウントするように変更され、ログファイルに問題を報告してシステム管理者に警告するようになりました。

BZ#1153130

autofs プログラムは、マスターマップの yp マップタイプを認識しませんでした。これは、マスターマップパーサーの別の変更によって、マスターマップでのタイプのマッピングに関連するマップ形式を検出する問題を修正しました。変更により、yp マップのタイプ比較の長さが正しくなくなり、一致操作が失敗していました。このバグは、比較に使用される長さを修正することで修正されました。

BZ#1156387

autofs プログラムは、NFS サーバーからエクスポートされたネットワーク共有の Sun 形式マップのエクスポートリストを更新しませんでした。これは、Sun-format マップパーサーの変更が原因で、ホストマップの更新がマップの再読み取り操作で機能を停止していたために発生しました。このバグは、Sun 形式のマップに対してのみこのタイプの更新を選択的に防止することで修正されました。Sun-format マップ上のエクスポートリストの更新が表示され、エクスポートリストの更新が Sun 形式のホストマップではサポートされなくなりました。

BZ#1175671

Sun-format マップを追加するために行われた変更内で、特定の状況で Sun-format マップパーサーでセグメンテーションフォールトを引き起こした誤ったチェックが追加されました。これは、誤ったチェックの目的を分析し、障害を起こさずに条件を適切に特定するために変更することで修正されています。

BZ#1201195

autofs プログラムマップルックアップモジュールのバグが原因で、マップ形式のタイプが正しく比較されました。誤った比較により、Sun-format プログラムが未使用のマクロ定義につながりました。比較のバグが修正され、Sun-format プログラムマップにマクロ定義が存在しないようになりました。

バグ修正

BZ#1015671

以前は、b43-openfwwf ファームウェアは、Broadcom の closed-source b43 ファームウェアとして誤って認識され、b43 ドライバーは Broadcom b43 ファームウェアの動作を想定していました。この更新により、ファームウェアイメージがインストールされている場所が修正され、b43-openfwwf ファームウェアが正しく認識されるようになりました。

バグ修正

BZ#839249

以前は、bacula デーモン名の長さは 30 文字に制限され、追加の文字はエラーメッセージを表示せずに自動的に切り捨てられていました。切り捨てられた名前は他のアプリケーションに渡され、その結果、期待どおりに機能しませんでした。今回の更新により、制限が 64 文字を超えるため、名前の長さはカットされなくなりました。

バグ修正

BZ#1148507

この更新より前は、Bash は、名前にハイフンが含まれている、以前にエクスポートされた関数のインポートを拒否していました。そのため、このような関数を使用していたスクリプトが正しく機能せず、Bash によって以下のエラーメッセージが出力されます。

bash: error importing function definition for 'BASH_FUNC_function-name'

この更新により、Bash はインポートされた関数の名前にハイフンを受け入れるようになりました。

BZ#1150544, BZ#1155455

以前は、Bash は、ファイルの終了または文字列の終了文字で終わる here-document を含む関数定義を誤って解析していました。その結果、解析された関数がコピーされ、Bash がセグメンテーションフォールトで終了すると、Bash は無効なメモリーセグメントにアクセスしました。この問題が修正されました。その結果、前述の関数定義が使用されても Bash がクラッシュしなくなりました。

BZ#1119587

ulimit コマンドを説明する Bash の man ページのセクションには、POSIX モードの-c オプションおよび "-f" オプションに 512 バイトのブロックが使用されるという事実は含まれていません。この情報は追加されました。

バグ修正

BZ#1112356

以前は、BIND の Response Rate Limiting (RRL)コードでslip オプションが正しく処理されず、各クエリーの後にクエリーの数がリセットされませんでした。また、他のすべてのクエリーの後に、クエリーの数がリセットされませんでした。その結果、RRL 機能のslip 値が 1 に設定され、すべてのクエリーをシップするのではなく、他のすべてのクエリーは削除されました。このバグを修正するために、設定に従って変数を正しくリセットするように RRL コードが変更されました。RRL 機能の "slip" 値が 1 に設定されている場合、すべてのクエリーは期待どおりに slipped されるようになりました。

BZ#1142152

BIND は、動的データベース(dyndbAPI から)によって返されるエラーを誤って処理していました。したがって、特定の状況では、シャットダウン時に BIND がデッドロックになる可能性がありました。dyndb API は、動的データベースがエラーを返した後、BIND のシャットダウン中にデッドロックを発生させないように修正され、上記の状況で BIND が正常にシャットダウンするようになりました。

BZ#1146893

Simplified Database Backend (SDB)アプリケーションインターフェイスが予期しない SDB データベースドライバーエラーを適切に処理しなかったため、このようなエラーが発生した場合、SDB で使用された BIND が予期せず終了する可能性がありました。今回の更新により、これらのエラーを正しく処理するために SDB アプリケーションインターフェイスをクリーンアップし、SDB で使用される BIND がクラッシュしなくなりました。

BZ#1175321

beginexclusive （）関数の競合状態により、設定の読み込み中に BIND DNS サーバー（名前）が予期せず終了する可能性があります。このバグを修正するために、パッチが適用され、競合状態は発生しなくなります。

BZ#1215687

以前は、リゾルバーの負荷が大きい場合、一部のクライアントはサーバーから SERVFAIL 応答を受信し、BIND ログに大量のメモリー不足/成功のログメッセージを受信することがありました。また、TTL (1)が低いキャッシュされたレコードは早期に有効期限が切れる可能性があります。リゾルバーの内部ハードコーディングされた制限が増加し、TTL (1)が低いキャッシュされたレコードが期限切れになりました。これにより、負荷が大きい場合、リゾルバーが制限に到達せず、メモリー不足/成功ログメッセージが受信されなくなります。TTL (1)が低いキャッシュされたレコードは、早期に期限切れにならなくなりました。

Enhancement

BZ#1176476

ユーザーは、BIND 設定の Response Policy Zone (RPZ)で RPZ-NSIP および RPZ-NSDNAME レコードを使用できるようになりました。

バグ修正

BZ#1175318

以前は、bind-dyndb-ldap 2.x ドライバー(Red Hat Enterprise Linux 6.x で使用される)は、正引きゾーンが(Red Hat Enterprise Linux 7.1 で使用される) bind-dyndb-ldap 6.x と同じレプリケーショントポロジーにある場合、正しく処理されませんでした。その結果、正引きゾーンはすべてのレプリカで機能を停止しました。基盤となるソースコードにこのバグを修正するためにパッチが適用され、正引きゾーンは上記の状況で引き続き機能するようになりました。

BZ#1142176

bind-dyndb-ldap ライブラリーは、LDAP サーバーへの認証に使用される Kerberos チケットの現在の時間と有効期限が正しく比較されました。その結果、特定の状況では Kerberos チケットが更新されず、LDAP サーバーへの接続に失敗していました。BIND サービスのリロードが logrotate ユーティリティーによってトリガーされた後に、接続の失敗が頻繁に発生します。このバグを修正するためにパッチが適用され、このシナリオで Kerberos チケットが正しく更新されるようになりました。

BZ#1126841

今回の更新以前は、bind-dyndb-ldap プラグインが特定のデータ構造を誤ってロックしていました。そのため、フォワーダーアドレスの再設定中の競合状態により、BIND が予期せず終了する可能性がありました。このバグが修正され、bind-dyndb-ldap がデータ構造を正しくロックするようになり、このシナリオで BIND がクラッシュしなくなりました。

BZ#1219568

以前は、bind-dyndb-ldap プラグインは LDAP 操作中に発生したタイムアウトを誤って処理していました。その結果、非常に特殊な状況では、BIND デーモンが予期せず終了する可能性があります。今回の更新で、LDAP 操作中にタイムアウトを正しく処理できるように bind-dyndb-ldap が修正され、このシナリオで BIND デーモンがクラッシュしなくなりました。

BZ#1183805

/usr/share/doc/bind-dyndb-ldap-2.3/README ファイルにある bind-dyndb-ldap-2.3 のドキュメントには、"idnsAllowTransfer" および "idnsAllowQuery" LDAP 属性が多値であることが誤って記載されていました。その結果、ドキュメントに従って DNS ゾーン転送とクエリーアセンスコントロールリストを設定できませんでした。ドキュメントが修正され、正しい属性構文が説明されるようになりました。

バグ修正

BZ#1175590

IBM System z では、リンカーがスレッドローカルストレージ変数に望ましくないランタイム再配置を生成することがあります。特定の状況で望ましくない再配置により、execmod AVC エラーが発生する可能性があります。このバグは修正され、このシナリオでは AVC エラーが返されなくなりました。

バグ修正

BZ#1133523

以前は、biosdevname ユーティリティーは Vital Product Data (VPD)を正しく解析しませんでした。その結果、NIC 拡張パーティショニング(nPAR-EP)が有効になっている場合、Vindicator 2 Emulex カード上のネットワークインターフェイスの名前が正しく表示されませんでした。VPD 解析が変更され、ネットワークインターフェイス名が正しく表示されるようになりました。

BZ#1207557

今回の更新以前は、biosdevname ユーティリティーは vpd-r:2.0 を使用する NIC で Vital Product Data (VPD)を読み取らなかったため、特定の NIC で NIC のパーティショニング(NPAR)が有効になっている場合に、ネットワークインターフェイス名が正しくないことがありました。今回の更新により、NIC に vpdr:2.0 があり、NPAR が有効になっている場合はインターフェイス名が期待どおりに形成される場合にも、biosdevname が VPD データを読み取るようになりました。

BZ#1212449

スロット番号の派生に使用されるスキームにより、biosdevname ユーティリティーは、オンボード NIC の仮想機能(VF)に適切な名前が入力されませんでした。今回のリリースより、オンボード NIC の VF を有効にするスキームも、適切な名前を持つことができるようになりました。

機能拡張

BZ#1158564

新しい Mellanox ドライバーの属性で、FCoE デバイスの命名を無視できる。

BZ#1003465, BZ#1084225

今回の更新で、Mellanox からの 10-GB のイーサネットアダプター命名スキームが実装されるようになりました。biosdevname ユーティリティーは、同じ PCI デバイス上に 2 つの物理ポートを持つ Mellanox 10-GB Ethernet adapters 用に予期されるネットワークインターフェイス名を生成します。/sys/class/net/<iface>/dev_port 属性は、ネットワークインターフェイスを区別するように設計されています。

バグ修正

BZ#1169501

Boost.MPI ライブラリーを使用して C++ プログラムをコンパイルすると、コンパイルプロセスは、以前は "boost::mpi::environment::environment (bool) " 記号を見つけ、"undefined reference" エラーで終了しませんでした。この更新により、欠落しているシンボルが追加され、記述されたコンパイルプロセスが実行ファイルを正常に作成できるようになりました。

BZ#1128313

以前は、ブースパッケージにより、依存関係として異なるアーキテクチャーのパッケージを使用する可能性があり、Boost クライアントの機能にさまざまな問題が生じる場合がありました。今回の更新により、依存関係宣言は関連するパッケージのアーキテクチャーを指定し、Boost クライアントの正しい操作に必要なすべてのパッケージが正しくダウンロードされるようになりました。

BZ#1167383, BZ#1170010

今回の更新以前は、多くの Boost ライブラリーは、Red Hat Developer Toolset で提供される GNU コンパイラーコレクション(GCC)と互換性がありませんでした。この問題に対処するために修正が実装され、影響を受けるライブラリーが Red Hat Developer Toolset GCC で適切に機能するようになりました。

バグ修正

BZ#1163023

この更新以前は、ユーザーが Red Hat Enterprise Linux 6.5 から Red Hat Enterprise Linux 6.5 にアップグレードし、システムを再起動した後、certmonger は起動直後に誤って終了し、新しい証明書の一連の不要なチェックが実行されていました。このバグを修正するためにパッチが適用され、上記の状況ではこれらの問題は発生しなくなります。

BZ#1178190

以前は、getcert list コマンドで "pre-save command" と "post-save command" の値が表示されませんでした。その結果、getcert list を実行すると、不完全な結果が返される可能性がありました。今回の更新で問題が修正され、getcert list を実行すると、"pre-save command" と "post-save command" の値が期待どおりに表示されるようになりました。

機能拡張

BZ#1161768

certmonger サービスは、Simple Certificate Enrollment Protocol (SCEP)をサポートするようになりました。サーバーから証明書を取得するため、ユーザーは SCEP を介した登録を提供できるようになりました。

BZ#1169806

IdM クライアントのキックスタート登録中に getcert ユーティリティーを使用して証明書を要求すると、certmonger を実行する必要がなくなりました。以前は、certmonger が実行されていないため、これを試行できませんでした。今回の更新により、getcert は、D-Bus デーモンが実行されていない条件で、上記の状況で証明書を正常に要求できるようになりました。certmonger は、この方法で取得した証明書の監視を開始するために、システムを再起動する必要があります。

BZ#1222595

以前は、ユーザーが "getcert list" コマンドを実行した後、証明書に設定されている場合、出力に PIN 値が含まれていました。その結果、ユーザーは、コマンドの出力をパブリックに共有することで、PIN を意図せずに公開する可能性があります。今回の更新で、getcert list 出力には、証明書に PIN が設定されていることに注意してください。その結果、PIN 値自体が "getcert list" の出力に表示されなくなりました。

バグ修正

BZ#965103

以前は、chkconfig ユーティリティーが /etc/xinetd.d/ ディレクトリー内のファイルを変更すると、ファイルパーミッションは 644 に、SELinux コンテキストが root:object_r:etc_t に設定されていました。ただし、このようなパーミッションは、他のユーザーによる /etc/xinetd.d/ 内のファイルを必要とする Defense Information Systems Agency's (DISA)セキュリティー技術実装ガイド(STIG)に準拠しません。今回の更新により、chkconfig は、変更する xinetd ファイルに 600 パーミッションがあり、正しい SELinux コンテキストが保持されるようになりました。

バグ修正

BZ#1080482

以前は、正しい Kerberos 認証情報を指定した場合でも、/etc/krb5.conf ファイルの default_keytab_name 設定を使用して、システムのキータブがデフォルト以外の場所に保存されている場合、CIFS 共有のマウントに失敗していました。ただし、default_keytab_name がデフォルトの /etc/krb5.keytab ファイルを参照すると、マウントに成功しました。cifs.upcall ヘルパープロセスは、default_keytab_name を使用して指定されるデフォルト以外のキータブの場所を参照するように変更されました。その結果、キータブがデフォルト以外の場所に保存されている場合でも、CIFS マウントが期待どおりに機能するようになりました。

バグ修正

BZ#1149516

以前は、gfs2_convert ユーティリティーまたは特定の破損により、ondisk inode "di_goal_meta" フィールドに偽の値が発生することがありました。そのため、これらの偽の値が GFS2 ブロックの割り当てに影響し、そのような inode で EBADSLT エラーが発生する可能性があり、通常のファイルにおけるディレクトリーや新しいブロックでの新規ファイルの作成が禁止される可能性があります。今回の更新で、gfs2_convert が正しい値を計算するようになりました。fsck.gfs2 ユーティリティーには、間違った inode ゴール値を特定して修正する機能もあり、上記の問題は発生しなくなります。

BZ#1121693

gfs2_quota、gfs2_tool、gfs2_grow、および gfs2_jadd ユーティリティーは、親 gfs2 ファイルシステムのマウントに使用する context オプションと一致する context マウントオプションと一致する gfs2 メタファイルシステムをマウントしませんでした。したがって、SELinux を有効にして実行すると、影響を受ける gfs2 ユーティリティーが失敗していました。上記の gfs2 ユーティリティーが、gfs2 ファイルシステムの context マウントオプションをメタファイルシステムに渡すように更新され、SELinux が有効な場合には失敗しなくなりました。

BZ#1133724

設定のリロード時に dlm_controld デーモンの競合状態がトリガーされる可能性がありました。これにより、ダングリングファイルポインターが書き込まれていました。その結果、特定のまれな条件では、dlm_controld がセグメンテーションフォールトで予期せず終了し、分散ロックマネージャー(DLM)ロックスペースを管理対象外のままにし、システムの再起動を要求することがありました。このバグは修正され、設定が更新されると dlm_controld がクラッシュしなくなりました。

BZ#1087286

以前は、resource-agents スキームの更新中にエラーが発生しませんでした。その結果、resource-agents スキーマの更新中にエラーが発生した場合、更新は警告なしで失敗し、後で cman サービスの開始も失敗する可能性がありました。今回の更新により、問題の発生時にスキーマエラーが報告され、アップグレード時に修正アクションを実行できるようになりました。

機能拡張

BZ#1099223

クォーラムディスクの投票がデフォルトが 1 に設定されている場合や、投票数が明示的に 1 に設定されている場合に、qdiskd デーモンは master_wins モードを自動的に有効にするようになりました。その結果、クォーラムディスクの設定はドキュメントとより一貫性が高くなり、設定が間違っていることがなくなります。

BZ#1095418

新しいエラーメッセージが qdiskd デーモンに追加されました。これにより、3 つ以上のノードを持つクラスターにヒューリスティックが設定されていなければ、qdiskd が起動できなくなります。tie-break が発生した場合に、クォーラムデバイスを使用する 3 つ以上のノードを持つクラスターでヒューリスティックが必要になります。ヒューリスティックが指定されず、クラスターに 3 つ以上のノードが含まれている場合、cman サービスは起動に失敗し、エラーメッセージが返されます。この動作により、設定ミスが回避されます。

バグ修正

BZ#1111249, BZ#1114622

内部 ricci API は、クラスター化されたリソースを一時的に停止する機能を備えたため、RHBA-2015:20054 エラータに記載されている luci パッケージの BZ#1111249 拡張要求を解決するために使用されていました。

バグ修正

BZ#1115626

以前は、ユーザーが連絡先レス PIV カードを挿入した後、coolkey は接続レスな方法でアクセスできませんでした。その結果、カードステータスが一貫性のない状態になり、Enterprise Security Client (ESC)がカードを検出できなかったことを示すライトがなくなりました。このパッチを使用すると、coolkey は PIV 認証、PIV 署名、または PIV キー交換キーの代わりに、カード証明書または鍵にアクセスします。その結果、ユーザーが連絡先のない PIV カードを挿入すると、ECS はそれを正常に検出するようになりました。

バグ修正

BZ#1136431

corosync ユーティリティーに IPv6 ネットワークを設定し、Network Interface Controller (NIC)またはスイッチでパケットの断片化が無効になっていると、パケットは配信されませんでした。この更新では、データフラグメントサイズが正しく計算され、パケットは意図されたとおりに配信されます。

機能拡張

BZ#1163846

UDP ユニキャスト(UDPU)プロトコルを使用する場合、すべてのメッセージがアクティブなメンバーのみに送信されるのではなく、設定されたすべてのメンバーに送信されていました。これは、検出メッセージのマージに意味があります。そうしない場合、不足しているメンバーへの不要なトラフィックが作成され、ネットワーク上で過剰なアドレス解決プロトコル(ARP)要求が発生する可能性があります。corosync コードは、必要時に不足しているメンバーにのみメッセージを送信するように変更されました。それ以外の場合は、アクティブなリングメンバーにのみメッセージを送信するようになりました。そのため、ほとんどの UDPU メッセージは、マージの適切な検出に必要なメッセージ(1-2 pkts/sec)を除き、アクティブメンバーにのみ送信されるようになりました。

BZ#742999

今回の更新で、RRP (Redundant Ring Protocol)モードの使用時に、ネットワークインターフェイスが IP アドレス、ポート、および IP バージョンであるかどうかをテストするように corosync パッケージが変更されました。corosync は設定ファイルの正確性を適切にチェックし、RRP モードの使用時にの失敗を防ぐようになりました。

バグ修正

BZ#728999

以前は、パッケージビルドスクリプトのデバッグオプションが無効になりていました。そのため、cpufrequtils ユーティリティーの debuginfo パッケージは生成されませんでした。この更新により、ビルドスクリプトのデバッグオプションが有効になり、cpufrequtils バイナリーファイルで debuginfo オプションが利用できるようになりました。

Enhancement

BZ#730304

この更新より前は、cpufreq-aperf ユーティリティーに man ページがありませんでした。cpufreq-aperf に関する詳細情報をユーザーに付与するために、man ページが追加されました。

Enhancement

BZ#1187332

turbostat ユーティリティーは、モバイルおよびデスクトップの 6 番目の Generation Intel Core Processors をサポートするようになりました。

バグ修正

BZ#1196755, BZ#1211828, BZ#1219780, BZ#1225024

以前の更新では、カーネルの変更が intel_pstate ドライバーを導入しました。これは、Red Hat Enterprise Linux 6.7 までスケーリングの管理方法と互換性がありません。その結果、cpuspeed サービスは、システムの起動時に必要なエラーメッセージを出力していました。今回の更新で、intel_pstate を使用するプラットフォームは、performance および powersave スケーリングガバナーのみをサポートし、デフォルトオプションとデフォルト状態が "powersave" になりました。ユーザーが上記のガバナー（例：ondemand またはconservative）とは異なるガバナーを設定している場合は、設定を編集し、2 つの powersave または performance から選択する必要があります。さらに、不要なエラーメッセージが返されなくなりました。

バグ修正

BZ#1179480

AMD64 および Intel 64 カーネルの以前の更新では、STACKFAULT 例外スタックが削除されました。その結果、バックトレースが STACKFAULT 以外の例外スタックで発生した場合、更新されたカーネルで "bt" コマンドを使用すると、間違った例外スタック名が表示されていました。さらに、mach コマンドは、STACKFAULT 以外の例外スタックに誤った名前を表示していました。この更新により、上記の状況でスタック名が適切に生成され、bt と MACh の両方が正しい情報を表示するようになりました。

BZ#1208557

以前は、vmcore ファイルおよび vmlinux ファイルを使用して crash ユーティリティーを実行しようとすると、クラッシュが無限ループに入り、応答しなくなりました。今回の更新で、セッションの初期化中に pid_hash[] チェーンからタスクを収集する際のエラーの処理が強化されました。pid_hash[] チェーンが破損していると、パッチは初期化シーケンスが無限ループに入らないようにします。これにより、crash ユーティリティーの上記の失敗が発生しないようにします。さらに、破損または無効な pid_hash[] チェーンに関連するエラーメッセージが更新され、pid_hash[] インデックス番号が報告されました。

BZ#1073987

特定のシステム設定、kmem -f、kmem -F、および kmem コマンドオプションでは、これまで完了までに非常に長い時間がかかりていました。今回の更新により、空きページのアドレスを保存するために使用される内部ハッシュキューのサイズが増加し、空きページ検索が合理化され、指定されたアドレスを含む NUMA ノードのみがチェックされるようになりました。その結果、上記の kmem オプションはパフォーマンスに悪影響を及ぼさなくなりました。

Enhancement

BZ#1195596

makedumpfile コマンドが、16 TB を超える物理メモリー領域を表すことができる新しい sadump 形式をサポートするようになりました。これにより、makedumpfile ユーザーは、今後実行するサーバーモデルで sadump によって生成された 16 TB を介してダンプファイルを読み取ることができます。

バグ修正

BZ#1204175

Fastrack チャネルでリリースされた以前の cronie エラータによって引き起こされる /etc/anacrontab ファイルの解析のリグレッションにより、/etc/anacrontab ファイルに設定した環境変数は認識されず、エラーメッセージがログに記録されました。これらの更新された cronie パッケージはリグレッションを修正し、anacron ジョブに対して変数が正しく設定されるようになりました。

バグ修正

BZ#1031383

以前は、anacrontab ファイルに誤った設定が含まれていると、anacron プロセスが予期せず終了する可能性がありました。このバグを修正するために、設定設定の形式チェックが修正され、anacron プロセスがクラッシュしなくなりました。

BZ#1082232

今回の更新以前は、crond サブプロセスが予期せず終了した場合、crond pid ファイルが誤って削除される可能性がありました。今回の更新により、crond サブプロセス終了の処理が修正され、削除が行われなくなりました。

機能拡張

BZ#1108384

crond デーモンはシャットダウンをログに記録するようになりました。したがって、正常な終端は異常なものと区別できます。

BZ#1123984

crond デーモンは、getpwnam （）呼び出しの失敗が原因でジョブがスキップされた場合のエラーをログに記録するようになりました。

バグ修正

BZ#951553

HTML ドキュメントの PageLogFormat の誤ったリファレンスが修正され、PageLogFormat ドキュメントにアクセスできるようになりました。

BZ#988062

CUPS Line Printer Daemon バックエンド "sanitize_title" オプションの操作に関するドキュメントが変更され、オプションが明確に説明されるようになりました。

BZ#1145064、BZ#1178370

CUPS スケジューラーの HTTP マルチパート処理の問題により、Web インターフェイスを使用してプリンターを追加しようとすると、一部のブラウザーが想定どおりに機能しませんでした。新しいバージョンからの変更により、すべてのブラウザーでプリンターを追加できるようになりました（問題なく）。

BZ#1161171

Secure Sockets Layer (SSLv3)を無効にし、CUPS で他の安全なプロトコルを有効にすることができませんでした。これにより、CUPS ユーザーが POODLE 攻撃(CVE-2014-3566)に対して脆弱となり、軽減のために stunnel ユーティリティーをデプロイする必要があります。この更新により、デフォルトで SSLv3 サポートが無効になります。SSLv3 を使い続ける必要があるユーザーの場合は、cupsd サービスの cupsd.conf ファイルとクライアントプログラムの client.conf ファイルに SSLOptions 設定ディレクティブが追加されました。

BZ#1164854

BrowsePoll 設定ディレクティブが使用され、アクセスのポーリング用にリモートサーバーが設定されていると、cups-polld プロセスがビジーループで直ちにアクセスが再試行されます。このプロセスは、すべてのプロセッサー時間と増加したネットワークトラフィックを消費しました。今回の更新では、これを防ぐために、10 秒の必須の遅延が導入されました。影響を受けるユーザーは、サーバーの BrowsePoll 行を削除するか、リモートクエリーを許可するようにサーバーを調整して設定を修正する必要があります。

BZ#1170002

CUPS スケジューラーでは、応答がないため、すべてのメンバーが削除された暗黙的なクラスしかない場合でも、印刷キューが誤って存在していました。メンバーが削除された暗黙的なクラスに、個別の Create-Job と Send-Document リクエストを使用してジョブを送信すると、CUPS スケジューラーが NULL 逆参照で予期せず終了しました。この例では、スケジューラーはクラッシュせずにエラーで応答するように修正されています。

BZ#1187840

ジョブ処理コードに NULL チェックがないため、フィルターの失敗により複数のファイルを持つジョブが中止された場合、CUPS スケジューラーが予期せず終了しました。今回の更新で、上記の状況で CUPS スケジューラーがクラッシュしないようにチェックが追加されました。

BZ#1196217

ErrorPolicy 設定ディレクティブは起動時に検証されず、警告なしでデフォルトエラーポリシーを使用できました。ディレクティブが起動時に検証され、設定値が正しくない場合はデフォルトにリセットされるようになりました。目的のポリシーが使用されるか、警告メッセージがログに記録されます。

BZ#1198394

以前の更新では不完全な修正が行われるため、一部の環境変数は起動時に正しく設定されず、SELinux が拒否されました。元の修正の残りの部分が追加され、起動時に変数が正しく設定されるようになりました。

機能拡張

BZ#1115219

CUPS に組み込まれているプリンター間で負荷分散を使用する代わりに、他のプリンターにフェイルオーバーして 1 つのプリンターにジョブを転送できるようになりました。ジョブは、セットの最初の稼働中のプリンターである 優先されるプリンター に送信され、優先されるプリンターが使用できない場合にのみ使用されます。

BZ#1120587

ErrorPolicy ディレクティブと、サポートされている値の説明が、cupsd.conf (5) man ページに追加されました。ErrorPolicy ディレクティブは、バックエンドがプリンターに印刷ジョブを送信できない場合に使用されるデフォルトのポリシーを定義します。

セキュリティーの修正

CVE-2014-3613

受信した HTTP クッキーを解析するときに、libcurl ライブラリーが部分的なリテラル IP アドレスを正しく処理しなかったことが判明しました。攻撃者は、悪意のあるサーバーに接続するユーザーを侵入できる場合、この脆弱性を使用してユーザーの cookie を細工されたドメインに設定する可能性があり、他の cookie 関連の問題が悪用しやすくなる可能性があります。

CVE-2014-3707

libcurl ライブラリーが接続ハンドルの重複を実行する方法に欠陥が見つかりました。アプリケーションがハンドルに CURLOPT_COPYPOSTFIELDS オプションを設定する場合、ハンドルの重複を使用すると、アプリケーションがそのメモリーの一部をクラッシュまたは開示する可能性があります。

CVE-2014-8150

libcurl ライブラリーが、埋め込みの終了文字を使用して URL を適切に処理できなかったことが検出されました。攻撃者は、libcurl を使用して、特別に細工された URL にアクセスするために、HTTP プロキシー経由でアプリケーションを作成できます。この不具合を悪用して、リクエストに追加のヘッダーを挿入したり、追加のリクエストを作成したりする可能性があります。

CVE-2015-3143、CVE-2015-3148

libcurl が NTLM および Negotatiate 認証の側面を正しく実装していないことがわかりました。アプリケーションが libcurl と影響を受けるメカニズムを特定の方法で使用すると、以前に NTLM-authenticated サーバーへの特定のリクエストが、誤った認証ユーザーによって送信済みと表示される可能性があります。さらに、HTTP Negotiate-authenticated リクエストの最初の認証情報セットは後続のリクエストで再利用できましたが、異なる認証情報のセットが指定されました。

バグ修正

BZ#1154059

SSL バージョン 3.0 (SSLv3.0)へのプロトコル外のフォールバックは、libcurl で利用できます。攻撃者はフォールバックを使用して SSL バージョンを強制的にダウングレードする可能性があります。フォールバックは libcurl から削除されました。この機能を必要とするユーザーは、libcurl API を介して SSLv3.0 を明示的に有効にできます。

BZ#883002

FILE プロトコルを介した単一のアップロード転送は、宛先ファイルを 2 回開いた。inotify カーネルサブシステムがファイルを監視した場合は、2 つのイベントが不要な生成されています。このファイルはアップロードごとに 1 回だけ開かれるようになりました。

BZ#1008178

SCP/SFTP 転送に libcurl を使用するユーティリティーは、システムが FIPS モードで実行されている場合に予期せず終了する可能性がありました。

BZ#1009455

curl ユーティリティーで--retry オプションを使用すると、curl がセグメンテーション違反で予期せず終了する可能性があります。現在、-retry を追加しても、curl がクラッシュしなくなりました。

BZ#1120196

curl --trace-time コマンドでは、タイムスタンプの印刷時に正しいローカルタイムが使用されませんでした。curl --trace-time が期待どおりに機能するようになりました。

BZ#1146528

valgrind ユーティリティーは、curl 終了時に動的に割り当てられたメモリーリークを報告できます。curl は NetScape Portable Runtime (NSPR)ライブラリーのグローバルシャットダウンを実行し、valgrind はメモリーリークを報告しなくなりました。

BZ#1161163

以前は、プロキシーサーバーが独自のヘッダーを HTTP 応答に追加すると、libcurl は CURLINFO_HEADER_SIZE フィールドの誤った値を返していました。これで戻り値は有効です。

機能拡張

BZ#1012136

"--tlsv1.0"、"-tlsv1.1"、および "--tlsv1.2" オプションは、NSS によってネゴシエートされる TLS プロトコルのマイナーバージョンを指定するために使用できます。"--tlsv1" オプションは、クライアントとサーバーの両方でサポートされている TLS プロトコルの最新バージョンをネゴシエートするようになりました。

BZ#1058767, BZ#1156422

TLS に使用される新しい AES 暗号スイートと、ECC および新しい AES 暗号スイートを明示的に有効または無効にできるようになりました。

バグ修正

BZ#880121

multipathd デーモンがマルチパスデバイスの追加に失敗した場合、場合によってはエイリアスが解放されてからアクセスし、再度解放を試みていました。その結果、multipathd が予期せず終了しました。この更新により、multipathd はエイリアスを 2 回解放するか、解放されたエイリアスにアクセスしようとすることがなくなり、上記の状況でクラッシュしなくなりました。

BZ#1120047

以前は、ALUA プリファレンスビットが設定されたすべてのターゲットポートには、他のすべてのターゲットポートよりも高い優先度が割り当てられていました。その結果、ターゲットポートにプリファレンスビットが設定されている場合、マルチパスはそのポートと同等に最適化されている他のポートとの間で負荷を分散しませんでした。今回の更新により、プリファレンスビットは、まだ最適化されていないパスの優先度のみを上げます。設定ビットが最適化されていないポートに設定されている場合、ポートが使用されるようになりました。ただし、最適化したポートにプリファレンスビットが設定されている場合は、最適化されたすべてのポートが使用され、それらの間でマルチパスの負荷が分散されます。

BZ#1136966

parted ユーティリティーが既存のマルチパスデバイスにパーティションを作成すると、kpartx ユーティリティーと競合してパーティションを作成します。これにより、デバイスまたはリソースのビジー状態エラーが発生する可能性があります。現在、kpartx はマルチパスデバイスがアクティブ化されたときにのみパーティションを作成し、parted が既存のマルチパスデバイスで実行されたときにパーティションを自動的に作成することはなくなりました。

BZ#1148096

以前は、マルチパスデバイスに initramfs によって user_friendly_name が割り当てられていなかったため、通常のシステムによってすでに割り当てられている名前との競合が発生していました。名前の競合が原因で、マルチパスが誤ったデバイスを更新しようとする可能性があるため、データが破損する可能性があります。このバグを修正するには、マルチパスはパスをチェックして、デバイスの user_friendly_name がすでに割り当てられているかどうかを確認し、その場合は新しい名前を割り当てます。

BZ#1171862

以前は、multipathd デーモンにのみ必要であったとしても、libmultipath ユーティリティーはすべてのプログラムの sysfs データのグローバルキャッシュを保持していました。その結果、複数のスレッドがロックせずに libmultipath を使用している場合は、メモリーエラーが発生する可能性がありました。これにより、mpath_persistent_reserve_in （）関数または mpath_persistent_reserve_out （）関数を使用したマルチスレッドプログラムの予期しない終了が発生していました。今回の更新で、multipathd のみがグローバル sysfs データキャッシュを使用するようになり、上記のクラッシュが回避されます。

BZ#1175888

以前は、マルチパスユーティリティーがパスデバイスを初めて認識するときに、udev ユーティリティーでパスデバイスが要求されず、他のプログラムがマルチパスを要求するためにマルチパスを競合させる可能性がありました。その結果、インストール中にマルチパスシステムが起動できなくなる可能性がありました。この更新により、multipathd デーモンは起動時にカーネルコマンドラインをチェックするようになりました。World Wide Identifier (WWID)値を持つパラメーターが認識されている場合は、それらの WWID をマルチパス WWID のリストに追加します。したがって、これらのWWID を持つデバイスは、最初に認識されたときに要求されます。その結果、インストール中にマルチパスシステムが正常に起動しないと、ユーザーはカーネルコマンドラインに mpath.wwid=[WWID] を追加して問題を回避できます。

機能拡張

BZ#978947

今回の更新で、Dell MD36xxf ストレージアレイに新しい組み込み設定が追加されました。

BZ#997028

この udpate により、マルチパスは EMC CLARiON アレイが ALUA モードまたは PNR モードに設定されているかを自動検出し、一致するように自身を正しく設定します。

BZ#1072081

これで、multipathd デーモンには 2 つの新しい設定オプション "delay_watch_checks" と "delay_wait_checks" が追加されました。詳細は、man ページの multipath (8)を参照してください。

バグ修正

BZ#1130804

以前は、DHCPv6 クライアントが完全に読み込まれていないネットワークインターフェイスの設定を開始することがありました。そのため、ネットワークインターフェイスには DHCPv6 クライアントが必要とするリンクローカルアドレスがまだなかったため、dhclient は実行できませんでした。この更新により、待機ループが dhclient-script に追加され、リンクローカルアドレスがないために dhclient が失敗しなくなりました。

BZ#1150587

dhcpd デーモンがプレーンインターフェイスと VLAN トランクとして設定されたインターフェイスを使用し、dhcpd デーモンがプレーンインターフェイスでのみリッスンするように設定されている場合、設定に関係なく VLAN ネットワークからもトラフィックが見つかりました。その結果、dhcpd は誤った応答を生成していました。今回の更新でバグが修正され、上記のシナリオで dhcpd がタグ付けされたリクエストを無視するようになり、正しい応答が生成されるようになりました。

BZ#1151054

DHCPv6 リレーエージェントを実行し、"upper" インターフェイス("-u")の前のコマンドラインで DHCPv6 リレーインターフェイスが指定されていた場合(-l)、メッセージリレーは機能しませんでした。基礎となるソースコードが修正され、DHCPv6 リレーエージェントがメッセージを適切にリレーするようになりました。

BZ#1185075

同時に InfiniBand ネットワークカードを持つ多数のノードを起動すると、一部のノードに重複した IP アドレスが割り当てられていました。今回の更新で、クライアントによって送信された DHCP メッセージの xid フィールドの生成が修正され、xid フィールドが一意になり、ノードに一意の IP アドレスが期待どおりに割り当てられるようになりました。

BZ#1187967

以前は、dhcrelay サービスおよび dhcrelay6 サービスを同時に実行しようとすると、後者のサービスを開始できませんでした。dhcrelay6 init スクリプトが修正され、dhcrelay サービスと dhcrelay6 サービスの両方を実行しても問題が発生しなくなりました。

Enhancement

BZ#1058674

今回の更新により、dhcpd デーモンは dhcp オプション 97 - Client Machine Identifier (pxe-client-id)を処理できるようになり、オプション 97 で送信された識別子に基づいて特定のクライアントに IP アドレスを静的に割り当てることができるようになりました。

バグ修正

BZ#1192357

この更新以前は、dmidecode ユーティリティーは DDR4 タイプのメモリーに対応していませんでした。その結果、DDR4 メモリータイプが指定されたハードウェアの dmidecode コードをコンパイルすると、仕様の結果が出力されます。今回の更新で、dmidecode が更新され、DDR4 がメモリータイプの間にあり、dmidecode ソースコードのコンパイル中に仕様から戻らなくなりました。

バグ修正

BZ#723228

dovecot が使用するポートは、他のサービスによるブートプロセス中に利用できない場合があり、dovecot が起動に失敗し、Address already in use エラーが表示されていました。この更新により、起動プロセス中に dovecot のポートを利用できるようにするようにポート予約サービスが設定され、上記の失敗が阻止されます。

BZ#771336

以前は、dovecot ユーティリティーが Kerberos 認証に小さすぎるログイン入力バッファーを使用していました。そのため、Kerberos 認証を使用を試みたユーザーはログインできませんでした。この更新されたバージョンの dovecot はより大きな入力バッファーを使用し、ユーザーは Kerberos チケットを使用して電子メールアカウントに対して認証できるようになりました。

BZ#813957

この更新前は、dovecot は、証明書失効リスト(CRL)が利用できない場合に冗長 "unable to get certificate" エラーメッセージを記録していました。今回の更新により、dovecot は不足している CRL をエラーとして処理しなくなり、前述のシナリオでエラーをログに記録しなくなりました。

BZ#961466

LIST-STATUS 拡張機能が特定の階層区切り文字シンボルとともに使用された場合、dovecot は予期せず終了する場合がありました。そのため、ユーザーは電子メール フォルダーの内容を一覧表示できませんでした。今回の更新で、トラバースフォルダーのコードが修正され、LIST-STATUS を使用しても dovecot がクラッシュしなくなりました。

BZ#1131749

以前は、存在しないメールボックスに対して "uid copy" コマンドを実行すると、dovecot サーバーが応答しなくなっていました。その結果、手動で復元しない限り、ユーザーは電子メールをダウンロードできませんでした。このバグを修正するためのパッチが提供され、前述のシナリオで dovecot がハングしなくなりました。

Enhancement

BZ#1153041

この更新により、dovecot が許可する Secure Sockets Layer (SSL)プロトコルを設定できるようになりました。とりわけ、ユーザーは SSLv3 接続を無効にできるため、POODLE の脆弱性の影響を軽減できます。セキュリティーの懸念により、SSLv2 および SSLv3 もデフォルトで無効になり、ユーザーは必要に応じて手動で許可する必要があります。

バグ修正

BZ#1198117

以前は、/tmp/net.$netif.override ファイルが存在しない場合、dracut ユーティリティーはエラーメッセージを誤って出力していました。この更新により、dracut は、読み取りを試みる前に /tmp/net.$netif.override が存在するかどうかを検証するようになり、上記のエラーが発生しなくなりました。

BZ#1005886

この更新より前は、dracut logrotate 設定は、time オプションが size オプションよりも優先されていることを決定していました。その結果、dracut ログは、サイズに関係なく、年ごとにローテーションされました。今回の更新で、logrotate 設定の "time" オプションが削除され、サイズが 1 MB を超えると dracut ログのローテーションが行われるようになりました。

BZ#1069275

"ip=ibft" がカーネルコマンドライン引数として指定されたが、"ifname=<iface>:<mac>" パラメーターがない場合、dracut はネットワークインターフェイスを正しく処理しませんでした。その結果、iSCSI ディスクがシステムに接続されていないため、システムは起動できませんでした。今回の更新で、"ifname=<iface>:<mac>" を使用せずに、dracut がカーネルコマンドラインとして "ip=ibft" をカーネル引数として処理し、iSCSI ディスクがシステムに正常に接続され、システムが正常に起動されるようになりました。

BZ#1085562

/etc/crypttab ファイルに最後の文字と同じ行が含まれていない場合、dracut はファイルの最後の行を解析できず、暗号化されたディスクのロックを解除できませんでした。今回の更新で、最後に新しい行なしで /etc/crypttab を処理するよう dracut が修正され、最後の行で指定された暗号化されたディスクが期待どおりに処理され、パスワードを要求し、ディスクのロックを解除できるようになりました。

BZ#1130565

/etc/lvm/lvm.conf ファイルにホストタグが定義されている場合、initramfs 仮想ファイルシステムはカーネルのアップグレード中に /etc/lvm/lvm_hostname.conf ファイルを挿入せず、以前は起動に失敗していました。今回の更新で、/etc/lvm/lvm_hostname.conf が /etc/lvm/lvm.conf とともに追加され、システムはホストタグで意図したとおりに起動するようになりました。

BZ#1176671

以前は、dracut は一部の iSCSI パラメーターに対してカーネルコマンドラインを正しく解析しませんでした。これにより、iSCSI ディスクが接続されませんでした。この更新により、dracut は iSCSI のカーネルコマンドラインパラメーターを正しく解析し、iSCSI ディスクが正常に接続されるようになりました。

BZ#1184142

nss-softokn-freebl パッケージの内部変更により、dracut は FIPS モードで initramfs ファイルを構築できませんでした。このバグを修正するために、nss-softokn-freebl は独自の dracut モジュールを提供し、dracut では依存関係として nss-softokn-freebl が必要になりました。その結果、dracut はすべてのファイルで FIPS 対応の initramfs を構築できます。

BZ#1191721

ネットワークパラメーターがカーネルコマンドラインで指定された場合、dracut はネットワークが起動した場合に iSCSI ターゲットのみに接続しようとしました。そのため、ネットワーク設定が間違っている場合、iSCSI ファームウェア設定または iSCSI オフロード接続は検証されませんでした。このバグを修正するために、特定のタイムアウト後でネットワーク接続が起動しない場合でも、dracut が iSCSI ターゲットへの接続を試みるようになりました。その結果、カーネルコマンドラインネットワークパラメーターの設定が間違っている場合でも、iSCSI ターゲットを接続できます。

BZ#1193528

FIPS 要件の変更により、FIPS の目的で新しい決定論ランダムバイトジェネレーター(drbg)がカーネルに追加されました。今回の更新により、dracut は FIPS モードで他のカーネルモジュールとして drbg を読み込みます。

機能拡張

BZ#1111358

今回の更新により、dracut は、VLAN が設定されたネットワーク上で iSCSI からブートできるようになり、VLAN 設定が iBFT BIOS に保存されます。

BZ#1226905

LVM シンボリュームが initramfs でサポートされるようになりました。

Enhancement

BZ#766443

dstat ユーティリティーは、パラメーターとしてシンボリックリンクの使用をサポートするように強化されました。これにより、ユーザーはブートデバイス名を動的に指定できます。これにより、ホットプラグや同様の操作の後に dstat が正しい情報を表示するようになります。

バグ修正

BZ#1218262

以前は、今後設定された ext2、ext3、または ext4 ファイルシステムのスーパーブロックに "last mount" または "last check" 時間が含まれている場合、e2fsck ユーティリティーは preen モードでエラーを修正しませんでした。その結果、誤ったシステムクロックが起動プロセスを停止し、ブート時のファイルシステムチェックの失敗により管理者の介入を待つ可能性がありました。今回の更新で、これらのタイムスタンプエラーは preen モードで自動的に修正され、上記の状況でブートプロセスが中断されることはなくなりました。

バグ修正

BZ#1200884

以前は、libsysfs パッケージは edac-utils パッケージの依存関係としてリスト表示されませんでした。そのため、libsysfs パッケージが独立してインストールされていないシステムでは、libsysfs が提供するライブラリーがないため、edac-utils パッケージが完全に機能しませんでした。今回の更新で、edac-utils の依存関係のリストに libsysfs が追加されました。その結果、libsysfs は edac-utils とともに自動的にインストールできるため、edac-utils がすべてのシステムで適切に機能するために必要なすべての libsysfs ライブラリーが提供されます。

バグ修正

BZ#1151681

以前は、Hyper-V 2012 および R2 ホストに Generation 2 仮想マシン(Gen2 仮想マシン)のインストールが完了すると、仮想マシンが仮想マシンリストから消えていました。その結果、Hyper-V Manager は VM 設定を読み込みなくなり、仮想マシンが使用できなくなりました。今回の更新で、efibootmgr パッケージのバグが修正され、上記のシナリオで仮想マシン設定にアクセスできるようになりました。

バグ修正

BZ#1167724

eu-stack ユーティリティーは、インラインフレームの表示をサポートしており、ディスク上のライブラリーの一部を更新または削除されたプロセスでも、バックトレースを生成できるようになりました。

• 新しい関数 dwarf_getalt および dwarf_setalt による DWZ 圧縮 DWARF マルチファイルのサポートが改善されました。
• ARM 64 ビットアーキテクチャーと Red Hat Enterprise Linux for POWER のサポートが追加されました（リトルエンディアン）。
• libdw ライブラリーは、LZMA-compressed (.ko.xz)カーネルモジュールをサポートするようになりました。
• .debug_macro のサポートが追加されました。新しい関数が追加されました。dwarf_getmacros_off、dwarf_macro_getsrcfiles、dwarf_macro_getparamcnt、およびdwarf_macro_param"。
• DWARF 形式に新しい GNU 拡張機能が認識されるようになりました。
• 新しい関数が libdw ライブラリーに追加されました（"dwarf_peel_type"、"dwarf_cu_getdwarf"、"dwarf_cu_die"、"dwelf_elf_gnu_debuglink"、"dwelf_dwarf_gnu_debugaltlink"、"dwelf_elf_gnu_build_id"

バグ修正

BZ#852516

以前は、data_space_start 値が不正確に設定されていました。これにより、emacs テキストエディターが次のメモリーの警告メッセージを返しました。

緊急(alloc): Warning: 過去の 95% のメモリー制限

このバグを修正するために、data_space_start が正しく設定され、emacs が警告メッセージを返さなくなりました。

BZ#986989

ガレッフエンコーディングを使用する場合、テキストの直面はガベージコレクターから削除されていませんでした。その結果、中心の削除を試みる際に、emacs テキストエディターがセグメンテーション違反で予期せず終了しました。この更新により、直面するテキストもガベージコレクターから削除され、上記のシナリオで emacs がクラッシュしなくなりました。

バグ修正

BZ#1015310

以前は、enchant ライブラリーが、ユーザーのカスタムディクショナリーファイルを書き込みモードで開きていました。その結果、ファイルの内容は常に消去され、以前の辞書に追加された単語はすべて忘れられていました。この更新により、ディクショナリーファイルが追加モードで開かれます。その結果、カスタムディクショナリーへの新しい追加は、以前に保存された単語を削除しなくなりました。

バグ修正

BZ#979789

以前は、ネストされたモジュールディレクトリーの利用可能なモジュールに関する誤解を招く情報がユーザーに表示されていました。このバグを修正するために、コード検出モジュールバージョンが修正され、正しい情報が表示されるようになりました。

BZ#1117307

この更新以前は、ロードしたモジュールファイルに "module unload" コマンドが含まれている場合、モジュールが適切にアンロードされませんでした。今回の更新で、モジュールのバージョン検出のコードのロジックが変更され、module unload コマンドを含むモジュールが正しくアンロードされるようになりました。

Enhancement

BZ#1066605

今回の更新で、ethtool ユーティリティーがイーサネットドライバーのユーザー定義の受信サイドスケーリング(RSS)ハッシュキー値を受け入れるようになり、RSS のパフォーマンスおよびセキュリティーが向上します。これにより、ethtool を使用してイーサネットドライバーの RSS ハッシュキー値を設定できます。

バグ修正

BZ#1163375

POODLE の脆弱性が原因でサーバーが SSL を無効にしている場合、Evolution クライアントは SSL (Secure Sockets Layer)プロトコルを使用してメールサーバーに接続できませんでした。今回の更新で、Transport Layer Security (TLSv1)プロトコルを使用しても接続するように Evolution Data Server が変更され、このバグが修正されました。

BZ#1141760

以前は、グラフィカルデスクトップ環境からログアウトしたときに e-calendar-factory プロセスが自動的に終了せず、e-calendar-factory が冗長に消費されていました。今回の更新で、基礎となるコードが修正され、この問題が発生しなくなりました。

バグ修正

BZ#1160279

Exchange Web Services (EWS)コネクターを使用すると、外部シンボルがないため、コネクターの UI 部分を読み込めませんでした。そのため、ユーザーは evolution-exchange パッケージの EWS 部分に設定を変更したり、新しいメールアカウントを設定したりすることはできません。今回の更新により、ビルド時にライブラリーリンクオプションが修正され、不足しているシンボルが利用可能になりました。現在は、EWS コネクターの UI 部分が適切にロードされ、メールアカウントを追加および設定できるようになりました。

バグ修正

BZ#1049805, BZ#1094515, BZ#1099551, BZ#1111482, BZ#1118008, BZ#1123897, BZ#1171734

今回の更新で、HP Integrated Lights-Out 2 (ManagedOpenShift2)デバイスのフェンスエージェントに--tls1.0 オプションが追加されました。このオプションを使用すると、ファームウェアバージョン 2.27 で iLO2 デバイスを使用する場合、TLS プロトコルの iLO2 ネゴシエーションが期待どおりに機能します。

• fence_kdump エージェントが "monitor" アクションをサポートしているようになり、クラスタースタックとの統合が容易になりました。
• fence-agents パッケージは、HP Moonshot iLO デバイスの fence_ilo_moonshot フェンスエージェントに対応するようになりました。fence_ilo_moonshot パラメーターの詳細は、man ページの fence_ilo_moonshot (8)を参照してください。
• 今回の更新で、fence_ilo_ssh フェンスエージェントのサポートが追加されました。エージェントは、SSH を使用して iLO デバイスにログインし、指定したコンセンレットを再起動します。fence_ilo_ssh パラメーターの詳細は、man ページの fence_ilo_ssh (8)を参照してください。
• 今回の更新で、fence_mpath フェンスエージェントのサポートが追加されました。このエージェントは、SCSI-3 永続予約を使用してマルチパスデバイスへのアクセスを制御する I/O フェンシングエージェントです。fence_mpath とそのパラメーターの詳細は、man ページの fence_mpath (8)を参照してください。
• Simple Network Management Protocol (SNMP)上の APC デバイスのフェンスエージェントが更新され、最新バージョンの APC ファームウェアがサポートされるようになりました。
• この更新により、Simple Network Management Protocol (SNMP)経由の Emerson デバイスの fence_emerson フェンシングエージェントのサポートが追加されました。これは、MPX および MPH2 Emerson デバイスで使用できる I/O フェンシングエージェントです。fence_emerson フェンシングエージェントのパラメーターの詳細は、man ページの fence_emerson (8)を参照してください。

バグ修正

BZ#1125290

以前は、fence-virt ユーティリティーが、要求の処理でエラーを検出すると、誤ってゼロ終了コードを返していました。今回の更新により、この問題の原因となった静的分析エラーが修正され、fence-virt がエラーを検出した場合に適切なエラーコードを返すようになりました。

BZ#1078197

サポートされる TCP およびマルチキャストポートの範囲が正しく設定されていないため、fence-virt は特定のポートで適切に機能しませんでした。今回の更新で、サポートされる TCP およびマルチキャストポートの範囲が修正され、問題が発生しなくなりました。

Enhancement

BZ#1020992

fence-virt ユーティリティーおよび fence-xvm ユーティリティーが "-o status" パラメーターで呼び出されると、ステータスがよりわかりやすく出力されるようになりました("Status: ON" または "Status: OFF" のいずれか)。

バグ修正

BZ#1024825

fprintd デーモンコードのバグにより、長時間実行されるプラグ可能な認証モジュール(PAM)クライアントでは、認証の反復ごとにファイル記述子のリークが発生していました。今回の更新により、ファイル記述子はジョブの完了後に閉じるため、ファイル記述子のリークは発生しません。

セキュリティーの修正

CVE-2014-2015

スタックベースのバッファーオーバーフローが、FreeRADIUS rlm_pap モジュールが長いパスワードハッシュを処理する方法で見つかりました。攻撃者は半形のパスワードハッシュを処理できると、デーモンがクラッシュする可能性があります。

バグ修正

BZ#1078736

辞書の数が更新されました。

* この更新は、複数の Extensible Authentication Protocol (EAP)の改善を実装します。

* %{randstr:...} を含む多くの新しい拡張が追加されました。%{hex:..}、%{sha1:...}、%{base64:...}、%{tobase64:...}、および %{base64tohex:...}。

* %{expr:..} 拡張で 16 進数(0x...)がサポートされるようになりました。

* この更新では、rlm_python モジュールに演算子サポートが追加されます。

* Dynamic Host Configuration Protocol (DHCP)および DHCP リレーコードが完成しました。

* 今回の更新で、任意の属性をキャッシュするための rlm_cache モジュールが追加されました。

このリベースで提供されるバグ修正と機能強化の完全なリストは、参考資料 セクションの リンクされている freeradius changelog を参照してください。

BZ#904578

/var/log/radius/radutmp ファイルは、不要な場合でも 1 カ月間隔でローテーションするように設定されていました。今回の更新で、/etc/logrotate.d/radiusd ファイルにインストールされている logrotate ユーティリティー設定から /var/log/radius/radutmp が削除され、/var/log/radius/radutmp はローテーションされなくなりました。

BZ#921563

radiusd サービスは、raddebug ユーティリティーによって作成された出力ファイルを書き込めませんでした。raddebug ユーティリティーは適切な所有権を出力ファイルに設定し、radiusd が出力を書き込めるようになりました。

BZ#921567

raddebug -t 0 コマンドを使用して raddebug を開始した後、raddebug はすぐに終了します。この状況で、特別なケースの比較が修正され、raddebug が 11.5 日間実行されるようになりました。

BZ#1060319

ユーザーが正しい認証情報を提供していても、User-Name 属性と MS-CHAP-User-Name 属性が異なるエンコーディングを使用すると、MS-CHAP 認証が失敗します。MS-CHAP 認証は、文字エンコーディングの不一致を適切に処理するようになりました。この状況では、正しい認証情報を使用した認証が失敗しなくなりました。

BZ#1135439

自動生成されたデフォルト証明書は、安全でないと見なされる SHA-1 アルゴリズムメッセージダイジェストを使用していました。デフォルトの証明書では、より安全な SHA-256 アルゴリズムメッセージダイジェストを使用するようになりました。

BZ#1142669

OCSP (Online Certificate Status Protocol)の検証中に、OCSP レスポンダーが提供していない次の更新フィールドにアクセスしようとした後、radiusd はセグメンテーション違反で予期せず終了しました。今回のリリースより、radiusd はこの状況ではクラッシュせず、代わりに OCSP 検証の完了を継続します。

BZ#1173388

この更新以前は、インストールされている directory.mikrotik ファイルにそれらが含まれていなかったため、radiusd は最近の MikroTIK 属性の一部では機能しませんでした。この更新により、ID が最大 22 から dictionary.mikrotik に追加され、radiusd がこれらの属性で期待どおりに機能するようになりました。

バグ修正

BZ#1190640

以前は、stdarg 関数の最適化のバグが原因で、コンパイラーが誤ったコードを生成する可能性がありました。この問題は、va_list 変数が PHI ノードをエスケープした場合にのみ発生しました。このバグは修正され、コンパイラーが正しいコードを生成するようになりました。

BZ#1150606

以前は、ベクター化の最適化が有効になっている場合、コンパイラーは、精度がモードの精度に一致しない要素タイプを持つベクトルのスカラーコンポーネントを抽出できました。その結果、ビットフィールドを使用しているコードをベクトルしようとする際に、GCC が予期せず終了することがありました。この更新により、コンパイラーはそのようなコードをベクトルしなくなり、コードが正しくコンパイルされるようになりました。

BZ#1177458

以前は、コンパイラーは PCH (Precompiled Headers)機能の誤った使用を適切に処理しませんでした。PCH ファイルが最初のインクルードとして含まれていない場合、コンパイラーはセグメンテーションフォールトで予期せず終了しました。コンパイラーがこのような誤ったインクルードを使用しないように修正され、このシナリオでクラッシュしなくなりました。

BZ#1134560

以前のバージョンの GNU Fortran コンパイラーでは、Cray ポイントのタイプ指定子は、同じ名前のコンポーネントのタイプ指定子によって誤って上書きされていました。その結果、コンパイルに失敗し、エラーメッセージが表示されました。このバグは修正され、Cray ポインターが正しく処理されるようになりました。

Enhancement

BZ#1148120

gcc の hotpatch 属性は、System z バイナリーでマルチスレッドコードのオンラインパッチ適用のサポートを実装します。今回の更新で、機能属性を使用してホットパッチを適用する特定の機能を選択し、-mhotpatch=" コマンドラインオプションを使用して、すべての機能のホットパッチを有効化できるようになりました。ホットパッチを有効にすると、ソフトウェアのサイズとパフォーマンスに悪影響を及ぼすため、特定の機能にはホットパッチを適用し、一般的にホットパッチサポートを有効にしないことが推奨されます。

バグ修正

BZ#1099929

GDB が PID -1 のスレッドを検出すると、GDB はその誤った PID にアタッチしようとし、その結果は内部エラーで失敗しました。この更新により、GDB は間違った PID -1 を検出し、ユーザーに警告メッセージを表示します。また、デバッグセッションは上記のシナリオの影響を受けなくなりました。

BZ#1117841

GDB は splay ツリーを使用して、アドレスマップに関連する要素を格納していました。ただし、大きすぎるスプレイツリーを繰り返し処理すると、splay_tree_foreach_helper （）関数の再帰により、GDB がスタックが不足し、セグメンテーション違反が生成されていました。splay_tree_foreach_helper （）の実装が non-recursive に変更されました。これにより、iterator （）の効率が改善され、GDB が前述の失敗を回避します。

BZ#1119119

以前は、GDB は、ユーザー環境から文字セット名を見つけようとしたときに、NULL ポインターをチェックしませんでした。これにより、GDB が予期せず終了し、セグメンテーション違反が生成されました。今回の更新で、GDB が NULL ファイルポインターを処理するかどうかを正しくチェックするようになり、このバグが修正されました。

BZ#1139405

GDB は、匿名名前空間で定義されているシンボルの文字列表現で " (anonymous namespace) " 文字列を使用します。ただし、linespec パーサーはこの文字列が必要なコンポーネントであると認識せず、シンボル検索に失敗したため、匿名名前空間で定義されたシンボルでブレークポイントを設定またはリセットできませんでした。このバグを修正するために、匿名の名前空間認識が抽象化され、この表現要件の一意のロールが明確になりました。さらに、linespec パーサーが更新され、必要な文字列を適切に処理できるようになりました。その結果、匿名 namespace のシンボルのブレークポイントは、GDB によって適切に設定またはリセットできます。

BZ#1149205

"catch syscall" コマンドは、GDB 内の特別なタイプのブレークポイントを使用します。これは、通常のブレークポイントを処理するコードによって維持されません。以前は、GDB は fork （）関数呼び出し後に、親プロセスでシステムコールを適切にキャッチできませんでした。今回の更新で、システムコールのキャッチポイントは、それ自体をフォークしたプログラムから削除されなくなり、フォーク後に親プロセスからの呼び出しで GDB が正しく停止できるようになりました。

BZ#1156192

以前は、dlopen （）ライブラリー関数の欠陥により、dlopen （）がライブラリーアサーションでクラッシュまたは中止する再帰呼び出しが発生していました。ユーザーによって dlopen （）が提供する malloc （）の実装により、dlopen （）への再帰的な呼び出しが発生する可能性があります。dlopen 実装が再入り、dlopen （）への再帰呼び出しが、アサーションでクラッシュまたは中止しなくなりました。

BZ#1162264

特定の条件下では、プロセスに割り当てるときに、GDB は最初の低レベルの ptrace アタッチ要求を実行できますが、以前はカーネルが、デバッガーが割り当てシーケンスを終了することを拒否していました。その結果、GDB は内部エラーで予期せず終了しました。現在、GDB は上記のシナリオを正常に処理し、割り当て要求が失敗したユーザーに報告するようになりました。その結果、パーミッションが拒否されたために GDB がアタッチできなかったことを示す警告が表示されます。また、デバッグセッションはこの動作の影響を受けません。

BZ#1186476

ブレークポイントが保留され、新しいオブジェクトファイルが表示され、この新しいオブジェクトファイルにブレークポイントの複数の場所が含まれる場合、GDB はこの条件をチェックするのに厳格になり、内部エラーが発生しました。同じブレークポイントの複数の場所の確認が緩和され、GDB がこのシナリオで内部エラーを発行しなくなりました。ブレークポイントの場所が複数見つかったことを示す警告が表示されるようになりましたが、場所が 1 つのみ使用されます。

バグ修正

BZ#629640

誤ったオープンファイルフラグが原因で、gdbm ユーティリティーにより、存在しない読み込みファイルを開くときに新しいファイルが作成されていました。このバグを修正するために、間違ったファイルオープンフラグが正しく設定され、gdbm が前述のシナリオで新しいファイルを作成しなくなりました。

バグ修正

BZ#1180392

gdbm の以前のリリースでは、ファイルハンドラーの使用方法にリグレッションが導入されました。したがって、gdbm は、読み取りおよび書き込み用に開いているデータベースに書き込みできませんでした。今回の更新で、ファイルハンドラーが修正され、適切なフラグが使用されるようになり、gdbm は想定通りにデータベースと連携するようになりました。

バグ修正

BZ#994452

以前は、モード 3 （非表示の）でのレンダリングを目的としたテキストは、pdfwrite デバイスの PDF 出力に含まれていませんでした。その結果、Optical character recognition (OCR)の出力など、表示されないテキストを含むドキュメントからのテキスト選択に失敗していました。今回の更新により、モード 3 テキストが PDF 出力に含まれ、そのような PDF ファイルからのテキストのコピーが期待どおりに機能するようになりました。

BZ#1027534

この更新以前は、埋め込みオブジェクトを含む一部の PDF ファイルが誤って移植可能なコレクションとして処理されていたため、これらのファイルの処理時に /syntaxerror エラーが発生しました。修正が適用され、"/Collection" 属性を持つ PDF ファイルのみがポータブルコレクションとして処理され、埋め込みオブジェクトを持つファイルが正しく処理されるようになりました。

BZ#1060026

サポートがないため、正しい PDF/A ファイルを作成できませんでした。今回の更新により、アップストリームから PDF/A ファイルを作成するためのサポートが改善され、正しい PDF/A ファイルを作成できるようになりました。

BZ#1105520

以前は、ghostscript インタープリターで、アレイの割り当てとそのコンテンツの初期化の間にエラーが発生した場合、ガベージコレクションは、メモリーの割り当て解除中にインタープリターが予期せず終了する可能性がありました。割り当て後にすぐに配列要素を null オブジェクトに設定するアップストリームのパッチにより、このバグが修正され、上記のシナリオで ghostscript インタープリターがクラッシュしなくなります。

バグ修正

BZ#859965

name サービスキャッシュデーモン(nscd)の今回の更新により、inotify ベースの監視および nscd 設定ファイルの stat ベースのバックアップ監視のシステムが追加され、nscd が設定への変更を正しく検出してデータを再読み込みするようになりました。これにより、nscd が古いデータを返さないようにします。

BZ#1085312

ツリー内の netgroups の 1 つが空の場合、ライブラリーに欠陥により、返された netgroup のリストが切り捨てられる可能性がありました。このエラーは、アプリケーションがクラッシュしたり、未定義の動作を引き起こしたりする可能性がありました。空の netgroup を正しく処理し、要求された netgroup の完全なリストを返すように、ライブラリーが修正されました。

BZ#1088301

gethostby* は、リゾルバーオプションが明示的に選択された追加データであっても、認識されないすべてのレコードタイプに対して生成された syslog メッセージをサポートしています。ライブラリーは、ユーザーが明示的にデータを明示的または暗黙的に要求したときにログメッセージが生成されないように修正されました。gethostby* への呼び出しに関連する DNSSEC 対応システムの syslog メッセージの数が削減されました。

BZ#1091915

glibc に欠陥があると、nscd クライアントとサーバー間で、ソケットを介して初期化されていないバイトが送信される可能性があります。Valgrind を使用してアプリケーションが分析されると、混乱しや誤解を招く可能性のある問題が報告されました。ライブラリーは、ソケット操作を介して送信されたすべてのバイトを初期化するように修正されました。Valgrind は nscd クライアントの問題を報告しなくなりました。

BZ#1116050

スレッドローカル構造の再初期化に欠陥があると、スレッドローカルストレージ構造が多すぎて、アプリケーションが予期せぬ終了につながる可能性があります。スレッドライブラリーは、スレッドスタックを再利用するときにアプリケーションがクラッシュしないように、スレッドローカルストレージ構造を正しく再初期化するように修正されました。

BZ#1124204

glibc が提供する時間関数により、ユーザーがバッファーに NULL 値を使用することが許可されず、NULL を渡すアプリケーションが予期せず終了する可能性がありました。ライブラリーは、バッファーの NULL 値を受け入れ、カーネルシステムコールから期待される結果を返すように修正されました。

BZ#1138769

getaddrinfo (3)関数が改善され、AF_UNSPEC の getaddrinfo (3)関数を使用したアドレスルックアップが不具合のある DNS サーバーで実行された場合に、有効な応答が返されるようになりました。

BZ#1159167

NetApp ファイラーを NFS サーバーとして使用する場合、rpc.statd サービスが予期せず終了する可能性があります。このクラッシュの原因となっていたサーバーの Remote Procedure Call (RPC)コードの glibc API セグメンテーション違反が修正され、問題が発生しなくなりました。

BZ#1217186

.rhosts ファイルがあるシステムが rsh シェルを使用して rlogind サーバーに接続すると、認証がタイムアウトになる可能性があります。この更新により、ruserok (3)関数が調整され、最初にユーザー一致を実行して DNS ルックアップの要求を回避できるようになりました。その結果、大規模な .rhosts ファイルを使用した rlogind 認証が速くなり、タイムアウトしなくなりました。

機能拡張

BZ#1154563

動的ライブラリーの読み込みに使用する dlopen (3)関数は、再帰的に呼び出すことができるようになりました(dlopen (3)関数は、別の dlopen (3)関数がすでに処理されている場合)呼び出すことができます。この更新により、dlopen (3)関数を使用する必要のあるアプリケーションでのクラッシュまたは中止が防止されます。

BZ#1195453

glibc 動的ローダーが Intel AVX-512 拡張機能をサポートするようになりました。今回の更新で、動的ローダーが AVX-512 レジスターを保存および復元できるようになり、AVX-512 対応アプリケーションも AVX-512 を使用する監査モジュールが原因で失敗しなくなります。

バグ修正

BZ#1204589

以前は、ユーザーが qemu-img create コマンドを使用して GlusterFS でイメージを作成しようとすると、qemu-kvm ユーティリティーがセグメンテーション違反で予期せず終了する可能性がありました。glusterfs パッケージによりこのバグを修正するためにソースコードが変更され、上記の状況で qemu-kvm がクラッシュしなくなりました。

バグ修正

BZ#1098370

housekeeping プラグインのメモリーリークにより、gnome-settings-daemon は不要になった特定のメモリーセグメントを正しく解放しませんでした。その結果、デーモンは利用可能なメモリーをすべて使い切る可能性がありました。この場合、システムでパフォーマンスの問題が発生します。今回の更新で、未使用メモリーを適切に解放するために、housekeeping プラグインが修正されました。その結果、上記のシナリオは阻止されます。

セキュリティーの修正

CVE-2014-8155

GnuTLS が CA 証明書の発行日と有効期限を確認しなかったことがわかりました。これにより、発行している CA の有効期限がすでに切れると、GnuTLS を使用するアプリケーションが証明書を誤って有効として受け入れる可能性がありました。

CVE-2015-0282

GnuTLS は、署名にリストされているハッシュアルゴリズムが証明書にリストされているハッシュアルゴリズムと一致するかどうかを確認しなかったことがわかりました。攻撃者は、要求されたものとは異なるハッシュアルゴリズムを使用した証明書を作成する可能性があり、GnuTLS が証明書の検証時に安全でないハッシュアルゴリズムを使用する可能性があります。

CVE-2015-0294

GnuTLS は、X.509 証明書のすべてのセクションが同じ署名アルゴリズムを示しているかどうかをチェックしなかったことを検出しました。この欠陥は、別の欠陥と組み合わせて、証明書署名チェックをバイパスする可能性があります。

バグ修正

BZ#1036385

以前は、特定の状況では、certtool ユーティリティーは、負のモジューズを含む X.509 証明書を生成することができました。そのため、このような証明書を使用すると、ソフトウェアで相互運用の問題が発生する可能性があります。バグが修正され、certtool は負のモジュールを含む X.509 証明書を生成しなくなりました。

Enhancement

BZ#968474

この更新により、gPXE で使用されるタイムアウト値が RFC 2131 および PXE 仕様に準拠するように修正されます。

セキュリティーの修正

CVE-2012-5667

grep が大量のデータを解析する方法で、ヒープベースのバッファーオーバーフローにつながる整数オーバーフローの欠陥が見つかりました。攻撃者は特別に細工されたデータファイルで grep の実行を解読できる場合、この不具合を利用して grep をクラッシュさせたり、場合によっては grep を実行しているユーザーの権限で任意のコードが実行される可能性があります。

CVE-2015-1345

grep が特定のパターンとテキストの組み合わせを処理する方法に、ヒープベースのバッファーオーバーフローの不具合が見つかりました。攻撃者は特別に細工された入力で grep の実行を解読できる場合、この脆弱性を利用して grep をクラッシュしたり、初期化されていないメモリーから読み取られる可能性があります。

バグ修正

BZ#799863

今回の更新以前は、\w 記号と \W 記号が、[:alnum:] 文字クラスと一貫性のない一致していました。そのため、場合によっては \w と \W を使用する正規表現に誤った結果がありました。一致する問題を修正するアップストリームパッチが適用され、\w が [_[:alnum:]] 文字と \W が [^_[:alnum:]] 文字に一貫して一致するようになりました。

BZ#1103270

以前は、"-fixed-regexp" コマンドラインオプションは grep (1)の man ページに含まれていませんでした。そのため、man ページは grep ユーティリティーの組み込みヘルプと一貫性がありませんでした。このバグを修正するために、grep (1)が更新され、--fixed-regexp が廃止されたオプションであることをユーザーに通知できるようになりました。今回のリリースより、組み込みのヘルプおよび man ページは--fixed-regexp オプションに関して一貫しています。

BZ#1193030

以前は、UTF-8 モードで UTF-8 以外のテキストが一致する場合、Perl 互換正規表現(PCRE)ライブラリーが正しく機能しませんでした。その結果、無効な UTF-8 バイトのシーケンス文字に関するエラーメッセージが返されました。このバグを修正するために、アップストリームのパッチが PCRE ライブラリーおよび grep ユーティリティーに適用されています。その結果、PCRE はエラーメッセージを返さずに、非一致テキストとして UTF-8 以外の文字をスキップするようになりました。

バグ修正

BZ#1177321、BZ#1206542

以前は、UEFI ブートと IP バージョン 6 (IPv6)プロトコルを使用するように設定されたクライアントの Pre-Boot Execution Environment (PXE)の起動時に、クライアントは grub.cfg ファイルで設定されていると予想される選択メニューを表示できず、代わりに GRUB シェルに切り替えていました。今回の更新でバグが修正され、PXE がクライアントを起動し、grub.cfg で設定したオペレーティングシステム選択メニューが表示されるようになりました。

バグ修正

BZ#622776

以前は、K Desktop Environment (KDE)で一般的である Phonon バックエンドで GStreamer を使用すると、サウンド同期の問題が発生し、オーディオ出力でジッターが発生していました。今回の更新で、GStreamer コンポーネントおよび結果として生じるサウンド同期の問題が修正されました。その結果、Phonon を使用するアプリケーションのサウンド品質は影響を受けなくなりました。

バグ修正

BZ#998061

以前は、マウントポイントのファイルモニターを作成する際に、GNOME デスクトップ仮想ファイルシステム(GVFS)のゴミ箱の実装では、アクセス権限が考慮されませんでした。その結果、ファイルモニターは読み取りアクセス権限なしでファイルをポーリングし、しばらく使用しない場合に通常、AutoFS マウントポイントが期限切れにならなくなりました。今回の更新により、ゴミ箱の実装では、読み取りアクセス権限なしでファイルを監視するファイルモニターが作成されなくなりました。その結果、AutoFS マウントポイントが自由に期限切れになりました。

BZ#1140451

この更新以前は、gvfs-gdu-volume-monitor は、GNOME ディスクユーティリティー(GDU)デバイスのプールを取得する際に、データを受信したかどうかを検証しませんでした。その結果、データが受信されなかった場合、gvfs-gdu-volume-monitor プロセスが予期せず終了する可能性がありました。gvfs-gdu-volume-monitor は、データが受信されたかどうかを検証し、クラッシュしなくなりました。

バグ修正

BZ#1165676

この更新以前は、gvfsd-gphoto2 ユーティリティーは、サンドボックス接続されたストレージに関する情報を取得する際に、データを受信したかどうかを検証しませんでした。その結果、データが受信されなかった場合、gvfsd-gphoto2 が予期せず終了することがありました。gvfsd-gphoto2 は、データが受信されたかどうかを確認し、上記の状況でクラッシュしなくなりました。

BZ#1210203

gvfsd-metadata デーモンは、アプリケーションがジャーナルファイルのサイズより大きいメタデータエントリーを保存しようとした場合(32 kB よりも大きい)を正しく処理しませんでした。デーモンは、ジャーナルからメタデータデータベースにすべての変更を作成して、エントリーの領域を増やし、その後新しいジャーナルファイルを作成しました。この操作は、CPU とディスクのオーバーロードを不要に無限ループで繰り返しました。今回の更新により、操作は 1 回だけ再試行されます。その結果、メタデータエントリーが大きすぎると保存されず、gvfsd-metadata が代わりに警告を返します。

バグ修正

BZ#841419

以前は、Mic Mute キーおよび Touchpad Toggle キーは Lenovo ラップトップで正しいシンボルを送信しませんでした。今回の更新で、前述の鍵は X.Org サーバーによって正しく認識され、XF86AudioMicMute および XF86TouchpadToggle シグナルが正常に送信されます。

Enhancement

BZ#1172669

最新の Toshiba ラップトップでさまざまな fn キーをサポートするために、今回の更新により、提供されたカーネルキーコードから、X と互換性のあるキーコードに、hshiba ラップトップの hal-info remapping ルールが変更されます。

Enhancement

BZ#1166497

OPTIONS パラメーターが /etc/sysconfig/haproxy ファイルに追加されました。これにより、ユーザーは haproxy ユーティリティーの追加オプションを設定できるようになりました。

セキュリティーの修正

CVE-2014-9273

非常に小さなサイズでハイブファイルを読み取るとき、または切り捨てられた、または不適切にフォーマットされたコンテンツでハイブファイルを読み取るときに、hivex が割り当てられたバッファーを超えて読み取りを試みたことがわかりました。攻撃者は、hivex ライブラリーを使用して特別に細工されたハイブファイルをアプリケーションに提供できる可能性があります。この不具合を悪用すると、アプリケーションを実行しているユーザーの権限で任意のコードが実行される可能性があります。

バグ修正

BZ#1164693

以前は、hivex (3)の man ページに誤字が含まれていました。今回の更新で、タイプミスが修正されました。

バグ修正

BZ#682814

以前は、HPLIP は、プリンターの有効化または無効化などの要求された操作を拒否する CUPS を正しく処理しませんでした。その結果、root 以外のユーザーとして HP Device Manager を実行しても、操作に root パスワードが必要な場合に root パスワードの入力が求められませんでした。今回の更新で、パスワードコールバックが正しく実装され、root 以外のユーザーとして HP Device Manager を操作すると、必要に応じて常に root パスワードの入力が求められるようになりました。

BZ#876066

この更新より前は、初期化されていない値を使用すると、hpcups ドライバーから誤った出力が生成されることがありました。そのため、基礎となるソースコードが使用される前に値を初期化するように変更されているため、前述の予期しない動作は阻止されます。

セキュリティーの修正

CVE-2013-5704

チャンクエンコーディングを使用してリクエストを処理するときに、httpd が HTTP トレーマーヘッダーを処理する方法に欠陥が見つかりました。悪意のあるクライアントは、Trailer ヘッダーを使用して、他のモジュールによってヘッダー処理が実行された後に追加の HTTP ヘッダーを設定する可能性があります。たとえば、mod_headers で定義されたヘッダー制限がバイパスされる可能性があります。

バグ修正

BZ#1149906

httpd 設定が再読み込みされたときに、mod_proxy ワーカーの順序はチェックされませんでした。mod_proxy ワーカーが削除、追加、または注文が変更されると、それらのパラメーターとスコアが混在する可能性がありました。mod_proxy ワーカーの順序は、設定の再読み込み中に内部で一貫性が保たれています。

BZ#906476

ファーストブート中に作成されたローカルホスト証明書には CA 拡張が含まれ、これにより httpd サービスが警告メッセージを返しました。これは、"-extensions v3_req" オプションで生成されているローカルホスト証明書によって対処されています。

BZ#1086771

デフォルトの mod_ssl 設定は、単一の DES、IDEA、または SEED 暗号化アルゴリズムを使用した SSL 暗号スイートのサポートを有効にしなくなりました。

BZ#963146

apachectl スクリプトは、正常な再起動時に /etc/sysconfig/httpd ファイルに設定された HTTPD_LANG 変数を考慮していませんでした。その結果、デーモンが正常に再起動すると、httpd は HTTPD_LANG の変更値を使用しませんでした。HTTPD_LANG 変数を正しく処理するようにスクリプトが修正されました。

BZ#1057695

mod_deflate モジュールは、4 GB を超えるファイルを抽出しながら元のファイルサイズを確認できなかったため、大きなファイルを抽出できませんでした。mod_deflate は RFC1952 に従って元のファイルサイズを適切にチェックし、4 GB を超えるファイルを解凍できるようになりました。

BZ#1146194

httpd サービスは再起動する前に設定を確認しませんでした。設定にエラーが含まれる場合、httpd の再起動が正常に失敗しました。httpd は再起動前に設定をチェックし、設定が一貫性のない状態にある場合は、エラーメッセージが出力され、httpd は停止されず、再起動は実行されません。

BZ#1149703

SSLVerifyClient optional_no_ca および SSLSessionCache オプションが使用された場合、SSL_CLIENT_VERIFY 環境変数が正しく処理されませんでした。SSL セッションが再開されると、SSL_CLIENT_VERIFY 値は以前に設定した GENEROUS ではなく SUCCESS に設定されました。このシナリオでは、SSL_CLIENT_VERIFY が GENEROUS に正しく設定されるようになりました。

BZ#1045477

ab ユーティリティーは、データがすでに読み取られた後に SSL 接続が閉じられた状況を正しく処理しませんでした。その結果、ab は SSL サーバーで正しく機能せず、SSL read failed というエラーメッセージが出力されます。今回の更新により、ab は HTTPS サーバーで期待どおりに機能するようになりました。

BZ#1161328

クライアントが取り消された証明書を提示すると、ログエントリーはデバッグレベルでのみ作成されました。失効した証明書に関するメッセージのログレベルが INFO に増やされ、管理者にこの状況の通知が適切に行われました。

Enhancement

BZ#767130

mod_proxy ワーカーは、balancer-manager Web インターフェイスを使用するか、httpd 設定ファイルを使用して、ドレインモード(N)に設定できるようになりました。ドレインモードのワーカーは、それ自体宛ての既存のスティッキーセッションのみを受け入れ、他のすべてのリクエストを無視します。ワーカーは、ワーカーが停止する前に、このワーカーに現在接続されているすべてのクライアントが完了するまで待機します。その結果、解放（解放）モードでは、クライアントに影響を与えずにワーカーでメンテナンスを実行できます。

Enhancement

BZ#1170975

PCI ファイル、USB ファイル、およびベンダー ID ファイルが、最近リリースされたハードウェアに関する情報で更新されました。この ID ファイルを使用するハードウェアユーティリティーツールは、最近リリースされたハードウェアを正しく識別できるようになりました。

バグ修正

BZ#1161368

ファイルシステムのフリーズ(SquashFS など)に対応していない読み取り専用ファイルシステムをマウントし、オンラインバックアップ機能を使用すると、以前は操作はサポートされていませんというエラーが発生して、オンラインバックアップに失敗していました。今回の更新で、hypervvssd デーモンがオンラインバックアップを正しく処理するように修正され、上記のエラーは発生しなくなります。

バグ修正

BZ#1066075

以前は、Red Hat Enterprise Linux 6 で IBus 入力メソッド(ibus-hangul)用の Korean 言語入力エンジンプラットフォームを使用すると、Lotus Sametime または Eclipse によって生成された Java アプリケーションが応答しなくなりました。このバグを修正するために、非同期のキーイベントが IBus に追加されました。現在、IBus は非同期モードに切り替わり、ハングを解決できるようになりました。

BZ#1043381

今回の更新以前は、ユーザーが IBus を使用して入力され、親ウィンドウと子ウィンドウ間で入力コンテキストが切り替わると、X11 アプリケーションが応答しなくなりました。今回の更新で競合状態を解決し、このバグを生じさせるようになりました。IBus は状況を適切に処理し、アプリケーションがハングしなくなりました。

Enhancement

BZ#1200973

ラテンから US-ASCII 文字へのトランの反復がサポートされるようになりました。今回の更新以前は、Red Hat Enterprise Linux 6 の icu は、transliterator_transliterate （）関数のこのモードをサポートしていませんでした。そのため、特定の操作を実行できませんでした。たとえば、ユーザーは PHP コード文字列から非 ASCII 文字を簡単に削除できませんでした。今回の更新により、ユーザーは transliterator_transliterate （）を使用して、US-ASCII 文字への Latin 文字を翻訳できるようになりました。

バグ修正

BZ#1176177

以前は、icu ソースパッケージの再構築プロセス中に、テストケースのカレンダー年に 2 桁の形式が使用され、正しく解釈されませんでした。その結果、1934 年ではなく 2034 年が表示され、テストケースのチェックが失敗していました。このバグを修正するためにパッチが適用され、チェックは失敗しなくなりました。

バグ修正

BZ#1129624

競合状態により、multicast_snooping ブリッジオプションは、ブリッジデバイスの作成前に適用できませんでした。今回の更新により、bridge の起動後に multicast_snooping が適用され、オプションが意図したとおりに機能するようになりました。

BZ#957706

以前は、rc.sysinit スクリプトは PID 1 (init)にだけアフィニティーを設定していたため、sysinit から実行されたプロセスでこの設定が継承されませんでした。この更新では、スクリプト自体にもアフィニティーが設定されるため、initscripts は、実行中のすべてのプロセスにアフィニティーを正しく設定します。

BZ#919472

net.bridge.bridge-nf-call-ip6tables キーは、以前はすべてのシステムに適用されていました。そのため、カーネルモジュールが欠落している場合、無害ではないが、不要なメッセージが返されました。ルールは sysctl.conf から再配置され、必要に応じてのみ適用されるようにします。

BZ#1101546

NFS クライアントマシンが NFS マウントで I/O が進行中にシャットダウンを試みると、シャットダウン中にシステムが応答しなくなっていました。この更新はレイジーマウントを適用すると、ファイル記述子(FD)を開くすべてのプロセスが検出されて強制終了され、ハングアップするようになり、この状況では発生しなくなります。

BZ#1136863

以前は、netconsole の開始優先度が 50 に設定されていたため、システムの起動時に netconsole が遅遅れしました。今回の更新で、優先度が低くなり、netconsole がネットワークの起動直後に起動するようになりました。

BZ#1157816

resolv.conf.save が存在する場合、resolv.conf は resolv.conf.save の内容で上書きされました。その結果、resolve.conf に予期せぬ変更が生じる可能性がありました。resolv.conf の内容は、デバイスが動的に設定されているか、または ifcfg ファイルに DNS オプションが含まれている場合にのみ置き換えられました。

BZ#997271

以前は、ipcalc ユーティリティーが RFC 3021 を認識しないため、ブロードキャストアドレスが正しく計算されませんでした。今回の更新で、ipcalc は RFC 3021 を正しく認識するため、このバグが修正されました。

BZ#1109588

以前は、ネットワークエイリアスは親から ARPCHECK 変数を継承せず、これにより、重複した IP アドレスの有無がチェックされず、エイリアスがそれらを確認していました。今回の更新により、エイリアスデバイスは ARPCHECK を継承します。

BZ#1164902

以前は、tcsh シェルを grep ユーティリティーと共に使用すると、ログ後に以下のエラーが返されたときに構文エラーが発生しました。

grep: 文字クラス構文は [[:space:]], not [:space:] です。

lang.csh コードが修正され、このシナリオでエラーメッセージが返されなくなりました。

BZ#1168664

この更新より前は、システムの起動時にシステムが応答しなくなった場合、管理者は原因を判断できませんでした。この更新により、rc.sysinit によって返される情報メッセージが追加されます。さらに、管理者が適切なデバッグ情報を受け取るように、カーネルコマンドラインの新しい rc.debug オプションが追加されました。

BZ#1176999

install_bonding_driver （）関数の構文エラーが原因で、以下のエラーメッセージが返されました。

/sys/class/net/bonding/slaves: そのようなファイルまたはディレクトリーがない

構文エラーが修正され、前述のエラーメッセージが返されなくなりました。

BZ#1189337

以前は、root がネットワークファイルシステム上にあり、アクションを実行しないために、ネットワークの initscripts が通知せずに失敗していました。ここで、ネットワーク initscripts は次のメッセージを出力し、システム管理者に通知します。

rootfs はネットワークファイルシステム上にあり、ネットワークを稼働させます。

BZ#1072967

以前は、ip addr flush コマンドはグローバルスコープで呼び出されていましたが、ループバックアドレスでは正しくありません。その結果、システムが応答しなくなる可能性があります。今回の更新により、ループバックの範囲ホストが使用され、フラッシュ操作が期待どおりに機能するようになりました。

バグ修正

BZ#1131571

ipa-server-install、ipa-replica-install、および ipa-client-install ユーティリティーは、FIPS-140 モードで実行しているマシンではサポートされません。以前は、IdM はこれについてユーザーに警告を発しませんでした。IdM では、FIPS-140 モードでユーティリティーを実行できず、説明メッセージが表示されるようになりました。

BZ#1132261

ipa-client-install ユーティリティーの実行時に Active Directory (AD)サーバーが自動的に指定または検出されたと、この状況では IdM サーバーが予想されることをユーザーに通知するのではなく、ユーティリティーはトレースバックを生成しました。これで、ipa-client-install は AD サーバーを検出し、説明のメッセージで失敗します。

BZ#1154687

IdM サーバーが、httpd サーバーで TLS プロトコルバージョン 1.1 (TLSv1.1)以降を必要とするように設定されている場合、ipa ユーティリティーは失敗していました。今回の更新で、ipa の実行は TLSv1.1 以降で期待どおりに機能するようになりました。

BZ#1161722

特定の高負荷環境では、IdM クライアントインストーラーの Kerberos 認証手順が失敗する可能性があります。以前は、この状況ではクライアントのインストール全体が失敗していました。今回の更新で、ipa-client-install が、UDP プロトコルよりも TCP プロトコルを優先するように変更され、失敗した場合は認証試行を再試行します。

BZ#1185207

ipa-client-install が /etc/nsswitch.conf ファイルを更新または作成した場合は、sudo ユーティリティーがセグメンテーションフォールトで予期せず終了する可能性があります。現在、ipa-client-install は、nsswitch.conf の最後に改行文字を配置し、ファイルの最後の行を変更し、このバグを修正します。

BZ#1191040

nsslapd-minssf Red Hat Directory Server 設定パラメーターが 1 に設定されていた場合、ipa-client-automount ユーティリティーが UNWILLING_TO_PERFORM LDAP エラーで失敗しました。この更新により、ipa-client-automount がデフォルトで LDAP 検索に暗号化された接続を使用するように変更され、このユーティリティーは nsslapd-minssf が指定されていても正常に終了するようになりました。

BZ#1198160

認証局(CA)のインストール後に IdM サーバーをインストールする場合、"ipa-server-install --uninstall" コマンドは適切なクリーンアップを実行しませんでした。ユーザーが ipa-server-install --uninstall を実行し、サーバーを再度インストールしようとすると、インストールに失敗します。ipa-server-install --uninstall は上記の状況で CA 関連のファイルを削除します。また、ipa-server-install は上記のエラーメッセージで失敗しなくなりました。

BZ#1198339

ipa-client-install を実行すると、sss が設定されていて、エントリーがファイルにあった場合でも、nsswitch.conf の sudoers 行に sss エントリーが追加されました。sss が重複したら、sudo が応答しなくなっていました。これで、nsswitch.conf に ipa-client-install がすでに存在する場合、sss が追加されなくなりました。

BZ#1201454

ipa-client-install を実行すると、特定の状況で SSH を使用してログインできませんでした。これで、ipa-client-install は sshd_config ファイルを破損しなくなり、sshd サービスは期待どおりに起動できるようになり、SSH を使用したログインが上記の状況で機能するようになりました。

BZ#1220788

/usr/share/ipa/05rfc2247.ldif ファイルの dc 属性の誤った定義により、移行中に偽のエラーメッセージが返されました。この属性は修正されていますが、Red Hat Enterprise Linux 6.7 で実行する前に copy-schema-to-ca.py スクリプトが Red Hat Enterprise Linux 6.7 で実行されても、バグは持続します。この問題を回避するには、/usr/share/ipa/schema/05rfc2247.ldif を手動で /etc/dirsrv/slapd-PKI-IPA/schema/ にコピーして IdM を再起動します。

バグ修正

BZ#878614

今回の更新以前は、ipmitool は 16 バイト長のセンサーデータリポジトリー(SDR)の項目名のみを処理できました。その結果、長い名前のセンサーを一覧表示すると、ipmitool が予期せず終了する可能性がありました。今回の更新で文字列識別処理が修正され、長いセンサー名が正しくトリミングされるようになりました。

BZ#903019

以前は、ipmitool はセンサーのしきい値と存在、および Sun Fire X4600 M2 サーバーでセンサーの単位も認識できませんでした。この更新により、認識されないセンサーレポートが解決されます。

BZ#1028163

以前は、ipmitool のデフォルトのタイムアウト値が不十分な期間を設定していました。その結果、再試行中に ipmitool がセグメンテーション違反で予期せず終了したり、非機密性のエラーメッセージが表示される可能性がありました。今回の更新により、環境変数から渡される ipmitool オプションが IPMITOOL_OPTS 変数および IPMI_OPTS 変数から正しく解析され、IPMITOOL_* 変数が IPMI_* 変数よりも優先されます。その結果、上記の状況では ipmitool がクラッシュしなくなりました。

BZ#1126333

以前は、ipmitool は Sensor Data Repository (SDR)タイプのソフトウェア ID を認識できませんでした。その結果、影響を受ける各行のデフォルトの 5 秒のタイムアウトが報告されると、応答が非常に遅くなりました。今回の更新で Intelligent Platform Management Bus (IPMB)要求セットアップが修正され、上記の状況では低速な SDR アクセス時間は発生しなくなります。

BZ#1162175

以前は、ipmitool ユーティリティーには OpenIPMI パッケージに不要な依存関係が必要でしたが、これは ipmitool と共にインストールする必要がありました。今回の更新により、ipmitool のインストール時にインストールされなくなった OpenIPMI パッケージの依存関係が削除されます。

BZ#1170266

以前のバージョンの ipmitool には、ipmitool パッケージおよびランタイムで報告されたバージョンの間のバージョン不一致が含まれていました。その結果、ipmitool -V コマンドを実行すると、正しい 1.8.11 バージョン番号の代わりに 1.8.14 のバージョン番号が表示されました。今回の更新により、ランタイムバージョンの変更が、パッケージバージョンに一致するように元に戻されました。

BZ#1194420

以前は、ipmitool は DDR4 メモリーモジュールを認識できず、そのようなシステムでセグメンテーション違反で予期せず終了する可能性がありました。この更新では、DDR4 レポートのサポートが追加されました。その結果、フィールド置換ユニット(FRU)インベントリーリストの実行時に、ipmitool が DDR4 システムでクラッシュしなくなりました。

バグ修正

BZ#997965

"ip route del" コマンドの実行後に、パラメーターを追加せずにデフォルトのルートが誤って削除されました。パッチが適用され、この状況ではデフォルトルートが削除されなくなりました。

BZ#1011817

"bridge monitor file" コマンドを実行すると、ファイルが開いたにも拘らず、閉じられません。コンテンツの読み込み後に開かれたファイルを閉じるための修正が適用されました。その結果、コマンドは開いているすべてのファイルを期待どおりに閉じるようになりました。

BZ#1034049

以前は、ip -6 addrlabel コマンドは inet6 ではなく inet" を含む誤ったエラーメッセージを返していました。このバグを修正するために、IPv4 アドレスの inet と、IPv6 アドレスの inet6 が含まれるようにエラーメッセージが変更されました。

BZ#1040367

この更新より前は、iproute ユーティリティーは、カーネル応答を読み取るときに send （）システムコールの戻り値を誤って処理していました。その結果、iproute は成功のカーネル応答を失敗として解釈する可能性があり、これにより iproute がエラーを出して終了する可能性がありました。今回の更新で、iproute は戻り値を正しく使用し、意図されたカーネル応答を処理するようになりました。

BZ#1060195

64 ビットカーネルであっても、/sbin/ip ファイルに 32 ビットシステムの統計が表示されました。このバグを修正するために、パッチが適用され、統計が正しく表示されるようになりました。

BZ#1152951

この更新以前は、マルチパスルーティングが IPv6 アドレスで機能せず、"2001:470:25:94::1" エラーではなく、IP アドレスが想定されていました。このバグを修正するために、IPv6 アドレスを使用したマルチパスルートの追加を可能にするパッチが適用されました。

機能拡張

BZ#1131650

スプーフィングチェック設定のサポートが iproute に追加されました。

BZ#1177982

動的精度、人間が読める形式、および IEC 出力は IP 統計にバックポートされるようになりました。

バグ修正

BZ#1146701

以前は、ファームウェアファイルの形式では大文字と小文字が区別されていました。その結果、pci.xxx ファイル形式でファームウェアを更新した後、SIS-64 アダプターのデバイス属性が正しく保存されませんでした。この更新により、ファームウェアの形式に大文字と小文字が区別されず、上記の状況ではデバイス属性が正しく保存されるようになりました。

バグ修正

BZ#1121665

ユーザーが ipset ライブラリーを使用してプログラムを作成しようとすると、ipset_port_usage （）関数への未定義の参照でリンクに失敗していました。今回の更新で、ipset_port_usage （）がライブラリーにより提供され、ipset ライブラリーを使用するプログラムが正常にコンパイルされるようになりました。

バグ修正

BZ#1081422

以前のバージョンでは、ipset に一致するルールには iptables リビジョンが使用されていませんでした。その結果、match-set オプションを指定した iptables ルールを追加することができましたが、削除対象としてルールを再度配置できなかったため、再度削除できませんでした。今回の更新で、libipt_SET にリビジョン 0 および 1 のコードパッチが追加されました。その結果、新しい ipset 一致ルールを削除できるようになりました。match-set オプションを使用したルールの追加および削除は、適用されたパッチで動作しますが、以前のバージョンの iptables で追加されたルールを削除しても機能せず、修正できないことに注意してください。このようなルールを削除するには、ルール番号を使用します。

BZ#1088400

iptables バージョン 1.4.7-9 では、alternatives の使用が導入されました。バージョン付けされた(/lib*/xtables-%{version})カスタムプラグインを使用しているため、プラグインは適切なバージョンのプラグインディレクトリーに置く必要がありました。iptables バージョン 1.4.7-10 以降、プラグインディレクトリーは /lib*/xtables/ に戻されましたが、iptables バージョン 1.4.7-9 のカスタムプラグインはコピーされませんでした。そのため、iptables 1.4.7-9 を新しいバージョンにアップグレードすると、カスタムプラグインが失われます。バージョン 1.4.7-15 以前から iptables の更新を検出するプラグイン更新トリガーが追加されました。その結果、/%{_lib}/xtables-1.4.7/ のプラグインが新しいファイル日である場合、または 1.4.7-15 より前の iptables バージョンから新しいバージョンに更新する際に、宛先ディレクトリーにないと、/%{_lib}/xtables-1.4.7/ ディレクトリーのカスタムプラグインが /%{_lib}/xtables-1.4.7/ ディレクトリーにコピーされます。

BZ#1084974

以前は、出力および保存用の Datagram Congestion Control Protocol (DCCP)パケットタイプの後にスペースがないため、誤った出力が発生していました。今回の更新で、print_types （）関数出力の最後にスペースが追加されました。その結果、iptables -L、iptables -S、および iptables-save コマンドの出力が正しくなりました。

BZ#1081191

以前は、一部の init スクリプトの警告メッセージは、euid 0 チェックに失敗し（設定ファイルはなく、保存するものは何もありません）が欠落していました。そのため、これらのケースでは終了ステータスコードのみが提供されていましたが、メッセージは提供されませんでした。今回の更新で、上記の状況で提供される警告メッセージが追加されました。

機能拡張

BZ#1161330

今回の更新で、IPv6 ファイアウォールルールで ipsets が使用できていなかったため、IPv6 ipset のサポートが追加されました。

BZ#1088361

今回の更新で、ip*tables コマンドの -C check オプションがサポートされるようになりました。以前は、特定のルールが存在するかどうかを確認する簡単な方法はありませんでした。現在、"-C" オプションをルールに使用して、ルールが存在するかどうかを確認できるようになりました。

バグ修正

BZ#829998

以前は、コード内の時間関連のロジックと終了条件が正しくないため、arping コマンドは誤った終了コードを返していました。今回の更新で、前述の問題が修正され、再度プレートで正しい値が返されるようになりました。

BZ#1099426

リターンパスホップの数を処理するコードが正しくないため、tracepath ユーティリティーに誤った数のバックホップが表示されました。この更新によりロジックが修正され、表示されるバックホップの数が正確になりました。

BZ#1113082

ドメイン名変換が IPv6 プロトコルで強制的に実行されると、内部ライブラリーから受信した誤った IP アドレスが表示されるため、ping コマンドの出力は正しくありません。gethostbyname （）の代わりに gethostbyname2 （）関数を使用するように基礎となるロジックが変更され、IP アドレスの変換へのドメイン名が正しく機能するようになりました。

BZ#1149574

コードに無効なロジックが存在するため、特定の状況で誤った警告メッセージが返される場合があります。

警告：カーネルは新たに行われないため、アップグレードが推奨されます。

今回の更新で、この誤った警告メッセージを返すコードが削除され、バグが修正されました。

バグ修正

BZ#1158932

以前は、irqbalance ユーティリティーは特定のシグナルにシグナルハンドラーを設定しませんでした。その結果、irqbalance が SIGINT または SIGHUP 以外のシグナルを受信すると、クリーンアップなしで終了します。今回の更新では、SIGUSR1、SIGUSR2、および SIGTERM のシグナルハンドラーが提供されます。その結果、現在のバランシングの反復が終了すると、irqbalance は正常に停止するようになりました。

BZ#1178247

この更新以前は、ディレクトリーが利用できない場合に、/sys/bus/pci/devices ファイルハンドルが正しく解放されませんでした。その結果、メモリーリークが発生していました。今回の更新により、irqbalance がディレクトリーを開けない場合、ファイルハンドルは期待どおりに解放され、上記の状況ではメモリーリークは発生しなくなります。

Enhancement

BZ#691746

iSCSI (Internet Small Computer System Interface)が安全なログアウトをサポートするようになりました。以前は、iSCSI デバイスがマウントされている場合でも iSCSI セッションのログアウトが許可されていたため、ホストが応答しなくなる可能性がありました。この更新により、iscsi.safe_logout オプションが追加されました。iscsi.safe_logout を /etc/iscsi/iscsid.conf ファイルで Yes に設定すると、接続されている 1 つ以上の iSCSI ドライブがマウントされたときに、システムブロックが iSCSI セッションからログアウトしようとします。

バグ修正

BZ#1145848

OpenJDK の TLS/SSL 実装は、以前は 1024 ビットを超える Diffie-Hellman (DH)鍵を処理できませんでした。これにより、Java Secure Socket Extension (JSSE)を使用するクライアントアプリケーションは、接続ハンドシェイク中により大きな DH キーを使用してサーバーへの TLS/SSL 接続の確立に失敗していました。この更新では、サイズが最大 2048 ビットの DH キーのサポートが追加され、このバグが修正されました。

BZ#1146622

以前は、OpenJDK ユーティリティーでは、umlaut diacritical マーク（を与える diacritical マーク）と、PostScript の出力の eszett 文字（へ）を含む文字が誤って表示されていました。umlaut および eszett 文字をサポートするパッチが適用され、OpenJDK がこれらの文字を正しく表示するようになりました。

BZ#1164762

jhat の man ページの URL が破損しました。このバグを修正するためにパッチが適用され、URL が期待どおりに機能するようになりました。

BZ#1168693

以前は、ターゲットアプリケーションに非 ASCII 文字を使用してシンボルが含まれている場合は、Serviceability Agent (SA)ツールを使用することができませんでした。Java 仮想マシン(JVM)および SA はそのような文字を持つ文字列のさまざまなハッシュを計算し、SA はエラーを出して終了しました。このバグを修正するパッチが適用され、ASCII 以外の文字が使用されると SA がクラッシュしなくなりました。

BZ#1173326

以前は、文字列値が null の場合に jvmtiStringPrimitiveCallback が呼び出されていました。その結果、Java 仮想マシン(JVM)が予期せず終了する可能性があります。このバグを修正するためにパッチが適用され、この状況で JVM がクラッシュしなくなりました。

BZ#1176718

この更新以前は、フォントを処理する Java Native Interface (JNI)コード処理が、コンテキストを設定するときに誤った関数パラメーターを使用していました。その結果、特定のフォントを破棄すると、Java 仮想マシン(JVM)が予期せず終了することがありました。JNI コードによる関数パラメーターの使用が修正され、この状況で JVM がクラッシュしなくなりました。

BZ#1190835

以前は、libgio ライブラリーを使用してデフォルトの GnomeFileTypeDetector で Files.probeContentType （）関数を呼び出すと、スレッドの最後で Java 仮想マシン(JVM)が予期せず終了していました。パッチが適用され、プロセスは問題なく終了するようになりました。

BZ#1214835

リグレッションにより、doe=n 引数で使用すると、Java Heap/CPU Profiling Tool (HPROF)が切り捨てられた出力を生成しました。そのため、出力ファイルにはヘッダーのみが含まれていたため、データは欠落していました。パッチが適用され、doe=n を使用する場合に HPROF の出力が正しくなりました。

Enhancement

BZ#1121211

SunEC プロバイダーである楕円曲線暗号のサポートが OpenJDK 7 に追加されました。OpenJDK 7 は、Transport Layer Security または Secure Sockets Layer の接続を確立したり、このテクノロジーを使用して暗号化と復号を実行したりできるようになりました。

バグ修正

BZ#1154143

Red Hat Enterprise Linux 6 では、java-1.8.0-openjdk パッケージに SunEC プロバイダーが誤って含まれていましたが、このシステムでは適切に機能しません。今回の更新で、SunEC が Red Hat Enterprise Linux 6 バージョンの java-1.8.0-openjdk から削除されました。

BZ#1155783

この更新以前は、java-1.8.0-openjdk パッケージが誤って java-devel を提供していたため、不適切なビルドが含まれていた可能性がありました。その結果、目的の Java パッケージの代わりに java-1.8.0-openjdk-devel がインストールされている場合、yum install java-devel コマンドによって、目的の Java パッケージの代わりに java-1.8.0-openjdk-devel がインストールされていることがあります。今回の更新で、提供された設定が削除され、yum install java-1.8.0-openjdk-devel コマンドを使用してのみ java-1.8.0-openjdk-devel をインストールできるようになりました。

BZ#1182011

以前は、OpenJDK ユーティリティーでは、umlaut diacritical マーク（を与える diacritical マーク）と、PostScript の出力の eszett 文字（へ）を含む文字が誤って表示されていました。umlaut および eszett 文字をサポートするパッチが適用され、OpenJDK がこれらの文字を正しく表示するようになりました。

BZ#1189853

Red Hat Enterprise Linux 6 の java-1.8.0-openjdk パッケージは java 仮想パッケージを提供しませんでした。そのため、OpenJDK 8 を使用するのにパッケージが必要な場合、一般的に "java" ではなく、java-1.8.0-openjdk が必要でした。現在は、期待どおりに java を必要とするようになりました。

BZ#1212592

OpenJDK は、システムのタイムゾーンデータのコピーを使用していました。これにより、OpenJDK の時間とシステム時刻の間に違いが生じる可能性があります。現在、OpenJDK はシステムタイムゾーンデータを使用し、OpenJDK の時間とシステム時間は同じです。

Enhancement

BZ#1210007

Red Hat は、オプションのチャネルで OpenJDK のデバッグビルドを提供するようになりました。デバッグビルドと JVM または JDK がそれらの使用に切り替えられたため、詳細な HotSpot デバッグを行うことができます。デバッグビルドは、通常の Java ビルドと同じ方法で 代替 または 直接実行 で使用できます。デバッグビルドは、低速レートで動作するため、本番環境での使用には適していません。

Enhancement

BZ#1149605

OpenJDK8 のサポートが JPackage ユーティリティーに追加されました。これにより、Java システムアプリケーションを OpenJDK8 で使用できるようになりました。

バグ修正

BZ#1158842

JSON-C の pkg-config (.pc)ファイルは、64 ビットパッケージの /lib64/pkgconfig/ ディレクトリーに誤って配置され、32 ビットパッケージの /lib/pkgconfig/ ディレクトリーに置かれていました。そのため、pkg-config ツールはこれらのファイルを見つけることができず、インストールされている JSON-C ライブラリー、ヘッダーファイル、JSON-C に関するその他の情報の場所を提供できませんでした。今回の更新により、pkg-config ファイルが /usr/lib64/pkgconfig/ および /usr/lib/pkgconfig/ ディレクトリーに移動されました。その結果、pkg-config ツールは、インストールされた JSON-C パッケージに関する情報を正常に返すようになりました。

バグ修正

BZ#1190302

以前は、HASH_ALGORITHM 定数が正しく定義されませんでした。そのため、SHA-256、SHA-384、および SHA-512 ハッシュ関数のオブジェクト識別子(OID)は正しくありません。今回の更新により、基礎となるソースコードが変更され、上記の OID が正しくなりました。

BZ#1190303

この更新以前は、JSS のソースコードには RC4 ソフトウェアストリーム暗号のキーの強度を検証するための条件がありませんでした。その結果、JSS はキーの強度を適切に検証しませんでした。このバグを修正するためにパッチが適用され、JSS は期待どおりに鍵強度検証チェックを実行するようになりました。

Enhancement

BZ#1167470

Tomcat サービスは、JSS を使用して Transport Layer Security 暗号プロトコルバージョン 1.1 (TLSv1.1)および Transport Layer Security 暗号プロトコルバージョン 1.2 (TLSv1.2)をサポートするように更新されました。

セキュリティーの修正

CVE-2014-3940, Moderate

Linux カーネルの Transparent Huge Pages (THP)実装が非ハングページ移行を処理する方法に欠陥が見つかりました。ローカルの特権のないユーザーは、透過的な HugePage を移行することで、この不具合を利用してカーネルをクラッシュする可能性があります。

CVE-2014-9683、Moderate

* Linux カーネルの eCryptfs 実装で暗号化されたファイル名がデコードされた方法で、バッファーオーバーフローの不具合が見つかりました。ローカル特権のないユーザーが、この不具合を利用してシステムをクラッシュしたり、システム上で権限を昇格したりする可能性があります。

CVE-2015-3339、中程度

* chown と execve システムコールの間で競合状態の欠陥が見つかりました。setuid ユーザーバイナリーの所有者を root に変更すると、競合状態によってバイナリー setuid root が即時に作成される可能性があります。ローカルで権限のないユーザーがこの不具合を使用して、システム上の権限を昇格する可能性があります。

CVE-2014-3184、Low

* Cherry Cymotion キーボードドライバー、KYE/Genius デバイスドライバー、Logitech デバイスドライバー、Monterey Genius KB29E キーボードドライバー、Petalynx Maxter リモートコントロールドライバー、Sunplus ワイヤレスデスクトップドライバーによって HID レポートが無効なレポート記述子サイズで処理されるように、複数の範囲外の書き込み欠陥が見つかりました。システムに物理的にアクセスできる攻撃者は、このような不具合のいずれかを使用して、割り当てられたメモリーバッファーを超えたデータを書き込む可能性があります。

CVE-2014-4652、Low

* Linux カーネルの Advanced Linux Sound Architecture (ALSA)実装がユーザーコントロールの状態のアクセスを処理する方法で、情報漏洩が見つかりました。ローカル特権ユーザーの場合、この不具合を悪用してカーネルメモリーをユーザースペースに漏洩する可能性があります。

CVE-2014-8133、Low

* LDT (spfix チェック)ではなく、16 ビットの RW データセグメントを GDT にインストールし、スタックでそのセグメントを使用することで、espfix 機能をバイパスできることがわかりました。ローカルで権限のないユーザーがこの不具合を使用して、カーネルスタックアドレスを漏洩する可能性があります。

CVE-2014-8709、Low

* Linux カーネルの IEEE 802.11 ワイヤレスネットワークの実装に情報漏洩の不具合が見つかりました。ソフトウェアの暗号化を使用すると、リモートの攻撃者はこの不具合を使用して最大 8 バイトのプレーンテキストを漏洩する可能性があります。

CVE-2015-0239、Low

* Linux カーネル KVM サブシステムの sysenter 命令エミュレーションでは十分ではないことがわかりました。非特権ゲストユーザーは、ゲスト OS が SYSENTER モデル固有のレジスターを初期化しなかった場合、ハイパーバイザーに 16 ビットモードで SYSENTER の指示をエミュレートすることで、この不具合を昇格させる可能性があります。注記：KVM を備えた Red Hat Enterprise Linux 用の認定ゲストオペレーティングシステムは SYSENTER MSR を初期化するため、KVM ハイパーバイザーで実行する場合、この問題は脆弱ではありません。

バグ修正

BZ#1068674

以前は、HugePages 機能が使用されている場合、makedumpfile ユーティリティーは "-d" オプションで指定されたページタイプに基づいてこれらのページを除外できませんでした。これにより、ダンプコレクション時間が、HugePages が使用されていない同じシステムと比較して大幅に長くなりました。このバグは修正され、ダンプコレクションの時間はもう一度最適です。

BZ#1208490

特定のメモリーホットプラグリージョンを備えたシステムで kdump 環境をセットアップし、kdump.service を起動すると、オペレーティングシステムは起動時にメモリーがなくなるため、起動プロセスに失敗していました。今回の更新で、kexec-tools のメモリーホットプラグを無効にするパラメーターが追加され、上記のシナリオでシステムが正常に起動するようになりました。

BZ#971017

今回の更新以前は、/sbin/mkdumprd は /etc/kdump.conf ファイルの "blacklist [directory]" ステートメントを適切に処理しませんでした。その結果、blacklist [directory] で除外されたモジュールは、initrd ブロックデバイスによってカーネルに挿入されました。基礎となるソースコードにパッチが適用され、mkdumprd が "blacklist [directory]" ステートメントを正しく処理するようになりました。

BZ#1104837

クラスター IP アドレスが解決可能なホスト名としてではなく IP アドレスとして指定された場合、kdump ユーティリティーは予期せずエラーメッセージを返しました。このバグは修正され、前述の状況で kdump がクラッシュしなくなりました。

BZ#1131945

以前は、ファイルシステムがマウントされる前に kdump が起動しようとするため、起動時に kdump が iSCSI ブートデバイスで起動できませんでした。このバグを修正するためのパッチが提供され、システムの起動時に kdump が自動的に起動するようになりました。

BZ#1132300

kdump サービスが起動し、kdump の初期 RAM ディスクが表示されなかった場合、kdump は ramdisk を再構築して mkdumprd スクリプトを呼び出そうとします。その結果、"service kdump start" コマンドの出力内に 2 つのエラーメッセージが返されました。今回の更新により、ramdisk を再構築するときに FIPS モードが有効にならないことがユーザーに通知され、エラーメッセージが返されなくなりました。

BZ#1099589

以前は、mlx4_core がメモリーを過剰に消費していたため、mlx4_core ドライバーはデフォルトで initrd から除外されていました。しかし、mlx4_core がないため、イーサネットドライバーに問題が発生していました。この修正により、/etc/kdump.conf ファイルの extra_modules としてリストされているモジュールがロードできるようになり、ユーザーは mlx4_core を使用できるようになりました。

機能拡張

BZ#1195601

makedumpfile ユーティリティーは、16 TB を超える物理メモリー領域を表すことができる新しい sadump 形式をサポートするようになりました。これにより、今後のサーバーモデルの sadump によって生成されたサイズが 16 TB を介して、makedump ファイルを読み込むことができます。

BZ#1142666

今回の更新で、kexec-tools-eppic パッケージが変更され、/usr/share/ ディレクトリーに装備的なスクリプト用のディレクトリーが作成されました。kexec-tools-eppic のユーザーは、kexec-tools パッケージに含まれていますが、参照用のサンプルスクリプトを確認できるようになりました。

バグ修正

BZ#1075656

この更新以前は、Kerberos プリンシパルキーの有効期限が切れると、パスワードの変更要求はパスワード変更要求の FAST フレームワーク設定を考慮していませんでした。そのため、FAST を必要とする pre-auth メソッドをユーザー認証に使用することはできませんでした。今回の更新で、パスワード変更メッセージで FAST アーマーを正しく使用するように krb5 が変更され、ユーザー認証に pre-auth メソッドを使用できるようになりました。

BZ#1154130

以前は、KDC マスターとスレーブの間に増分伝搬を設定した後に、完全な同期を実行しようとするとエラーメッセージが表示され、失敗していました。この問題を修正するためにパッチが適用され、ユーザーが KDC マスターとスレーブ間の増分伝搬を設定した後に、完全な同期が失敗しなくなりました。

Enhancement

BZ#1170272

今回の更新で、LocalAuth プラグイン API が krb5 に追加されました。SSSD は LocalAuth を活用して、Red Hat Enterprise Linux Identity Management (IdM)クライアントへの Active Directory (AD)ユーザーのシームレスな認証を可能にします。

バグ修正

BZ#848026

以前は、より多くの期間 VMware 仮想マシンにログインした後、krb5-auth-dialog によるメモリー使用率の不適切に増加が発生する可能性がありました。このバグを修正するために、パッチが適用されています。今回のリリースより、krb5-auth-dialog メモリーリークは、この状況で発生しなくなりました。

バグ修正

BZ#1116072

この更新以前は、置換に使用されるファイル記述子が以前に明示的に閉じられた場合に、コマンド置換の結果が失われていました。この更新により、ksh は、コマンド置換中に閉じられたファイル記述子を再利用しなくなりました。このコマンドの置き換えは上記の状況で期待どおりに機能するようになりました。

BZ#1117404

以前は、関数内にトラップを再設定すると、ksh が予期せず終了していました。今回の更新により、ksh はトラップポインターに無効なデータを使用しなくなり、この状況ではクラッシュしなくなりました。

BZ#1160923

実行パーミッションのないディレクトリーにユーザーを変更した後、ksh は変更が発生したこと、およびユーザーが変更を試みたディレクトリーでユーザーが動作したことを認識しませんでした。また、pwd ユーティリティーは、ユーザーが実際に動作していたディレクトリーの代わりに、ユーザーが変更を試みたディレクトリーを誤って表示しました。今回の更新で、ksh が変更され、ディレクトリーの変更が成功したかどうかを確認するようになりました。その結果、必要な実行権限がない場合に ksh はエラーを報告します。

BZ#1168611

以前は、ksh が作業ディレクトリーのパスを保持する変数を誤って初期化することがありました。プログラムが forking と ksh の実行の間に作業ディレクトリーを変更した場合は、ksh の作業ディレクトリー変数に誤った値が含まれている可能性があります。この更新により、作業ディレクトリー変数の初期化が修正され、ksh に前述の状況で正しい値が含まれるようになりました。

BZ#1173668

ネストされた associative 配列に、アレイの初期化後に予期しない余分な空の値が含まれていました。今回の更新で、この問題の原因となっていた連想アレイ初期化コードのバグが修正されました。その結果、新たに作成される associative アレイは期待どおりに空になります。

BZ#1176670

以前は、内部フィールドスパレーター(IFS)が変更された読み取り操作中にアラームが発生した後に、ksh が予期せず終了していました。ksh アラームの組み込みが変更され、実行中に IFS テーブルを保持するようになりました。その結果、この状況では ksh がクラッシュしなくなりました。

BZ#1188377

ユーザーが export 属性を変数に設定すると、ksh が他の変数属性を無視していました。たとえば、ユーザーが変数を export と upper-case の両方に設定すると、ksh は upper-case オプションを正しく設定しませんでした。typeset ユーティリティーコードは、ユーザーが変数に設定したすべてのオプションに従うように修正されました。その結果、ユーザーが複数の属性を同時に設定しても、ksh はすべての属性を正しく設定します。

BZ#1189294

以前は、ユーザーが連想アレイの設定を解除した後、システムは新しく使用可能なメモリーを解放しませんでした。したがって、ksh は時間の経過とともにより多くのメモリーを消費しました。ユーザーが連想アレイの設定を解除した後にメモリーを解放するように、基礎となるソースコードが変更され、この問題が修正されています。

バグ修正

BZ# 1160636, BZ#1167796

lasso パッケージのユーザーは、以前は Red Hat Enterprise Linux の Microsoft Active Directory フェデレーションサービスとの相互運用性に関連するいくつかの問題が発生する可能性がありました。mod_auth_mellon モジュールの使用時に ADFS に対する認証が失敗しました。さらに、Apache セッションでは、要素数の制限が不十分であり、複数値変数はサポートされていませんでした。また、MellonCond パラメーターは MellonSetEnv (NoPrefix)パラメーターと一緒に使用される場合に機能しませんでした。この更新により、ADFS の相互運用性に関する上記の問題が修正されます。

バグ修正

BZ#619777

以前は、"xfer:auto-rename" オプションおよび "xfer:clobber" オプションが有効になっている場合でも、重複した名前のファイルをダウンロードできませんでした。このバグを修正するために、ダウンロードしたファイルの名前を変更する条件が変更され、期待どおりに名前が変更されるようになりました。

BZ#674875

この更新以前は、lftp の man ページには "xfer:auto-rename" オプションの情報が含まれていませんでした。このオプションは文書化され、ページに追加され、ユーザーが利用できるようになりました。

BZ#732863

エラーチェックコードのバグにより、ローカルホストに IPv4 接続しかない場合、lftp は IPv6 アドレスを持つリモートホストに接続できない可能性がありましたが、リモートホストドメイン名も IPv6 アドレスに接続できませんでした。今回の更新でコードが修正され、この状況で接続の問題が発生しなくなりました。

BZ#842322

アップロードしたファイルの長さが正しく評価されていないため、ASCII モードでファイル転送後に lftp ツールが応答しなくなりました。今回の更新により、転送されたデータのボリュームが正しく認識され、このシナリオで lftp プログラムがハングしなくなりました。

BZ#928307

Web サイトのミラーモードで lftp を実行すると、lftp は、HTTP 302 リダイレクトの場合にエラーを出して終了します。このバグを修正するために、lftp が修正され、このような状況で新しい場所に正常に続行されるようになりました。

BZ#1193617

"cmd:fail-exit" オプションを有効にすると、help コマンドの後にコマンドを実行すると lftp が予期せず終了することがありました。今回の更新で、正しい戻りコードを返すように "help" コマンドが修正され、このシナリオで lftp が終了しなくなりました。

バグ修正

BZ#1036355

以前は、cgconfigparser ユーティリティーは単一の write （）関数呼び出しで複数行の値を書き込みましたが、devices カーネルサブシステムでは write （）ごとに 1 行しか期待していました。その結果、cgconfigparser は複数行変数を適切に設定しませんでした。基礎となるソースコードが修正され、cgconfigparser が意図したとおりにすべての変数を解析するようになりました。

BZ#1139205

今回の更新以前は、/etc/cgfconfig.conf または '/etc/cgconfig.d/' ディレクトリー内の設定ファイルに二重引用符で囲まれていない cgroup 名 'default' が含まれていると、後方互換性が破損し、cgconfigparser はファイルの解析に失敗していました。今回の更新により、二重引用符なしの 'default' が再び有効な cgroup 名と見なされ、設定ファイルが正しく解析されるようになりました。

バグ修正

BZ#1186821

libdrm パッケージがアップストリームバージョン 2.4.59 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。

BZ#1032663

mesa パッケージがアップストリームバージョン 10.4.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。このバージョンには、新しい Intel 3D グラフィックチップセットのサポートが含まれています。

BZ#1176666

新しい Intel 3D グラフィックチップセットのサポートが、xorg-x11-drv-intel パッケージにバックポートされました。

* xorg-x11-drv-ati パッケージはアップストリームバージョン 7.5.99 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が含まれています。このバージョンには、新しい AMD 3D グラフィックチップセットのサポートが含まれています。

BZ#1084104

以前は、ハードウェアアクセラレーションが有効になっている場合、radeon ドライバーは Virtual Network Computing (VNC)モジュールでは正しく機能しませんでした。その結果、この方法で設定したコンピューターに接続された VNC クライアントは、空の画面のみを表示していました。今回の更新でこの問題は解決され、前述の設定で VNC を使用できるようになりました。

バグ修正

BZ#1153855

virt-sysprep コマンドを使用して SELinux が有効なゲストからユーザーアカウントを削除しても、SELinux の再ラベル付けプロセスが適切にトリガーされなかったため、ゲストが起動しませんでした。今回の更新で、そのようなゲストからユーザーを削除すると、再ラベル付けが適切にトリガーされるようになりました。さらに、virt-sysprep (1)の man ページでは、SELinux 対応のゲストをクリーンアップする際に--selinux-relabel オプションを使用することを推奨します。

BZ#1100530

guestfish -h コマンドの出力には、現在追加されたコマンドエイリアスが含まれていませんでした。

BZ#1056558, BZ#1122557

BZ#1056558 の修正により、virt-sparsify ユーティリティーを使用する場合はブロックデバイスを出力できませんでした。この更新により、virt-sparsify でブロックデバイスを ouput として使用できるようになります。

BZ#1153846

XFS ファイルシステムでゲストの guestfish で Tab-completion を使用しても、ディレクトリー名にスラッシュ(/")記号が正しく追加されませんでした。今回の更新で、guestfish が調整され、このファイルシステムのファイルおよびディレクトリーが適切に区別され、問題が修正されます。

BZ#1138630

virt-sysprep コマンドを使用してユーザーアカウントを削除しても、/etc/shadow ファイルからユーザーエントリーが正しく削除されませんでした。今回の更新で、/etc/shadow を解析する lens が Augeas ツールに追加され、virt-sysprep がそれを使用するようになりました。その結果、virt-sysprep を使用してゲストからユーザーを削除すると、/etc/shadow 内のエントリーも削除されます。

BZ#1038977

libguestfs ユーティリティーは、4 キロバイトセクターサイズの XFS ファイルシステムでディスクイメージを使用できませんでした。今回の更新で、add_drive API の cachemode パラメーターが導入されました。これはドライブキャッシュを制御し、上記のファイルシステムに保存されているディスクイメージを使用できるようにするデフォルト値を持ちます。

BZ#1128942

libguestfs ツールは、パスにコロン(":")記号を含むディスクイメージを使用できませんでした。今回の更新で、libguestfs と virt-sparsify のパス処理が改善され、そのようなイメージが想定どおりに使用できるようになりました。

BZ#1091859

シンボリックリンクを処理しようとすると、scrub-file API が失敗しました。今回の更新により、scrub-file はファイルパスをさらに処理する前に解決するため、シンボリックリンクで scrub-file を使用すると、リンクのターゲットに適切に影響するようになりました。

BZ#1159651、BZ#1160203

libguestfs firstboot スクリプトランナーの誤った実装により、firstboot スクリプトは、実行されたすべてのスクリプトではなく、最後に実行されたスクリプトのみをログに記録しました。さらに、ゲストを再起動するスクリプトなど、起動の原因となるファーストブート スクリプトは、起動ごとに意図せずに実行されていました。これらの問題が修正されました。

BZ#1074005

Java バインディング、または String とは異なるオブジェクトのリストを返す API で、ArrayIndexOutOfBoundsException 例外がトリガーされました。結果リストの作成が修正され、これらの API が予想される結果を返すようになりました。

BZ#1168751

lvm-set-filter API が lvm.conf ファイルが書き換えられた方法。これにより、lvm-set-filter が LVM デバイスフィルターを適切に変更できるようになります。

機能拡張

BZ#1151901

virt-ls --csv --checksum コマンドの出力には、ディレクトリーの場合と同様に、フィールドが空であってもチェックサム値のフィールドが常に含まれるようになりました。その結果、コマンドの出力がより簡単に解析できるようになります。

BZ#1164734, BZ#1151739, BZ#1153974, BZ#1100533

set-append コマンドのヘルプメッセージ、guestfish umount コマンドのエラーメッセージ、guestfish (1)および virt-edit (1)の man ページのエラーメッセージに対して、マイナーな修正と改善が行われました。

バグ修正

BZ#1025841、BZ#1063328

以前は、キーワード "vlan" を含むフィルター式を指定して "tcpdump" コマンドを実行すると、libpcap Berkeley Packet Filter (BPF)コンパイラーによって生成されたフィルターで BPF 拡張機能が使用されていなかったため、予期しない出力が生成されていました。このバグを修正するために、libpcap が修正され、必要に応じて BPF 拡張機能を使用するフィルターが生成されるようになりました。その結果、vlan を含むフィルターで tcpdump を実行すると、正しい結果が生成されます。

セキュリティーの修正

CVE-2015-1774

LibreOffice HWP (Hangul Word Processor)ファイルフィルターが特定の HWP ドキュメントを処理する方法に欠陥が見つかりました。攻撃者は、特別に細工された HWP ドキュメントを開くことをユーザーがトリックすると、この脆弱性を使用して、ドキュメントを開くユーザーの権限で任意のコードが実行される可能性があります。

バグ修正

BZ#1150048

OpenXML の相互運用性が向上しました。

この更新では、Calc アプリケーションに統計情報関数が追加され、Microsoft Excel とそのアナリシス ToolPak のアドインとの相互運用性が向上しました。

* Calc にさまざまなパフォーマンス改善が実装されています。

* この更新では、Appple Keynote および Abiword アプリケーションからファイルをインポートする新しいインポートフィルターが追加されます。

* MathML マークアップ言語のエクスポートフィルターが改善されました。

* 最近開いたドキュメントのサムネイルを含む新しいスタート画面が追加されました。

* トレージまたはアニメーションのあるスライド向けに、視覚的なクロージャーウィンドウに表示されるようになりました。

* この更新により、チャートの傾向線が改善されました。

* libreoffice は、BCP 47 言語タグをサポートするようになりました。

このリベースで提供されるバグ修正と機能強化の完全なリストは、参考資料セクションにリンクされている libreoffice change log を参照してください。

バグ修正

BZ#591451

以前は、libsemanage ライブラリーのテストを試みると、libsemanage テストスイートが失敗していました。今回の更新で、基礎となるコードのエラーが修正され、libsemanage テストスイートが期待どおりに機能するようになりました。

BZ#872700

この更新以前は、すでに有効なモジュールを有効にしようとしたとき、またはすでに無効になっているモジュールを無効にしようとしたときに、semodule コマンドはエラーメッセージを出して失敗していました。今回の更新で、コマンドが正常に実行される動作が調整され、上記のシナリオでエラーメッセージが生成されなくなりました。

バグ修正

BZ#1198096

以前は、NUMA (Non-Uniform Memory Access)ピニングの使用時にデフォルトの CPU マスクが指定されている場合、仮想 CPU (vCPU)はデフォルトのノードマスクに含まれていない物理 CPU にピニングできませんでした。今回の更新により、コントロールグループ(cgroups)コードは、ドメイングループ全体ではなく vCPU スレッドのみを正しくアタッチし、デフォルトの cpuset サブシステムで NUMA ピニングを使用すると期待どおりに機能するようになりました。

BZ#1186142

type='network' である libvirt ドメインのインターフェイス設定は、移行中に送信されたインターフェイスの XML データが正しくありませんでした。これには、使用するネットワークの名前（設定）ではなく、インターフェイスのステータスが含まれています（設定）。その結果、移行先は移行元のステータス情報を使用してドメインネットワークインターフェイスを設定しようとし、移行に失敗していました。今回の更新で、libvirt はステータスデータではなく、移行中に各デバイスの設定データを送信し、type='network' のインターフェイスを使用したドメインの移行が成功するようになりました。

BZ#1149667

Red Hat Enterprise Linux 0.1.5 では、QEMU がスナップショットの作成能力があるかどうかを報告するため、libvirt のサポートが追加されました。ただし、libvirt はスナップショット機能を適切にプローブしませんでした。その結果、VDSM の KVM ゲストイメージのスナップショット機能は、利用可能であっても利用不可と報告され、場合によってはディスクスナップショットの作成に失敗していました。今回の更新により、libvirt は QEMU スナップショット機能を報告しなくなったため、上記の問題が発生しなくなりました。

BZ#1138523

以前は、"virsh pool-refresh" コマンドを使用するか、仮想ストレージボリュームの名前を変更した後に libvirtd サービスを再起動または更新すると、"virsh vol-list" が名前が変更されたストレージボリュームに誤った名前を表示していました。今回の更新により、結果として生成される名前のチェックが追加され、ストレージボリューム名が正しくない場合にエラーが返されます。

BZ#1158036

今回の更新以前は、"virsh save" コマンドを使用して、デフォルト以外の owner:group 設定を使用して libvirtd サービスを実行している際の root squash アクセス権限の削減で NFS クライアントにドメインを保存する際に、NFS クライアントの保存に失敗し、Transport endpoint is not connected というエラーメッセージが表示されます。この更新により、保存プロセス中の chmod 操作でデフォルト以外の owner:group 設定が正しく指定され、前述のシナリオで virsh save を使用すると期待どおりに機能します。

BZ#1113474

Virtual Function (VF)が以前 hostdev ネットワークで使用されていた場合は、guava-passthrough ネットワークでは使用できません。今回の更新で、libvirt は、VF の MAC アドレスが OutInterceptor-passthrough ネットワークに対して適切に調整され、上記のシナリオで VF を適切に使用できるようになりました。

バグ修正

BZ#667789

以前は、Red Hat Enterprise Linux 6 を使用する際には、ミュートマイクキーが機能しない場合がありました。今回の更新で、libX11 が xkeyboard-config キーボードレイアウトファイルによってミュートマイクキーに割り当てられた鍵シンボルを適切に解決し、ミュートマイクキーが期待どおりに機能するようになりました。

BZ#1206240, BZ#1046410, BZ#1164296

32 ビットアーキテクチャーでは、X11 プロトコルクライアントは、多数の X11 要求の処理後に切断されました。今回の更新で、libxcb ライブラリーは要求シーケンス番号を 64 ビット整数として公開するため、libX11 は 32 ビットシステムでも 64 ビットのシーケンス番号を使用できるようになりました。その結果、上記の X11 クライアントの障害は発生しなくなります。

セキュリティーの修正

CVE-2015-1819

libxml2 ライブラリーが特定の XML ファイルの解析方法に、サービス拒否の欠陥が見つかりました。攻撃者は、特別に細工された XML ファイルを提供できます。このファイルは、libxml2 を使用してアプリケーションによって解析されると、そのアプリケーションが過剰な量のメモリーを使用する可能性があります。

Enhancement

BZ#1085584

今回の更新で、Precision Time Protocol (PTP)ドメインまたは Network Time Protocol (NTP)ソース間のフェイルオーバーのサポートが追加されました。これで、PTP が利用できなくなった場合、システムは別のタイムソースにフォールバックしたり、システムで別の NIC を使用して Network Interface Controller (NIC)に障害が発生した場合に PTP 同期を維持したりできます。

バグ修正

BZ#625034

logrotate ユーティリティーが十分なディスク領域が不足しているときにステータスファイルの書き込みを試みると、logrotate はステータスファイルの一部のみを作成し、停止します。ディスク領域が再び解放され、ログのローテーションがそのレコードを読み取ろうとすると、logrotate が予期せず終了しました。このバグは修正され、前述のシナリオで logrotate がクラッシュしなくなりました。

BZ#722209

以前は、logrotate の日次 cronjob がすべてのエラーメッセージを /dev/null デバイスファイルにリダイレクトするため、トラブルシューティングのためにすべての関連情報が抑制されていました。今回の更新により、詳細なエラーレポートを含むすべてのエラーメッセージが root ユーザーに送信されるようになります。さらに、/etc/cron.daily/logrotate ファイルは RPM で設定ファイルとしてマークされています。

BZ#1012485

以前は、/etc/cron.daily/logrotate ファイルに誤った権限が設定されていました。この更新により、パーミッションが 0700 に変更され、/etc/cron.daily/logrotate は Red Hat セキュリティーポリシー GEN003080 に準拠するようになりました。

BZ#1117189

logrotate ユーティリティーは、"-%d-%m-%Y" の日付形式が使用されたときに、年齢に基づいてデータファイルを誤って削除していました。この更新により、glob （）関数によって返されるファイルは、日付の拡張子に従ってソートされます。その結果、前述の日付形式を使用すると、最も古いログが期待どおりに削除されるようになりました。

機能拡張

BZ#1125769

logrotate "olddir" ディレクティブがまだディレクトリーが存在しない場合に自動的に作成するようになりました。

BZ#1047899

今回の更新で、size ディレクティブ解析および maxsize ディレクティブに logrotate 機能が追加されました。

バグ修正

BZ#772991

今回の更新以前は、特定の状況では、あるホストから複数のネットワークファイルシステム(NFS)共有がマウントされていると、特定の状況では、マウントされたフォルダーの場所が正しくないと、lsof ユーティリティーが報告されていました。今回の更新により、複数の NFS クライアントがスーパーブロックを共有できるようになりました。lsof は、マウントされたフォルダーの正しいサーバーの場所を報告するようになりました。

BZ#668099

以前は、lsof は Stream Control Transmission Protocol (SCTP)の関連付けを認識せず、このタイプの関連付けを使用してプロセスを説明する行の最後に cant identify protocol を出力していました。今回の更新により、SCTP のサポートが追加され、lsof はその出力で SCTP 関連付けを正しく識別するようになりました。

バグ修正

BZ#1009883

lsscsi パッケージが更新され、SCSI protection_type フラグとintegrity フラグを適切に検出およびデコードするようになりました。以前は、lsscsi パッケージは、見つからない sysfs ファイルシステム内の場所から protection_type フラグと整合性フラグを読み取ろうとしていました。今回の更新により、lsscsi は適切なファイルの場所を使用してこれらのフラグを識別するようになりました。

バグ修正

BZ#1136456

クラスター設定の編集時に、1 つ以上のノードで新しい設定を設定中にエラーが発生した場合でも、luci は新しい設定バージョンをアクティブ化しようとしました。その結果、クラスターが同期しなくなる可能性がありました。今回の更新により、luci は上記の状況で新規クラスター設定をアクティブにしなくなりました。

BZ#1010400

新しい属性 "cmd_prompt" が fence_apc フェンスエージェントに追加されました。その結果、ユーザーはこの新しい属性を表示および変更できませんでした。fence_apc フォームが更新され、cmd_prompt の表示および設定のサポートが追加されました。

BZ#1111249

停止アクションのセマンティクスは、rgmanager ユーティリティーの "disable" アクションセマンティクスとは異なります。以前は、GUI で停止ボタンをクリックすると、luci は常に rgmanager で "disable" アクションを発行したコマンドを実行していました。そのため、luci は、サービスに対して rgmanager stop アクションを発行するコマンドを発行しませんでした。今回の更新では、エキスパートモードでのみアクセス可能な "disable" アクションに加えて、停止アクションが追加されました。

BZ#886526

サービスグループのリソースの追加を選択すると、ダイアログにキャンセルボタンがなく、GUI で期限が切れました。その結果、ユーザーは誤ってボタンをクリックした場合、またはボタンをクリックした後に選択を変更したい場合は、ページをリロードする必要がありました。今回の更新で、サービスグループのリソース追加ダイアログにキャンセルボタンが追加されました。

BZ#1100831

以前は、luci では仮想マシンリソースに子リソースを指定できず、VM をサービスグループに追加した後、それ以上のリソースを追加できないように "add resource" ボタンが削除されました。ただし、GUI は子を持つリソースを含む設定を処理することができました。その結果、luci が前述の設定をサポートしていても、VM リソースを追加した後に "add resource" ボタンが削除されました。今回の更新により、VM リソースをサービスグループに追加するときにリソースの追加ボタンが削除されなくなりました。

BZ#917781

luci ツールは postgres-8 リソースの shutdown_wait 属性の設定を許可していましたが、リソースエージェントは属性を無視していました。その結果、shutdown_wait の影響がなくなったことが明確ではありませんでした。今回の更新で、Red Hat Enterprise Linux 6.2 以降を実行しているクラスターに、shutdown_wait パラメーターが無視されることを示すテキストが追加されました。

BZ#1204910

Red Hat Enterprise Linux 6.7 以降、fence_virt が完全にサポートされています。以前は、fence_virt がテクノロジープレビューとして含まれていました。これは、GUI でラベルで示されていました。また、fence_xvm と fence_virt に関する特定のラベルとテキストに一貫性がありませんでした。この更新により、GUI テキストは fence_virt の現在のサポートステータスを反映し、テキストの一貫性が保たれます。

BZ#1112297

エキスパートモードではなく、特定のリソース、サービスグループ、フェンスエージェントに変更を加えると、エキスパートモードでのみ luci に設定できる属性が失われる可能性があります。その結果、一部の設定パラメーターが誤って削除される可能性がありました。今回の更新により、luci はエキスパートモードのみの属性を削除しなくなりました。

機能拡張

BZ#1210683

fence_emerson デバイスおよび fence_mpath フェンスデバイスの設定のサポートが luci に追加されました。

BZ#919223

今回の更新により、luci でサービスグループを表示または編集する時に、ユーザーはサービスグループの一部を折りたたみ、拡張できるようになり、設定画面が長すぎたため、使いやすさが向上しました。

バグ修正

BZ#853259

今回の更新で、論理ボリュームマネージャー(LVM)での選択サポートが強化されました。

BZ#1021051

"lvchange -p" コマンドは、論理ボリューム(LV)上のカーネル内パーミッションを変更できます。

BZ#736027

多数の物理ボリューム(PV)から構築されたボリュームグループ(VG)では、大きな遅延が発生する可能性があります。lvmetad サービスを有効にすると、VG がすべての PV にメタデータを持っているシステムでも操作時間が短縮されます。

BZ#1021728

lvremove ユーティリティーは、修復されなかった破損したシンプールの削除に失敗しました。二重の "--force" --force" オプションで、そのようなプールボリュームを削除できるようになりました。

BZ#1130245

lvmetad サービスを global/use_lvmetad=1 セットと使用する場合、LVM リークされたオープンソケット、および既存のソケット用に lvmetad の保持スレッドが使用された場合。現在、LVM は lvmetad ソケットを開きなくなり、lvmetad は未使用のスレッドを解放します。

BZ#1132211

特定の状況でシンプールのアクティブ化に失敗しました。lvm2 ユーティリティーは、シンプールチャンクサイズを 64kB に適切に丸めるようになり、このバグが修正されました。

BZ#1133079

lvconvert ユーティリティーは、特定の状況で内部エラーメッセージを表示しました。現在は、lvconvert は、変換を開始する前に--originname の値が--thinpool値とは異なるかどうかを検証します。このメッセージは表示されなくなります。

BZ#1133093

LV 名の厳密なチェックにより、lvconvert ユーティリティーを使用して、キャッシュデータおよびキャッシュメタデータボリュームからミラーを修復または分割できませんでした。チェックが緩和され、lvconvert をこれらの操作に正常に使用できます。

BZ#1136925

以前は、lvm2 ユーティリティーは、ロックのために誤ったデバイスにアクセスしようとすることがありました。現在、lvm2 はスナップショットボリュームに予想される LV ロックを使用するため、このバグが修正されました。

BZ#1140128

volume_list パラメーターがエラーコードパスでのシンプールの作成時にボリュームをアクティベートするように設定されている場合、一部のボリュームは、適切なロックが保持されない状態でデバイスマッパーテーブルでアクティブなままになる可能性がありました。このようなボリュームはすべて、lvm2 が終了する前に正しく非アクティブ化されるようになりました。

BZ#1141386

クラスター化されたロックが選択されると、VG クラスタリング属性を変更すると、誤動作する可能性があります。このコードは、この状況でクラスター化されていない VG であっても、ロックを正しくチェックおよび伝播するようになりました。このバグは発生しなくなります。

BZ#1143747

lvm2 ユーティリティーを使用して、シンプールボリュームの--minorオプションおよび-majorオプションを設定できなくなりました。ユーザーがそれらを設定しようとすると、lvm2 はサポートされていないユーザーに正しく通知します。

BZ#1171805, BZ#1205503

vgimportclone スクリプトは予想通りに機能しない場合があり、重複した VG の名前変更やインポートに失敗する場合がありました。このスクリプトは、lvm.conf ファイルに filter 設定がなく、そのコードがより堅牢になり、これらのバグを修正するようになりました。

BZ#1184353

lvm2 のインストール後に lvm.conf ファイルの global セクションの thin_check_options オプションのデフォルト値に --clear-needs-check-flag オプションが欠落していました。現在、"-clear-needs-check-flag" はインストール後にデフォルトで設定されるようになりました。

BZ#1196767

"obtain_device_list_from_udev=0" が lvm.conf に設定されている場合、pvs ユーティリティーは、指定された PV のラベルフィールドだけを報告する際にすべての PV を一覧表示しませんでした。LVM2 は永続キャッシュの正しいコンテンツを生成するようになり、このバグが修正されました。

機能拡張

BZ#1202916

今回の更新で、LVM キャッシュが完全にサポートされるようになりました。ユーザーは、大規模で低速なデバイスへのキャッシュとして機能する小規模な高速デバイスで LV を作成できるようになりました。キャッシュ LV の作成については、lvmcache (7)の man ページを参照してください。

BZ#1211645

今回の更新で、lvmconf スクリプトに--enable-halvm、--disable-halvm、--mirrorservice、および--startstopservices オプションが追加されました。詳細は、lvmconf (8) man ページを参照してください。

セキュリティーの修正

CVE-2015-2775

特定の MTA に渡す前にリスト名をサニタイズしなかったことが見つかりました。ローカル攻撃者は、この脆弱性を使用して、mailman を実行しているユーザーとして任意のコードを実行する可能性があります。

CVE-2002-0389

誰でも読み取り可能なディレクトリーにプライベート電子メールメッセージが保存されることがわかりました。ローカルユーザーは、この不具合を使用してプライベートメーリングリストアーカイブを読み取る可能性があります。

バグ修正

BZ#1095359

以前は、ドメインベースのメッセージ認証、レポート、変換(DMARC)がドメインキー識別メール(DKIM)署名のアライメントを認識する方法で Mailman を設定することができませんでした。そのため、Mailman は、yahoo.com や AOL.com など、DMARC の拒否ポリシーを持つメールサーバーに属するサブスクライバーをリストし、DKIM 署名を提供しているドメインに存在する送信者から Mailman を転送できませんでした。今回の更新により、拒否 DMARC ポリシーが設定されたドメインが正しく認識され、Mailman リストの管理者がこれらのメッセージの処理方法を設定できるようになりました。その結果、適切な設定後に、サブスクライバーはこのシナリオで Mailman の転送されたメッセージを正しく受信するようになりました。

BZ#1056366

mailman は、"newlist" コマンドで新しいメーリングリストが作成されたときに、その電子メールの件名を生成するときにコンソールエンコーディングを使用していました。そのため、コンソールエンコーディングがその特定の言語の Mailman で使用されるエンコーディングと一致しない場合は、"welcome email" の文字が正しく表示されない可能性がありました。正しいエンコーディングを使用するように mailman が修正され、"Welcome email" の文字が正しく表示されるようになりました。

BZ#1008139

rmlist コマンドはハードコーディングされたパスを使用して、VAR_PREFIX 設定変数に基づいてデータを一覧表示しました。そのため、VAR_PREFIX の外部でリストが作成された場合、rmlist コマンドを使用してリストを削除することができませんでした。今回の更新により、rmlist コマンドは VAR_PREFIX の代わりに正しい LIST_DATA_DIR 値を使用し、説明されている状況でリストを削除できるようになりました。

BZ#765807

Red Hat Enterprise Linux 6 の Python と Mailman 間の非互換性により、中程度のメッセージをメーリングリストに承認し、Preserve messages for the site administrator のチェックボックスをチェックしていると、Mailman はメッセージを承認してエラーを返しました。この非互換性が修正され、このシナリオで Mailman がメッセージを期待どおりに承認するようになりました。

BZ#745409

Mailman がリストをアーカイブせず、アーカイブがプライベートに設定されていなかった場合、そのリストに送信された添付ファイルは公開アーカイブに配置されていました。その結果、パブリックアーカイブディレクトリーの httpd 設定で archive ディレクトリー内のすべてのファイルを一覧表示できるため、Mailman Web インターフェイスのユーザーはプライベート添付を一覧表示できました。Mailman の httpd 設定が修正され、プライベートアーカイブディレクトリーの一覧表示が許可されなくなり、Mailman Web インターフェイスのユーザーはプライベートアタッチメントを一覧表示できなくなりました。

バグ修正

BZ#1135541

man ページの "du" のフランス語バージョンには、du オプションの最新のリストとその説明は含まれていません。man ページは維持されなくなったため、この更新では、ドキュメントが古くなり、英語の man ページで最新バージョンを見つけることができることを示すメッセージがページの上部に追加されます。

バグ修正

BZ#1157413

date (1)の man ページには、%n および "%N" のオプションが記載されていませんでした。オプションはそれぞれ改行文字とナノ秒数を出力します。今回の更新で、これらのオプションとその説明が man ページに追加されます。

BZ#1173391

nfs (5)の man ページには、man ページである "intr" および "nointr" オプションの不正使用オプションに関する備考が含まれていませんでした。今回の更新で、日本の man ページにこの再マークが追加されました。

BZ#1174088

以前は、内部状態ダンプ /tmp/xinetd.dump の出力ファイルの場所が、xinetd (8)の man ページで指定されていました。セクションでは、SIGUSR1 シグナルを受け取ったときに xinetd が実行するアクションを記述していました。正しい場所は /var/run/xinetd.dump で、man ページに書き込まれるようになりました。

BZ#1140481

shmop (2) man ページの EINVAL エラーコードの説明は、前述のエラーコード EIDRM を説明する行に誤って配置されました。今回の更新で、"EINVAL" の説明が別のパラグラフに移動されるようになりました。

バグ修正

BZ#1205351

以前は、カーネルがこの機能をサポートしていても、eventfd (2)の man ページでは EFD_SEMAPHORE フラグが記述されていませんでした。今回の更新で、EFD_SEMAPHORE の詳細の欠落が eventfd (2)に追加されました。

BZ#1207200

yum-security (8) man ページには、--advisory オプションを指定して update-minimum コマンドのパッケージ選択メカニズムに関する十分な情報が含まれていました。今回の更新では、構文例を含む、このプロセスの詳細な説明が追加されます。

BZ#1140473

以前は、iostat (1)および sar (1)の man ページの %util フィールドの説明は正しくありませんでした。%util の説明が修正され、iostat コマンドおよび sar コマンドのドキュメントが正しくなりました。

BZ#1205377

pthread_kill (3)の man ページには、pthread_kill （）関数を使用してスレッド ID の存在を確認する可能性に関する誤った情報が含まれていました。その結果、この命令に従うと、存在しないスレッド ID の場合にセグメンテーション違反が発生していました。誤解を招く情報が削除され、pthread_kill (3)に、存在しないスレッド ID の処理に関する詳細が含まれるようになりました。

BZ#1159335

以前は、statfs (2)の man ページの statfs struct セクションに f_flags と f_spare フィールドが記載されていませんでした。今回の更新で、不足しているフィールドが statfs (2)に追加されました。

BZ#1121700

reposync (1)の man ページには、e、d、m、および norepopath オプションの説明が含まれていませんでした。今回の更新で、reposync (1)で、オプションの完全なリストと説明が提供されるようになりました。

BZ#1159842

今回の更新以前は、Russian 言語の特定の man ページが誤ってエンコードされていました。その結果、ユーザーはこのような man ページを読み取ることができませんでした。このバグは修正され、man ページが正しいエンコーディングで表示されます。

バグ修正

BZ#1146536

以前は、mdadm パッケージをインストールすると、冗長な udev ルールファイルもインストールされていました。今回の更新で、mdadm パッケージの spec ファイルが調整され、冗長ルールファイルがインストールされなくなりました。

BZ#1159399

この更新以前は、AUTO キーワードが mdadm.conf ファイルで設定されている場合、mdadm ユーティリティーは適切に動作しませんでした。AUTO の解析が修正され、mdadm がこのキーワードを期待どおりに尊重するようになりました。

BZ#1146994

今回の更新以前は、root 以外のユーザーとして Internal Matrix Storage Manager (IMSM)ボリュームを実行すると、ボリュームのアセンブリーを妨げていた競合状態が発生することがありました。今回の更新で mdadm パッケージが修正され、この競合状態が発生しなくなり、アレイを期待どおりにアセンブルできるようになりました。

BZ#1211564

以前は、mdadm は、mdadm 設定の Max volumes オプションで許可されていたよりも多くの内部 Matrix Storage Manager (IMSM) raid ボリュームを作成することが意図せずに可能でした。今回の更新でバグが修正され、Max volumes で設定されたよりも多くの IMSM RAID ボリュームを作成しようとすると、エラーが生成され、raid ボリュームが作成されなくなりました。

Enhancement

BZ#1211500

内部マトリックスストレージマネージャー(IMSM)が、SATA および不揮発性メモリー Express (NVMe)スパンをサポートするようになりました。

バグ修正

BZ#784079

以前は、"hg view" コマンドが "Permission denied" エラーメッセージを出して失敗していました。今回の更新で、必要な実行パーミッションが hgk ユーティリティーに追加されました。その結果、hg view の実行は期待どおりに機能します。

BZ#928301

以前は、SSL 暗号化 hg serve コマンドを実行すると、サーバーが例外発生し、すべての SSL 接続試行時にトレースバックが発生する可能性がありました。その結果、SSL なしで期待どおりに動作していても、この状況では hg serve に失敗していました。このバグを修正するパッチが適用されました。その結果、SSL 暗号化 hg serve の実行が機能し、コマンドは予想される出力を表示します。

BZ#1006457

この更新以前は、hg copy -A コマンドを実行しても、壊れたシンボリックリンクがリポジトリーに追加されていませんでした。基礎となるソースコードが os.patch.lexists （）メソッドを使用するように変更されました。その結果、hg copy -A は期待どおりに破損したシンボリックリンクを追加します。

バグ修正

BZ#729003

mgetty パッケージに含まれる 7 つのバイナリーファイルのデバッグ情報に、デバッグ情報を含む不明なファイルが、mgetty-debuginfo パッケージに追加されました。

Enhancement

BZ#1123992

更新された CPU マイクロコードデータファイルが、起動時に Intel プロセッサーでの挙動を修正するために、Linux カーネルで使用できるようになりました。

バグ修正

BZ#1012534

今回の更新以前は、mlocate パッケージに含まれる cron スクリプトには、複雑すぎるパーミッションがありました。そのため、ミケートは Operating System Security Requirements Guide に準拠していませんでした。この更新により、ガイドで必要に応じて、cron スクリプトのパーミッションが 0700 に変更されました。

BZ#1023779

updatedb ユーティリティーは、/proc/filesystems ファイルで nodev とマークされているファイルシステムを自動的に除外します。ZFSファイルシステムは、実際にデータを物理デバイスに格納しているにもかかわらず、この方法としてマークされます。そのため、ZFS ボリュームはこれまでインデックス化されませんでした。今回の更新で、ZFS の例外が追加されました。これにより、updatedb がこのファイルシステムに保存されているファイルをインデックス化し、find ユーティリティーでこのようなファイルを見つけることができます。

BZ#1182304

以前は、/var/lib/mlocate/mlocate.db データベースファイルは、root ユーザーおよびグループに属し、644 パーミッションを持つように mlocate パッケージのメタデータで宣言されていました。ただし、実際には、ファイルは配置グループに属し、640 パーミッションを持ちました。この不一致により、OpenSCAP コンプライアンスチェックツールによって報告される問題が発生していました。今回の更新により、データベースファイルはメタデータで正しく宣言され、変更されていない状態のパッケージが OpenSCAP コンプライアンスチェックに合格できるようになります。

BZ#1168301

updatedb ユーティリティーは、請求ファイルを保持できる GPFS クラスターファイルシステムを除外しませんでした。その結果、updatedb は、GPFS を使用するシステムで非常に高い I/O 負荷を引き起こしていました。今回の更新により、updatedb により GPFS ボリュームがスキップされるようになりました。その結果、このファイルシステムに保存されているファイルはインデックス化されなくなり、GPFS ボリュームのあるシステムで updatedb を実行しても、I/O 負荷が高くなりすぎません。

バグ修正

BZ#1101045

ブリッジモジュールが読み込まれていないシステムでは、以前は "sysctl -p" コマンドはエラーを返しました。今回の更新で、複数の net.bridge.bridge-nf-call* パラメーターを /etc/sysctl.conf ファイルから /etc/modprobe.d/dist.conf ファイルに移動し、ブリッジモジュールがロードされるときにのみ有効になり、システムの起動時に有効になります。その結果、上記の問題が発生しなくなりました。

機能拡張

BZ#1000773

今回の更新により、netcat ユーティリティーは HTTP/1.1 プロキシー応答を処理できるようになり、特定のプロキシーが HTTP/1.0 リクエストへの応答で送信されるようになりました。

BZ#1064755

今回の更新で、netcat ユーティリティーによって提供されるスクリプトの特定セクションにおける可能性を含むコメントの強調が改善されました。

バグ修正

BZ#1025744

今回の更新以前は、pkg-config および静的リンクを使用するアプリケーションのコンパイルが失敗する可能性がありました。これは、ncurses.pc ファイルに ncurses の静的リンクの "-ltinfo" オプションが含まれていないためです。このバグを修正するために、"-ltinfo" オプションが pkg-config ファイルに含まれ、アプリケーションが正常にコンパイルされるようになりました。

セキュリティーの修正

CVE-2014-3565

"-OQ" オプションを指定して開始したときに、snmptrapd が特定の SNMP トラップを処理する方法でサービス拒否の欠陥が見つかりました。攻撃者が整数変数タイプが想定される NULL タイプの変数を含む SNMP トラップを送信すると、snmptrapd がクラッシュします。

バグ修正

BZ#1134335

HOST-RESOURCES-MIB::hrSystemProcesses オブジェクトは、HOST-RESOURCES-MIB モジュールの一部が以前のバージョンの net-snmp で書き換えられたため、実装されませんでした。そのため、HOST-RESOURCES-MIB::hrSystemProcesses は現在ロードまたは実行中のプロセスの数に関する情報を提供していませんでした。今回の更新により、HOST-RESOURCES-MIB::hrSystemProcesses が実装され、net-snmp デーモンが期待どおりに報告されるようになりました。

BZ#789500

Net-SNMP エージェントデーモンである snmpd は、システム ARP テーブルを 60 秒ごとにリロードします。その結果、snmpd は、大規模な APR テーブルを使用するビジーなシステムで、CPU の使用率が短くなる可能性がありました。今回の更新により、snmpd が完全な ARP テーブルを定期的に再読み込みせず、netlink ソケットを使用してテーブルの変更を監視するようになりました。

BZ#1050970

以前は、/etc/snmpd/snmpd.conf ファイルの "monitor" オプションで指定された特定の条件を定期的にチェックする際に、snmpd は現在の時間への無効なポインターを使用していました。その結果、monitor オプションのある特定のエントリーが使用されている場合、セグメンテーションフォールトで開始して snmpd が予期せず終了しました。snmpd は現在の時刻への正しいポインターを初期化し、起動時に snmpd がクラッシュしなくなりました。

BZ#1195547

以前は、HOST-RESOURCES-MIB::hrDeviceTable を処理するときに、snmpd は 8 ビットネットワークインターフェイスインデックスを想定していました。ローカルネットワークインターフェイスのインターフェイスインデックスが 30,000 項目を超える場合、無効なメモリーへのアクセスにより snmpd が予期せず終了する可能性がありました。現在は、すべてのネットワークサイズの処理が有効になり、上記の状況で snmpd がクラッシュしなくなりました。

BZ#1146948

snmpdtrapd サービスは、RequestID 値が 0 のトラップを転送する際にエラーを誤ってチェックし、トラップが正常に転送された場合でも、Forward failed をログに記録します。この更新により、snmptrapd チェックが修正され、前述のメッセージは適切な場合にのみログに記録されるようになりました。

BZ#1125793

以前は、snmpd は、/etc/snmpd/snmpd.conf ファイルの storageUseNFS オプションの値を無視していました。その結果、storageUseNFS が 2 に設定されていても、HOST-RESOURCES-MIB::hrStorageTable の 固定ディスク として報告され、NFS ドライバーはネットワークディスクと表示されていました。今回の更新により、snmpd が storageUseNFS オプションの値を考慮し、固定ディスク NFS ドライブが正しく報告されるようになりました。

BZ#1100099

以前は、Net-SNMP python バインディングは、IPADDRESS タイプの変数に誤ったサイズ(4 ではなく 8 バイト)を使用していました。その結果、Net-SNMP Python バインディングを使用するアプリケーションは、不正な SNMP メッセージを送信することができました。今回の更新により、バインディングは IPADRESS タイプの変数に 4 バイトを使用し、有効な SNMP メッセージのみが送信されるようになりました。

BZ#1104293

以前は、snmpd サービスは、SNMP 標準で必要な HOST-RESOURCES-MIB::hrStorageTable の符号付き整数にカットされず、値は署名されていない整数として提供されていました。そのため、HOST-RESOURCES-MIB::hrStorageTable 実装は RFC 2790 に準拠していませんでした。値は 32 ビットの符号付き整数にカットされるため、snmpd は標準に準拠しています。

バグ修正

BZ#1113978

以前は、インターフェイスの XML 設定が IPv6 に対して動的ホスト設定プロトコル(DHCP)を有効にすると、netcf ライブラリーは DHCPV6C ではなく ifcfg 設定ファイルで DHCPV6 という名前の変数を誤って設定していました。基礎となるソースコードにパッチが適用され、netcf は正しい DHCPV6C オプションを ifcfg に渡すようになりました。

BZ#1116314

この更新より前は、IPv4 ネットマスク 255.255.255.255 のインターフェイスの設定を要求すると、インターフェイス設定が拒否されたため、netcf ライブラリーはエラーをログに記録していました。この更新により、32 ビットインターフェイス接頭辞のネットマスクが修正され、netcf が IPv4 インターフェイスを正常に設定するようになりました。

BZ#1208897

解析エラーが原因で、1 行で列 1 または複数の変数のどこにでも、コメントを含む ifcfg ファイルが原因で、ホストインターフェイスの一覧表示を試みる際に netcf ライブラリーがエラーを生成しました。解析エラーが修正され、netcf を使用するツールに、アクティブなインターフェイスが期待どおりにリストされるようになりました。

BZ#1208894

複数の静的 IPv6 アドレスがインターフェイス設定で指定されている場合、生成される設定ファイルの IPV6ADDR_SECONDARIES エントリーに追加の引用符のセットが表示されます。今回の更新により、IPV6ADDR_SECONDARIES から余分な一重な一重な一重引用符が削除され、このバグが修正されました。

BZ#1165966

netcf ライブラリーのサービス欠陥が拒否されているため、特別に細工されたインターフェイス名が原因で、これまでは、libvirt デーモンなどの netcf を使用するアプリケーションが予期せず終了しました。このバグを修正するためにアップストリームパッチが適用され、前述の状況では netcf を使用するアプリケーションがクラッシュしなくなりました。

バグ修正

BZ#1007281

以前は、mountstats ツールは、スラッシュ文字(/)で終わる引数を誤って解析していました。そのため、ディレクトリー名の最後にスラッシュが含まれている場合、mountstats コマンドは失敗していました。このバグは修正され、このシナリオでは mountstats コマンドが失敗しなくなりました。

BZ#1194802

rpc.mountd デーモンにはメモリーリークが含まれていたため、rpc.mountd が過剰な量のメモリーと CPU サイクルの数になりました。今回の更新で、Valgrind ツールで識別される複数のメモリーリークがプラグされ、上記の問題は発生しなくなります。

BZ#1026446

以前は、mount -o remount コマンドを使用して、マウントが失敗した場合、エラーメッセージが表示されませんでした。今回の更新により、このシナリオに関連するエラーメッセージが表示されるようになりました。

BZ#1164317

rpc.mountd デーモンは、IP-restricted サブマウントのエクスポートを正しく解析しませんでした。そのため、一部のエクスポートは、必要な場合にアクセスできていませんでした。このバグは修正され、必要に応じてエクスポートにアクセスできるようになりました。

Enhancement

BZ#1172827

mountstats ツールが更新され、最新のアップストリーム機能が追加され、パフォーマンスが向上しました。いくつかの新しいオプション(--file または-f、--since、--raw、または-R)が導入されました。iostat コマンドおよび nfsstat コマンドの出力が改善され、関連する man ページが更新されました。

バグ修正

BZ#1129792

今回の更新以前は、名前の検索時に libnfsidmap ライブラリーが nobody@DEFAULTDOMAIN を使用していましたが、これは rpc.idmapd デーモンの動作と一致しませんでした。その結果、nfsidmap ユーティリティーは、"nobody@DEFAULTDOMAIN" が、システムのユーザーまたはグループに直接マップされなかった状況を適切に処理しませんでした。この更新により、デフォルトの nobody ユーザーとグループが設定されているときに、libnfsidmap は /etc/idmapd.conf ファイルに "Nobody-User" と "Nobody-Group" の値を使用し、前述の問題は発生しなくなります。

BZ#1223465

以前は、DNS ドメイン名に大文字と小文字の両方が含まれている場合、nss_getpwnam （）関数は目的のパスワードエントリーを見つけることができませんでした。今回の更新で、ドメイン名を比較する際に文字ケースが無視され、nss_getpwnam （）がパスワードが想定どおりに取得できるようになりました。

バグ修正

BZ#1161164

以前は、nfs4_setfacl コマンドおよび nfs4_getfacl コマンドは、DELETE、WRITE_OWNER、および NAMED_ATTRS パーミッションの DENY アクセス制御エントリー(ACE)を無視していました。このバグを修正するためにパッチが適用され、DENY ACE の設定または表示は無視されなくなりました。

セキュリティーの修正

CVE-2014-9298

NTP のアクセス制御はソース IP アドレスに基づいていたため、攻撃者はソース IP の制限をバイパスし、：:1 アドレスを偽装することで悪意のある制御および設定パケットを送信することができました。

CVE-2015-1799

内部状態変数を更新する前に、互いにピアリングされた NTP ホスト方式でサービス拒否の欠陥が見つかりました。攻撃者は 1 つのピアホストにパケットを送信し、それが他のピアにカスケードし、到達したピア間の同期プロセスを停止する可能性があります。

CVE-2015-3405

ntp-keygen ユーティリティーがビッグエンドシステムで MD5 対称鍵を生成する方法に欠陥が見つかりました。攻撃者は、この脆弱性を使用して、生成された MD5 鍵を推測する可能性があります。これにより、NTP クライアントまたはサーバーをスプーフィングできます。

CVE-2014-9297

NTP autokey プロトコルの実装方法に、スタックベースのバッファーオーバーフローが見つかりました。NTP クライアントが NTP サーバーから受信したシークレットを復号化すると、そのクライアントがクラッシュする可能性があります。

CVE-2015-1798

ntpd が対称暗号鍵を使用するように設定されたときに、ntpd が受信パケットにメッセージ認証コード(MAC)が存在するかどうかを確認しなかったことが判明しました。中間者攻撃者は、この不具合を利用して、攻撃者が対称鍵を認識せずに、クライアントまたはピアによって受け入れられる細工されたパケットを送信できます。

バグ修正

BZ#1053551

ntpd デーモンは、鍵ファイルで指定されている対称鍵を 20 バイトに切り捨てます。そのため、より長い鍵を使用するピアで機能するように NTP 認証を設定できませんでした。キーの最大長が 32 バイトに変更されました。

BZ#1184421

ntp-keygen ユーティリティーは、RSA 鍵の生成時に exponent 3 を使用し、FIPS モードが有効になっていると RSA 鍵の生成に失敗していました。ntp-keygen は、65537 の指名を使用するように変更され、FIPS モードで鍵の生成が期待どおりに機能するようになりました。

BZ#1045376

ntpd デーモンには、ルート分散を計算する際にルート遅延が含まれていました。その結果、NTP サーバーは root 分散よりも大きなルート分散を報告し、距離が最大同期間隔（デフォルトでは 1.5 秒）に達したときに、クライアントがソースを拒否する可能性がありました。ルート分散の計算が修正され、ルートの分散が正しく報告され、同期距離が大きいためクライアントはサーバーを拒否しなくなりました。

BZ#1171630

ソースポートが 123 (NTP ポート)よりも小さい場合、ntpd デーモンは受信 NTP パケットをドロップします。ネットワークアドレス変換(NAT)の背後にあるクライアントは、ソースポートが 123 以下のポートに変換されると、サーバーと同期できませんでした。今回の更新により、ntpd はソースポート番号を確認しなくなりました。

機能拡張

BZ#1122015

今回の更新で、SHM (Shared Memory Driver)基準クロックに使用されるメモリーセグメントの設定可能なアクセスが導入されました。以前は、所有者のみのアクセスで最初の 2 つのメモリーセグメントのみが作成され、システムで安全に 2 つの SHM 基準クロックを使用できるようになっていました。現在、SHM への所有者のみのアクセスは mode オプションで設定できるため、より SHM 基準クロックを安全に使用できるようになりました。

BZ#1117704

ナノ秒の解決のサポートが SHM 基準クロックに追加されました。この更新より前は、Precision Time Protocol (PTP)ハードウェアクロックがシステムクロックを同期するタイムソースとして使用された場合（たとえば linuxptp パッケージの timemaster サービスで）、SHM プロトコルのマイクロ秒解決により、同期の精度が制限されていました。SHM プロトコルのナノ秒拡張は、システムクロックのサブマイクロ秒同期を有効にするようになりました。

バグ修正

BZ#1150585

以前は、numad デーモンがファイル記述子が不足する可能性がありました。KVM-Hypervisor で numad をアップグレードすると、次のエラーメッセージが返され、その後に numad が予期せず終了しました。

Could not write 1 to /cgroup/cpuset/libvirt/qemu/vm_name/emulator/cpuset.mems -- errno: 13

基礎となるソースコードが修正され、この状況で numad がクラッシュしなくなりました。

BZ#1186724

この更新より前は、numad initscript 関数の不要な引用符が daemon （）関数に反し、その後に誤った引数が作成されていました。その結果、以下のエラーメッセージが返されました。

numad の開始：/usr/bin/dirname: extra operand '-i' Try '/usr/bin/dirname --help'

daemon （）パラメーターの周りの引用符を削除するパッチにより、このバグが修正され、エラーメッセージが返されなくなりました。

機能拡張

BZ#1148734

この更新により、IBM System z の opencryptoki 用の新しい操作で、暗号化機能 CPACF (CPACF) Message Security Assist 4 (MSA-4)拡張をセントラルプロセッサーアシストで有効になります。さらに、このハードウェア暗号化により、マシン z196 以降のパフォーマンスが向上します。

BZ#11148133

この更新では、IBM System z で認定済み PKCS#11 メカニズムを実装する Crypto Express4S (CEX4S)アダプターのエンタープライズ PKCS#11 (EP11)機能にアクセスするための opencryptoki トークンも実装されています。

バグ修正

BZ#1127907

設定ファイルの暗号化が許可されたため、ハードウェア管理の認証認証情報がシステムのクリアテキストで利用できなくなりました。

Onboard Administrator (OA) SOAP プラグインで IPv6 のサポートが修正されました。

uid_map ファイルは、全ユーザーに作成できなくなりました。

BZ#1069015

今回の更新以前は、マルチスレッドデーモン内の Intelligent Platform Management Interface (IPMI)プラグインにデータ競合状態が存在していました。その結果、openhpid デーモンがセグメンテーションフォールトで予期せず終了する可能性があります。このバグは修正され、データ構造が正しい順序で更新され、このシナリオで openhpid がクラッシュしなくなりました。

BZ#1105679

openhpid デーモンでネットワークのタイムアウトが正しく処理されませんでした。そのため、外部プラグインが使用されるとネットワーク接続が失敗する可能性がありました。今回の更新で、openhpid でネットワークソケットタイムアウトの処理が改善され、上記の問題は発生しなくなりました。

バグ修正

BZ#1047494

以前のバージョンの openjpeg パッケージで発生したリグレッションにより、chroma-subsampled イメージがデコード中に破損しました。このバグを修正するためにアップストリームパッチが適用され、イメージが正しくデコードされるようになりました。

バグ修正

BZ#1144294

以前は、複数のプロセスが同時に暗号化された接続を確立しようとすると、openldap が正しく処理されませんでした。その結果、nslcd サービスなどのユーティリティーは、セグメンテーション違反で予期せず終了する可能性があります。このバグを引き起こした誤ったスレッド初期化コードが修正されました。その結果、プロセスで複数の暗号化接続を確立すると、ユーティリティーがクラッシュしなくなりました。

BZ#1164369

以前は、SRV レコードの処理時に、無効なメモリーアクセスが原因で、サーバーが予期せず終了することがありました。無効なメモリーアクセスの原因となったエラーが修正され、SRV レコードの処理時にサーバーがクラッシュしなくなりました。

BZ#1193519

この更新以前は、slapd.conf ファイルを使用して設定を保存する際に、openldap の更新後にユーザーデータが削除されましたが、slapd.d/ ディレクトリーも存在していました。今回の更新により、インストール後のスクリプトでの誤ったロジックが修正され、この状況でユーザーデータが削除されなくなりました。

BZ#1202696

リグレッションが原因で、IBM Power Systems のセグメンテーション違反で、サーバーが予期せず終了する場合があります。この問題の原因となったコードの最適化が削除され、セグメンテーション違反が発生しなくなりました。その結果、この状況ではサーバーがクラッシュしなくなりました。

機能拡張

BZ#1155390

今回の更新で、PCI コンプライアンスに必要な OpenLDAP の Check Password 拡張が導入されました。

BZ#1160467

TLS プロトコルバージョン 1.1 以降のサポートが追加されました。

バグ修正

BZ#1036741

以前は、OpenSCAP をビルドするスクリプトで has_extended_acl 機能がないため、OpenSCAP 監査ツールは拡張ファイルシステムのプロパティーを評価できませんでした。この更新により、OpenSCAP のビルドプロセスが has_extended_acl を組み込むように修正され、OpenSCAP が再び拡張ファイルシステムのプロパティーを意図したように評価できるようになりました。

BZ#1092013

Extensible Configuration Checklist Description Format (XCCDF)入力コンテンツに、未定義変数値で特定の XCCDF 変数を使用するための命令が含まれていると、OpenSCAP スキャナーがクラッシュする可能性がありました。今回の更新により、NULL ポインターにより、XCCDF 値を OVAL 変数にバインドする際に、このバグが適切に処理され、セキュリティースキャンがスムーズに続行されるようになりました。

BZ#1192428

OVAL 標準では、OpenSCAP スキャナーが常に監視されるわけではない var_ref 属性を持つ XML 要素に var_check コンテンツ XML 属性が含まれている必要があります。その結果、OVAL 結果の schematron 検証により、警告メッセージがユーザーに返されました。OVAL モジュールは、var_ref をエクスポートするたびに var_check を明示的にエクスポートするように修正され、schematron 検証が期待どおりに合格するようになりました。

Enhancement

BZ#1115114

インストールされているパッケージセットを最小限にとどめるために、OpenSCAP 監査ツールのパッケージの依存関係の数が減りました。今回の更新で、oscap ツールが新たに作成された openscap-scanner パッケージに同梱され、openscap-utils パッケージにさまざまなツールが含まれるようになりました。スキャナー以外の他のユーティリティーが必要なくなった場合は、openscap-utils を削除することが推奨されます。

バグ修正

BZ#1085710

ユーザー情報が System Security Services Daemon (SSSD)キャッシュに保存される前に、最初に sftp ユーティリティーを使用して接続を作成しようとすると、失敗します。sshd サーバーは、すべてのユーザー情報が読み込まれる前にファイル記述子を閉じなくなり、SSSD キャッシュが空の場合でも、sftp 接続を SSSD と連携させます。今回のリリースより、最初の sftp 接続試行が成功するようになりました。

BZ#1093869

ssh-keygen -L -f コマンドを使用して v01 証明書の拡張を出力しても、証明書の拡張が正しく表示されませんでした。これで、v01 証明書の拡張機能の出力が期待どおりに機能するようになりました。

BZ#1109251

sshd -T コマンドで実行される sshd 設定テストモードでは、すべてのデフォルトオプションが表示されず、その他の特定のオプションが正しく表示されませんでした。この更新により、sshd テストモードは、必要なすべてのデフォルトオプションを出力し、上記の他のオプションを正しく出力します。設定テストモードの出力は、設定入力として安全に適用できるようになりました。

BZ#1127312

ssh にログインしてログインしたユーザーがログに 2 つの異なる監査メッセージをトリガーしたが、これは想定外の動作でした。今回の更新により、存在しないユーザーが ssh を使用してログインしようとすると、監査メッセージは 1 つだけトリガーされます。このメッセージは、期待どおりに不明なユーザーからのログイン試行を記録します。

BZ#1131585

擬似ターミナルで ForceCommand オプションを使用して、MaxSession オプションが 2 に設定されていた場合、多重化 ssh 接続が想定どおりに機能しませんでした。ユーザーが 2 番目の多重化接続を開こうとした後、最初の接続が開いている場合は試行に失敗していました。この更新により、OpenSSH がセッションごとに 1 つの監査メッセージのみを発行するように変更されました。この場合、ユーザーは 2 つの多重接続を開くことができます。

BZ#1134938

以前は、OpenSSH は、1 つの設定行で定義された引用符で囲まれた複数の値を正しく処理しませんでした。たとえば、1 行で複数のグループを引用符で囲んで指定する場合、OpenSSH は最初に指定されたグループのみを受け入れました。OpenSSH 設定パーサーが変更され、OpenSSH はこの状況ですべてのオプション値を許可します。

BZ#1135521

リモートサーバーのアカウントが sh のようなシェルを使用していない場合、ssh-copy-id ユーティリティーが失敗していました。sh のようなシェルで実行するようにリモートコマンドが変更され、ssh-copy-id もsh 以外のシェルでも機能するようになりました。

BZ#1161454

ホスト名が 64 文字のホストで ssh 鍵を生成できませんでした。この状況では ssh-keygen ユーティリティーが失敗しました。ホスト名のバッファーサイズが増加し、上記の状況で ssh-keygen が失敗しなくなりました。

BZ#1172224

chroot を使用すると、sftp サーバーから取得したすべてのメッセージが、ログ用の有効なソケットが利用可能な場合でも、sshd サーバーを介してグローバルログファイルに記録されます。sftp サーバーからのイベントが chroot のソケットでログに記録され、個別のログファイルに転送されるようになりました。

BZ#1196331

ssh-keyscan コマンドは、Elliptic Curve Digital Signature Algorithm (ECDSA)キーをスキャンしませんでした。ssh-keyscan -t ecdsa -v localhost コマンドは出力を表示しませんでした。このコマンドは、期待どおりにホストの ECDSA キーを出力するようになりました。

BZ#1208584

この更新により、sshd で検出されたメモリーリークが修正されました。

機能拡張

BZ#1119506

この更新により、LDAP クエリーの調整のサポートが追加されました。管理者は LDAP クエリーを調整して、別のスキーマを使用するサーバーから公開鍵を取得できます。

BZ#1159055

sshd_config ファイルの PermitOpen オプションがワイルドカードをサポートするようになりました。

BZ#1191055

この更新により、openssh は、sftp を使用して新しくアップロードされたファイルに正確なパーミッションを強制的に実行できるようになりました。

バグ修正

BZ#1119191

以前は、cipher (1)の man ページでは、Elliptic Curve Durve Cryptography (ECC)暗号スイートグループ(Elliptic Curve Diffie-Hellman)および ECDH (Elliptic Curve Digital Signature Algorithm)、または TLS バージョン 1.2 (TLSv1.2)固有の機能が記載されていませんでした。今回の更新で、ECDH および ECDSA 暗号グループの欠落している説明と TLSv1.2 機能が ciphers (1)に追加され、ドキュメントが完了しました。

BZ#1234487

以前は、サーバー側の再ネゴシエーションサポートは、特定の状況で期待どおりに機能しませんでした。ダンプされたデータのサイズが ssl_renegotiation_limit 設定で定義された値よりも大きい場合に、TLS 接続を介してデータベースダンプの PostgreSQL が失敗する可能性がありました。このバグの原因となったリグレッションが修正され、上記の状況で TLS 接続を介した PostgreSQL データベースダンプが失敗することはなくなりました。

Enhancement

BZ#961965

今回の更新で、openssl s_server コマンドに-keytab オプションが追加され、-krb5svc オプションが openssl s_server コマンドおよび openssl s_client コマンドに追加されました。"-keytab" オプションを使用すると、ユーザーはカスタムキータブの場所を指定できます。ユーザーが -keytab を追加しない場合は、openssl ユーティリティーがデフォルトのキータブの場所を想定します。"-krb5svc" オプションを使用すると、ホストサービス以外のサービスを選択できます。これにより、ホストプリンシパルにキーを持たない権限のないユーザーが openssl s_server を使用し、Kerberos でオープン s_client を使用できます。

バグ修正

BZ#1075183

この更新以前は、誤ったフラグが楕円曲線暗号署名メソッドに渡されていました。そのため、IBMCA エンジンが使用されていると、OpenSSL ライブラリーのセルフテストが失敗していました。正しいフラグが渡され、OpenSSL のセルフテストが正常に実行されるようになりました。

BZ#1193071

以前は、IBMCA エンジンは、IBM Cryptographic Architecture (libica)用のライブラリーによって計算された SHA256 ハッシュデータを切り捨てていました。その結果、証明書の検証プロセスでは不正なハッシュが使用され、失敗していました。今回のリリースより、SHA256 データには正しい長さが使用され、証明書の検証はエラーなしで実行されるようになりました。

バグ修正

BZ#1180513

以前は、静的ヒュージページが有効な状態で、Java just-in-time (JIT)のコンパイルコードのプロファイリング時に、OProfile の operf コマンドは、適切な Java メソッドではなく、匿名メモリー(anon_hugepage)に多数のイベントサンプルを記録していました。この更新により、operf は静的 Huge Page 識別子を認識し、静的に割り当てられた Huge Page を使用する場合にサンプルを Java メソッドに正しくマッピングします。

BZ#1199469

イベントを適切に選択するために、新しい Intel プロセッサーの中には、基本イベント番号だけでなく、ユニットマスクに設定する追加のビットも必要となります。以前は、ユニットマスクの追加ビットが設定されていないままであるため、誤ってゼロに設定されていました。その結果、パフォーマンス監視ハードウェアは目的のイベントを測定せず、2 番目の第 3 世代 Intel Core および Intel Xeon プロセッサー上の LLC_REFS および LLC_MISSES イベントに対してゼロを返していました。今回の更新で、必要に応じて unit mask ビットを設定するように、OProfile コードが修正されました。その結果、ゼロ以外のユニットマスクを必要とする Intel プロセッサーのパフォーマンスイベントが期待どおりに機能するようになりました。

BZ#1200808

以前は、イベントのデフォルトのユニットマスクの名前が 11 文字を超えると、OProfile は名前を 11 文字に切り捨てていました。その結果、切り捨てられたユニットマスク名を使用すると、OProfile はユニットマスクを見つけることができず、エラーメッセージを返していました。今回の更新で、OProfile が長いユニットマスク名を正しく処理し、上記の問題は発生しなくなりました。

BZ#1202727

operf、ocount、および opjitconv ユーティリティーは、内部目的で POSIXLY_CORRECT 環境変数を設定します。この更新より前は、OProfile はこの環境変数を以前の状態に戻さないため、プロファイリングされたタスクに影響を与える可能性がありました。そのため、rpm rebuilds など、変数が設定されている場合に、プロファイルが異なるプロファイルタスクでは、想定どおりに機能しませんでした。このバグは修正され、POSIXLY_CORRECT のubuntu の使用は、プロファイル化されたタスクに影響を与えなくなりました。

Enhancement

BZ#1144235

ubuntu プロファイルツールには、チップ(SoC)上の Intel Atom C2XXX および Intel Atom E38XX システムに対する Intel Silvermont イベントのサポートが追加されました。これにより、ユーザーは Rete を使用して Intel Silvermont 固有のパフォーマンスの問題を調査できます。

セキュリティーの修正

CVE-2015-1867

Pacemaker、クラスターリソースマネージャー、特定の状況で追加されたノードを評価する方法に欠陥が見つかりました。読み取り専用アクセス権が割り当てられたユーザーは、既存のその他のロールを自身に割り当てたり、他のユーザーにも権限を追加したりする可能性があります。

バグ修正

BZ#1198638

競合状態が原因で、正常にシャットダウンするノードは時々にクラスターに再度参加することが困難でした。その結果、ノードがオンラインになり、クラスターによってすぐにシャットダウンされる可能性がありました。このバグは修正され、shutdown 属性が正しくクリアされるようになりました。

BZ#1205292

この更新より前は、Red Hat Enterprise Linux 6.6 へのシステム更新後に、Pacemaker ユーティリティーが attrd デーモンが予期せず終了していました。このバグは修正され、Pacemaker の起動時に attrd がクラッシュしなくなりました。

BZ#1207621

以前は、Pacemaker ユーティリティーのアクセス制御リスト(ACL)は、読み取り専用の権限で Cluster Information Base (CIB)へのロールの割り当てが許可されていました。この更新により、ACL が適用され、書き込みパーミッションなしでユーザーがバイパスできなくなるため、このバグが修正されました。

BZ#1208896

この更新以前は、pacemaker ユーティリティーが使用されたときに ClusterMon (crm_mon)ユーティリティーは、"-E" パラメーターを使用してクラスター情報ベース(CIB)を監視する外部エージェントスクリプトをトリガーしませんでした。このバグを修正するためのパッチが提供され、"-E" パラメーターを使用すると、crm_mon がエージェントスクリプトを呼び出すようになりました。

バグ修正

BZ#889545

以前は、pam_passwdqc の man ページには、パスワードの最小長と複雑さの関係について不明な説明が含まれていました。その結果、この PAM モジュールのユーザーは、man ページを読み取ると、十分に安全なパスワードの実際の要件が誤って解釈される可能性があります。今回の更新により、さまざまな長さに必要なパスワードの複雑性の詳細は man ページで提供され、その結果、ドキュメントがあいまいになりました。

Enhancement

BZ#831752

Intel Core および Intel Xeon v3 ファミリープロセッサー、および特定の Intel Pentium および Intel Celeron ファミリープロセッサーのサポートが PAPI に追加されました。その結果、開発者はこれらのプロセッサーを使用するアプリケーションで PAPI を使用できるようになりました。この機能は、PAPI のバージョン 5 にのみ追加されていることに注意してください。互換性のためにパッケージに含まれる PAPI 4 ライブラリーでは、これらのプロセッサーはサポートされないままになります。

バグ修正

BZ#1189328

mpath などのデバイスマッパーデバイスで操作中に作成されたパーティションは、予想よりも小さくなる可能性があります。今回の更新で、デバイスマッパーライブラリーと通信するときに、ネイティブデバイスのセクターサイズを 512 セクターサイズに変換するように部分が変更されました。その結果、パーティションは上記の状況で正しいサイズで作成されます。

BZ#1180683

以前は、parted は、バックアップ GUID パーティションテーブル(GPT)ヘッダーが欠落しているか、ディスクの最後にある予想される場所にありなかったディスクまたはディスクイメージを正しく処理しませんでした。この状況は、ディスクが最初に作成されたときよりも短い、または長いディスクで発生する可能性があります。その結果、parted は突然終了するか、ユーザーが問題を修正してそのことを促す可能性がありました。GPT バックアップヘッダー処理を修正するために、パッチが適用されました。ユーザーが、上記のシナリオで問題を解決するよう部分に指示すると、パートは成功するようになりました。

バグ修正

BZ#1158681

新しいカーネルメトリクス：メモリー、vCPU、デバイスマッパー、nfs4.1 操作、より多くの cgroup メトリクス

• 新しいパフォーマンスメトリックドメインエージェント(PMDA): NVIDIA、Linux、389 Directory Server、ハードウェアイベントカウンター、CIFS、アクティブMQ
• 新しい vCPU および MemAvailable pmchart ビュー
• 新しい pmiostat、pcp-dmcache、pcp2graphite、ganglia2pcp ツール
• イベントのタイムスタンプをナノ秒で解決
• pmParseUnitsStr （）関数が Performance Metrics Application Programming Interface (PMAPI)に追加されました。
• Performance Metrics Web Daemon (pmwebd)に追加された ACAO ヘッダー JSON 応答
• pmie 言語へのルールセット拡張
• Python v3 および Python API 拡張機能のサポート
• 日次アーカイブの xz 圧縮のサポート
• 長い形式のコマンドラインオプションのサポート
• libpcp でのアクティブなサービスプローブのサポート
• 新しい sysstat バージョンと sar2pcp の修正のサポート
• pmatop ユーティリティーでの PCP アーカイブの直接サポート

BZ#1196540

以前は、IBM S/390 プラットフォームでは、/proc/cpuinfo ファイルの予期しないフォーマットが PCP Linux カーネル PMDA に悪影響を与えていました。その結果、特定のプロセッサー関連のパフォーマンスメトリックにアクセスすると、エージェントはセグメンテーション違反で予期せず終了しました。今回の更新で、IBM S/390 用の /proc/cpuinfo の解析が修正され、このプラットフォームですべての PCP プロセッサーメトリックが完全に機能し、堅牢になりました。

BZ#1131022

以前は、PCP pmlogger デーモンの起動スクリプトは、pmlogger サービスが "chkconfig on" コマンドで有効になっている場合にのみデーモンを起動していました。その結果、サービスが無効になっているときにデーモンをサイレントに起動できませんでした。今回の更新により、起動スクリプトに追加の診断が追加されました。pmlogger サービスを無効にして pmlogger デーモンを起動しようとすると、ユーザーには適切に通知され、問題を修正する方法がわかりました。

Enhancement

BZ#1193524

バイナリーファイルが有効な UTF-8 シーケンスではない場合に、grep ユーティリティーが PCRE から一致する障害から回復できるように、以下の機能が PCRE ライブラリーにバックポートされました。

- pcre_exec （）関数は、範囲外の開始オフセット値をチェックし、PCRE_ERROR_NOMATCH エラーを報告する代わりに、PCRE_ERROR_BADOFFSET エラーを報告するようになりました。

- pcre_exec （）関数が無効な UTF-8 サブジェクト文字列で UTF-8 一致を実行し、ovector 配列引数が十分に大きい場合、無効な UTF-8 バイトの最初のサブジェクト文字列のオフセットと詳細な理由コードが ovector 配列要素で返されます。さらに、pcretest ユーティリティーを使用して、これらの詳細を表示できるようになりました。今回の更新で、pcre_compile （）関数は、最後のバイトではなく、最初の無効な UTF-8 バイトを報告することに注意してください。

また、公開用途を目的としていない pcre_valid_utf8 （）関数の署名が変更されている点に注意してください。最後に、pcretest は、エラーコードに人間が判読できるエラーメッセージを追加することに注意してください。

バグ修正

BZ#1031141

ユーザーが重複したリソース操作を追加した後、Pacemaker 設定が無効になりました。今回の更新で、pcs が操作を追加せず、代わりに同じ操作がすでに存在することをユーザーに通知するようになりました。

BZ#1160359

ユーザーは、Red Hat Enterprise Linux 7 ホストで実行している pcsd Web UI を使用して Red Hat Enterprise Linux 6 クラスターを管理できませんでした。バグは修正され、この状況でクラスターを追加したり、作成したりできるようになりました。なお、Web UI の pcsd は、引き続き Red Hat Enterprise Linux 6 ホストでは利用できません。

BZ#1174244

ユーザーが STONITH デバイスまたはリソースの一覧を表示した後には、その場所は含まれませんでした。現在、リストには、デバイスおよびリソースの場所も含まれます。

BZ#1174793

"pcs resource describe" コマンドは、リソースエージェントの説明を 1 行に表示しました。そのため、読み取ることは困難です。現在、pcs はエージェントで定義されている説明を表示します。

BZ#1174798

フェンスエージェントに関する情報を表示した後、pcs はオプションの説明を表示しましたが、フェンスエージェント自体の説明は表示しません。今回の状況では、フェンスエージェントの説明も表示されます。

BZ#1174801, BZ#1184763

以前は、pcs がクラスターノードを一度に 1 つずつ停止していたため、クラスターリソースがあるノードから別のノードへと移動していました。その結果、stop 操作が完了するまでに時間がかかりました。また、プロセス中にクォーラムが失われると、ノードがフェンシングする可能性があります。今回の更新で、pcs はノードを同時に停止し、リソースが無期限に移動しないようにし、停止操作を迅速化します。さらに、ノードを停止するとクラスターがクォーラムを失う場合に、pcs が警告を出力します。この状況でノードを停止するには、--force オプションを追加する必要があります。

BZ#1184922, BZ#1187488

pcs status --full コマンドは、ノードの属性と移行の概要を出力しませんでした。同様に、pcs config コマンドでは、リソースおよび操作のデフォルト値が表示されませんでした。どちらのコマンドも変更され、この情報が表示されるようになりました。

BZ#1190167

ユーザーがクローンリソースを禁止または消去しようとすると、pcs はリソースが存在しないことを示すエラーメッセージを表示しました。今回の更新で、pcs はクローンリソースの使用 および消去に対応します。pcs resource ban コマンドは、クローンされたリソースに制約を作成し、pcs resource clear コマンドはその制約を削除します。

BZ#1191898

ユーザーデータグラムプロトコルユニキャスト(UDPU)トランスポートを使用する場合、ノードを正常に追加または削除するには、クラスターを再起動する必要があります。以前は、pcs はこの要件についてユーザーに通知しませんでした。現在、pcs はユーザーにクラスターを再起動するよう警告します。

BZ#1193433

ユーザーがクラスターからノードを削除すると、クラスターは削除されたノードをフェンスする可能性がありました。今回の更新で、ノードを追加または削除した後に pcs が cluster.conf ファイルを再読み込みするように変更され、このバグが修正されました。

機能拡張

BZ#1121769

この更新では、Redundant Ring Protocol (RRP)を設定し、Corosync オプションの設定がサポートされるようになりました。ユーザーは RRP を使用してクラスターを設定し、corosync オプションを設定できるようになりました。

BZ#1171312

clufter パッケージが pcs 依存関係としてインストールされるようになりました。clufter をインストールすると、pcs は cluster.conf ファイルから CMAN 設定をインポートし、Pacemaker 設定に変換できます。

バグ修正

BZ#956530

以前は、ユーザーが設定メニューの入力時にカードリーダーがオフラインになった後、pcsc-lite クライアントは、特定の状況でデッドロック状態になり、そこから回復することができませんでした。クライアントがリリースされていないミューテックスを待機しないように、基になるソースコードが変更されました。その結果、クライアントは上記の状況ではデッドロック状態には入りず、オンラインに戻った後にリーダーに再度アクセスできます。

BZ#1171118

pcsc-lite-openct パッケージがアンインストールされているシステムでは、pcscd サービスが予期せず終了したか、強制終了された場合は、pcscd の再起動と停止が失敗する。今回の更新で、pcscd が予期せず終了するか、または強制終了された後、pcscd.comm および pcscd.pub ファイルが削除されるようになりました。その結果、上記の状況で pcscd を再起動または停止し、期待どおりに再起動できます。

バグ修正

BZ#1104827

SDBM_File Perl モジュールを使用して SDBM データベースに変数に変数のない後、スレッドを作成すると、Perl スレッドを終了すると Perl インタープリターが予期せず終了しました。今回の更新で、DB_File、GDBM_File、NDBM_File、ODBM_File、および SDBM_File Perl モジュールが変更され、オブジェクトを作成したスレッドコンテキストからのみオブジェクトを破棄するようになりました。その結果、前述のファイルオブジェクトのデストラクターはスレッドセーフになりました。ただし、オブジェクトの他の操作は、他のスレッドから呼び出すことができないことに注意してください。一般的に、DB_File、GDBM_File、NDBM_File、ODBM_File、および SDBM_File Perl モジュールはスレッドセーフのままになります。

BZ#1086215

以前は、Module::Plugable Perl モジュールを使用して、1 文字の名前付きパッケージでプラグインを見つけることは正しく機能しませんでした。そのため、既存の単一文字名パッケージが見つかりませんでした。アップストリームパッチが適用され、単一文字名のプラグインは Module::Pluggable に正しく配置されるようになりました。

BZ#1161170

以前は、perl-suidperl パッケージは、明示的な package-version 要件がなく、perl-libs サブパッケージの libperl.so ライブラリーを使用していました。これにより、たとえば、アップグレード中に問題が発生する可能性があります。今回の更新で、同じバージョンの perl-libs への明示的な依存関係が perl-suidperl に追加されました。これにより、システム上で互換性のない perl-suidperl パッケージおよび perl-libs パッケージが偶発に混在することを回避できます。

BZ#1025906

Perl Locale::Maketext ローカリゼーションフレームワークは、バックスラッシュ(\)文字を適切に変換しませんでした。これにより、Perl はバックスラッシュを double (\\)としてレンダリングしました。今回の更新で、Perl はリテラル出力文字列のバックスラッシュをエスケープしなくなり、正しく表示されるようになりました。

BZ#1184194

この更新より前は、Archive::Tar Perl モジュールは PAX ヘッダーを人工的な PaxHeader サブディレクトリーに展開し、抽出したツリーがアーカイブされたツリーとは異なる原因となっていました。その結果、cpan クライアントによる Comprehensive Perl Archive Network (CPAN)ディストリビューションのインストールに失敗します。このバグは修正され、拡張属性でアーカイブした CPAN ディストリビューションをインストールできるようになりました。

BZ#1189041

以前は、対応するクラスで SHA::Digest メソッドが呼び出されると、Perl はセグメンテーション違反で予期せず終了していました。アップストリームパッチが適用され、クラスで SHA::Digest メソッドを呼び出して、Perl クラッシュではなく適切な例外が発生します。

BZ#1201191

以前は、スレッドの以前の問題により、Perl 仕様ファイルの IBM S/390、IBM System z、または PowerPC プラットフォームに対して、いくつかのテストがブロックされていました。そのため、perl パッケージを構築する際に、元の問題が発生しなくなった場合でも、このプラットフォームで内部テストは実行されませんでした。現在、perl パッケージをビルドすると、テストがサポート対象のすべてのアーキテクチャーで実行されるようになりました。

バグ修正

BZ#905836

以前は、libvirt-tck ユーティリティーを使用して仮想 CPU (VCPU)情報を表示すると、予想される診断の一部のみが出力されました。今回の更新で、get_vcpu_info （）関数が VCPU フラグを適切に処理し、libvirt-tck が予想される情報の全範囲を表示するようになりました。

BZ#908274

今回の更新以前は、libvirt-tck ユーティリティーを使用して、親のないノードデバイスの親デバイスを見つけると、誤って "libvirt error code: 0" エラーメッセージが返されていました。これで、virNodeDeviceGetParent （）関数が、親デバイスが存在しない場合に NULL を返すようになり、エラーメッセージが表示されなくなります。

バグ修正

BZ#662770

自動検出の問題により、pinentry ラッパーがインストールされていなくても、pinentry-gtk プログラムを起動しようとした場合もあります。pinentry ラッパーが更新され、問題が発生しなくなりました。

BZ#704495

UTF-8 サポートがないため、pinentry getpin コマンドが使用されたときに出力の説明テキストはスクランブルされました。名前に ASCII 以外の文字が含まれる鍵で、pinentry getpin コマンドと呼ばれる GNU Privacy Guard ユーティリティーを使用すると、同じ問題が発生する可能性があります。このバグを修正するために、適切な UTF-8 変換が実行され、pinentry-curses バイナリーファイルが、幅広い文字サポートを含む ncursesw ライブラリーに対してコンパイルされています。その結果、出力テキストが正しくなりました。

セキュリティーの修正

CVE-2012-2662

Red Hat Certificate System Agent および End Entity ページで、複数のクロスサイトスクリプトの不具合が発見されました。攻撃者は、この脆弱性を使用して、Certificate System の Web インターフェイスを使用して、被害を受けたクロスサイトスクリプティング(XSS)攻撃を実行することができます。

バグ修正

BZ#1171848

以前は、pki-core では、389-ds-base パッケージと通信するために SSL バージョン 3 (SSLv3)プロトコル範囲が必要でした。ただし、389-ds-base への最近の変更により、SSLv3 のデフォルト使用が無効になり、TLS プロトコルなどのセキュアなプロトコルでサポートされるプロトコル範囲を使用して適用されていました。その結果、Identity Management (IdM)サーバーのインストール時に CA をインストールできませんでした。今回の更新で、この問題を修正するために CA の server.xml ファイルに TLS 関連のパラメーターが追加され、ipa-server-install コマンドを実行すると、CA が期待どおりにインストールされるようになりました。

BZ#1212557

以前は、OpenJDK バージョン 1.8.0 がインストールされているシステムでスタンドアロン CA を設定しようとすると、ipa-server-install スクリプトが失敗していました。pki-core ビルドおよびランタイムの依存関係が、スタンドアロンの CA 設定中に OpenJDK バージョン 1.7.0 を使用するように変更されました。その結果、この状況では ipa-server-install が失敗しなくなりました。

BZ#1225589

CA サービスを実行している Red Hat Enterprise Linux 6 レプリカからの Red Hat Enterprise Linux 7 レプリカの作成は、最初の Red Hat Enterprise Linux 6 CA マスターが削除された IdM デプロイメントで失敗することがあります。これにより、Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 への移行など、状況によっては問題が発生する可能性があります。このバグは、サブシステムユーザーが最初の CA サーバーのインストール時に作成された IdM の以前のバージョンの問題が原因で発生していました。このバグは、初期マスターとともに削除されました。この更新により、上記の状況でサブシステムユーザーを復元する restore-subsystem-user.py スクリプトが追加され、管理者がこのシナリオで Red Hat Enterprise Linux 7 レプリカを作成できるようになりました。

BZ#1144188

複数の Java import ステートメントはワイルドカード引数を指定します。ただし、Red Hat Enterprise Linux 6 メンテナンスブランチに含まれるソースコードの import ステートメントにワイルドカード引数を使用しているため、名前空間の競合により、不適切なクラスが使用される可能性が見つかりました。その結果、Token Processing System (TPS)再構築テストが失敗し、エラーメッセージが表示されます。今回の更新では、影響を受けるすべての領域に完全な名前のクラスを指定してバグに対応し、TPS 再構築テストが失敗しなくなりました。

BZ#1144608

以前は、TPS 再ビルドテスト中に、pki-core が CMake ビルドシステムの再ベースバージョンを使用してビルドできませんでした。pki-core ビルドファイルが、CMake のリベースバージョンに準拠するように更新されました。これにより、上記のシナリオで pki-core が正常にビルドされます。

バグ修正

BZ#995778

以前は、GUI は必要ありませんが、sepolgen ユーティリティーは policycore-gui パッケージの一部でした。今回の更新で、sepolgen が policycore-python パッケージの一部になりました。

BZ#1111999

LANG 環境変数がUS/English 以外の言語に設定されている場合、audit2allow -br コマンドが正しく動作しませんでした。基礎となるソースコードが変更され、audit2allow -br が期待どおりに機能するようになりました。

BZ#1113083

検証モードまたはチェックモードで fixfiles ユーティリティーを実行すると、修正ファイルが想定されていない場合でも、特定の SELinux コンテキストが変更されていました。今回の更新で、前述のモードでの実行時に変更するのではなく、誤った SELinux コンテキストのみを出力するように修正ファイルが変更されました。

BZ#1122850

以前は、semanage ユーティリティーは、現在使用されている SELinux ポリシーに加えられた変更のみを一覧表示していました。たとえば、targeted ポリシーが読み込まれ、MLS (Multi-Level Security)ポリシーに変更が加えられると、変更が正しく適用された場合でも、semanage -S mls -o コマンドはすべての変更を一覧表示しませんでした。このバグは修正され、semanage は期待どおりにすべての変更を一覧表示するようになりました。

BZ#1148062

Red Hat Enterprise Linux 6.7 の semanage コマンドには、新しい "noreload" オプションが実装されました。ただし、semanageRecords （）関数にリロードの初期化がないため、policycoreutils-python ユーティリティーに含まれる seobject python モジュールを使用してブール値を直接有効にできませんでした。このバグは修正され、ユーザーは seobject python モジュールを使用してブール値を正しく設定できるようになりました。

バグ修正

BZ#1115649

この更新以前は、polkit パッケージのアップグレード後に polkitd デーモンが再起動されず、パッケージのアンインストール後にも停止されていました。このバグを修正するために、スクリプトレットが polkit パッケージに追加されました。polkit パッケージを、このエラータに同梱されているバージョンにアップグレードしても、polkitd デーモンは再起動されません。デーモンは、このバージョンからの今後のアップグレード後に再起動します。

BZ#1130156

以前は、pkcheck --help の出力がサポートされる引数と予想される形式と一致しませんでした。今回の更新で、pkcheck --help から実装されていない "--list-temp" オプションが削除され、テキストのその他の側面も修正されます。

Enhancement

BZ#11248741

drmgr コマンドは、最後の CPU を誤って削除することはできなくなりました。* 同時マルチスレッド(SMT)での最大 8 つのスレッドのサポートが追加されました。* Open Firmware (OF)デバイスパスを virtio SCSI デバイスの論理デバイスパスに変換できます。*snap コマンドは、平文のパスワード情報の可能性も警告するようになりました。

セキュリティーの修正

CVE-2014-4038,CVE-2014-4039

ppc64-diag ユーティリティーによって、特定の一時ファイルが作成される方法に、セキュリティーが保護されていない複数の一時ファイル使用の不具合が見つかりました。ローカル攻撃者は、これらの欠陥のいずれかを使用して、シンボリックリンク攻撃を実行し、ppc64-diag を実行しているユーザーの権限を持つユーザーの任意ファイルを上書きする可能性があります。または、一時ファイルから機密情報を取得する可能性があります。

バグ修正

BZ#1139655

以前は、explain_syslog コマンドおよび syslog_to_svclog コマンドは、No such file or directory エラーメッセージで失敗していました。今回の更新により、ppc64-diag パッケージが message_catalog ディレクトリーの場所を正しく指定し、上記のエラーが発生しなくなりました。

BZ#1131501

この更新より前は、/var/lock/subsys/rtas_errd ファイルは SELinux の "system_u:object_r:var_lock_t:s0" というラベルを誤って付けていました。この更新により、SELinux ラベルが system_u:object_r:rtas_errd_var_lock_t:s0 に固定されます。

バグ修正

BZ#906912

以前は、radius クライアント設定ファイルに PPP radius プラグインによって認識されないオプションが含まれている場合、エラーが報告されていました。このバグを修正するために、設定ファイルのパーサーが修正され、認識されないオプションが省略されました。現在、不明なオプションは、エラーを報告せずにスキップされるようになりました。

BZ#922769

今回の更新以前は、ppp パッケージが誤って logrotate パッケージが必要でした。そのため、logrotate パッケージを簡単にアンインストールできませんでした。このバグを修正するために、logrotate パッケージのハードな依存関係が削除され、logrotate パッケージを簡単にアンインストールできるようになりました。

BZ#1197792

以前は、pppol2tp プラグインが使用され、PPPD コマンドラインにダンプオプションが含まれていた場合、Point-to-Point Protocol デーモン(PPPD)が予期せず終了していました。このバグを修正するために、pppol2tp プラグインに渡されるファイル記述子のテキスト表現を含む変数の初期化が修正されました。今回のリリースより、変数が適切に初期化され、このシナリオで PPPD がクラッシュしなくなりました。

Enhancement

BZ#815128

ppp パッケージには、依存するパッケージでカーネルモード l2tp を使用できるように、2 つの新しいプラグイン(pppol2tp.so と openl2tp.so)が追加されました。その結果、xl2tpd および openl2tpd による in-kernel pppo-l2tp プロトコル実装を活用できるようになりました。

バグ修正

BZ#1163404

以前は、環境が setenv （）呼び出しで変更された後に、dlopen （）呼び出しで読み込むと、libproc ライブラリーの動作が信頼できないことがありました。その結果、libproc で無効なメモリーアクセスエラーが発生する可能性があります。今回の更新で、find_elf_note （）関数は、/proc/self/auxv ファイルの解析に基づいて異なるより安全な方法を使用して補助ベクトル値を取得し、前述の問題は発生しなくなります。

BZ#1172059

この更新より前は、stat2proc （）関数は空のファイルを正しく処理しませんでした。その結果、空の stat ファイルが処理されると、ps ユーティリティーがセグメンテーションフォールトで予期せず終了する可能性があります。空の stat ファイルの処理が修正され、このシナリオで ps がクラッシュしなくなりました。

機能拡張

BZ#1120580

今回の更新で、sysctl ユーティリティーに新しい--systemオプションが導入されました。このオプションにより、sysctl はシステムディレクトリーのグループから設定ファイルを処理できます。

BZ#993072

新しい "-h" オプションが "free" ユーティリティーに追加されました。このオプションの目的は、ユニットを含む 3 桁の短い表現に自動的にスケーリングされたすべての出力フィールドを表示することです。これにより、出力を便利に判読できます。

BZ#1123311

w ユーティリティーには、"FROM" コラムにホスト名の代わりに IP アドレスを表示する -i オプションが追加されました。

バグ修正

BZ#812444

以前は、pulseaudio (1)の man ページには PulseAudio cookie ファイルが記載されていませんでした。その結果、ユーザーがオーディオサーバーに接続する必要があるが、別のユーザーとクッキーでログインした場合、接続に失敗し、ユーザーが何をすべきかをドキュメントからは明確ではありませんでした。今回の更新で、man ページが改善され、必要な手順を確認できるようになりました。

BZ#1111375

この更新以前は、PulseAudio "combine" モジュールを使用するときに、オーディオレイテンシーの少ないアプリケーションが原因で、低品質のサウンドが発生していました。今回の更新により、combine モジュールは、固定された高オーディオレイテンシーではなく、自動的に調整されたオーディオレイテンシーを使用するようになりました。その結果、combine モジュールでレイテンシーの低いアプリケーションを使用する場合に、サウンドの品質に影響がなくなりました。

BZ#1110950

以前は、PulseAudio を使用する際の起動プロセス中に以下の警告メッセージが表示されていました。

udevd[PID]: GOTO 'pulseaudio_check_usb' には '/lib/udev/rules.d/90-pulseaudio.rules' で一致するラベルがありません。

この問題の原因となった無効なパラメーターは PulseAudio udev ルールから削除され、警告メッセージは表示されなくなります。

バグ修正

BZ#995443

以前は、pykickstart ユーティリティーは、anaconda で必要な "--size=" オプションおよび "-grow=" オプションの両方を同時に使用することを強制しませんでした。その結果、インストールを完了できず、以下の誤解を招くエラーメッセージが返されました。

エラー : エクステントなしで新しい論理ボリュームを作成できない

今回の更新により、pykickstart は --size=" と --grow=" の両方を同時に使用して強制し、インストールが失敗した場合は、キックスタートファイルの変更が必要である明確なメッセージが表示されます。

機能拡張

BZ#1017061

今回の更新で、autopart ユーティリティーとpart ユーティリティーを同時に使用するときに返されるエラーメッセージの誤字エラーが修正されました。

BZ#1182624

clearpart コマンドが、Linux ディスクレイアウトの直接アクセスストレージデバイス(LDL DASD)を Compatible Disk Layout Disk Layout (CDL)形式で再フォーマットするよう anaconda に指示する "-cdl" オプションをサポートするようになりました。このオプションは、System z プラットフォームでのみ役に立ちます。

セキュリティーの修正

CVE-2014-1912

socket.recvfrom_into （）関数が指定されたバッファーのサイズの確認に失敗したことが検出されました。これにより、関数のサイズが不十分なバッファーで呼び出されると、バッファーオーバーフローが発生する可能性がありました。

CVE-2013-1752

ネットワークプロトコル(httplib、smtplib など)を実装する複数の Python 標準ライブラリーモジュールが、サーバーの応答サイズの制限に失敗したことが検出されました。悪意のあるサーバーにより、影響を受けるモジュールの 1 つを使用するクライアントが過剰な量のメモリーを消費する可能性があります。

CVE-2014-4650

CGIHTTPServer モジュールが URL エンコードされたパスを誤って処理したことを検出しました。リモートの攻撃者は、この脆弱性を使用して、cgi-bin ディレクトリー以外のスクリプトを実行したり、cgi-bin ディレクトリーにあるスクリプトのソースコードを公開したりできます。

CVE-2014-7185

buffer （）関数がオフセットとサイズの引数を処理する方法で、整数オーバーフローの不具合が見つかりました。攻撃者がこの引数を制御できると、この脆弱性を使用してアプリケーションメモリーの一部を開示したり、クラッシュしたりする可能性があります。

バグ修正

BZ#1154776

証明書での信頼属性の設定のサポートが追加されました。* SSL バージョン範囲 API のサポート、SSL 暗号スイートに関する情報、および SSL 接続に関する情報を追加しました。

バグ修正

BZ#1172407

以前は、virt-manager ツールは、ブリッジインターフェイスを定義するときに無効な XML コードを生成していました。そのため、ブリッジデバイスを作成できませんでした。この更新により、virt-manager は正しい定義 XML を生成し、ブリッジデバイスの作成に失敗しなくなりました。

BZ#1167998

この更新が行われる前は、ユーザーからの入力が virt-install ユーティリティーによって誤って検証されていました。その結果、sparse 以外の LVM を作成できず、エラーメッセージが表示されました。この更新により入力検証が修正され、virt-install は期待どおりにスパース以外の LVM を作成できるようになり、エラーが発生しなくなりました。

BZ#1167072

以前は、プロセッサータイプをホストからコピーに変更すると、移行でサポートされていない拡張機能も含めて、すべての CPU 拡張機能が手動でコピーされていました。その結果、再起動後に "virsh save" コマンドを実行すると、エラーメッセージが表示されました。今回の更新で、"--cpu=host" オプションを指定すると、"cpu mode='host-model' オプションが使用されるようになりました。その結果、サポートされていない拡張機能は手動でコピーされず、上記のエラーは発生しなくなります。

バグ修正

BZ#1115340

Red Hat Enterprise Linux 6 ホストで実行している KVM 仮想マシン(VM)がディスクに一時停止されてから復元されると、VM のシステム時間がホストのシステム時刻と正しく同期されなかった場合がありました。今回の更新で、kvm-clock ユーティリティーが変更され、ホスト上のシステム時間が確実に読み取られるようになり、上記の問題は発生しなくなります。

機能拡張

BZ#1149120

システムのシャットダウンプロセス中に qemu-kvm トレースイベントのサポートが追加されました。これにより、ユーザーは "virsh shutdown" コマンドまたは virt-manager アプリケーションが発行するシステムのシャットダウン要求に関する詳細な診断を取得できるようになります。これにより、シャットダウン中に KVM ゲストの問題をデバッグする機能が強化されます。

BZ#1040220

qemu-img ツールは、preallocation=full オプションが指定されている場合、fallocate （）システムコールを使用するようになりました。これにより、preallocation=full を使用すると事前割り当て操作が大幅に速くなり、新しいゲストの準備に必要な時間が短縮されます。

BZ#1186914

今回の更新により、qemu-kvm はホストファイルの cache=directsync オプションをサポートし、仮想ディスクで directsync キャッシュモードを使用できるようになりました。"cache=directsync" を使用すると、ゲストに対する書き込み操作は、データがディスクに安全に存在する場合にのみ完了します。これにより、ゲスト間のファイルトランザクション中のデータセキュリティーが向上します。

バグ修正

BZ#1007785

リグレッションにより、クラスター化された Global File System 2 (GFS2)の同期が不完全になりました。その結果、タイムアウトしたネットワークを介したクォータ制限のクエリーを実行します。今回の更新で、rpc.rquotad サーバーでの無期限化を防ぐために、クォータ値をネットワーク形式に変換するアルゴリズムが変更されました。その結果、クォータ値が負のファイルシステムでは、リモートプロシージャコールクォータサービスが応答しなくなることがなくなりました。

BZ#1009397

以前は、ローカルシステムが完全に同期されていない場合にクラスター化された GFS2 ファイルシステムのディスク使用量を一覧表示するため、報告されたディスク使用量がファイルシステムの容量を超えていました。ディスク使用量とクォータは署名済み番号として出力され、ディスク使用量アカウンティングの負の変動がクラスター化されたファイルシステムの同期されていないノードで発生するという事実を反映しています。その結果、負のディスク使用量の値は適切に報告されます。

BZ#1024097

今回の更新以前は、rpc.quotad サーバーは、64 を超えるファイルシステムを自動マウントしたサーバーに、ネットワーク経由でディスククォータをクエリーする際に、Too many autofs マウントポイントで終了していました。このバグを修正するために、自動マウントされたファイルシステムを列挙するコードが変更されました。自動マウントされたファイルシステムを抑制するクォータツールは、その数に制限を設けなくなりました。

バグ修正

BZ#1159331

InfiniBand (IB)モジュールがロードされたシステムをシャットダウンすると、システムはシャットダウンプロセス中に Failed to unload ib_addr というエラーメッセージが表示されます。この更新では、IB モジュールがアンロードされる順序が修正され、エラーメッセージが表示されなくなりました。

BZ#1151159

今回の更新以前は、nfs-rdma サービスをシャットダウンすると失敗し、以下のメッセージがコンソールに出力されます。

rdma サービスを停止する前に、nfs-rdma サービスを停止します。

nfs-rdma シャットダウン手順の順序が修正され、nfs-rdma が正しく停止するようになりました。

BZ#1006988

以前は、mstvpd プログラムは、使用するとセグメンテーション違反で失敗していました。今回の更新で、基礎となるコードが修正され、問題が発生しなくなりました。

Enhancement

BZ#1186498

ifup-ib スクリプトは、データグラムモードで実行されている IP over InfiniBand (IPoIB)デバイスの最大伝送単位(MTU)量を 2044 に制限します。これは修正され、新しい制限は InfiniBand ファブリックの基礎となる MTU に依存するようになりました。その結果、InfiniBand ファブリック MTU も 4092 の場合、IPoIB デバイスは最大 4092 の MTU を持つことができるようになりました。

Enhancement

BZ#1080012

redhat-release-server パッケージには、ベータ、HTB、および GA の製品 ID に関連するデフォルトの製品証明書が含まれるようになりました。これらの証明書は、subscription-manager ユーティリティーが使用します。

バグ修正

BZ#842761

今回の更新以前は、redhat-rpm-config パッケージが提供する find-requires.ksyms スクリプトは、kabi-whitelists パッケージが提供するカーネルアプリケーションバイナリーインターフェイス(ABI)参照ファイルを見つけることができませんでした。その結果、カーネルモジュール(*.ko)を含む RPM を構築すると、KERNEL ABI COMPATIBILITY WARNING というエラーメッセージが表示され、互換性チェックは実行されませんでした。今回の更新で、カーネル ABI 参照ファイルを正常に配置できるようになり、上記の状況で、カーネルオブジェクトファイルの ABI の互換性を検証できるようになりました。

BZ#1179521

RPM は、依存関係についてのビルドプロセス中にファイルをスキャンし、libmagic によりスクリプトとしてファイルが誤って検出される場合は、RPM が #! 文字列の最初の行を解析してインタープリターを取得します。以前は、ファイルの先頭に #! 文字列が含まれていない場合、RPM はランダムデータを取得する可能性がありました。今回の更新により、RPM 検証プロセスがより徹底され、誤った要件が選択されなくなりました。

BZ#1199983

この更新により、redhat-rpm-config パッケージが rpm-build パッケージの依存関係として追加されました。新しい RPM 仮想提供が system-rpm-config パッケージに追加されました。これにより、サードパーティーのパッケージに依然として置き換えることができながら、rpm-build で system-rpm-config を要求することができます。

バグ修正

BZ#1198411

以前は、redhat-support-lib-python ライブラリーのバグにより、FTP をプロキシーする設定された HTTP プロキシーを介してファイルがアップロードされたときに TypeError: unhashable type エラーメッセージが表示され、addattachment コマンドが失敗していました。そのため、redhat-support-tool が HTTP プロキシーを使用するように設定されていて、-f オプションが addattachment コマンドで使用された場合、添付は RedHat FTP ドロップボックスに送信できませんでした。基礎となる redhat-support-lib-python コードが修正され、redhat-support-tool addattachment -f コマンドが、このシナリオの RedHat FTP ドロップボックスにファイルを正常にアップロードするようになりました。

BZ#1146360

redhat-support-lib-python のバグにより、HTTP プロキシーを使用してファイルがカスタマーポータルにアップロードされると、addattachment コマンドがエラーメッセージ "unknown URL type" に失敗していました。そのため、redhat-support-tool が HTTP プロキシーを使用するように設定されている場合、アタッチメントを追加できませんでした。このバグは修正され、redhat-support-tool addattachment コマンドは HTTP プロキシーを介してファイルをカスタマーポータルに正常にアップロードするようになりました。

BZ#1198616

/rs/case Representational State Transfer (REST)エンドポイントを使用してカスタマーポータルからケース情報を取得する場合、ケースグループ番号は応答に含まれていましたが、ケースグループ名は含まれません。そのため、redhat-support-tool getcase コマンドを使用してケースの詳細を表示すると、ケースグループ番号と名前が表示されませんでした。今回の更新で、/rs/groups エンドポイントへの追加の呼び出しが追加され、redhat-support-tool getcase にケースグループ名が、他のケース情報とともに表示されるようになりました。

BZ#1104722

以前は、redhat-support-tool の保存方法が、エンコードとデコードに関して一貫性がありませんでした。そのため、特定のパスワードを正しくデコードできませんでした。今回の更新で、保存されたカスタマーポータルのパスワードをデコードする方法が、パスワードのエンコード方法と一致し、上記の問題は発生しなくなるようになりました。

バグ修正

BZ#1085109

lvm.sh エージェントは、クラスターノードで表されるタグを正確に検出できませんでした。その結果、別のノードがクラスターに再度参加すると、クラスターノードのアクティブな論理ボリュームが失敗していました。lvm.sh は、タグがクラスターノードを表すかどうかを適切に検出するようになりました。ノードがクラスターに再参加すると、他のノードでボリュームグループが失敗しなくなりました。

BZ#1150702

MySQL リソースによって使用されるファイルシステムが利用できなくなった場合、MySQL エージェントの検証チェックによりリソースが停止しなくなりました。このバグは修正され、前述の場合に MySQL リソースが適切に再起動されるようになりました。

BZ#1151379

クリティカルではないエラーに関する通知が起動時に出力されると、RGManager リソースエージェントは Oracle Database が正常に開始されたことを認識できませんでした。今回の更新で、クリティカルではないエラーを無視するように RGManager の動作が変更され、この状況で Oracle Database サービスが失敗しなくなりました。

BZ#1159805

RGManager ip.sh エージェントが管理するフローティング IPv6 アドレスは、起動時に要求されていないアドバタイズパケットを送信しませんでした。そのため、IP リソースがフェイルオーバーすると、テーブルの更新に約 5 分かかります。パケットが送信されるようになりました。IP アドレスが利用可能であると認識される前に必要な時間を最適化します。

BZ#1161727

ノードでクォーラムが失われると、RGManager ユーティリティーは、起動状態にあるリソースだけでなく、すべてのリソースの緊急停止を実行します。以前は、クラスターから別のノードが分割してクォーラムを失うと、vg_owner が設定されている場合、vg_stop_single （）関数はボリュームグループ(VG)から論理ボリュームマネージャー(LVM)タグを取り除きました。今回の更新で、停止操作を実行するローカルノードが所有者である場合にのみ、LVM エージェントがタグを取り除き、サービスの所有者の LVM タグが削除されても、サービスがクォーラムパーティションの一部として実行されるようになりました。

BZ#1179412

リグレッションにより、更新後に nfsserver に一部の NFS オプションがありませんでした。また、NFS スレッドの数を変更できませんでした。パッチが適用され、番号を変更できるようになりました。

BZ#1181187

クラスターネットワークインターフェイスを監視する際に、IP アドレスとインターフェイスが正しく動作していても、IPaddr2 エージェントが "ERROR: [findif] failed というメッセージを表示することがありました。この更新により、基礎となるコードが修正され、IPaddr2 エージェントはモニター操作中に正確な結果を常に報告します。

BZ#1183148

mysql 以外のユーザーで設定されている場合、MySQL エージェントは機能しませんでした。そのため、パーミッションエラーが原因で MySQL を起動できませんでした。修正が適用され、MySQL が設定済みのユーザーとして起動および実行されるようになりました。

BZ#1183735

特定の状況下では、is_alive （）関数の書き込みテストは、ファイルシステムが失敗したときを適切に検出および報告せず、読み取り専用として再マウントされました。今回の更新でバグが修正され、上記のシナリオで is_alive （）がファイルシステムのステータスを正しく報告するようになりました。

機能拡張

BZ#1096376

Pacemaker の nfsserver エージェントは、設定オプションを介して rpc.statd TCPPORT または UDPPORT を設定するようになりました。

BZ#1150655

nginx リソースエージェントにより、nginx Web サーバーを Pacemaker クラスターリソースとして管理できるようになりました。これにより、nginx Web サーバーを高可用性環境でデプロイする機能が提供されます。

BZ#1168251

resource-agents-sap-hana パッケージは、SAPHanaTopology と SAPHana の 2 つの Pacemaker リソースエージェントを提供するようになりました。これらのリソースエージェントにより、Pacemaker クラスターの設定は、Red Hat Enterprise Linux で SAP HANA スケールアップシステムレプリケーション環境を管理できます。

バグ修正

BZ#1151199

以前は、サービスを再配置する際に、rgmanager ユーティリティーはドメイン内のすべてのノードを使用しようとしました。すべての障害が発生した場合、rgmanager は、ローカルノードがサービスを実行する資格があるかどうか、サービスが起動しているかどうかをチェックせずに、サービスをローカルで再起動していました。したがって、特定の状況では、制限されたドメインのサービスをメンバー以外のノードで起動する可能性があります。今回の更新により、ドメインメンバーでサービスを起動できない場合、サービスは停止状態に戻り、rgmanager は制限されたドメイン外のローカルノードでサービスの起動を試行しなくなりました。

バグ修正

BZ#871028

--server オプションを使用して rhnpush コマンドを実行し、sslCACert 変数が存在しないパスを参照すると、サーバーへの接続が https ではなく http プロトコルを使用した場合でも rhnpush は失敗していました。今回の更新により、rhnpush は必要な場合にのみ CA 証明書を検索するようになり、上記の失敗を防ぎます。

BZ#1003790

以前は、ascii 以外の文字を含むスクリプトを処理すると、rhn_check コマンドは例外を返していました。今回の更新で、rhn_check は想定どおりにシーケンス以外の文字を受け入れるようになりました。

BZ#1036586

オプションを指定せずに rhnpush コマンドを実行すると、コマンドはユーザー認証情報の入力を求められ、その後、オプションの欠落に関する使用法メッセージが表示されます。この更新により、コマンドは認証情報を要求せずに利用可能なオプションを表示します。

BZ#1094776

Red Hat Network Client Tools は、特定のシステムの CPU ソケット情報を適切に計算しませんでした。この更新により、rhn-client-tools は /proc/cpuinfo ファイルを正しく解析し、すべてのシステムに正しい CPU ソケット情報を提供します。

BZ#1147319、BZ#1147322、BZ#1147890、BZ#1147904、BZ#1147916

Red Hat Network Client Tools GUI のさまざまなローカリゼーションで、いくつかのマイナーなバグが修正されました。

BZ#1147425

以前は、Red Hat Subscription Management にすでに登録されているシステムで "firstboot --reconfig" コマンドを実行すると、サービスの選択ページでブート手順に失敗していました。このバグは修正され、登録されたシステムでは例外が発生しなくなりました。

バグ修正

BZ#1187745

以前は、デーモンのステータスや特定の管理タスクなど、クラスターの特定の側面に関する誤った情報が、場合によっては luci アプリケーションサーバーと ccs クラスター設定コマンドによって表示されていました。今回の更新により、ricci デーモンに含まれるサービスモジュールに対するクライアントのリクエストへの応答が再度適切に設定されるようになりました。その結果、luci と ccs がクラスターに関する正しい情報を提供するようになりました。

BZ#1079032

以前は、rgmanager ユーティリティーを使用してゲスト仮想マシン(VM)を無効にすると、2 分後にゲストを強制的にオフにしていました。ただし、Microsoft Windows ゲストがシステムのアップグレードをダウンロードすると、オペレーティングシステム(OS)のシャットダウン時にシステムのアップグレードがインストールされます。その結果、このプロセス中に rgmanager が Windows ゲストを強制的に停止すると、ゲスト OS が破損したり、破棄される可能性があります。この更新により、サーバーをシャットダウンする時間が長くなり、ゲスト OS がシャットダウン前に更新を安全にインストールできるようになりました。

BZ#1156157

この更新より前は、ricci デーモンは廃止され、安全でない SSLv2 接続を受け入れたため、セキュリティーの問題が発生する可能性がありました。この更新により、SSLv2 接続は拒否されます。したがって、このバグが修正されます。

BZ#1084991

認証が終わると、ccs ユーティリティーは再認証の試行をすべて無視していました。そのため、パスワードを使用して再認証を試行するユーザーは、間違ったパスワードを使用した場合でも、エラーメッセージを表示しませんでした。今回の更新により、ccs はパスワードがすでにricci で認証され、パスワードが有効でない場合、ccs はエラーを返します。

BZ#1125954

この更新以前は、ccs ユーティリティーは SIGPIPE シグナルを適切に無視しませんでした。ccs の出力を別のプログラムにパイプ処理すると、別のプログラムが ccs プロセスが解決する前にパイプを閉じた場合に、トレースバックが発生することがあります。ccs は SIGPIPE を適切に無視し、ccs は上記の状況でトレースバックを発行しなくなりました。

BZ#1126872

以前は、ccs ユーティリティーは、cluster.conf ファイルのコメントが services セクションにある場合、適切に処理しませんでした。その結果、サービスを一覧表示するときに、ccs でトレースバックが発生する可能性がありました。今回の更新により、ccs は、解析を試みるのではなく、cluster.conf の services または resources セクションのコメントを無視するようになり、このバグが修正されました。

BZ#1166589

ccs ユーティリティーは、1 つの ccs コマンドで複数の同期またはアクティベーションが実行されないようにしませんでした。その結果、複数の同期とアクティベーションの原因となった複数のオプションを使用してコマンドを実行できました。この更新により、コマンドごとに 1 つの同期またはアクティベーションしか許可されないため、このバグが修正されました。

Enhancement

BZ#1210679

オフライン検証用に ccs ユーティリティーによって使用される ricci パッケージのクラスタースキーマが更新されました。この更新には、リソースパッケージおよびフェンスエージェントパッケージに新しいオプション、rgmanager ユーティリティーおよびフェンスされたクラスターデーモンが含まれます。

バグ修正

BZ#606239

%posttrans スクリプトレットの出力がユーザーに正しく表示されないため、重要なエラーが無視される可能性がありました。今回の更新では、%posttrans スクリプトレットから出力を収集する新しい API が導入されました。これにより、yum ユーティリティーが %posttrans 出力にアクセスでき、ユーザーに表示できるようになりました。

BZ#833427

RPM Package Manager は 4 GB を超えるファイルを持つパッケージをサポートしていませんが、rpm ユーティリティーでは、個別ファイルが 4 GB を超えるソースパッケージの作成が許可されました。このようなパッケージのインストールは、ダイジェスト不一致エラーで失敗していました。rpm では、このようなパッケージの作成が許可されなくなり、上記のインストールに失敗することはなくなりました。

BZ#1040318

特定のアーキテクチャーでは、LONGSIZE タグの値が正しく表示されませんでした。この更新により、これらのアーキテクチャーで LONGSIZE の値がネイティブバイト順序に正しく変換され、正しく表示されるようになりました。

BZ#997774

以前の更新で、%defattr ディレクティブのファイルモードおよびディレクトリーモードパラメーターの動作が変更されました。これにより、以前の動作が予想されたパッケージのビルドが失敗するか、問題が発生しました。ディレクティブが以前の動作に戻り、%defattr が rpmbuild コマンドに潜在的な問題に関する警告が追加されました。

BZ#1139805

rpm ユーティリティーの標準出力がファイルにリダイレクトされ、ファイルシステムが満杯であった場合、rpm はエラーメッセージを書き込まずに失敗していました。rpm は、上記のシナリオが発生した場合に、標準エラー出力としてエラーメッセージを出力するようになりました。

BZ#1076277

rpm ユーティリティーは、IPv6 アドレスと特定のパス形式で指定されたリモート場所をパッケージしてインストールできませんでした。現在、rpm は、IPv6 アドレスで --globoff オプションを自動的に使用し、cURL globbing をオフにして、説明されているシナリオでパッケージを適切にダウンロードしてインストールできるようになりました。

BZ#921969、BZ#1024517

パッケージ内の Perl スクリプトに、use または require 単語を含む here-document として宣言された文字列、またはこれらの単語を含む複数行文字列が含まれている場合は、rpmbuild コマンドを使用して作成されたときに、パッケージに間違った依存関係があった可能性があります。今回のリリースより、use および require の文字列は here-documents および multiline の文字列のキーワードとして無視され、問題が発生しなくなりました。

BZ#993868

以前は、パイプ文字("|")を使用するビルドスクリプトレットは失敗する場合がありました。この更新により、ビルドスクリプトレットで SIGPIPE シグナルのデフォルト処理が適切に設定され、バグが修正されました。

機能拡張

BZ#760793

新しい OrderWithRequires パッケージタグを提供する RPM Package Manager に OrderWithRequires 機能が追加されました。OrderWithRequires で指定されたパッケージがパッケージトランザクションに存在する場合は、対応する OrderWithRequires タグを持つパッケージがインストールされる前にインストールされます。ただし、Requires パッケージタグとは異なり、OrderWithRequires は追加の依存関係を生成しないため、タグで指定されたパッケージがトランザクションに存在しない場合は、ダウンロードされません。

BZ#1178083

%power64 マクロが rpm パッケージに追加されました。このマクロは、%{power64} 文字列を使用して、RPM 仕様ファイルの 1 つまたはすべての 64 ビット PowerPC アーキテクチャーを指定するために使用できます。

バグ修正

BZ#1142415

以前は、CPU をオンラインまたはオフラインすぎるか、あまりにも頻繁に設定できませんでした。ワークロードによっては、sysconfig ファイルのデフォルトのルールにより、悪い動作が発生する可能性がありました。デフォルトの sysconfig ファイルが更新され、cpluplugd 設定ファイルのデフォルトルールが不要な動作の発生を防ぐようになりました。

BZ#1161726

この更新が行われる前は、zFCP デバイスをオンラインに移行するときにチェックされませんでした。その結果、すでにオンラインになっているデバイスのエラーが発生しました。今回の更新により、適切なチェックが追加され、上記の状況ではエラーは発生しなくなります。

BZ#1186407

以前は、統計を含む dasdstat データファイルはシークできませんでした。その結果、dasdstat ツールはエラーメッセージで終了するか、一貫性のないデータを報告していました。この更新により、ファイルのシークを使用せずにデータファイルが読み取られ、dasdstat ツールは、期待どおりに正しい統計を出力します。

BZ#1223722

今回の更新以前は、ziorep ツールは a と b がゼロ以外の状態でデバイス BusIDs "a.b.xxxx" を処理できませんでした。そのため、ziorep ツールは ziomon 設定ファイルを解析できませんでした。ziorep ツールでのデバイス BusID のすべての発生が、可能な値の完全な範囲をサポートするように修正されました。ziorep ツールは、有効なデバイス BusID を使用する設定ファイルを処理できるようになりました。

BZ#1203680

以前は、比較のために Bash 構文が s390.script によって使用されていたため、別のシェルが使用されている場合にエラーが発生する可能性がありました。今回の更新により、値の比較に適した構文が使用され、s390.sh ファイルはすべてのシェルで正しく処理されます。

機能拡張

BZ#1053824

今回の更新で、zipl ブートローダーが新しいバージョンにリベースされ、Linux 初期プログラムロード(IPL)コードの保守性が向上し、ブートローダーにバグ修正と新機能を簡単に含めることができます。

BZ#1053828

この更新により、dasdfmt ツールのパフォーマンスが改善され、DASD (Direct Access Storage Device)フォーマットプロセスの速度が向上します。形式要求のカーネル内部処理が再編成され、Parallel Access Volumes (PAV)機能を使用してフォーマット要求を加速できるようになりました。

BZ#1053829

今回の更新により、lscss ツールで I/O デバイスを一覧表示する際に、検証されたパスマスクが表示されるようになりました。

BZ#1148118

今回の更新で、CUIR (Control Unit Initiated Reconfiguration)のサポートが追加され、lsdasd ツールで DASD デバイスの詳細なパス情報が表示されるようになりました。

BZ#1148126

この更新には、lsqeth コマンドの出力にスイッチポート属性が含まれます。

BZ#1148128

今回の更新で、サポートされるパーティションタイプとして General Parallel File System (GPFS)が fdasd ツールに追加されました。このパーティションタイプは、GPFS ファイルシステム情報を保存するために使用される GPFS ネットワーク共有ディスク(NSD)を含むパーティションを識別します。

BZ#1148744, BZ#1211281, BZ#1211282

dbinfo.sh ツールが拡張され、データ収集を行うディレクトリーと最終的な tar アーカイブが保存されるディレクトリーを指定できるようになりました。今回の更新では、ゲストのネットワーク設定、libvirt、マルチパスの設定、ログなど、収集される情報の範囲も拡張します。

バグ修正

BZ#1117059

列挙グループは、Winbind の ID マッピングを設定して想定どおりに機能しませんでした。Winbind が Active Directory (AD)のグループから GID を取得できなかった場合は、getent group -s winbind コマンドを実行しても出力されません。今回の更新で、getent group -s winbind が、上記の状況でグループを正しく一覧表示するようになりました。

BZ#1138552

以前は、Samba が 60 秒ごとに大量の CPU リソースを消費する可能性がありました。smbd サービスプロセスのプロセスが printcap 設定を再読み取りする方法のメカニズムで、Samba が CPU の消費に定期的な増加しなくなりました。

BZ#1144916

特定の状況では smbclient ユーティリティーを使用して CIFS 共有にアクセスしようとすると失敗する可能性があり、smbd サービスは、ユーザーが正しいパスワードを提供していても LOGON_FAILURE として試行を記録していました。この問題は修正され、smbclient を使用した CIFS 共有へのアクセスが期待どおりに機能するようになりました。

BZ#1163383

"net ads join -k" コマンドを実行すると、/etc/krb5.keytab ファイルに既存のキータブエントリーが含まれている場合にセグメンテーション違反が生じる可能性がありました。この更新により、セグメンテーション違反の原因となった無効なポインターが渡されなくなり、上記の状況では net ads join -k が失敗しなくなりました。

BZ#1164336

access based share enum オプションの説明が、man ページの sharesec (1)に追加されました。

BZ#1164269、BZ#1165750

Samba パッケージをアップグレードした後、プリンターへのアクセスに失敗し、エラーメッセージが表示される場合があります。ユーザーがプリンターまたは印刷ファイルに接続できませんでした。900 を超えるプリンターが登録されると、rpcclient ユーティリティーが失敗して、エラーメッセージが表示されます。これらの問題を修正するためにパッチが適用され、Samba のアップグレード後にプリンターを期待どおりに使用できます。

BZ#1192211

スナップショットがまだディレクトリーに存在しないファイルを復元していると、shadow_copy2 モジュールを使用して共有上に Windows 2008 または Windows 7 クライアントからスナップショットを作成すると、失敗する可能性がありました。ユーザーが復元ボタンをクリックすると、NT_STATUS_OBJECT_NAME_NOT_FOUND メッセージが表示されます。今回の更新により、上記の状況ではスナップショットの復元が想定どおりに機能するようになりました。

BZ#1194549

2 つの AD ドメインが個別のフォレストに設定される場合に、それぞれ双方向の信頼が確立されました。Winbind はユーザーのログイン後に誤ったグループ情報を取得しました。たとえば、id ユーティリティーは、ユーザーが属するグループの正しい一覧を表示しませんでした。ユーザーが両方のドメインからのグループのメンバーであったときに、ユーザー自身のドメインの補助グループのみがリストされています。今回の更新により、Samba はログインに成功した後にキャッシュをクリアし、正しいユーザー情報が使用されるようになりました。id を実行すると、上記の状況で、両方の信頼されるドメインの補助グループが一覧表示されます。

BZ#1195456

ファイルシステムが読み取り専用モードのときに Samba が起動しませんでした。今回の更新により、Samba init スクリプトでは、特定のシステムファイルへの書き込み権限が不要になりました。Samba は、読み取り専用システムで期待どおりに実行されるようになりました。

BZ#1201611

winbind use default domain = yes の設定を /etc/samba/smb.conf ファイルの "force user = AD_user_name" 設定と組み合わせて使用した場合、force user 属性で指定された AD ドメインユーザーは共有にアクセスできませんでした。今回の更新で、winbind use default domain = yes" を設定しても、上記の状況で AD ドメインユーザーが共有にアクセスできなくなりました。

バグ修正

BZ#1158407

この更新より前は、SAP NetWeaver の tuned デーモンのプロファイルに加えられた変更を反映するように sapconf パッケージが更新されていませんでした。その結果、tuned プロファイルをアクティベートすると、非推奨の sap プロファイルを検索したため、失敗していました。この更新により、sapconf スクリプトを使用すると、tuned-profiles-sap パッケージがインストールされていない場合はインストールされます。さらに、TUNED_SAP_PROFILE 変数が "sap-netweaver" に変更になりました。その結果、sap-netweaver プロファイルを適切に使用し、tuned プロファイルを期待どおりにアクティブ化するようになりました。

BZ#1168422

以前は、sapconf スクリプトは MAX_MAP_COUNT_MIN 変数に誤った値を設定します。値が変更され、sapconf が SAP Red Hat Enterprise Linux 6.x インストールガイド の推奨値に一致するようになりました。

BZ#1173861

SELinux Permissive モードには、設定ファイルへのパスが含まれるパラメーターがありませんでした。その結果、sapconf スクリプトはユーザー入力を待機するため、sapconf が応答しなくなっていました。基盤となるソースコードが修正され、前述の状況で sapconf がハングしなくなりました。

機能拡張

BZ#1123917

sapconf の man ページが編集され、より正確な情報が含まれるようになりました。

BZ#1174321

今回の更新では、sapconf スクリプトの出力に、SAP のインストールまたは更新に関する知識がある sapconf のバージョンに関する情報も含まれるようになりました。

バグ修正

BZ#1102477

sblim-sfcb サーバーでのバッファー処理が正しくないため、HTTPS プロトコルを介して sblim-sfcb への接続を試みると、wbemcli CIM クライアントはエラーメッセージを返しました。このバグを修正するためのパッチが提供され、sblim-sfcb がエラーなしで HTTPS 経由で到達できるようになりました。

BZ#1110106

sblim-sfcb サーバーを Openwsman および sblim-sfcb サーバーにローカルに接続された openwsmand サービスと組み合わせて使用すると、遅延プロセスが残っていました。その結果、システムで新しいプロセスを作成できませんでした。この更新により、sblim-sfcb サーバーへの接続を終了した後、Openwsman の延期プロセスが発生しなくなります。

BZ#1114798

sblim-sfcb サーバーのメモリーリークにより、sfcbd サービスプロセスが使用するメモリー量が増加しました。このバグを修正するために基礎となるソースコードが変更され、sfcbd サービスプロセスによって不要なメモリー消費が増加しなくなりました。

バグ修正

BZ#1133963

Red Hat Enterprise Linux 6 Server の SCAP コンテンツもデータストリームの出力形式で同梱されるようになりました。

* Red Hat Enterprise Linux 7 Server の SCAP コンテンツは、Red Hat Enterprise Linux 6 システムから Red Hat Enterprise Linux 7 Server システムのリモートスキャンを実行できるようにするために含まれています。

* この更新には、USGCB 準拠の Red Hat Enterprise Linux 6 Server システムの新規インストールのための United States Government Configuration Baseline (USGCB)プロファイルキックスタートファイルも含まれています。詳細は、Red Hat Enterprise Linux 6 セキュリティーガイドを参照してください。

BZ#1183034

以前は、sysctl カーネルパラメーター設定を確認する際に、SCAP コンテンツは /etc/sysctl.conf ファイルにある設定のみを認識していました。今回の更新により、/etc/sysctl.d/ ディレクトリーにある追加の設定ファイルの sysctl ユーティリティー設定も認識するようにコンテンツが更新されました。

BZ#1185426

この更新より前は、リムーバブルメディアブロックの特殊デバイスが nodev オプション、noexec オプション、または nosuid オプションで設定されている場合に、コンテンツが必要な設定がないために共有メモリー(/dev/shm)デバイスを誤って報告することがありました。今回の更新では、対応する Open Vulnerability and Assessment Language (OVAL)チェックが修正され、リムーバブルメディアブロック特殊デバイスのみのマウントオプション設定を検証するようになりました。

BZ#1191409

OVAL チェック検証のバグにより、postfix サービスのリッスン機能が無効になっている場合、postfix パッケージがシステムにインストールされていない場合でも、システムプロパティースキャンは失敗を返しました。このバグは修正され、postfix サービスの機能は無効と報告されるようになりました。また、postfix パッケージがインストールされていない場合、基礎となるスキャン結果は PASS を返します。

BZ#1199946

以前のバージョンの scap-security-guide パッケージには、test という名前の Extensible Configuration Checklist Document Format (XCCDF)プロファイルも含まれていました。このプロファイルの目的は、対応する SCAP コンテンツのサニティーを確認するためだけにあり、実際のシステムスキャンに適用することを意図していないため、テストプロファイルが削除されました。

バグ修正

BZ#908221

以前は、rxvt-unicode-256color 端末エミュレーターでスクリーンユーティリティーを起動すると、$TERM too long エラーで失敗していました。今回の更新により、基礎となるコードが修正され、画面が予想どおりにこのエミュレーターで起動されるようになりました。

Enhancement

BZ#1087517

今回の更新で、screen ユーティリティーは、成功した認証試行と失敗したテキストターミナルの両方に、screen によってロックされたテキストターミナルに記録されるようになりました。これにより、ユーザーはシステムの操作とセキュリティーを監視する追加のニュートを実行できるようになります。

Enhancement

BZ#1131530

ユーザーは、ESC キーを押してブートメニューにアクセスできるようになりました。以前は、F12 キーを押してもブートメニューにアクセスできませんでした。ただし、一部のプラットフォームは、F12 が利用できません。たとえば、OS X オペレーティングシステムを実行しているシステムは、F12 を含む特定の機能キーを傍受できます。今回の更新により、ユーザーは ESC または F12 のいずれかを使用してブートメニューにアクセスできるようになりました。したがって、seabios は、F12 に関連するこれらの潜在的な問題を回避します。

バグ修正

BZ#1198047, BZ#1198057, BZ#1198060, BZ#1198064, BZ#11980 77 , BZ#1198077, BZ#1198165, BZ#1202935, BZ#1203756, BZ#1207140, BZ#1212729

SSSD サービスがさまざまなルックアップに使用されるように /etc/nsswitch.conf ファイルを変更すると、SELinux ポリシールールが不十分であるため、特定のサービスが SSSD と通信できませんでした。今回の更新で、この状況でサービスが期待どおりに動作するように SELinux ポリシーが変更されました。

BZ#1198436, BZ#1215632, BZ#1228197, BZ#1228197, BZ#1219317, BZ#1221929

今回の更新により、glusterd、ctdbd、samba、および nagios サービスの SELinux ポリシールールが修正され、Gluster レイヤー製品が SELinux で適切に機能するようになりました。

Enhancement

BZ#1153712

/etc/ ディレクトリーまたは /usr/ ディレクトリーなどにある一般的なファイルの読み取りや実行を許可する SELinux ポリシールールを作成する場合、ポリシー作成者はサービスごとにルールを追加する必要がありました。これらの更新された selinux-policy パッケージにより、新しい base_ro_file_type および "base_file_type" SELinux 属性が導入され、ポリシー作成者はサービスごとのルールに対するグローバルルールを宣言するために使用できます。

バグ修正

BZ#640234

以前は、sendmail マクロの MAXHOSTNAMELEN は、ホスト名の長さに 63 文字しか許可されませんでした。ただし、場合によっては、最大長が 255 文字である完全修飾ドメイン名(FQDN)の長さに対して使用された場合があります。その結果、場合によっては FQDN 解決が正しく機能しませんでした。このバグを修正するために、MAXHOSTNAMELEN では最大 255 文字を使用できるようになりました。

BZ#837007

以前は、特定の状況で sendmail キューランナーが予期せず終了する可能性があります。したがって、sendmail はメールキューの処理を停止しました。今回の更新では、クエリー中に LDAP サーバーへの接続が失われた場合に、ソースコードが OpenLDAP コードでアサーションをトリガーできない修正が導入されました。その結果、アサーションによりキューランナーが終了しなくなり、sendmail は期待どおりにメールキューの処理を続行します。

BZ#845821

特定の状況下では、sendmail は以前、close-on-exec フラグを設定するために失敗を報告した非常に多くのログメッセージを記録していました。Milter 実装は、fnctl （）関数が close-on-exec を設定しようとする前に、ソケット検証を実行するように変更されています。その結果、fnctl （）は無効なソケットで呼び出されなくなり、上記のログメッセージは発生しなくなります。

BZ#890227

この更新以前は、ldap_routing 機能は期待どおりに機能しませんでした。ldap_routing を使用すると、sendmail は -T<TMPF>" オプションがなく、ユーザーは -T<TMPF>" を手動で挿入する必要がありました。この更新により、ldap_routing の設定を生成するマクロが修正され、ldap_routing の使用時に-T<TMPF>"を手動で追加する必要がなくなりました。

BZ#1106852

以前は、{client_port} 値は、誤って設定されたため、メールフィルターなどでリトルエンディアンマシンで使用できませんでした。今回の更新で、リトルエンディアンマシンで "{client_port}" 値が修正されました。

バグ修正

BZ#787139

Red Hat Enterprise Linux 6 では、以前はsealert -a コマンドでは予想される出力の一部のみが表示されていました。今回の更新で、欠落していたコード行が追加され、"sealert -a" が出力の全範囲を出力するようになりました。

BZ#1098068

今回の更新以前は、sealert -V コマンドで詳細なデバッグメッセージが適切に表示されませんでした。今回の更新で、デバッグメッセージの詳細形式が出力され、上記の問題は発生しないように、基礎となるコードが調整されました。