4.2. セキュリティー


SCAP セキュリティーガイドが 0.1.72 にリベース

SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。

  • CIS プロファイルは最新のベンチマークに合わせて更新されます。
  • PCI DSS プロファイルは、PCI DSS ポリシーバージョン 4.0 に準拠します。
  • STIG プロファイルは、最新の DISA STIG ポリシーに準拠します。

詳細は、SCAP Security Guide release notes を参照してください。

Jira:RHEL-25250[1]

OpenSSL に、Bleichenbacher のような攻撃に対する保護が含まれるようになりました。

このリリースの OpenSSL TLS ツールキットでは、RSA PKCS #1 v1.5 復号化プロセスにおける Bleichenbacher のような攻撃に対する API レベルの保護が導入されています。PKCS #1 v1.5 復号化中にパディングをチェックする際にエラーを検出すると、RSA の復号化がエラーではなく、無作為に生成された確定的なメッセージを返すようになりました。この変更により、CVE-2020-25659 および CVE-2020-25657 などの脆弱性に対する一般的な保護が提供されます。

この保護を無効にするには、次を呼び出します: EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"."0") 関数。これは、RSA 復号化コンテキストで呼び出しますが、これによりシステムがより脆弱になります。

Jira:RHEL-17689[1]

librdkafka が 1.6.1 にリベースされました

Apache Kafka プロトコルの librdkafka 実装がアップストリームバージョン 1.6.1 にリベースされました。これは RHEL 8 の最初の主要な機能リリースです。リベースにより、多くの重要な機能拡張とバグ修正が提供されます。関連するすべての変更は、librdkafka パッケージに付属する CHANGELOG.md ドキュメントを参照してください。

注記

この更新により、設定のデフォルトが変更され、一部の設定プロパティーが非推奨になります。詳細は、CHANGELOG.md のアップグレードに関する考慮事項のセクションをお読みください。このバージョンの API (C および C++) および ABI © は、librdkafka の古いバージョンと互換性があります。ただし、設定プロパティーの一部を変更すると、既存のアプリケーションの変更が必要になる場合があります。

Jira:RHEL-12892[1]

libkcapi が 1.4.0 にリベース

Linux カーネル暗号化 API へのアクセスを提供する libkcapi ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。

  • sm3sum および sm3hmac ツールを追加しました。
  • kcapi_md_sm3 および kcapi_md_hmac_sm3 API を追加しました。
  • SM4 の便利な機能を追加しました。
  • リンク時最適化 (LTO) のサポートを修正しました。
  • LTO リグレッションテストを修正しました。
  • kcapi-enc による任意サイズの AEAD 暗号化のサポートを修正しました。

Jira:RHEL-5366[1]

stunnel が 5.71 にリベースされました

stunnel TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。この更新により、FIPS モードでの OpenSSL 1.1 以降のバージョンの動作が変更されます。OpenSSL が FIPS モードであり、stunnel のデフォルトの FIPS 設定が no に設定されている場合、stunnel は OpenSSL に適応し、FIPS モードが有効になります。

追加の新機能は次のとおりです。

  • 最新の PostgreSQL クライアントのサポートが追加されました。
  • protocolHeader サービスレベルオプションを使用して、カスタム connect プロトコルネゴシエーションヘッダーを挿入できます。
  • protocolHost オプションを使用して、クライアントの SMTP プロトコルネゴシエーションの HELO/EHLO 値を制御できます。
  • クライアントサイドの protocol = ldap に関するクライアントサイドサポートが追加されました。
  • サービスレベルの sessionResume オプションを使用して、セッション再開を設定できるようになりました。
  • CApath を使用したサーバーモードでのクライアント証明書の要求に対するサポートが追加されました (以前は CAfile のみがサポートされていました)。
  • ファイルの読み取りとロギングのパフォーマンスが向上しました。
  • retry オプションの設定可能な遅延のサポートが追加されました。
  • クライアントモードでは、verifyChain が設定されている場合に OCSP ステープリングの要求および検証が行われます。
  • サーバーモードでは、OCSP ステープリングは常に利用可能です。
  • 不確定の OCSP 検証により TLS ネゴシエーションが中断されます。これを無効にするには、OCSPrequire = no と設定します。

Jira:RHEL-2340[1]

OpenSSH は認証における人為的な遅延を制限します

ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) 処理などでリモート認証に時間がかかりすぎる場合に、このような人為的な遅延が過度に長くならないように上限が導入されています。

Jira:RHEL-1684

libkcapi が、ハッシュ値の計算でターゲットファイル名を指定するオプションを提供するようになりました

この libkcapi (Linux カーネル暗号化 API) パッケージの更新により、ハッシュ値の計算でターゲットファイル名を指定するための新しいオプション -T が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c オプションとの併用でのみ使用できます。以下に例を示します。

$ sha256hmac -c <hmac_file> -T <target_file>

Jira:RHEL-15300[1]

audit が 3.1.2 にリベース

Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。

  • auparse ライブラリーは、名前のないソケットと匿名ソケットを解釈するようになりました。
  • ausearch および aureport ツールの start オプションと end オプションで、新しいキーワード this-hour を使用できます。
  • シグナル用のユーザーフレンドリーなキーワードが、auditctl プログラムに追加されました。
  • auparse での破損したログの処理が改善されました。
  • auditd サービスで、ProtectControlGroups オプションがデフォルトで無効になりました。
  • 除外フィルターのルールチェックが修正されました。
  • OPENAT2 フィールドの解釈が改善されました。
  • audispd af_unix プラグインがスタンドアロンプログラムに移動しました。
  • Python バインディングが変更され、Python API から Audit ルールが設定できなくなりました。この変更は、Simplified Wrapper and Interface Generator (SWIG) のバグのために行われました。

Jira:RHEL-15001[1]

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.