4.2. セキュリティー
SCAP セキュリティーガイドが 0.1.72 にリベース
SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。
- CIS プロファイルは最新のベンチマークに合わせて更新されます。
- PCI DSS プロファイルは、PCI DSS ポリシーバージョン 4.0 に準拠します。
- STIG プロファイルは、最新の DISA STIG ポリシーに準拠します。
詳細は、SCAP Security Guide release notes を参照してください。
Jira:RHEL-25250[1]
OpenSSL に、Bleichenbacher のような攻撃に対する保護が含まれるようになりました。
このリリースの OpenSSL TLS ツールキットでは、RSA PKCS #1 v1.5 復号化プロセスにおける Bleichenbacher のような攻撃に対する API レベルの保護が導入されています。PKCS #1 v1.5 復号化中にパディングをチェックする際にエラーを検出すると、RSA の復号化がエラーではなく、無作為に生成された確定的なメッセージを返すようになりました。この変更により、CVE-2020-25659 および CVE-2020-25657 などの脆弱性に対する一般的な保護が提供されます。
この保護を無効にするには、次を呼び出します: EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"."0")
関数。これは、RSA 復号化コンテキストで呼び出しますが、これによりシステムがより脆弱になります。
Jira:RHEL-17689[1]
librdkafka
が 1.6.1 にリベースされました
Apache Kafka プロトコルの librdkafka
実装がアップストリームバージョン 1.6.1 にリベースされました。これは RHEL 8 の最初の主要な機能リリースです。リベースにより、多くの重要な機能拡張とバグ修正が提供されます。関連するすべての変更は、librdkafka
パッケージに付属する CHANGELOG.md
ドキュメントを参照してください。
この更新により、設定のデフォルトが変更され、一部の設定プロパティーが非推奨になります。詳細は、CHANGELOG.md
のアップグレードに関する考慮事項のセクションをお読みください。このバージョンの API (C および C++) および ABI © は、librdkafka
の古いバージョンと互換性があります。ただし、設定プロパティーの一部を変更すると、既存のアプリケーションの変更が必要になる場合があります。
Jira:RHEL-12892[1]
libkcapi
が 1.4.0 にリベース
Linux カーネル暗号化 API へのアクセスを提供する libkcapi
ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。
-
sm3sum
およびsm3hmac
ツールを追加しました。 -
kcapi_md_sm3
およびkcapi_md_hmac_sm3
API を追加しました。 - SM4 の便利な機能を追加しました。
- リンク時最適化 (LTO) のサポートを修正しました。
- LTO リグレッションテストを修正しました。
-
kcapi-enc
による任意サイズの AEAD 暗号化のサポートを修正しました。
Jira:RHEL-5366[1]
stunnel
が 5.71 にリベースされました
stunnel
TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。この更新により、FIPS モードでの OpenSSL 1.1 以降のバージョンの動作が変更されます。OpenSSL が FIPS モードであり、stunnel
のデフォルトの FIPS 設定が no
に設定されている場合、stunnel
は OpenSSL に適応し、FIPS モードが有効になります。
追加の新機能は次のとおりです。
- 最新の PostgreSQL クライアントのサポートが追加されました。
-
protocolHeader
サービスレベルオプションを使用して、カスタムconnect
プロトコルネゴシエーションヘッダーを挿入できます。 -
protocolHost
オプションを使用して、クライアントの SMTP プロトコルネゴシエーションの HELO/EHLO 値を制御できます。 -
クライアントサイドの
protocol = ldap
に関するクライアントサイドサポートが追加されました。 -
サービスレベルの
sessionResume
オプションを使用して、セッション再開を設定できるようになりました。 -
CApath
を使用したサーバーモードでのクライアント証明書の要求に対するサポートが追加されました (以前はCAfile
のみがサポートされていました)。 - ファイルの読み取りとロギングのパフォーマンスが向上しました。
-
retry
オプションの設定可能な遅延のサポートが追加されました。 -
クライアントモードでは、
verifyChain
が設定されている場合に OCSP ステープリングの要求および検証が行われます。 - サーバーモードでは、OCSP ステープリングは常に利用可能です。
-
不確定の OCSP 検証により TLS ネゴシエーションが中断されます。これを無効にするには、
OCSPrequire = no
と設定します。
Jira:RHEL-2340[1]
OpenSSH は認証における人為的な遅延を制限します
ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) 処理などでリモート認証に時間がかかりすぎる場合に、このような人為的な遅延が過度に長くならないように上限が導入されています。
libkcapi
が、ハッシュ値の計算でターゲットファイル名を指定するオプションを提供するようになりました
この libkcapi
(Linux カーネル暗号化 API) パッケージの更新により、ハッシュ値の計算でターゲットファイル名を指定するための新しいオプション -T
が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c
オプションとの併用でのみ使用できます。以下に例を示します。
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15300[1]
audit
が 3.1.2 にリベース
Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。
-
auparse
ライブラリーは、名前のないソケットと匿名ソケットを解釈するようになりました。 -
ausearch
およびaureport
ツールのstart
オプションとend
オプションで、新しいキーワードthis-hour
を使用できます。 -
シグナル用のユーザーフレンドリーなキーワードが、
auditctl
プログラムに追加されました。 -
auparse
での破損したログの処理が改善されました。 -
auditd
サービスで、ProtectControlGroups
オプションがデフォルトで無効になりました。 - 除外フィルターのルールチェックが修正されました。
-
OPENAT2
フィールドの解釈が改善されました。 -
audispd af_unix
プラグインがスタンドアロンプログラムに移動しました。 - Python バインディングが変更され、Python API から Audit ルールが設定できなくなりました。この変更は、Simplified Wrapper and Interface Generator (SWIG) のバグのために行われました。
Jira:RHEL-15001[1]