10.2. セキュリティー


脆弱性スキャンアプリケーションにおける OVAL の非推奨化

OpenSCAP スイートによって処理される宣言型セキュリティーデータを提供する Open Vulnerability Assessment Language (OVAL) データ形式は非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、OVAL の後継である Common Security Advisory Framework (CSAF) 形式で宣言型セキュリティーデータを引き続き提供します。

Jira:RHELDOCS-17532[1]

libgcrypt が非推奨となる

libgcrypt パッケージによって提供される Libgcrypt 暗号化ライブラリーは非推奨となり、今後のメジャーリリースで削除される可能性があります。代わりに、(Red Hat ナレッジベース) のアーティクル記事 RHEL core cryptographic components に記載されているライブラリーを使用してください。

Jira:RHELDOCS-17508[1]

fips-mode-setup が非推奨になる

システムを FIPS モードに切り替える fips-mode-setup ツールが RHEL 9 で非推奨になりました。ただし、引き続き fips-mode-setup コマンドを使用して FIPS モードが有効かどうかを確認することは可能です。

FIPS 140 に準拠したシステムを運用するには、次のいずれかの方法でシステムを FIPS モードでインストールします。

  • RHEL のインストール中に、カーネルコマンドラインに fips=1 オプションを追加します。詳細は、「RHEL インストーラーのブートオプション」ドキュメントの 起動オプションの編集 の章を参照してください。
  • ブループリントの [customizations] セクションに fips=yes ディレクティブを追加して、RHEL Image Builder で FIPS 対応イメージを作成します。
  • bootc-image-builder ツールを使用してディスクイメージを作成するか、bootc install-to-disk ツールを使用してシステムをインストールし、Image Mode for RHEL の使用に関するドキュメントの に従った Containerfile で fips=1 カーネルコマンドラインフラグを追加して、システム全体の暗号化ポリシーを FIPS に切り替えます。

fips-mode-setup ツールは次のメジャーリリースで削除される予定です。

Jira:RHELDOCS-19284

引数なしでの update-ca-trust の使用が非推奨となる

以前は、update-ca-trust コマンドは、入力された引数に関係なく、システム認証局 (CA) ストアを更新していました。この更新では、CA ストアを更新するための extract サブコマンドが導入されました。--output 引数を使用して、CA 証明書を展開するロケーションを指定することもできます。以前のバージョンの RHEL との互換性のため、-o または --help 以外の引数を指定して、あるいは引数を指定せずに update-ca-trust を入力して CA ストアを更新することは、RHEL 9 の期間中は引き続きサポートされますが、次のメジャーリリースでは削除されます。update-ca-trust extract への呼び出しを更新します。

Jira:RHEL-54695[1]

Stunnel クライアントの信頼されたルート証明書ファイルを指す CAfile が非推奨となる

Stunnel がクライアントモードで設定されている場合、CAfile ディレクティブは、BEGIN TRUSTED CERTIFICATE 形式の信頼されたルート証明書を含むファイルを指すことができます。このメソッドは非推奨となり、今後のメジャーバージョンで削除される可能性があります。今後のバージョンでは、stunnel は、BEGIN TRUSTED CERTIFICATE 形式をサポートしていない関数に CAfile ディレクティブの値を渡します。したがって、CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt を使用する場合は、ロケーションを CAfile = /etc/pki/tls/certs/ca-bundle.crt に変更します。

Jira:RHEL-52317[1]

DSA および SEED アルゴリズムが NSS で非推奨となる

Digital Signature Algorithm (DSA) は、National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、Network Security Services (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、SHB-DSA、ML-DSA、FN-DSA などのアルゴリズムを使用することもできます。

Korea Information Security Agency (KISA) によって作成され、以前にアップストリームで無効化されていた SEED アルゴリズムは、NSS 暗号化ライブラリーで非推奨となっています。

Jira:RHELDOCS-19004[1]

pam_ssh_agent_auth が非推奨に

pam_ssh_agent_auth パッケージは非推奨となり、今後のメジャーリリースで削除される可能性があります。

Jira:RHELDOCS-18312[1]

compat-openssl11 が非推奨となる

OpenSSL 1.1 の互換性ライブラリー compat-openssl11 は、現在非推奨となっており、将来のメジャーリリースで削除される可能性があります。OpenSSL 1.1 はアップストリームでメンテナンスされなくなりました。OpenSSL TLS ツールキットを使用するアプリケーションは、バージョン 3.x に移行する必要があります。

Jira:RHELDOCS-18480[1]

OpenSSL の SHA-1 で SECLEVEL=2 が非推奨となる

SECLEVEL=2 での SHA-1 アルゴリズムの使用は OpenSSL では非推奨となり、今後のメジャーリリースで削除される可能性があります。

Jira:RHELDOCS-18701[1]

OpenSSL Engines API が Stunnel で非推奨となる

Stunnel での OpenSSL Engines API の使用は非推奨となり、今後のメジャーリリースで削除される予定です。最も一般的な用途は、openssl-pkcs11 パッケージを介して PKCS#11 を使用するハードウェアセキュリティートークンにアクセスすることです。代わりに、新しい OpenSSL Providers API を使用する pkcs11-provider を使用できます。

Jira:RHELDOCS-18702[1]

OpenSSL Engines が非推奨となる

OpenSSL Engines は非推奨となり、今後削除される予定です。エンジンを使用する代わりに、pkcs11-provider を代替として使用できます。

Jira:RHELDOCS-18703[1]

GnuTLS で DSA が非推奨となる

Digital Signature Algorithm (DSA) は、GnuTLS セキュア通信ライブラリーで非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DSA は、以前に National Institute of Standards and Technology (NIST) によって非推奨とされており、セキュアでないと考えられています。今後のバージョンとの互換性を確保するには、代わりに ECDSA を使用できます。

Jira:RHELDOCS-19224[1]

scap-workbench が非推奨になる

scap-workbench パッケージが非推奨となるscap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。

Jira:RHELDOCS-19028[1]

oscap-anaconda-addon が非推奨に

グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が非推奨となりました。代わりに、RHEL Image Builder OpenSCAP インテグレーションを使用して事前に強化されたイメージを作成 することで、特定の標準に準拠した RHEL イメージを構築できます。

Jira:RHELDOCS-19029[1]

SHA-1 は暗号化の目的で非推奨になる

暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号コンポーネントは、デフォルトで SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。

例外の中でも、HMAC-SHA1 メッセージ認証コードと Universal Unique Identifier (UUID) 値は、SHA-1 を使用して作成できます。これは、これらのユースケースが現在セキュリティーリスクをもたらさないためです。SHA-1 は、Kerberos や WPA-2 など、相互運用性および互換性に関する重要な懸念事項に関連する限られたケースでも使用できます。詳細は、RHEL 9 セキュリティーの強化ドキュメントFIPS 140-3 に準拠していない暗号化を使用する RHEL アプリケーションのリスト を参照してください。

既存またはサードパーティーの暗号署名を検証するために SHA-1 を使用する必要がある場合は、次のコマンドを入力して有効にできます。

# update-crypto-policies --set DEFAULT:SHA1

または、システム全体の暗号化ポリシーを LEGACY ポリシーに切り替えることもできます。LEGACY は、セキュアではない他の多くのアルゴリズムも有効にすることに注意してください。

Jira:RHELPLAN-110763[1]

fapolicyd.rules が非推奨になる

実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。

Bugzilla:2054740

RHEL 9 で SCP が非推奨になる

SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。

  • scp ユーティリティーでは、SCP はデフォルトで SSH ファイル転送プロトコル (SFTP) に置き換えられます。
  • OpenSSH スイートは、RHEL 9 では SCP を使用しません。
  • libssh ライブラリーで SCP が非推奨になりました。

Jira:RHELPLAN-99136[1]

OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要です。

OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。

Bugzilla:2168665

OpenSSL で Engines API が非推奨になる

OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。

Jira:RHELDOCS-17958[1]

openssl-pkcs11 が非推奨になる

非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。

Jira:RHELDOCS-16716[1]

RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる

Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。

Jira:RHELDOCS-17974[1]

SASL の Digest-MD5 が非推奨になる

SASL (Simple Authentication Security Layer) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来バージョンのメジャーリリースでは cyrus-sasl パッケージから削除される可能性あり

Bugzilla:1995600[1]

/etc/system-fips が非推奨となる

/etc/system-fips ファイルで FIPS モードが削除されることを示すサポートにより、ファイルは今後の RHEL バージョンに含まれなくなります。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。/proc/sys/crypto/fips_enabled ファイルを表示することで、RHEL が FIPS モードで動作しているかどうかを確認できます。

Jira:RHELPLAN-103232[1]

libcrypt.so.1 が非推奨となる

libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。

Bugzilla:2034569

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.