第5章 バグ修正

shlibsign が FIPS モードで動作するようになる

この更新前は、shlibsign プログラムは FIPS モードで動作しませんでした。したがって、NSS ライブラリーを FIPS モードで再ビルドした場合、ライブラリーに署名するには FIPS モードを終了する必要がありました。プログラムが修正され、shlibsign を FIPS モードで使用できるようになりました。

Audit は、/usr/lib/modules/ を参照するルールをロードするようになる

この更新前は、auditd.service の ProtectKernelModules オプションが true に設定されている場合、Audit サブシステムが、/usr/lib/modules/ ディレクトリー内のファイルを参照するルールをロードせず、Error sending add rule data request (No such file or directory) というエラーメッセージが表示されていました。この更新により、Audit はこれらのルールもロードするため、auditctl -R または augenrules --load コマンドを使用してルールを再ロードする必要がなくなります。

update-ca-trust extract は、長い名前の証明書の抽出に失敗しなくなる

トラストストアから証明書を抽出するとき、trust ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えていた可能性があります。その結果、trust ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。

qemu-guest-agent の dac_override および dac_read_search を許可するルールが SELinux ポリシーに追加される

以前は、SELinux ポリシーには、qemu-guest-agent、dac_override、および dac_read_search 機能を許可するルールがありませんでした。その結果、ファイルシステムのマウントポイント DAC パーミッションがユーザー root へのアクセスを付与しなかった場合、仮想マシンのファイルシステムのフリーズおよび解凍が適切に機能しませんでした。この更新により、不足しているルールがポリシーに追加されました。その結果、一貫したスナップショットを作成するために重要な qemu-ga コマンドである fsfreeze が正常に機能します。

OpenSSL 暗号スイートは、ハッシュまたは MAC が無効になっている暗号スイートを有効化しなくなる

以前は、OpenSSL TLS 1.3 固有の Ciphersuites オプション値が暗号化ポリシーの ciphers オプションによってのみ制御されていたため、カスタム暗号化ポリシーを適用すると、ハッシュまたは MAC が無効になっている場合でも、特定の TLS 1.3 暗号スイートが有効のままになることがありました。この更新により、crypto-policies は、暗号スイートを有効にするか決定する際に、より多くのアルゴリズムを考慮するようになりました。その結果、カスタム暗号化ポリシーを持つシステム上の OpenSSL は、システム設定に従って、以前に有効にされた TLS 1.3 暗号スイートの一部とのネゴシエーションを拒否する可能性があります。