第5章 バグ修正
ここでは、ユーザーに重大な影響を与えるバグで、Red Hat Enterprise Linux 9.6 で修正されたものを説明します。
5.1. セキュリティー リンクのコピーリンクがクリップボードにコピーされました!
shlibsign
が FIPS モードで動作するようになる
この更新前は、shlibsign
プログラムは FIPS モードで動作しませんでした。したがって、NSS ライブラリーを FIPS モードで再ビルドした場合、ライブラリーに署名するには FIPS モードを終了する必要がありました。プログラムが修正され、shlibsign
を FIPS モードで使用できるようになりました。
Audit は、/usr/lib/modules/
を参照するルールをロードするようになる
この更新前は、auditd.service
の ProtectKernelModules
オプションが true
に設定されている場合、Audit サブシステムが、/usr/lib/modules/
ディレクトリー内のファイルを参照するルールをロードせず、Error sending add rule data request (No such file or directory)
というエラーメッセージが表示されていました。この更新により、Audit はこれらのルールもロードするため、auditctl -R
または augenrules --load
コマンドを使用してルールを再ロードする必要がなくなります。
Jira:RHEL-59570[1]
update-ca-trust extract
は、長い名前の証明書の抽出に失敗しなくなる
トラストストアから証明書を抽出するとき、trust
ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えていた可能性があります。その結果、trust
ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。
Jira:RHEL-58899[1]
qemu-guest-agent
の dac_override
および dac_read_search
を許可するルールが SELinux ポリシーに追加される
以前は、SELinux ポリシーには、qemu-guest-agent
、dac_override
、および dac_read_search
機能を許可するルールがありませんでした。その結果、ファイルシステムのマウントポイント DAC パーミッションがユーザー root へのアクセスを付与しなかった場合、仮想マシンのファイルシステムのフリーズおよび解凍が適切に機能しませんでした。この更新により、不足しているルールがポリシーに追加されました。その結果、一貫したスナップショットを作成するために重要な qemu-ga
コマンドである fsfreeze
が正常に機能します。
OpenSSL 暗号スイートは、ハッシュまたは MAC が無効になっている暗号スイートを有効化しなくなる
以前は、OpenSSL TLS 1.3 固有の Ciphersuites
オプション値が暗号化ポリシーの ciphers
オプションによってのみ制御されていたため、カスタム暗号化ポリシーを適用すると、ハッシュまたは MAC が無効になっている場合でも、特定の TLS 1.3 暗号スイートが有効のままになることがありました。この更新により、crypto-policies
は、暗号スイートを有効にするか決定する際に、より多くのアルゴリズムを考慮するようになりました。その結果、カスタム暗号化ポリシーを持つシステム上の OpenSSL は、システム設定に従って、以前に有効にされた TLS 1.3 暗号スイートの一部とのネゴシエーションを拒否する可能性があります。
Jira:RHEL-76528[1]