11.2. セキュリティー

IPsec ondemand 接続の確立に失敗しなくなる

以前は、TCP プロトコルを使用して ondemand オプション付きの IPsec 接続を設定すると、接続を確立できませんでした。この更新により、新しい Libreswan パッケージは、初期 IKE ネゴシエーションが TCP 経由で完了することを確認します。その結果、Libreswan は IKE ネゴシエーションの TCP モードでも接続を正常に確立します。

NSS は FIPS モードで EMS を強制するようになる

ネットワークセキュリティーサービス (NSS) ライブラリーには、FIPS 140-3 標準で義務付けられているすべての TLS 1.2 接続に対して Extended Master Secret (EMS) エクステンション (RFC 7627) を要求する TLS-REQUIRE-EMS ポリシーが含まれるようになりました。NSS は、システム全体の暗号化ポリシーが FIPS に設定されている場合に、新しいキーワードを使用します。

shlibsign が FIPS モードで動作するようになる

この更新前は、shlibsign プログラムは FIPS モードで動作しませんでした。したがって、NSS ライブラリーを FIPS モードで再ビルドした場合、ライブラリーに署名するには FIPS モードを終了する必要がありました。プログラムが修正され、shlibsign を FIPS モードで使用できるようになりました。

OpenSSL 暗号スイートは、ハッシュまたは MAC が無効になっている暗号スイートを有効化しなくなる

以前は、OpenSSL TLS 1.3 固有の Ciphersuites オプション値が暗号化ポリシーの ciphers オプションによってのみ制御されていたため、カスタム暗号化ポリシーを適用すると、ハッシュまたは MAC が無効になっている場合でも、特定の TLS 1.3 暗号スイートが有効のままになることがありました。この更新により、crypto-policies は、暗号スイートを有効にするか決定する際に、より多くのアルゴリズムを考慮するようになりました。その結果、カスタム暗号化ポリシーを持つシステム上の OpenSSL は、システム設定に従って、以前に有効にされた TLS 1.3 暗号スイートの一部とのネゴシエーションを拒否する可能性があります。

update-ca-trust extract は、長い名前の証明書の抽出に失敗しなくなる

トラストストアから証明書を展開する際、trust ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えていた可能性があります。その結果、trust ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。

libcap のバイナリーテストが免除される

annocheck ツールは、RHEL 10 アーキテクチャーに必要なフラグなしでビルドされた libcap ライブラリー関数内のバイナリーパッケージを検出しました。フラグに潜在的な問題がないか調べたところ、何も見つかりませんでした。慎重に調査した結果、libcap の結果を免除しました。その結果、libcap のすべてのテストが合格しました。