11.2. セキュリティー

RPM データベースを繰り返し更新しても、fapolicyd が原因でデータベースがクラッシュしなくなりました

この更新前は、fapolicyd が enforcing モードのときに RPM データベースを繰り返し更新すると、バスエラー (SIGBUS) が発生し、RPM データベースが予期せず終了していました。このリリースでは、RPM データベースの更新に対する fapolicyd の SIGBUS の保護が強化されました。その結果、fapolicyd を有効にして RPM データベースを繰り返し更新しても、データベースがクラッシュしなくなりました。

SSH 接続の失敗時に詳細なヘルプメッセージが表示されなくなりました

この更新前は、SSH 接続が失敗すると、一般的な SSH エラーと Red Hat ヘルプへのリンクを含むメッセージが表示されていました。その結果、エラー出力のヘルプメッセージにより、ユーザースクリプトや自動化が動作しなくなっていました。この更新により、SSH がログレベル debug1 以上で実行された場合にのみ、ヘルプメッセージが表示されるようになりました。その結果、エラー出力にデフォルトで予期しないメッセージが含まれなくなりました。

GnuTLS が標準の ML-DSA 形式をサポートするようになりました

RHEL 10.0 では、GnuTLS ツールは ML-DSA 秘密鍵に非標準のシリアライゼーション形式を使用していました。その結果、certtool -p コマンドにより、IETF 準拠の実装と互換性のない ML-DSA 秘密鍵がエクスポートされていました。同様に、他のソフトウェアによってエクスポートされた鍵が GnuTLS では機能しませんでした。この更新により、GnuTLS は標準の ML-DSA 形式をサポートし、相互運用可能な秘密鍵を生成するようになりました。

OpenSSL が ML-KEM および ML-DSA の秘密鍵を標準形式で保存するようになりました

RHEL 10.0 では、OpenSSL 向けの Open Quantum Safe プロバイダー (oqsprovider) が、IETF LAMPS ワークグループによって提案されたどのファイル形式にも準拠しない形式で秘密鍵を生成していました。その結果、IETF 標準に準拠する他のアプリケーションで鍵ファイルを読み取れず、インポートのためにシード形式で鍵を提供する必要があるアプリケーションで鍵ファイルを処理できませんでした。この更新により、OpenSSL が oqsprovider を使用しなくなり、耐量子計算機暗号 (PQC) 実装によって標準形式の鍵が生成されるようになりました。その結果、シークレットの長期保存に OpenSSL ML-KEM 鍵と ML-DSA 鍵を使用できるようになりました。