12.2. セキュリティー

今回のアップデート以前は、AIDE がハッシュ値を計算している最中にファイルが切り詰められたり削除されたりすると、AIDE はエラーで終了していました。今回のアップデートにより、AIDE はハッシュ計算中にファイルが切り詰められたり削除されたりした場合にそれを検知し、安全に処理するようになりました。その結果、AIDE は、監視対象ファイルのサイズが変更されたり、処理中に削除されたりした場合でも、整合性チェックを正常に完了します。

Jira:RHEL-1383

たとえば、/usr/lib/rpm/redhat/redhat-annobin-cc1 や /etc/selinux/targeted/policy/policy.33 など、RPM パッケージが所有する一部のファイルは、インストール中およびインストール後に内容が変更されることが想定されていますが、これらは引き続き対応するパッケージの所有として管理されます。したがって、fapolicyd は、そのようなファイルを検証できません。今回のリリースにより、fapolicyd フレームワークは、RPM データベースにサイズ情報またはチェックサム情報がないファイルを信頼データベースに追加しなくなりました。その結果、fapolicyd-cli --check-trustdb コマンドは、そのようなファイルに対して miscompares: size sha256 エラーメッセージを報告しません。

Jira:RHEL-94786

今回の p11-kit パッケージのアップデート以前は、リモートプロシージャーコール (RPC) メカニズムにおいて、長さがゼロの再帰的属性配列が不適切に読み取られていました。その結果、通信エラーにより PKCS #11 トークンのリモート配信が停止しました。今回のアップデートでは、長さがゼロの属性配列の読み取りに関する問題を修正しました。その結果、p11-kit サーバーは PKCS #11 トークンをリモートで提供できるようになる。

Jira:RHEL-97770^[1]

今回のアップデート以前は、データベースのパスワードを変更した際に、NSS がデータベースの再暗号化を処理する方法にバグがあるため、ML-DSA のシード属性が更新されないという問題が発生していました。その結果、以前のパスワードを知っていたとしても、シード値が永久に失われてしまいました。

今回のアップデートにより、パスワードの変更時に ML-DSA のシード属性が正しく更新されるようになりました。これにより、シード値が永久に失われる問題が解消されました。以前に失われたシードを復旧することはできません。

Jira:RHEL-114443

今回のアップデート以前は、Keylime エージェントは TLS アイデンティティーとペイロード暗号化の両方に単一の鍵を使用していました。その結果、エージェントを RSA 以外の証明書を使用するように設定した場合、ペイロードメカニズムにも同じ鍵を使用しようとするため、登録プロセスが失敗していました。

今回のリリースにより、エージェントは 2 つの異なる鍵を使用するようになりました。その結果、相互 TLS(mTLS) アイデンティティーは代替の暗号化スキームを使用でき、Keylime エージェントは Elliptic Curve Cryptography (ECC) 証明書で正常に登録されます。ペイロード暗号化メカニズムには、専用の RSA 鍵ペアが依然として必要です。

Jira:RHEL-117122

今回のアップデート以前は、署名付き Trusted Platform Module (TPM) クォートを生成する際に、keylime-agent-rust コンポーネントは Elliptic Curve Cryptography (ECC) 鍵アルゴリズムを適切にサポートしていませんでした。これにより、エージェントは TPM クォート証拠を生成できず、ECC 鍵タイプでの登録に失敗していました。

今回のアップデートにより、keylime-agent-rust コンポーネントは、TPM クォート生成時に ECC 鍵アルゴリズムを正しく処理するようになりました。これにより、エージェントは正常に TPM クォートを生成して検証者に登録し、TPM で生成された ECC 鍵による完全なアテステーション機能を提供できるようになりました。

Jira:RHEL-117441

今回のアップデート以前は、エージェントからの署名済み Trusted Platform Module (TPM) クォートを検証する際に、Keylime 検証者コンポーネントは Elliptic Curve Cryptography (ECC) 鍵アルゴリズムを適切にサポートしていませんでした。これにより、エージェントが ECC 鍵タイプ ecc521、ecc384、ecc256、ecc224、または ecc192 を使用した場合に、アテステーションエラーが発生していました。

今回のアップデートにより、検証者は ECC 鍵で署名された TPM クォートを正しく処理し、検証できるようになりました。その結果、Keylime はこれらのアルゴリズムに対して完全なアテステーション機能を提供します。

Jira:RHEL-117442

今回のアップデート以前は、scp ユーティリティーにおいて、パスに含まれる .. 親ディレクトリーのインジケーターが実際のディレクトリー名に展開されませんでした。その結果、scp は .. を含む相対パスを誤って処理していました。今回のアップデートにより、親ディレクトリー表示に関する特別な処理が追加されました。その結果、scp は .. を含むパスを正しく処理するようになりました。

Jira:RHEL-118406

今回のアップデート以前は、keylime-policy コマンドが、リモート RPM リポジトリーの解析中にファイルハンドルを閉じることができませんでした。これにより、ファイル記述子のリークが発生していました。その結果、ランタイムポリシーを生成するために --remote-rpm-repo オプションを使用すると、keylime-policy は Too many open files というエラーで失敗しました。今回のアップデートにより、このコマンドはリポジトリーのメタデータファイルとパッケージファイルすべてのファイルハンドルを適切に閉じ、システムファイル記述子の制限を超えなくなります。

その結果、keylime-policy は、リモート RPM リポジトリーからランタイムポリシーを正常に生成するようになりました。

Jira:RHEL-119028^[1]

今回のアップデート以前は、ディレクトリーハッシュ形式への移行の一環として、証明書バンドルは /etc/pki/tls および /etc/ssl から削除されていました。その結果、これらのバンドルに依存するアプリケーションは、セキュアな接続を確立できませんでした。

今回のアップデートにより、Red Hat は証明書バンドルを復元し、ディレクトリーハッシュ形式を RHEL-11 に移行しました。影響を受けたアプリケーションは、以前と同様にセキュアな接続を確立できるようになりました。RHEL-11 への移行ガイドについては、Dropping of cert.pem file を参照してください。

Jira:RHEL-120696^[1]

今回のアップデート以前は、--ima-measurement-list オプションにファイルパスを指定しなかった場合、keylime-policy コマンドはデフォルト値を正しく設定しませんでした。このエラーにより、--keyrings などの他のオプションがブロックされ、keylime-policy はランタイムポリシーの作成に失敗しました。

今回のアップデートにより、keylime-policy コマンドは、--ima-measurement-list オプションに特定の値を指定しない場合、デフォルトのパスである /sys/kernel/security/ima/ascii_runtime_measurements を使用するようになりました。その結果、keylime-policy はランタイムポリシーを正常に作成するようになりました。

Jira:RHEL-130158

rust-rpm-sequoia パッケージはバージョン 3.5 の openssl パッケージを必要としますが、これは RPM の依存関係チェーンに反映されていませんでした。その結果、OpenSSL 3.5 なしで rust-rpm-sequoia をインストールすることはできましたが、その後 RPM パッケージ管理ツールが動作しなくなりました。今回のアップデートにより、OpenSSL 3.5 への明示的な依存関係が追加されました。その結果、必要な OpenSSL バージョンがないと rust-rpm-sequoia をインストールできず、RPM ツールが失敗するのを防ぐことができません。

Jira:RHEL-130960

このアップデート以前は、fapolicyd サービスは /usr/share/*/bin/ ディレクトリーにあるバイナリーを信頼データベースに追加していませんでした。たとえば、/usr/share/Modules/bin/mkroot バイナリーは追加されませんでした。そのため、fapolicyd ルールで trust=1 オプションを使用している場合、ユーザーはこれらのバイナリーを実行できませんでした。この修正により、fapolicyd-filter.conf ファイルには */bin/* が含まれます。その結果、fapolicyd サービスが有効な状態で、/usr/share/*/bin/ にあるバイナリーを実行できるようになります。

Jira:RHEL-131723

今回のアップデート以前は、パッケージモードからイメージモードへの移行時に、パッケージインストールによるユーザーおよびグループメンバーシップの更新が正しく適用されていませんでした。その結果、clevis ユーザーが tss セキュリティーグループに追加されず、Clevis がシステム起動中にトラステッドプラットフォームモジュール (TPM) デバイスにアクセスして暗号化キーを取得することが阻止された。今回のアップデートにより、Clevis パッケージのインストールプロセスが更新され、既存の設定ファイルが保持される場合でも、イメージモードのアップデート中に clevis ユーザーが tss グループに適切に追加されるようになります。その結果、Clevis はイメージモードのシステム上で TPM デバイスに適切にアクセスし、暗号鍵を正常に取得できるようになった。

Jira:RHEL-132188

このアップデート以前は、clevis-pin-tpm2 コマンドは TPM2 による暗号化中に JSON フィールド名を検証せず、タイプミスや無効なフィールド (たとえば pcr_ids の代わりに pcrs_ids など) を黙って無視していました。その結果、ユーザーは入力ミスなどにより、意図せず誤った TPM2 設定の LUKS バインディングを作成してしまう可能性がある。これは、TPM の状態が変化する際にロック解除の失敗につながり、システムが起動不能になる可能性を示唆している。

今回のアップデートでは、暗号化時に TPM2 設定内の未知のフィールドを拒否するための JSON スキーマ検証機能が追加されました。その結果、TPM2 JSON 設定内の無効なフィールド名は、明確なエラーメッセージとともに適切に拒否され、ロック解除の失敗を引き起こす可能性のある、気づかれないまま発生する設定ミスを防ぎます。

Jira:RHEL-138591^[1]

今回のアップデート以前は、SELinux ポリシールールが欠落していたため、systemd-hostnamed サービスは /run ディレクトリーに Varlink ソケットファイルを作成できませんでした。この問題により、bootc を使用したキックスタートによる PXE インストール中にホスト名の設定が失敗し、インストールが失敗していました。

今回のアップデートにより、SELinux ポリシーは systemd_hostnamed_t ドメインが必要なソケットファイルを作成することを許可します。その結果、ホスト名の設定が正常に完了しました。

Jira:RHEL-139385^[1]

今回のアップデート以前は、システム全体の暗号化ポリシーで禁止されているアルゴリズムを使用した署名を処理する場合、rust-rpm-sequoia ライブラリーは RPM パッケージ管理ツールに一般的なエラーを報告していました。その結果、RPM はこれらのアルゴリズムを使用して RPM パッケージの署名を検証することができなかった。今回のアップデートでは、rust-rpm-sequoia がcrypto-policies で許可されていないアルゴリズムに遭遇した場合、NOTTRUSTED エラーメッセージを報告するようになりました。その結果、crypto-policies を 使用すれば、RPM がパッケージ全体の検証に失敗することなく、パッケージの署名に使用されるアルゴリズムの 1 つを無効にできます。

Jira:RHEL-144414