6.7 テクニカルノート

バグ修正

BZ#1193243

対応するバックエンドデータベースなしで接尾辞マッピングツリーエントリーが作成されると、サーバーは起動できませんでした。このバグは修正されています。

BZ#1145072

パスワードポリシー属性の値が削除されると、null 参照とサーバーの予期しない終了が発生していました。これらのクラッシュは発生しなくなります。

BZ#1080185, BZ#1138745

今回の更新で、BZ#1080185 の以前のパッチが原因で原因のメモリーリークが修正されました。

BZ#1048987

Virtual List View 検索が timelimit または adminlimit パラメーターを超えて失敗すると、IDL に割り当てられたメモリーがリークしなくなりました。

BZ#1162704

cn=config エントリーの passwordAdminDN の検索で存在しない値が返されると、メモリーリークは発生しなくなります。

BZ#1169975

Service クラス(CoS)キャッシュを再構築すると、メモリーリークが生じなくなりました。

BZ#1115960

上記のパスワードポリシーが期待どおりに選択されなかった場合のネストされた CoS のバグが修正されました。

BZ#1169974

SASL バインド操作が失敗し、Account Lockout が有効になっている場合、Root DSE エントリーは passwordRetryCount で正しく更新されなくなります。

BZ#1145379

Directory Manager およびパスワード管理者に対するパスワード制限および構文チェックは、これらのロールが影響を受けないように適切に適用されるようになりました。

BZ#1175868、BZ#1166313

大規模なグループの検索によるパフォーマンスの低下は、正規化された DN キャッシュを導入することで修正されました。

BZ#1153739

SSLv3 の既知の脆弱性により、このプロトコルはデフォルトで無効になりました。

BZ#1207024

今回の更新では、サプライヤーとコンシューマー間で負荷分散されていないプロセスの速度でレプリケーションが応答しなくなることがないように、フロー制御が追加されました。

BZ#1171308

add: userPassword 操作を複製するバグが修正されました。

BZ#1145374, BZ#1183820

Windows 同期プラグインコードのバグにより、AD のみのメンバー値が誤って削除されました。現在、ローカルエントリーとリモートエントリーが適切に処理され、データの損失を防ぎます。

BZ#1144092

スキーマの再読み込みを実行すると、実行中の検索で結果が返されないことがありました。現在、リロードが完了するまで古いスキーマは削除されません。検索結果が破損しなくなりました。

BZ#1203338

Berkeley DB ライブラリーは、Directory Server がインデックスファイルを同時に開き、cn=monitor サブツリーで検索を実行すると、予期せず終了しました。2 つの操作は相互に排他的になり、クラッシュを防ぎます。

BZ#1223068, BZ#1228402

簡単なページングされた結果要求が Directory Server に非同期的に送信され、すぐに破棄されると、検索結果が漏洩する可能性があります。また、簡単なページングされた結果の実装はスレッドセーフではありませんでした。今回の更新で、リークが修正され、コードがスレッドセーフになるように変更されるようになりました。

機能拡張

BZ#1167976

新しい memberOf プラグイン設定属性 memberOfSkipNested が追加されました。この属性を使用すると、ネストされたグループチェックをスキップでき、削除操作のパフォーマンスが向上します。

BZ#1118285

Directory Server は、NSS ライブラリーでサポートされる TLS バージョンをサポートするようになりました。

BZ#1193241

logconv.pl ユーティリティーが更新され、アクセスログに SSL/TLS バージョンに関する情報が追加されました。

バグ修正

BZ#1181207

NetworkManager は、キックスタートインストールを使用してカーネルコマンドラインのボンディングパラメーターを処理できず、予期せず終了する可能性があります。今回の更新で、キックスタートインストールが正常に実行されるようになりました。

BZ#1156564

nm-connection-editor を介して特定のユーザーにのみ利用可能な接続を追加すると、NetworkManager デーモンによる不完全な接続が解釈される可能性があります。この意図しない設定を適用すると、NetworkManager が予期せず終了しました。現在、無効な接続が作成されず、NetworkManager がクラッシュしなくなりました。

BZ#1173245

Available to all users および Ask for this password every time 設定でワイヤレスエンタープライズ接続(802.1X ベース)をエディターに保存すると、保存後に消えます。今回の更新で、nm-connection-editor で無効な接続を保存できなくなりました。

BZ#1076169

以前は、NetworkManager は DHCPv6 の設定に失敗し、IPv6 が設定されていないことがありました。今回の更新により、NetworkManager は RA フラグを正しく解析し、想定通りに DHCPv6 を実行します。

BZ#1085015

今回の更新で、Create New Ad-Hoc Wireless Network" nm-applet メニューエントリーの翻訳が修正されました。

BZ#1003877

プライマリーボンディングオプションは、NetworkManager および nm-connection-editor では適切に処理されませんでした。今回のリリースより、アクティブバックアップボンディングを使用した設定は意図されたとおりに機能するようになりました。

BZ#1157867

エイリアス ifcfg ファイルを削除すると、NetworkManager はエイリアスとベースインターフェイスの両方を切断します。これは修正されています。

BZ#1167491

ユーザーにゲートウェイ IP のタイプが間違っていると、警告は出されませんでした。nm-connection-editor は、正しくないゲートウェイフィールドをユーザーに通知するようになりました。

BZ#1207599

NetworkManager の設定に重複する IPv6 アドレスが含まれる場合があります。今回の更新で、D-Bus インターフェイスおよび nmcli ツールで、重複した IPv6 アドレスが使用されるようになりました。

BZ#1213327

NetworkManager と nm-applet の両方が停止し、nmcli con コマンドを実行すると、nmcli ツールが応答しなくなる可能性がありました。

BZ#1111672

欠落している、または 0.0.0.0 の次ホップアドレスを持つ接続は、無効とみなされていました。

機能拡張

BZ#979181

以前は、NM_CONTROLLED=no 設定は、HWADDR も設定されている場合にのみ機能していました。NM_CONTROLLED=no および DEVICE=<interface> を設定して、デバイスが管理解除されるように指定できるようになりました。

BZ#1063661

NetworkManager では、ボンドデバイスに VLAN を設定できませんでした。また、ボンディング上の VLAN を使用した Anaconda インストールは機能しませんでした。今回の更新で、イーサネットボンドおよびイーサネットブリッジ(IEEE 802.1d)の上に VLAN (IEEE 802.11q)がサポートされるようになりました。

BZ#905641

今回の更新で、nm-connection-editor が強化され、IP アドレスとルートの編集が容易になりました。さらに、nm-connection-editor は、タイプミスと誤った設定を自動的に検出して強調表示しようとします。

BZ#1056790

今回の更新で、NetworkManager は静的 IP アドレスを設定する際に arping をサポートしているため、ローカルネットワーク上の他のノードに対して静的に設定された IPv4 アドレスがアナウンスされるようになりました。

BZ#1046074

NetworkManager が、ブリッジインターフェイスの ifcfg ファイルで BRIDGING_OPTS で設定される "multicast_snooping" オプションに対応するようになりました。

BZ#1200131

今回の更新により、カスタム DNS オプションを接続プロファイルで設定できるようになりました。DNS オプションは、ifcfg ファイルの RES_OPTIONS 変数を使用して読み取りと書き込みされます。

バグ修正

BZ#1140837

この更新より前は、RPM v3 バイナリーを使用してカスタムおよびサードパーティーの署名パッケージを再署名した場合、PackageKit はこれらのパッケージのインストールを処理できませんでした。その結果、GUI を使用した特定のパッケージのインストールに失敗し、次のエラーメッセージが表示される可能性がありました。

pct = div *(ts_current - 1)+ pct_start +((div / 100.0)* val)

今回の更新で、このようなまれなケースに対応するように PackageKit が修正され、上記の状況でインストールが失敗することはなくなりました。

BZ#1172119

以前は、MAILTO 受信者が /etc/sysconfig/packagekit-background ファイルに設定されている場合、/etc/cron.daily/packagekit-background.cron スクリプトは、メールレポートを送信する前に、pkcon コマンドからの戻り値のみをチェックしていました。その結果、特定の状況で不要な空メールが 2 つ送信されました。今回の更新で、ファイルが空の場合、$PKTMP ファイルは電子メールで送信されず、役立つ情報を含むメールのみが上記のシナリオで送信されるようになりました。

バグ修正

BZ#1125304

Red Hat Enterprise Linux CEQ の X Virtual Frame Buffer (Xvfb)に加えられた変更により、Xvfb ルート境界の外に置かれた SDL ウィンドウで使用すると、XGrabPointer （）関数は値 0 を返します。その結果、SDL プログラムが元の戻り値を想定すると、問題が発生する可能性があります。この更新により、SDL ライブラリーは新しい動作に準拠し、このライブラリーを使用するプログラムが期待どおりに機能するようになりました。

バグ修正

BZ#1205603

libX11 ライブラリーをアップグレードせずに SDL ライブラリーをアップグレードしようとすると、アプリケーションが以下のエラーを出力する可能性がありました。

シンボルルックアップエラー：/usr/lib64/libSDL-1.2.so.0: 未定義シンボル：SDL の更新後の _XGetRequest

この更新により、SDL 仕様ファイルが変更され、古い libX11 バージョンを持つシステムでのアップグレードが防止されます。その結果、上記のエラーは発生しなくなります。

バグ修正

BZ#1199261

abrt-addon-ccpp プロセスは、rsyslog デーモンを使用してメッセージをログに記録します。rsyslog が予期せず終了すると、/dev/log ソケットが解放されなかったため、abrt-addon-ccpp がデッドロック状態になる可能性がありました。このバグを修正するために基礎となるソースコードが変更され、上記の状況ではデッドロックが発生しなくなりました。

BZ#1208154

bootloader プラグインの名前が boot に変更されました。ただし、ABRT は、SOS レポートを生成する際に古い名前を使用しました。その結果、ABRT はクラッシュレポートに SOS レポートデータを含めませんでした。この更新により、ABRT は正しい名前を使用し、期待どおりに SOS レポートを生成するようになりました。

BZ#1212095

以前は、シンボリックリンクに従うため、libreport ライブラリーは、dump ディレクトリーのファイルまたはモードのモードを変更する可能性がありました。また、libreport は新しいダンプディレクトリーの所有権を変更する可能性があります。この動作により、セキュリティーの問題が発生する可能性があります。今回の更新により、このバグが修正され、libreport がモードまたは所有権を変更しなくなりました。

Enhancement

BZ#1150197, BZ#1152222, BZ#1153311

今回の更新で、ABRT マイクロレポーティングが導入されました。クラッシュが発生すると、マイクロレポート と呼ばれる問題に関する認証済みレポートを送信できるようになりました。これらのレポートには、問題、およびオプションでホスト名、マシン ID、および RHN アカウント番号を説明する機密性の低いデータが含まれます。マイクロレポート は、Red Hat がバグの発生を追跡してクラッシュに対するインスタントソリューションを提供するのに役立ちます。マイクロレポートの詳細は、https://access.redhat.com/node/642323 を参照してください。

バグ修正

BZ#1145812

カスタムストレージ画面で mountpoint and format を EFI システムパーティションとして選択すると、次のエラーメッセージが表示されました。

/boot/efi パーティションを作成していない。

今回の更新で、起動デバイスの検索方法が変更されました。その結果、許容可能なブートデバイスがあり、上記の状況ではエラーが報告されません。

BZ#1139606

GUID パーティションテーブル(GPT)ディスクを使用する場合、Anaconda インストーラーは PowerPC Reference Platform (PReP)パーティションに boot フラグを設定します。その結果、パーティションの GUID が PReP ではなく EFI システムパーティションに変更されました。GPT ディスクを使用する場合、ブートフラグは EFI パーティションとしてフォーマットされたブートパーティションでのみ設定され、PReP パーティション GUID は ESP GUID に置き換えなくなりました。

BZ#1153376

LVM 物理ボリューム(PV)とボリュームグループ(VG)のサイズは、予想よりも小さくなることがありました。したがって、Anaconda は、VG の使用可能な領域よりも大きい論理ボリューム(LV)の作成を試みることがありました。現在、Anaconda は LV の作成時に利用可能な領域の量を検証し、要求が大きすぎると、利用可能な領域のみが使用されます。また、storage.log ファイルに警告メッセージが含まれています。

BZ#1129499

特定の状況下では、名前によるデバイスの検索に失敗すると、関数は no such device を正常に返す代わりに失敗しました。これにより、Anaconda が予期せず終了しました。今回の更新により、名前によるデバイスルックアップに失敗すると、エラーではなく、何も検出されなかったかのように扱われるようになりました。

BZ#1083586

以前は、Anaconda は Linux フレームバッファー(fbdev)の後に vesa ドライバーを強制していました。これにより、起動中に X サーバーが予期せず終了する可能性があります。Anaconda がクラッシュしなくなりました。

BZ#979163

一部のサーバーは、リンクが使用可能であると報告されるため、初期化に非常に時間がかかるネットワークカードを使用します。そのため、キックスタートファイルのダウンロードに失敗していました。今回の更新で、デバイスが接続として報告される前に、ping でゲートウェイをチェックする NetworkManager の機能を使用することで、nicdelay インストーラー起動オプションのサポートが再度追加されます。その結果、ネットワークカードを持つサーバーの初期化に非常に長い時間がかかる場合、nicdelay 起動オプションを使用して、キックスタートのダウンロードが失敗しないようにすることができます。

BZ#1168024

VNC サーバーの起動時に、Anaconda は常に --nevershared オプションを渡して、Anaconda は VNC 接続を 1 つだけ許可していました。この更新により、-nevershared オプションが削除されました。ユーザーは、VNC クライアントの-shared オプションを使用して、共有接続に接続する必要があります。

BZ#1021445

Anaconda インストーラーは、/boot と同じディスクにあるディスクを優先して prepboot ディスクを検索しました。ユーザーが /boot を含むすべてのパーティションを削除すると、オブジェクトは NoneType になります。その結果、Anaconda が予期せず終了しました。今回の更新で、上記の状況で安全なデフォルトを実行するためのガードが追加されました。

機能拡張

BZ#1144979

IBM System z では、LDL 形式の Direct Access Storage Devices (DASD)が検出されると、Anaconda インストーラーに、問題を説明し、Compatible Disk Layout (CDL)をフォーマットするオプションと共に検出された Linux Disk Layout (LDL) DASD のリストを表示するようになりました。LDL DASD はカーネルによって認識されていましたが、インストーラーでは正式にはサポートされていませんでした。ユーザーは、検出された LDL DASD を CDL としてフォーマットするかどうかを選択できるようになりました。

BZ#1083459

今回の更新で、Anaconda インストーラーおよびキックスタート設定内のデバイスタイプとして LVM シンプロビジョニングのサポートが追加されました。

バグ修正

BZ#994201

atd デーモンでの競合状態処理が正しくないため、atd が予期せず終了しました。今回の更新で、atd が競合状態を正しく処理し、上記のシナリオでatd が終了しなくなりました。

BZ#1166882

以前は、"at" コマンドは、fclose （）関数呼び出しの戻り値を適切にチェックしませんでした。これにより、/var/spool/at ファイルシステムがいっぱいになると、at が、spool ディレクトリーに古いファイルが残される可能性がありました。今回の更新により、at は fclose （）の戻り値を適切にチェックし、at は上記のシナリオで空のファイルをスプールのままにしなくなりました。

バグ修正

BZ#1112388

以前は、/etc/cgconfig.conf ファイルで使用される一部の cgroup コントローラータイプは認識されませんでした。その結果、Augeas で解析エラーが発生し、エラーメッセージが返されました。今回の更新により、Augeas モジュールは、これらのコントローラー名を含むファイルを期待どおりに解析できるようになりました。

BZ#1121263

サービス名にコロンを含む /etc/services ファイルのエントリーにより、ファイルの解析が妨げられません。この更新により、services.aug ファイルの service_name フィールドがコロン文字をサポートできるようになり、前述のエントリーを正常に解析できるようになりました。

BZ#1129508

/etc/rsyslog.conf のエントリーが Transmission Control Protocol (TCP)でリモートロギング用に設定されている場合、バグはファイルを解析できませんでした。基礎となるソースコードが修正され、この設定を含むファイルが正常に解析されるようになりました。

BZ#1144652

デフォルトでは、/etc/sysconfig/iptables.save ファイルが誤ったモジュールによって解析され、解析の失敗と Augeas によって報告されたエラーが発生していました。誤ったモジュールが正しいモジュールに置き換えられ、/etc/sysconfig/iptables.save がデフォルトで正しく解析されるようになりました。

BZ#1175854

以前は、Augeas ユーティリティーは /etc/kdump.conf ファイルの ssh パラメーターおよび fence_kdump_*" パラメーターを正しく解析しませんでした。その結果、Augeas を使用して kdump 設定でこれらのパラメーターを編集できませんでした。この更新により、Augeas が "ssh" と "fence_kdump_*" を解析するように更新され、上記の問題は発生しなくなります。

BZ#1186318

以前は、ug_match API は、特殊文字がエスケープされておらず、それ以上の API 呼び出しで使用しないファイルのパスとノードのパスを返していました。そのため、特別に構築されたファイル名が原因で、Augeas 上に構築されたプログラムが正しく機能しなくなり、そのようなプログラムでエスケープを実装することはできませんでした。今回の更新で、ugug_match から返されたパスをエスケープし、aug_match から返されたパスは、さらに API 呼び出しで安全かつ確実に使用できるようになりました。

BZ#1203597

今回の更新以前は、Augeas は中括弧("{}")を持つ値を含む /etc/krb5.conf 設定ファイルを解析できませんでした。このバグを修正するために、Augeas lens (parser)が krb5.conf 設定値でこれらの文字を処理するように修正され、Augeas は想定通りにこれらの krb5.conf ファイルを解析できるようになりました。

BZ#1209885

以前。augeas は空白行で始まる複数行値を含む .properties (Java スタイルの)ファイルを解析できませんでした。augeas lens (parser)が空の開始行を受け入れるように修正され、このバグが修正されました。

Enhancement

BZ#1160261

シャドウパスワードファイルを解析するために、Augeas に /etc/shadow ファイル形式の lens が追加されました。

バグ修正

BZ#1145137

今回の更新以前は、authconfig コマンドで複数の LDAP (Lightweight Directory Access Protocol)サーバーを指定できませんでした。このバグは修正され、複数の LDAP サーバーを期待どおりに指定できるようになりました。

BZ#1194397

以前は、authconfig ユーティリティーは net join を呼び出すときに--winbindjoin オプションによって提供されるパスワードを渡しませんでした。その結果、ユーザーはパスワードの入力を求められました。現在、authconfig から net join にパスワードは自動的に渡され、ユーザーはこの状況でパスワードを提供する必要がなくなりました。

セキュリティーの修正

CVE-2014-8169

Python などのインタープリター言語を使用してこれらの言語のモジュールを見つけてロードするプログラムベースの自動マウントマップが見つかりました。ローカル攻撃者は、この不具合を利用してシステム上の権限を昇格する可能性があります。

注記

この問題は、影響を受ける環境変数に AUTOFS_ 接頭辞を追加することで修正され、システムのサブスクライブに使用されなくなりました。この接頭辞をオーバーライドしたり、接頭辞なしで環境変数を使用したりするための設定オプション(force_standard_program_map_env")が追加されました。さらに、警告が man ページとインストールされた設定ファイルに追加されました。デフォルトでは、プログラムマップの標準の変数には接頭辞の名前が追加された状態でのみ提供されるようになりました。

バグ修正

BZ#1163957

有効なマウントの前に ls*" コマンドが実行された場合、マウントポイントが有効かどうかにかかわらず、autofs プログラムはマウントポイント内の追加のマウント試行に失敗していました。マウントの試行中に、間接マウントのルートディレクトリーの ls *" コマンドが実行され、これにより*のマウントが試行され、負のマップエントリーキャッシュに追加されます。このバグは、負のマップエントリーキャッシュの更新中に*をチェックし、追加しないことで修正されています。

BZ#1124083

設計による autofs プログラムは、NFS サーバーエクスポートリストで重複したエクスポートであったホストマップエントリーをマウントしませんでした。マルチマウントマップエントリーの重複エントリーは構文エラーとして認識され、重複エントリーが発生したときに autofs はマウントの実行を拒否します。今回のリリースより、autofs は、失敗するのではなく、重複エントリーの最後のインスタンスをマウントするように変更され、ログファイルに問題を報告してシステム管理者に警告するようになりました。

BZ#1153130

autofs プログラムは、マスターマップの yp マップタイプを認識しませんでした。これは、マスターマップパーサーの別の変更によって、マスターマップでのタイプのマッピングに関連するマップ形式を検出する問題を修正しました。変更により、yp マップのタイプ比較の長さが正しくなくなり、一致操作が失敗していました。このバグは、比較に使用される長さを修正することで修正されました。

BZ#1156387

autofs プログラムは、NFS サーバーからエクスポートされたネットワーク共有の Sun 形式マップのエクスポートリストを更新しませんでした。これは、Sun-format マップパーサーの変更が原因で、ホストマップの更新がマップの再読み取り操作で機能を停止していたために発生しました。このバグは、Sun 形式のマップに対してのみこのタイプの更新を選択的に防止することで修正されました。Sun-format マップ上のエクスポートリストの更新が表示され、エクスポートリストの更新が Sun 形式のホストマップではサポートされなくなりました。

BZ#1175671

Sun-format マップを追加するために行われた変更内で、特定の状況で Sun-format マップパーサーでセグメンテーションフォールトを引き起こした誤ったチェックが追加されました。これは、誤ったチェックの目的を分析し、障害を起こさずに条件を適切に特定するために変更することで修正されています。

BZ#1201195

autofs プログラムマップルックアップモジュールのバグが原因で、マップ形式のタイプが正しく比較されました。誤った比較により、Sun-format プログラムが未使用のマクロ定義につながりました。比較のバグが修正され、Sun-format プログラムマップにマクロ定義が存在しないようになりました。

バグ修正

BZ#1015671

以前は、b43-openfwwf ファームウェアは、Broadcom の closed-source b43 ファームウェアとして誤って認識され、b43 ドライバーは Broadcom b43 ファームウェアの動作を想定していました。この更新により、ファームウェアイメージがインストールされている場所が修正され、b43-openfwwf ファームウェアが正しく認識されるようになりました。

バグ修正

BZ#839249

以前は、bacula デーモン名の長さは 30 文字に制限され、追加の文字はエラーメッセージを表示せずに自動的に切り捨てられていました。切り捨てられた名前は他のアプリケーションに渡され、その結果、期待どおりに機能しませんでした。今回の更新により、制限が 64 文字を超えるため、名前の長さはカットされなくなりました。

バグ修正

BZ#1148507

この更新より前は、Bash は、名前にハイフンが含まれている、以前にエクスポートされた関数のインポートを拒否していました。そのため、このような関数を使用していたスクリプトが正しく機能せず、Bash によって以下のエラーメッセージが出力されます。

bash: error importing function definition for 'BASH_FUNC_function-name'

この更新により、Bash はインポートされた関数の名前にハイフンを受け入れるようになりました。

BZ#1150544, BZ#1155455

以前は、Bash は、ファイルの終了または文字列の終了文字で終わる here-document を含む関数定義を誤って解析していました。その結果、解析された関数がコピーされ、Bash がセグメンテーションフォールトで終了すると、Bash は無効なメモリーセグメントにアクセスしました。この問題が修正されました。その結果、前述の関数定義が使用されても Bash がクラッシュしなくなりました。

BZ#1119587

ulimit コマンドを説明する Bash の man ページのセクションには、POSIX モードの-c オプションおよび "-f" オプションに 512 バイトのブロックが使用されるという事実は含まれていません。この情報は追加されました。

バグ修正

BZ#1112356

以前は、BIND の Response Rate Limiting (RRL)コードでslip オプションが正しく処理されず、各クエリーの後にクエリーの数がリセットされませんでした。また、他のすべてのクエリーの後に、クエリーの数がリセットされませんでした。その結果、RRL 機能のslip 値が 1 に設定され、すべてのクエリーをシップするのではなく、他のすべてのクエリーは削除されました。このバグを修正するために、設定に従って変数を正しくリセットするように RRL コードが変更されました。RRL 機能の "slip" 値が 1 に設定されている場合、すべてのクエリーは期待どおりに slipped されるようになりました。

BZ#1142152

BIND は、動的データベース(dyndbAPI から)によって返されるエラーを誤って処理していました。したがって、特定の状況では、シャットダウン時に BIND がデッドロックになる可能性がありました。dyndb API は、動的データベースがエラーを返した後、BIND のシャットダウン中にデッドロックを発生させないように修正され、上記の状況で BIND が正常にシャットダウンするようになりました。

BZ#1146893

Simplified Database Backend (SDB)アプリケーションインターフェイスが予期しない SDB データベースドライバーエラーを適切に処理しなかったため、このようなエラーが発生した場合、SDB で使用された BIND が予期せず終了する可能性がありました。今回の更新により、これらのエラーを正しく処理するために SDB アプリケーションインターフェイスをクリーンアップし、SDB で使用される BIND がクラッシュしなくなりました。

BZ#1175321

beginexclusive （）関数の競合状態により、設定の読み込み中に BIND DNS サーバー（名前）が予期せず終了する可能性があります。このバグを修正するために、パッチが適用され、競合状態は発生しなくなります。

BZ#1215687

以前は、リゾルバーの負荷が大きい場合、一部のクライアントはサーバーから SERVFAIL 応答を受信し、BIND ログに大量のメモリー不足/成功のログメッセージを受信することがありました。また、TTL (1)が低いキャッシュされたレコードは早期に有効期限が切れる可能性があります。リゾルバーの内部ハードコーディングされた制限が増加し、TTL (1)が低いキャッシュされたレコードが期限切れになりました。これにより、負荷が大きい場合、リゾルバーが制限に到達せず、メモリー不足/成功ログメッセージが受信されなくなります。TTL (1)が低いキャッシュされたレコードは、早期に期限切れにならなくなりました。

Enhancement

BZ#1176476

ユーザーは、BIND 設定の Response Policy Zone (RPZ)で RPZ-NSIP および RPZ-NSDNAME レコードを使用できるようになりました。

バグ修正

BZ#1175318

以前は、bind-dyndb-ldap 2.x ドライバー(Red Hat Enterprise Linux 6.x で使用される)は、正引きゾーンが(Red Hat Enterprise Linux 7.1 で使用される) bind-dyndb-ldap 6.x と同じレプリケーショントポロジーにある場合、正しく処理されませんでした。その結果、正引きゾーンはすべてのレプリカで機能を停止しました。基盤となるソースコードにこのバグを修正するためにパッチが適用され、正引きゾーンは上記の状況で引き続き機能するようになりました。

BZ#1142176

bind-dyndb-ldap ライブラリーは、LDAP サーバーへの認証に使用される Kerberos チケットの現在の時間と有効期限が正しく比較されました。その結果、特定の状況では Kerberos チケットが更新されず、LDAP サーバーへの接続に失敗していました。BIND サービスのリロードが logrotate ユーティリティーによってトリガーされた後に、接続の失敗が頻繁に発生します。このバグを修正するためにパッチが適用され、このシナリオで Kerberos チケットが正しく更新されるようになりました。

BZ#1126841

今回の更新以前は、bind-dyndb-ldap プラグインが特定のデータ構造を誤ってロックしていました。そのため、フォワーダーアドレスの再設定中の競合状態により、BIND が予期せず終了する可能性がありました。このバグが修正され、bind-dyndb-ldap がデータ構造を正しくロックするようになり、このシナリオで BIND がクラッシュしなくなりました。

BZ#1219568

以前は、bind-dyndb-ldap プラグインは LDAP 操作中に発生したタイムアウトを誤って処理していました。その結果、非常に特殊な状況では、BIND デーモンが予期せず終了する可能性があります。今回の更新で、LDAP 操作中にタイムアウトを正しく処理できるように bind-dyndb-ldap が修正され、このシナリオで BIND デーモンがクラッシュしなくなりました。

BZ#1183805

/usr/share/doc/bind-dyndb-ldap-2.3/README ファイルにある bind-dyndb-ldap-2.3 のドキュメントには、"idnsAllowTransfer" および "idnsAllowQuery" LDAP 属性が多値であることが誤って記載されていました。その結果、ドキュメントに従って DNS ゾーン転送とクエリーアセンスコントロールリストを設定できませんでした。ドキュメントが修正され、正しい属性構文が説明されるようになりました。

バグ修正

BZ#1175590

IBM System z では、リンカーがスレッドローカルストレージ変数に望ましくないランタイム再配置を生成することがあります。特定の状況で望ましくない再配置により、execmod AVC エラーが発生する可能性があります。このバグは修正され、このシナリオでは AVC エラーが返されなくなりました。

バグ修正

BZ#1133523

以前は、biosdevname ユーティリティーは Vital Product Data (VPD)を正しく解析しませんでした。その結果、NIC 拡張パーティショニング(nPAR-EP)が有効になっている場合、Vindicator 2 Emulex カード上のネットワークインターフェイスの名前が正しく表示されませんでした。VPD 解析が変更され、ネットワークインターフェイス名が正しく表示されるようになりました。

BZ#1207557

今回の更新以前は、biosdevname ユーティリティーは vpd-r:2.0 を使用する NIC で Vital Product Data (VPD)を読み取らなかったため、特定の NIC で NIC のパーティショニング(NPAR)が有効になっている場合に、ネットワークインターフェイス名が正しくないことがありました。今回の更新により、NIC に vpdr:2.0 があり、NPAR が有効になっている場合はインターフェイス名が期待どおりに形成される場合にも、biosdevname が VPD データを読み取るようになりました。

BZ#1212449

スロット番号の派生に使用されるスキームにより、biosdevname ユーティリティーは、オンボード NIC の仮想機能(VF)に適切な名前が入力されませんでした。今回のリリースより、オンボード NIC の VF を有効にするスキームも、適切な名前を持つことができるようになりました。

機能拡張

BZ#1158564

新しい Mellanox ドライバーの属性で、FCoE デバイスの命名を無視できる。

BZ#1003465, BZ#1084225

今回の更新で、Mellanox からの 10-GB のイーサネットアダプター命名スキームが実装されるようになりました。biosdevname ユーティリティーは、同じ PCI デバイス上に 2 つの物理ポートを持つ Mellanox 10-GB Ethernet adapters 用に予期されるネットワークインターフェイス名を生成します。/sys/class/net/<iface>/dev_port 属性は、ネットワークインターフェイスを区別するように設計されています。

バグ修正

BZ#1169501

Boost.MPI ライブラリーを使用して C++ プログラムをコンパイルすると、コンパイルプロセスは、以前は "boost::mpi::environment::environment (bool) " 記号を見つけ、"undefined reference" エラーで終了しませんでした。この更新により、欠落しているシンボルが追加され、記述されたコンパイルプロセスが実行ファイルを正常に作成できるようになりました。

BZ#1128313

以前は、ブースパッケージにより、依存関係として異なるアーキテクチャーのパッケージを使用する可能性があり、Boost クライアントの機能にさまざまな問題が生じる場合がありました。今回の更新により、依存関係宣言は関連するパッケージのアーキテクチャーを指定し、Boost クライアントの正しい操作に必要なすべてのパッケージが正しくダウンロードされるようになりました。

BZ#1167383, BZ#1170010

今回の更新以前は、多くの Boost ライブラリーは、Red Hat Developer Toolset で提供される GNU コンパイラーコレクション(GCC)と互換性がありませんでした。この問題に対処するために修正が実装され、影響を受けるライブラリーが Red Hat Developer Toolset GCC で適切に機能するようになりました。

バグ修正

BZ#1163023

この更新以前は、ユーザーが Red Hat Enterprise Linux 6.5 から Red Hat Enterprise Linux 6.5 にアップグレードし、システムを再起動した後、certmonger は起動直後に誤って終了し、新しい証明書の一連の不要なチェックが実行されていました。このバグを修正するためにパッチが適用され、上記の状況ではこれらの問題は発生しなくなります。

BZ#1178190

以前は、getcert list コマンドで "pre-save command" と "post-save command" の値が表示されませんでした。その結果、getcert list を実行すると、不完全な結果が返される可能性がありました。今回の更新で問題が修正され、getcert list を実行すると、"pre-save command" と "post-save command" の値が期待どおりに表示されるようになりました。

機能拡張

BZ#1161768

certmonger サービスは、Simple Certificate Enrollment Protocol (SCEP)をサポートするようになりました。サーバーから証明書を取得するため、ユーザーは SCEP を介した登録を提供できるようになりました。

BZ#1169806

IdM クライアントのキックスタート登録中に getcert ユーティリティーを使用して証明書を要求すると、certmonger を実行する必要がなくなりました。以前は、certmonger が実行されていないため、これを試行できませんでした。今回の更新により、getcert は、D-Bus デーモンが実行されていない条件で、上記の状況で証明書を正常に要求できるようになりました。certmonger は、この方法で取得した証明書の監視を開始するために、システムを再起動する必要があります。

BZ#1222595

以前は、ユーザーが "getcert list" コマンドを実行した後、証明書に設定されている場合、出力に PIN 値が含まれていました。その結果、ユーザーは、コマンドの出力をパブリックに共有することで、PIN を意図せずに公開する可能性があります。今回の更新で、getcert list 出力には、証明書に PIN が設定されていることに注意してください。その結果、PIN 値自体が "getcert list" の出力に表示されなくなりました。

バグ修正

BZ#965103

以前は、chkconfig ユーティリティーが /etc/xinetd.d/ ディレクトリー内のファイルを変更すると、ファイルパーミッションは 644 に、SELinux コンテキストが root:object_r:etc_t に設定されていました。ただし、このようなパーミッションは、他のユーザーによる /etc/xinetd.d/ 内のファイルを必要とする Defense Information Systems Agency's (DISA)セキュリティー技術実装ガイド(STIG)に準拠しません。今回の更新により、chkconfig は、変更する xinetd ファイルに 600 パーミッションがあり、正しい SELinux コンテキストが保持されるようになりました。

バグ修正

BZ#1080482

以前は、正しい Kerberos 認証情報を指定した場合でも、/etc/krb5.conf ファイルの default_keytab_name 設定を使用して、システムのキータブがデフォルト以外の場所に保存されている場合、CIFS 共有のマウントに失敗していました。ただし、default_keytab_name がデフォルトの /etc/krb5.keytab ファイルを参照すると、マウントに成功しました。cifs.upcall ヘルパープロセスは、default_keytab_name を使用して指定されるデフォルト以外のキータブの場所を参照するように変更されました。その結果、キータブがデフォルト以外の場所に保存されている場合でも、CIFS マウントが期待どおりに機能するようになりました。

バグ修正

BZ#1149516

以前は、gfs2_convert ユーティリティーまたは特定の破損により、ondisk inode "di_goal_meta" フィールドに偽の値が発生することがありました。そのため、これらの偽の値が GFS2 ブロックの割り当てに影響し、そのような inode で EBADSLT エラーが発生する可能性があり、通常のファイルにおけるディレクトリーや新しいブロックでの新規ファイルの作成が禁止される可能性があります。今回の更新で、gfs2_convert が正しい値を計算するようになりました。fsck.gfs2 ユーティリティーには、間違った inode ゴール値を特定して修正する機能もあり、上記の問題は発生しなくなります。

BZ#1121693

gfs2_quota、gfs2_tool、gfs2_grow、および gfs2_jadd ユーティリティーは、親 gfs2 ファイルシステムのマウントに使用する context オプションと一致する context マウントオプションと一致する gfs2 メタファイルシステムをマウントしませんでした。したがって、SELinux を有効にして実行すると、影響を受ける gfs2 ユーティリティーが失敗していました。上記の gfs2 ユーティリティーが、gfs2 ファイルシステムの context マウントオプションをメタファイルシステムに渡すように更新され、SELinux が有効な場合には失敗しなくなりました。

BZ#1133724

設定のリロード時に dlm_controld デーモンの競合状態がトリガーされる可能性がありました。これにより、ダングリングファイルポインターが書き込まれていました。その結果、特定のまれな条件では、dlm_controld がセグメンテーションフォールトで予期せず終了し、分散ロックマネージャー(DLM)ロックスペースを管理対象外のままにし、システムの再起動を要求することがありました。このバグは修正され、設定が更新されると dlm_controld がクラッシュしなくなりました。

BZ#1087286

以前は、resource-agents スキームの更新中にエラーが発生しませんでした。その結果、resource-agents スキーマの更新中にエラーが発生した場合、更新は警告なしで失敗し、後で cman サービスの開始も失敗する可能性がありました。今回の更新により、問題の発生時にスキーマエラーが報告され、アップグレード時に修正アクションを実行できるようになりました。

機能拡張

BZ#1099223

クォーラムディスクの投票がデフォルトが 1 に設定されている場合や、投票数が明示的に 1 に設定されている場合に、qdiskd デーモンは master_wins モードを自動的に有効にするようになりました。その結果、クォーラムディスクの設定はドキュメントとより一貫性が高くなり、設定が間違っていることがなくなります。

BZ#1095418

新しいエラーメッセージが qdiskd デーモンに追加されました。これにより、3 つ以上のノードを持つクラスターにヒューリスティックが設定されていなければ、qdiskd が起動できなくなります。tie-break が発生した場合に、クォーラムデバイスを使用する 3 つ以上のノードを持つクラスターでヒューリスティックが必要になります。ヒューリスティックが指定されず、クラスターに 3 つ以上のノードが含まれている場合、cman サービスは起動に失敗し、エラーメッセージが返されます。この動作により、設定ミスが回避されます。

バグ修正

BZ#1111249, BZ#1114622

内部 ricci API は、クラスター化されたリソースを一時的に停止する機能を備えたため、RHBA-2015:20054 エラータに記載されている luci パッケージの BZ#1111249 拡張要求を解決するために使用されていました。

バグ修正

BZ#1115626

以前は、ユーザーが連絡先レス PIV カードを挿入した後、coolkey は接続レスな方法でアクセスできませんでした。その結果、カードステータスが一貫性のない状態になり、Enterprise Security Client (ESC)がカードを検出できなかったことを示すライトがなくなりました。このパッチを使用すると、coolkey は PIV 認証、PIV 署名、または PIV キー交換キーの代わりに、カード証明書または鍵にアクセスします。その結果、ユーザーが連絡先のない PIV カードを挿入すると、ECS はそれを正常に検出するようになりました。

バグ修正

BZ#1136431

corosync ユーティリティーに IPv6 ネットワークを設定し、Network Interface Controller (NIC)またはスイッチでパケットの断片化が無効になっていると、パケットは配信されませんでした。この更新では、データフラグメントサイズが正しく計算され、パケットは意図されたとおりに配信されます。

機能拡張

BZ#1163846

UDP ユニキャスト(UDPU)プロトコルを使用する場合、すべてのメッセージがアクティブなメンバーのみに送信されるのではなく、設定されたすべてのメンバーに送信されていました。これは、検出メッセージのマージに意味があります。そうしない場合、不足しているメンバーへの不要なトラフィックが作成され、ネットワーク上で過剰なアドレス解決プロトコル(ARP)要求が発生する可能性があります。corosync コードは、必要時に不足しているメンバーにのみメッセージを送信するように変更されました。それ以外の場合は、アクティブなリングメンバーにのみメッセージを送信するようになりました。そのため、ほとんどの UDPU メッセージは、マージの適切な検出に必要なメッセージ(1-2 pkts/sec)を除き、アクティブメンバーにのみ送信されるようになりました。

BZ#742999

今回の更新で、RRP (Redundant Ring Protocol)モードの使用時に、ネットワークインターフェイスが IP アドレス、ポート、および IP バージョンであるかどうかをテストするように corosync パッケージが変更されました。corosync は設定ファイルの正確性を適切にチェックし、RRP モードの使用時にの失敗を防ぐようになりました。

バグ修正

BZ#728999

以前は、パッケージビルドスクリプトのデバッグオプションが無効になりていました。そのため、cpufrequtils ユーティリティーの debuginfo パッケージは生成されませんでした。この更新により、ビルドスクリプトのデバッグオプションが有効になり、cpufrequtils バイナリーファイルで debuginfo オプションが利用できるようになりました。

Enhancement

BZ#730304

この更新より前は、cpufreq-aperf ユーティリティーに man ページがありませんでした。cpufreq-aperf に関する詳細情報をユーザーに付与するために、man ページが追加されました。

Enhancement

BZ#1187332

turbostat ユーティリティーは、モバイルおよびデスクトップの 6 番目の Generation Intel Core Processors をサポートするようになりました。

バグ修正

BZ#1196755, BZ#1211828, BZ#1219780, BZ#1225024

以前の更新では、カーネルの変更が intel_pstate ドライバーを導入しました。これは、Red Hat Enterprise Linux 6.7 までスケーリングの管理方法と互換性がありません。その結果、cpuspeed サービスは、システムの起動時に必要なエラーメッセージを出力していました。今回の更新で、intel_pstate を使用するプラットフォームは、performance および powersave スケーリングガバナーのみをサポートし、デフォルトオプションとデフォルト状態が "powersave" になりました。ユーザーが上記のガバナー（例：ondemand またはconservative）とは異なるガバナーを設定している場合は、設定を編集し、2 つの powersave または performance から選択する必要があります。さらに、不要なエラーメッセージが返されなくなりました。

バグ修正

BZ#1179480

AMD64 および Intel 64 カーネルの以前の更新では、STACKFAULT 例外スタックが削除されました。その結果、バックトレースが STACKFAULT 以外の例外スタックで発生した場合、更新されたカーネルで "bt" コマンドを使用すると、間違った例外スタック名が表示されていました。さらに、mach コマンドは、STACKFAULT 以外の例外スタックに誤った名前を表示していました。この更新により、上記の状況でスタック名が適切に生成され、bt と MACh の両方が正しい情報を表示するようになりました。

BZ#1208557

以前は、vmcore ファイルおよび vmlinux ファイルを使用して crash ユーティリティーを実行しようとすると、クラッシュが無限ループに入り、応答しなくなりました。今回の更新で、セッションの初期化中に pid_hash[] チェーンからタスクを収集する際のエラーの処理が強化されました。pid_hash[] チェーンが破損していると、パッチは初期化シーケンスが無限ループに入らないようにします。これにより、crash ユーティリティーの上記の失敗が発生しないようにします。さらに、破損または無効な pid_hash[] チェーンに関連するエラーメッセージが更新され、pid_hash[] インデックス番号が報告されました。

BZ#1073987

特定のシステム設定、kmem -f、kmem -F、および kmem コマンドオプションでは、これまで完了までに非常に長い時間がかかりていました。今回の更新により、空きページのアドレスを保存するために使用される内部ハッシュキューのサイズが増加し、空きページ検索が合理化され、指定されたアドレスを含む NUMA ノードのみがチェックされるようになりました。その結果、上記の kmem オプションはパフォーマンスに悪影響を及ぼさなくなりました。

Enhancement

BZ#1195596

makedumpfile コマンドが、16 TB を超える物理メモリー領域を表すことができる新しい sadump 形式をサポートするようになりました。これにより、makedumpfile ユーザーは、今後実行するサーバーモデルで sadump によって生成された 16 TB を介してダンプファイルを読み取ることができます。

バグ修正

BZ#1204175

Fastrack チャネルでリリースされた以前の cronie エラータによって引き起こされる /etc/anacrontab ファイルの解析のリグレッションにより、/etc/anacrontab ファイルに設定した環境変数は認識されず、エラーメッセージがログに記録されました。これらの更新された cronie パッケージはリグレッションを修正し、anacron ジョブに対して変数が正しく設定されるようになりました。

バグ修正

BZ#1031383

以前は、anacrontab ファイルに誤った設定が含まれていると、anacron プロセスが予期せず終了する可能性がありました。このバグを修正するために、設定設定の形式チェックが修正され、anacron プロセスがクラッシュしなくなりました。

BZ#1082232

今回の更新以前は、crond サブプロセスが予期せず終了した場合、crond pid ファイルが誤って削除される可能性がありました。今回の更新により、crond サブプロセス終了の処理が修正され、削除が行われなくなりました。

機能拡張

BZ#1108384

crond デーモンはシャットダウンをログに記録するようになりました。したがって、正常な終端は異常なものと区別できます。

BZ#1123984

crond デーモンは、getpwnam （）呼び出しの失敗が原因でジョブがスキップされた場合のエラーをログに記録するようになりました。

バグ修正

BZ#951553

HTML ドキュメントの PageLogFormat の誤ったリファレンスが修正され、PageLogFormat ドキュメントにアクセスできるようになりました。

BZ#988062

CUPS Line Printer Daemon バックエンド "sanitize_title" オプションの操作に関するドキュメントが変更され、オプションが明確に説明されるようになりました。

BZ#1145064、BZ#1178370

CUPS スケジューラーの HTTP マルチパート処理の問題により、Web インターフェイスを使用してプリンターを追加しようとすると、一部のブラウザーが想定どおりに機能しませんでした。新しいバージョンからの変更により、すべてのブラウザーでプリンターを追加できるようになりました（問題なく）。

BZ#1161171

Secure Sockets Layer (SSLv3)を無効にし、CUPS で他の安全なプロトコルを有効にすることができませんでした。これにより、CUPS ユーザーが POODLE 攻撃(CVE-2014-3566)に対して脆弱となり、軽減のために stunnel ユーティリティーをデプロイする必要があります。この更新により、デフォルトで SSLv3 サポートが無効になります。SSLv3 を使い続ける必要があるユーザーの場合は、cupsd サービスの cupsd.conf ファイルとクライアントプログラムの client.conf ファイルに SSLOptions 設定ディレクティブが追加されました。

BZ#1164854

BrowsePoll 設定ディレクティブが使用され、アクセスのポーリング用にリモートサーバーが設定されていると、cups-polld プロセスがビジーループで直ちにアクセスが再試行されます。このプロセスは、すべてのプロセッサー時間と増加したネットワークトラフィックを消費しました。今回の更新では、これを防ぐために、10 秒の必須の遅延が導入されました。影響を受けるユーザーは、サーバーの BrowsePoll 行を削除するか、リモートクエリーを許可するようにサーバーを調整して設定を修正する必要があります。

BZ#1170002

CUPS スケジューラーでは、応答がないため、すべてのメンバーが削除された暗黙的なクラスしかない場合でも、印刷キューが誤って存在していました。メンバーが削除された暗黙的なクラスに、個別の Create-Job と Send-Document リクエストを使用してジョブを送信すると、CUPS スケジューラーが NULL 逆参照で予期せず終了しました。この例では、スケジューラーはクラッシュせずにエラーで応答するように修正されています。

BZ#1187840

ジョブ処理コードに NULL チェックがないため、フィルターの失敗により複数のファイルを持つジョブが中止された場合、CUPS スケジューラーが予期せず終了しました。今回の更新で、上記の状況で CUPS スケジューラーがクラッシュしないようにチェックが追加されました。

BZ#1196217

ErrorPolicy 設定ディレクティブは起動時に検証されず、警告なしでデフォルトエラーポリシーを使用できました。ディレクティブが起動時に検証され、設定値が正しくない場合はデフォルトにリセットされるようになりました。目的のポリシーが使用されるか、警告メッセージがログに記録されます。

BZ#1198394

以前の更新では不完全な修正が行われるため、一部の環境変数は起動時に正しく設定されず、SELinux が拒否されました。元の修正の残りの部分が追加され、起動時に変数が正しく設定されるようになりました。

機能拡張

BZ#1115219

CUPS に組み込まれているプリンター間で負荷分散を使用する代わりに、他のプリンターにフェイルオーバーして 1 つのプリンターにジョブを転送できるようになりました。ジョブは、セットの最初の稼働中のプリンターである 優先されるプリンター に送信され、優先されるプリンターが使用できない場合にのみ使用されます。

BZ#1120587

ErrorPolicy ディレクティブと、サポートされている値の説明が、cupsd.conf (5) man ページに追加されました。ErrorPolicy ディレクティブは、バックエンドがプリンターに印刷ジョブを送信できない場合に使用されるデフォルトのポリシーを定義します。

セキュリティーの修正

CVE-2014-3613

受信した HTTP クッキーを解析するときに、libcurl ライブラリーが部分的なリテラル IP アドレスを正しく処理しなかったことが判明しました。攻撃者は、悪意のあるサーバーに接続するユーザーを侵入できる場合、この脆弱性を使用してユーザーの cookie を細工されたドメインに設定する可能性があり、他の cookie 関連の問題が悪用しやすくなる可能性があります。

CVE-2014-3707

libcurl ライブラリーが接続ハンドルの重複を実行する方法に欠陥が見つかりました。アプリケーションがハンドルに CURLOPT_COPYPOSTFIELDS オプションを設定する場合、ハンドルの重複を使用すると、アプリケーションがそのメモリーの一部をクラッシュまたは開示する可能性があります。

CVE-2014-8150

libcurl ライブラリーが、埋め込みの終了文字を使用して URL を適切に処理できなかったことが検出されました。攻撃者は、libcurl を使用して、特別に細工された URL にアクセスするために、HTTP プロキシー経由でアプリケーションを作成できます。この不具合を悪用して、リクエストに追加のヘッダーを挿入したり、追加のリクエストを作成したりする可能性があります。

CVE-2015-3143、CVE-2015-3148

libcurl が NTLM および Negotatiate 認証の側面を正しく実装していないことがわかりました。アプリケーションが libcurl と影響を受けるメカニズムを特定の方法で使用すると、以前に NTLM-authenticated サーバーへの特定のリクエストが、誤った認証ユーザーによって送信済みと表示される可能性があります。さらに、HTTP Negotiate-authenticated リクエストの最初の認証情報セットは後続のリクエストで再利用できましたが、異なる認証情報のセットが指定されました。

バグ修正

BZ#1154059

SSL バージョン 3.0 (SSLv3.0)へのプロトコル外のフォールバックは、libcurl で利用できます。攻撃者はフォールバックを使用して SSL バージョンを強制的にダウングレードする可能性があります。フォールバックは libcurl から削除されました。この機能を必要とするユーザーは、libcurl API を介して SSLv3.0 を明示的に有効にできます。

BZ#883002

FILE プロトコルを介した単一のアップロード転送は、宛先ファイルを 2 回開いた。inotify カーネルサブシステムがファイルを監視した場合は、2 つのイベントが不要な生成されています。このファイルはアップロードごとに 1 回だけ開かれるようになりました。

BZ#1008178

SCP/SFTP 転送に libcurl を使用するユーティリティーは、システムが FIPS モードで実行されている場合に予期せず終了する可能性がありました。

BZ#1009455

curl ユーティリティーで--retry オプションを使用すると、curl がセグメンテーション違反で予期せず終了する可能性があります。現在、-retry を追加しても、curl がクラッシュしなくなりました。

BZ#1120196

curl --trace-time コマンドでは、タイムスタンプの印刷時に正しいローカルタイムが使用されませんでした。curl --trace-time が期待どおりに機能するようになりました。

BZ#1146528

valgrind ユーティリティーは、curl 終了時に動的に割り当てられたメモリーリークを報告できます。curl は NetScape Portable Runtime (NSPR)ライブラリーのグローバルシャットダウンを実行し、valgrind はメモリーリークを報告しなくなりました。

BZ#1161163

以前は、プロキシーサーバーが独自のヘッダーを HTTP 応答に追加すると、libcurl は CURLINFO_HEADER_SIZE フィールドの誤った値を返していました。これで戻り値は有効です。

機能拡張

BZ#1012136

"--tlsv1.0"、"-tlsv1.1"、および "--tlsv1.2" オプションは、NSS によってネゴシエートされる TLS プロトコルのマイナーバージョンを指定するために使用できます。"--tlsv1" オプションは、クライアントとサーバーの両方でサポートされている TLS プロトコルの最新バージョンをネゴシエートするようになりました。

BZ#1058767, BZ#1156422

TLS に使用される新しい AES 暗号スイートと、ECC および新しい AES 暗号スイートを明示的に有効または無効にできるようになりました。

バグ修正

BZ#880121

multipathd デーモンがマルチパスデバイスの追加に失敗した場合、場合によってはエイリアスが解放されてからアクセスし、再度解放を試みていました。その結果、multipathd が予期せず終了しました。この更新により、multipathd はエイリアスを 2 回解放するか、解放されたエイリアスにアクセスしようとすることがなくなり、上記の状況でクラッシュしなくなりました。

BZ#1120047

以前は、ALUA プリファレンスビットが設定されたすべてのターゲットポートには、他のすべてのターゲットポートよりも高い優先度が割り当てられていました。その結果、ターゲットポートにプリファレンスビットが設定されている場合、マルチパスはそのポートと同等に最適化されている他のポートとの間で負荷を分散しませんでした。今回の更新により、プリファレンスビットは、まだ最適化されていないパスの優先度のみを上げます。設定ビットが最適化されていないポートに設定されている場合、ポートが使用されるようになりました。ただし、最適化したポートにプリファレンスビットが設定されている場合は、最適化されたすべてのポートが使用され、それらの間でマルチパスの負荷が分散されます。

BZ#1136966

parted ユーティリティーが既存のマルチパスデバイスにパーティションを作成すると、kpartx ユーティリティーと競合してパーティションを作成します。これにより、デバイスまたはリソースのビジー状態エラーが発生する可能性があります。現在、kpartx はマルチパスデバイスがアクティブ化されたときにのみパーティションを作成し、parted が既存のマルチパスデバイスで実行されたときにパーティションを自動的に作成することはなくなりました。

BZ#1148096

以前は、マルチパスデバイスに initramfs によって user_friendly_name が割り当てられていなかったため、通常のシステムによってすでに割り当てられている名前との競合が発生していました。名前の競合が原因で、マルチパスが誤ったデバイスを更新しようとする可能性があるため、データが破損する可能性があります。このバグを修正するには、マルチパスはパスをチェックして、デバイスの user_friendly_name がすでに割り当てられているかどうかを確認し、その場合は新しい名前を割り当てます。

BZ#1171862

以前は、multipathd デーモンにのみ必要であったとしても、libmultipath ユーティリティーはすべてのプログラムの sysfs データのグローバルキャッシュを保持していました。その結果、複数のスレッドがロックせずに libmultipath を使用している場合は、メモリーエラーが発生する可能性がありました。これにより、mpath_persistent_reserve_in （）関数または mpath_persistent_reserve_out （）関数を使用したマルチスレッドプログラムの予期しない終了が発生していました。今回の更新で、multipathd のみがグローバル sysfs データキャッシュを使用するようになり、上記のクラッシュが回避されます。

BZ#1175888

以前は、マルチパスユーティリティーがパスデバイスを初めて認識するときに、udev ユーティリティーでパスデバイスが要求されず、他のプログラムがマルチパスを要求するためにマルチパスを競合させる可能性がありました。その結果、インストール中にマルチパスシステムが起動できなくなる可能性がありました。この更新により、multipathd デーモンは起動時にカーネルコマンドラインをチェックするようになりました。World Wide Identifier (WWID)値を持つパラメーターが認識されている場合は、それらの WWID をマルチパス WWID のリストに追加します。したがって、これらのWWID を持つデバイスは、最初に認識されたときに要求されます。その結果、インストール中にマルチパスシステムが正常に起動しないと、ユーザーはカーネルコマンドラインに mpath.wwid=[WWID] を追加して問題を回避できます。

機能拡張

BZ#978947

今回の更新で、Dell MD36xxf ストレージアレイに新しい組み込み設定が追加されました。

BZ#997028

この udpate により、マルチパスは EMC CLARiON アレイが ALUA モードまたは PNR モードに設定されているかを自動検出し、一致するように自身を正しく設定します。

BZ#1072081

これで、multipathd デーモンには 2 つの新しい設定オプション "delay_watch_checks" と "delay_wait_checks" が追加されました。詳細は、man ページの multipath (8)を参照してください。

バグ修正

BZ#1130804

以前は、DHCPv6 クライアントが完全に読み込まれていないネットワークインターフェイスの設定を開始することがありました。そのため、ネットワークインターフェイスには DHCPv6 クライアントが必要とするリンクローカルアドレスがまだなかったため、dhclient は実行できませんでした。この更新により、待機ループが dhclient-script に追加され、リンクローカルアドレスがないために dhclient が失敗しなくなりました。

BZ#1150587

dhcpd デーモンがプレーンインターフェイスと VLAN トランクとして設定されたインターフェイスを使用し、dhcpd デーモンがプレーンインターフェイスでのみリッスンするように設定されている場合、設定に関係なく VLAN ネットワークからもトラフィックが見つかりました。その結果、dhcpd は誤った応答を生成していました。今回の更新でバグが修正され、上記のシナリオで dhcpd がタグ付けされたリクエストを無視するようになり、正しい応答が生成されるようになりました。

BZ#1151054

DHCPv6 リレーエージェントを実行し、"upper" インターフェイス("-u")の前のコマンドラインで DHCPv6 リレーインターフェイスが指定されていた場合(-l)、メッセージリレーは機能しませんでした。基礎となるソースコードが修正され、DHCPv6 リレーエージェントがメッセージを適切にリレーするようになりました。

BZ#1185075

同時に InfiniBand ネットワークカードを持つ多数のノードを起動すると、一部のノードに重複した IP アドレスが割り当てられていました。今回の更新で、クライアントによって送信された DHCP メッセージの xid フィールドの生成が修正され、xid フィールドが一意になり、ノードに一意の IP アドレスが期待どおりに割り当てられるようになりました。

BZ#1187967

以前は、dhcrelay サービスおよび dhcrelay6 サービスを同時に実行しようとすると、後者のサービスを開始できませんでした。dhcrelay6 init スクリプトが修正され、dhcrelay サービスと dhcrelay6 サービスの両方を実行しても問題が発生しなくなりました。

Enhancement

BZ#1058674

今回の更新により、dhcpd デーモンは dhcp オプション 97 - Client Machine Identifier (pxe-client-id)を処理できるようになり、オプション 97 で送信された識別子に基づいて特定のクライアントに IP アドレスを静的に割り当てることができるようになりました。

バグ修正

BZ#1192357

この更新以前は、dmidecode ユーティリティーは DDR4 タイプのメモリーに対応していませんでした。その結果、DDR4 メモリータイプが指定されたハードウェアの dmidecode コードをコンパイルすると、仕様の結果が出力されます。今回の更新で、dmidecode が更新され、DDR4 がメモリータイプの間にあり、dmidecode ソースコードのコンパイル中に仕様から戻らなくなりました。

バグ修正

BZ#723228

dovecot が使用するポートは、他のサービスによるブートプロセス中に利用できない場合があり、dovecot が起動に失敗し、Address already in use エラーが表示されていました。この更新により、起動プロセス中に dovecot のポートを利用できるようにするようにポート予約サービスが設定され、上記の失敗が阻止されます。

BZ#771336

以前は、dovecot ユーティリティーが Kerberos 認証に小さすぎるログイン入力バッファーを使用していました。そのため、Kerberos 認証を使用を試みたユーザーはログインできませんでした。この更新されたバージョンの dovecot はより大きな入力バッファーを使用し、ユーザーは Kerberos チケットを使用して電子メールアカウントに対して認証できるようになりました。

BZ#813957

この更新前は、dovecot は、証明書失効リスト(CRL)が利用できない場合に冗長 "unable to get certificate" エラーメッセージを記録していました。今回の更新により、dovecot は不足している CRL をエラーとして処理しなくなり、前述のシナリオでエラーをログに記録しなくなりました。

BZ#961466

LIST-STATUS 拡張機能が特定の階層区切り文字シンボルとともに使用された場合、dovecot は予期せず終了する場合がありました。そのため、ユーザーは電子メール フォルダーの内容を一覧表示できませんでした。今回の更新で、トラバースフォルダーのコードが修正され、LIST-STATUS を使用しても dovecot がクラッシュしなくなりました。

BZ#1131749

以前は、存在しないメールボックスに対して "uid copy" コマンドを実行すると、dovecot サーバーが応答しなくなっていました。その結果、手動で復元しない限り、ユーザーは電子メールをダウンロードできませんでした。このバグを修正するためのパッチが提供され、前述のシナリオで dovecot がハングしなくなりました。

Enhancement

BZ#1153041

この更新により、dovecot が許可する Secure Sockets Layer (SSL)プロトコルを設定できるようになりました。とりわけ、ユーザーは SSLv3 接続を無効にできるため、POODLE の脆弱性の影響を軽減できます。セキュリティーの懸念により、SSLv2 および SSLv3 もデフォルトで無効になり、ユーザーは必要に応じて手動で許可する必要があります。

バグ修正

BZ#1198117

以前は、/tmp/net.$netif.override ファイルが存在しない場合、dracut ユーティリティーはエラーメッセージを誤って出力していました。この更新により、dracut は、読み取りを試みる前に /tmp/net.$netif.override が存在するかどうかを検証するようになり、上記のエラーが発生しなくなりました。

BZ#1005886

この更新より前は、dracut logrotate 設定は、time オプションが size オプションよりも優先されていることを決定していました。その結果、dracut ログは、サイズに関係なく、年ごとにローテーションされました。今回の更新で、logrotate 設定の "time" オプションが削除され、サイズが 1 MB を超えると dracut ログのローテーションが行われるようになりました。

BZ#1069275

"ip=ibft" がカーネルコマンドライン引数として指定されたが、"ifname=<iface>:<mac>" パラメーターがない場合、dracut はネットワークインターフェイスを正しく処理しませんでした。その結果、iSCSI ディスクがシステムに接続されていないため、システムは起動できませんでした。今回の更新で、"ifname=<iface>:<mac>" を使用せずに、dracut がカーネルコマンドラインとして "ip=ibft" をカーネル引数として処理し、iSCSI ディスクがシステムに正常に接続され、システムが正常に起動されるようになりました。

BZ#1085562

/etc/crypttab ファイルに最後の文字と同じ行が含まれていない場合、dracut はファイルの最後の行を解析できず、暗号化されたディスクのロックを解除できませんでした。今回の更新で、最後に新しい行なしで /etc/crypttab を処理するよう dracut が修正され、最後の行で指定された暗号化されたディスクが期待どおりに処理され、パスワードを要求し、ディスクのロックを解除できるようになりました。

BZ#1130565

/etc/lvm/lvm.conf ファイルにホストタグが定義されている場合、initramfs 仮想ファイルシステムはカーネルのアップグレード中に /etc/lvm/lvm_hostname.conf ファイルを挿入せず、以前は起動に失敗していました。今回の更新で、/etc/lvm/lvm_hostname.conf が /etc/lvm/lvm.conf とともに追加され、システムはホストタグで意図したとおりに起動するようになりました。

BZ#1176671

以前は、dracut は一部の iSCSI パラメーターに対してカーネルコマンドラインを正しく解析しませんでした。これにより、iSCSI ディスクが接続されませんでした。この更新により、dracut は iSCSI のカーネルコマンドラインパラメーターを正しく解析し、iSCSI ディスクが正常に接続されるようになりました。

BZ#1184142

nss-softokn-freebl パッケージの内部変更により、dracut は FIPS モードで initramfs ファイルを構築できませんでした。このバグを修正するために、nss-softokn-freebl は独自の dracut モジュールを提供し、dracut では依存関係として nss-softokn-freebl が必要になりました。その結果、dracut はすべてのファイルで FIPS 対応の initramfs を構築できます。

BZ#1191721

ネットワークパラメーターがカーネルコマンドラインで指定された場合、dracut はネットワークが起動した場合に iSCSI ターゲットのみに接続しようとしました。そのため、ネットワーク設定が間違っている場合、iSCSI ファームウェア設定または iSCSI オフロード接続は検証されませんでした。このバグを修正するために、特定のタイムアウト後でネットワーク接続が起動しない場合でも、dracut が iSCSI ターゲットへの接続を試みるようになりました。その結果、カーネルコマンドラインネットワークパラメーターの設定が間違っている場合でも、iSCSI ターゲットを接続できます。

BZ#1193528

FIPS 要件の変更により、FIPS の目的で新しい決定論ランダムバイトジェネレーター(drbg)がカーネルに追加されました。今回の更新により、dracut は FIPS モードで他のカーネルモジュールとして drbg を読み込みます。

機能拡張

BZ#1111358

今回の更新により、dracut は、VLAN が設定されたネットワーク上で iSCSI からブートできるようになり、VLAN 設定が iBFT BIOS に保存されます。

BZ#1226905

LVM シンボリュームが initramfs でサポートされるようになりました。

Enhancement

BZ#766443

dstat ユーティリティーは、パラメーターとしてシンボリックリンクの使用をサポートするように強化されました。これにより、ユーザーはブートデバイス名を動的に指定できます。これにより、ホットプラグや同様の操作の後に dstat が正しい情報を表示するようになります。

バグ修正

BZ#1218262

以前は、今後設定された ext2、ext3、または ext4 ファイルシステムのスーパーブロックに "last mount" または "last check" 時間が含まれている場合、e2fsck ユーティリティーは preen モードでエラーを修正しませんでした。その結果、誤ったシステムクロックが起動プロセスを停止し、ブート時のファイルシステムチェックの失敗により管理者の介入を待つ可能性がありました。今回の更新で、これらのタイムスタンプエラーは preen モードで自動的に修正され、上記の状況でブートプロセスが中断されることはなくなりました。

バグ修正

BZ#1200884

以前は、libsysfs パッケージは edac-utils パッケージの依存関係としてリスト表示されませんでした。そのため、libsysfs パッケージが独立してインストールされていないシステムでは、libsysfs が提供するライブラリーがないため、edac-utils パッケージが完全に機能しませんでした。今回の更新で、edac-utils の依存関係のリストに libsysfs が追加されました。その結果、libsysfs は edac-utils とともに自動的にインストールできるため、edac-utils がすべてのシステムで適切に機能するために必要なすべての libsysfs ライブラリーが提供されます。

バグ修正

BZ#1151681

以前は、Hyper-V 2012 および R2 ホストに Generation 2 仮想マシン(Gen2 仮想マシン)のインストールが完了すると、仮想マシンが仮想マシンリストから消えていました。その結果、Hyper-V Manager は VM 設定を読み込みなくなり、仮想マシンが使用できなくなりました。今回の更新で、efibootmgr パッケージのバグが修正され、上記のシナリオで仮想マシン設定にアクセスできるようになりました。

バグ修正

BZ#1167724

eu-stack ユーティリティーは、インラインフレームの表示をサポートしており、ディスク上のライブラリーの一部を更新または削除されたプロセスでも、バックトレースを生成できるようになりました。

• 新しい関数 dwarf_getalt および dwarf_setalt による DWZ 圧縮 DWARF マルチファイルのサポートが改善されました。
• ARM 64 ビットアーキテクチャーと Red Hat Enterprise Linux for POWER のサポートが追加されました（リトルエンディアン）。
• libdw ライブラリーは、LZMA-compressed (.ko.xz)カーネルモジュールをサポートするようになりました。
• .debug_macro のサポートが追加されました。新しい関数が追加されました。dwarf_getmacros_off、dwarf_macro_getsrcfiles、dwarf_macro_getparamcnt、およびdwarf_macro_param"。
• DWARF 形式に新しい GNU 拡張機能が認識されるようになりました。
• 新しい関数が libdw ライブラリーに追加されました（"dwarf_peel_type"、"dwarf_cu_getdwarf"、"dwarf_cu_die"、"dwelf_elf_gnu_debuglink"、"dwelf_dwarf_gnu_debugaltlink"、"dwelf_elf_gnu_build_id"

バグ修正

BZ#852516

以前は、data_space_start 値が不正確に設定されていました。これにより、emacs テキストエディターが次のメモリーの警告メッセージを返しました。

緊急(alloc): Warning: 過去の 95% のメモリー制限

このバグを修正するために、data_space_start が正しく設定され、emacs が警告メッセージを返さなくなりました。

BZ#986989

ガレッフエンコーディングを使用する場合、テキストの直面はガベージコレクターから削除されていませんでした。その結果、中心の削除を試みる際に、emacs テキストエディターがセグメンテーション違反で予期せず終了しました。この更新により、直面するテキストもガベージコレクターから削除され、上記のシナリオで emacs がクラッシュしなくなりました。

バグ修正

BZ#1015310

以前は、enchant ライブラリーが、ユーザーのカスタムディクショナリーファイルを書き込みモードで開きていました。その結果、ファイルの内容は常に消去され、以前の辞書に追加された単語はすべて忘れられていました。この更新により、ディクショナリーファイルが追加モードで開かれます。その結果、カスタムディクショナリーへの新しい追加は、以前に保存された単語を削除しなくなりました。

バグ修正

BZ#979789

以前は、ネストされたモジュールディレクトリーの利用可能なモジュールに関する誤解を招く情報がユーザーに表示されていました。このバグを修正するために、コード検出モジュールバージョンが修正され、正しい情報が表示されるようになりました。

BZ#1117307

この更新以前は、ロードしたモジュールファイルに "module unload" コマンドが含まれている場合、モジュールが適切にアンロードされませんでした。今回の更新で、モジュールのバージョン検出のコードのロジックが変更され、module unload コマンドを含むモジュールが正しくアンロードされるようになりました。

Enhancement

BZ#1066605

今回の更新で、ethtool ユーティリティーがイーサネットドライバーのユーザー定義の受信サイドスケーリング(RSS)ハッシュキー値を受け入れるようになり、RSS のパフォーマンスおよびセキュリティーが向上します。これにより、ethtool を使用してイーサネットドライバーの RSS ハッシュキー値を設定できます。

バグ修正

BZ#1163375

POODLE の脆弱性が原因でサーバーが SSL を無効にしている場合、Evolution クライアントは SSL (Secure Sockets Layer)プロトコルを使用してメールサーバーに接続できませんでした。今回の更新で、Transport Layer Security (TLSv1)プロトコルを使用しても接続するように Evolution Data Server が変更され、このバグが修正されました。

BZ#1141760

以前は、グラフィカルデスクトップ環境からログアウトしたときに e-calendar-factory プロセスが自動的に終了せず、e-calendar-factory が冗長に消費されていました。今回の更新で、基礎となるコードが修正され、この問題が発生しなくなりました。

バグ修正

BZ#1160279

Exchange Web Services (EWS)コネクターを使用すると、外部シンボルがないため、コネクターの UI 部分を読み込めませんでした。そのため、ユーザーは evolution-exchange パッケージの EWS 部分に設定を変更したり、新しいメールアカウントを設定したりすることはできません。今回の更新により、ビルド時にライブラリーリンクオプションが修正され、不足しているシンボルが利用可能になりました。現在は、EWS コネクターの UI 部分が適切にロードされ、メールアカウントを追加および設定できるようになりました。

バグ修正

BZ#1049805, BZ#1094515, BZ#1099551, BZ#1111482, BZ#1118008, BZ#1123897, BZ#1171734

今回の更新で、HP Integrated Lights-Out 2 (ManagedOpenShift2)デバイスのフェンスエージェントに--tls1.0 オプションが追加されました。このオプションを使用すると、ファームウェアバージョン 2.27 で iLO2 デバイスを使用する場合、TLS プロトコルの iLO2 ネゴシエーションが期待どおりに機能します。

• fence_kdump エージェントが "monitor" アクションをサポートしているようになり、クラスタースタックとの統合が容易になりました。
• fence-agents パッケージは、HP Moonshot iLO デバイスの fence_ilo_moonshot フェンスエージェントに対応するようになりました。fence_ilo_moonshot パラメーターの詳細は、man ページの fence_ilo_moonshot (8)を参照してください。
• 今回の更新で、fence_ilo_ssh フェンスエージェントのサポートが追加されました。エージェントは、SSH を使用して iLO デバイスにログインし、指定したコンセンレットを再起動します。fence_ilo_ssh パラメーターの詳細は、man ページの fence_ilo_ssh (8)を参照してください。
• 今回の更新で、fence_mpath フェンスエージェントのサポートが追加されました。このエージェントは、SCSI-3 永続予約を使用してマルチパスデバイスへのアクセスを制御する I/O フェンシングエージェントです。fence_mpath とそのパラメーターの詳細は、man ページの fence_mpath (8)を参照してください。
• Simple Network Management Protocol (SNMP)上の APC デバイスのフェンスエージェントが更新され、最新バージョンの APC ファームウェアがサポートされるようになりました。
• この更新により、Simple Network Management Protocol (SNMP)経由の Emerson デバイスの fence_emerson フェンシングエージェントのサポートが追加されました。これは、MPX および MPH2 Emerson デバイスで使用できる I/O フェンシングエージェントです。fence_emerson フェンシングエージェントのパラメーターの詳細は、man ページの fence_emerson (8)を参照してください。

バグ修正

BZ#1125290

以前は、fence-virt ユーティリティーが、要求の処理でエラーを検出すると、誤ってゼロ終了コードを返していました。今回の更新により、この問題の原因となった静的分析エラーが修正され、fence-virt がエラーを検出した場合に適切なエラーコードを返すようになりました。

BZ#1078197

サポートされる TCP およびマルチキャストポートの範囲が正しく設定されていないため、fence-virt は特定のポートで適切に機能しませんでした。今回の更新で、サポートされる TCP およびマルチキャストポートの範囲が修正され、問題が発生しなくなりました。

Enhancement

BZ#1020992

fence-virt ユーティリティーおよび fence-xvm ユーティリティーが "-o status" パラメーターで呼び出されると、ステータスがよりわかりやすく出力されるようになりました("Status: ON" または "Status: OFF" のいずれか)。

バグ修正

BZ#1024825

fprintd デーモンコードのバグにより、長時間実行されるプラグ可能な認証モジュール(PAM)クライアントでは、認証の反復ごとにファイル記述子のリークが発生していました。今回の更新により、ファイル記述子はジョブの完了後に閉じるため、ファイル記述子のリークは発生しません。

セキュリティーの修正

CVE-2014-2015

スタックベースのバッファーオーバーフローが、FreeRADIUS rlm_pap モジュールが長いパスワードハッシュを処理する方法で見つかりました。攻撃者は半形のパスワードハッシュを処理できると、デーモンがクラッシュする可能性があります。

バグ修正

BZ#1078736

辞書の数が更新されました。

* この更新は、複数の Extensible Authentication Protocol (EAP)の改善を実装します。

* %{randstr:...} を含む多くの新しい拡張が追加されました。%{hex:..}、%{sha1:...}、%{base64:...}、%{tobase64:...}、および %{base64tohex:...}。

* %{expr:..} 拡張で 16 進数(0x...)がサポートされるようになりました。

* この更新では、rlm_python モジュールに演算子サポートが追加されます。

* Dynamic Host Configuration Protocol (DHCP)および DHCP リレーコードが完成しました。

* 今回の更新で、任意の属性をキャッシュするための rlm_cache モジュールが追加されました。

このリベースで提供されるバグ修正と機能強化の完全なリストは、参考資料 セクションの リンクされている freeradius changelog を参照してください。

BZ#904578

/var/log/radius/radutmp ファイルは、不要な場合でも 1 カ月間隔でローテーションするように設定されていました。今回の更新で、/etc/logrotate.d/radiusd ファイルにインストールされている logrotate ユーティリティー設定から /var/log/radius/radutmp が削除され、/var/log/radius/radutmp はローテーションされなくなりました。

BZ#921563

radiusd サービスは、raddebug ユーティリティーによって作成された出力ファイルを書き込めませんでした。raddebug ユーティリティーは適切な所有権を出力ファイルに設定し、radiusd が出力を書き込めるようになりました。

BZ#921567

raddebug -t 0 コマンドを使用して raddebug を開始した後、raddebug はすぐに終了します。この状況で、特別なケースの比較が修正され、raddebug が 11.5 日間実行されるようになりました。

BZ#1060319

ユーザーが正しい認証情報を提供していても、User-Name 属性と MS-CHAP-User-Name 属性が異なるエンコーディングを使用すると、MS-CHAP 認証が失敗します。MS-CHAP 認証は、文字エンコーディングの不一致を適切に処理するようになりました。この状況では、正しい認証情報を使用した認証が失敗しなくなりました。

BZ#1135439

自動生成されたデフォルト証明書は、安全でないと見なされる SHA-1 アルゴリズムメッセージダイジェストを使用していました。デフォルトの証明書では、より安全な SHA-256 アルゴリズムメッセージダイジェストを使用するようになりました。

BZ#1142669

OCSP (Online Certificate Status Protocol)の検証中に、OCSP レスポンダーが提供していない次の更新フィールドにアクセスしようとした後、radiusd はセグメンテーション違反で予期せず終了しました。今回のリリースより、radiusd はこの状況ではクラッシュせず、代わりに OCSP 検証の完了を継続します。

BZ#1173388

この更新以前は、インストールされている directory.mikrotik ファイルにそれらが含まれていなかったため、radiusd は最近の MikroTIK 属性の一部では機能しませんでした。この更新により、ID が最大 22 から dictionary.mikrotik に追加され、radiusd がこれらの属性で期待どおりに機能するようになりました。

バグ修正

BZ#1190640

以前は、stdarg 関数の最適化のバグが原因で、コンパイラーが誤ったコードを生成する可能性がありました。この問題は、va_list 変数が PHI ノードをエスケープした場合にのみ発生しました。このバグは修正され、コンパイラーが正しいコードを生成するようになりました。

BZ#1150606

以前は、ベクター化の最適化が有効になっている場合、コンパイラーは、精度がモードの精度に一致しない要素タイプを持つベクトルのスカラーコンポーネントを抽出できました。その結果、ビットフィールドを使用しているコードをベクトルしようとする際に、GCC が予期せず終了することがありました。この更新により、コンパイラーはそのようなコードをベクトルしなくなり、コードが正しくコンパイルされるようになりました。

BZ#1177458

以前は、コンパイラーは PCH (Precompiled Headers)機能の誤った使用を適切に処理しませんでした。PCH ファイルが最初のインクルードとして含まれていない場合、コンパイラーはセグメンテーションフォールトで予期せず終了しました。コンパイラーがこのような誤ったインクルードを使用しないように修正され、このシナリオでクラッシュしなくなりました。

BZ#1134560

以前のバージョンの GNU Fortran コンパイラーでは、Cray ポイントのタイプ指定子は、同じ名前のコンポーネントのタイプ指定子によって誤って上書きされていました。その結果、コンパイルに失敗し、エラーメッセージが表示されました。このバグは修正され、Cray ポインターが正しく処理されるようになりました。

Enhancement

BZ#1148120

gcc の hotpatch 属性は、System z バイナリーでマルチスレッドコードのオンラインパッチ適用のサポートを実装します。今回の更新で、機能属性を使用してホットパッチを適用する特定の機能を選択し、-mhotpatch=" コマンドラインオプションを使用して、すべての機能のホットパッチを有効化できるようになりました。ホットパッチを有効にすると、ソフトウェアのサイズとパフォーマンスに悪影響を及ぼすため、特定の機能にはホットパッチを適用し、一般的にホットパッチサポートを有効にしないことが推奨されます。

バグ修正

BZ#1099929

GDB が PID -1 のスレッドを検出すると、GDB はその誤った PID にアタッチしようとし、その結果は内部エラーで失敗しました。この更新により、GDB は間違った PID -1 を検出し、ユーザーに警告メッセージを表示します。また、デバッグセッションは上記のシナリオの影響を受けなくなりました。

BZ#1117841

GDB は splay ツリーを使用して、アドレスマップに関連する要素を格納していました。ただし、大きすぎるスプレイツリーを繰り返し処理すると、splay_tree_foreach_helper （）関数の再帰により、GDB がスタックが不足し、セグメンテーション違反が生成されていました。splay_tree_foreach_helper （）の実装が non-recursive に変更されました。これにより、iterator （）の効率が改善され、GDB が前述の失敗を回避します。

BZ#1119119

以前は、GDB は、ユーザー環境から文字セット名を見つけようとしたときに、NULL ポインターをチェックしませんでした。これにより、GDB が予期せず終了し、セグメンテーション違反が生成されました。今回の更新で、GDB が NULL ファイルポインターを処理するかどうかを正しくチェックするようになり、このバグが修正されました。

BZ#1139405

GDB は、匿名名前空間で定義されているシンボルの文字列表現で " (anonymous namespace) " 文字列を使用します。ただし、linespec パーサーはこの文字列が必要なコンポーネントであると認識せず、シンボル検索に失敗したため、匿名名前空間で定義されたシンボルでブレークポイントを設定またはリセットできませんでした。このバグを修正するために、匿名の名前空間認識が抽象化され、この表現要件の一意のロールが明確になりました。さらに、linespec パーサーが更新され、必要な文字列を適切に処理できるようになりました。その結果、匿名 namespace のシンボルのブレークポイントは、GDB によって適切に設定またはリセットできます。

BZ#1149205

"catch syscall" コマンドは、GDB 内の特別なタイプのブレークポイントを使用します。これは、通常のブレークポイントを処理するコードによって維持されません。以前は、GDB は fork （）関数呼び出し後に、親プロセスでシステムコールを適切にキャッチできませんでした。今回の更新で、システムコールのキャッチポイントは、それ自体をフォークしたプログラムから削除されなくなり、フォーク後に親プロセスからの呼び出しで GDB が正しく停止できるようになりました。

BZ#1156192

以前は、dlopen （）ライブラリー関数の欠陥により、dlopen （）がライブラリーアサーションでクラッシュまたは中止する再帰呼び出しが発生していました。ユーザーによって dlopen （）が提供する malloc （）の実装により、dlopen （）への再帰的な呼び出しが発生する可能性があります。dlopen 実装が再入り、dlopen （）への再帰呼び出しが、アサーションでクラッシュまたは中止しなくなりました。

BZ#1162264

特定の条件下では、プロセスに割り当てるときに、GDB は最初の低レベルの ptrace アタッチ要求を実行できますが、以前はカーネルが、デバッガーが割り当てシーケンスを終了することを拒否していました。その結果、GDB は内部エラーで予期せず終了しました。現在、GDB は上記のシナリオを正常に処理し、割り当て要求が失敗したユーザーに報告するようになりました。その結果、パーミッションが拒否されたために GDB がアタッチできなかったことを示す警告が表示されます。また、デバッグセッションはこの動作の影響を受けません。

BZ#1186476

ブレークポイントが保留され、新しいオブジェクトファイルが表示され、この新しいオブジェクトファイルにブレークポイントの複数の場所が含まれる場合、GDB はこの条件をチェックするのに厳格になり、内部エラーが発生しました。同じブレークポイントの複数の場所の確認が緩和され、GDB がこのシナリオで内部エラーを発行しなくなりました。ブレークポイントの場所が複数見つかったことを示す警告が表示されるようになりましたが、場所が 1 つのみ使用されます。

バグ修正

BZ#629640

誤ったオープンファイルフラグが原因で、gdbm ユーティリティーにより、存在しない読み込みファイルを開くときに新しいファイルが作成されていました。このバグを修正するために、間違ったファイルオープンフラグが正しく設定され、gdbm が前述のシナリオで新しいファイルを作成しなくなりました。

バグ修正

BZ#1180392

gdbm の以前のリリースでは、ファイルハンドラーの使用方法にリグレッションが導入されました。したがって、gdbm は、読み取りおよび書き込み用に開いているデータベースに書き込みできませんでした。今回の更新で、ファイルハンドラーが修正され、適切なフラグが使用されるようになり、gdbm は想定通りにデータベースと連携するようになりました。

バグ修正

BZ#994452

以前は、モード 3 （非表示の）でのレンダリングを目的としたテキストは、pdfwrite デバイスの PDF 出力に含まれていませんでした。その結果、Optical character recognition (OCR)の出力など、表示されないテキストを含むドキュメントからのテキスト選択に失敗していました。今回の更新により、モード 3 テキストが PDF 出力に含まれ、そのような PDF ファイルからのテキストのコピーが期待どおりに機能するようになりました。

BZ#1027534

この更新以前は、埋め込みオブジェクトを含む一部の PDF ファイルが誤って移植可能なコレクションとして処理されていたため、これらのファイルの処理時に /syntaxerror エラーが発生しました。修正が適用され、"/Collection" 属性を持つ PDF ファイルのみがポータブルコレクションとして処理され、埋め込みオブジェクトを持つファイルが正しく処理されるようになりました。

BZ#1060026

サポートがないため、正しい PDF/A ファイルを作成できませんでした。今回の更新により、アップストリームから PDF/A ファイルを作成するためのサポートが改善され、正しい PDF/A ファイルを作成できるようになりました。

BZ#1105520

以前は、ghostscript インタープリターで、アレイの割り当てとそのコンテンツの初期化の間にエラーが発生した場合、ガベージコレクションは、メモリーの割り当て解除中にインタープリターが予期せず終了する可能性がありました。割り当て後にすぐに配列要素を null オブジェクトに設定するアップストリームのパッチにより、このバグが修正され、上記のシナリオで ghostscript インタープリターがクラッシュしなくなります。

バグ修正

BZ#859965

name サービスキャッシュデーモン(nscd)の今回の更新により、inotify ベースの監視および nscd 設定ファイルの stat ベースのバックアップ監視のシステムが追加され、nscd が設定への変更を正しく検出してデータを再読み込みするようになりました。これにより、nscd が古いデータを返さないようにします。

BZ#1085312

ツリー内の netgroups の 1 つが空の場合、ライブラリーに欠陥により、返された netgroup のリストが切り捨てられる可能性がありました。このエラーは、アプリケーションがクラッシュしたり、未定義の動作を引き起こしたりする可能性がありました。空の netgroup を正しく処理し、要求された netgroup の完全なリストを返すように、ライブラリーが修正されました。

BZ#1088301

gethostby* は、リゾルバーオプションが明示的に選択された追加データであっても、認識されないすべてのレコードタイプに対して生成された syslog メッセージをサポートしています。ライブラリーは、ユーザーが明示的にデータを明示的または暗黙的に要求したときにログメッセージが生成されないように修正されました。gethostby* への呼び出しに関連する DNSSEC 対応システムの syslog メッセージの数が削減されました。

BZ#1091915

glibc に欠陥があると、nscd クライアントとサーバー間で、ソケットを介して初期化されていないバイトが送信される可能性があります。Valgrind を使用してアプリケーションが分析されると、混乱しや誤解を招く可能性のある問題が報告されました。ライブラリーは、ソケット操作を介して送信されたすべてのバイトを初期化するように修正されました。Valgrind は nscd クライアントの問題を報告しなくなりました。

BZ#1116050

スレッドローカル構造の再初期化に欠陥があると、スレッドローカルストレージ構造が多すぎて、アプリケーションが予期せぬ終了につながる可能性があります。スレッドライブラリーは、スレッドスタックを再利用するときにアプリケーションがクラッシュしないように、スレッドローカルストレージ構造を正しく再初期化するように修正されました。

BZ#1124204

glibc が提供する時間関数により、ユーザーがバッファーに NULL 値を使用することが許可されず、NULL を渡すアプリケーションが予期せず終了する可能性がありました。ライブラリーは、バッファーの NULL 値を受け入れ、カーネルシステムコールから期待される結果を返すように修正されました。

BZ#1138769

getaddrinfo (3)関数が改善され、AF_UNSPEC の getaddrinfo (3)関数を使用したアドレスルックアップが不具合のある DNS サーバーで実行された場合に、有効な応答が返されるようになりました。

BZ#1159167

NetApp ファイラーを NFS サーバーとして使用する場合、rpc.statd サービスが予期せず終了する可能性があります。このクラッシュの原因となっていたサーバーの Remote Procedure Call (RPC)コードの glibc API セグメンテーション違反が修正され、問題が発生しなくなりました。

BZ#1217186

.rhosts ファイルがあるシステムが rsh シェルを使用して rlogind サーバーに接続すると、認証がタイムアウトになる可能性があります。この更新により、ruserok (3)関数が調整され、最初にユーザー一致を実行して DNS ルックアップの要求を回避できるようになりました。その結果、大規模な .rhosts ファイルを使用した rlogind 認証が速くなり、タイムアウトしなくなりました。

機能拡張

BZ#1154563

動的ライブラリーの読み込みに使用する dlopen (3)関数は、再帰的に呼び出すことができるようになりました(dlopen (3)関数は、別の dlopen (3)関数がすでに処理されている場合)呼び出すことができます。この更新により、dlopen (3)関数を使用する必要のあるアプリケーションでのクラッシュまたは中止が防止されます。

BZ#1195453

glibc 動的ローダーが Intel AVX-512 拡張機能をサポートするようになりました。今回の更新で、動的ローダーが AVX-512 レジスターを保存および復元できるようになり、AVX-512 対応アプリケーションも AVX-512 を使用する監査モジュールが原因で失敗しなくなります。

バグ修正

BZ#1204589

以前は、ユーザーが qemu-img create コマンドを使用して GlusterFS でイメージを作成しようとすると、qemu-kvm ユーティリティーがセグメンテーション違反で予期せず終了する可能性がありました。glusterfs パッケージによりこのバグを修正するためにソースコードが変更され、上記の状況で qemu-kvm がクラッシュしなくなりました。

バグ修正

BZ#1098370

housekeeping プラグインのメモリーリークにより、gnome-settings-daemon は不要になった特定のメモリーセグメントを正しく解放しませんでした。その結果、デーモンは利用可能なメモリーをすべて使い切る可能性がありました。この場合、システムでパフォーマンスの問題が発生します。今回の更新で、未使用メモリーを適切に解放するために、housekeeping プラグインが修正されました。その結果、上記のシナリオは阻止されます。

セキュリティーの修正

CVE-2014-8155

GnuTLS が CA 証明書の発行日と有効期限を確認しなかったことがわかりました。これにより、発行している CA の有効期限がすでに切れると、GnuTLS を使用するアプリケーションが証明書を誤って有効として受け入れる可能性がありました。

CVE-2015-0282

GnuTLS は、署名にリストされているハッシュアルゴリズムが証明書にリストされているハッシュアルゴリズムと一致するかどうかを確認しなかったことがわかりました。攻撃者は、要求されたものとは異なるハッシュアルゴリズムを使用した証明書を作成する可能性があり、GnuTLS が証明書の検証時に安全でないハッシュアルゴリズムを使用する可能性があります。

CVE-2015-0294

GnuTLS は、X.509 証明書のすべてのセクションが同じ署名アルゴリズムを示しているかどうかをチェックしなかったことを検出しました。この欠陥は、別の欠陥と組み合わせて、証明書署名チェックをバイパスする可能性があります。

バグ修正

BZ#1036385

以前は、特定の状況では、certtool ユーティリティーは、負のモジューズを含む X.509 証明書を生成することができました。そのため、このような証明書を使用すると、ソフトウェアで相互運用の問題が発生する可能性があります。バグが修正され、certtool は負のモジュールを含む X.509 証明書を生成しなくなりました。

Enhancement

BZ#968474

この更新により、gPXE で使用されるタイムアウト値が RFC 2131 および PXE 仕様に準拠するように修正されます。

セキュリティーの修正

CVE-2012-5667

grep が大量のデータを解析する方法で、ヒープベースのバッファーオーバーフローにつながる整数オーバーフローの欠陥が見つかりました。攻撃者は特別に細工されたデータファイルで grep の実行を解読できる場合、この不具合を利用して grep をクラッシュさせたり、場合によっては grep を実行しているユーザーの権限で任意のコードが実行される可能性があります。

CVE-2015-1345

grep が特定のパターンとテキストの組み合わせを処理する方法に、ヒープベースのバッファーオーバーフローの不具合が見つかりました。攻撃者は特別に細工された入力で grep の実行を解読できる場合、この脆弱性を利用して grep をクラッシュしたり、初期化されていないメモリーから読み取られる可能性があります。

バグ修正

BZ#799863

今回の更新以前は、\w 記号と \W 記号が、[:alnum:] 文字クラスと一貫性のない一致していました。そのため、場合によっては \w と \W を使用する正規表現に誤った結果がありました。一致する問題を修正するアップストリームパッチが適用され、\w が [_[:alnum:]] 文字と \W が [^_[:alnum:]] 文字に一貫して一致するようになりました。

BZ#1103270

以前は、"-fixed-regexp" コマンドラインオプションは grep (1)の man ページに含まれていませんでした。そのため、man ページは grep ユーティリティーの組み込みヘルプと一貫性がありませんでした。このバグを修正するために、grep (1)が更新され、--fixed-regexp が廃止されたオプションであることをユーザーに通知できるようになりました。今回のリリースより、組み込みのヘルプおよび man ページは--fixed-regexp オプションに関して一貫しています。

BZ#1193030

以前は、UTF-8 モードで UTF-8 以外のテキストが一致する場合、Perl 互換正規表現(PCRE)ライブラリーが正しく機能しませんでした。その結果、無効な UTF-8 バイトのシーケンス文字に関するエラーメッセージが返されました。このバグを修正するために、アップストリームのパッチが PCRE ライブラリーおよび grep ユーティリティーに適用されています。その結果、PCRE はエラーメッセージを返さずに、非一致テキストとして UTF-8 以外の文字をスキップするようになりました。

バグ修正

BZ#1177321、BZ#1206542

以前は、UEFI ブートと IP バージョン 6 (IPv6)プロトコルを使用するように設定されたクライアントの Pre-Boot Execution Environment (PXE)の起動時に、クライアントは grub.cfg ファイルで設定されていると予想される選択メニューを表示できず、代わりに GRUB シェルに切り替えていました。今回の更新でバグが修正され、PXE がクライアントを起動し、grub.cfg で設定したオペレーティングシステム選択メニューが表示されるようになりました。

バグ修正

BZ#622776

以前は、K Desktop Environment (KDE)で一般的である Phonon バックエンドで GStreamer を使用すると、サウンド同期の問題が発生し、オーディオ出力でジッターが発生していました。今回の更新で、GStreamer コンポーネントおよび結果として生じるサウンド同期の問題が修正されました。その結果、Phonon を使用するアプリケーションのサウンド品質は影響を受けなくなりました。

バグ修正

BZ#998061

以前は、マウントポイントのファイルモニターを作成する際に、GNOME デスクトップ仮想ファイルシステム(GVFS)のゴミ箱の実装では、アクセス権限が考慮されませんでした。その結果、ファイルモニターは読み取りアクセス権限なしでファイルをポーリングし、しばらく使用しない場合に通常、AutoFS マウントポイントが期限切れにならなくなりました。今回の更新により、ゴミ箱の実装では、読み取りアクセス権限なしでファイルを監視するファイルモニターが作成されなくなりました。その結果、AutoFS マウントポイントが自由に期限切れになりました。

BZ#1140451

この更新以前は、gvfs-gdu-volume-monitor は、GNOME ディスクユーティリティー(GDU)デバイスのプールを取得する際に、データを受信したかどうかを検証しませんでした。その結果、データが受信されなかった場合、gvfs-gdu-volume-monitor プロセスが予期せず終了する可能性がありました。gvfs-gdu-volume-monitor は、データが受信されたかどうかを検証し、クラッシュしなくなりました。

バグ修正

BZ#1165676

この更新以前は、gvfsd-gphoto2 ユーティリティーは、サンドボックス接続されたストレージに関する情報を取得する際に、データを受信したかどうかを検証しませんでした。その結果、データが受信されなかった場合、gvfsd-gphoto2 が予期せず終了することがありました。gvfsd-gphoto2 は、データが受信されたかどうかを確認し、上記の状況でクラッシュしなくなりました。

BZ#1210203

gvfsd-metadata デーモンは、アプリケーションがジャーナルファイルのサイズより大きいメタデータエントリーを保存しようとした場合(32 kB よりも大きい)を正しく処理しませんでした。デーモンは、ジャーナルからメタデータデータベースにすべての変更を作成して、エントリーの領域を増やし、その後新しいジャーナルファイルを作成しました。この操作は、CPU とディスクのオーバーロードを不要に無限ループで繰り返しました。今回の更新により、操作は 1 回だけ再試行されます。その結果、メタデータエントリーが大きすぎると保存されず、gvfsd-metadata が代わりに警告を返します。

バグ修正

BZ#841419

以前は、Mic Mute キーおよび Touchpad Toggle キーは Lenovo ラップトップで正しいシンボルを送信しませんでした。今回の更新で、前述の鍵は X.Org サーバーによって正しく認識され、XF86AudioMicMute および XF86TouchpadToggle シグナルが正常に送信されます。

Enhancement

BZ#1172669

最新の Toshiba ラップトップでさまざまな fn キーをサポートするために、今回の更新により、提供されたカーネルキーコードから、X と互換性のあるキーコードに、hshiba ラップトップの hal-info remapping ルールが変更されます。

Enhancement

BZ#1166497

OPTIONS パラメーターが /etc/sysconfig/haproxy ファイルに追加されました。これにより、ユーザーは haproxy ユーティリティーの追加オプションを設定できるようになりました。

セキュリティーの修正

CVE-2014-9273

非常に小さなサイズでハイブファイルを読み取るとき、または切り捨てられた、または不適切にフォーマットされたコンテンツでハイブファイルを読み取るときに、hivex が割り当てられたバッファーを超えて読み取りを試みたことがわかりました。攻撃者は、hivex ライブラリーを使用して特別に細工されたハイブファイルをアプリケーションに提供できる可能性があります。この不具合を悪用すると、アプリケーションを実行しているユーザーの権限で任意のコードが実行される可能性があります。

バグ修正

BZ#1164693

以前は、hivex (3)の man ページに誤字が含まれていました。今回の更新で、タイプミスが修正されました。

バグ修正

BZ#682814

以前は、HPLIP は、プリンターの有効化または無効化などの要求された操作を拒否する CUPS を正しく処理しませんでした。その結果、root 以外のユーザーとして HP Device Manager を実行しても、操作に root パスワードが必要な場合に root パスワードの入力が求められませんでした。今回の更新で、パスワードコールバックが正しく実装され、root 以外のユーザーとして HP Device Manager を操作すると、必要に応じて常に root パスワードの入力が求められるようになりました。

BZ#876066

この更新より前は、初期化されていない値を使用すると、hpcups ドライバーから誤った出力が生成されることがありました。そのため、基礎となるソースコードが使用される前に値を初期化するように変更されているため、前述の予期しない動作は阻止されます。

セキュリティーの修正

CVE-2013-5704

チャンクエンコーディングを使用してリクエストを処理するときに、httpd が HTTP トレーマーヘッダーを処理する方法に欠陥が見つかりました。悪意のあるクライアントは、Trailer ヘッダーを使用して、他のモジュールによってヘッダー処理が実行された後に追加の HTTP ヘッダーを設定する可能性があります。たとえば、mod_headers で定義されたヘッダー制限がバイパスされる可能性があります。

バグ修正

BZ#1149906

httpd 設定が再読み込みされたときに、mod_proxy ワーカーの順序はチェックされませんでした。mod_proxy ワーカーが削除、追加、または注文が変更されると、それらのパラメーターとスコアが混在する可能性がありました。mod_proxy ワーカーの順序は、設定の再読み込み中に内部で一貫性が保たれています。

BZ#906476

ファーストブート中に作成されたローカルホスト証明書には CA 拡張が含まれ、これにより httpd サービスが警告メッセージを返しました。これは、"-extensions v3_req" オプションで生成されているローカルホスト証明書によって対処されています。

BZ#1086771

デフォルトの mod_ssl 設定は、単一の DES、IDEA、または SEED 暗号化アルゴリズムを使用した SSL 暗号スイートのサポートを有効にしなくなりました。

BZ#963146

apachectl スクリプトは、正常な再起動時に /etc/sysconfig/httpd ファイルに設定された HTTPD_LANG 変数を考慮していませんでした。その結果、デーモンが正常に再起動すると、httpd は HTTPD_LANG の変更値を使用しませんでした。HTTPD_LANG 変数を正しく処理するようにスクリプトが修正されました。

BZ#1057695

mod_deflate モジュールは、4 GB を超えるファイルを抽出しながら元のファイルサイズを確認できなかったため、大きなファイルを抽出できませんでした。mod_deflate は RFC1952 に従って元のファイルサイズを適切にチェックし、4 GB を超えるファイルを解凍できるようになりました。

BZ#1146194

httpd サービスは再起動する前に設定を確認しませんでした。設定にエラーが含まれる場合、httpd の再起動が正常に失敗しました。httpd は再起動前に設定をチェックし、設定が一貫性のない状態にある場合は、エラーメッセージが出力され、httpd は停止されず、再起動は実行されません。

BZ#1149703

SSLVerifyClient optional_no_ca および SSLSessionCache オプションが使用された場合、SSL_CLIENT_VERIFY 環境変数が正しく処理されませんでした。SSL セッションが再開されると、SSL_CLIENT_VERIFY 値は以前に設定した GENEROUS ではなく SUCCESS に設定されました。このシナリオでは、SSL_CLIENT_VERIFY が GENEROUS に正しく設定されるようになりました。

BZ#1045477

ab ユーティリティーは、データがすでに読み取られた後に SSL 接続が閉じられた状況を正しく処理しませんでした。その結果、ab は SSL サーバーで正しく機能せず、SSL read failed というエラーメッセージが出力されます。今回の更新により、ab は HTTPS サーバーで期待どおりに機能するようになりました。

BZ#1161328

クライアントが取り消された証明書を提示すると、ログエントリーはデバッグレベルでのみ作成されました。失効した証明書に関するメッセージのログレベルが INFO に増やされ、管理者にこの状況の通知が適切に行われました。

Enhancement

BZ#767130

mod_proxy ワーカーは、balancer-manager Web インターフェイスを使用するか、httpd 設定ファイルを使用して、ドレインモード(N)に設定できるようになりました。ドレインモードのワーカーは、それ自体宛ての既存のスティッキーセッションのみを受け入れ、他のすべてのリクエストを無視します。ワーカーは、ワーカーが停止する前に、このワーカーに現在接続されているすべてのクライアントが完了するまで待機します。その結果、解放（解放）モードでは、クライアントに影響を与えずにワーカーでメンテナンスを実行できます。

Enhancement

BZ#1170975

PCI ファイル、USB ファイル、およびベンダー ID ファイルが、最近リリースされたハードウェアに関する情報で更新されました。この ID ファイルを使用するハードウェアユーティリティーツールは、最近リリースされたハードウェアを正しく識別できるようになりました。

バグ修正

BZ#1161368

ファイルシステムのフリーズ(SquashFS など)に対応していない読み取り専用ファイルシステムをマウントし、オンラインバックアップ機能を使用すると、以前は操作はサポートされていませんというエラーが発生して、オンラインバックアップに失敗していました。今回の更新で、hypervvssd デーモンがオンラインバックアップを正しく処理するように修正され、上記のエラーは発生しなくなります。

バグ修正

BZ#1066075

以前は、Red Hat Enterprise Linux 6 で IBus 入力メソッド(ibus-hangul)用の Korean 言語入力エンジンプラットフォームを使用すると、Lotus Sametime または Eclipse によって生成された Java アプリケーションが応答しなくなりました。このバグを修正するために、非同期のキーイベントが IBus に追加されました。現在、IBus は非同期モードに切り替わり、ハングを解決できるようになりました。

BZ#1043381

今回の更新以前は、ユーザーが IBus を使用して入力され、親ウィンドウと子ウィンドウ間で入力コンテキストが切り替わると、X11 アプリケーションが応答しなくなりました。今回の更新で競合状態を解決し、このバグを生じさせるようになりました。IBus は状況を適切に処理し、アプリケーションがハングしなくなりました。

Enhancement

BZ#1200973

ラテンから US-ASCII 文字へのトランの反復がサポートされるようになりました。今回の更新以前は、Red Hat Enterprise Linux 6 の icu は、transliterator_transliterate （）関数のこのモードをサポートしていませんでした。そのため、特定の操作を実行できませんでした。たとえば、ユーザーは PHP コード文字列から非 ASCII 文字を簡単に削除できませんでした。今回の更新により、ユーザーは transliterator_transliterate （）を使用して、US-ASCII 文字への Latin 文字を翻訳できるようになりました。

バグ修正

BZ#1176177

以前は、icu ソースパッケージの再構築プロセス中に、テストケースのカレンダー年に 2 桁の形式が使用され、正しく解釈されませんでした。その結果、1934 年ではなく 2034 年が表示され、テストケースのチェックが失敗していました。このバグを修正するためにパッチが適用され、チェックは失敗しなくなりました。

バグ修正

BZ#1129624

競合状態により、multicast_snooping ブリッジオプションは、ブリッジデバイスの作成前に適用できませんでした。今回の更新により、bridge の起動後に multicast_snooping が適用され、オプションが意図したとおりに機能するようになりました。

BZ#957706

以前は、rc.sysinit スクリプトは PID 1 (init)にだけアフィニティーを設定していたため、sysinit から実行されたプロセスでこの設定が継承されませんでした。この更新では、スクリプト自体にもアフィニティーが設定されるため、initscripts は、実行中のすべてのプロセスにアフィニティーを正しく設定します。

BZ#919472

net.bridge.bridge-nf-call-ip6tables キーは、以前はすべてのシステムに適用されていました。そのため、カーネルモジュールが欠落している場合、無害ではないが、不要なメッセージが返されました。ルールは sysctl.conf から再配置され、必要に応じてのみ適用されるようにします。

BZ#1101546

NFS クライアントマシンが NFS マウントで I/O が進行中にシャットダウンを試みると、シャットダウン中にシステムが応答しなくなっていました。この更新はレイジーマウントを適用すると、ファイル記述子(FD)を開くすべてのプロセスが検出されて強制終了され、ハングアップするようになり、この状況では発生しなくなります。

BZ#1136863

以前は、netconsole の開始優先度が 50 に設定されていたため、システムの起動時に netconsole が遅遅れしました。今回の更新で、優先度が低くなり、netconsole がネットワークの起動直後に起動するようになりました。

BZ#1157816

resolv.conf.save が存在する場合、resolv.conf は resolv.conf.save の内容で上書きされました。その結果、resolve.conf に予期せぬ変更が生じる可能性がありました。resolv.conf の内容は、デバイスが動的に設定されているか、または ifcfg ファイルに DNS オプションが含まれている場合にのみ置き換えられました。

BZ#997271

以前は、ipcalc ユーティリティーが RFC 3021 を認識しないため、ブロードキャストアドレスが正しく計算されませんでした。今回の更新で、ipcalc は RFC 3021 を正しく認識するため、このバグが修正されました。

BZ#1109588

以前は、ネットワークエイリアスは親から ARPCHECK 変数を継承せず、これにより、重複した IP アドレスの有無がチェックされず、エイリアスがそれらを確認していました。今回の更新により、エイリアスデバイスは ARPCHECK を継承します。

BZ#1164902

以前は、tcsh シェルを grep ユーティリティーと共に使用すると、ログ後に以下のエラーが返されたときに構文エラーが発生しました。

grep: 文字クラス構文は [[:space:]], not [:space:] です。

lang.csh コードが修正され、このシナリオでエラーメッセージが返されなくなりました。

BZ#1168664

この更新より前は、システムの起動時にシステムが応答しなくなった場合、管理者は原因を判断できませんでした。この更新により、rc.sysinit によって返される情報メッセージが追加されます。さらに、管理者が適切なデバッグ情報を受け取るように、カーネルコマンドラインの新しい rc.debug オプションが追加されました。

BZ#1176999

install_bonding_driver （）関数の構文エラーが原因で、以下のエラーメッセージが返されました。

/sys/class/net/bonding/slaves: そのようなファイルまたはディレクトリーがない

構文エラーが修正され、前述のエラーメッセージが返されなくなりました。

BZ#1189337

以前は、root がネットワークファイルシステム上にあり、アクションを実行しないために、ネットワークの initscripts が通知せずに失敗していました。ここで、ネットワーク initscripts は次のメッセージを出力し、システム管理者に通知します。

rootfs はネットワークファイルシステム上にあり、ネットワークを稼働させます。

BZ#1072967

以前は、ip addr flush コマンドはグローバルスコープで呼び出されていましたが、ループバックアドレスでは正しくありません。その結果、システムが応答しなくなる可能性があります。今回の更新により、ループバックの範囲ホストが使用され、フラッシュ操作が期待どおりに機能するようになりました。

バグ修正

BZ#1131571

ipa-server-install、ipa-replica-install、および ipa-client-install ユーティリティーは、FIPS-140 モードで実行しているマシンではサポートされません。以前は、IdM はこれについてユーザーに警告を発しませんでした。IdM では、FIPS-140 モードでユーティリティーを実行できず、説明メッセージが表示されるようになりました。

BZ#1132261

ipa-client-install ユーティリティーの実行時に Active Directory (AD)サーバーが自動的に指定または検出されたと、この状況では IdM サーバーが予想されることをユーザーに通知するのではなく、ユーティリティーはトレースバックを生成しました。これで、ipa-client-install は AD サーバーを検出し、説明のメッセージで失敗します。

BZ#1154687

IdM サーバーが、httpd サーバーで TLS プロトコルバージョン 1.1 (TLSv1.1)以降を必要とするように設定されている場合、ipa ユーティリティーは失敗していました。今回の更新で、ipa の実行は TLSv1.1 以降で期待どおりに機能するようになりました。

BZ#1161722

特定の高負荷環境では、IdM クライアントインストーラーの Kerberos 認証手順が失敗する可能性があります。以前は、この状況ではクライアントのインストール全体が失敗していました。今回の更新で、ipa-client-install が、UDP プロトコルよりも TCP プロトコルを優先するように変更され、失敗した場合は認証試行を再試行します。

BZ#1185207

ipa-client-install が /etc/nsswitch.conf ファイルを更新または作成した場合は、sudo ユーティリティーがセグメンテーションフォールトで予期せず終了する可能性があります。現在、ipa-client-install は、nsswitch.conf の最後に改行文字を配置し、ファイルの最後の行を変更し、このバグを修正します。

BZ#1191040

nsslapd-minssf Red Hat Directory Server 設定パラメーターが 1 に設定されていた場合、ipa-client-automount ユーティリティーが UNWILLING_TO_PERFORM LDAP エラーで失敗しました。この更新により、ipa-client-automount がデフォルトで LDAP 検索に暗号化された接続を使用するように変更され、このユーティリティーは nsslapd-minssf が指定されていても正常に終了するようになりました。

BZ#1198160

認証局(CA)のインストール後に IdM サーバーをインストールする場合、"ipa-server-install --uninstall" コマンドは適切なクリーンアップを実行しませんでした。ユーザーが ipa-server-install --uninstall を実行し、サーバーを再度インストールしようとすると、インストールに失敗します。ipa-server-install --uninstall は上記の状況で CA 関連のファイルを削除します。また、ipa-server-install は上記のエラーメッセージで失敗しなくなりました。

BZ#1198339

ipa-client-install を実行すると、sss が設定されていて、エントリーがファイルにあった場合でも、nsswitch.conf の sudoers 行に sss エントリーが追加されました。sss が重複したら、sudo が応答しなくなっていました。これで、nsswitch.conf に ipa-client-install がすでに存在する場合、sss が追加されなくなりました。

BZ#1201454

ipa-client-install を実行すると、特定の状況で SSH を使用してログインできませんでした。これで、ipa-client-install は sshd_config ファイルを破損しなくなり、sshd サービスは期待どおりに起動できるようになり、SSH を使用したログインが上記の状況で機能するようになりました。

BZ#1220788

/usr/share/ipa/05rfc2247.ldif ファイルの dc 属性の誤った定義により、移行中に偽のエラーメッセージが返されました。この属性は修正されていますが、Red Hat Enterprise Linux 6.7 で実行する前に copy-schema-to-ca.py スクリプトが Red Hat Enterprise Linux 6.7 で実行されても、バグは持続します。この問題を回避するには、/usr/share/ipa/schema/05rfc2247.ldif を手動で /etc/dirsrv/slapd-PKI-IPA/schema/ にコピーして IdM を再起動します。

バグ修正

BZ#878614

今回の更新以前は、ipmitool は 16 バイト長のセンサーデータリポジトリー(SDR)の項目名のみを処理できました。その結果、長い名前のセンサーを一覧表示すると、ipmitool が予期せず終了する可能性がありました。今回の更新で文字列識別処理が修正され、長いセンサー名が正しくトリミングされるようになりました。

BZ#903019

以前は、ipmitool はセンサーのしきい値と存在、および Sun Fire X4600 M2 サーバーでセンサーの単位も認識できませんでした。この更新により、認識されないセンサーレポートが解決されます。

BZ#1028163

以前は、ipmitool のデフォルトのタイムアウト値が不十分な期間を設定していました。その結果、再試行中に ipmitool がセグメンテーション違反で予期せず終了したり、非機密性のエラーメッセージが表示される可能性がありました。今回の更新により、環境変数から渡される ipmitool オプションが IPMITOOL_OPTS 変数および IPMI_OPTS 変数から正しく解析され、IPMITOOL_* 変数が IPMI_* 変数よりも優先されます。その結果、上記の状況では ipmitool がクラッシュしなくなりました。

BZ#1126333

以前は、ipmitool は Sensor Data Repository (SDR)タイプのソフトウェア ID を認識できませんでした。その結果、影響を受ける各行のデフォルトの 5 秒のタイムアウトが報告されると、応答が非常に遅くなりました。今回の更新で Intelligent Platform Management Bus (IPMB)要求セットアップが修正され、上記の状況では低速な SDR アクセス時間は発生しなくなります。

BZ#1162175

以前は、ipmitool ユーティリティーには OpenIPMI パッケージに不要な依存関係が必要でしたが、これは ipmitool と共にインストールする必要がありました。今回の更新により、ipmitool のインストール時にインストールされなくなった OpenIPMI パッケージの依存関係が削除されます。

BZ#1170266

以前のバージョンの ipmitool には、ipmitool パッケージおよびランタイムで報告されたバージョンの間のバージョン不一致が含まれていました。その結果、ipmitool -V コマンドを実行すると、正しい 1.8.11 バージョン番号の代わりに 1.8.14 のバージョン番号が表示されました。今回の更新により、ランタイムバージョンの変更が、パッケージバージョンに一致するように元に戻されました。

BZ#1194420

以前は、ipmitool は DDR4 メモリーモジュールを認識できず、そのようなシステムでセグメンテーション違反で予期せず終了する可能性がありました。この更新では、DDR4 レポートのサポートが追加されました。その結果、フィールド置換ユニット(FRU)インベントリーリストの実行時に、ipmitool が DDR4 システムでクラッシュしなくなりました。

バグ修正

BZ#997965

"ip route del" コマンドの実行後に、パラメーターを追加せずにデフォルトのルートが誤って削除されました。パッチが適用され、この状況ではデフォルトルートが削除されなくなりました。

BZ#1011817

"bridge monitor file" コマンドを実行すると、ファイルが開いたにも拘らず、閉じられません。コンテンツの読み込み後に開かれたファイルを閉じるための修正が適用されました。その結果、コマンドは開いているすべてのファイルを期待どおりに閉じるようになりました。

BZ#1034049

以前は、ip -6 addrlabel コマンドは inet6 ではなく inet" を含む誤ったエラーメッセージを返していました。このバグを修正するために、IPv4 アドレスの inet と、IPv6 アドレスの inet6 が含まれるようにエラーメッセージが変更されました。

BZ#1040367

この更新より前は、iproute ユーティリティーは、カーネル応答を読み取るときに send （）システムコールの戻り値を誤って処理していました。その結果、iproute は成功のカーネル応答を失敗として解釈する可能性があり、これにより iproute がエラーを出して終了する可能性がありました。今回の更新で、iproute は戻り値を正しく使用し、意図されたカーネル応答を処理するようになりました。

BZ#1060195

64 ビットカーネルであっても、/sbin/ip ファイルに 32 ビットシステムの統計が表示されました。このバグを修正するために、パッチが適用され、統計が正しく表示されるようになりました。

BZ#1152951

この更新以前は、マルチパスルーティングが IPv6 アドレスで機能せず、"2001:470:25:94::1" エラーではなく、IP アドレスが想定されていました。このバグを修正するために、IPv6 アドレスを使用したマルチパスルートの追加を可能にするパッチが適用されました。

機能拡張

BZ#1131650

スプーフィングチェック設定のサポートが iproute に追加されました。

BZ#1177982

動的精度、人間が読める形式、および IEC 出力は IP 統計にバックポートされるようになりました。

バグ修正

BZ#1146701

以前は、ファームウェアファイルの形式では大文字と小文字が区別されていました。その結果、pci.xxx ファイル形式でファームウェアを更新した後、SIS-64 アダプターのデバイス属性が正しく保存されませんでした。この更新により、ファームウェアの形式に大文字と小文字が区別されず、上記の状況ではデバイス属性が正しく保存されるようになりました。

バグ修正

BZ#1121665

ユーザーが ipset ライブラリーを使用してプログラムを作成しようとすると、ipset_port_usage （）関数への未定義の参照でリンクに失敗していました。今回の更新で、ipset_port_usage （）がライブラリーにより提供され、ipset ライブラリーを使用するプログラムが正常にコンパイルされるようになりました。

バグ修正

BZ#1081422

以前のバージョンでは、ipset に一致するルールには iptables リビジョンが使用されていませんでした。その結果、match-set オプションを指定した iptables ルールを追加することができましたが、削除対象としてルールを再度配置できなかったため、再度削除できませんでした。今回の更新で、libipt_SET にリビジョン 0 および 1 のコードパッチが追加されました。その結果、新しい ipset 一致ルールを削除できるようになりました。match-set オプションを使用したルールの追加および削除は、適用されたパッチで動作しますが、以前のバージョンの iptables で追加されたルールを削除しても機能せず、修正できないことに注意してください。このようなルールを削除するには、ルール番号を使用します。

BZ#1088400

iptables バージョン 1.4.7-9 では、alternatives の使用が導入されました。バージョン付けされた(/lib*/xtables-%{version})カスタムプラグインを使用しているため、プラグインは適切なバージョンのプラグインディレクトリーに置く必要がありました。iptables バージョン 1.4.7-10 以降、プラグインディレクトリーは /lib*/xtables/ に戻されましたが、iptables バージョン 1.4.7-9 のカスタムプラグインはコピーされませんでした。そのため、iptables 1.4.7-9 を新しいバージョンにアップグレードすると、カスタムプラグインが失われます。バージョン 1.4.7-15 以前から iptables の更新を検出するプラグイン更新トリガーが追加されました。その結果、/%{_lib}/xtables-1.4.7/ のプラグインが新しいファイル日である場合、または 1.4.7-15 より前の iptables バージョンから新しいバージョンに更新する際に、宛先ディレクトリーにないと、/%{_lib}/xtables-1.4.7/ ディレクトリーのカスタムプラグインが /%{_lib}/xtables-1.4.7/ ディレクトリーにコピーされます。

BZ#1084974

以前は、出力および保存用の Datagram Congestion Control Protocol (DCCP)パケットタイプの後にスペースがないため、誤った出力が発生していました。今回の更新で、print_types （）関数出力の最後にスペースが追加されました。その結果、iptables -L、iptables -S、および iptables-save コマンドの出力が正しくなりました。

BZ#1081191

以前は、一部の init スクリプトの警告メッセージは、euid 0 チェックに失敗し（設定ファイルはなく、保存するものは何もありません）が欠落していました。そのため、これらのケースでは終了ステータスコードのみが提供されていましたが、メッセージは提供されませんでした。今回の更新で、上記の状況で提供される警告メッセージが追加されました。

機能拡張

BZ#1161330

今回の更新で、IPv6 ファイアウォールルールで ipsets が使用できていなかったため、IPv6 ipset のサポートが追加されました。

BZ#1088361

今回の更新で、ip*tables コマンドの -C check オプションがサポートされるようになりました。以前は、特定のルールが存在するかどうかを確認する簡単な方法はありませんでした。現在、"-C" オプションをルールに使用して、ルールが存在するかどうかを確認できるようになりました。

バグ修正

BZ#829998

以前は、コード内の時間関連のロジックと終了条件が正しくないため、arping コマンドは誤った終了コードを返していました。今回の更新で、前述の問題が修正され、再度プレートで正しい値が返されるようになりました。

BZ#1099426

リターンパスホップの数を処理するコードが正しくないため、tracepath ユーティリティーに誤った数のバックホップが表示されました。この更新によりロジックが修正され、表示されるバックホップの数が正確になりました。

BZ#1113082

ドメイン名変換が IPv6 プロトコルで強制的に実行されると、内部ライブラリーから受信した誤った IP アドレスが表示されるため、ping コマンドの出力は正しくありません。gethostbyname （）の代わりに gethostbyname2 （）関数を使用するように基礎となるロジックが変更され、IP アドレスの変換へのドメイン名が正しく機能するようになりました。

BZ#1149574

コードに無効なロジックが存在するため、特定の状況で誤った警告メッセージが返される場合があります。

警告：カーネルは新たに行われないため、アップグレードが推奨されます。

今回の更新で、この誤った警告メッセージを返すコードが削除され、バグが修正されました。

バグ修正

BZ#1158932

以前は、irqbalance ユーティリティーは特定のシグナルにシグナルハンドラーを設定しませんでした。その結果、irqbalance が SIGINT または SIGHUP 以外のシグナルを受信すると、クリーンアップなしで終了します。今回の更新では、SIGUSR1、SIGUSR2、および SIGTERM のシグナルハンドラーが提供されます。その結果、現在のバランシングの反復が終了すると、irqbalance は正常に停止するようになりました。

BZ#1178247

この更新以前は、ディレクトリーが利用できない場合に、/sys/bus/pci/devices ファイルハンドルが正しく解放されませんでした。その結果、メモリーリークが発生していました。今回の更新により、irqbalance がディレクトリーを開けない場合、ファイルハンドルは期待どおりに解放され、上記の状況ではメモリーリークは発生しなくなります。

Enhancement

BZ#691746

iSCSI (Internet Small Computer System Interface)が安全なログアウトをサポートするようになりました。以前は、iSCSI デバイスがマウントされている場合でも iSCSI セッションのログアウトが許可されていたため、ホストが応答しなくなる可能性がありました。この更新により、iscsi.safe_logout オプションが追加されました。iscsi.safe_logout を /etc/iscsi/iscsid.conf ファイルで Yes に設定すると、接続されている 1 つ以上の iSCSI ドライブがマウントされたときに、システムブロックが iSCSI セッションからログアウトしようとします。

バグ修正

BZ#1145848

OpenJDK の TLS/SSL 実装は、以前は 1024 ビットを超える Diffie-Hellman (DH)鍵を処理できませんでした。これにより、Java Secure Socket Extension (JSSE)を使用するクライアントアプリケーションは、接続ハンドシェイク中により大きな DH キーを使用してサーバーへの TLS/SSL 接続の確立に失敗していました。この更新では、サイズが最大 2048 ビットの DH キーのサポートが追加され、このバグが修正されました。

BZ#1146622

以前は、OpenJDK ユーティリティーでは、umlaut diacritical マーク（を与える diacritical マーク）と、PostScript の出力の eszett 文字（へ）を含む文字が誤って表示されていました。umlaut および eszett 文字をサポートするパッチが適用され、OpenJDK がこれらの文字を正しく表示するようになりました。

BZ#1164762

jhat の man ページの URL が破損しました。このバグを修正するためにパッチが適用され、URL が期待どおりに機能するようになりました。

BZ#1168693

以前は、ターゲットアプリケーションに非 ASCII 文字を使用してシンボルが含まれている場合は、Serviceability Agent (SA)ツールを使用することができませんでした。Java 仮想マシン(JVM)および SA はそのような文字を持つ文字列のさまざまなハッシュを計算し、SA はエラーを出して終了しました。このバグを修正するパッチが適用され、ASCII 以外の文字が使用されると SA がクラッシュしなくなりました。

BZ#1173326

以前は、文字列値が null の場合に jvmtiStringPrimitiveCallback が呼び出されていました。その結果、Java 仮想マシン(JVM)が予期せず終了する可能性があります。このバグを修正するためにパッチが適用され、この状況で JVM がクラッシュしなくなりました。

BZ#1176718

この更新以前は、フォントを処理する Java Native Interface (JNI)コード処理が、コンテキストを設定するときに誤った関数パラメーターを使用していました。その結果、特定のフォントを破棄すると、Java 仮想マシン(JVM)が予期せず終了することがありました。JNI コードによる関数パラメーターの使用が修正され、この状況で JVM がクラッシュしなくなりました。

BZ#1190835

以前は、libgio ライブラリーを使用してデフォルトの GnomeFileTypeDetector で Files.probeContentType （）関数を呼び出すと、スレッドの最後で Java 仮想マシン(JVM)が予期せず終了していました。パッチが適用され、プロセスは問題なく終了するようになりました。

BZ#1214835

リグレッションにより、doe=n 引数で使用すると、Java Heap/CPU Profiling Tool (HPROF)が切り捨てられた出力を生成しました。そのため、出力ファイルにはヘッダーのみが含まれていたため、データは欠落していました。パッチが適用され、doe=n を使用する場合に HPROF の出力が正しくなりました。

Enhancement

BZ#1121211

SunEC プロバイダーである楕円曲線暗号のサポートが OpenJDK 7 に追加されました。OpenJDK 7 は、Transport Layer Security または Secure Sockets Layer の接続を確立したり、このテクノロジーを使用して暗号化と復号を実行したりできるようになりました。

バグ修正

BZ#1154143

Red Hat Enterprise Linux 6 では、java-1.8.0-openjdk パッケージに SunEC プロバイダーが誤って含まれていましたが、このシステムでは適切に機能しません。今回の更新で、SunEC が Red Hat Enterprise Linux 6 バージョンの java-1.8.0-openjdk から削除されました。

BZ#1155783

この更新以前は、java-1.8.0-openjdk パッケージが誤って java-devel を提供していたため、不適切なビルドが含まれていた可能性がありました。その結果、目的の Java パッケージの代わりに java-1.8.0-openjdk-devel がインストールされている場合、yum install java-devel コマンドによって、目的の Java パッケージの代わりに java-1.8.0-openjdk-devel がインストールされていることがあります。今回の更新で、提供された設定が削除され、yum install java-1.8.0-openjdk-devel コマンドを使用してのみ java-1.8.0-openjdk-devel をインストールできるようになりました。

BZ#1182011

以前は、OpenJDK ユーティリティーでは、umlaut diacritical マーク（を与える diacritical マーク）と、PostScript の出力の eszett 文字（へ）を含む文字が誤って表示されていました。umlaut および eszett 文字をサポートするパッチが適用され、OpenJDK がこれらの文字を正しく表示するようになりました。

BZ#1189853

Red Hat Enterprise Linux 6 の java-1.8.0-openjdk パッケージは java 仮想パッケージを提供しませんでした。そのため、OpenJDK 8 を使用するのにパッケージが必要な場合、一般的に "java" ではなく、java-1.8.0-openjdk が必要でした。現在は、期待どおりに java を必要とするようになりました。

BZ#1212592

OpenJDK は、システムのタイムゾーンデータのコピーを使用していました。これにより、OpenJDK の時間とシステム時刻の間に違いが生じる可能性があります。現在、OpenJDK はシステムタイムゾーンデータを使用し、OpenJDK の時間とシステム時間は同じです。

Enhancement

BZ#1210007

Red Hat は、オプションのチャネルで OpenJDK のデバッグビルドを提供するようになりました。デバッグビルドと JVM または JDK がそれらの使用に切り替えられたため、詳細な HotSpot デバッグを行うことができます。デバッグビルドは、通常の Java ビルドと同じ方法で 代替 または 直接実行 で使用できます。デバッグビルドは、低速レートで動作するため、本番環境での使用には適していません。

Enhancement

BZ#1149605

OpenJDK8 のサポートが JPackage ユーティリティーに追加されました。これにより、Java システムアプリケーションを OpenJDK8 で使用できるようになりました。

バグ修正

BZ#1158842

JSON-C の pkg-config (.pc)ファイルは、64 ビットパッケージの /lib64/pkgconfig/ ディレクトリーに誤って配置され、32 ビットパッケージの /lib/pkgconfig/ ディレクトリーに置かれていました。そのため、pkg-config ツールはこれらのファイルを見つけることができず、インストールされている JSON-C ライブラリー、ヘッダーファイル、JSON-C に関するその他の情報の場所を提供できませんでした。今回の更新により、pkg-config ファイルが /usr/lib64/pkgconfig/ および /usr/lib/pkgconfig/ ディレクトリーに移動されました。その結果、pkg-config ツールは、インストールされた JSON-C パッケージに関する情報を正常に返すようになりました。

バグ修正

BZ#1190302

以前は、HASH_ALGORITHM 定数が正しく定義されませんでした。そのため、SHA-256、SHA-384、および SHA-512 ハッシュ関数のオブジェクト識別子(OID)は正しくありません。今回の更新により、基礎となるソースコードが変更され、上記の OID が正しくなりました。

BZ#1190303

この更新以前は、JSS のソースコードには RC4 ソフトウェアストリーム暗号のキーの強度を検証するための条件がありませんでした。その結果、JSS はキーの強度を適切に検証しませんでした。このバグを修正するためにパッチが適用され、JSS は期待どおりに鍵強度検証チェックを実行するようになりました。

Enhancement

BZ#1167470

Tomcat サービスは、JSS を使用して Transport Layer Security 暗号プロトコルバージョン 1.1 (TLSv1.1)および Transport Layer Security 暗号プロトコルバージョン 1.2 (TLSv1.2)をサポートするように更新されました。

セキュリティーの修正

CVE-2014-3940, Moderate

Linux カーネルの Transparent Huge Pages (THP)実装が非ハングページ移行を処理する方法に欠陥が見つかりました。ローカルの特権のないユーザーは、透過的な HugePage を移行することで、この不具合を利用してカーネルをクラッシュする可能性があります。

CVE-2014-9683、Moderate

* Linux カーネルの eCryptfs 実装で暗号化されたファイル名がデコードされた方法で、バッファーオーバーフローの不具合が見つかりました。ローカル特権のないユーザーが、この不具合を利用してシステムをクラッシュしたり、システム上で権限を昇格したりする可能性があります。

CVE-2015-3339、中程度

* chown と execve システムコールの間で競合状態の欠陥が見つかりました。setuid ユーザーバイナリーの所有者を root に変更すると、競合状態によってバイナリー setuid root が即時に作成される可能性があります。ローカルで権限のないユーザーがこの不具合を使用して、システム上の権限を昇格する可能性があります。

CVE-2014-3184、Low

* Cherry Cymotion キーボードドライバー、KYE/Genius デバイスドライバー、Logitech デバイスドライバー、Monterey Genius KB29E キーボードドライバー、Petalynx Maxter リモートコントロールドライバー、Sunplus ワイヤレスデスクトップドライバーによって HID レポートが無効なレポート記述子サイズで処理されるように、複数の範囲外の書き込み欠陥が見つかりました。システムに物理的にアクセスできる攻撃者は、このような不具合のいずれかを使用して、割り当てられたメモリーバッファーを超えたデータを書き込む可能性があります。

CVE-2014-4652、Low

* Linux カーネルの Advanced Linux Sound Architecture (ALSA)実装がユーザーコントロールの状態のアクセスを処理する方法で、情報漏洩が見つかりました。ローカル特権ユーザーの場合、この不具合を悪用してカーネルメモリーをユーザースペースに漏洩する可能性があります。

CVE-2014-8133、Low

* LDT (spfix チェック)ではなく、16 ビットの RW データセグメントを GDT にインストールし、スタックでそのセグメントを使用することで、espfix 機能をバイパスできることがわかりました。ローカルで権限のないユーザーがこの不具合を使用して、カーネルスタックアドレスを漏洩する可能性があります。

CVE-2014-8709、Low

* Linux カーネルの IEEE 802.11 ワイヤレスネットワークの実装に情報漏洩の不具合が見つかりました。ソフトウェアの暗号化を使用すると、リモートの攻撃者はこの不具合を使用して最大 8 バイトのプレーンテキストを漏洩する可能性があります。

CVE-2015-0239、Low

* Linux カーネル KVM サブシステムの sysenter 命令エミュレーションでは十分ではないことがわかりました。非特権ゲストユーザーは、ゲスト OS が SYSENTER モデル固有のレジスターを初期化しなかった場合、ハイパーバイザーに 16 ビットモードで SYSENTER の指示をエミュレートすることで、この不具合を昇格させる可能性があります。注記：KVM を備えた Red Hat Enterprise Linux 用の認定ゲストオペレーティングシステムは SYSENTER MSR を初期化するため、KVM ハイパーバイザーで実行する場合、この問題は脆弱ではありません。

バグ修正

BZ#1068674

以前は、HugePages 機能が使用されている場合、makedumpfile ユーティリティーは "-d" オプションで指定されたページタイプに基づいてこれらのページを除外できませんでした。これにより、ダンプコレクション時間が、HugePages が使用されていない同じシステムと比較して大幅に長くなりました。このバグは修正され、ダンプコレクションの時間はもう一度最適です。

BZ#1208490

特定のメモリーホットプラグリージョンを備えたシステムで kdump 環境をセットアップし、kdump.service を起動すると、オペレーティングシステムは起動時にメモリーがなくなるため、起動プロセスに失敗していました。今回の更新で、kexec-tools のメモリーホットプラグを無効にするパラメーターが追加され、上記のシナリオでシステムが正常に起動するようになりました。

BZ#971017

今回の更新以前は、/sbin/mkdumprd は /etc/kdump.conf ファイルの "blacklist [directory]" ステートメントを適切に処理しませんでした。その結果、blacklist [directory] で除外されたモジュールは、initrd ブロックデバイスによってカーネルに挿入されました。基礎となるソースコードにパッチが適用され、mkdumprd が "blacklist [directory]" ステートメントを正しく処理するようになりました。

BZ#1104837

クラスター IP アドレスが解決可能なホスト名としてではなく IP アドレスとして指定された場合、kdump ユーティリティーは予期せずエラーメッセージを返しました。このバグは修正され、前述の状況で kdump がクラッシュしなくなりました。

BZ#1131945

以前は、ファイルシステムがマウントされる前に kdump が起動しようとするため、起動時に kdump が iSCSI ブートデバイスで起動できませんでした。このバグを修正するためのパッチが提供され、システムの起動時に kdump が自動的に起動するようになりました。

BZ#1132300

kdump サービスが起動し、kdump の初期 RAM ディスクが表示されなかった場合、kdump は ramdisk を再構築して mkdumprd スクリプトを呼び出そうとします。その結果、"service kdump start" コマンドの出力内に 2 つのエラーメッセージが返されました。今回の更新により、ramdisk を再構築するときに FIPS モードが有効にならないことがユーザーに通知され、エラーメッセージが返されなくなりました。

BZ#1099589

以前は、mlx4_core がメモリーを過剰に消費していたため、mlx4_core ドライバーはデフォルトで initrd から除外されていました。しかし、mlx4_core がないため、イーサネットドライバーに問題が発生していました。この修正により、/etc/kdump.conf ファイルの extra_modules としてリストされているモジュールがロードできるようになり、ユーザーは mlx4_core を使用できるようになりました。

機能拡張

BZ#1195601

makedumpfile ユーティリティーは、16 TB を超える物理メモリー領域を表すことができる新しい sadump 形式をサポートするようになりました。これにより、今後のサーバーモデルの sadump によって生成されたサイズが 16 TB を介して、makedump ファイルを読み込むことができます。

BZ#1142666

今回の更新で、kexec-tools-eppic パッケージが変更され、/usr/share/ ディレクトリーに装備的なスクリプト用のディレクトリーが作成されました。kexec-tools-eppic のユーザーは、kexec-tools パッケージに含まれていますが、参照用のサンプルスクリプトを確認できるようになりました。

バグ修正

BZ#1075656

この更新以前は、Kerberos プリンシパルキーの有効期限が切れると、パスワードの変更要求はパスワード変更要求の FAST フレームワーク設定を考慮していませんでした。そのため、FAST を必要とする pre-auth メソッドをユーザー認証に使用することはできませんでした。今回の更新で、パスワード変更メッセージで FAST アーマーを正しく使用するように krb5 が変更され、ユーザー認証に pre-auth メソッドを使用できるようになりました。

BZ#1154130

以前は、KDC マスターとスレーブの間に増分伝搬を設定した後に、完全な同期を実行しようとするとエラーメッセージが表示され、失敗していました。この問題を修正するためにパッチが適用され、ユーザーが KDC マスターとスレーブ間の増分伝搬を設定した後に、完全な同期が失敗しなくなりました。

Enhancement

BZ#1170272

今回の更新で、LocalAuth プラグイン API が krb5 に追加されました。SSSD は LocalAuth を活用して、Red Hat Enterprise Linux Identity Management (IdM)クライアントへの Active Directory (AD)ユーザーのシームレスな認証を可能にします。

バグ修正

BZ#848026

以前は、より多くの期間 VMware 仮想マシンにログインした後、krb5-auth-dialog によるメモリー使用率の不適切に増加が発生する可能性がありました。このバグを修正するために、パッチが適用されています。今回のリリースより、krb5-auth-dialog メモリーリークは、この状況で発生しなくなりました。

バグ修正

BZ#1116072

この更新以前は、置換に使用されるファイル記述子が以前に明示的に閉じられた場合に、コマンド置換の結果が失われていました。この更新により、ksh は、コマンド置換中に閉じられたファイル記述子を再利用しなくなりました。このコマンドの置き換えは上記の状況で期待どおりに機能するようになりました。

BZ#1117404

以前は、関数内にトラップを再設定すると、ksh が予期せず終了していました。今回の更新により、ksh はトラップポインターに無効なデータを使用しなくなり、この状況ではクラッシュしなくなりました。

BZ#1160923

実行パーミッションのないディレクトリーにユーザーを変更した後、ksh は変更が発生したこと、およびユーザーが変更を試みたディレクトリーでユーザーが動作したことを認識しませんでした。また、pwd ユーティリティーは、ユーザーが実際に動作していたディレクトリーの代わりに、ユーザーが変更を試みたディレクトリーを誤って表示しました。今回の更新で、ksh が変更され、ディレクトリーの変更が成功したかどうかを確認するようになりました。その結果、必要な実行権限がない場合に ksh はエラーを報告します。

BZ#1168611

以前は、ksh が作業ディレクトリーのパスを保持する変数を誤って初期化することがありました。プログラムが forking と ksh の実行の間に作業ディレクトリーを変更した場合は、ksh の作業ディレクトリー変数に誤った値が含まれている可能性があります。この更新により、作業ディレクトリー変数の初期化が修正され、ksh に前述の状況で正しい値が含まれるようになりました。

BZ#1173668

ネストされた associative 配列に、アレイの初期化後に予期しない余分な空の値が含まれていました。今回の更新で、この問題の原因となっていた連想アレイ初期化コードのバグが修正されました。その結果、新たに作成される associative アレイは期待どおりに空になります。

BZ#1176670

以前は、内部フィールドスパレーター(IFS)が変更された読み取り操作中にアラームが発生した後に、ksh が予期せず終了していました。ksh アラームの組み込みが変更され、実行中に IFS テーブルを保持するようになりました。その結果、この状況では ksh がクラッシュしなくなりました。

BZ#1188377

ユーザーが export 属性を変数に設定すると、ksh が他の変数属性を無視していました。たとえば、ユーザーが変数を export と upper-case の両方に設定すると、ksh は upper-case オプションを正しく設定しませんでした。typeset ユーティリティーコードは、ユーザーが変数に設定したすべてのオプションに従うように修正されました。その結果、ユーザーが複数の属性を同時に設定しても、ksh はすべての属性を正しく設定します。

BZ#1189294

以前は、ユーザーが連想アレイの設定を解除した後、システムは新しく使用可能なメモリーを解放しませんでした。したがって、ksh は時間の経過とともにより多くのメモリーを消費しました。ユーザーが連想アレイの設定を解除した後にメモリーを解放するように、基礎となるソースコードが変更され、この問題が修正されています。

バグ修正

BZ# 1160636, BZ#1167796

lasso パッケージのユーザーは、以前は Red Hat Enterprise Linux の Microsoft Active Directory フェデレーションサービスとの相互運用性に関連するいくつかの問題が発生する可能性がありました。mod_auth_mellon モジュールの使用時に ADFS に対する認証が失敗しました。さらに、Apache セッションでは、要素数の制限が不十分であり、複数値変数はサポートされていませんでした。また、MellonCond パラメーターは MellonSetEnv (NoPrefix)パラメーターと一緒に使用される場合に機能しませんでした。この更新により、ADFS の相互運用性に関する上記の問題が修正されます。

バグ修正

BZ#619777

以前は、"xfer:auto-rename" オプションおよび "xfer:clobber" オプションが有効になっている場合でも、重複した名前のファイルをダウンロードできませんでした。このバグを修正するために、ダウンロードしたファイルの名前を変更する条件が変更され、期待どおりに名前が変更されるようになりました。

BZ#674875

この更新以前は、lftp の man ページには "xfer:auto-rename" オプションの情報が含まれていませんでした。このオプションは文書化され、ページに追加され、ユーザーが利用できるようになりました。

BZ#732863

エラーチェックコードのバグにより、ローカルホストに IPv4 接続しかない場合、lftp は IPv6 アドレスを持つリモートホストに接続できない可能性がありましたが、リモートホストドメイン名も IPv6 アドレスに接続できませんでした。今回の更新でコードが修正され、この状況で接続の問題が発生しなくなりました。

BZ#842322

アップロードしたファイルの長さが正しく評価されていないため、ASCII モードでファイル転送後に lftp ツールが応答しなくなりました。今回の更新により、転送されたデータのボリュームが正しく認識され、このシナリオで lftp プログラムがハングしなくなりました。

BZ#928307

Web サイトのミラーモードで lftp を実行すると、lftp は、HTTP 302 リダイレクトの場合にエラーを出して終了します。このバグを修正するために、lftp が修正され、このような状況で新しい場所に正常に続行されるようになりました。

BZ#1193617

"cmd:fail-exit" オプションを有効にすると、help コマンドの後にコマンドを実行すると lftp が予期せず終了することがありました。今回の更新で、正しい戻りコードを返すように "help" コマンドが修正され、このシナリオで lftp が終了しなくなりました。

バグ修正

BZ#1036355

以前は、cgconfigparser ユーティリティーは単一の write （）関数呼び出しで複数行の値を書き込みましたが、devices カーネルサブシステムでは write （）ごとに 1 行しか期待していました。その結果、cgconfigparser は複数行変数を適切に設定しませんでした。基礎となるソースコードが修正され、cgconfigparser が意図したとおりにすべての変数を解析するようになりました。

BZ#1139205

今回の更新以前は、/etc/cgfconfig.conf または '/etc/cgconfig.d/' ディレクトリー内の設定ファイルに二重引用符で囲まれていない cgroup 名 'default' が含まれていると、後方互換性が破損し、cgconfigparser はファイルの解析に失敗していました。今回の更新により、二重引用符なしの 'default' が再び有効な cgroup 名と見なされ、設定ファイルが正しく解析されるようになりました。

バグ修正

BZ#1186821

libdrm パッケージがアップストリームバージョン 2.4.59 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。

BZ#1032663

mesa パッケージがアップストリームバージョン 10.4.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。このバージョンには、新しい Intel 3D グラフィックチップセットのサポートが含まれています。

BZ#1176666

新しい Intel 3D グラフィックチップセットのサポートが、xorg-x11-drv-intel パッケージにバックポートされました。

* xorg-x11-drv-ati パッケージはアップストリームバージョン 7.5.99 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が含まれています。このバージョンには、新しい AMD 3D グラフィックチップセットのサポートが含まれています。

BZ#1084104

以前は、ハードウェアアクセラレーションが有効になっている場合、radeon ドライバーは Virtual Network Computing (VNC)モジュールでは正しく機能しませんでした。その結果、この方法で設定したコンピューターに接続された VNC クライアントは、空の画面のみを表示していました。今回の更新でこの問題は解決され、前述の設定で VNC を使用できるようになりました。

バグ修正

BZ#1153855

virt-sysprep コマンドを使用して SELinux が有効なゲストからユーザーアカウントを削除しても、SELinux の再ラベル付けプロセスが適切にトリガーされなかったため、ゲストが起動しませんでした。今回の更新で、そのようなゲストからユーザーを削除すると、再ラベル付けが適切にトリガーされるようになりました。さらに、virt-sysprep (1)の man ページでは、SELinux 対応のゲストをクリーンアップする際に--selinux-relabel オプションを使用することを推奨します。

BZ#1100530

guestfish -h コマンドの出力には、現在追加されたコマンドエイリアスが含まれていませんでした。

BZ#1056558, BZ#1122557

BZ#1056558 の修正により、virt-sparsify ユーティリティーを使用する場合はブロックデバイスを出力できませんでした。この更新により、virt-sparsify でブロックデバイスを ouput として使用できるようになります。

BZ#1153846

XFS ファイルシステムでゲストの guestfish で Tab-completion を使用しても、ディレクトリー名にスラッシュ(/")記号が正しく追加されませんでした。今回の更新で、guestfish が調整され、このファイルシステムのファイルおよびディレクトリーが適切に区別され、問題が修正されます。

BZ#1138630

virt-sysprep コマンドを使用してユーザーアカウントを削除しても、/etc/shadow ファイルからユーザーエントリーが正しく削除されませんでした。今回の更新で、/etc/shadow を解析する lens が Augeas ツールに追加され、virt-sysprep がそれを使用するようになりました。その結果、virt-sysprep を使用してゲストからユーザーを削除すると、/etc/shadow 内のエントリーも削除されます。

BZ#1038977

libguestfs ユーティリティーは、4 キロバイトセクターサイズの XFS ファイルシステムでディスクイメージを使用できませんでした。今回の更新で、add_drive API の cachemode パラメーターが導入されました。これはドライブキャッシュを制御し、上記のファイルシステムに保存されているディスクイメージを使用できるようにするデフォルト値を持ちます。

BZ#1128942

libguestfs ツールは、パスにコロン(":")記号を含むディスクイメージを使用できませんでした。今回の更新で、libguestfs と virt-sparsify のパス処理が改善され、そのようなイメージが想定どおりに使用できるようになりました。

BZ#1091859

シンボリックリンクを処理しようとすると、scrub-file API が失敗しました。今回の更新により、scrub-file はファイルパスをさらに処理する前に解決するため、シンボリックリンクで scrub-file を使用すると、リンクのターゲットに適切に影響するようになりました。

BZ#1159651、BZ#1160203

libguestfs firstboot スクリプトランナーの誤った実装により、firstboot スクリプトは、実行されたすべてのスクリプトではなく、最後に実行されたスクリプトのみをログに記録しました。さらに、ゲストを再起動するスクリプトなど、起動の原因となるファーストブート スクリプトは、起動ごとに意図せずに実行されていました。これらの問題が修正されました。

BZ#1074005

Java バインディング、または String とは異なるオブジェクトのリストを返す API で、ArrayIndexOutOfBoundsException 例外がトリガーされました。結果リストの作成が修正され、これらの API が予想される結果を返すようになりました。

BZ#1168751

lvm-set-filter API が lvm.conf ファイルが書き換えられた方法。これにより、lvm-set-filter が LVM デバイスフィルターを適切に変更できるようになります。

機能拡張

BZ#1151901

virt-ls --csv --checksum コマンドの出力には、ディレクトリーの場合と同様に、フィールドが空であってもチェックサム値のフィールドが常に含まれるようになりました。その結果、コマンドの出力がより簡単に解析できるようになります。

BZ#1164734, BZ#1151739, BZ#1153974, BZ#1100533

set-append コマンドのヘルプメッセージ、guestfish umount コマンドのエラーメッセージ、guestfish (1)および virt-edit (1)の man ページのエラーメッセージに対して、マイナーな修正と改善が行われました。

バグ修正

BZ#1025841、BZ#1063328

以前は、キーワード "vlan" を含むフィルター式を指定して "tcpdump" コマンドを実行すると、libpcap Berkeley Packet Filter (BPF)コンパイラーによって生成されたフィルターで BPF 拡張機能が使用されていなかったため、予期しない出力が生成されていました。このバグを修正するために、libpcap が修正され、必要に応じて BPF 拡張機能を使用するフィルターが生成されるようになりました。その結果、vlan を含むフィルターで tcpdump を実行すると、正しい結果が生成されます。

セキュリティーの修正

CVE-2015-1774

LibreOffice HWP (Hangul Word Processor)ファイルフィルターが特定の HWP ドキュメントを処理する方法に欠陥が見つかりました。攻撃者は、特別に細工された HWP ドキュメントを開くことをユーザーがトリックすると、この脆弱性を使用して、ドキュメントを開くユーザーの権限で任意のコードが実行される可能性があります。

バグ修正

BZ#1150048

OpenXML の相互運用性が向上しました。

この更新では、Calc アプリケーションに統計情報関数が追加され、Microsoft Excel とそのアナリシス ToolPak のアドインとの相互運用性が向上しました。

* Calc にさまざまなパフォーマンス改善が実装されています。

* この更新では、Appple Keynote および Abiword アプリケーションからファイルをインポートする新しいインポートフィルターが追加されます。

* MathML マークアップ言語のエクスポートフィルターが改善されました。

* 最近開いたドキュメントのサムネイルを含む新しいスタート画面が追加されました。

* トレージまたはアニメーションのあるスライド向けに、視覚的なクロージャーウィンドウに表示されるようになりました。

* この更新により、チャートの傾向線が改善されました。

* libreoffice は、BCP 47 言語タグをサポートするようになりました。

このリベースで提供されるバグ修正と機能強化の完全なリストは、参考資料セクションにリンクされている libreoffice change log を参照してください。

バグ修正

BZ#591451

以前は、libsemanage ライブラリーのテストを試みると、libsemanage テストスイートが失敗していました。今回の更新で、基礎となるコードのエラーが修正され、libsemanage テストスイートが期待どおりに機能するようになりました。

BZ#872700

この更新以前は、すでに有効なモジュールを有効にしようとしたとき、またはすでに無効になっているモジュールを無効にしようとしたときに、semodule コマンドはエラーメッセージを出して失敗していました。今回の更新で、コマンドが正常に実行される動作が調整され、上記のシナリオでエラーメッセージが生成されなくなりました。

バグ修正

BZ#1198096

以前は、NUMA (Non-Uniform Memory Access)ピニングの使用時にデフォルトの CPU マスクが指定されている場合、仮想 CPU (vCPU)はデフォルトのノードマスクに含まれていない物理 CPU にピニングできませんでした。今回の更新により、コントロールグループ(cgroups)コードは、ドメイングループ全体ではなく vCPU スレッドのみを正しくアタッチし、デフォルトの cpuset サブシステムで NUMA ピニングを使用すると期待どおりに機能するようになりました。

BZ#1186142

type='network' である libvirt ドメインのインターフェイス設定は、移行中に送信されたインターフェイスの XML データが正しくありませんでした。これには、使用するネットワークの名前（設定）ではなく、インターフェイスのステータスが含まれています（設定）。その結果、移行先は移行元のステータス情報を使用してドメインネットワークインターフェイスを設定しようとし、移行に失敗していました。今回の更新で、libvirt はステータスデータではなく、移行中に各デバイスの設定データを送信し、type='network' のインターフェイスを使用したドメインの移行が成功するようになりました。

BZ#1149667

Red Hat Enterprise Linux 0.1.5 では、QEMU がスナップショットの作成能力があるかどうかを報告するため、libvirt のサポートが追加されました。ただし、libvirt はスナップショット機能を適切にプローブしませんでした。その結果、VDSM の KVM ゲストイメージのスナップショット機能は、利用可能であっても利用不可と報告され、場合によってはディスクスナップショットの作成に失敗していました。今回の更新により、libvirt は QEMU スナップショット機能を報告しなくなったため、上記の問題が発生しなくなりました。

BZ#1138523

以前は、"virsh pool-refresh" コマンドを使用するか、仮想ストレージボリュームの名前を変更した後に libvirtd サービスを再起動または更新すると、"virsh vol-list" が名前が変更されたストレージボリュームに誤った名前を表示していました。今回の更新により、結果として生成される名前のチェックが追加され、ストレージボリューム名が正しくない場合にエラーが返されます。

BZ#1158036

今回の更新以前は、"virsh save" コマンドを使用して、デフォルト以外の owner:group 設定を使用して libvirtd サービスを実行している際の root squash アクセス権限の削減で NFS クライアントにドメインを保存する際に、NFS クライアントの保存に失敗し、Transport endpoint is not connected というエラーメッセージが表示されます。この更新により、保存プロセス中の chmod 操作でデフォルト以外の owner:group 設定が正しく指定され、前述のシナリオで virsh save を使用すると期待どおりに機能します。

BZ#1113474

Virtual Function (VF)が以前 hostdev ネットワークで使用されていた場合は、guava-passthrough ネットワークでは使用できません。今回の更新で、libvirt は、VF の MAC アドレスが OutInterceptor-passthrough ネットワークに対して適切に調整され、上記のシナリオで VF を適切に使用できるようになりました。

バグ修正

BZ#667789

以前は、Red Hat Enterprise Linux 6 を使用する際には、ミュートマイクキーが機能しない場合がありました。今回の更新で、libX11 が xkeyboard-config キーボードレイアウトファイルによってミュートマイクキーに割り当てられた鍵シンボルを適切に解決し、ミュートマイクキーが期待どおりに機能するようになりました。

BZ#1206240, BZ#1046410, BZ#1164296

32 ビットアーキテクチャーでは、X11 プロトコルクライアントは、多数の X11 要求の処理後に切断されました。今回の更新で、libxcb ライブラリーは要求シーケンス番号を 64 ビット整数として公開するため、libX11 は 32 ビットシステムでも 64 ビットのシーケンス番号を使用できるようになりました。その結果、上記の X11 クライアントの障害は発生しなくなります。

セキュリティーの修正

CVE-2015-1819

libxml2 ライブラリーが特定の XML ファイルの解析方法に、サービス拒否の欠陥が見つかりました。攻撃者は、特別に細工された XML ファイルを提供できます。このファイルは、libxml2 を使用してアプリケーションによって解析されると、そのアプリケーションが過剰な量のメモリーを使用する可能性があります。

Enhancement

BZ#1085584

今回の更新で、Precision Time Protocol (PTP)ドメインまたは Network Time Protocol (NTP)ソース間のフェイルオーバーのサポートが追加されました。これで、PTP が利用できなくなった場合、システムは別のタイムソースにフォールバックしたり、システムで別の NIC を使用して Network Interface Controller (NIC)に障害が発生した場合に PTP 同期を維持したりできます。

バグ修正

BZ#625034

logrotate ユーティリティーが十分なディスク領域が不足しているときにステータスファイルの書き込みを試みると、logrotate はステータスファイルの一部のみを作成し、停止します。ディスク領域が再び解放され、ログのローテーションがそのレコードを読み取ろうとすると、logrotate が予期せず終了しました。このバグは修正され、前述のシナリオで logrotate がクラッシュしなくなりました。

BZ#722209

以前は、logrotate の日次 cronjob がすべてのエラーメッセージを /dev/null デバイスファイルにリダイレクトするため、トラブルシューティングのためにすべての関連情報が抑制されていました。今回の更新により、詳細なエラーレポートを含むすべてのエラーメッセージが root ユーザーに送信されるようになります。さらに、/etc/cron.daily/logrotate ファイルは RPM で設定ファイルとしてマークされています。

BZ#1012485

以前は、/etc/cron.daily/logrotate ファイルに誤った権限が設定されていました。この更新により、パーミッションが 0700 に変更され、/etc/cron.daily/logrotate は Red Hat セキュリティーポリシー GEN003080 に準拠するようになりました。

BZ#1117189

logrotate ユーティリティーは、"-%d-%m-%Y" の日付形式が使用されたときに、年齢に基づいてデータファイルを誤って削除していました。この更新により、glob （）関数によって返されるファイルは、日付の拡張子に従ってソートされます。その結果、前述の日付形式を使用すると、最も古いログが期待どおりに削除されるようになりました。

機能拡張

BZ#1125769

logrotate "olddir" ディレクティブがまだディレクトリーが存在しない場合に自動的に作成するようになりました。

BZ#1047899

今回の更新で、size ディレクティブ解析および maxsize ディレクティブに logrotate 機能が追加されました。

バグ修正

BZ#772991

今回の更新以前は、特定の状況では、あるホストから複数のネットワークファイルシステム(NFS)共有がマウントされていると、特定の状況では、マウントされたフォルダーの場所が正しくないと、lsof ユーティリティーが報告されていました。今回の更新により、複数の NFS クライアントがスーパーブロックを共有できるようになりました。lsof は、マウントされたフォルダーの正しいサーバーの場所を報告するようになりました。

BZ#668099

以前は、lsof は Stream Control Transmission Protocol (SCTP)の関連付けを認識せず、このタイプの関連付けを使用してプロセスを説明する行の最後に cant identify protocol を出力していました。今回の更新により、SCTP のサポートが追加され、lsof はその出力で SCTP 関連付けを正しく識別するようになりました。

バグ修正

BZ#1009883

lsscsi パッケージが更新され、SCSI protection_type フラグとintegrity フラグを適切に検出およびデコードするようになりました。以前は、lsscsi パッケージは、見つからない sysfs ファイルシステム内の場所から protection_type フラグと整合性フラグを読み取ろうとしていました。今回の更新により、lsscsi は適切なファイルの場所を使用してこれらのフラグを識別するようになりました。

バグ修正

BZ#1136456

クラスター設定の編集時に、1 つ以上のノードで新しい設定を設定中にエラーが発生した場合でも、luci は新しい設定バージョンをアクティブ化しようとしました。その結果、クラスターが同期しなくなる可能性がありました。今回の更新により、luci は上記の状況で新規クラスター設定をアクティブにしなくなりました。

BZ#1010400

新しい属性 "cmd_prompt" が fence_apc フェンスエージェントに追加されました。その結果、ユーザーはこの新しい属性を表示および変更できませんでした。fence_apc フォームが更新され、cmd_prompt の表示および設定のサポートが追加されました。

BZ#1111249

停止アクションのセマンティクスは、rgmanager ユーティリティーの "disable" アクションセマンティクスとは異なります。以前は、GUI で停止ボタンをクリックすると、luci は常に rgmanager で "disable" アクションを発行したコマンドを実行していました。そのため、luci は、サービスに対して rgmanager stop アクションを発行するコマンドを発行しませんでした。今回の更新では、エキスパートモードでのみアクセス可能な "disable" アクションに加えて、停止アクションが追加されました。

BZ#886526

サービスグループのリソースの追加を選択すると、ダイアログにキャンセルボタンがなく、GUI で期限が切れました。その結果、ユーザーは誤ってボタンをクリックした場合、またはボタンをクリックした後に選択を変更したい場合は、ページをリロードする必要がありました。今回の更新で、サービスグループのリソース追加ダイアログにキャンセルボタンが追加されました。

BZ#1100831

以前は、luci では仮想マシンリソースに子リソースを指定できず、VM をサービスグループに追加した後、それ以上のリソースを追加できないように "add resource" ボタンが削除されました。ただし、GUI は子を持つリソースを含む設定を処理することができました。その結果、luci が前述の設定をサポートしていても、VM リソースを追加した後に "add resource" ボタンが削除されました。今回の更新により、VM リソースをサービスグループに追加するときにリソースの追加ボタンが削除されなくなりました。

BZ#917781

luci ツールは postgres-8 リソースの shutdown_wait 属性の設定を許可していましたが、リソースエージェントは属性を無視していました。その結果、shutdown_wait の影響がなくなったことが明確ではありませんでした。今回の更新で、Red Hat Enterprise Linux 6.2 以降を実行しているクラスターに、shutdown_wait パラメーターが無視されることを示すテキストが追加されました。

BZ#1204910

Red Hat Enterprise Linux 6.7 以降、fence_virt が完全にサポートされています。以前は、fence_virt がテクノロジープレビューとして含まれていました。これは、GUI でラベルで示されていました。また、fence_xvm と fence_virt に関する特定のラベルとテキストに一貫性がありませんでした。この更新により、GUI テキストは fence_virt の現在のサポートステータスを反映し、テキストの一貫性が保たれます。

BZ#1112297

エキスパートモードではなく、特定のリソース、サービスグループ、フェンスエージェントに変更を加えると、エキスパートモードでのみ luci に設定できる属性が失われる可能性があります。その結果、一部の設定パラメーターが誤って削除される可能性がありました。今回の更新により、luci はエキスパートモードのみの属性を削除しなくなりました。

機能拡張

BZ#1210683

fence_emerson デバイスおよび fence_mpath フェンスデバイスの設定のサポートが luci に追加されました。

BZ#919223

今回の更新により、luci でサービスグループを表示または編集する時に、ユーザーはサービスグループの一部を折りたたみ、拡張できるようになり、設定画面が長すぎたため、使いやすさが向上しました。

バグ修正

BZ#853259

今回の更新で、論理ボリュームマネージャー(LVM)での選択サポートが強化されました。

BZ#1021051

"lvchange -p" コマンドは、論理ボリューム(LV)上のカーネル内パーミッションを変更できます。

BZ#736027

多数の物理ボリューム(PV)から構築されたボリュームグループ(VG)では、大きな遅延が発生する可能性があります。lvmetad サービスを有効にすると、VG がすべての PV にメタデータを持っているシステムでも操作時間が短縮されます。

BZ#1021728

lvremove ユーティリティーは、修復されなかった破損したシンプールの削除に失敗しました。二重の "--force" --force" オプションで、そのようなプールボリュームを削除できるようになりました。

BZ#1130245

lvmetad サービスを global/use_lvmetad=1 セットと使用する場合、LVM リークされたオープンソケット、および既存のソケット用に lvmetad の保持スレッドが使用された場合。現在、LVM は lvmetad ソケットを開きなくなり、lvmetad は未使用のスレッドを解放します。

BZ#1132211

特定の状況でシンプールのアクティブ化に失敗しました。lvm2 ユーティリティーは、シンプールチャンクサイズを 64kB に適切に丸めるようになり、このバグが修正されました。

BZ#1133079

lvconvert ユーティリティーは、特定の状況で内部エラーメッセージを表示しました。現在は、lvconvert は、変換を開始する前に--originname の値が--thinpool値とは異なるかどうかを検証します。このメッセージは表示されなくなります。

BZ#1133093

LV 名の厳密なチェックにより、lvconvert ユーティリティーを使用して、キャッシュデータおよびキャッシュメタデータボリュームからミラーを修復または分割できませんでした。チェックが緩和され、lvconvert をこれらの操作に正常に使用できます。

BZ#1136925

以前は、lvm2 ユーティリティーは、ロックのために誤ったデバイスにアクセスしようとすることがありました。現在、lvm2 はスナップショットボリュームに予想される LV ロックを使用するため、このバグが修正されました。

BZ#1140128

volume_list パラメーターがエラーコードパスでのシンプールの作成時にボリュームをアクティベートするように設定されている場合、一部のボリュームは、適切なロックが保持されない状態でデバイスマッパーテーブルでアクティブなままになる可能性がありました。このようなボリュームはすべて、lvm2 が終了する前に正しく非アクティブ化されるようになりました。

BZ#1141386

クラスター化されたロックが選択されると、VG クラスタリング属性を変更すると、誤動作する可能性があります。このコードは、この状況でクラスター化されていない VG であっても、ロックを正しくチェックおよび伝播するようになりました。このバグは発生しなくなります。

BZ#1143747

lvm2 ユーティリティーを使用して、シンプールボリュームの--minorオプションおよび-majorオプションを設定できなくなりました。ユーザーがそれらを設定しようとすると、lvm2 はサポートされていないユーザーに正しく通知します。

BZ#1171805, BZ#1205503

vgimportclone スクリプトは予想通りに機能しない場合があり、重複した VG の名前変更やインポートに失敗する場合がありました。このスクリプトは、lvm.conf ファイルに filter 設定がなく、そのコードがより堅牢になり、これらのバグを修正するようになりました。

BZ#1184353

lvm2 のインストール後に lvm.conf ファイルの global セクションの thin_check_options オプションのデフォルト値に --clear-needs-check-flag オプションが欠落していました。現在、"-clear-needs-check-flag" はインストール後にデフォルトで設定されるようになりました。

BZ#1196767

"obtain_device_list_from_udev=0" が lvm.conf に設定されている場合、pvs ユーティリティーは、指定された PV のラベルフィールドだけを報告する際にすべての PV を一覧表示しませんでした。LVM2 は永続キャッシュの正しいコンテンツを生成するようになり、このバグが修正されました。

機能拡張

BZ#1202916

今回の更新で、LVM キャッシュが完全にサポートされるようになりました。ユーザーは、大規模で低速なデバイスへのキャッシュとして機能する小規模な高速デバイスで LV を作成できるようになりました。キャッシュ LV の作成については、lvmcache (7)の man ページを参照してください。

BZ#1211645

今回の更新で、lvmconf スクリプトに--enable-halvm、--disable-halvm、--mirrorservice、および--startstopservices オプションが追加されました。詳細は、lvmconf (8) man ページを参照してください。

セキュリティーの修正

CVE-2015-2775

特定の MTA に渡す前にリスト名をサニタイズしなかったことが見つかりました。ローカル攻撃者は、この脆弱性を使用して、mailman を実行しているユーザーとして任意のコードを実行する可能性があります。

CVE-2002-0389

誰でも読み取り可能なディレクトリーにプライベート電子メールメッセージが保存されることがわかりました。ローカルユーザーは、この不具合を使用してプライベートメーリングリストアーカイブを読み取る可能性があります。

バグ修正

BZ#1095359

以前は、ドメインベースのメッセージ認証、レポート、変換(DMARC)がドメインキー識別メール(DKIM)署名のアライメントを認識する方法で Mailman を設定することができませんでした。そのため、Mailman は、yahoo.com や AOL.com など、DMARC の拒否ポリシーを持つメールサーバーに属するサブスクライバーをリストし、DKIM 署名を提供しているドメインに存在する送信者から Mailman を転送できませんでした。今回の更新により、拒否 DMARC ポリシーが設定されたドメインが正しく認識され、Mailman リストの管理者がこれらのメッセージの処理方法を設定できるようになりました。その結果、適切な設定後に、サブスクライバーはこのシナリオで Mailman の転送されたメッセージを正しく受信するようになりました。

BZ#1056366

mailman は、"newlist" コマンドで新しいメーリングリストが作成されたときに、その電子メールの件名を生成するときにコンソールエンコーディングを使用していました。そのため、コンソールエンコーディングがその特定の言語の Mailman で使用されるエンコーディングと一致しない場合は、"welcome email" の文字が正しく表示されない可能性がありました。正しいエンコーディングを使用するように mailman が修正され、"Welcome email" の文字が正しく表示されるようになりました。

BZ#1008139

rmlist コマンドはハードコーディングされたパスを使用して、VAR_PREFIX 設定変数に基づいてデータを一覧表示しました。そのため、VAR_PREFIX の外部でリストが作成された場合、rmlist コマンドを使用してリストを削除することができませんでした。今回の更新により、rmlist コマンドは VAR_PREFIX の代わりに正しい LIST_DATA_DIR 値を使用し、説明されている状況でリストを削除できるようになりました。

BZ#765807

Red Hat Enterprise Linux 6 の Python と Mailman 間の非互換性により、中程度のメッセージをメーリングリストに承認し、Preserve messages for the site administrator のチェックボックスをチェックしていると、Mailman はメッセージを承認してエラーを返しました。この非互換性が修正され、このシナリオで Mailman がメッセージを期待どおりに承認するようになりました。

BZ#745409

Mailman がリストをアーカイブせず、アーカイブがプライベートに設定されていなかった場合、そのリストに送信された添付ファイルは公開アーカイブに配置されていました。その結果、パブリックアーカイブディレクトリーの httpd 設定で archive ディレクトリー内のすべてのファイルを一覧表示できるため、Mailman Web インターフェイスのユーザーはプライベート添付を一覧表示できました。Mailman の httpd 設定が修正され、プライベートアーカイブディレクトリーの一覧表示が許可されなくなり、Mailman Web インターフェイスのユーザーはプライベートアタッチメントを一覧表示できなくなりました。

バグ修正

BZ#1135541

man ページの "du" のフランス語バージョンには、du オプションの最新のリストとその説明は含まれていません。man ページは維持されなくなったため、この更新では、ドキュメントが古くなり、英語の man ページで最新バージョンを見つけることができることを示すメッセージがページの上部に追加されます。