サポートコンソール開発者トライアルの開始お問い合わせ

第33章 セキュリティー

firewalld の起動時に、設定が存在する場合、net.netfilter.nf_conntrack_max がデフォルトにリセットされなくなりました。

以前は、firewalld は起動時または再起動時に nf_conntrack 設定をデフォルト値にリセットしていました。その結果、net.netfilter.nf_conntrack_max 設定はデフォルト値に復元されました。今回の更新により、firewalld が起動するたびに、/etc/sysctl.conf および /etc/sysctl.d で設定されている nf_conntrack sysctl が再ロードされます。その結果、net.netfilter.nf_conntrack_max はユーザーが設定した値を維持します。(BZ#1462977)

Tomcat は、強制モードの SELinuxtomcat-jsvc を使用して起動できるようになりました

Red Hat Enterprise Linux 7.4 では、tomcat_t 非制限ドメインが SELinux ポリシーで正しく定義されていませんでした。そのため、強制モードの SELinux では、tomcat-jsvc サービスによって Tomcat サーバーを起動できません。この更新により、tomcat_t ドメインで dac_overridesetuid、および kill 機能ルールを使用できるようになります。その結果、TomcatSELinux を強制モードで tomcat-jsvc 経由で起動できるようになりました。(BZ#1470735)

SELinux により、vdsmlldpad と通信できるようになりました

この更新より前は、強制モードの SELinux は、vdsm デーモンによる lldpad 情報へのアクセスを拒否していました。その結果、vdsm は正しく動作できなくなりました。今回の更新により、virtd_t ドメインが dgram ソケットを介して lldpad_t ドメインにデータを送信できるようにするルールが selinux-policy パッケージに追加されました。その結果、SELinux が強制モードに設定されている場合、virtd_t というラベルの付いた vdsm は、lldpad_t というラベルの付いた lldpad と通信できるようになりました。(BZ#1472722)

権限分離を行わない OpenSSH サーバーがクラッシュしなくなりました

この更新より前は、ポインターは有効性がチェックされる前に逆参照されていました。その結果、Privilege Separation オプションがオフになっている OpenSSH サーバーがセッションのクリーンアップ中にクラッシュしました。この更新により、ポインターが適切にチェックされ、前述のバグのため、Privilege Separation なしで実行中に OpenSSH サーバーがクラッシュすることがなくなりました。
OpenSSH Privilege Separation を無効にすることは推奨されないことに注意してください。(BZ#1488083)

DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。

以前は、clevis luks binding コマンドの一部として生成されたパスワードは、pwquality.conf ファイルに設定されている国防情報システム局セキュリティ技術導入ガイド (DISA STIG) のパスワードポリシーに準拠していませんでした。その結果、特定の場合に、DISA STIG 準拠システムで clevis luks bind が失敗することがありました。この更新により、パスワードポリシーを通過するランダムなパスワードを生成するように設計されたユーティリティーを使用してパスワードが生成され、説明されているシナリオで clevis luks binding が成功するようになりました。(BZ#1500975)

WinSCP 5.10 が OpenSSH で適切に動作するようになりました

以前は、OpenSSHWinSCP バージョン 5.10 を古いバージョン 5.1 として誤って認識していました。その結果、WinSCP バージョン 5.1 の互換性ビットが WinSCP 5.10 に対して有効になり、新しいバージョンは OpenSSH で適切に動作しませんでした。この更新により、バージョンセレクターが修正され、WinSCP 5.10 が OpenSSH サーバーで適切に動作するようになりました。(BZ#1496808)

SFTP では読み取り専用モードで長さゼロのファイルを作成できなくなりました

この更新より前は、OpenSSH SFTP サーバーの process_open 関数は、読み取り専用モードでの書き込み操作を適切に防止しませんでした。その結果、攻撃者は長さゼロのファイルを作成することができました。今回の更新により、この機能は修正され、SFTP サーバーは読み取り専用モードでのファイルの作成を許可されなくなりました。(BZ#1517226)
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.