第33章 セキュリティー

以前は、OpenSC は CardOS 5.3 スマートカードによって提供される TokenInfo 情報の ECDSA アルゴリズムを正しく解析できませんでした。その結果、OpenSC はこれらのカードを検出できませんでした。TokenInfo パーサーが更新され、PKCS #15 仕様に準拠するようになりました。その結果、ECDSA をサポートする CardOS 5.3 スマートカードは OpenSC で正しく動作します。(BZ#1562277)

特定のスマートカードリーダーは、チップカードインターフェイスデバイス (CCID) 仕様に従わない PIN パッド機能を実装しています。以前は、OpenSC はこのようなスマートカードリーダーの PIN パッドを検出していましたが、リーダーを OpenSC で使用することはできませんでした。この更新により、OpenSC での PIN パッドの検出がデフォルトで無効になりました。その結果、CCID に準拠していないスマートカードリーダーも使用できますが、PIN パッド機能はありません。(BZ#1547117)

以前は、pkcs11-tool ユーティリティーは EC_POINT 値を誤って処理し、特定のベンダー固有のメカニズムのサポートが欠落していました。その結果、これらのメカニズムと、ハードウェアセキュリティーモジュール (HSM) およびスマートカードの特定の ECDSA キーは 、pkcs11-tool ではサポートされませんでした。この更新により、pkcs11-tool はEC_POINT 値とベンダー固有のメカニズムを正しく処理できるようになりました。その結果、ユーティリティーはメカニズム ID をサポートし、ECDSA キーを正しく処理できるようになりました。(BZ#1562572)

以前は、rpminfo、rpmverify、および rpmverifyfile プローブはオフラインモードを完全にはサポートしていませんでした。その結果、オフラインモードで仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正しく機能しませんでした。この更新により、オフラインモードのサポートが修正され、オフラインモードでの VM およびコンテナーファイルシステムのスキャン結果に偽陰性が含まれなくなりました。(BZ#1556988)

以前は、I/O ログが有効になっている sudo を介してコマンドを実行すると、コマンドの親プロセスが 、poll () 関数の実行でブロックされ、/dev/ptmx ファイル記述子のイベントを待機することがありました。その結果、デッドロックが発生し、sudo が コマンドのプロセスを応答不能な状態のままにする可能性がありました。この更新により、疑似端末クリーンアップロジックが追加され、説明されているシナリオで sudo によってデッドロックが発生しなくなります。(BZ#1560657)