4.2. セキュリティー

SCAP セキュリティーガイドが 0.1.72 にリベース

SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。

CIS プロファイルは最新のベンチマークに合わせて更新されます。
PCI DSS プロファイルは、PCI DSS ポリシーバージョン 4.0 に準拠します。
STIG プロファイルは、最新の DISA STIG ポリシーに準拠します。

詳細は、SCAP Security Guide release notes を参照してください。

Jira:RHEL-25250^[1]

OpenSSL に、Bleichenbacher のような攻撃に対する保護が含まれるようになりました。

このリリースの OpenSSL TLS ツールキットでは、RSA PKCS #1 v1.5 復号化プロセスにおける Bleichenbacher のような攻撃に対する API レベルの保護が導入されています。PKCS #1 v1.5 復号化中にパディングをチェックする際にエラーを検出すると、RSA の復号化がエラーではなく、無作為に生成された確定的なメッセージを返すようになりました。この変更により、CVE-2020-25659 および CVE-2020-25657 などの脆弱性に対する一般的な保護が提供されます。

この保護を無効にするには、次を呼び出します: EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"."0") 関数。これは、RSA 復号化コンテキストで呼び出しますが、これによりシステムがより脆弱になります。

Jira:RHEL-17689^[1]

librdkafka が 1.6.1 にリベースされました

Apache Kafka プロトコルの librdkafka 実装がアップストリームバージョン 1.6.1 にリベースされました。これは RHEL 8 の最初の主要な機能リリースです。リベースにより、多くの重要な機能拡張とバグ修正が提供されます。関連するすべての変更は、librdkafka パッケージに付属する CHANGELOG.md ドキュメントを参照してください。

注記

この更新により、設定のデフォルトが変更され、一部の設定プロパティーが非推奨になります。詳細は、CHANGELOG.md のアップグレードに関する考慮事項のセクションをお読みください。このバージョンの API (C および C++) および ABI © は、librdkafka の古いバージョンと互換性があります。ただし、設定プロパティーの一部を変更すると、既存のアプリケーションの変更が必要になる場合があります。

Jira:RHEL-12892^[1]

libkcapi が 1.4.0 にリベース

Linux カーネル暗号化 API へのアクセスを提供する libkcapi ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。

sm3sum および sm3hmac ツールを追加しました。
kcapi_md_sm3 および kcapi_md_hmac_sm3 API を追加しました。
SM4 の便利な機能を追加しました。
リンク時最適化 (LTO) のサポートを修正しました。
LTO リグレッションテストを修正しました。
kcapi-enc による任意サイズの AEAD 暗号化のサポートを修正しました。

Jira:RHEL-5366^[1]

stunnel が 5.71 にリベースされました

stunnel TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。この更新により、FIPS モードでの OpenSSL 1.1 以降のバージョンの動作が変更されます。OpenSSL が FIPS モードであり、stunnel のデフォルトの FIPS 設定が no に設定されている場合、stunnel は OpenSSL に適応し、FIPS モードが有効になります。

追加の新機能は次のとおりです。

最新の PostgreSQL クライアントのサポートが追加されました。
protocolHeader サービスレベルオプションを使用して、カスタム connect プロトコルネゴシエーションヘッダーを挿入できます。
protocolHost オプションを使用して、クライアントの SMTP プロトコルネゴシエーションの HELO/EHLO 値を制御できます。
クライアントサイドの protocol = ldap に関するクライアントサイドサポートが追加されました。
サービスレベルの sessionResume オプションを使用して、セッション再開を設定できるようになりました。
CApath を使用したサーバーモードでのクライアント証明書の要求に対するサポートが追加されました (以前は CAfile のみがサポートされていました)。
ファイルの読み取りとロギングのパフォーマンスが向上しました。
retry オプションの設定可能な遅延のサポートが追加されました。
クライアントモードでは、verifyChain が設定されている場合に OCSP ステープリングの要求および検証が行われます。
サーバーモードでは、OCSP ステープリングは常に利用可能です。
不確定の OCSP 検証により TLS ネゴシエーションが中断されます。これを無効にするには、OCSPrequire = no と設定します。

Jira:RHEL-2340^[1]

OpenSSH は認証における人為的な遅延を制限します

ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) 処理などでリモート認証に時間がかかりすぎる場合に、このような人為的な遅延が過度に長くならないように上限が導入されています。

Jira:RHEL-1684

libkcapi が、ハッシュ値の計算でターゲットファイル名を指定するオプションを提供するようになりました

この libkcapi (Linux カーネル暗号化 API) パッケージの更新により、ハッシュ値の計算でターゲットファイル名を指定するための新しいオプション -T が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c オプションとの併用でのみ使用できます。以下に例を示します。

sha256hmac -c <hmac_file> -T <target_file>

$ sha256hmac -c <hmac_file> -T <target_file>

Copy to Clipboard

Toggle word wrap

Jira:RHEL-15300^[1]

audit が 3.1.2 にリベース

Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。

auparse ライブラリーは、名前のないソケットと匿名ソケットを解釈するようになりました。
ausearch および aureport ツールの start オプションと end オプションで、新しいキーワード this-hour を使用できます。
シグナル用のユーザーフレンドリーなキーワードが、auditctl プログラムに追加されました。
auparse での破損したログの処理が改善されました。
auditd サービスで、ProtectControlGroups オプションがデフォルトで無効になりました。
除外フィルターのルールチェックが修正されました。
OPENAT2 フィールドの解釈が改善されました。
audispd af_unix プラグインがスタンドアロンプログラムに移動しました。
Python バインディングが変更され、Python API から Audit ルールが設定できなくなりました。この変更は、Simplified Wrapper and Interface Generator (SWIG) のバグのために行われました。

Jira:RHEL-15001^[1]

4.2. セキュリティー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links