4.2. セキュリティー
SCAP セキュリティーガイドが 0.1.72 にリベース
SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。
- CIS プロファイルは最新のベンチマークに合わせて更新されます。
- PCI DSS プロファイルは、PCI DSS ポリシーバージョン 4.0 に準拠します。
- STIG プロファイルは、最新の DISA STIG ポリシーに準拠します。
詳細は、SCAP Security Guide release notes を参照してください。
Jira:RHEL-25250[1]
OpenSSL に、Bleichenbacher のような攻撃に対する保護が含まれるようになりました。
このリリースの OpenSSL TLS ツールキットでは、RSA PKCS #1 v1.5 復号化プロセスにおける Bleichenbacher のような攻撃に対する API レベルの保護が導入されています。PKCS #1 v1.5 復号化中にパディングをチェックする際にエラーを検出すると、RSA の復号化がエラーではなく、無作為に生成された確定的なメッセージを返すようになりました。この変更により、 CVE-2020-25659 および CVE-2020-25657 などの脆弱性に対する一般的な保護が提供されます。
この保護を無効にするには、次を呼び出します: EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"."0") 関数。これは、RSA 復号化コンテキストで呼び出しますが、これによりシステムがより脆弱になります。
Jira:RHEL-17689[1]
librdkafka が 1.6.1 にリベースされました
Apache Kafka プロトコルの librdkafka 実装がアップストリームバージョン 1.6.1 にリベースされました。これは RHEL 8 の最初の主要な機能リリースです。リベースでは、多くの重要な機能強化とバグ修正が提供されます。関連するすべての変更については、librdkafka パッケージに付属する CHANGELOG.md ドキュメントを参照してください。
この更新により、設定のデフォルトが変更され、一部の設定プロパティーが廃止されます。詳細は、CHANGELOG.md のアップグレードに関する考慮事項のセクションをお読みください。このバージョンの API (C および C++) および ABI © は、librdkafka の古いバージョンと互換性がありますが、設定プロパティーの一部を変更すると、既存のアプリケーションの変更が必要になる場合があります。
Jira:RHEL-12892[1]
libkcapi が 1.4.0 にリベース
Linux カーネル暗号化 API へのアクセスを提供する libkcapi ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。
-
sm3sumおよびsm3hmacツールを追加しました。 -
kcapi_md_sm3およびkcapi_md_hmac_sm3API を追加しました。 - SM4 の便利な機能を追加しました。
- リンク時最適化 (LTO) のサポートを修正しました。
- LTO リグレッションテストを修正しました。
-
kcapi-encによる任意サイズの AEAD 暗号化のサポートを修正しました。
Jira:RHEL-5366[1]
stunnel が 5.71 にリベースされま3した
stunnel TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。この更新により、FIPS モードでの OpenSSL 1.1 以降のバージョンの動作が変更されます。OpenSSL が FIPS モードであり、stunnel のデフォルトの FIPS 設定が no に設定されている場合、stunnel は OpenSSL に適応し、FIPS モードが有効になります。
追加の新機能は次のとおりです。
- 最新の PostgreSQL クライアントのサポートが追加されました。
-
protocolHeaderサービスレベルオプションを使用して、カスタムconnectプロトコルネゴシエーションヘッダーを挿入できます。 -
protocolHostオプションを使用して、クライアントの SMTP プロトコルネゴシエーションの HELO/EHLO 値を制御できます。 -
クライアントサイドの
protocol = ldapに関するクライアントサイドサポートが追加されました。 -
サービスレベルの
sessionResumeオプションを使用して、セッション再開を設定できるようになりました。 -
CApathを使用したサーバーモードでのクライアント証明書の要求に対するサポートが追加されました (以前はCAfileのみがサポートされていました)。 - ファイルの読み取りとロギングのパフォーマンスが向上しました。
-
retryオプションの設定可能な遅延のサポートが追加されました。 -
クライアントモードでは、
verifyChainが設定されている場合に OCSP ステープリングの要求および検証が行われます。 - サーバーモードでは、OCSP ステープリングは常に利用可能です。
-
不確定の OCSP 検証により TLS ネゴシエーションが中断されます。これを無効にするには、
OCSPrequire = noと設定します。
Jira:RHEL-2340[1]
OpenSSH は認証における人為的な遅延を制限します
ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) 処理などでリモート認証に時間がかかりすぎる場合に、このような人為的な遅延が過度に長くならないように上限が導入されています。
libkcapi が、ハッシュ合計の計算でターゲットファイル名を指定するオプションを提供するようになりました
この libkcapi (Linux カーネル暗号化 API) パッケージの更新では、ハッシュ合計の計算でターゲットファイル名を指定するための新しいオプション -T が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c オプションとの併用でのみ使用できます。以下に例を示します。
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15300[1]
audit が 3.1.2 にリベース
Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。
-
auparseライブラリーは、名前のないソケットと匿名ソケットを解釈するようになりました。 -
ausearchおよびaureportツールのstartオプションとendオプションで、新しいキーワードthis-hourを使用できます。 -
シグナル用のユーザーフレンドリーなキーワードが、
auditctlプログラムに追加されました。 -
auparseでの破損したログの処理が改善されました。 -
auditdサービスで、ProtectControlGroupsオプションがデフォルトで無効になりました。 - 除外フィルターのルールチェックが修正されました。
-
OPENAT2フィールドの解釈が改善されました。 -
audispd af_unixプラグインがスタンドアロンプログラムに移動しました。 - Python バインディングが変更され、Python API から Audit ルールが設定できなくなりました。この変更は、Simplified Wrapper and Interface Generator (SWIG) のバグのために行われました。
Jira:RHEL-15001[1]
