4.6. セキュリティー

Libreswan が 4.9 にリベースされました。

libreswan パッケージがバージョン 4.9 にアップグレードされました。以前のバージョンに対する主な変更点は、以下のとおりです。

OpenSSL が 3.0.7 にリベースされました。

OpenSSL パッケージがバージョン 3.0.7 にリベースされ、さまざまなバグ修正と拡張機能が含まれています。最も注目すべき点は、デフォルトのプロバイダーに RIPEMD160 ハッシュ関数が含まれるようになった点です。

libssh がスマートカードをサポートするようになりました。

Public-Key Cryptography Standard (PKCS) #11 Uniform Resource Identifier (URI) を通じてスマートカードを使用できるようになりました。その結果、スマートカードを libssh SSH ライブラリーおよび libssh を使用するアプリケーションで使用できるようになります。

libssh が 0.10.4 にリベースされました。

セキュアなリモートアクセスとマシン間のファイル転送のための SSH プロトコルを実装する libssh ライブラリーがバージョン 0.10.4 に更新されました。

SELinux ユーザー空間パッケージが 3.5 に更新されました。

SELinux ユーザー空間パッケージ libselinux、libsepol、libsemanage、checkpolicy、mcstrans、および sepolicy ユーティリティーを含む policycoreutils がバージョン 3.5 に更新されました。以下は、主な機能強化およびバグ修正です。

OpenSCAP が 1.3.7 にリベースされました。

OpenSCAP パッケージがアップストリームバージョン 1.3.7 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

SCAP セキュリティーガイドが 0.1.66 にリベースされました。

SCAP セキュリティーガイド (SSG) パッケージがアップストリームバージョン 0.1.66 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。

アイドルセッション終了の新しい SCAP ルール

新しい SCAP ルール logind_session_timeout が拡張レベルおよび高レベルの ANSSI-BP-028 プロファイルの scap-security-guide パッケージに追加されました。このルールは、systemd サービスマネージャーの新機能を使用し、一定時間が経過すると、アイドル状態のユーザーセッションを終了します。このルールは、複数のセキュリティーポリシーで必要とされる堅牢なアイドルセッション終了メカニズムの自動設定を提供します。その結果、OpenSCAP はアイドル状態のユーザーセッションの終了に関連するセキュリティー要件を自動的にチェックし、必要に応じて修正できます。

Rsyslog ログファイルの scap-security-guide ルールは、RainerScript ログと互換性があります。

Rsyslog ログファイルの所有権、グループ所有権、およびアクセス許可を確認および修正するための scap-security-guide のルールは、RainerScript 構文とも互換性があるようになりました。最新のシステムはすでに Rsyslog 設定ファイルで RainerScript 構文を使用していますが、それぞれのルールはこの構文を認識できませんでした。その結果、scap-security-guide ルールは、使用可能な両方の構文で、Rsyslog ログファイルの所有権、グループ所有権、およびアクセス許可をチェックして修正できるようになりました。

Keylime が 6.5.2 にリベースされました。

keylime パッケージがアップストリームバージョン keylime-6.5.2-5.el9 にリベースされました。このバージョンには、さまざまな機能強化とバグ修正が含まれていますが、特に注目すべき点は次のとおりです。

Clevis は外部トークンを受け入れます。

Clevis 自動暗号化ツールに導入された新しい -e オプションを使用すると、外部トークン ID を指定して、cryptsetup 中にパスワードを入力する必要がなくなります。この機能により、設定プロセスがより自動化され便利になり、特に Clevis を使用する stratis などのパッケージに役立ちます。

Rsyslog TLS 暗号化ログが複数の CA ファイルをサポートするようになりました。

新しい NetstreamDriverCaExtraFiles ディレクティブを使用すると、TLS 暗号化リモートログ用の追加の認証局 (CA) ファイルのリストを指定できます。新しいディレクティブは、ossl (OpenSSL) Rsyslog ネットワークストリームドライバーのみで使用できることに注意してください。

Rsyslog 権限は制限されています。

Rsyslog ログ処理システムの権限は、Rsyslog によって明示的に必要な権限のみに制限されるようになりました。これにより、ネットワークプラグインなどの入力リソースに潜在的なエラーが発生した場合のセキュリティーの危険が最小限に抑えられます。その結果、Rsyslog は同じ機能を持ちますが、不必要な権限を持ちません。

SELinux ポリシーにより、Rsyslog が起動時に権限を削除できるようになります。

Rsyslog ログ処理システムの権限は、セキュリティーの危険を最小限に抑えるためにさらに制限されているため (RHBZ#2127404)、SELinux ポリシーが更新され、rsyslog サービスが開始時に権限を削除できるようになりました。

Tang は systemd-sysusers を使用するようになりました。

Tang ネットワークプレゼンスサーバーは、useradd コマンドを含むシェルスクリプトの代わりに、systemd-sysusers サービスを通じてシステムユーザーとグループを追加するようになりました。これにより、システムユーザーリストのチェックが簡素化され、sysuser.d ファイルに優先順位を付けてシステムユーザーの定義を上書きすることもできます。

opencryptoki が 3.19.0 にリベースされました。

opencryptoki パッケージがバージョン 3.19.0 にリベースされ、多くの機能強化とバグ修正が提供されています。最も注目すべき点は、opencryptoki が次の機能をサポートするようになったということです。

SELinux は mptcpd と udftools を制限するようになりました。

selinux-policy パッケージの今回の更新により、SELinux は次のサービスを制限します。

fapolicyd は RPM データベースのフィルタリングを提供するようになりました。

新しい設定ファイル /etc/fapolicyd/rpm-filter.conf を使用すると、fapolicyd ソフトウェアフレームワークが信頼データベースに保存する RPM データベースファイルのリストをカスタマイズできます。これにより、RPM によってインストールされた特定のアプリケーションをブロックしたり、デフォルトの設定フィルターによって拒否されたアプリケーションを許可したりできます。

GnuTLS は復号化および暗号化中にパディングを追加および削除できます。

特定のプロトコルの実装では、復号化および暗号化中に PKCS#7 パディングが必要です。パディングを透過的に処理するために、gnutls_cipher_encrypt3 および gnutls_cipher_decrypt3 ブロック暗号関数が GnuTLS に追加されました。その結果、これらの関数を GNUTLS_CIPHER_PADDING_PKCS7 フラグと組み合わせて使用し、元のプレーンテキストの長さがブロックサイズの倍数でない場合にパディングを自動的に追加または削除できるようになりました。

NSS が 1023 ビット未満の RSA 鍵に対応しなくなる

Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。

Extended Master Secret TLS エクステンションが FIPS 対応システムに適用されるようになりました。

RHSA-2023:3722 アドバイザリーのリリースにより、FIPS 対応 RHEL 9 システム上の TLS 1.2 接続に、TLS Extended Master Secret (EMS) エクステンション (RFC 7627) エクステンションが必須になりました。これは FIPS-140-3 要件に準拠しています。TLS 1.3 は影響を受けません。