検索
サポートコンソール開発者トライアルの開始お問い合わせ

4.2. セキュリティー

download PDF

Keylime がバージョン 7.3.0 にリベース

Keylime パッケージはアップストリームバージョン 7.3.0 に更新されました。このバージョンは、さまざまな機能拡張とバグ修正を提供します。最も注目すべき点は、許可リストと除外リストが Keylime ランタイムポリシーに統合されていることです。convert_runtime_policy.py スクリプトを使用して、2 つのリストを結合できます。

さらに、この更新では、影響度が中程度の 2 つの脆弱性 CVE-2023-38200 および CVE-2023-38201 が修正されます。

Jira:RHEL-476[1]

Keylime のポートには SELinux ポリシーのより厳格なルールがある

Keylime によって使用されるポートは、Keylime SELinux ポリシーで keylime_port_t というラベルが付けられるようになりました。このポリシーにより、このラベルが付いたポートの TCP 接続が許可されるようになりました。これは、以前の Keylime SELinux ポリシーでは、すべての未定義ポートへの接続が許可されており、Keylime で使用されるポートのほとんどが未定義グループに属していたためです。その結果、この更新により Keylime SELinux ポリシーの粒度が向上し、ポートセキュリティーはより厳密化され、より適切にターゲットを絞ることができます。

Jira:RHEL-595[1]

Audit が FANOTIFY レコードフィールドをサポートするようになる

audit パッケージの今回の更新で、FANOTIFY Audit レコードフィールドがサポートされるようになりました。Audit サブシステムは、特に次のような追加情報を AUDIT_FANOTIFY レコードに記録するようになりました。

  • fan_type: FANOTIFY イベントのタイプを指定する
  • fan_info: 追加のコンテキスト情報を指定する
  • sub_trustobj_trust: イベントに関与するサブジェクトとオブジェクトの信頼レベルを示す

これにより、特定のケースで Audit システムがアクセスを拒否した理由をよりよく理解できます。これは、fapolicyd フレームワークなどのツールのポリシーを作成する場合に役立ちます。

Jira:RHELPLAN-161087[1]

fapolicyd がトラブルシューティング用のルール番号を提供するようになる

この機能拡張では、新しいカーネルおよび Audit コンポーネントにより、fapolicyd サービスが拒否を引き起こすルールの番号を fanotify API に送信できるようになります。その結果、fapolicyd に関連する問題をより正確にトラブルシューティングできます。

Jira:RHEL-624

crypto-policies は、FIPS モードでの TLS 1.2 接続に NO-ENFORCE-EMS サブポリシーを提供するようになる

システム全体の暗号化ポリシーに NO-ENFORCE-EMS サブポリシーが含まれるようになりました。新しいサブポリシーを適用した後、システムは、FIPS モードでネゴシエートされるすべての TLS 1.2 接続に対して Extended Master Secret (EMS) 拡張機能 (RFC 7627) を必要としなくなりました。これにより、システムは EMS または TLS 1.3 へのサポートなしにレガシーシステムに接続できるようになります。これは FIPS-140-3 標準の要件に違反することに注意してください。update-crypto-policies --set FIPS:NO-ENFORCE-EMS コマンドを入力して、サブポリシーを適用できます。

Bugzilla:2216257[1]

GnuTLS は、FIPS モードで EMSを備えた TLS 1.2 が必要

FIPS-140-3 標準に準拠するために、GnuTLS サーバーとクライアントは、FIPS モードでネゴシエートされるすべての TLS 1.2 接続に対して、Extended Master Secret (EMS) 拡張 (RFC 7627) を必要とします。EMS をサポートしていない古いサーバーおよびクライアントとの互換性を維持する必要があり、TLS 1.3 を使用できない場合は、NO-ENFORCE-EMS システム全体の暗号化サブポリシーを適用できます。 

# update-crypto-policies --set FIPS:NO-ENFORCE-EMS
警告

EMS なしで TLS 1.2 接続を許可すると、システムは FIPS-140-3 要件を満たさなくなります。

Bugzilla:2157953

NSS は FIPS モードで EMS を強制するようになる

Network Security Services (NSS) ライブラリーには、FIPS 140-3 標準で義務付けられているすべての TLS 1.2 接続に対して Extended Master Secret (EMS) 拡張 (RFC 7627) を要求する TLS-REQUIRE-EMS ポリシーが含まれるようになりました。NSS は、システム全体の暗号化ポリシーが FIPS に設定されている場合に、新しいポリシーを使用します。

EMS または TLS 1.3 をサポートしていないレガシーシステムとの相互運用が必要な場合は、NO-ENFORCE-EMS システム全体の暗号化サブポリシーを適用できます。このような変更は FIPS-140-3 要件に違反します。

Bugzilla:2157950

OpenSSL が FIPS モードでの EMS の無効化をサポートするようになる

/etc/pki/tls/fips_local.cnf ファイルを編集することで、FIPS モードで Extended Master Secret (EMS) 拡張 (RFC 7627) なしで TLS 1.2 接続を許可するように OpenSSL 暗号化ライブラリーを設定できるようになりました。任意のテキストエディターで、次のセクションを設定ファイルに追加します。 

[fips_sect]
tls1-prf-ems-check = 0
activate = 1

次に、/etc/pki/tls/openssl.cnf ファイルで SSL 設定セクションを見つけます。デフォルトの SSL 設定セクションは crypto_policy です。SSL 設定セクションの最後に、次の行を追加します。 

Options=RHNoEnforceEMSinFIPS

上記の設定変更により、FIPS モードのシステムは、EMS または TLS 1.3 のサポートなしにレガシーシステムに接続できるようになります。

警告

update-crypto-policies --set FIPS:NO-ENFORCE-EMS コマンドを入力すると、FIPS モードで TLS 1.2 に対する EMS の強制を停止できます。どちらの場合も、そのような設定変更は FIPS-140-3 標準の要件に違反します。

Bugzilla:2216256[1]

OpenSSH は SHA-2 をさらに強制する

暗号化目的で安全性の低い SHA-1 メッセージダイジェストからさらに移行する取り組みの一環として、OpenSSH に次の変更が加えられました。

  • sshd 起動時に、システムで SHA-1 の使用が設定されているかどうかのチェックを追加しました。SHA-1 が使用できない場合、OpenSSH は操作に SHA-1 を使用しようとしません。これにより、DSS キーが存在する場合はロードしなくなり、また、rsa-sha2 の組み合わせが使用可能な場合には、その組み合わせを強制的にアドバタイズするようになります。
  • SSH 秘密キーの変換では、OpenSSH は RSA キーのテストに明示的に SHA-2 を使用します。
  • サーバー側で SHA-1 署名が使用できない場合、sshd は SHA-2 を使用してホストキーの証明を確認します。これは、RHEL 8 以前のバージョンのクライアントと互換性がない可能性があります。
  • SHA-1 アルゴリズムがクライアント側で使用できない場合、OpenSSH は SHA-2 を使用します。
  • クライアント側では、キー証明リクエストで SHA-1 が使用された場合、またはハッシュアルゴリズムが指定されていない場合 (デフォルトを想定)、OpenSSH はサーバーからの SHA-2 ベースのキー証明を許可します。これは、RSA 証明書の既存の例外と合わせており、サポートされている場合は最新のアルゴリズムを使用して接続できるようになります。

Bugzilla:2070163

OpenSSL に、Bleichenbacher のような攻撃に対する保護が含まれるようになりました。

このリリースの OpenSSL TLS ツールキットでは、RSA PKCS #1 v1.5 復号化プロセスにおける Bleichenbacher のような攻撃に対する API レベルの保護が導入されています。PKCS #1 v1.5 復号化中にパディングをチェックする際にエラーを検出すると、RSA の復号化がエラーではなく、無作為に生成された確定的なメッセージを返すようになりました。この変更により、 CVE-2020-25659 および CVE-2020-25657 などの脆弱性に対する一般的な保護が提供されます。

この保護を無効にするには、次を呼び出します: EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"."0") 関数。これは、RSA 復号化コンテキストで呼び出しますが、これによりシステムがより脆弱になります。

Bugzilla:2153471

OpenSSL が、Groups オプションを通じて設定可能な Brainpool 曲線をサポートするようになる

OpenSSL TLS ツールキットのこの更新では、Elliptic Curve Cryptography (ECC) での Brainpool 曲線のサポートが導入されています。さらに、Groups 設定オプションを使用して、システム全体の暗号化ポリシーで曲線を制御できます。

次の Brainpool 曲線が OpenSSL ECC で有効化されています。

  • brainpoolP256r1
  • brainpoolP256t1
  • brainpoolP320r1
  • brainpoolP320t1
  • brainpoolP384r1
  • brainpoolP384t1
  • brainpoolP512r1
  • brainpoolP512t1

Bugzilla:2188180

crypto-policies は、OpenSSL ECC Brainpool 曲線をサポートするようになる

システム全体の暗号化ポリシーのこの更新により、group オプションを使用して OpenSSL で次の Brainpool Elliptic Curve Cryptography (ECC) 曲線を制御できるようになりました。

  • BRAINPOOL-P256R1
  • BRAINPOOL-P384R1
  • BRAINPOOL-P512R1

たとえば、次の行を含むサブポリシーを作成することで、OpenSSL でサポートされているすべての Brainpool Elliptic Curve を有効にできます。 

group = BRAINPOOL-*+

Bugzilla:2193324[1]

crypto-policies は、デフォルトで OpenSSL と同じグループ順序を使用するようになる

このリリースでは、システム全体の暗号化ポリシー (crypto-policies) が、OpenSSL Groups 設定オプションのグループ順序を制御します。OpenSSL でのパフォーマンスを維持するために、crypto-policies は、OpenSSL の組み込み設定の順序と一致するデフォルトのグループ順序を使用します。その結果、GnuTLS などのグループ順序を制御する crypto-policies をサポートする RHEL 暗号化バックエンドは、OpenSSL と同じ順序を使用するようになりました。

Jira:RHEL-591[1]

crypto-policies permitted_enctypes が FIPS モードでのレプリケーションを破損しなくなる

この更新前は、RHEL 8 で実行されている IdM サーバーは、FIPS モードで RHEL 9 を実行している IdM レプリカに AES-256-HMAC-SHA-1 で暗号化されたサービスチケットを送信していました。その結果、デフォルトの permitted_enctypes krb5 設定により、FIPS モードでの RHEL 8 IdM サーバーと RHEL 9 IdM レプリカ間のレプリケーションが破損していました。

システム全体の暗号化ポリシーのこの更新により、permitted_enctypes krb5 設定オプションの値が並べ替えられ、より相互運用性の高い暗号化タイプをデフォルトで優先できるようになります。その結果、permitted_enctypes 設定によって、FIPS モードの RHEL 8 IdM サーバーと RHEL 9 IdM レプリカ間のレプリケーションが破損しなくなりました。

注記

Kerberos を使用する場合は、/etc/crypto-policies/back-ends/krb5.config ファイル内の permitted_enctypes の値の順序を確認してください。別の順序が必要な場合は、カスタム暗号化サブポリシーを適用します。

Bugzilla:2225222

pcsc-lite-ccid が 1.5.2 にリベース

pcsc-lite-ccid パッケージがバージョン 1.5.2 に更新されました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • 新しいカードリーダーのサポート
  • Alcor Micro AU9560 の修正

Bugzilla:2209457

opensc が 0.23 にリベース

opensc パッケージがバージョン 0.23 に更新されました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • 対称キーを使用した暗号化と復号化のサポートを追加しました。
  • 512 バイトを超える長さのデータへの署名のサポートを追加しました。
  • 古いカードドライバーのサポートをデフォルトで無効にしました
  • 古いドライバー MioCOS および JCOP のサポートを削除しました。

Jira:RHEL-280[1]

setools が 4.4.3 にリベース

setools パッケージがバージョン 4.4.3 に更新されました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • Cython 3.0.0 でのコンパイルを修正しました。
  • man ページを改善しました。
  • sediffsesearch、および apolの未使用オプションを削除しました。
  • ソースタイプのフロー分析を取得するための -r オプションを seinfoflow コマンドに追加しました
  • 権限のないルールは無効なポリシーとして自動的に拒否されます。

Bugzilla:2231801Bugzilla:2184140

SELinux ポリシーに制限されている追加サービス

この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。

  • qat
  • systemd-pstore
  • boothd
  • fdo-manufacturing-server
  • fdo-rendezvous-server
  • fdo-client-linuxapp
  • fdo-owner-onboarding-server

その結果、これらのサービスは unconfined_service_t SELinux ラベルでは実行されなくなり、SELinux enforcing モードで正常に実行されます。

Bugzilla:2080443[1], Bugzilla:2026795Bugzilla:2181565Bugzilla:2128833

OpenSCAP が 1.3.8 にリベース

OpenSCAP パッケージがアップストリームバージョン 1.3.8 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • 一部の systemd ユニットを無視しないように systemd プローブを修正しました
  • shadow OVAL プローブにオフライン機能を追加しました
  • sysctl OVAL プローブにオフライン機能を追加しました
  • ネットワークファイルシステムのリストに auristorfs を追加しました
  • autotailor ユーティリティーによって生成されたファイルの調整に関する問題の回避策を作成しました。

Bugzilla:2217442

SCAP セキュリティーガイドがバージョン 0.1.69 にリベース

SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.69 にリベースされました。このバージョンは、さまざまな機能拡張とバグ修正を提供します。最も注目すべき点は、National Cryptologic Center of Spain が 2022 年 10 月に発行した CCN-STIC-610A22 ガイドに準拠した RHEL 9 用の 3 つの新しい SCAP プロファイルが導入されていることです。

プロファイル名プロファイル IDポリシーバージョン

CCN Red Hat Enterprise Linux 9 - Advanced

xccdf_org.ssgproject.content_profile_ccn_advanced

2022-10

CCN Red Hat Enterprise Linux 9 - Basic

xccdf_org.ssgproject.content_profile_ccn_basic

2022-10

CCN Red Hat Enterprise Linux 9 - Intermediate

xccdf_org.ssgproject.content_profile_ccn_intermediate

2022-10

Bugzilla:2221697

ANSSI-BP-028 セキュリティープロファイルが、バージョン 2.0 に更新される

SCAP セキュリティーガイド内の以下の French National Agency for the Security of Information Systems (ANSSI) BP-028 は、バージョン 2.0 に合わせて更新されました。

  • ANSSI-BP-028 Minimal Level
  • ANSSI-BP-028 Intermediary Level
  • ANSSI-BP-028 Enhanced Level
  • ANSSI-BP-028 High Level

Bugzilla:2155790

python3-greenlet-devel が CRB で利用可能になる

python3-greenlet-devel パッケージが CodeReady Linux Builder (CRB) リポジトリーで利用できるようになりました。これは、明示的に有効にする必要があります。詳細は、ナレッジベース記事 How to enable and make use of content within CodeReady Linux Builder を参照してください。CRB リポジトリーに含まれるパッケージはサポートされていないことに注意してください。

Bugzilla:2149497

pam_wheel.so モジュールで使用されるグループをチェックする SSG ルールが簡素化される

CIS Benchmark では、sudo コマンドを優先して su コマンドを制限する必要があります。SCAP セキュリティーガイド (SSG) は、su コマンドを特定のグループに制限する pam_wheel.so モジュールでこの要件を満たしています。この更新により、このグループが存在し、メンバーが存在しないかをチェックするルールが改善されました。その結果、ルールはより効率的になり、評価レポートの解釈が簡素化されます。

Jira:RHEL-1905

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.