11.10. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
Git で所有権が安全でない可能性のあるリポジトリーからのクローン作成や取得が失敗する
リモートコード実行を防ぎ、CVE-2024-32004 の影響を軽減するために、Git でのローカルリポジトリーのクローン作成に対して、より厳格な所有権チェックが導入されました。RHSA-2024:4083 アドバイザリーで導入された更新により、所有権が安全でない可能性があるローカルリポジトリーが、Git で不審なものとして扱われるようになりました。
その結果、ユーザーが git-daemon を通じてローカルにホストされているリポジトリーからクローン作成を試行する際に、そのユーザーがリポジトリーの所有者でない場合、Git が不審な所有権に関するセキュリティー警告を返し、リポジトリーからのクローン作成または取得が失敗するようになりました。
この問題を回避するには、次のコマンドを実行して、リポジトリーを明示的に安全としてマークします。
git config --global --add safe.directory /path/to/repository
Jira:RHELDOCS-18435[1]
python3.11-lxml は lxml.isoschematron サブモジュールを提供しない
python3.11-lxml パッケージは、オープンソースライセンスの下にないため、lxml.isoschematron サブモジュールなしで配布されます。サブモジュールは ISO Schematron サポートを実装します。代わりに、ISO-Schematron 前の検証を lxml.etree.Schematron クラスで利用できます。python3.11-lxml パッケージの残りのコンテンツは影響を受けません。
MySQL および MariaDB の --ssl-fips-mode オプションでは FIPS モードが変更されない
MySQL の --ssl-fips-mode オプションと RHEL の MariaDB は、アップストリームとは異なる動作をします。
RHEL 9 では、--ssl-fips-mode を mysqld デーモンまたは mariadbd デーモンの引数として使用する場合や、MySQL または MariaDB サーバー設定ファイルに ssl-fips-mode を使用すると、--ssl-fips-mode はこれらのデータベースサーバーの FIPS モードを変更しません。
代わりに、以下のようになります。
-
--ssl-fips-modeをONに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは起動しません。 -
FIPS が有効なシステムで
--ssl-fips-modeをOFFに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは FIPS モードで稼働します。
これは、特定のコンポーネントではなく、RHEL システム全体で FIPS モードを有効または無効にする必要があるためです。
したがって、RHEL の MySQL または MariaDB では --ssl-fips-mode オプションを使用しないでください。代わりに、FIPS モードが RHEL システム全体で有効になっていることを確認します。
- FIPS モードが有効な RHEL をインストールすることが推奨されます。インストール時に FIPS モードを有効にすると、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべての鍵を生成するようになります。FIPS モードで RHEL をインストールする方法は、FIPS モードでのシステムのインストール を参照してください。
- または、FIPS モードへのシステムの切り替え の手順に従って、RHEL システム全体の FIPS モードを切り替えることができます。
