8.2. セキュリティー

OpenSSL EC 署名から、定数時間でないコードパスが削除される

OpenSSL は以前、Elliptic Curve Digital Signature Algorithm (ECDSA) 署名に定数時間でないコードパスを使用していました。これにより、署名操作が Minerva 攻撃と同様の攻撃にさらされ、秘密鍵が漏洩する可能性があります。この更新により、OpenSSL EC 署名内の定数時間でないコードパスが削除され、その結果、この脆弱性は存在しなくなりました。

SELinux ポリシーが npm に正しくラベルを付ける

以前は、npm サービス実行可能ファイルは汎用 lib_t SELinux タイプでラベル付けされていました。その結果、npm を実行できませんでした。この更新では、npm 実行可能ファイルは SELinux ポリシーで bin_t タイプとして明示的にラベル付けされるようになりました。その結果、npm サービスが正常に起動し、unconfined_service_t ドメインで実行されます。

SELinux ポリシーは、sysadm_r ユーザーが sudo を介して入出力ログディレクトリーを定義するためのルールを追加する

以前は、SELinux ポリシーには、iolog_dir オプションが sudo 設定で定義されている場合に、制限された管理者が sudo を使用して入出力ログディレクトリーを指定するためのコマンドを実行できるようにするルールは含まれていませんでした。その結果、sysadm_r ロールの制限された管理者は、iolog_dir オプションを指定した sudo を使用してコマンドを実行できませんでした。この更新により、SELinux ポリシーにルールが追加され、その結果、sysadm_r ユーザーは iolog_dir を指定した sudo を使用してコマンドを実行できるようになりました。

/proc の監査ルールが起動時に正しく読み込まれるようになる

この更新前は、システムはブートフェーズ中に /proc ディレクトリーの Audit 監視ルールを読み込むことができませんでした。その結果、管理者は後でルールを手動でロードする必要があり、起動時にルールは適用されませんでした。バグは修正され、システムはブートフェーズ中に /proc に関連する Audit ルールをロードするようになりました。

イミュータブルモードでの監査は、auditd の起動を阻止しなくなる

以前は、-e 2 ルールを追加して Audit システムをイミュータブルモードに設定した場合、auditd サービスを再起動したり、augenrules --load コマンドを実行したりするときに、augenrules コマンドは 0 ではなく 1 の戻りコードで終了していました。その結果、システムは戻りコード 1 をエラーとして解釈し、これにより起動時に auditd の起動が阻止されます。この更新により、Audit がイミュータブルモードに設定されている場合に augenrules はゼロの戻りコードで終了し、システムはこのシナリオで auditd を正しく起動できるようになります。

IPsec ondemand 接続の確立に失敗しなくなる

以前は、TCP プロトコルを使用して ondemand オプション付きの IPsec 接続をセットアップすると、接続を確立できませんでした。この更新により、新しい Libreswan パッケージは、初期 IKE ネゴシエーションが TCP 経由で完了することを確認します。その結果、Libreswan は IKE ネゴシエーションの TCP モードでも接続を正常に確立します。

update-ca-trust extract は、長い名前の証明書の抽出に失敗しなくなる

トラストストアから証明書を展開する際、trust ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えている可能性があります。その結果、trust ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。