6.2. セキュリティー

OpenSSL EC 署名から非定数時間コードパスが削除されました

以前、OpenSSL は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名に非定数時間コードパスを使用していました。これにより、署名操作が Minerva 攻撃と同様の攻撃にさらされ、秘密鍵が漏洩する可能性がある。この更新により、OpenSSL EC 署名内の非定数時間コードパスが削除され、その結果、この脆弱性は存在しなくなりました。

SELinux ポリシーは npm に正しくラベルを付ける

以前は、npm サービス実行可能ファイルは汎用 lib_t SELinux タイプでラベル付けされていました。その結果、npm を 実行できませんでした。この更新では、npm 実行可能ファイルは SELinux ポリシーで bin_t タイプとして明示的にラベル付けされるようになりました。その結果、npm サービスが正常に起動し、unconfined_service_t ドメインで実行されます。

SELinux ポリシーは、sysadm_r ユーザーが sudo を 介して入出力ログディレクトリーを定義するためのルールを追加します。

以前は、SELinux ポリシーには、iolog_dir オプションが sudo 設定で定義されている場合に、制限された管理者が sudo を 使用して入出力ログディレクトリーを指定するためのコマンドを実行できるようにするルールは含まれていませんでした。その結果、sysadm_r ロールの制限された管理者は、iolog_dir オプションを指定した sudo を 使用してコマンドを実行できませんでした。この更新により、SELinux ポリシーにルールが追加され、その結果、sysadm_r ユーザーは iolog_dir で sudo を使用してコマンドを実行できるようになります。

システムの起動時に /proc の監査ルールが正しく読み込まれるようになりました。

今回の更新以前は、システムは起動フェーズで /proc ディレクトリーの Audit watch ルールを読み込めませんでした。その結果、管理者は後でルールを手動で読み込む必要があり、ルールは起動時に適用されませんでした。バグは修正され、システムはブートフェーズで /proc に関連する Audit ルールを読み込むようになりました。

イミュータブルモードの audit では、auditd の起動が阻止されなくなりました。

以前は、the -e 2 ルールを追加して Audit システムがイミュータブルモードに設定されていた場合、auditd サービスを再起動するか、 augenrules --load コマンドを実行すると、augenrules コマンドは 0 ではなく 1 の戻りコードで終了していました。その結果、システムは 1 の戻りコードをエラーとして解釈し、起動時に auditd が開始できないようにします。今回の更新で、Audit がイミュータブルモードに設定されていると、augenrules がゼロのリターンコードで終了し、このシナリオでシステムが正常に auditd を起動できるようになりました。

IPsec オンデマンド 接続の確立に失敗しなくなりました

以前は、TCP プロトコルを使用して ondemand オプション付きの IPsec 接続を設定すると、接続を確立できませんでした。この更新により、新しい Libreswan パッケージは、初期 IKE ネゴシエーションが TCP 経由で完了することを確認します。その結果、Libreswan は IKE ネゴシエーションの TCP モードでも接続を正常に確立します。

update-ca-trust extract は 長い名前の証明書の抽出に失敗しなくなりました。

トラストストアから証明書を抽出するとき、信頼 ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えている可能性があります。その結果、信頼 ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。