8.2. セキュリティー
OpenSSL EC 署名から、定数時間でないコードパスが削除される
OpenSSL は以前、Elliptic Curve Digital Signature Algorithm (ECDSA) 署名に定数時間でないコードパスを使用していました。これにより、署名操作が Minerva 攻撃と同様の攻撃にさらされ、秘密鍵が漏洩する可能性があります。この更新により、OpenSSL EC 署名内の定数時間でないコードパスが削除され、その結果、この脆弱性は存在しなくなりました。
SELinux ポリシーが npm
に正しくラベルを付ける
以前は、npm
サービス実行可能ファイルは汎用 lib_t
SELinux タイプでラベル付けされていました。その結果、npm
を実行できませんでした。この更新では、npm
実行可能ファイルは SELinux ポリシーで bin_t
タイプとして明示的にラベル付けされるようになりました。その結果、npm
サービスが正常に起動し、unconfined_service_t
ドメインで実行されます。
SELinux ポリシーは、sysadm_r
ユーザーが sudo
を介して入出力ログディレクトリーを定義するためのルールを追加します。
以前は、SELinux ポリシーには、iolog_dir
オプションが sudo
設定で定義されている場合に、制限された管理者が sudo
を使用して入出力ログディレクトリーを指定するためのコマンドを実行できるようにするルールは含まれていませんでした。その結果、sysadm_r
ロールの制限された管理者は、iolog_dir
オプションを指定した sudo
を使用してコマンドを実行できませんでした。この更新により、SELinux ポリシーにルールが追加され、その結果、sysadm_r
ユーザーは iolog_dir
で sudo
を使用してコマンドを実行できるようになります。
/proc
の監査ルールが起動時に正しく読み込まれるようになる
この更新前は、システムはブートフェーズ中に /proc
ディレクトリーの Audit 監視ルールを読み込むことができませんでした。その結果、管理者は後でルールを手動でロードする必要があり、起動時にルールは適用されませんでした。バグは修正され、システムはブートフェーズ中に /proc
に関連する Audit ルールをロードするようになりました。
イミュータブルモードでの監査は、auditd
の起動を阻止しなくなる
以前は、-e 2
ルールを追加して Audit システムをイミュータブルモードに設定した場合、auditd
サービスを再起動したり、augenrules --load
コマンドを実行したりするときに、augenrules
コマンドは 0 ではなく 1 の戻りコードで終了していました。その結果、システムは戻りコード 1 をエラーとして解釈し、これにより起動時に auditd
の起動が阻止されます。この更新により、Audit がイミュータブルモードに設定されている場合に augenrules
はゼロの戻りコードで終了し、システムはこのシナリオで auditd
を正しく起動できるようになります。
IPsec ondemand
接続の確立に失敗しなくなる
以前は、TCP プロトコルを使用して ondemand
オプション付きの IPsec 接続をセットアップすると、接続を確立できませんでした。この更新により、新しい Libreswan パッケージは、初期 IKE ネゴシエーションが TCP 経由で完了することを確認します。その結果、Libreswan は IKE ネゴシエーションの TCP モードでも接続を正常に確立します。
Jira:RHEL-51879[1]
update-ca-trust extract
は、長い名前の証明書の抽出に失敗しなくなる
トラストストアから証明書を展開するとき、trust
ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えている可能性があります。その結果、trust
ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。
Jira:RHEL-58899[1]