6.2. セキュリティー
OpenSSL EC 署名から非定数時間コードパスが削除されました
以前、OpenSSL は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名に非定数時間コードパスを使用していました。これにより、署名操作が Minerva 攻撃と同様の攻撃にさらされ、秘密鍵が漏洩する可能性がある。この更新により、OpenSSL EC 署名内の非定数時間コードパスが削除され、その結果、この脆弱性は存在しなくなりました。
SELinux ポリシーは npm
に正しくラベルを付ける
以前は、npm
サービス実行可能ファイルは汎用 lib_t
SELinux タイプでラベル付けされていました。その結果、npm を
実行できませんでした。この更新では、npm
実行可能ファイルは SELinux ポリシーで bin_t
タイプとして明示的にラベル付けされるようになりました。その結果、npm
サービスが正常に起動し、unconfined_service_t
ドメインで実行されます。
SELinux ポリシーは、sysadm_r
ユーザーが sudo を
介して入出力ログディレクトリーを定義するためのルールを追加します。
以前は、SELinux ポリシーには、iolog_dir
オプションが sudo
設定で定義されている場合に、制限された管理者が sudo を
使用して入出力ログディレクトリーを指定するためのコマンドを実行できるようにするルールは含まれていませんでした。その結果、sysadm_r
ロールの制限された管理者は、iolog_dir
オプションを指定した sudo を
使用してコマンドを実行できませんでした。この更新により、SELinux ポリシーにルールが追加され、その結果、sysadm_r
ユーザーは iolog_dir
で sudo
を使用してコマンドを実行できるようになります。
システムの起動時に /proc
の監査ルールが正しく読み込まれるようになりました。
今回の更新以前は、システムは起動フェーズで /proc
ディレクトリーの Audit watch ルールを読み込めませんでした。その結果、管理者は後でルールを手動で読み込む必要があり、ルールは起動時に適用されませんでした。バグは修正され、システムはブートフェーズで /proc
に関連する Audit ルールを読み込むようになりました。
イミュータブルモードの audit では、auditd
の起動が阻止されなくなりました。
以前は、the -e 2
ルールを追加して Audit システムがイミュータブルモードに設定されていた場合、auditd
サービスを再起動するか、
コマンドを実行すると、augenrules コマンドは 0 ではなく 1 の戻りコードで終了していました。その結果、システムは 1 の戻りコードをエラーとして解釈し、起動時に augenrules
--loadauditd
が開始できないようにします。今回の更新で、Audit がイミュータブルモードに設定されていると、augenrules
がゼロのリターンコードで終了し、このシナリオでシステムが正常に auditd
を起動できるようになりました。
IPsec オンデマンド
接続の確立に失敗しなくなりました
以前は、TCP プロトコルを使用して ondemand
オプション付きの IPsec 接続を設定すると、接続を確立できませんでした。この更新により、新しい Libreswan パッケージは、初期 IKE ネゴシエーションが TCP 経由で完了することを確認します。その結果、Libreswan は IKE ネゴシエーションの TCP モードでも接続を正常に確立します。
Jira:RHEL-51879[1]
update-ca-trust extract は
長い名前の証明書の抽出に失敗しなくなりました。
トラストストアから証明書を抽出するとき、信頼
ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えている可能性があります。その結果、信頼
ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。
Jira:RHEL-58899[1]