Red Hat Summit10.2. セキュリティー
脆弱性スキャンアプリケーションにおける OVAL の非推奨化
OpenSCAP スイートによって処理される宣言型セキュリティーデータを提供する Open Vulnerability Assessment Language (OVAL) データ形式は非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、OVAL の後継である Common Security Advisory Framework (CSAF) 形式で宣言型セキュリティーデータを引き続き提供します。
詳細は、OVAL v2 に関する発表 を参照してください。
または、Insights for RHEL 脆弱性サービスを使用することもできます。詳細は、RHEL システムでのセキュリティー脆弱性の評価および監視 を参照してください。
Jira:RHELDOCS-17532[1]
libgcrypt が非推奨になる
libgcrypt パッケージによって提供される Libgcrypt 暗号化ライブラリーは非推奨となり、今後のメジャーリリースで削除される可能性があります。代わりに、(Red Hat ナレッジベース) のアーティクル記事 RHEL core cryptographic components に記載されているライブラリーを使用してください。
Jira:RHELDOCS-17508[1]
fips-mode-setup が非推奨になる
システムを FIPS モードに切り替える fips-mode-setup ツールが RHEL 9 で非推奨になりました。ただし、引き続き fips-mode-setup コマンドを使用して FIPS モードが有効かどうかを確認することは可能です。
FIPS 140 に準拠したシステムを運用するには、次のいずれかの方法でシステムを FIPS モードでインストールします。
-
RHEL のインストール中に、カーネルコマンドラインに
fips=1オプションを追加します。詳細は、「インストールメディアからの RHEL の対話型インストール」するドキュメントの ブートオプションのカスタマイズ の章を参照してください。 -
ブループリントの
[customizations]セクションにfips=yesディレクティブを追加して、RHEL Image Builder で FIPS 対応イメージを作成します。 -
bootc-image-builderツールを使用してディスクイメージを作成するか、bootc install-to-diskツールを使用してシステムをインストールし、Image Mode for RHEL の使用に関するドキュメントの 例 に従った Containerfile でfips=1カーネルコマンドラインフラグを追加して、システム全体の暗号化ポリシーをFIPSに切り替えます。
fips-mode-setup ツールは次のメジャーリリースで削除される予定です。
引数なしでの update-ca-trust の使用が非推奨になる
以前は、update-ca-trust コマンドは、入力された引数に関係なく、システム認証局 (CA) ストアを更新していました。この更新では、CA ストアを更新するための extract サブコマンドが導入されました。--output 引数を使用して、CA 証明書を展開するロケーションを指定することもできます。以前のバージョンの RHEL との互換性のため、-o または --help 以外の引数を指定して、あるいは引数を指定せずに update-ca-trust を入力して CA ストアを更新することは、RHEL 9 の期間中は引き続きサポートされますが、次のメジャーリリースでは削除されます。update-ca-trust extract への呼び出しを更新します。
Jira:RHEL-54695[1]
Stunnel クライアントの信頼されたルート証明書ファイルを指す CAfile が非推奨になる
Stunnel がクライアントモードで設定されている場合、CAfile ディレクティブは、BEGIN TRUSTED CERTIFICATE 形式の信頼されたルート証明書を含むファイルを指すことができます。このメソッドは非推奨となり、今後のメジャーバージョンで削除される可能性があります。今後のバージョンでは、stunnel は、BEGIN TRUSTED CERTIFICATE 形式をサポートしていない関数に CAfile ディレクティブの値を渡します。したがって、CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt を使用する場合は、ロケーションを CAfile = /etc/pki/tls/certs/ca-bundle.crt に変更します。
Jira:RHEL-52317[1]
DSA および SEED アルゴリズムが NSS で非推奨になる
Digital Signature Algorithm (DSA) は、National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、Network Security Services (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、SHB-DSA、ML-DSA、FN-DSA などのアルゴリズムを使用することもできます。
Korea Information Security Agency (KISA) によって作成され、以前にアップストリームで無効化されていた SEED アルゴリズムは、NSS 暗号化ライブラリーで非推奨となっています。
Jira:RHELDOCS-19004[1]
pam_ssh_agent_auth が非推奨になる
pam_ssh_agent_auth パッケージは非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18312[1]
compat-openssl11 が非推奨になる
OpenSSL 1.1 の互換性ライブラリー compat-openssl11 は、現在非推奨となっており、将来のメジャーリリースで削除される可能性があります。OpenSSL 1.1 はアップストリームでメンテナンスされなくなりました。OpenSSL TLS ツールキットを使用するアプリケーションは、バージョン 3.x に移行する必要があります。
Jira:RHELDOCS-18480[1]
OpenSSL の SHA-1 で SECLEVEL=2 が非推奨になる
SECLEVEL=2 での SHA-1 アルゴリズムの使用は OpenSSL では非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18701[1]
OpenSSL Engines API が Stunnel で非推奨になる
Stunnel での OpenSSL Engines API の使用は非推奨となり、今後のメジャーリリースで削除される予定です。最も一般的な用途は、openssl-pkcs11 パッケージを介して PKCS#11 を使用するハードウェアセキュリティートークンにアクセスすることです。代わりに、新しい OpenSSL Providers API を使用する pkcs11-provider を使用できます。
Jira:RHELDOCS-18702[1]
OpenSSL Engines が非推奨になる
OpenSSL Engines は非推奨となり、今後削除される予定です。エンジンを使用する代わりに、pkcs11-provider を代替として使用できます。
Jira:RHELDOCS-18703[1]
GnuTLS で DSA が非推奨になる
Digital Signature Algorithm (DSA) は、GnuTLS セキュア通信ライブラリーで非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DSA は、以前に National Institute of Standards and Technology (NIST) によって非推奨とされており、セキュアでないと考えられています。今後のバージョンとの互換性を確保するには、代わりに ECDSA を使用できます。
Jira:RHELDOCS-19224[1]
scap-workbench が非推奨になる
scap-workbench パッケージが非推奨となりました。scap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。
Jira:RHELDOCS-19028[1]
oscap-anaconda-addon が非推奨になる
グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が非推奨となりました。代わりに、RHEL Image Builder OpenSCAP インテグレーションを使用して事前に強化されたイメージを作成 することで、特定の標準に準拠した RHEL イメージを構築できます。
Jira:RHELDOCS-19029[1]
SHA-1 は暗号化の目的で非推奨になる
暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号コンポーネントは、デフォルトで SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。
例外の中でも、HMAC-SHA1 メッセージ認証コードと Universal Unique Identifier (UUID) 値は、SHA-1 を使用して作成できます。これは、これらのユースケースが現在セキュリティーリスクをもたらさないためです。SHA-1 は、Kerberos や WPA-2 など、相互運用性および互換性に関する重要な懸念事項に関連する限られたケースでも使用できます。詳細は、RHEL 9 セキュリティーの強化ドキュメント の FIPS 140-3 に準拠していない暗号化を使用する RHEL アプリケーションのリスト を参照してください。
既存またはサードパーティーの暗号署名を検証するために SHA-1 を使用する必要がある場合は、次のコマンドを入力して有効にできます。
update-crypto-policies --set DEFAULT:SHA1
# update-crypto-policies --set DEFAULT:SHA1
または、システム全体の暗号化ポリシーを LEGACY ポリシーに切り替えることもできます。LEGACY は、セキュアではない他の多くのアルゴリズムも有効にすることに注意してください。
Jira:RHELPLAN-110763[1]
fapolicyd.rules が非推奨になる
実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。
RHEL 9 で SCP が非推奨になる
SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。
-
scpユーティリティーでは、SCP はデフォルトで SSH ファイル転送プロトコル (SFTP) に置き換えられます。 - OpenSSH スイートは、RHEL 9 では SCP を使用しません。
-
libsshライブラリーで SCP が非推奨になりました。
Jira:RHELPLAN-99136[1]
OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要
OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。
OpenSSL で Engines API が非推奨になる
OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-17958[1]
openssl-pkcs11 が非推奨になる
非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-16716[1]
RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる
Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。
Jira:RHELDOCS-17974[1]
SASL の Digest-MD5 が非推奨になる
SASL (Simple Authentication Security Layer) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来バージョンのメジャーリリースでは cyrus-sasl パッケージから削除される可能性あり
Bugzilla:1995600[1]
/etc/system-fips が非推奨になる
/etc/system-fips ファイルを通じて FIPS モードを示すためのサポートは削除されました。そのため、このファイルは今後の RHEL バージョンには含まれません。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。/proc/sys/crypto/fips_enabled ファイルを表示することで、RHEL が FIPS モードで動作しているかどうかを確認できます。
Jira:RHELPLAN-103232[1]
libcrypt.so.1 が非推奨になる
libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}