4.2. セキュリティー

NSS が 3.112 にリベースされました

NSS 暗号化ツールキットパッケージが、アップストリームのバージョン 3.112 にリベースされました。これにより、多くの改善と修正が提供されます。主なものは次のとおりです。

RHEL 9.7 の crypto-policies は耐量子計算機暗号をサポートしています

システム全体の暗号化ポリシーに対する今回の更新により、新しい PQ サブポリシーを通じて耐量子計算機暗号 (PQC) のサポートを有効にできるようになりました。RHEL 9.7 の crypto-policies の主な変更点は次のとおりです。

OpenSSL が 3.5 にリベースされました

OpenSSL がアップストリームバージョン 3.5 にリベースされました。このバージョンでは、特に次の点を含む重要な修正と機能拡張が行われています。

OpenSSL が sslkeylogfile をサポートするようになりました

OpenSSL は TLS の sslkeylogfile 形式をサポートしています。そのため、SSLKEYLOGFILE 環境変数を設定することで、SSL 接続によって生成されたすべてのシークレットをログに記録できます。

ハイブリッド方式の ML-KEM 暗号が FIPS モードに対応しました

このリリースでは、ハイブリッド方式の Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) の耐量子計算機暗号アルゴリズムが RHEL の FIPS モードでサポートされています。システムが FIPS モードで動作している場合、OpenSSL は、新しいハイブリッド方式の耐量子計算機グループの Elliptic Curve Diffie-Hellman (ECDH) 部分を、FIPS プロバイダーから取得できます。その結果、OpenSSL ライブラリーは、ハイブリッド耐量子計算機鍵交換の ECDH 部分に、FIPS 準拠の暗号化を使用するようになりました。システムを FIPS:PQ 暗号化ポリシーに設定すると、ハイブリッド方式の耐量子計算機グループが有効になり、OpenSSL サーバーおよびクライアントによってデフォルトで使用されます。

crypto-policies が NSS の Ed25519 をサポートするようになりました

システム全体の暗号化ポリシーに対する今回の更新により、Edwards-curve Digital Signature Algorithm (EdDSA) の SHA-512 バリアントである Ed25519 のサポートが、ネットワークセキュリティーサービス (NSS) で利用できるようになりました。その結果、crypto-policies が、NSS 用の DEFAULT、LEGACY、および FUTURE ポリシーで、Ed25519 をデフォルトで有効化するようになりました。

新しいパッケージ: rust-rpm-sequoia

RHEL 9.7 では、multisig DNF プラグインを通じて、RPM パッケージ内の耐量子計算機署名をサポートする rust-rpm-sequoia パッケージが追加されています。この追加により、耐量子計算機暗号 (PQC) アルゴリズムで署名された RPM パッケージ内の OpenPGP v6 署名を検証できるようになります。

SCAP Security Guide が 0.1.78 にリベースされました

詳細は、SCAP Security Guide release notes を参照してください。

SELinux ポリシーに qgs デーモン用のルールとタイプが追加されました

qgs デーモンが、TDX 機密仮想化をサポートする linux-sgx パッケージとともに RHEL に追加されました。qgs デーモンは、ゲスト OS が仮想マシン (VM) のアテステーションを要求すると、UNIX ドメインソケットを介して QEMU と通信します。これを可能にするために、SELinux ポリシーに、新しい qgs_t タイプ、アクセスルール、および権限が追加されます。

3 つの RHEL サービスが SELinux の permissive モードから削除されました

RHEL サービスの次の SELinux ドメインは、SELinux permissive モードから削除されました。

tuned-ppd が SELinux ポリシーで制限されます

RHEL 9.7 では、tuned-ppd サービスを制限する追加のルールが SELinux ポリシーに追加されています。この更新前は、このサービスは unconfined_service_t という SELinux ラベルを持った状態で実行されていました。これは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンが存在しないことを確認する" というルールに違反していました。この更新により、このサービスが制限されるようになり、SELinux enforcing モードで正常に実行されるようになりました。

Keylime がバージョン 7.12.1 にリベースされました

Keylime パッケージがアップストリームバージョン 7.12.1 にリベースされました。主な修正と機能拡張は次のとおりです。

SELinux で /dev/diag に特定のタイプが割り当てられるようになりました

この更新により、SELinux ポリシーで /dev/diag デバイスに diagnostic_device_t タイプが割り当てられるようになりました。これにより、SELinux はデバイスへのアクセスを適切に制御できます。

OpenSSL PKCS #11 プロバイダーに Ex=RSA 暗号のサポートが追加されました

OpenSSL PKCS #11 プロバイダーの今回の更新により、非推奨の機能に依存せずに OpenSSL で PKCS #11 トークンを使用できるようになります。この代替手段により、サポートされていなかった RSA パディングモードの問題が解決され、RHEL 9 上のハードウェアセキュリティーモジュール (HSM) で Ex=RSA 暗号をシームレスに使用できるようになります。これにより、TLS ハンドシェイクの失敗が発生しなくなり、OpenSSL および PKCS #11 トークンを使用して TLS 1.2 接続を確立するときにセキュアな通信が提供されます。

新しいパッケージ: fips-provider-next

fips-provider-next パッケージは、次期バージョンの FIPS プロバイダーを提供します。このパッケージは、検証を受けるために National Institute of Standards and Technology (NIST) に提出されたものです。このパッケージはデフォルトではインストールされません。検証済みの OpenSSL FIPS プロバイダーである openssl-fips-provider パッケージが存在するためです。openssl-fips-provider から fips-provider-next に切り替えるには、以下を実行します。

Rsyslog の imuxsock に新しい ratelimit.discarded カウンターが追加されました

この更新により、Rsyslog の imuxsock モジュールに新しいカウンター ratelimit.discarded が追加されました。このカウンターは、Unix ソケットでのレート制限によりドロップされたメッセージの数を追跡します。この機能拡張により、管理者はレート制限によるメッセージ損失を可視化できるため、レート制限設定を微調整し、重要なログが破棄されるのを防ぐことができます。

Rsyslog の imfile に新しい deleteStateOnFileMove オプションが追加されました

この更新により、imfile モジュールに新しい deleteStateOnFileMove パラメーターが追加されました。このパラメーターは、モジュールレベルでも、操作ごとのオプションとしても利用できます。この機能拡張により、監視対象のログファイルがローテーションまたは移動されたときに、孤立した状態ファイルが spool/ ディレクトリーに蓄積される問題が解決されます。このパラメーターを有効にすると、ログファイルが移動されたときに、このような古いファイルを自動的にクリーンアップできるため、ディスク領域の浪費が防止され、管理が簡素化されます。