11.2. 보안

IPsec 온 디맨드 연결이 더 이상 설정되지 않음

이전에는 TCP 프로토콜을 사용하여 온 디맨드 옵션으로 IPsec 연결이 구성되면 연결에 실패했습니다. 이번 업데이트를 통해 새로운 Libreswan 패키지는 초기 IKE 협상이 TCP를 통해 완료되도록 합니다. 결과적으로 Libreswan은 IKE 협상의 TCP 모드에서도 연결을 성공적으로 설정합니다.

NSS가 FIPS 모드에서 ECDSA 적용

NSS(Network Security Services) 라이브러리에는 FIPS 140-3 표준에서 요구하는 모든 TLS 1.2 연결에 대해 확장 마스터 보안(ECDSA) 확장(RFC 7627)이 필요한 TLS-REQUIRE- ECDSA 키워드가 포함됩니다. 시스템 전체 암호화 정책이 FIPS 로 설정된 경우 NSS는 새 키워드를 사용합니다.

이제 shlibsign 이 FIPS 모드에서 작동함

이번 업데이트 이전에는 FIPS 모드에서 shlibsign 프로그램이 작동하지 않았습니다. 결과적으로 FIPS 모드에서 NSS 라이브러리를 다시 빌드할 때 FIPS 모드를 종료하여 라이브러리에 서명해야 했습니다. 프로그램이 수정되었으며 이제 FIPS 모드에서 shlibsign 을 사용할 수 있습니다.

OpenSSL 암호화 제품군은 더 이상 비활성화된 해시 또는 MAC이 있는 암호화 제품군을 활성화하지 않음

이전 버전에서는 OpenSSL TLS 1.3 특정 Ciphersuites 옵션 값이 암호화 정책의 암호화 옵션에 의해서만 제어되었기 때문에 사용자 지정 암호화 정책을 적용하면 해시 또는 MAC이 비활성화된 경우에도 특정 TLS 1.3 암호화 제품군을 사용할 수 있었습니다. 이번 업데이트를 통해 암호화 제품군 활성화 여부를 결정할 때 crypto-policies 가 더 많은 알고리즘을 고려합니다. 결과적으로 사용자 정의 암호화 정책이 있는 시스템에서 OpenSSL이 시스템 설정에 따라 이전에 활성화된 TLS 1.3 암호화 제품군의 일부를 협상하지 못할 수 있습니다.

update-ca-trust 추출 이 더 이상 긴 이름으로 인증서를 추출하지 못했습니다

truststore에서 인증서를 추출할 때 신뢰 툴은 내부적으로 인증서의 오브젝트 레이블에서 파일 이름을 파생합니다. 충분한 레이블의 경우 결과 경로가 시스템의 최대 파일 이름 길이를 초과했을 수 있었습니다. 결과적으로 신뢰 툴에서 시스템의 최대 파일 이름 길이를 초과하는 이름으로 파일을 생성하지 못했습니다. 이번 업데이트를 통해 파생된 이름은 항상 255자 내에서 잘립니다. 결과적으로 인증서의 오브젝트 레이블이 너무 길면 파일 생성이 실패하지 않습니다.

libcap 의 바이너리 테스트는 제외됩니다.

annocheck 툴은 RHEL 10 아키텍처의 필수 플래그 없이 빌드된 libcap 라이브러리 함수에서 바이너리 패키지를 발견했습니다. 우리는 잠재적 인 문제에 대한 플래그를 검토했으며 아무것도 찾지 못했습니다. 신중하게 조사한 후 libcap 에 대한 결과를 포기했습니다. 그 결과 libcap 에 대한 모든 테스트가 통과되었습니다.