5장. 버그 수정

이제 shlibsign 이 FIPS 모드에서 작동함

이번 업데이트 이전에는 FIPS 모드에서 shlibsign 프로그램이 작동하지 않았습니다. 결과적으로 FIPS 모드에서 NSS 라이브러리를 다시 빌드할 때 FIPS 모드를 종료하여 라이브러리에 서명해야 했습니다. 프로그램이 수정되었으며 이제 FIPS 모드에서 shlibsign 을 사용할 수 있습니다.

감사는 /usr/lib/modules/를 참조하는 규칙 로드

이번 업데이트 이전에는 auditd.service 에 대해 protectKernelModules 옵션이 true 로 설정된 경우 감사 하위 시스템에서 오류 메시지와 함께 /usr/lib/modules/ 디렉터리의 파일을 참조하는 규칙을 로드하지 않았으며 Error sending add rule data request (No such file or directory). 이번 업데이트를 통해 감사는 이러한 규칙도 로드하고 더 이상 auditctl -R 또는 augenrules --load 명령을 사용하여 규칙을 다시 로드할 필요가 없습니다.

update-ca-trust 추출 이 더 이상 긴 이름으로 인증서를 추출하지 못했습니다

신뢰 저장소에서 인증서를 추출할 때 신뢰 툴은 내부적으로 인증서의 오브젝트 레이블에서 파일 이름을 파생합니다. 충분한 레이블의 경우 결과 경로가 시스템의 최대 파일 이름 길이를 초과했을 수 있었습니다. 결과적으로 신뢰 툴에서 시스템의 최대 파일 이름 길이를 초과하는 이름으로 파일을 생성하지 못했습니다. 이번 업데이트를 통해 파생된 이름은 항상 255자 내에서 잘립니다. 결과적으로 인증서의 오브젝트 레이블이 너무 길면 파일 생성이 실패하지 않습니다.

SELinux 정책에 dac_override 및 dac_read_search for qemu-guest-agent 를 허용하는 규칙

이전에는 SELinux 정책에 qemu-guest-agent 에서 dac_override 및 dac_read_search 기능을 허용하는 규칙이 없었습니다. 그 결과 파일 시스템 마운트 지점 DAC 권한이 사용자 root에 대한 액세스 권한을 부여하지 않은 경우 가상 머신 파일 시스템을 분리하고 가상 머신 파일 시스템이 제대로 작동하지 않았습니다. 이번 업데이트에서는 정책에 누락된 규칙이 추가되었습니다. 결과적으로 일관된 스냅샷을 생성하는 데 중요한 qemu-ga 명령인 fsfreeze 가 올바르게 작동합니다.

OpenSSL 암호화 제품군은 더 이상 비활성화된 해시 또는 MAC이 있는 암호화 제품군을 활성화하지 않음

이전 버전에서는 OpenSSL TLS 1.3 특정 Ciphersuites 옵션 값이 암호화 정책의 암호화 옵션에 의해서만 제어되었기 때문에 사용자 지정 암호화 정책을 적용하면 해시 또는 MAC이 비활성화된 경우에도 특정 TLS 1.3 암호화 제품군을 사용할 수 있었습니다. 이번 업데이트를 통해 암호화 제품군 활성화 여부를 결정할 때 crypto-policies 가 더 많은 알고리즘을 고려합니다. 결과적으로 사용자 정의 암호화 정책이 있는 시스템에서 OpenSSL이 시스템 설정에 따라 이전에 활성화된 TLS 1.3 암호화 제품군의 일부를 협상하지 못할 수 있습니다.