4.2. 보안
SCAP 보안 가이드 0.1.72에 기반
SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.72로 변경되었습니다. 이 버전은 버그 수정 및 다양한 개선 사항을 제공합니다.
- CIS 프로필은 최신 벤치마크에 맞게 업데이트됩니다.
- PCI DSS 프로필은 PCI DSS 정책 버전 4.0과 일치합니다.
- STIG 프로필은 최신 DISA STIG 정책과 일치합니다.
자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.
Jira:RHEL-25250[1]
OpenSSL에는 Bleichenbacher와 같은 공격에 대한 보호 기능이 포함되어 있습니다.
이번 OpenSSL TLS 툴킷 릴리스에서는 RSA PKCS #1 v1.5 암호 해독 프로세스의 Bleichenbacher와 같은 공격에 대한 API 수준 보호가 도입되었습니다. 이제 RSA 암호 해독은 PKCS #1 v1.5 암호 해독 중에 패딩을 확인할 때 오류를 감지하면 오류 대신 임의로 생성된 결정적 메시지를 반환합니다. 이 변경 사항은 CVE-2020-25659 및 CVE-2020-25657 과 같은 취약점에 대한 일반적인 보호 기능을 제공합니다.
EVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection"을 호출하여 이 보호를 비활성화할 수 있습니다. "0") 는 RSA 암호 해독 컨텍스트에서 작동하지만 시스템을 더 취약하게 만듭니다.
Jira:RHEL-17689[1]
librdkafka 재기반 1.6.1
Apache Kafka 프로토콜의 librdkafka 구현은 업스트림 버전 1.6.1에 따라 변경되었습니다. 이는 RHEL 8의 첫 번째 주요 기능 릴리스입니다. 리베이스는 많은 중요한 개선 사항 및 버그 수정을 제공합니다. 모든 관련 변경 사항은 librdkafka 패키지에 제공된 CHANGELOG.md 문서를 참조하십시오.
이번 업데이트에서는 구성 기본값을 변경하고 일부 구성 속성을 더 이상 사용하지 않습니다. 자세한 내용은 CHANGELOG.md 의 업그레이드 고려 사항 섹션을 참조하십시오. 이 버전의 API(C & C++) 및 ABI ©는 이전 버전의 librdkafka 와 호환되지만 구성 속성을 변경하려면 기존 애플리케이션을 변경해야 할 수 있습니다.
Jira:RHEL-12892[1]
1.4.0에 기반 libkcapi rebased
Linux 커널 암호화 API에 대한 액세스를 제공하는 libkcapi 라이브러리는 업스트림 버전 1.4.0에 따라 변경되었습니다. 이 업데이트에는 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.
-
sm3sum및sm3hmac툴을 추가했습니다. -
kcapi_md_sm3및kcapi_md_hmac_sm3API를 추가했습니다. - SM4 편의성 기능이 추가되었습니다.
- LTO(link-time optimization)에 대한 지원이 수정되었습니다.
- LTO 회귀 테스트를 수정했습니다.
-
kcapi-enc를 사용하여 임의의 크기의 AEAD 암호화를 수정했습니다.
Jira:RHEL-5366[1]
Stunnel은 5.71로 다시 기반
stunnel TLS/SSL 터널링 서비스는 업스트림 버전 5.71로 변경되었습니다. 이번 업데이트에서는 FIPS 모드에서 OpenSSL 1.1 및 이후 버전의 동작이 변경됩니다. OpenSSL이 FIPS 모드에 있고 stunnel 기본 FIPS 구성이 no 로 설정된 경우stunnel 은 OpenSSL에 적용되고 FIPS 모드가 활성화됩니다.
추가 새로운 기능은 다음과 같습니다.
- 최신 PostgreSQL 클라이언트에 대한 지원이 추가되었습니다.
-
protocolHeader서비스 수준 옵션을 사용하여 사용자 지정연결프로토콜 협상 헤더를 삽입할 수 있습니다. -
protocolHost옵션을 사용하여 HELO/EHLO 값의 클라이언트 SMTP 프로토콜 협상을 제어할 수 있습니다. -
클라이언트 측 프로토콜에 대한 클라이언트 측 지원이 추가되었습니다.
ldap. -
이제 service-level
sessionResume옵션을 사용하여 세션 재개를 구성할 수 있습니다. -
CApath를 사용하여 서버 모드에서 클라이언트 인증서를 요청하는 데 지원이 추가되었습니다(이전에는CAfile만 지원됨). - 파일 읽기 및 로깅 성능 개선
-
재시도옵션에 대한 구성 가능한 지연에 대한 지원이 추가되었습니다. -
클라이언트 모드에서
verifyCryostat가 설정된 경우 OCSP 스타일링이 요청되고 검증됩니다. - 서버 모드에서 OCSP 스타일링은 항상 사용할 수 있습니다.
-
OCSP 확인으로 인해 TLS 협상이 중단됩니다.
OCSPrequire = no를 설정하여 이 기능을 비활성화할 수 있습니다.
Jira:RHEL-2340[1]
OpenSSH는 인증의 인위 지연 제한
로그인 실패 후 OpenSSH의 응답은 사용자 열거 공격을 방지하기 위해 인위적으로 지연됩니다. 이번 업데이트에서는 원격 인증이 너무 오래 걸리는 경우 권한 액세스 관리(PAM) 처리에서 이러한 인공 지연이 과도하게 길지 않도록 상한 제한이 도입되었습니다.
libkcapi 에서 해시 계산에 대상 파일 이름을 지정하는 옵션을 제공합니다.
libkcapi (Linux 커널 암호화 API) 패키지의 이번 업데이트에서는 해시 계산에 대상 파일 이름을 지정하는 새로운 옵션 -T 가 도입되었습니다. 이 옵션의 값은 처리된 HMAC 파일에 지정된 파일 이름을 재정의합니다. 이 옵션은 -c 옵션에서만 사용할 수 있습니다. 예를 들면 다음과 같습니다.
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15300[1]
3.1.2에서 감사 기반 감사
Linux 감사 시스템이 버전 3.1.2로 업데이트되어 이전에 릴리스된 버전 3.0.7에 비해 버그 수정, 개선 사항 및 성능 향상을 제공합니다. 주요 개선 사항은 다음과 같습니다.
-
이제
auparse라이브러리에서 이름이 지정되지 않은 소켓과 익명 소켓을 해석합니다. -
new 키워드는
ausearch및aureport도구의시작및종료옵션에서 사용할 수 있습니다. -
신호에 대한 사용자 친화적인 키워드가
auditctl프로그램에 추가되었습니다. -
손상된 로그를
auparse에서 처리하는 기능이 향상되었습니다. -
이제
auditd서비스에서protectControlGroups옵션이 기본적으로 비활성화되어 있습니다. - exclude 필터에 대한 규칙 검사가 수정되었습니다.
-
OPENAT2필드 해석이 향상되었습니다. -
audispd af_unix플러그인이 독립 실행형 프로그램으로 이동되었습니다. - Python API에서 감사 규칙을 설정하지 않도록 Python 바인딩이 변경되었습니다. 이러한 변경은 SWIG(Simplified Wrapper and Interface Generator)의 버그로 인해 발생했습니다.
Jira:RHEL-15001[1]
