5.4. 버그 수정


이 부분에서는 사용자에게 중요한 영향을 미치는 Red Hat Enterprise Linux 8.3에서 수정된 버그에 대해 설명합니다.

5.4.1. 설치 프로그램 및 이미지 생성

RHEL 8 초기 설정이 SSH를 통해 올바르게 작동합니다.

이전에는 SSH를 사용하여 시스템에 로그인할 때 RHEL 8 초기 설정 인터페이스가 표시되지 않았습니다. 그 결과 SSH를 통해 관리되는 RHEL 8 시스템에서 초기 설정을 수행할 수 없었습니다. 이 문제는 해결되었으며 이제 SSH를 통해 수행될 때 RHEL 8 초기 설정이 올바르게 작동합니다.

(BZ#1676439)

reboot --kexec 명령을 사용할 때 설치에 실패했습니다

이전에는 reboot --kexec 명령이 포함된 Kickstart 파일을 사용할 때 RHEL 8 설치에 실패했습니다.

이번 업데이트를 통해 reboot --kexec 를 사용한 설치가 이제 예상대로 작동합니다.

(BZ#1672405)

미국/뉴욕 시간대를 올바르게 설정할 수 있음

이전에는 대화형 Anaconda 설치 프로세스에서 사용자가 kickstart 파일을 사용할 때 미국/뉴욕 시간대를 설정할 수 없었습니다. 이번 업데이트를 통해 사용자가 킥스타트 파일에 시간대가 지정되지 않은 경우 이제 대화형 설치 프로그램에서 미국/뉴욕 을 기본 시간대로 설정할 수 있습니다.

(BZ#1665428)

SELinux 컨텍스트가 올바르게 설정되었습니다

이전 버전에서는 SELinux가 강제 모드일 때 일부 폴더와 파일의 잘못된 SELinux 컨텍스트로 인해 설치 후 이러한 파일에 액세스하려고 할 때 예기치 않은 AVC 거부가 발생했습니다.

이번 업데이트를 통해 Anaconda는 올바른 SELinux 컨텍스트를 설정합니다. 결과적으로 파일 시스템의 레이블을 수동으로 다시 지정하지 않고 폴더와 파일에 액세스할 수 있습니다.

(BZ#1775975)

자동 파티셔닝이 유효한 / 부트 파티션을 만듭니다

이전에는 자동 파티션을 사용하거나 미리 구성된 파티션이 포함된 kickstart 파일을 사용하여 시스템에 RHEL을 설치할 때 설치 프로그램에서 잘못된 /boot 파티션을 포함할 수 있는 파티션 스키마를 생성했습니다. 결과적으로 파티션 구성 확인에 실패하여 자동 설치 프로세스가 조기에 종료되었습니다. 이번 업데이트를 통해 Anaconda는 유효한 /boot 파티션을 포함하는 파티션 스키마를 만듭니다. 결과적으로 자동 설치가 예상대로 완료됩니다.

(BZ#1630299)

바이너리 DVD ISO 이미지를 사용한 GUI 설치가 CDN 등록 없이 성공적으로 완료

이전에는 바이너리 DVD ISO 이미지 파일을 사용하여 GUI 설치를 수행할 때 설치 프로그램의 경쟁 조건으로 인해 Connect to Red Hat 기능을 사용하여 시스템을 등록할 때까지 설치가 진행되지 않았습니다.

이번 업데이트를 통해 이제 Connect to Red Hat 기능을 사용하여 시스템을 등록하지 않고 설치를 진행할 수 있습니다.

(BZ#1823578)

Kickstart에서 생성되어 ignoredisk --only-use 명령에서 사용하는 iSCSI 또는 FCoE 장치는 더 이상 설치 프로세스를 중지하지 않습니다

이전에는 ignoredisk --only-use 명령에서 Kickstart에서 생성된 iSCSI 또는 FCoE 장치를 사용할 때 ignoredisk 명령에 지정된 Disk "disk/by-id/scsi-360a9800042566643352b476d674a774a"와 유사한 오류로 설치 프로그램이 실패했습니다. 이로 인해 설치 프로세스가 중지되었습니다.

이번 업데이트를 통해 문제가 해결되었습니다. 설치 프로그램이 계속 작동합니다.

(BZ#1644662)

CDN을 사용한 시스템 등록에 실패했습니다. 오류 메시지 Name 또는 service not known

CDN(Content Delivery Network)을 사용하여 시스템을 등록하려고 하면 등록 프로세스에서 Name or service not known 오류 메시지로 실패했습니다.

이 문제는 비어 있는 Custom 서버 URLCustom Base URL 값이 시스템 등록의 기본값을 덮어쓰기 때문에 발생했습니다.

이번 업데이트를 통해 이제 빈 값이 기본값을 덮어쓰지 않고 시스템 등록이 성공적으로 완료됩니다.

(BZ#1862116)

5.4.2. 소프트웨어 관리

DNF-automatic 이 올바른 GPG 서명을 사용하여 패키지만 업데이트

이전에는 업데이트를 수행하기 전에 dnf-automatic 구성 파일에서 다운로드한 패키지의 GPG 서명을 확인하지 않았습니다. 결과적으로 리포지토리 구성에 GPG 서명 확인(gpgcheck=1)이 필요한 경우에도 dnf-automatic 에서 가져오지 않은 키로 서명되지 않은 업데이트 또는 업데이트를 설치할 수 있습니다. 이번 업데이트를 통해 문제가 수정되었으며 dnf-automatic 은 업데이트를 수행하기 전에 다운로드한 패키지의 GPG 서명을 확인합니다. 따라서 GPG 서명 확인이 필요한 리포지토리에서 올바른 GPG 서명이 있는 업데이트만 설치됩니다.

(BZ#1793298)

후행 쉼표로 인해 추가 유형 옵션에서 항목이 제거되지 않습니다

이전 버전에서는 추가 유형 옵션(예: exclude, exclude pkgs,includepkgs )에 후행 쉼표(목록 끝에 빈 항목)를 추가하면 옵션의 모든 항목이 제거되었습니다. 또한 쉼표 2개(빈 항목)를 추가하면 쉼표 뒤에만 쉼표가 사용되었습니다.

이번 업데이트를 통해 선행 쉼표 이외의 빈 항목(리스트 시작 시 빈 항목)이 무시됩니다. 그 결과 선행 쉼표만 이제 append type 옵션에서 기존 항목을 제거하므로 사용자는 이 항목을 사용하여 이러한 항목을 덮어쓸 수 있습니다.

(BZ#1788154)

5.4.3. 쉘 및 명령행 툴

ReaR 디스크 레이아웃에는 더 이상 Rancher 2 장기 iSCSI 장치 및 파일 시스템 항목이 포함되지 않습니다.

이번 업데이트에서는 ReaR 에 의해 생성된 디스크 레이아웃에서 Rancher 2 장기 iSCSI 장치 및 파일 시스템에 대한 항목을 제거합니다.

(BZ#1843809)

IBM POWER, little endian에서 4GB 이상의 파일을 사용하여 복구 이미지 생성 가능

이전에는 ReaR 유틸리티에서 IBM POWER에서 little endian 아키텍처인 4GB보다 큰 파일이 포함된 복구 이미지를 생성할 수 없었습니다. 이번 업데이트를 통해 문제가 해결되었으며 이제 IBM POWER에서 little endian인 4GB보다 큰 파일로 복구 이미지를 생성할 수 있습니다.

(BZ#1729502)

5.4.4. 보안

SELinux는 corosync에서 사용하는 /dev/shm/ 파일에서 newfstatat() 를 호출하는 systemd-journal-gatewayd 를 더 이상 차단하지 않습니다.

이전 버전에서는 SELinux 정책에 systemd-journal-gatewayd 데몬이 corosync 서비스에서 생성한 파일에 액세스할 수 있도록 하는 규칙이 포함되지 않았습니다. 그 결과 SELinux는 systemd-journal-gatewayd 를 거부하여 corosync 에서 만든 공유 메모리 파일에서 newfstatat() 함수를 호출합니다. 이번 업데이트를 통해 SELinux는 더 이상 corosync 에서 만든 공유 메모리 파일에서 newfstatat() 를 호출하도록 systemd-journal-gatewayd 를 사용하지 않습니다.

(BZ#1746398)

Libreswan 은 모든 설정에서 seccomp=enabled 와 함께 작동합니다

이번 업데이트 이전에는 Libreswan SECCOMP 지원의 허용된 syscall 세트가 RHEL 라이브러리의 새로운 사용과 일치하지 않았습니다. 그 결과 ipsec.conf 파일에서 SECCOMP를 활성화하면 syscall 필터링이 pluto 데몬이 제대로 작동하는 데 필요한 syscall도 거부했습니다. 데몬이 종료되고 ipsec 서비스가 다시 시작되었습니다. 이번 업데이트를 통해 새로 필요한 모든 syscall이 허용되었으며 Libreswan은 이제 seccomp=enabled 옵션에서 올바르게 작동합니다.

(BZ#1544463)

SELinux는 더 이상 시스템을 중단하거나 전원을 끄기 위해 auditd 를 차단하지 않습니다

이전에는 SELinux 정책에 감사 데몬이 power_unit_file_t systemd 장치를 시작할 수 있는 규칙이 없었습니다. 결과적으로 auditd 는 로깅 디스크 파티션에 남은 공백이 없는 경우와 같은 경우 이를 수행하도록 구성된 경우에도 시스템을 중지하거나 끌 수 없었습니다.

이번 업데이트에서는 selinux-policy 패키지에서 누락된 규칙이 추가되고 auditd 는 강제 모드에서 SELinux에서만 시스템을 올바르게 중지하고 전원을 끌 수 있습니다.

(BZ#1826788)

IPTABLES_SAVE_ON_STOP 가 올바르게 작동합니다

이전에는 IP 테이블 내용이 저장된 파일이 잘못된 SELinux 컨텍스트를 수신했기 때문에 iptables 서비스의 IPTABLES_SAVE_ON_STOP 기능이 작동하지 않았습니다. 이로 인해 iptables 스크립트가 권한을 변경하지 못했으며 결과적으로 스크립트에서 변경 사항을 저장하지 못했습니다. 이번 업데이트에서는 iptables.save 및 ip6tables.save 파일에 대한 적절한 컨텍스트를 정의하고 파일 이름 전환 규칙을 생성합니다. 그 결과 iptables 서비스의 IPTABLES_SAVE_ON_STOP 기능이 올바르게 작동합니다.

(BZ#1776873)

NSCD 데이터베이스에서 다양한 모드를 사용할 수 있음

the nsswitch_domain 속성의 도메인은 NSCD(Name Service Cache Daemon) 서비스에 액세스할 수 있습니다. 각 NSCD 데이터베이스는 nscd.conf 파일에서 구성되며, shared 속성은 데이터베이스에서 공유 메모리 또는 소켓 모드를 사용하는지 여부를 결정합니다. 이전에는 모든 NSCD 데이터베이스에서 nscd_use_shm 부울 값에 따라 동일한 액세스 모드를 사용해야 했습니다. 이제 Unix 스트림 소켓을 사용하는 것이 항상 허용되므로 NSCD 데이터베이스가 서로 다른 모드를 사용할 수 있습니다.

(BZ#1772852)

oscap-ssh 유틸리티는 --sudo를 사용하여 원격 시스템을 스캔할 때 올바르게 작동합니다.

oscap-ssh 툴을 --sudo 옵션과 함께 사용하여 원격 시스템을 SCAP(Security Content Automation Protocol) 스캔을 수행할 때 원격 시스템의 oscap 툴은 스캔 결과 파일을 저장하고 파일을 root 사용자로 임시 디렉터리에 보고합니다. 이전에는 원격 시스템의 umask 설정이 변경되면 oscap-ssh 가 해당 파일에 대한 액세스 권한이 없을 수 있었습니다. 이번 업데이트에서는 문제가 해결되어 oscap 이 파일을 대상 사용자로 저장하고 oscap-ssh 는 일반적으로 파일에 액세스합니다.

(BZ#1803116)

OpenSCAP에서 원격 파일 시스템을 올바르게 처리

이전에는 마운트 사양이 두 슬래시로 시작되지 않은 경우 OpenSCAP에서 원격 파일 시스템을 안정적으로 탐지하지 않았습니다. 결과적으로 OpenSCAP은 일부 네트워크 기반 파일 시스템을 로컬로 처리했습니다. 이번 업데이트를 통해 OpenSCAP는 마운트 사양 대신 file-system 유형을 사용하여 파일 시스템을 식별합니다. 결과적으로 OpenSCAP에서 원격 파일 시스템을 올바르게 처리합니다.

(BZ#1870087)

OpenSCAP이 더 이상 YAML 다중 줄 문자열에서 빈 줄을 제거하지 않음

이전에는 OpenSCAP에서 생성된 Ansible 해결 방법 내 YAML 다중 줄 문자열에서 비어 있는 줄을 데이터 스트림에서 제거했습니다. 이로 인해 Ansible 해결에 영향을 미치고 openscap 유틸리티가 해당 OVAL(Open Vulnerability and Assessment Language) 확인에 실패하여 잘못된 긍정적인 결과가 생성되었습니다. 이제 문제가 해결되어 openscap 이 더 이상 YAML 다중 줄 문자열에서 빈 행을 제거하지 않습니다.

(BZ#1795563)

OpenSCAP에서 메모리가 부족하지 않고 많은 수의 파일이 있는 시스템을 스캔할 수 있음

이전에는 RAM이 적고 많은 수의 파일이 있는 시스템을 스캔할 때 OpenSCAP 스캐너로 인해 시스템에 메모리가 부족한 경우가 있었습니다. 이번 업데이트를 통해 OpenSCAP 스캐너 메모리 관리가 개선되었습니다. 결과적으로 스캐너는 많은 수의 파일을 스캔할 때 RAM이 부족한 시스템에서 더 이상 메모리가 부족하지 않습니다(예: GUI 및 Workstation 을 사용한 패키지 그룹 서버 ).

(BZ#1824152)

config.enabled 이제 설명이 올바르게 제어됩니다.

이전 버전에서는 rsyslog 가 문을 구성하는 동안 config.enabled 지시문을 잘못 평가했습니다. 그 결과 include () 를 제외한 각 문에 대해 알 수 없는 오류가 표시되었습니다. 이번 업데이트를 통해 모든 문에 대해 구성이 동일하게 처리됩니다. 결과적으로 config.enabled 는 오류를 표시하지 않고 문을 올바르게 비활성화하거나 활성화합니다.

(BZ#1659383)

fapolicyd 가 더 이상 RHEL 업데이트를 금지하지 않음

업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 " (deleted)" 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd 파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리하여 다른 파일을 열고 실행할 수 없었습니다. 그 결과 업데이트를 적용한 후 시스템을 부팅할 수 없는 경우가 있었습니다.

RHBA-2020:5242 권고가 릴리스되면서 fapolicyd 는 바이너리 경로의 접미사를 무시하므로 바이너리가 신뢰 데이터베이스와 일치할 수 있습니다. 결과적으로 fapolicyd 는 규칙을 올바르게 적용하고 업데이트 프로세스를 완료할 수 있습니다.

(BZ#1897090)

이제 e8 프로필을 사용하여 GUI를 사용하여 RHEL 8 시스템을 해결할 수 있습니다.

OpenSCAP Anaconda 애드온을 사용하여 서버에서 시스템을 강화하여 GUI 패키지 그룹을 사용하여 RPM 그룹과 무결성 확인 에서 규칙을 선택하는 프로필이 있는 GUI 패키지 그룹을 사용하면 더 이상 시스템에 극적인 RAM이 필요하지 않습니다. 이 문제의 원인은 OpenSCAP 스캐너였습니다. 자세한 내용은 OpenSCAP로 많은 수의 파일 스캔을 참조하십시오. 이로 인해 시스템에 메모리가 부족합니다. 그 결과, RHEL 8 Essential Eight(e8) 프로필을 사용하여 시스템 강화가 이제 GUI에서 Server with GUI 에서도 작동합니다.

(BZ#1816199)

5.4.5. 네트워킹

nft_compat 모듈로 iptables 확장 모듈을 자동 로드해도 더 이상 중단되지 않음

이전에는 네트워크 네임스페이스(netns)에 대한 작업이 병렬로 수행되는 동안 nft_compat 모듈이 확장 모듈을 로드할 때 초기화 중에 pernet 하위 시스템을 등록하면 해당 확장에서 잠금 충돌이 발생할 수 있었습니다. 그 결과 커널이라고 하는 modprobe 명령이 중단됩니다. 또한 iptables 명령을 실행하는 libvirtd 와 같은 다른 서비스로 인해 발생할 수 있습니다. 이 문제는 해결되었습니다. 결과적으로 nft_compat 모듈로 iptables 확장 모듈을 로드해도 더 이상 중단되지 않습니다.

(BZ#1757933)

서비스가 중지되면 firewalld 서비스에서 ipsets 를 제거합니다.

이전에는 firewalld 서비스를 중지해도 ipsets 가 제거되지 않았습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 firewalld 가 중지된 후 ipsets 는 더 이상 시스템에 남아 있지 않습니다.

(BZ#1790948)

firewalld 는 종료 후 더 이상 ipset 항목을 유지하지 않습니다

이전에는 firewalld 를 종료해도 ipset 항목이 제거되지 않았습니다. 그 결과 firewalld 서비스를 중지한 후에도 ipset 항목이 커널에서 활성 상태로 유지되었습니다. 이번 수정으로 firewalld 를 종료하면 ipset 항목이 예상대로 제거됩니다.

(BZ#1682913)

firewalld 가 다시 로드한 후 ipset 항목을 복원합니다

이전에는 firewalld 를 다시 로드한 후 런타임 ipset 항목이 유지되지 않았습니다. 결과적으로 사용자는 누락된 항목을 수동으로 다시 추가해야 했습니다. 이번 업데이트를 통해 다시 로드한 후 ipset 항목을 복원하도록 firewalld 가 수정되었습니다.

(BZ#1809225)

nftablesfirewalld 서비스가 함께 사용할 수 없습니다.

이전에는 nftablesfirewalld 서비스를 동시에 활성화할 수 있었습니다. 그 결과 nftablesfirewalld 규칙 세트를 재정의했습니다. 이번 업데이트를 통해 이제 nftablesfirewalld 서비스가 상호 배타되어 동시에 활성화할 수 없습니다.

(BZ#1817205)

5.4.6. 커널

huge_page_setup_helper.py 스크립트가 올바르게 작동합니다.

Python 3용 huge_page_setup_helper.py 스크립트를 업데이트한 패치가 실수로 제거되었습니다. 그 결과 huge_page_setup_helper.py 를 실행하면 다음과 같은 오류 메시지가 표시됩니다.

SyntaxError: Missing parentheses in call to 'print'

이번 업데이트를 통해 libhugetlbfs.spec 파일을 업데이트하여 문제가 해결되었습니다. 결과적으로 huge_page_setup_helper.py 는 설명된 시나리오에 오류가 표시되지 않습니다.

(BZ#1823398)

대량의 영구 메모리 부팅이 시간 초과 없이 더 빠르고 빠른 시스템

메모리가 많은 시스템은 원래 소스 코드가 노드당 하나의 초기화 스레드만 허용했기 때문에 부팅하는 데 시간이 오래 걸렸습니다. 예를 들어 4-노드 시스템의 경우 4개의 메모리 초기화 스레드가 있었습니다. 결과적으로 /etc/fstab 파일에 나열된 영구 메모리 파일 시스템이 있는 경우 시스템을 사용할 수 있을 때까지 대기하는 동안 시스템이 시간 초과될 수 있었습니다. 이번 업데이트를 통해 소스 코드에서 단일 노드 내에서 여러 메모리 초기화 스레드를 허용할 수 있기 때문에 문제가 해결되었습니다. 결과적으로 시스템이 더 빠르게 부팅되고 설명된 시나리오에 시간 초과가 표시되지 않습니다.

(BZ#1666538)

Bcc 스크립트가 BPF 모듈을 성공적으로 컴파일합니다.

BPF(Berkeley Packet Filter) 모듈을 생성하기 위한 스크립트 코드 컴파일 중에 bcc 툴킷은 데이터 유형 정의에 커널 헤더를 사용했습니다. 일부 커널 헤더에는 KBUILD_MODNAME 매크로를 정의해야 했습니다. 결과적으로 KBUILD_MODNAME 을 추가하지 않은 bcc 스크립트는 다양한 CPU 아키텍처에서 BPF 모듈을 컴파일하지 못할 가능성이 있었습니다. 다음 bcc 스크립트에 영향을 받았습니다.

  • bindsnoop
  • sofdsnoop
  • solisten
  • tcpaccept
  • TCPConnect
  • tcpconnlat
  • tcpdrop
  • tcpretrans
  • tcpsubnet
  • tcptop
  • tcptracer

이번 업데이트를 통해 bcc 의 기본 cflags 매개 변수에 KBUILD_MODNAME 을 추가하여 문제가 해결되었습니다. 따라서 이 문제는 설명된 시나리오에 더 이상 나타나지 않습니다. 또한 고객 스크립트에서 KBUILD_MODNAME 을 자체적으로 정의할 필요가 없습니다.

(BZ#1837906)

bcc-toolsbpftrace 는 IBM Z에서 제대로 작동합니다.

이전에는 기능 백포트에서 ARCH_HAS_NON_OVERLAPPING_ADDRESS_SPACE 커널 옵션을 도입했습니다. 그러나 IBM Z 아키텍처용 bcc-tools 패키지 및 bpftrace 추적 언어 패키지는 이 옵션을 올바르게 지원하지 않았습니다. 그 결과 잘못된 인수 예외로 bpf() 시스템 호출에 실패했습니다. bpftrace 는 BPF 프로그램을 로드하려고 할 때 오류 로드 프로그램 오류로 실패했습니다. 이번 업데이트를 통해 이제 ARCH_HAS_NON_OVERLAPPING_ADDRESS_SPACE 옵션이 제거되었습니다. 따라서 설명된 시나리오에 더 이상 문제가 나타나지 않습니다.

(BZ#1847837, BZ#1853964)

엔트로피 부족으로 인해 부팅 프로세스가 더 이상 실패하지 않습니다

이전에는 엔트로피 부족으로 인해 부팅 프로세스가 실패했습니다. 이제 더 나은 메커니즘을 사용하여 커널이 하드웨어별 인터럽트에 의존하지 않는 부팅 프로세스 초기에 엔트로피를 수집할 수 있습니다. 이번 업데이트에서는 초기 부팅 시 임의 생성 보안을 위해 충분한 엔트로피의 가용성을 보장하여 문제를 해결합니다. 결과적으로 수정으로 킥스타트 시간 초과 또는 느린 부팅이 방지되고 부팅 프로세스가 예상대로 작동합니다.

(BZ#1778762)

kexec 를 사용하여 반복 재부팅이 예상대로 작동합니다

이전에는 Amazon EC2 Nitro 플랫폼에서 커널 재부팅 중에 커널 실행 경로를 shutdown() 호출하는 동안 remove 모듈(rmmod)이 호출되지 않았습니다. 결과적으로 kexec 시스템 호출을 사용하여 반복된 커널이 재부팅되어 오류가 발생했습니다. 이번 업데이트를 통해 안전한 커널 실행을 허용하는 PCI shutdown() 핸들러를 추가하여 문제가 해결되었습니다. 결과적으로 Amazon EC2 Nitro 플랫폼에서 kexec 를 사용하여 반복적으로 재부팅할 수 없습니다.

(BZ#1758323)

덤프 대상으로 vPMEM 메모리를 사용하여 반복적으로 재부팅할 수 있습니다. 이제 예상대로 작동합니다.

이전 버전에서는 vPMEM(Virtual Persistent Memory) 네임스페이스를 kdump 또는 fadump 의 덤프 대상으로 사용하여 papr_scm 모듈에서 vPMEM에서 지원하는 메모리를 매핑하고 다시 매핑하고 메모리를 선형 맵에 다시 추가했습니다.

그 결과 이 동작으로 인해 POWER Hypervisor에 HCalls(HCalls)가 트리거되었습니다. 결과적으로 캡처 커널 부팅 속도가 느려지고 덤프 파일을 저장하는 데 시간이 오래 걸립니다. 이번 업데이트에서는 문제가 해결되어 설명된 시나리오에서 부팅 프로세스가 예상대로 작동합니다.

(BZ#1792125)

ICE 드라이버 NIC 포트를 모드 5 본딩 마스터 인터페이스에 추가하려고 하면 더 이상 실패하지 않습니다

이전 버전에서는 모드 5(밸런싱)본딩 마스터 인터페이스에 ICE 드라이버 NIC 포트를 추가하면 Master 'bond0', Slave 'ens1f0' 오류가 발생했습니다. 오류: enslave failed. 결과적으로 NIC 포트를 본딩 마스터 인터페이스에 추가하는 간헐적인 오류가 발생했습니다. 이번 업데이트에서는 문제가 해결되어 인터페이스가 더 이상 실패하지 않습니다.

(BZ#1791664)

cxgb4 드라이버가 더 이상 kdump 커널에서 충돌하지 않습니다

이전에는 vmcore 파일에 정보를 저장하는 동안 kdump 커널이 충돌했습니다. 결과적으로 cxgb4 드라이버는 kdump 커널이 나중에 분석을 위해 코어를 저장하는 것을 방지했습니다. 이 문제를 해결하려면 핵심 파일을 저장할 수 있도록 kdump 커널 명령줄에 novmcoredd 매개변수를 추가합니다.

RHSA-2020:1769 권고가 릴리스되면서 kdump 커널은 이 상황을 올바르게 처리하고 더 이상 충돌하지 않습니다.

(BZ#1708456)

5.4.7. 고가용성 및 클러스터

Filesystem 에이전트와 함께 GFS2 파일 시스템을 사용하면 fast_stop 옵션이 기본적으로 no로 설정됩니다.

이전에는 Filesystem 에이전트와 함께 GFS2 파일 시스템을 사용할 때 fast_stop 옵션이 기본적으로 yes 로 설정되었습니다. 이 값으로 인해 GFS2 파일 시스템을 마운트 해제하는 데 걸리는 시간으로 인해 불필요한 펜스 이벤트가 발생할 수 있습니다. 이번 업데이트를 통해 이 옵션은 기본적으로 no 로 설정됩니다. 다른 모든 파일 시스템의 경우 기본값은 yes 입니다.

(BZ#1814896)

fence_computefence_evacuate 에이전트가 안전하지 않은 옵션을 더 표준적으로 해석합니다.

이전에는 fence_computefence_evacuate 에이전트가 기본적으로 --insecure 가 지정된 것처럼 작동했습니다. 이번 업데이트를 통해 컴퓨팅 또는 비우기 서비스에 유효한 인증서를 사용하지 않는 고객은 CLI에서 수동으로 실행할 때 insecure=true 를 설정하고 --insecure 옵션을 사용해야 합니다. 이는 다른 모든 에이전트의 동작과 일치합니다.

(BZ#1830776)

5.4.8. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

libdb에 의한 최적화된 CPU 사용

libdb 데이터베이스에 대한 이전 업데이트로 인해 복잡한 스레드에서 과도한 CPU 사용량이 발생했습니다. 이번 업데이트를 통해 CPU 사용량이 최적화되었습니다.

(BZ#1670768)

do _you_mean Ruby gem에는 더 이상 상용 라이센스가 없는 파일이 포함되어 있지 않습니다.

이전에는 ruby:2.5 모듈 스트림에서 사용할 수 있는 do _you_mean gem에 상용화되지 않은 라이센스가 있는 파일이 포함되어 있었습니다. 이번 업데이트에서는 영향을 받는 파일이 제거됩니다.

(BZ#1846113)

Nginx 는 이제 PKCS#11 URI를 통해 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 있습니다.

nginx 웹 서버의 ssl_certificate 지시문은 PKCS#11 모듈에서 직접 하드웨어 보안 토큰에서 TLS 서버 인증서 로드를 지원합니다. 이전에는 PKCS#11 URI를 통해 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없었습니다.

(BZ#1668717)

5.4.9. 컴파일러 및 개발 도구

DT_FILTER 를 사용하고 생성자가 있는 공유 라이브러리를 로드하는 동안 glibc 동적 로더가 더 이상 실패하지 않습니다.

이 업데이트 이전에는 필터와 생성자가 있는 공유 라이브러리를 로드하는 동안 필터로 공유 개체의 동적 로더 구현에 결함이 발생하여 동적 로더가 실패했습니다. 이번 릴리스에서는 이러한 공유 라이브러리를 올바르게 처리하도록DT_FILTER(DT_FILTER)의 동적 로더 구현이 수정되었습니다. 그 결과 동적 로더가 이제 언급된 시나리오에서 예상대로 작동합니다.

(BZ#1812756)

glibc 에서 getmntent() 목록에서 의사 마운트를 제거할 수 있음

커널에는 사용자 공간에 노출된 테이블에 automount pseudo-entries가 포함됩니다. 결과적으로 getmntent() API를 사용하는 프로그램은 목록의 일반 마운트와 이러한 의사 마운트를 모두 확인합니다. 의사 마운트는 실제 마운트에 일치하지 않으며 유효한 정보를 포함하지 않습니다.

이번 업데이트를 통해 mount 항목에 automount(8) 설정에 ignore 마운트 옵션이 있는 경우 glibc 라이브러리는 이제 getmntent() 목록에서 이러한 의사 마운트를 제거합니다. 이전 동작이 예상되는 프로그램은 다른 API를 사용해야 합니다.

(BZ#1743445)

IBM Z에서 movv1qi 패턴이 더 이상 자동 검사 코드에서 잘못 컴파일되지 않습니다.

이번 업데이트 이전에는 movv1qi 패턴에 대해 잘못된 로드 지침이 생성되었습니다. 그 결과 자동 벡터가 적용된 경우 IBM Z 시스템에서 잘못된 컴파일이 발생할 수 있었습니다. 이번 업데이트에서는 movv1qi 패턴이 수정되어 결과적으로 코드 컴파일이 수정되어 이제 올바르게 실행됩니다.

(BZ#1784758)

PAPI_event_name_to_code() 가 여러 스레드에서 올바르게 작동합니다

이번 업데이트 이전에는 PAPI 내부 코드가 스레드 조정을 올바르게 처리하지 않았습니다. 그 결과 여러 스레드가 PAPI_event_name_to_code() 작업을 사용하는 경우 경쟁 조건이 발생하고 작업이 실패했습니다. 이번 업데이트에서는 PAPI 내부 코드의 여러 스레드 처리가 향상되었습니다. 결과적으로 PAPI_event_name_to_code() 작업을 사용하는 다중 스레드 코드가 올바르게 작동합니다.

(BZ#1807346)

IBM Power Systems에서 glibc 수학 기능에 대한 성능 개선

이전에는 glibc 수학 기능이 IBM Power Systems에서 불필요한 부동 소수점 상태 업데이트 및 시스템 호출을 수행했기 때문에 성능에 부정적인 영향을 미쳤습니다. 이번 업데이트에서는 불필요한 부동 소수점 상태 업데이트를 제거하고 다음과 같은 구현을 개선합니다. ceil(), ce ilf(), fe getmode(), fe setmode(), fe setenv(), fe getexcept(), fee nableexcept(), fe disablexcept(), fe getround()fesetround(). 그 결과 IBM Power Systems에서 수학 라이브러리의 성능이 향상되었습니다.

(BZ#1783303)

메모리 보호 키가 IBM Power에서 지원

IBM Power Systems에서 메모리 보호 주요 인터페이스 pkey_setpkey_get 은 이전에는 스텁 기능이므로 항상 실패했습니다. 이번 업데이트에서는 인터페이스를 구현하고 결과적으로 GNU C 라이브러리(glibc)에서 IBM Power Systems의 메모리 보호 키를 지원합니다.

메모리 보호 키에는 현재 해시 기반 MMU(메모리 관리 단위)가 필요하므로 disable_radix 커널 매개 변수를 사용하여 특정 시스템을 부팅해야 할 수 있습니다.

(BZ#1642150)

papi-testsuitepapi-devel 이 필수 papi-libs 패키지를 설치합니다.

이전에는 papi-testsuitepapi-devel RPM 패키지가 일치하는 papi-libs 패키지에 종속성을 선언하지 않았습니다. 결과적으로 테스트를 실행할 수 없어 개발자에게 애플리케이션에 사용할 수 있는 필수 버전의 papi 공유 라이브러리가 없었습니다.

이번 업데이트를 통해 사용자가 papi-testsuite 또는 papi-devel 패키지를 설치할 때 papi-libs 패키지도 설치됩니다. 결과적으로 papi-testsuite 에 테스트를 실행할 수 있는 올바른 라이브러리가 있으며 papi-devel 을 사용하는 개발자가 실행 파일을 papi 공유 라이브러리의 적절한 버전과 연결합니다.

(BZ#1664056)

여러 아키텍처에 lldb 패키지를 설치해도 더 이상 파일 충돌이 발생하지 않습니다.

이전에는 lldb 패키지가 아키텍처와 독립된 위치에 아키텍처 종속 파일을 설치했습니다. 결과적으로 32비트 및 64비트 버전의 패키지를 모두 설치하면 파일 충돌이 발생했습니다. 이번 업데이트에서는 올바른 아키텍처 종속 위치에 파일을 패키징합니다. 그 결과 설명된 시나리오에 lldb 설치가 성공적으로 완료됩니다.

(BZ#1841073)

getaddrinfo 에서 메모리 할당 실패를 올바르게 처리합니다.

이전 버전에서는 메모리 할당 실패 후 GNU C 라이브러리 glibcgetaddrinfo 함수에서 내부 확인자 컨텍스트를 릴리스하지 않았습니다. 그 결과 getaddrinfo 에서 호출 스레드의 나머지 수명 동안 /etc/resolv.conf 파일을 다시 로드할 수 없어 메모리 누수가 발생할 수 있었습니다.

이번 업데이트에서는 확인자 컨텍스트에 대한 추가 릴리스 작업을 사용하여 오류 처리 경로를 수정합니다. 결과적으로 getaddrinfo 는 간헐적인 메모리 할당 실패 후에도 새 구성 값으로 /etc/resolv.conf 를 다시 로드합니다.

(BZ#1810146)

Gli bc는 IFUNC 확인자 순서로 인한 특정 오류를 방지합니다.

이전 버전에서는 GNU C Library glibc librt 및 libpthread 라이브러리 구현에 clock_gettime, clock_getcpuclockid, clock_nanosleep,clock_settime ,vfork 등의 함수에 대한 간접 함수(IFUNC) 확인자가 포함되어 있었습니다. 경우에 따라 IFUNC 확인자가 librt 및 lib pthread 라이브러리를 재배치하기 전에 실행될 수 있었습니다. 그 결과 초기 프로그램을 시작하는 동안 glibc 동적 로더에서 애플리케이션이 실패했습니다.

이번 릴리스에서는 이러한 기능의 구현이 glibclibc 구성 요소로 이동되어 설명된 문제가 발생하지 않습니다.

(BZ#1748197)

pthread_create중에 어설션 실패가 더 이상 발생하지 않습니다

이전에는 glibc 동적 로더가 내부 스레드 로컬 스토리지(TLS) 모듈 ID 카운터의 변경 사항을 롤백하지 않았습니다. 결과적으로 dlopen 함수가 특정 방식으로 실패한 후 pthread_create 함수의 어설션 오류가 발생할 수 있었습니다. 이번 수정으로 glibc 동적 로더는 특정 오류가 더 이상 발생하지 않으면 나중에 TLS 모듈 ID 카운터를 업데이트합니다. 결과적으로 어설션 오류가 더 이상 발생하지 않습니다.

(BZ#1774115)

glibc 에서 nss_db를 사용하여 32비트 애플리케이션에 대한 올바른 종속성을 설치합니다.

이전에는 nss_db.x86_64 패키지에서 nss_db.i686 패키지에 대한 종속성을 선언하지 않았습니다. 따라서 자동 설치는 32비트 환경의 glibc .i686을 설치했지만 시스템에 nss_db.i686 을 설치하지 않았습니다. 결과적으로 nss_db 를 사용하는 32비트 애플리케이션은 정확한 사용자 데이터베이스 조회를 수행하지 못하고 동일한 설정의 64비트 애플리케이션이 올바르게 작동합니다.

이번 업데이트를 통해 glibc 패키지가 시스템에 glibc.i686 및 nss_db를 모두 설치할 때 nss_db.i686 패키지 설치를 트리거하는 약한 종속성이 추가되었습니다. 결과적으로 시스템 관리자가 nss_db. i686 패키지를 명시적으로 설치하지 않은 경우에도 nss_db 를 사용하는 32비트 애플리케이션이 올바르게 작동합니다.

(BZ#1807824)

Odia 언어로 업데이트 된 glibc 로케일 정보

이전에 오리사로 알려진 인도의 이름은 오디하(Odisha)로 바뀌었으며 공식 언어의 이름이 오리야에서 오디아어로 바뀌었습니다. 이번 업데이트를 통해 glibc 로케일 정보는 언어의 새 이름을 반영합니다.

(BZ#1757354)

LLVM 하위 패키지가 아카이브 종속 위치에 아카이브 종속 파일을 설치합니다

이전에는 LLVM 하위 패키지가 아카이브 독립된 위치에 아카이브 종속 파일을 설치했습니다. 이로 인해 32 및 64비트 버전의 LLVM을 설치할 때 충돌이 발생했습니다. 이번 업데이트를 통해 이제 패키지 파일이 아카이브 종속 위치에 올바르게 설치되어 버전 충돌이 발생하지 않습니다.

(BZ#1820319)

암호 및 그룹 조회가 더 이상 glibc에서 실패하지 않습니다

이전에는 glibc 라이브러리의 nss_compat 모듈에서 암호 및 그룹 항목을 처리하는 동안 잘못된 오류 코드로 errno 상태를 덮어씁니다. 이로 인해 애플리케이션에서 버퍼의 크기를 예상대로 조정하지 않아 암호 및 그룹 조회가 실패했습니다. 이번 업데이트에서는 문제가 해결되어 이제 조회가 예상대로 완료됩니다.

(BZ#1836867)

5.4.10. IdM (Identity Management)

SSSD는 기본적으로 와일드카드 문자로 모든 규칙을 더 이상 다운로드하지 않습니다

이전에는 ldap_sudo_include_regexp 옵션이 기본적으로 true 로 잘못 설정되었습니다. 결과적으로 SSSD가 SSSD 규칙 업데이트 후 또는 SSSD에서 sudoHost 속성에 와일드카드 문자(*)가 포함된 모든 규칙을 다운로드했습니다. 이번 업데이트에서는 버그가 수정되어 ldap_sudo_include_regexp 옵션이 기본적으로 false 로 올바르게 설정됩니다. 따라서 설명된 문제가 더 이상 발생하지 않습니다.

(BZ#1827615)

krb5 는 이제 허용된 암호화 유형만 요청합니다.

이전 버전에서는 default_ tgs _enctypes 또는 default_ tkt_enctypes 속성이 설정되지 않은 경우 /etc/krb5.conf 파일의 allowed 암호화 유형에 지정된 암호화 유형이 기본 암호화 유형에 적용되지 않았습니다. 결과적으로 Kerberos 클라이언트는 RC4와 같이 더 이상 사용되지 않는 암호화 제품군을 요청할 수 있었기 때문에 다른 프로세스가 실패할 수 있었습니다. 이번 업데이트를 통해 allowed _enctypes 변수에 지정된 암호화 유형이 기본 암호화 유형에도 적용되고 허용된 암호화 유형만 요청됩니다.

RHEL 8에서 더 이상 사용되지 않는 RC4 암호화 제품군은 AD 포리스트의 사용자, 서비스 및 신뢰에 대한 기본 암호화 유형입니다.

(BZ#1791062)

KDC가 LDAP 백엔드의 암호 수명 정책을 올바르게 적용

이전에는 Kerberos LDAP 백엔드가 암호 정책을 잘못 적용했기 때문에 비IPA Kerberos 배포 센터(KDC)가 최대 암호 수명이 보장되지 않았습니다. 이번 업데이트를 통해 Kerberos LDAP 백엔드가 수정되었으며 암호 라이프사이클이 예상대로 작동합니다.

(BZ#1784655)

SSSD를 사용하여 AD 클라이언트에 전송된 암호 만료 알림

이전에는 Kerberos 자격 증명을 취득하기 위한 SSSD 인터페이스가 최근 변경되어 SSSD를 사용하는 Active Directory 클라이언트(IdM)가 암호 만료 알림이 전송되지 않았습니다.

Kerberos 인터페이스가 업데이트되어 이제 만료 알림이 올바르게 전송됩니다.

(BZ#1820311)

간접 COS 정의를 사용할 때 디렉터리 서버가 더 이상 메모리를 유출하지 않습니다

이전에는 COS(서비스로서의 클래스) 정의를 처리한 후 Directory Server에서 간접 COS 정의를 사용하는 각 검색 작업에 대해 메모리가 누수되었습니다. 이번 업데이트를 통해 Directory Server를 처리한 후 데이터베이스 항목과 관련된 모든 내부 COS 구조를 사용할 수 있습니다. 결과적으로 간접 COS 정의를 사용할 때 서버에서 더 이상 메모리가 유출되지 않습니다.

(BZ#1816862)

AD 사용자의 ID 덮어쓰기를 추가하는 것이 IdM 웹 UI에서 작동합니다.

이전 버전에서는 IdM 웹 UI를 사용할 때 관리 역할에 대한 액세스 권한을 부여하는 데 실패하기 위해 Default Trust View의 IdM(Identity Management) 그룹에 AD(Active Directory) 사용자가 ID 덮어쓰기를 추가했습니다. 이번 업데이트에서는 버그가 수정되었습니다. 결과적으로 이 시나리오에서 웹 UI와 IdM CLI(명령줄 인터페이스)를 모두 사용할 수 있습니다.

(BZ#1651577)

freeraduna는 패키지 설치 중에 더 이상 인증서를 생성하지 않습니다.

이전에는 FreeRADIUS에서 패키지를 설치하는 동안 인증서를 생성했기 때문에 다음과 같은 문제가 발생했습니다.

  • Kickstart를 사용하여 FreeRADIUS가 설치된 경우 시스템에 엔트로피가 충분하지 않은 경우 인증서가 생성되어 설치에 실패하거나 보안 인증서가 줄어듭니다.
  • 패키지 설치가 대상 시스템이 아닌 빌더 시스템에서 수행되므로 패키지 설치는 컨테이너와 같은 이미지의 일부로 빌드하기 어려웠습니다. 이미지에서 생성된 모든 인스턴스에는 동일한 인증서 정보가 있습니다.
  • 인증서를 제거하고 수동으로 다시 생성해야 하므로 최종 사용자가 해당 환경에서 간단한 VM을 생성하기가 어려웠습니다.

이번 업데이트를 통해 FreeRADIUS 설치가 더 이상 자체 서명된 기본 CA 인증서 또는 하위 CA 인증서를 생성하지 않습니다. FreeRADIUS가 systemd 를 통해 시작될 때 :

  • 필요한 인증서가 모두 없으면 기본 인증서 집합이 생성됩니다.
  • 하나 이상의 예상 인증서가 있는 경우 새 인증서를 생성하지 않습니다.

(BZ#1672285)

freeraduna에서 FIPS 호환 Diffie-Hellman 매개변수 생성

openssldhparam 을 통해 Diffie-Hellman (dh) 매개 변수를 생성할 수 없는 새로운 FIPS 요구 사항으로 인해 dh 매개변수 생성은 FreeRADIUS 부트스트랩 스크립트 및 파일에서 제거되었습니다. rfc3526-group-18-8192.dhparam 은 모든 시스템의 FreeRADIUS 패키지에 포함되어 FreeRADIUS가 FIPS 모드에서 시작되도록 합니다.

필요한 경우 /etc/raddb/certs/bootstrap 및 /etc/ raddb/certs/Makefile 을 사용자 지정하여 DH 매개 변수 생성을 복원할 수 있습니다.

(BZ#1859527)

이제 상태 점검이 업데이트되어 ipa-healthcheck-core 및 ipa-healthcheck 가 모두 올바르게 업데이트됩니다.

이전에는 yum update healthcheck 를 입력해도 ipa-healthcheck 패키지가 업데이트되지 않았지만 ipa-healthcheck-core 패키지로 교체되었습니다. 결과적으로 업데이트 후 ipa-healthcheck 명령이 작동하지 않았습니다.

이번 업데이트에서는 버그가 수정되어 ipa-healthcheck 패키지와 ipa- healthcheck- core 패키지 모두 올바르게 업데이트됩니다. 그 결과 업데이트 후 Healthcheck 도구가 올바르게 작동합니다.

(BZ#1852244)

5.4.11. 그래픽 인프라

하이브리드 Nvidia GPU가 있는 랩톱이 이제 일시 중지에서 재개됩니다.

이전에는 no office 그래픽 드라이버가 절전 모드의 특정 노트북에서 하이브리드 Nvidia GPU를 작동할 수 없는 경우가 있었습니다. 이로 인해 노트북이 일시 중단되지 않았습니다.

이번 업데이트를 통해 런타임 전원 관리(runpm) 시스템의 여러 문제가 수정되었습니다. 결과적으로 하이브리드 그래픽이 있는 노트북이 이제 일시 중지에서 재개될 수 있습니다.

(JIRA:RHELPLAN-57572)

5.4.12. 가상화

기본 CPU 모델을 사용하여 가상 머신 마이그레이션이 보다 안정적으로 작동합니다.

이전 버전에서는 VM(가상 머신)이 특정 CPU 모델 없이 생성되면 QEMU에서 libvirt 서비스에 표시되지 않는 기본 모델을 사용했습니다. 결과적으로 VM을 VM의 기본 CPU 모델을 지원하지 않는 호스트로 마이그레이션하여 마이그레이션 후 게스트 OS에서 충돌 및 잘못된 동작이 발생하는 경우가 있었습니다.

이번 업데이트를 통해 libvirt 는 VM의 XML 구성에서 qemu64 모델을 기본값으로 명시적으로 사용합니다. 결과적으로 사용자가 기본 CPU 모델을 사용하여 VM을 해당 모델을 지원하지 않는 호스트로 마이그레이션하려고 하면 libvirt 에서 오류 메시지를 올바르게 생성합니다.

그러나 Red Hat은 VM에 특정 CPU 모델을 사용할 것을 강력히 권장합니다.

(JIRA:RHELPLAN-45906)

5.4.13. 컨테이너

Podman을 사용한 FIPS 지원에 대한 참고 사항

FIPS(Federal Information Processing Standard)를 사용하려면 인증된 모듈을 사용해야 합니다. 이전에는 Podman이 시작 시 적절한 플래그를 활성화하여 컨테이너에 인증된 모듈을 올바르게 설치했습니다. 그러나 이 릴리스에서 Podman은 FIPS 시스템 전체의 crypto-policy 형태로 시스템에서 일반적으로 제공하는 추가 애플리케이션 도우미를 올바르게 설정하지 않습니다. 인증된 모듈에는 시스템 전체의 crypto-policy를 설정할 필요가 없지만 호환 방식으로 crypto 모듈을 사용하는 애플리케이션의 능력을 향상합니다. 이 문제를 해결하려면 다른 애플리케이션 코드가 실행되기 전에 update-crypto-policies --set FIPS 명령을 실행하도록 컨테이너를 변경합니다. 이 수정에서는 update-crypto-policies --set FIPS 명령이 더 이상 필요하지 않습니다.

(BZ#1804193)

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.