6.2. 보안

OpenSSL EC 서명에서 제거된 시간 제한 없는 코드 경로

이전에는 OpenSSL이 ECDSA(Eliptic Curve Digital Signature Algorithm) 서명에 일관되지 않은 시간 코드 경로를 사용했습니다. 이로 인해 Minerva 공격과 유사한 공격에 서명 작업이 노출되었을 수 있으며 잠재적으로 개인 키가 노출될 수 있습니다. 이번 업데이트에서는 OpenSSL EC 서명에서 일치하지 않는 시간 코드 경로가 제거되어 더 이상 이 취약점이 발생하지 않습니다.

SELinux 정책에 npm에 올바르게 레이블을 지정

이전에는 npm 서비스 실행 파일에 일반 lib_t SELinux 유형으로 레이블이 지정되었습니다. 결과적으로 npm 을 실행할 수 없었습니다. 이번 업데이트에서는 npm 실행 파일이 SELinux 정책에서 bin_t 유형으로 명시적으로 레이블이 지정되었습니다. 결과적으로 npm 서비스가 성공적으로 시작되고 unconfined_service_t 도메인에서 실행됩니다.

SELinux 정책은 sudo를 통해 입력/출력 로그 디렉토리를 정의하는 sysadm_r 사용자에 대한 규칙을 추가합니다.

이전에는 SELinux 정책에 iolog_dir 옵션이 sudo 구성에 정의된 경우 제한된 관리자가 명령을 실행하여 sudo 를 사용하여 입력/출력 로그 디렉토리를 지정할 수 있는 규칙이 없었습니다. 결과적으로 sysadm_r 역할의 제한된 관리자는 sudo 와 iolog_dir 옵션을 사용하여 명령을 실행할 수 없었습니다. 이번 업데이트에서는 SELinux 정책에 규칙이 추가되어 sysadm_r 사용자는 iolog_dir 과 함께 sudo 를 사용하여 명령을 실행할 수 있습니다.

이제 부팅 중에 /proc 에 대한 감사 규칙이 올바르게 로드됨

이번 업데이트 이전에는 부팅 단계에서 시스템이 /proc 디렉터리에 대한 감사 감시 규칙을 로드하지 못했습니다. 그 결과 관리자가 나중에 수동으로 규칙을 로드해야 했으며, 부팅 중에 규칙이 적용되지 않았습니다. 버그가 수정되었으며 이제 시스템이 부팅 단계에서 /proc 과 관련된 감사 규칙을 로드합니다.

변경 불가능한 모드에서 감사로 인해 auditd 가 더 이상 시작되지 않음

이전 버전에서는 -e 2 규칙을 추가하여 감사 시스템이 변경 불가능한 모드로 설정된 경우, auditd 서비스를 다시 시작하거나 augenrules --load 명령을 실행할 때 augenrules 명령이 0 대신 반환 코드 1로 종료되었습니다. 결과적으로 시스템은 반환 코드 1을 오류로 해석하므로 부팅 시 auditd 가 시작되지 않습니다. 이번 업데이트를 통해 감사가 변경 불가능한 모드로 설정된 경우 augenrules 가 0 반환 코드로 종료되고 이 시나리오에서는 시스템이 auditd 를 올바르게 시작할 수 있습니다.

IPsec 온 디맨드 연결이 더 이상 설정되지 않음

이전에는 TCP 프로토콜을 사용하여 온 디맨드 옵션과 IPsec 연결이 설정되면 연결에 실패했습니다. 이번 업데이트를 통해 새로운 Libreswan 패키지는 초기 IKE 협상이 TCP를 통해 완료되도록 합니다. 결과적으로 Libreswan은 IKE 협상의 TCP 모드에서도 연결을 성공적으로 설정합니다.

update-ca-trust 추출 이 더 이상 긴 이름으로 인증서를 추출하지 못했습니다

신뢰 저장소에서 인증서를 추출할 때 신뢰 툴은 내부적으로 인증서의 오브젝트 레이블에서 파일 이름을 파생합니다. 충분한 레이블의 경우 결과 경로가 시스템의 최대 파일 이름 길이를 초과했을 수 있었습니다. 결과적으로 신뢰 툴에서 시스템의 최대 파일 이름 길이를 초과하는 이름으로 파일을 생성하지 못했습니다. 이번 업데이트를 통해 파생된 이름은 항상 255자 내에서 잘립니다. 결과적으로 인증서의 오브젝트 레이블이 너무 길면 파일 생성이 실패하지 않습니다.