11.5. 인프라 서비스
bind
및 unbound
모두 SHA-1 기반 서명의 검증을 비활성화합니다.
바인딩 및
구성 요소는 모든 RSA/SHA1(알고리치 번호 5) 및 RSASHA1-NSEC3-SHA1(algorithm 번호 7) 서명의 유효성 검사를 비활성화하며 서명에 대한 SHA-1 사용은 DEFAULT 시스템 전체 암호화 정책에서 제한됩니다.
바인딩
되지 않은
결과적으로 SHA-1, RSA/SHA1 및 RSASHA1-NSEC3-SHA1 다이제스트 알고리즘과 서명된 특정 DNSSEC 레코드가 Red Hat Enterprise Linux 9에서 확인하지 못하고 영향을 받는 도메인 이름이 취약해집니다.
이 문제를 해결하려면 RSA/SHA-256 또는 elliptic 곡선 키와 같은 다른 서명 알고리즘으로 업그레이드하십시오.
영향을 받는 도메인 및 영향을 받는 최상위 도메인 목록은 RSASHA1로 서명된 DNSSEC 레코드가 솔루션을 확인하지 못했습니다.
동일한 쓰기 가능 영역 파일이 여러 영역에서 사용되는 경우 named
가 시작되지 않습니다.
BIND에서는 여러 영역에서 동일한 쓰기 가능 영역 파일을 허용하지 않습니다. 결과적으로 구성에 이름이
지정된 서비스에서 수정할 수 있는 파일의 경로를 공유하는 여러 영역이 포함된 경우 named
가 시작되지 않습니다. 이 문제를 해결하려면 in-view
절을 사용하여 여러 뷰 간에 하나의 영역을 공유하고 다른 영역에 다른 경로를 사용해야 합니다. 예를 들어 경로에 보기 이름을 포함합니다.
쓰기 가능한 영역 파일은 일반적으로 DNSSEC에서 유지 관리하는 동적 업데이트, 보조 영역 또는 영역이 있는 영역에서 사용됩니다.
libotr
가 FIPS와 호환되지 않음
OTR(off-the-record) 메시징용 libotr
라이브러리 및 툴킷은 인스턴트 메시징 대화를 위한 엔드 투 엔드 암호화를 제공합니다. 그러나 libotr
라이브러리는 gcry_pk_sign()
및 gcry_pk_verify()
함수를 사용하므로 FIPS(Federal Information Processing Standards)를 준수하지 않습니다. 결과적으로 FIPS 모드에서 libotr
라이브러리를 사용할 수 없습니다.