第 33 章 安全性
带有 ECDSA 支持的 CardOS 5.3 智能卡在 OpenSC 中可以正常工作
在以前的版本中,OpenSC 无法正确解析 CardOS 5.3 智能卡提供的
TokenInfo
信息中的 ECDSA 算法。因此,OpenSC 不会检测到这些卡。TokenInfo
parser 已被更新,现在符合 PKCS IANA 规格。因此,带有 ECDSA 支持的 CardOS 5.3 智能卡在 OpenSC 中可以正常工作。(BZ#1562277)
不合规的智能卡读卡器在 OpenSC 中工作
某些智能卡读卡器实现了不遵循芯片卡接口设备(CCID)规范的 PIN 平板功能。在以前的版本中,OpenSC 检测到此类智能卡读卡器的 PIN 平板,但读卡器无法用于 OpenSC。在这个版本中,OpenSC 中禁用了 PIN 平板检测。因此,可以使用不合规的智能卡读取器,但没有 PIN pad 功能。(BZ#1547117)
pkcs11-tool
工具现在支持机制 ID 并正确处理 ECDSA 密钥
在以前的版本中,
pkcs11-tool
工具错误地处理 EC_POINT
值,并缺少对特定供应商的机制的支持。因此,pkcs11-tool
不支持这些机制和硬件安全模块(HSM)和智能卡中的某些 ECDSA 密钥。在这个版本中,pkcs11-tool
可以正确地处理 EC_POINT
值和特定于厂商的机制。现在,实用程序支持机制 ID 并正确处理 ECDSA 密钥。(BZ#1562572)
OpenSCAP
RPM 验证规则不再可用于虚拟机和容器文件系统
在以前的版本中,
rpminfo
、rpmverify
和 rpmverifyfile
探测不支持离线模式。因此,当以离线模式扫描虚拟机(VM)和容器文件系统时,OpenSCAP
RPM 验证规则无法正常工作。在这个版本中,对离线模式的支持已被修复,在离线模式下扫描虚拟机和容器文件系统的结果不再包含假的负数。(BZ#1556988)
sudo
no longer blocks poll()
for /dev/ptmx
在以前的版本中,当通过启用了 I/O 日志记录的
sudo
运行命令时,在 poll ()
函数执行中偶尔会阻止命令的父进程,等待 /dev/ptmx
文件描述符的事件。因此,会出现死锁,sudo
可能会使命令的进程处于无响应状态。在这个版本中,添加了一个伪终端清理逻辑,sudo 不再会在上述场景中造成死锁。(BZ#1560657)