4.2. 安全性
SCAP 安全指南 rebase 到 0.1.72
SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.72。此版本提供了bug 修正和各种改进,最重要的是:
- CIS 配置文件已被更新为与最新的基准一致。
- PCI DSS 配置文件与 PCI DSS 策略版本 4.0 一致。
- STIG 配置文件与最新的 DISA STIG 策略一致。
如需更多信息,请参阅 SCAP 安全指南发行注记。
Jira:RHEL-25250[1]
OpenSSL 现在包含针对类似 Bleichenbacher 的攻击的保护
这个 OpenSSL TLS 工具包发行版本引入了类似对 RSA PKCS #1 v1.5 解密过程的 Bleichenbacher 攻击的保护。如果 RSA 解密在 PKCS #1 v1.5 解密过程中检测到一个错误,则它现在返回一个随机生成的确定性消息,而不是一个错误。这个变化提供了对漏洞的通用保护,如 CVE-2020-25659 和 CVE-2020-25657。
您可以通过对 RSA 解密上下文调用 EVP_PKEY_CTX_ctrl_str (ctx, "rsa_pkcs1_implicit_rejection"."0") 函数来禁用这个保护,但这会使您的系统更易受攻击。
Jira:RHEL-17689[1]
librdkafka rebase 到 1.6.1
Apache Kafka 协议的 librdkafka 实现已 rebase 到上游版本 1.6.1。这是 RHEL 8 的第一个主功能发行版本。rebase 提供了很多重要的改进和 bug 修复。对于所有相关更改,请参阅 librdkafka 软件包中提供的 CHANGELOG.md 文档。
此更新更改了配置默认值,并弃用了一些配置属性。如需更多详细信息,请参阅 CHANGELOG.md 中的升级注意事项部分。此版本中的 API (C 和 C++)和 ABI © 与旧版本的 librdkafka 兼容,但一些对配置属性的更改可能需要对现有应用程序进行更改。
Jira:RHEL-12892[1]
libkcapi rebase 到 1.4.0
提供对 Linux 内核加密 API 访问的 libkcapi 库已 rebase 到上游版本 1.4.0。更新包括各种改进和 bug 修复,最重要的是:
-
添加了
sm3sum和sm3hmac工具。 -
添加了
kcapi_md_sm3和kcapi_md_hmac_sm3API。 - 添加了 SM4 方便功能。
- 修复了对链接时间优化(LTO)的支持。
- 修复了 LTO 回归测试。
-
修复了对任意大小的
kcapi-enc的 AEAD 加密的支持。
Jira:RHEL-5366[1]
stunnel rebase 到 5.71
stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。此更新更改了 FIPS 模式下 OpenSSL 1.1 及更新版本的行为。如果 OpenSSL 在 FIPS 模式下,且 stunnel 默认 FIPS 配置被设置为 no,则 stunnel 适应 OpenSSL ,且 FIPS 模式被启用。
其他新功能包括:
- 添加了对现代 PostgreSQL 客户端的支持。
-
您可以使用
protocolHeader服务级选项来插入自定义的connect协议协商标头。 -
您可以使用
protocolHost选项控制客户端 SMTP 协议协商 HELO/EHLO 值。 -
添加了对客户端
protocol = ldap的客户端支持。 -
现在,您可以使用服务级
sessionResume选项配置会话恢复。 -
添加了服务器模式下使用
CApath请求客户端证书的支持(以前,只支持使用CAfile)。 - 改进了文件读和日志记录性能。
-
添加了对
retry选项的可配置延迟的支持。 -
在客户端模式下,当设置了
verifyChain时,请求和验证 OCSP 装订。 - 在服务器模式下,始终提供 OCSP 装订。
-
不确定的 OCSP 验证会破坏 TLS 协商。您可以通过设置
OCSPrequire = no来禁用它。
Jira:RHEL-2340[1]
OpenSSH 限制身份验证中的人工延迟
登录失败后 OpenSSH 的响应被人工延迟,以防止用户枚举攻击。此更新引入了一个上限,以便在远程身份验证用时很长(例如在特权访问管理(PAM)处理中)时,这种人工延迟不会过长。
libkcapi 现在提供了一个用于在哈希-和计算中指定目标文件名的选项
这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T,用于在哈希-和计算中指定目标文件名。此选项的值覆盖处理后的 HMAC 文件中指定的文件名。您只能通过 -c 选项使用这个选项,例如:
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15300[1]
audit rebase 到 3.1.2
Linux Audit 系统已更新至版本 3.1.2,与之前发布的版本 3.0.7 相比,它提供了 bug 修复、功能增强和性能改进。主要改进包括:
-
auparse库现在解释未命名的和匿名的套接字。 -
您可以在
ausearch和aureport工具的start和end选项中使用新关键字this-hour。 -
在
auditctl程序中添加了用于信号的用户友好的关键字。 -
改进了对
auparse中损坏的日志的处理。 -
现在,
ProtectControlGroups选项在auditd服务中默认被禁用。 - 对 exclude 过滤器的规则检查已修复。
-
OPENAT2字段的解释已改进。 -
audispd af_unix插件已移到独立的程序。 - Python 绑定已被修改,以防止从 Python API 设置审计规则。这个更改是由于 Simplified Wrapper 和 Interface Generator (SWIG)中的一个 bug 而做的。
Jira:RHEL-15001[1]
