8.2. 安全性

从 OpenSSL EC 签名中删除了非恒定时间代码路径

在以前的版本中，OpenSSL 为 Elliptic Curve Digital Signature Algorithm (ECDSA)签名使用非恒定时间代码路径。这可能会类似 Minerva 攻击那样向攻击公开签名操作，并可能泄露私钥。此更新删除了 OpenSSL EC 签名中的非恒定时间代码路径，因此不再存在此漏洞。

SELinux 策略正确标记了 npm

在以前的版本中，npm 服务可执行文件使用通用的 lib_t SELinux 类型进行了标记。因此，无法执行 npm。在此更新中，已使用 bin_t 类型在 SELinux 策略中对 npm 可执行文件进行了明确标记。因此，npm 服务成功启动，并在 unconfined_service_t 域中运行。

SELinux 策略为 sysadm_r 用户添加了规则，以通过 sudo 定义输入/输出日志目录

在以前的版本中，当在 sudo 配置中定义了 iolog_dir 选项时，SELinux 策略不包含允许受限的管理员使用 sudo 运行任何指定输入/输出日志目录的命令的规则。因此，sysadm_r 角色中受限的管理员无法通过使用带有 iolog_dir 选项的 sudo 运行命令。此更新在 SELinux 策略中添加了一条规则，因此 sysadm_r 用户可以通过使用带有 iolog_dir 的 sudo 运行命令。

/proc 的审计规则现在在引导过程中可以被正确载入

在此次更新之前，系统无法在引导阶段为 /proc 目录加载审计监视规则。因此，管理员必须稍后手动加载规则，并且无法在引导过程中应用规则。这个 bug 已被修复，系统现在可以在引导阶段将相关的审计规则载入到 /proc 。

在不可变模式下的审计不再阻止 auditd 启动

在以前的版本中，如果通过添加 -e 2 规则将审计系统设置为不可变模式，则在重启 auditd 服务或运行 augenrules --load 命令时，augenrules 命令会以返回码 1 而不是 0 退出。因此，系统会将返回码 1 解释为一个错误，这阻止其在引导时启动 auditd。有了此更新，当审计被设置为不可变模式时，augenrules 以 0 返回码退出，且系统可以在此场景下正确启动 auditd。

IPsec ondemand 连接不再无法建立

在以前的版本中，当使用 TCP 协议设置带有 ondemand 选项的 IPsec 连接时，连接无法建立。有了此更新，新的 Libreswan 软件包确保初始 IKE 协商通过 TCP 完成。因此，Libreswan 可以成功地建立连接，即使在 IKE 协商的 TCP 模式下。

update-ca-trust extract 不再无法提取具有长名称的证书

当从信任库提取证书时，trust 工具会在内部从证书的对象标签派生文件名。对于足够长的标签，生成的路径可能之前已超过系统的最大文件名长度。因此，trust 工具无法创建具有超过系统的最大文件名长度的文件。有了此更新，派生的名称总是被截断为 255 个字符以内。因此，当证书的对象标签太长时，文件创建不会失败。