第 5 章 程序错误修复

shlibsign 现在可以在 FIPS 模式下正常工作

在此更新之前，shlibsign 程序在 FIPS 模式下无法正常工作。因此，当您在 FIPS 模式下重新构建 NSS 库时，您必须离开 FIPS 模式才能对库进行签名。程序已被修复，您现在可以在 FIPS 模式下使用 shlibsign。

审计现在加载引用 /usr/lib/modules/的规则

在此次更新之前，当 auditd.service 的 ProtectKernelModules 选项设为 true 时，审计子系统不会加载引用 /usr/lib/modules/ 目录中文件的规则，并带有错误消息 Error send add rule data request (No such file or directory)。在这个版本中，审计也会加载这些规则，您不再需要使用 auditctl -R 或 augenrules --load 命令重新载入规则。

update-ca-trust extract 不再无法提取具有长名称的证书

从信任存储中提取证书时，信任 工具内部从证书的对象标签生成文件名。对于足够长的标签，生成的路径可能之前已超过系统的最大文件名长度。因此，trust 工具无法创建具有超过系统的最大文件名长度的文件。有了此更新，派生的名称总是被截断为 255 个字符以内。因此，当证书的对象标签太长时，文件创建不会失败。

允许 dac_override 和 dac_read_search 用于添加到 SELinux 策略中的 qemu-guest-agent 的规则

在以前的版本中，SELinux 策略没有允许 qemu-guest-agent 的规则，允许 dac_override 和 dac_read_search 功能。因此，当文件系统挂载点 DAC 权限没有授予用户 root 的访问权限时，释放和修改虚拟机文件系统无法正常工作。在这个版本中，在策略中添加了缺少的规则。因此，fsfreeze 是创建一致快照的重要 qemu-ga 命令，可以正常工作。

OpenSSL 密码套件不再启用带有禁用哈希或 MAC 的密码套件

在以前的版本中，应用自定义加密策略可能会启用特定的 TLS 1.3 密码套件，即使其哈希或 MAC 被禁用，因为 OpenSSL TLS 1.3 特定的 Ciphersuites 选项值仅由加密策略的 cipher 选项控制。在这个版本中，在决定是否启用密码套件时，crypto-policies 会考虑更多的算法。因此，在带有自定义加密策略的系统中 OpenSSL 可能会拒绝根据系统配置更好地协商一些之前启用的 TLS 1.3 密码套件。