7.11. Sicherheit (Maschinenübersetzung)

OpenSCAPrpmverifypackage funktioniert nicht richtig

Die chdirund chrootSystemaufrufe werden von der rpmverifypackageSonde zweimal aufgerufen. Folglich tritt ein Fehler auf, wenn die Sonde während eines OpenSCAP-Scans mit benutzerdefiniertem Inhalt der Open Vulnerability and Assessment Language (OVAL) verwendet wird.

Um dieses Problem zu umgehen, verwenden Sie den rpmverifypackage_testOVAL-Test nicht in Ihren Inhalten oder verwenden Sie nur die Inhalte aus dem scap-security-guidePaket, in dem rpmverifypackage_testsie nicht verwendet werden.

(BZ#1646197)

libssh nicht mit der systemweiten Krypto-Richtlinie übereinstimmt

Die libsshBibliothek folgt nicht den systemweiten kryptographischen Richtlinieneinstellungen. Infolgedessen wird der Satz der unterstützten Algorithmen nicht geändert, wenn der Administrator die Ebene der Krypto-Richtlinien mit dem update-crypto-policiesBefehl ändert.

Um dieses Problem zu umgehen, muss der Satz der beworbenen Algorithmen von jeder Anwendung, die diese verwendetlibssh, individuell eingestellt werden. Wenn das System auf die Richtlinienebene LEGACY oder FUTURE eingestellt ist, libsshverhalten sich Anwendungen, die verwenden, daher inkonsistent im Vergleich zu OpenSSH.

(BZ#1646563)

SCAP Workbench kann keine ergebnisbasierten Korrekturen aus maßgeschneiderten Profilen generieren

Der folgende Fehler tritt auf, wenn versucht wird, mit dem Werkzeug SCAP Workbench aus einem benutzerdefinierten Profil ergebnisbasierte Korrekturrollen zu generieren:

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

Um dieses Problem zu umgehen, verwenden Sie den oscapBefehl mit der --tailoring-fileOption.

(BZ#1640715)

OpenSCAPrpmverifyfile funktioniert nicht

Der OpenSCAP-Scanner ändert das aktuelle Arbeitsverzeichnis nicht korrekt im Offlinemodus, und die fchdirFunktion wird nicht mit den richtigen Argumenten in der OpenSCAP-Sonderpmverifyfile aufgerufen. Folglich schlägt das Scannen beliebiger Dateisysteme mit dem oscap-chrootBefehl fehl, wenn rpmverifyfile_testes in einem SCAP-Inhalt verwendet wird. Infolgedessen wird das beschriebene Szenario oscap-chrootabgebrochen.

(BZ#1636431)

Ein Dienstprogramm für die Sicherheits- und Konformitätsprüfung von Containern ist nicht verfügbar

In Red Hat Enterprise Linux 7 kann das oscap-dockerDienstprogramm zum Scannen von Docker-Containern auf Basis von Atomic-Technologien verwendet werden. In Red Hat Enterprise Linux 8 sind die Docker- und Atom-bezogenen OpenSCAP-Befehle nicht verfügbar. Infolgedessen ist in RHEL 8 derzeit kein gleichwertiges Dienstprogramm für die Sicherheits- und Konformitätsprüfung von Containern verfügbaroscap-docker.

(BZ#1642373)