第12章 セキュリティ

Logjam 脆弱性の観点から、gss-group1-sha1-* キー交換方法は、もう安全であるとは考えられません。このキー交換方法を通常のキー交換として無効にする可能性はありましたが、これを GSSAPI キー交換として無効にすることはできませんでした。今回の更新では、管理者はこの方法や GSSAPI キー交換が使用する他のアルゴリズムを選択的に無効にできます。

これまでは、Red Hat Gluster Storage (RHGS) コンポーネントには SELinux ポリシーがなく、Gluster が正常に機能するのは SELinux が permissive モードの時だけでした。今回の更新で SELinux ポリシールールが glusterd (glusterFS Management Service)、glusterfsd (NFS サーバー)、smbd、nfsd、rpcd、および ctdbd プロセスで更新され、Gluster に SELinux サポートが提供されるようになりました。

openscap パッケージはアップストリームのバージョン 1.2.5 にアップグレードされました。旧バージョンに対する多くのバグ修正および機能拡張が加えられています。

注目すべき機能拡張には以下のものがあります。

* OVAL バージョン 5.11 をサポートし、systemd プロパティー向けなど複数の改善をもたらしています。

* xml.bz2 入力ファイルのネイティブのサポートを導入。

* リモートシステムを評価する oscap-ssh ツールを導入。

* コンテナーや画像を評価する oscap-docker ツールを導入。

scap-security-guide ツールはアップストリームのバージョン 0.1.25 にアップグレードされました。旧バージョンに対する多くのバグ修正および機能拡張が加えられています。

注目すべき機能拡張には以下のものがあります。

* Red Hat Enterprise Linux 7 サーバー用の新たなセキュリティープロファイル: Common Profile for General-Purpose Systems、Draft PCI-DSS v3 Control Baseline、Standard System Security Profile、および Draft STIG for Red Hat Enterprise Linux 7 Server。

* Red Hat Enterprise Linux 6 および 7 上で実行する Firefox と Java Runtime Environment (JRE) コンポーネント用の新たなセキュリティーベンチマーク。

* 新たな scap-security-guide-doc サブパッケージ。これは、XCCDF ベンチマーク (Red Hat Enterprise Linux 6 および 7、Firefox、および JRE 用のセキュリティーベンチマークで出荷されているすべてのセキュリティープロファイル用) から生成されたセキュリティーガイドを含む HTML 形式のドキュメントを含むものです。