Language:
Format:

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第33章セキュリティー

`firewalld` の起動時に、設定が存在する場合、`net.netfilter.nf_conntrack_max` がデフォルトにリセットされなくなりました。

以前は、firewalld は起動時または再起動時に nf_conntrack 設定をデフォルト値にリセットしていました。その結果、net.netfilter.nf_conntrack_max 設定はデフォルト値に復元されました。今回の更新により、firewalld が起動するたびに、/etc/sysctl.conf および /etc/sysctl.d で設定されている nf_conntrack sysctl が再ロードされます。その結果、net.netfilter.nf_conntrack_max はユーザーが設定した値を維持します。(BZ#1462977)

`Tomcat` は、強制モードの `SELinux` で `tomcat-jsvc` を使用して起動できるようになりました

Red Hat Enterprise Linux 7.4 では、tomcat_t 非制限ドメインが SELinux ポリシーで正しく定義されていませんでした。そのため、強制モードの SELinux では、tomcat-jsvc サービスによって Tomcat サーバーを起動できません。この更新により、tomcat_t ドメインで dac_override、setuid、および kill 機能ルールを使用できるようになります。その結果、Tomcat は SELinux を強制モードで tomcat-jsvc 経由で起動できるようになりました。(BZ#1470735)

`SELinux` により、`vdsm` が `lldpad` と通信できるようになりました

この更新より前は、強制モードの SELinux は、vdsm デーモンによる lldpad 情報へのアクセスを拒否していました。その結果、vdsm は正しく動作できなくなりました。今回の更新により、virtd_t ドメインが dgram ソケットを介して lldpad_t ドメインにデータを送信できるようにするルールが selinux-policy パッケージに追加されました。その結果、SELinux が強制モードに設定されている場合、virtd_t というラベルの付いた vdsm は、lldpad_t というラベルの付いた lldpad と通信できるようになりました。(BZ#1472722)

権限分離を行わない `OpenSSH` サーバーがクラッシュしなくなりました

この更新より前は、ポインターは有効性がチェックされる前に逆参照されていました。その結果、Privilege Separation オプションがオフになっている OpenSSH サーバーがセッションのクリーンアップ中にクラッシュしました。この更新により、ポインターが適切にチェックされ、前述のバグのため、Privilege Separation なしで実行中に OpenSSH サーバーがクラッシュすることがなくなりました。

OpenSSH Privilege Separation を無効にすることは推奨されないことに注意してください。(BZ#1488083)

DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。

以前は、clevis luks binding コマンドの一部として生成されたパスワードは、pwquality.conf ファイルに設定されている国防情報システム局セキュリティ技術導入ガイド (DISA STIG) のパスワードポリシーに準拠していませんでした。その結果、特定の場合に、DISA STIG 準拠システムで clevis luks bind が失敗することがありました。この更新により、パスワードポリシーを通過するランダムなパスワードを生成するように設計されたユーティリティーを使用してパスワードが生成され、説明されているシナリオで clevis luks binding が成功するようになりました。(BZ#1500975)

`WinSCP` 5.10 が `OpenSSH` で適切に動作するようになりました

以前は、OpenSSH はWinSCP バージョン 5.10 を古いバージョン 5.1 として誤って認識していました。その結果、WinSCP バージョン 5.1 の互換性ビットが WinSCP 5.10 に対して有効になり、新しいバージョンは OpenSSH で適切に動作しませんでした。この更新により、バージョンセレクターが修正され、WinSCP 5.10 が OpenSSH サーバーで適切に動作するようになりました。(BZ#1496808)

`SFTP` では読み取り専用モードで長さゼロのファイルを作成できなくなりました

この更新より前は、OpenSSH SFTP サーバーの process_open 関数は、読み取り専用モードでの書き込み操作を適切に防止しませんでした。その結果、攻撃者は長さゼロのファイルを作成することができました。今回の更新により、この機能は修正され、SFTP サーバーは読み取り専用モードでのファイルの作成を許可されなくなりました。(BZ#1517226)

Select Your Language

Red Hat Training

第33章セキュリティー

`firewalld` の起動時に、設定が存在する場合、`net.netfilter.nf_conntrack_max` がデフォルトにリセットされなくなりました。

`Tomcat` は、強制モードの `SELinux` で `tomcat-jsvc` を使用して起動できるようになりました

`SELinux` により、`vdsm` が `lldpad` と通信できるようになりました

権限分離を行わない `OpenSSH` サーバーがクラッシュしなくなりました

DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。

`WinSCP` 5.10 が `OpenSSH` で適切に動作するようになりました

`SFTP` では読み取り専用モードで長さゼロのファイルを作成できなくなりました

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Red Hat Training

第33章 セキュリティー

firewalld の起動時に、設定が存在する場合、net.netfilter.nf_conntrack_max がデフォルトにリセットされなくなりました。

Tomcat は、強制モードの SELinux で tomcat-jsvc を使用して起動できるようになりました

SELinux により、vdsm が lldpad と通信できるようになりました

権限分離を行わない OpenSSH サーバーがクラッシュしなくなりました

DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。

WinSCP 5.10 が OpenSSH で適切に動作するようになりました

SFTP では読み取り専用モードで長さゼロのファイルを作成できなくなりました

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links

第33章セキュリティー

`firewalld` の起動時に、設定が存在する場合、`net.netfilter.nf_conntrack_max` がデフォルトにリセットされなくなりました。

`Tomcat` は、強制モードの `SELinux` で `tomcat-jsvc` を使用して起動できるようになりました

`SELinux` により、`vdsm` が `lldpad` と通信できるようになりました

権限分離を行わない `OpenSSH` サーバーがクラッシュしなくなりました

`WinSCP` 5.10 が `OpenSSH` で適切に動作するようになりました

`SFTP` では読み取り専用モードで長さゼロのファイルを作成できなくなりました