第47章 セキュリティー

NSS が RSA-PSS 鍵を使用して作成された無効な RSA PKCS#1 v1.5 署名を受け入れる

RSA 秘密鍵を使用して作成された署名を検証する際、Network Security Services (NSS) ライブラリーはサーバーが使用した対応する公開鍵のタイプを確認しません。したがって、RSA-PSS 鍵を使用して RSA PKCS#1 v1.5 署名が作成された場合、その署名が無効であっても NSS は受け入れてしまいます。(BZ#1510156)

OpenSSH に由来しない ssh-agent を使用した認証が失敗する

バージョン 7.4 以降、OpenSSH はデフォルトでは SHA-2 署名の拡張をネゴシエーションします。したがって、署名を提供する ssh-agent プログラムが現在の OpenSSH スイートに由来せず SHA-2 拡張を理解しない場合、認証は失敗します。この問題を回避するには、署名の提供に OpenSSH ssh-agent を使用します。(BZ#1497680)

OpenSSH 公開鍵の解析の厳密化

以前のリリースで公開鍵の解析手順が変更され、より厳密になりました。その結果、鍵のタイプと鍵のブロブのストリング間に存在する余分なスペースが無視されなくなり、そのような鍵を使用したログインは失敗するようになりました。この問題を回避するには、鍵のタイプと鍵のブロブのストリング間のスペースを、必ず 1 つだけにします。(BZ#1493406)

SCAP Workbench がカスタムプロファイルから結果ベースの修正を生成することができない

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、以下のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドを使用する際に --tailoring-file オプションを指定します。(BZ#1533108)

Clevis が誤った Device is not initialized エラーメッセージを記録する

Clevis プラグ可能フレームワークが initramfs イメージにあり、起動時にロックを解除する暗号化ボリュームが設定され、偶然 Clevis バインディングを設定していない場合、起動のログに誤った「Device is not initialized」エラーメッセージが表示されます。この問題を回避するには、Clevis バインディングのステップを実施します。ボリュームに関するエラーメッセージは表示されなくなります。(BZ#1538759)

どのような構成でも、seccomp=enabled を設定すると Libreswan が正常に動作しない

Libreswan SECCOMP サポートでの許可される syscall の実装は、まだ完了していません。したがって、ipsec.conf ファイルで SECCOMP を有効にすると、syscall のフィルターは pluto デーモンの正常な動作に必要な syscall であっても拒否してしまいます。デーモンは強制終了され、ipsec サービスが再起動します。
この問題を回避するには、seccomp= オプションの設定を disabled に戻します。ipsec を正しく動作させるには、SECCOMP のサポートを無効のままにしておく必要があります。(BZ#1544463)

VM およびコンテナーファイルシステムでは OpenSCAP RPM 検証ルールが正常に機能しない

rpminforpmverify、および rpmverifyfile プローブは、オフラインモードを完全にはサポートしません。したがって、オフラインモードにある仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正常に機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、SCAP Security Guide のガイダンスを使用して手動でチェックを行います。オフラインモードにある VM およびコンテナーファイルシステムのスキャン結果には、誤検出が含まれる場合があります。(BZ#1556988)

スマートカードが挿入されると、NSS を使用する Firefox およびその他のアプリケーションが反応しなくなる

Network Security Services (NSS) ライブラリーは、スマートカード挿入のイベントおよびその状態を正しく処理しません。したがって、Gnome Display Manager (GDM) で NSS を使用する Firefox ブラウザーおよびその他のアプリケーションは、カード挿入の状態を確実に検出せず、スロットイベントを待機するよう要求している間は反応しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームのバージョン 3.36 の公開を待ってください。以前のバージョンの NSS であれば、スマートカードは正常に機能します。(BZ#1557015)

このページには機械翻訳が使用されている場合があります (詳細はこちら)。