Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第61章 セキュリティー

NSS は、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます

ネットワークセキュリティーサービス (NSS) ライブラリーは、対応する秘密鍵を使用して作成された署名を検証するときに、サーバーが使用する RSA 公開鍵のタイプをチェックしません。その結果、NSS は、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます。(BZ#1510156)

OpenSSH 以外の ssh-agent を使用した認証が失敗する

バージョン 7.4 以降の OpenSSH は、デフォルトで SHA-2 署名拡張をネゴシエートします。したがって、現在の OpenSSH スイートからのものではなく、SHA-2 拡張を認識しない ssh-agent プログラムによって署名が提供された場合、認証は失敗します。この問題を回避するには、OpenSSH ssh-agent を使用して署名を提供します。(BZ#1497680)

OpenSSH 公開鍵の解析がより厳密になりました

以前は、公開鍵の解析がより厳密になるように変更されました。その結果、キータイプ文字列とキー BLOB 文字列の間にある追加のスペースは無視されなくなり、そのようなキーを使用したログイン試行は失敗するようになりました。この問題を回避するには、キータイプとキー BLOB の間にスペース文字が 1 つだけあることを確認します。(BZ#1493406)

SCAP Workbench が、カスタムプロファイルから結果ベースの修正を生成できません。

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、次のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドを、--tailoring-file オプションとともに使用します。(BZ#1533108)

Clevis は、偽の Device is not initialized エラーメッセージをログに記録する可能性があります

Clevis プラガブルフレームワークが initramfs イメージ内にあり、ブート時にロックを解除するように設定された暗号化ボリュームがあり、偶然にも Clevis バインディングを設定していない場合、ブートログに Device is not initialized という偽のエラーメッセージが表示されます。この問題を回避するには、Clevis バインド手順を実行すると、ボリュームのエラーメッセージが表示されなくなります。(BZ#1538759)

すべての設定で seccomp=enabled を指定すると、Libreswan が正しく動作しません

Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルターリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。
この問題を回避するには、seccomp= オプションを設定して、disabled 状態に戻します。SECCOMP サポートは、ipsec を正常に実行するため、無効のままにしておく必要があります。(BZ#1544463)

OpenSCAP RPM 検証ルールが VM およびコンテナーファイルシステムでは正しく機能しない

rpminforpmverify、および rpmverifyfile プローブは、オフラインモードを完全にはサポートしません。その結果、オフラインモードで仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正しく機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、SCAP セキュリティーガイド のガイダンスを使用して手動チェックを実行します。オフラインモードでの VM およびコンテナーファイルシステムのスキャン結果には、偽陰性が含まれる可能性があります。(BZ#1556988)

スマートカードが挿入されると、NSS を使用する Firefox およびその他のアプリケーションが応答しなくなる

ネットワークセキュリティーサービス (NSS) ライブラリーは、スマートカード挿入イベントおよびそのようなイベントの状態を正しく処理しません。その結果、Firefox ブラウザーおよび Gnome Display Manager (GDM) で NSS を使用するその他のアプリケーションは、カードの挿入状態を確実に検出せず、スロットイベントの待機を要求している間応答しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームバージョン 3.36 を待ちます。スマートカードは、以前の NSS バージョンで正しく動作します。(BZ#1557015)