6.8. セキュリティー

SELinux ポリシーの再読み込みにより、誤った ENOMEM が発生しなくなりました。

SELinux ポリシーの再読み込みにより、内部セキュリティーコンテキスト検索テーブルが応答しなくなっていました。したがって、ポリシーの再ロード時にカーネルが新しいセキュリティーコンテキストに遭遇すると、正しくない「Out of memory」 (ENOMEM) エラーで操作が失敗していました。今回の更新で、内部セキュリティー識別子 (SID) ルックアップテーブルが再設計され、フリーズしなくなりました。その結果、カーネルは、SELinux ポリシーの再読み込み時に誤解を招くエラーを返さなくなりました。

(BZ#1335986)

NSS が、IPsec で正しく使用する X.509 証明書を処理するようになりました。

以前は、NSS ライブラリーは IPsec で使用する X.509 証明書を適切に処理しませんでした。そのため、X.509 証明書に serverAuth 属性および clientAuth 属性が含まれない空の Extended Key Usage(EKU)属性がある場合、Libreswan IPsec 実装は、証明書の検証を誤って拒否していました。今回の更新で、NSS の IPsec プロファイルが修正され、Libreswan が上記の証明書を許可できるようになりました。

(BZ#1212132)

NSS が、RSA-PSS 鍵で作成した RSA PKCS#1 v1.5 署名を受け入れない

RSA-PSS キーは、RSA-PSS 署名の作成にのみ使用し、PKCS#1 v1.5 アルゴリズムを使用する鍵が標準に違反するためです。以前は、Network Security Services(NSS)ライブラリーは、対応する秘密鍵を使用して署名を検証する際に、サーバーが使用する RSA 公開鍵のタイプを確認しませんでした。そのため、NSS は RSA-PSS 鍵を使用して作成された場合でも、RSA PKCS#1 v1.5 署名が有効として受け入れられていました。

このバグは修正され、対応する秘密鍵を使用して署名を検証する際に、NSS ライブラリーがサーバーが使用する RSA 公開鍵のタイプを適切にチェックするようになりました。その結果、このシナリオの署名が NSS で許可されなくなりました。

(BZ#1510156)

ユーザー切り替え時に認証鍵へのアクセスに失敗しなくなりました。

以前は、AuthorizedKeysCommand* 設定オプションを使用して認証キーを取得するユーザーを変更する場合、OpenSSH のグループ情報キャッシュは消去されませんでした。そのため、グループ情報の正しくないため、認証されたユーザーが承認鍵にアクセスしようとすると失敗していました。このバグは修正され、ユーザーの変更時に認証キーに正常にアクセスできるようになりました。

(BZ#1583735)

scap-security-guide が、コンテナーおよびコンテナーイメージには該当しないルールを正しくスキップするようになりました。

SCAP セキュリティーガイドのコンテンツを使用して、コンテナーおよびコンテナーイメージをスキャンできるようになりました。コンテナーおよびコンテナーイメージには該当しないルールには、特定の CPE 識別子のマークが付けられます。その結果、これらのルールの評価は自動的にスキップされ、コンテナーおよびコンテナーイメージ のスキャン時に結果は報告されません

(BZ#1630739)

SCAP セキュリティーガイドからの Ansible Playbook が一般的なエラーにより失敗しなくなりました。

以前は、SCAP セキュリティーガイドコンテンツに含まれる Ansible タスクは、設定ファイル、存在しないファイル、アンインストールパッケージなど、特定の共通ケースを処理できませんでした。これにより、SCAP Security Guide から Ansible Playbook を使用するか、oscap コマンドで生成された場合は、ansible-playbook コマンドがすべてのエラーで終了していました。今回の更新で、Ansible タスクが共通のケースを処理するように更新され、Playbook の実行中に共通のエラーが発生した場合でも、SCAP セキュリティーガイドからの Ansible Playbook は正常に実行できるようになりました。

(BZ#1647189)

SCAP セキュリティーガイドが dconf 設定を正しくチェックするようになりました。

今回の更新以前は、SCAP Security Guide プロジェクトで使用されている OVAL(Open Vulnerability and Assessment Language)チェックは、dconf バイナリーデータベースを直接確認しませんでしたが、それぞれのキーファイルのみを確認していました。これにより、スキャン結果が誤検出または負の値になる可能性があります。今回の更新で、SCAP セキュリティーガイド がもう 1 つのチェックコンポーネントを追加し、dconf バイナリーデータベースがそれらのキーファイルに関して最新の状態に保たれるようになりました。その結果、複雑なチェックで dconf 設定が正しくチェックされるようになりました。

(BZ#1631378)

SELinux により、gssd_t プロセスが他のプロセスのカーネルキーリングにアクセスできるようになりました。

以前は、SELinux ポリシーに gssd_t タイプの許可ルールがありませんでした。したがって、Enforcing モードの SELinux では、gssd_t として実行しているプロセスが他のプロセスのカーネルキーリングにアクセスできず、sec=krb5 マウントなどのブロックされる可能性がありました。このルールがポリシーに追加され、gssd_t として実行されているプロセスが、他のプロセスのキーリングにアクセスできるようになりました。

(BZ#1487350)

SELinux が、セキュリティー以外のすべてのディレクトリーの管理から snapperd をブロックしなくなりました。

今回の更新以前は、SELinux ポリシーに snapper デーモン(snapperd)の許可ルールがありませんでした。そのため、snapper は、Enforcing モードで SELinux で新規スナップショットの btrfs ボリュームで設定ファイルを作成できませんでした。今回の更新で、足りないルールが追加され、SELinux によりセキュリティー以外 すべてのディレクトリーを管理できるようになりました。

(BZ#1619306)

sudo I/O ロギング機能が、SELinux が制限したユーザーに対しても機能するようになりました。

SELinux ポリシーを更新する前に、ユーザードメインが汎用擬似ターミナルインターフェースを使用することを許可するルールがありませんでした。そのため、sudo ユーティリティーの I/O ロギング機能は、SELinux が制限したユーザーは機能しませんでした。足りないルールがポリシーに追加され、上記のシナリオで I/O ロギング機能が失敗しなくなりました。

(BZ#1564470)

LDAP を使用して設定された sudosudoRunAsGroup を正しく処理するようになりました。

以前のバージョンでは、LDAP を使用して設定された sudo ツールは、sudoRunAsGroup 属性が定義され、sudoRunAsUser 属性が定義されていない場合にケースを正しく処理しませんでした。これにより、root ユーザーがターゲットユーザーとして使用されていました。今回の更新で、sudoRunAsGroup の処理が修正され、sudoers.ldap(5) man ページに記載されている動作と一致するように修正され、sudo は上記のシナリオで適切に機能するようになりました。

(BZ#1618702)