5.4.6. ネットワーク
qdisc_run
関数におけるロックによって、カーネルのクラッシュが発生しないようになりました。
以前は、pfifo_fast
キュー規律がトラフィックのデキュー中にリセットされる場合の競合状態が、開放後のパケット転送につながっていました。これにより、カーネルが突然終了することがありました。今回の更新で、qdisc_run
関数のロックが改善されました。これにより、上述のシナリオでカーネルがクラッシュしなくなりました。
(BZ#1744397)
org.fedoraproject.FirewallD1.config.service
の DBus API が期待どおりに動作するようになりました。
以前は、org.fedoraproject.FirewallD1
内の DBus API getIncludes
、setIncludes
、および queryIncludes
関数が、間違ったインデックスのために org.fedoraproject.FirewallD1.Exception: list index out of range
というエラーメッセージを返していました。今回の更新で、DBus API 関数 getIncludes
、setIncludes
、および queryIncludes
が期待どおりに動作するようになりました。
RHEL で、ipvs
モジュールのアンロード時にカーネル警告をログに記録しなくなりました。
以前は、IP 仮想サーバー (ipvs
) モジュールが誤った参照カウントを使用していたため、モジュールのアンロード時に競合状態が発生していました。これにより、RHEL がカーネル警告をログ記録していました。今回の更新で競合状態が修正されています。その結果、ipvs
モジュールのアンロード時に、カーネルが警告をログ記録しなくなりました。
(BZ#1687094)
nft
ユーティリティーが、最初のオプション以外の引数の後に、引数をコマンドラインオプションとして解釈することがなくなりました。
以前は、nft
ユーティリティーは nft
コマンド内のどの場所でもオプションを受け入れていました。たとえば、管理者はオプション以外の引数の間や、またはその後に、オプションを使用することができました。これにより、ダッシュ記号のために、nft
は負の優先順位の値をオプションとして解釈し、コマンドに失敗していました。nft
ユーティリティーのコマンドラインパーサーが、最初のオプション以外の引数を一度読み込んだ後は、ダッシュ記号で始まる引数を解釈しないよう更新されました。その結果、管理者が、負の優先順位の値を nft
に渡すための回避策をとる必要がなくなりました。
この変更により、すべてのコマンドオプションは、最初のオプション以外の引数より前に nft
に渡さなければならなくなりましたので、留意してください。この更新をインストールした後でも確実に nftables スクリプトが期待どおりに動作するよう、更新前に、スクリプトがこの新しい条件を満たしていることを確認してください。
/etc/hosts.allow
および /etc/hosts.deny
ファイルに、削除された tcp_wrappers
への古い参照が含まれなくなりました。
以前では、/etc/hosts.allow
ファイルおよび /etc/hosts.deny
ファイルには tcp_wrappers
パッケージに関する古い情報が含まれていました。これは、削除された tcp_wrappers
に必要なくなったため、RHEL 8 ではファイルが削除されました。
ゾーンのドリフトを無効にする設定パラメーターを firewalld
に追加されました
以前のリリースでは、firewalld
サービスに、ゾーンのドリフトとして知られる、文書化されていない動作が含まれていました。RHEL 8.0 では、セキュリティーに悪影響を及ぼす可能性があるという理由から、この動作が削除されました。その結果、この動作を使用して汎用ゾーンまたはフォールバックゾーンを設定するホストでは、以前許可されていた接続を firewalld
が拒否するようになりました。今回の更新で、ゾーンのドリフト動作が設定可能な機能として再度追加されました。これにより、ゾーンのドリフトを使用するか、動作を無効化してよりセキュアなファイアウォール設定を使用するかを、ユーザーが決定できるようになりました。
RHEL 8.2 では、/etc/firewalld/firewalld.conf
ファイルの新しい AllowZoneDrifting
パラメーターはデフォルトで yes
に設定されています。このパラメーターが有効な場合、以下のメッセージが firewalld
ログに記録されるので注意してください。
WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
(BZ#1772208)