5.4.5. セキュリティー

fapolicyd が RHEL の更新を阻止しなくなりました。

更新で実行中のアプリケーションのバイナリーが置き換えられると、カーネルにより、接尾辞 " 「(deleted)」が追加されて、メモリー内のアプリケーションのバイナリーパスが変更されます。以前のバージョンでは、fapolicyd ファイルアクセスポリシーデーモンは、信頼できないアプリケーションなどのように処理し、他のファイルを開き、実行できませんでした。そのため、更新の適用後にシステムを起動できないことがありました。

RHBA-2020:5243勧告のリリースにより、fapolicydはバイナリパスのサフィックスを無視して、バイナリがトラストデータベースに一致するようになりました。これにより、fapolicyd がルールを正しく適用し、更新プロセスを完了できるようになりました。

(BZ#1897091)

openssl-pkcs11 が、複数のデバイスへのログイン試行によるデバイスのロックをしなくなりました。

以前は、openssl-pkcs11 エンジンは、PKCS #11 URI が提供する最初の検索結果へのログインを試みていました。この際、最初の検索結果が目的のデバイスではなく、PIN が別のデバイスに適合するものだったとしても、提供された PIN を使用していました。これらの認証試行の失敗により、デバイスはロックされていました。

openssl-pkcs11 は、提供された PKCS #11 URI が単一のデバイスと一致する場合にのみ、ログインを試みるようになりました。PKCS #11 検索で複数のデバイスが検出される場合には、エンジンが意図的に失敗するようになりました。このため、openssl-pkcs11 を使用してデバイスにログインする場合には、単一のデバイスにのみ一致する PKCS #11 URI を提供しなければなりません。

(BZ#1705505)

rpmverifyfile を使用する OpenSCAP オフラインスキャンが正常に動作するようになりました。

今回の更新以前は、OpenSCAP スキャナーは、オフラインモードで現在の作業ディレクトリーを正しく変更せず、fchdir 関数を、OpenSCAP rpmverifyfile プローブの正しい引数で呼び出していませんでした。OpenSCAP スキャナーが、オフラインモードで現在の作業ディレクトリーを正しく変更するように修正され、また、fchdir 関数が rpmverifyfile で正しい引数を使用するように修正されました。その結果、OVAL rpmverifyfile を含む SCAP コンテンツを、OpenSCAP で任意のファイルシステムのスキャンに使用できるようになりました。

(BZ#1636431)

PKCS #11 デバイスに保存された公開鍵とは一致しない ECDSA 秘密鍵を使用する場合でも、httpd が正常に起動するようになりました。

RSA 鍵とは異なり、ECDSA 秘密鍵には、公開鍵情報が含まれているとは限りません。この場合、ECDSA 秘密鍵から公開鍵を取得することはできません。このため、PKCS #11 デバイスは、公開鍵オブジェクトまたは証明書オブジェクトのいずれであっても、別のオブジェクトに公開鍵情報を格納します。OpenSSL は、秘密鍵に公開鍵情報を含めるために、エンジンが提供する EVP_PKEY 構造を想定していました。OpenSSL に提供する EVP_PKEY 構造を満たす場合、openssl-pkcs11 パッケージのエンジンは、一致する公開鍵オブジェクトのみから公開鍵情報を取得し、現在の証明書オブジェクトを無視していました。

OpenSSL がエンジンから ECDSA 秘密鍵を要求する場合、指定された EVP_PKEY 構造には、公開鍵を含む一致する証明書が利用可能な場合でも、PKCS#11 デバイスに公開鍵がなければ、公開鍵情報が含まれていませんでした。これにより、Apache httpd の Web サーバーは、公開鍵を必要とする X509_check_private_key() 関数を (起動プロセスで) 呼び出すため、このシナリオで httpd が起動しなくなっていました。この問題は、公開鍵オブジェクトが利用できない場合に、証明書から EC 公開鍵を読み込むことで解決されています。これにより、ECDSA 鍵が PKCS#11 デバイスに保存されている場合、httpd が正常に起動するようになりました。

(BZ#1664807)

Audit ルールの scap-security-guide PCI-DSS 修正が適切に動作するようになりました。

以前は、scap-security-guide パッケージには、修正の組み合わせと、以下のいずれかのシナリオで生じるチェックが含まれていました。

  • 監査ルールの誤った修正
  • 渡されたルールが失敗とマークされた誤検出を含むスキャン評価

これにより、RHEL インストールプロセス時に、インストール済みシステムのスキャンが、失敗またはエラーとして Audit ルールを報告していました。

今回の更新で、修復が修正され、PCI-DSS セキュリティーポリシーでインストールしたシステムのスキャンで、Audit ルールの誤検出が報告されなくなりました。

(BZ#1754919)

OpenSCAP が、仮想マシンおよびコンテナーのオフラインスキャンを提供するようになりました。

以前は、OpenSCAP のコードベースをリファクターリングすると、特定の RPM プローブがオフラインモードで仮想マシンおよびコンテナーのファイルシステムをスキャンするのに失敗していました。このため、次のツール (oscap-vm および oscap-chroot) を openscap-utils パッケージに含めることができませんでした。さらに、openscap-containers パッケージは、RHEL 8 から完全に削除されました。今回の更新で、プローブの問題が修正されました。

これにより、RHEL 8 には、openscap-utils パッケージに oscap-podman ツール、oscap-vm ツール、および oscap-chroot ツールが含まれるようになりました。

(BZ#1618489)

OpenSCAP rpmverifypackage が正常に動作するようになりました。

以前は、rpmverifypackage プローブにより、システムコール chdir および chroot が 2 回呼び出されていました。これにより、カスタムの OVAL (Open Vulnerability and Assessment Language) コンテンツを使用した OpenSCAP をスキャンする際にこのプルーブを使用していると、エラーが発生していました。rpmverifypackage プローブが、システムコール chdir および chroot を正常に使用するように修正されました。その結果、rpmverifypackage が正常に動作するようになりました。

(BZ#1646197)