4.5. インフラストラクチャーサービス
デフォルトの postfix-3.5.8 動作の違い
RHEL-8 の後方互換性を改善するために、postfix-3.5.8 更新の動作は、デフォルトのアップストリームの postfix-3.5.8 の動作とは異なります。デフォルトのアップストリーム postfix-3.5.8 動作の場合は、以下のコマンドを実行します。
# postconf info_log_address_format=external
# postconf smtpd_discard_ehlo_keywords=
# postconf rhel_ipv6_normalize=yes
詳細は、/usr/share/doc/postfix/README-RedHat.txt ファイルを参照してください。互換性のない機能を使用しない場合や、RHEL-8 後方互換性の優先度が優先される場合は、手順は必要ありません。
BIND がバージョン 9.11.26 にリベースされました。
bind パッケージがバージョン 9.11.26 に更新されました。以下は、主な変更点です。
- デフォルトの EDNS バッファーサイズを 4096 から 1232 バイトに変更しました。この変更により、ネットワーク内の断片化されたパケットが失われなくなります。
- max-recursion-queries のデフォルト値が 75 から 100 に増加しました。CVE-2020-8616 に関連します。
-
namedのlib/dns/rbtdb.cファイルでデッドノードの問題が修正されました。 -
lib/dns/rbtdb.cファイルで再利用されたデッドノードをクリーンアップする際に、namedサービスのクラッシュの問題が修正されました。 -
namedサービスで複数のフォワーダーを設定した場合の問題が修正されました。 -
親に DS レコードのない不正な署名ゾーンを割り当てる
namedサービスの問題を修正しました。 -
UDPでの欠落しているDNS cookie responseを修正しました。
unbound 設定がロギング出力が強化されるようになりました。
今回の機能拡張により、unbound されていない設定に以下の 3 つのオプションが追加されました。
-
log-servfailは、SERVFAILエラーコードのクライアントに対する理由を説明するログ行を有効にします。 -
log-local-actionsは、すべてのローカルゾーンアクションのロギングを有効にします。 -
log-tag-queryreplyは、ログファイルのログクエリーとログリプライのタグ付けを有効にします。
複数の脆弱性が ghostscript-9.27 で修正されました
ghostscript-9.27リリースには、以下の脆弱性のセキュリティー修正が含まれます。- CVE-2020-14373
- CVE-2020-16287
- CVE-2020-16288
- CVE-2020-16289
- CVE-2020-16290
- CVE-2020-16291
- CVE-2020-16292
- CVE-2020-16293
- CVE-2020-16294
- CVE-2020-16295
- CVE-2020-16296
- CVE-2020-16297
- CVE-2020-16298
- CVE-2020-16299
- CVE-2020-16300
- CVE-2020-16301
- CVE-2020-16302
- CVE-2020-16303
- CVE-2020-16304
- CVE-2020-16305
- CVE-2020-16306
- CVE-2020-16307
- CVE-2020-16308
- CVE-2020-16309
- CVE-2020-16310
- CVE-2020-17538
tuned がバージョン 2.15-1 にリベースされました。
以下は、主な変更点です。
-
Linux サービス制御用の
serviceプラグインが追加されました。 -
schedulerプラグインが改善されました。
DNSTAP が受信する詳細なクエリーを記録するようになりました。
DNSTAP は、受信名クエリーの詳細を監視およびログする高度な方法を提供します。また、named サービスから送信された回答も記録します。named サービスの従来のクエリーロギングは、named サービスのパフォーマンスに悪影響を与えます。
その結果、DNSTAP は、パフォーマンス低下に影響を与えずに詳細な受信クエリーの継続的なログを実行する方法を提供します。新しい dnstap-read ユーティリティーを使用すると、別のシステムで実行しているクエリーを分析できます。
SpamAssassin がバージョン 3.4.4 にリベースされました。
SpamAssassin パッケージがバージョン 3.4.4 にアップグレードされました。以下は、主な変更点です。
-
OLEVBMacroプラグインが追加されました。 -
新しい関数
check_rbl_ns、check_rbl_rcvd、check_hashbl_bodyre、およびcheck_hashbl_urisが追加されました。
キーアルゴリズムは OMAPI シェルを使用して変更できます。
今回の機能強化により、ユーザーは鍵アルゴリズムを変更できるようになりました。HMAC-MD5 としてハードコードされた鍵アルゴリズムは、安全とはみなされません。これにより、omshell コマンドを使用して鍵アルゴリズムを変更できます。
Sendmail が TLSFallbackto Professional 設定に対応
今回の機能強化により、発信 TLS 接続が失敗すると、sendmail クライアントはプレーンテキストにフォールバックするようになりました。これにより、相互の TLS 互換性の問題が解消されます。Red Hat は、デフォルトで TLSFallbacktoSheet オプションを無効にした sendmail を提供します。
tcpdump で RDMA 対応デバイスの表示が可能に
今回の機能拡張により、tcpdump を使用した RDMA トラフィックの取得がサポートされるようになりました。これにより、tcpdump ツールを使用して、オフロードされた RDMA トラフィックをキャプチャーおよび分析できます。これにより、tcpdump を使用して RDMA 対応デバイスを表示し、RoCE および VMA トラフィックを取得し、そのコンテンツを分析できます。
(BZ#1743650)
