5.4.5. 보안

fapolicyd 가 더 이상 RHEL 업데이트를 금지하지 않음

업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 " (deleted)" 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd 파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리하여 다른 파일을 열고 실행할 수 없었습니다. 그 결과 업데이트를 적용한 후 시스템을 부팅할 수 없는 경우가 있었습니다.

RHBA-2020:5243 권고가 릴리스되면서 fapolicyd 는 바이너리 경로의 접미사를 무시하므로 바이너리가 신뢰 데이터베이스와 일치할 수 있습니다. 결과적으로 fapolicyd 는 규칙을 올바르게 적용하고 업데이트 프로세스를 완료할 수 있습니다.

(BZ#1897091)

OpenSSL-pkcs11 은 더 이상 여러 장치에 로그인하여 장치를 잠그지 않습니다.

이전에는 openssl-pkcs11 엔진이 제공된 PKCS #11 URI를 사용하여 첫 번째 검색 결과에 로그인하려고 시도했으며 첫 번째 결과가 의도한 장치가 아니고 PIN이 다른 장치와 일치하는 경우에도 제공된 PIN을 사용했습니다. 이러한 실패한 인증 시도는 장치를 잠급니다.

이제 OpenSSL-pkcs11 이 제공된 PKCS #11 URI가 단일 장치와 일치하는 경우에만 장치에 로그인하려고 합니다. 이제 PKCS #11 검색에서 둘 이상의 장치를 발견하는 경우 엔진이 의도적으로 실패합니다. 따라서 openssl-pkcs11 을 사용하여 장치에 로그인할 때 단일 장치만 일치하는 PKCS #11 URI를 제공해야 합니다.

(BZ#1705505)

rpmverifyfile 을 사용하여 OpenSCAP 오프라인 스캔이 제대로 작동합니다

이번 업데이트 이전에는 OpenSCAP 스캐너가 오프라인 모드에서 현재 작업 디렉터리를 올바르게 변경하지 않았으며 fchdir 함수가 OpenSCAP rpmverifyfile 프로브에서 올바른 인수와 함께 호출되지 않았습니다. OpenSCAP 스캐너는 오프라인 모드에서 현재 작업 디렉터리를 올바르게 변경하도록 수정되었으며 rpmverifyfile 에서 올바른 인수를 사용하도록 fchdir 기능이 수정되었습니다. 결과적으로 OVAL rpmverifyfile이 포함된 SCAP 콘텐츠를 사용하여 임의의 파일 시스템을 스캔할 수 있습니다.

(BZ#1636431)

PKCS #11 장치에 저장된 공개 키와 일치하지 않고 ECDSA 개인 키를 사용하는 경우 httpd 가 올바르게 시작됩니다.

RSA 키와 달리 ECDSA 개인 키에는 공개 키 정보가 반드시 포함되어 있지 않습니다. 이 경우 ECDSA 개인 키에서 공개 키를 가져올 수 없습니다. 이러한 이유로 PKCS #11 장치는 공개 키 오브젝트인지 인증서 오브젝트인지 여부에 관계없이 공개 키 정보를 별도의 개체에 저장합니다. OpenSSL은 개인 키에 공개 키 정보를 포함하도록 엔진에서 제공하는 EVP_PKEY 구조를 예상했습니다. OpenSSL에 제공할 EVP_PKEY 구조를 채울 때 openssl-pkcs11 패키지의 엔진은 일치하는 공개 키 오브젝트에서만 공개 키 정보를 가져오고 현재 인증서 오브젝트를 무시하려고 했습니다.

OpenSSL이 엔진에서 ECDSA 개인 키를 요청했을 때, 공개 키가 PKCS #11 장치에 없는 경우, 제공된 EVP_PKEY 구조에 공개 키가 없는 경우 공개 키 정보가 포함되지 않았습니다. 그 결과 공개 키가 필요한 X509_check_private_key() 함수라는 Apache httpd 웹 서버가 시작 프로세스에서 시작되지 않았기 때문에 httpd 가 이 시나리오에서 시작되지 못했습니다. public-key 오브젝트를 사용할 수 없는 경우 인증서에서 EC 공개 키를 로드하여 이 문제가 해결되었습니다. 결과적으로 ECDSA 키가 PKCS #11 장치에 저장될 때 httpd 가 올바르게 시작됩니다.

(BZ#1664807)

감사 규칙의 scap-security-guide PCI-DSS 수정이 올바르게 작동합니다.

이전에는 scap-security-guide 패키지에 다음과 같은 시나리오 중 하나가 될 수 있는 수정 및 검사가 포함되어 있었습니다.

  • 감사 규칙의 잘못된 수정 적용
  • 통과된 규칙이 실패한 것으로 표시된 오탐을 포함하는 검사 평가

결과적으로 RHEL 설치 프로세스 중에 설치된 시스템의 검사에서 일부 감사 규칙이 실패했거나 오류로 보고되었습니다.

이번 업데이트를 통해 수정이 수정되었으며 PCI-DSS 보안 정책으로 설치된 시스템 검사가 더 이상 감사 규칙에 대해 오탐을 보고하지 않습니다.

(BZ#1754919)

OpenSCAP 에서 가상 머신 및 컨테이너의 오프라인 스캔 제공

이전에는 OpenSCAP 코드베이스를 리팩토링하면 특정 RPM 프로브가 오프라인 모드에서 VM 및 컨테이너 파일 시스템을 스캔하지 못했습니다. 결과적으로 openscap-utils 패키지에 oscap- vm 및 oscap- chroot 를 포함할 수 없었습니다. 또한 openscap-containers 패키지는 RHEL 8에서 완전히 제거되었습니다. 이번 업데이트를 통해 프로브의 문제가 수정되었습니다.

결과적으로 RHEL 8에는 openscap-utils 패키지에 oscap-podman, oscap-vm 및 oscap- chroot 툴이 포함됩니다.

(BZ#1618489)

OpenSCAP rpmverifypackage 가 올바르게 작동합니다.

이전에는 chdirchroot 시스템 호출이 rpmverifypackage 프로브에 의해 두 번 호출되었습니다. 그 결과 사용자 지정 OVAL(Open Vulnerability and Assessment Language) 콘텐츠로 OpenSCAP 스캔 중에 프로브를 사용할 때 오류가 발생했습니다. rpmverifypackage 프로브가 chdirchroot 시스템 호출을 올바르게 활용하도록 수정되었습니다. 결과적으로 rpmverifypackage 가 올바르게 작동합니다.

(BZ#1646197)