Menu Close

第 6 章 显著的程序漏洞修复

本章论述了 Red Hat Enterprise Linux 7.9 中修复的对用户有严重影响的漏洞。

6.1. 认证和互操作性

当使用 SASL 绑定到 Directory Server 时,不再会出现死锁

在以前的版本中,SASL 绑定到 Directory 服务器可能会尝试使用在连接过程中修改的回调。因此,会出现死锁,Directory Server 可能会意外终止。在这个版本中,服务器使用连接锁定来防止在使用时修改 IO 层和回调。因此,在使用 SASL 绑定时死锁不再发生。

(BZ#1801327)

389-ds-base 软件包现在对 Directory Server 用户拥有的目录设置所需的权限

如果 Directory Server 用户拥有的文件系统中的目录没有正确的权限,Directory 服务器实用程序会相应地调整它们。但是,如果这些权限与 RPM 安装期间设置的权限不同,请使用 rpm -V 389-ds-base 命令验证 RPM 失败。在这个版本中,RPM 中的权限已被修复。因此,验证 389-ds-base 软件包不再提示权限不正确。

(BZ#1700987)

在带有 IPv6 的 ACI 中使用 ip binding 规则时,目录服务器中的内存泄漏已被修复

目录服务器(Directory Server)中的 Access Control Instruction(ACI)上下文附加到连接中,其中包含 IPv4 和 IPv6 协议的结构。在以前的版本中,当客户端关闭连接时,目录服务器会删除唯一的 IPv4 结构和上下文。因此,如果管理员使用 ip binding 规则配置了 ACI,Directory 服务器会泄漏 IPv6 结构的内存。在这个版本中,服务器会在连接结束时释放 IPv4 和 IPv6 结构。因此,Directory 服务器不再会泄漏上述场景中的内存。

(BZ#1796558)

当使用带有 ip bind 规则的 ACI 时,目录服务器不再泄漏内存

当 Directory Server Access Control Instruction(ACI)包含 ip bind 规则时,服务器会在评估 ACI 时存储 ip 关键字的值作为参考。在以前的版本中,当评估完成时,目录服务器没有释放 ip 值。因此,当服务器每次使用 ip bind 规则评估 ACI 时,服务器都会泄漏大约 100 字节的内存。在这个版本中,Directory 服务器会跟踪每个连接结构中的 ip 值,并在连接关闭时释放结构。因此,Directory 服务器不再泄漏上述场景中的内存数据。

(BZ#1769418)

目录服务器不再拒绝 rootdn-allow-ip 和 rootdn- deny-ip 参数 中的通配符

在以前的版本中,当管理员试图在 rootdn-allow-ip 或 rootdn- deny-ip 参数中设置通配符时,c n=RootDN 访问控制插件,cn=plugins,cn=config 条目会拒绝这个值。在这个版本中,您可以在上述参数中指定允许或拒绝 IP 地址时,使用通配符。

(BZ#1807537)

如果检索系统时间失败或者时间差太大,则目录服务器会拒绝更新操作

在以前的版本中,当调用系统 time() 失败或者返回一个意外值时,目录服务器中的更改顺序号(CSN)可能会被破坏。因此,管理员需要重新初始化环境中的所有副本。在这个版本中,如果 time() 函数失败,目录服务器会拒绝更新操作,且目录服务器不会在上述场景中破坏 CSN。

请注意,如果时间差异大于一天,服务器 会记录 INFO - csngen_new_csn - /var/log/dirsrv/slapd-<instance_name>/error 文件中的 CSN 时间消息中检测到大型跳过。但是,目录服务器仍然创建 CSN,且不会拒绝更新操作。

(BZ#1837105)

更新 schema 时目录服务器不再挂起

在以前的版本中,当混合存在搜索和修改负载时,更新目录服务器的 schema 会阻断所有搜索和修改操作,服务器会出现挂起的情况。在这个版本中,会在 schema 更新过程中调整 mutex 锁定。因此,服务器在更新 schema 时不会挂起。

(BZ#1824930)

使用间接 COS 定义时目录服务器不再泄漏内存

在以前的版本中,在处理一个间接 Class Of Service (COS) 定义后, Directory Server 会在每个使用间接 COS 定义的搜索操作中泄漏内存。在这个版本中, Directory 服务器会在处理后释放所有与数据库条目关联的内部 COS 结构。因此,当使用间接 COS 定义时,服务器不会再泄漏内存。

(BZ#1827284)

使用 SSSD 发送到 AD 客户端的密码过期通知

在以前的版本中,使用 SSSD 的 Active Directory 客户端(非 IdM)不会发送密码过期通知,因为 SSSD 界面最近更改了获取 Kerberos 凭证。

Kerberos 界面已更新,现在正确发送过期通知。

BZ#1733289

KDC 现在从 LDAP 后端正确强制使用密码生命周期策略

在以前的版本中,非 IPA Kerberos 分发中心(KDC)无法确保最大密码生命周期,因为 Kerberos LDAP 后端强制的密码策略不正确。在这个版本中,Kerberos LDAP 后端已被修复,密码生命周期可以正常工作。

(BZ#1782492)

现在,pkidaemon 工具会在启用 nuxwdog 时报告 PKI 实例的正确状态

在以前的版本中,pkidaemon status 命令无法报告启用了 nuxwdog watchdog watchdog 的 PKI 服务器实例的正确状态。在这个版本中,pkidaemon 会检测是否启用了 nuxwdog,并报告 PKI 服务器的正确状态。

(BZ#1487418)