ssh, sshd et Apache activent le moteur pkcs11 OpenSSL par défaut sur les plates-formes T4, T4+ (18762585, 18764604) - Notes de version Oracle® Solaris 11.2

Notes de version Oracle^® Solaris 11.2

Quitter la vue de l'impression

» ...Documentation Home » Notes de version ... » Problèmes d'exécution » Problèmes de sécurité » ssh, sshd et Apache activent le moteur pkcs11 ...

Mis à jour : Mai 2015

Notes de version Oracle^® Solaris 11.2

Informations sur le document

Utilisation de cette documentation

Chapitre 1 Avant de commencer

Chapitre 2 Problèmes d'installation

Chapitre 3 Problèmes de mise à jour

Chapitre 4 Problèmes d'exécution

Problèmes de microprogramme

x86 : certains systèmes dotés du microprogramme BIOS ne s'initialisent pas si l'entrée EFI_PMBR n'est pas active dans l'environnement d'initialisation maître (15796456)

SPARC : prise en charge de disque étiqueté GPT

x86 : l'initialisation en mode UEFI à partir de l'image ISO est très lente sur Oracle VM VirtualBox

x86 : Oracle Solaris ne s'initialise pas sur les disques utilisant les anciennes cartes Emulex FC HBA (15806304)

ZFS doit effectuer les actions réessayer ou abandonner toute une transaction lorsqu'un LUN WCE est mis sous tension à la réinitialisation (15662604)

Problèmes de configuration système

SPARC : le système ne parvient pas à initialiser un LUN iSCSI sur une baie de stockage iSCSI (15775115)

root.sh ne parvient pas à démarrer nodeapps pour IPv4 ou IPv6 dans une zone Oracle Solaris (19080861, 18922918)

Problème de système de fichiers

Problèmes lors du remplacement ou de l'utilisation de nouvelles unités de disque au format avancé sur les systèmes Oracle

Problèmes d'administration système

La commande svccfg validate échoue sur un manifeste divisé (15891161)

x86 : les informations sur le pool ZFS deviennent obsolètes après l'exécution de la commande stmsboot avec l'option e (15791271)

Avertissements LDAP pendant l'initialisation du système (15805913)

Message de console affiché pendant l'initialisation (16756035)

SPARC : la suspension d'un serveur M5000 peut bloquer le système (18552774)

SPARC : altération du tas de noyau D-Bus pendant les tentatives de suppression de périphérique bus (18435472)

SPARC : 64 bits : les systèmes de modules rapides PCIe peuvent paniquer par intermittence (18996506)

L'installation d'une zone marquée solaris10 échoue si les ressources fs sont ajoutées à la configuration de zone (19976804)

Problèmes de réseau

Les adresses addrconf ne peuvent pas être configurées en tant qu'adresses de test IPMP (16885440)

SPARC : La création d'une VNIC échoue si une NIC physique est utilisée en tant que net-dev (19188703)

DLMP ne fonctionne pas sur une fonction virtuelle SR-IOV ou un périphérique réseau virtuel dans un domaine invité (17656120)

Problèmes de sécurité

ssh, sshd et Apache activent le moteur pkcs11 OpenSSL par défaut sur les plates-formes T4, T4+ (18762585, 18764604)

Le service ktkt_warn est désactivé par défaut (15774352)

Problèmes de zones de noyau

Les arguments d'initialisation à la commande reboot sont ignorés (18177344)

Les CPU virtuelles utilisant les zones de noyau peuvent bloquer la création de l'ensemble de processeurs ou la reconfiguration dynamique de la CPU (18061724)

Les zones de noyau interfèrent avec l'interruption hardware-counter-overflow (18355260)

SPARC : Les zones de noyau bloquent la migration des domaines hôtes (18289196)

Echec de la commande ipadm avec erreur de mémoire insuffisante (18134702)

Les sous-commandes zoneadm install et clone ne contrôlent pas les périphériques de stockage doubles (18685017)

Problèmes liés au bureau

L'application Evolution s'arrête brutalement après une nouvelle installation (15734404)

SPARC : problèmes liés au bureau avec un clavier, une souris ou un écran physique USB (15700526)

Le démon système D-Bus a une petite limite de descripteur de fichier pour l'utilisation sur serveur Sun Ray ou XDMCP (15812274)

Les utilisateurs de bureau Trusted Extensions sont déconnectés après 15 minutes (18462288)

Problèmes de graphiques et de traitement d'image

x86 : mise à niveau du pilote graphique NVIDIA (18098413)

Problèmes liés aux performances

Récupération compliquée des données ZFS (15942559)

L'inventaire des LUN prend plus d'une minute sur les serveurs M6-32 (18125373)

SPARC : le service EP crée des processus défunts toutes les 24 heures (16311652)

Un fil exécutable reste parfois longtemps dans la file d'attente d'exécution (17697871)

Problèmes matériels

SPARC : les périphériques sur boîte PCI ne peuvent pas être configurés par hotplug sur les systèmes Fujitsu M10 (15813959)

SPARC : le serveur Fujitsu M10 panique quand on quitte un processus (19230723)

Avertissement fault.io.usb.eps sur le périphérique Ethernet USB (16268647)

La réinitialisation du domaine root fait paniquer Oracle VM Server for SPARC (18936032)

SPARC : L'exécution de VTS sur un serveur T3-2 engendre une erreur fatale de la topologie PCIe Fabric (19137125)

Annexe A Bogues précédemment documentés qui sont corrigés dans Oracle Solaris 11.2

Langue :

`ssh`, `sshd` et Apache activent le moteur `pkcs11` OpenSSL par défaut sur les plates-formes T4, T4+ (18762585, 18764604)

A partir d'Oracle Solaris 11.2, les instructions T4 et l'accélération du matériel Intel sont imbriquées dans l'implémentation cryptographique interne OpenSSL pour OpenSSL autre que FIPS-140. Ce changement a une incidence sur les performances de ssh, sshd et Apache car ces services utilisent le moteur pkcs11 OpenSSL par défaut sur les systèmes T4 moteur et les versions ultérieures.

Solution de contournement Pour obtenir des performances maximales, désactivez le moteur pkcs11 OpenSSL.

Suivez ces étapes pour désactiver le moteur pkcs11 pour les services ssh et sshd :

Ajoutez la ligne suivante aux fichiers /etc/ssh/ssh_config et /etc/ssh/sshd_config :
```
UseOpenSSLEngine no
```
Redémarrez le service ssh.
```
# svcadm restart ssh
```

Appliquez les étapes suivantes pour désactiver le moteur pkcs11 pour le service apache22 :

Commentez la ligne suivante dans le fichier /etc/apache2/2.2/conf.d/ssl.conf :
```
# SSLCryptoDevice pkcs11
```
Redémarrez le service apache22.
```
# svcadm restart apache22
```

Remarque - Ce problème ne s'applique qu'au module OpenSSL autre que FIPS-140. Pour plus d'informations sur le module OpenSSL FIPS-140, reportez-vous à Using a FIPS 140 Enabled System in Oracle Solaris 11.2.

Copyright © 2014, 2015, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales