ssh, sshd y el motor pkcs11 de OpenSSL compatible con Apache de manera predeterminada en T4, T4+ plataformas (18762585, 18764604) - Notas de la versión de Oracle® Solaris 11.2

Notas de la versión de Oracle^® Solaris 11.2

Salir de la Vista de impresión

» ...Documentation Home » Notas de la versión de ... » Problemas de tiempo de ejecución » Problemas de seguridad » ssh, sshd y el motor pkcs11 de OpenSSL ...

Actualización: Mayo de 2015

Notas de la versión de Oracle^® Solaris 11.2

Información del documento

Uso de esta documentación

Capítulo 1 Antes de empezar

Capítulo 2 Problemas de instalación

Capítulo 3 Problemas de actualización

Capítulo 4 Problemas de tiempo de ejecución

Problemas de firmware

x86: algunos sistemas con firmware BIOS no inician si la entrada EFI_PMBR en el registro de inicio maestro es no está activa (15796456)

SPARC: compatibilidad con un disco con etiqueta GPT

x86: el inicio en modo UEFI desde la imagen ISO es muy lento en Oracle VM VirtualBox

x86: Oracle Solaris no se inicia en discos con tarjetas HBA FC Emulex (15806304) más antiguas

ZFS debe reintentar o cancelar toda una transacción cuando un LUN de la caché de escritura activada (WCE) obtiene un restablecimiento de encendido (15662604)

Problemas de configuración del sistema

SPARC: el sistema no inicia un LUN iSCSI en una matriz de almacenamiento iSCSI (15775115)

root.sh no puede iniciar nodeapps para IPv4 o IPv6 en una zona de Oracle Solaris (19080861, 18922918)

Problema del sistema de archivos

Problemas al reemplazar o usar unidades de disco de nuevo formato avanzado en sistemas Oracle Solaris

Problemas de administración del sistema

El comando svccfg validate falla en un manifiesto de división (15891161)

x86: la información de la agrupación ZFS pasa a estar obsoleta después de ejecutar el comando stmsboot con la opción e (15791271)

Advertencias de LDAP durante el inicio del sistema (15805913)

Mensaje de consola aparece durante el inicio (16756035)

SPARC: la suspensión de un servidor M5000 podría bloquear el sistema (18552774)

SPARC: daño de pila de núcleo de D-Bus al intentar quitar un dispositivo de bus (18435472)

SPARC: 64 bits: los sistemas del módulo PCIe Express podrían generar avisos graves intermitentes (18996506)

La instalación de la zona con marca solaris10 falla si los recursos fs se agregan a la configuración de la zona (19976804)

Problemas de red

Las direcciones addrconf no se pueden configurar como direcciones de prueba IPMP (16885440)

SPARC: creación de una VNIC falla si una NIC física se utiliza como net-dev (19188703)

DLMP no funciona en una función virtual SR-IOV o un dispositivo de red virtual en un dominio invitado (17656120)

Problemas de seguridad

ssh, sshd y el motor pkcs11 de OpenSSL compatible con Apache de manera predeterminada en T4, T4+ plataformas (18762585, 18764604)

El servicio ktkt_warn está desactivado de manera predeterminada (15774352)

Problemas de zonas de núcleo

Se ignoran los argumentos de inicio para el comando reboot (18177344)

Es posible que las zonas núcleo que utilizan CPU virtuales bloqueen la creación del conjunto de procesadores o la reconfiguración dinámica de CPU (18061724)

Interferencia de zonas de núcleo con la interrupción hardware-counter-overflow (18355260)

SPARC: las zonas de núcleo bloquean la migración en vivo de dominios invitados (18289196)

ipadm falla con el error de memoria insuficiente (18134702)

Los subcomandos zoneadm install y clone no buscan dispositivos de almacenamiento duplicados (18685017)

Problemas de escritorio

La aplicación Evolution se bloquea después de la nueva instalación (15734404)

SPARC: problemas de escritorio con monitor físico, mouse y teclado USB (15700526)

El daemon del sistema D-Bus tiene un límite bajo de descriptores de archivos para el uso de servidores Sun Ray o XDMCP (15812274)

Los usuarios de escritorio de Trusted Extensions se desconectan después de 15 minutos (18462288)

Problema de gráficos y creación de imágenes

x86: actualización de controlador de gráficos NVIDIA (18098413)

Problemas de rendimiento

Los datos ZFS no pueden reclamarse fácilmente (15942559)

La enumeración de LUN tarda más de un minuto en los servidores M6-32 (18125373)

SPARC: el servicio EP crea procesos inactivos cada 24 horas (16311652)

El subproceso ejecutable ocasionalmente permanece en cola de ejecución por un período más largo (17697871)

Problemas del hardware

SPARC: los dispositivos de la caja de PCI no se pueden configurar mediante hotplug en sistemas Fujitsu M10 (15813959)

SPARC: el servidor Fujitsu M10 emite avisos graves durante la salida del proceso (19230723)

Advertencia de fault.io.usb.eps en el dispositivo Ethernet USB (16268647)

El reinicio del dominio raíz hace que Oracle VM Server for SPARC emita avisos graves (18936032)

SPARC: la ejecución de VTS en un servidor T3-2 provoca un error fatal en el tejido PCIe (19137125)

Apéndice A Errores documentados con anterioridad que están corregidos en la versión Oracle Solaris 11.2

Idioma:

`ssh`, `sshd` y el motor `pkcs11` de OpenSSL compatible con Apache de manera predeterminada en T4, T4+ plataformas (18762585, 18764604)

A partir de Oracle Solaris 11.2, las instrucciones de T4 y la aceleración por hardware Intel están integradas en la implementación de cifrado interno de OpenSSL para OpenSSL que no cumple con FIPS-140. Este cambio afecta el rendimiento de ssh, sshd y Apache debido a que estos servicios utilizan el motor pkcs11 de OpenSSL de manera predeterminada en los sistemas T4 y versiones posteriores.

Solución alternativa: para obtener el máximo rendimiento, desactive el motor pkcs11 de OpenSSL.

Realice los siguientes pasos para desactivar el motor pkcs11 para los servicios ssh y sshd:

Agregue la siguiente línea a los archivos /etc/ssh/ssh_config y /etc/ssh/sshd_config:
```
UseOpenSSLEngine no
```
Reinicie el servicio ssh.
```
# svcadm restart ssh
```

Realice los siguientes pasos para desactivar el motor pkcs11 para el servicio apache22:

Comente la siguiente línea en el archivo /etc/apache2/2.2/conf.d/ssl.conf:
```
# SSLCryptoDevice pkcs11
```
Reinicie el servicio apache22.
```
# svcadm restart apache22
```

Notas - Este problema es aplicable solo al módulo de OpenSSL que no cumple con FIPS-140. Para obtener información sobre el módulo de OpenSSL que cumple con FIPS-140, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2.

Copyright © 2014, 2015, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal