ssh、sshd 和 Apache 在 T4、T4+ 平台上缺省启用 OpenSSL pkcs11 引擎 (18762585, 18764604) - Oracle® Solaris 11.2 发行说明

Oracle^® Solaris 11.2 发行说明

退出打印视图

» ...Documentation Home » Oracle Solaris 11.2 Information Library (简体中文) » Oracle^® Solaris 11.2 发行说明 » 运行时问题 » 安全问题 » ssh、sshd 和 Apache 在 T4、T4+ 平台上缺省启用 OpenSSL ...

更新时间： 2015 年 5 月

Oracle^® Solaris 11.2 发行说明

使用本文档

第 1 章开始之前

第 2 章安装问题

第 3 章更新问题

第 4 章运行时问题

x86：如果主引导记录中的 EFI_PMBR 项未处于活动状态，则某些带有 BIOS 固件的系统会不引导 (15796456)

SPARC：带 GPT 标签的磁盘支持

x86：在 Oracle VM VirtualBox 上以 UEFI 模式从 ISO 映像引导时速度很慢

x86：Oracle Solaris 在使用较旧的 Emulex FC HBA 卡的磁盘上不引导 (15806304)

当 WCE LUN 获取开机重置指令时，ZFS 应重试或中止整个事务 (15662604)

系统配置问题

SPARC：系统无法引导 iSCSI 存储阵列上的 iSCSI LUN (15775115)

root.sh 为 Oracle Solaris 区域中的 IPv4 或 IPv6 启动 nodeapps 失败 (19080861, 18922918)

文件系统问题

在 Oracle Solaris 系统上替换或使用新的高级格式磁盘驱动器时的问题

系统管理问题

对拆分的清单执行 svccfg validate 命令失败 (15891161)

x86：运行带有 e 选项的 stmsboot 命令后，ZFS 池信息变为过时 (15791271)

系统引导期间出现 LDAP 警告 (15805913)

引导期间显示控制台消息 (16756035)

SPARC：暂停 M5000 服务器可能会挂起系统 (18552774)

SPARC：尝试删除总线设备时 D-Bus 内核堆损坏 (18435472)

SPARC：64 位：PCIe Express 模块系统可能会间歇性地出现紧急情况 (18996506)

如果将 fs 资源添加到区域配置，则 solaris10 标记区域安装会失败 (19976804)

无法将 addrconf 地址配置为 IPMP 测试地址 (16885440)

SPARC：如果将物理 NIC 用作 net-dev，则创建 VNIC 会失败 (19188703)

在来宾域中，DLMP 对 SR-IOV 虚拟功能或虚拟网络设备不起作用 (17656120)

ssh、sshd 和 Apache 在 T4、T4+ 平台上缺省启用 OpenSSL pkcs11 引擎 (18762585, 18764604)

ktkt_warn 服务缺省情况下被禁用 (15774352)

内核区域问题

reboot 命令的引导参数被忽略 (18177344)

使用虚拟 CPU 的内核区域可能会阻止处理器集创建或 CPU 动态重新配置 (18061724)

内核区域干扰 hardware-counter-overflow 中断 (18355260)

SPARC：内核区域阻止来宾域的实时迁移 (18289196)

ipadm 失败，出现内存不足错误 (18134702)

zoneadm install 和 clone 子命令不检查重复存储设备 (18685017)

Evolution 应用程序在新安装后崩溃 (15734404)

SPARC：与 USB 键盘、鼠标和物理显示器相关的桌面问题 (15700526)

使用 Sun Ray 或 XDMCP 服务器时，D-Bus 系统守护进程的文件描述符限制过小 (15812274)

Trusted Extensions 桌面用户在 15 分钟后注销 (18462288)

图形和成像问题

x86：NVIDIA 图形驱动程序升级 (18098413)

无法轻松回收 ZFS 数据 (15942559)

在 M6-32 服务器上列出 LUN 所需时间超过一分钟 (18125373)

SPARC：EP 服务每隔 24 小时创建无效进程 (16311652)

可运行的线程有时会在运行队列中停留较长的时间 (17697871)

SPARC：在 Fujitsu M10 系统上不能通过 hotplug 配置 PCI 盒中的设备 (15813959)

SPARC：Fujitsu M10 服务器在进程退出过程中出现紧急情况 (19230723)

USB 以太网设备显示 fault.io.usb.eps 警告 (16268647)

重新引导根域导致 Oracle VM Server for SPARC 出现紧急情况 (18936032)

SPARC：在 T3-2 服务器上运行 VTS 导致在 PCIe 光纤网络中出现致命错误 (19137125)

附录 A 在 Oracle Solaris 11.2 发行版中已修复的以前记录的错误

语言：

`ssh`、`sshd` 和 Apache 在 T4、T4+ 平台上缺省启用 OpenSSL `pkcs11` 引擎 (18762585, 18764604)

从 Oracle Solaris 11.2 开始，T4 指令和 Intel 硬件加速已嵌入到非 FIPS-140 OpenSSL 的 OpenSSL 内部加密实现中。此项更改会影响 ssh、sshd 和 Apache 的性能，因为这些服务缺省情况下在 T4 系统及更高版本上使用 OpenSSL pkcs11 引擎。

解决方法：要获得最大性能，可禁用 OpenSSL pkcs11 引擎。

执行以下步骤可为 ssh 和 sshd 服务禁用 pkcs11 引擎：

向 /etc/ssh/ssh_config 和 /etc/ssh/sshd_config 文件中添加以下行：
```
UseOpenSSLEngine no
```
重新启动 ssh 服务。
```
# svcadm restart ssh
```

执行以下步骤可为 apache22 服务禁用 pkcs11 引擎：

注释掉 /etc/apache2/2.2/conf.d/ssl.conf 文件中的以下行：
```
# SSLCryptoDevice pkcs11
```
重新启动 apache22 服务。
```
# svcadm restart apache22
```

注 - 此问题仅适用于 OpenSSL 非 FIPS-140 模块。有关 OpenSSL FIPS-140 模块的信息，请参见Using a FIPS 140 Enabled System in Oracle Solaris 11.2。

版权所有 © 2014, 2015, Oracle 和/或其附属公司。保留所有权利。法律声明