Go to main content

Oracle® Solaris 11.3 – Versionshinweise

Druckansicht beenden

Aktualisiert: November 2016
 
 

Sicherheitsprobleme

In diesem Abschnitt werden Probleme bei der Sicherheitssoftware im Oracle Solaris 11.3-Release beschrieben.

ssh und sshd aktivieren OpenSSL pkcs11-Engine standardmäßig auf T4-, T4+-Plattformen (18762585)

Ab Oracle Solaris 11.2 sind T4-Anweisungen und Intel-Hardwarebeschleunigung in der internen OpenSSL-Kryptoimplementierung bei Nicht-FIPS-140 OpenSSL eingebettet. Diese Änderung wirkt sich auf die Leistung von ssh und sshd aus, weil diese Services standardmäßig die OpenSSL pkcs11-Engine auf T4-Systemen und späteren Versionen verwenden.

Problemumgehung: Zur optimalen Leistung deaktivieren Sie die OpenSSL pkcs11-Engine.

Führen Sie die folgenden Schritte aus, um die pkcs11-Engine für ssh- und sshd-Services zu deaktivieren:

  1. Fügen Sie die folgende Zeile zu den Dateien /etc/ssh/ssh_config und /etc/ssh/sshd_config hinzu:

    UseOpenSSLEngine no
  2. Starten Sie den ssh-Service neu.

    # svcadm restart ssh

Hinweis -  Dieses Problem tritt nur bei dem OpenSSL Non-FIPS-140-Modul auf. Informationen zu dem OpenSSL FIPS-140-Modul finden Sie in Using a FIPS 140 Enabled System in Oracle Solaris 11.3.

ktkt_warn-Service ist standardmäßig deaktiviert (15774352)

Der ktkt_warn-Service, der zur Erneuerung der Kerberos-Zugangsdaten eines Benutzers und zur Warnung vor dem Ablauf der Zugangsdaten verwendet wird, ist jetzt standardmäßig deaktiviert. Folgende Fehlermeldung wird möglicherweise angezeigt:

kinit:  no ktkt_warnd warning possible

Problemumgehung: Wählen Sie eine der folgenden Methoden, um den Service zu aktivieren:

  • Wenn Kerberos bereits in dem System konfiguriert ist, aktivieren Sie den Service mit dem Befehl svcadm.

    # svcadm enable ktkt_warn
  • Wenn Kerberos nicht konfiguriert wurde, führen Sie das kclient-Dienstprogramm aus, um Kerberos zu konfigurieren; dadurch wird auch der ktkt_warn-Service aktiviert.

    Weitere Informationen zu dem kclient-Dienstprogramm finden Sie in der kclient(1M)-Manpage.

Der Systemaufruf door_ucred funktioniert in Branded Zones nicht ordnungsgemäß (20425782)

Der kryptografische Framework-Daemon auf Kernel-Ebene, kcfd, kann in Branded Zones unter Oracle Solaris 10 abstürzen. Dies geschieht, wenn eine Anwendung den kcfd-Daemon für einen Benutzer aufruft, der Mitglied von 16 oder mehr UNIX-Gruppen ist.

Dieser Fehler des kcfd-Daemons könnte auch dazu führen, dass der svc:/system/cryptosvc:default-Service in den Wartungsmodus geschaltet wird, was wiederum dazu führt, dass die libpkcs11-Bibliothek nicht mehr arbeitet. Weitere Informationen finden Sie in der Manpage libpkcs11(3LIB).

Dieser Crash führt auch dazu, dass Anwendungen oder Befehle wie ssh und Java die SPARC-Hardwarebeschleunigung von kryptografischen Vorgängen nicht nutzen können, und dass andere Anwendungen und Befehle wie encrypt und decrypt vollständig ausfallen.


Hinweis -  Dieses Problem wirkt sich potenziell auf alle Services aus, die den door_ucred-Systemaufruf aufrufen, wie nscd(1M), zoneadm(1M), svc.configd(1M), ldap_cachemgr(1M), hotplugd(1M), iscsitgtd(1M), picld(1M), labeld(1M) und in.iked(1M).

Problemumgehung: Um Abstürze zu vermeiden, erhöhen Sie die maximale Anzahl von Gruppen pro Benutzer in der globalen Zone, sodass sie die Anzahl von Gruppen überschreitet, die einem Benutzer zugewiesen werden können. Beispiel: Wenn ein Benutzer 31 Gruppen zugewiesen werden kann, würden Sie die folgende Zeile zu der Datei /etc/system in der globalen Zone hinzufügen:

set ngroups_max = 32

Der maximale Wert, der ngroups_max zugewiesen werden kann, beträgt 1024.

Problem beim Update von OpenLDAP-Package (21577683)

Wenn Sie manuelle Änderungen an den LDAP-Konfigurationsdateien /etc/openldap/ldap.conf und /etc/openldap/slapd.conf vorgenommen haben, sind die Sicherheitseinstellungen für die TLS-Cipher Suite möglicherweise falsch.

Problemumgehung: Wenn Sie Ihre eigenen LDAP-Konfigurationsdateien verwalten, müssen Sie die folgenden Änderungen vornehmen, um die Sicherheit des Systems zu gewährleisten:

  • Legen Sie in der Datei /etc/openldap/ldap.conf die Werte TLS_PROTOCOL_MIN und TLS_CIPHER_SUITE folgendermaßen fest:

    TLS_PROTOCOL_MIN   3.2
    TLS_CIPHER_SUITE   TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
  • Legen Sie in der Datei /etc/openldap/slapd.conf die Werte TLSProtocolMin und TLSCipherSuite folgendermaßen fest:

    TLSProtocolMin  770
    TLSCipherSuite  TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA