Go to main content
Oracle® Solaris 11.3 ご使用にあたって

印刷ビューの終了

更新: 2016 年 11 月
 
 

セキュリティーに関する問題

このセクションでは、Oracle Solaris 11.3 リリースにおけるセキュリティーソフトウェアに関する問題について説明します。

T4 および T4+ プラットフォーム上で ssh および sshd によって OpenSSL pkcs11 エンジンがデフォルトで有効になる (18762585)

Oracle Solaris 11.2 以降、T4 命令および Intel ハードウェアアクセラレーションは、非 FIPS-140 OpenSSL の OpenSSL 内部暗号化実装に組み込まれました。ssh および sshd は T4 システム以降のバージョンで OpenSSL pkcs11 エンジンをデフォルトで使用するため、この変更はこれらのサービスのパフォーマンスに影響を与えます。

回避方法: 最高のパフォーマンスを得るには、OpenSSL pkcs11 エンジンを無効にします。

ssh および sshd サービスで pkcs11 エンジンを無効にするには、次の手順を実行します。

  1. 次の行を /etc/ssh/ssh_config および /etc/ssh/sshd_config ファイルに追加します。

    UseOpenSSLEngine no

  2. ssh サービスを再起動します。

    # svcadm restart ssh
注 -  この問題は、OpenSSL の非 FIPS-140 モジュールのみに該当します。OpenSSL FIPS-140 モジュールの場合については、Oracle Solaris 11.3 での FIPS 140 対応システムの使用を参照してください。

ktkt_warn サービスがデフォルトで無効である (15774352)

ユーザーの Kerberos 資格の更新および資格の期限切れ警告に使用される ktkt_warn サービスは、デフォルトで無効になりました。次のエラーメッセージが表示されます。 

kinit:  no ktkt_warnd warning possible

回避方法: 次のいずれかの回避方法を選択してサービスを有効にします。

  • システムで Kerberos がすでに構成されている場合は、svcadm コマンドを使用してサービスを有効にします。

    # svcadm enable ktkt_warn

  • Kerberos が構成されていない場合は、kclient ユーティリティーを実行して Kerberos を構成します。このとき、ktkt_warn サービスも有効になります。

    kclient ユーティリティーの詳細については、kclient(1M) のマニュアルページを参照してください。

door_ucred システムコールがブランドゾーンで正しく機能しない (20425782)

カーネルレベルの暗号化フレームワークデーモン kcfd は、Oracle Solaris 10 を実行しているブランドゾーンでクラッシュする場合があります。このクラッシュは、アプリケーションで 16 個以上の UNIX グループのメンバーであるユーザーが kcfd デーモンを呼び出した場合に発生します。

kcfd デーモンのこの障害によって、svc:/system/cryptosvc:default サービスが保守モードに切り替わる場合もあります。この場合は、さらに libpkcs11 ライブラリが機能を停止します。詳細は、libpkcs11(3LIB) のマニュアルページを参照してください。

このクラッシュにより、ssh や Java などのアプリケーションまたはコマンドも暗号化操作の SPARC ハードウェアアクセラレーションを使用できなくなります。さらに、encryptdecrypt などのその他のアプリケーションまたはコマンドが完全に失敗する可能性があります。

注 -  この問題は、door_ucred システムコールを呼び出すすべてのサービス (nscd(1M)zoneadm(1M)svc.configd(1M)ldap_cachemgr(1M)hotplugd(1M)、iscsitgtd(1M)、picld(1M)labeld(1M)in.iked(1M) など) に影響を与える可能性があります。

回避方法: クラッシュを回避するには、大域ゾーン内のユーザーあたりのグループの最大数を、ユーザーに割り当てることのできるグループの数を超えるように増やします。たとえば、ユーザーを 31 グループに割り当てることができる場合は、大域ゾーン内の /etc/system ファイルに次の行を追加します。

set ngroups_max = 32

ngroups_max に割り当てることのできる最大値は 1024 です。

OpenLDAP パッケージ更新の問題 (21577683)

LDAP 構成ファイル /etc/openldap/ldap.conf および /etc/openldap/slapd.conf に対して手動の変更を行なった場合は、TLS 暗号化スイートのセキュリティー設定が正しくない可能性があります。

回避方法: ユーザー独自の LDAP 構成ファイルを保持している場合は、セキュアなシステムを維持するために次の変更を行います。

  • /etc/openldap/ldap.conf ファイルで、TLS_PROTOCOL_MIN および TLS_CIPHER_SUITE 値を次のように設定します。 

    TLS_PROTOCOL_MIN   3.2
TLS_CIPHER_SUITE   TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

  • /etc/openldap/slapd.conf で、TLSProtocolMin および TLSCipherSuite 値を次のように設定します。

    TLSProtocolMin  770
TLSCipherSuite  TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Copyright © 2015, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ