Go to main content

Oracle® Solaris 11.3 릴리스 노트

인쇄 보기 종료

업데이트 날짜: 2016년 11월
 
 

보안 문제

이 절에서는 Oracle Solaris 11.3 릴리스의 보안 소프트웨어 관련 문제에 대해 설명합니다.

기본적으로 T4, T4+ 플랫폼에 있는 sshsshd Enable OpenSSL pkcs11 엔진(18762585)

Oracle Solaris 11.2부터 T4 명령 및 Intel 하드웨어 가속이 non-FIPS-140 OpenSSL에 대한 OpenSSL 내부 암호화 구현에 포함됩니다. 따라서 이러한 서비스가 기본적으로 T4 시스템 및 이후 버전에서 OpenSSL pkcs11 엔진을 사용하기 때문에 이러한 변화는 ssh, sshd 성능에 영향을 줍니다.

임시해결책: 최대 성능을 얻기 위해서는 OpenSSL pkcs11 엔진을 사용 안함으로 설정하십시오.

다음 단계에 따라 sshsshd 서비스에 대해 pkcs11 엔진을 사용 안함으로 설정합니다.

  1. /etc/ssh/ssh_config/etc/ssh/sshd_config 파일에 다음 라인을 추가합니다.

    UseOpenSSLEngine no

  2. ssh 서비스를 다시 시작합니다.

    # svcadm restart ssh
주 -  이 문제는 OpenSSL non-FIPS-140 모듈에만 적용됩니다. OpenSSL FIPS-140 모듈에 대한 자세한 내용은 Oracle Solaris 11.3의 FIPS 140 지원 시스템 사용을 참조하십시오.

ktkt_warn 서비스가 기본적으로 사용 안함으로 설정됨(15774352)

사용자의 Kerberos 자격 증명을 갱신하고 자격 증명 만료를 경고하는 데 사용되는 ktkt_warn 서비스는 이제 기본적으로 사용 안함으로 설정됩니다. 다음과 같은 오류 메시지가 나타납니다.

kinit:  no ktkt_warnd warning possible

임시해결책: 다음 임시해결책 중 하나를 선택하여 서비스를 사용으로 설정하십시오.

  • 시스템에 이미 Kerberos가 구성된 경우 svcadm 명령을 사용하여 서비스를 사용으로 설정하십시오.

    # svcadm enable ktkt_warn

  • Kerberos가 구성되지 않은 경우 kclient 유틸리티를 실행하여 Kerberos를 구성합니다. 그러면 ktkt_warn 서비스도 사용으로 설정됩니다.

    kclient 유틸리티에 대한 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.

door_ucred 시스템 호출이 브랜드 영역에서 제대로 작동하지 않음(20425782)

커널 레벨 암호화 프레임워크 데몬 kcfd가 Oracle Solaris 10을 실행하는 브랜드 영역에서 충돌할 수 있습니다. 16개 이상의 UNIX 그룹에 속해 있는 사용자가 응용 프로그램에서 kcfd 데몬을 호출하는 경우에 충돌이 발생합니다.

kcfd 데몬 오류로 인해 svc:/system/cryptosvc:default 서비스가 유지 관리 모드로 전환되고, libpkcs11 라이브러리가 작동을 멈출 수도 있습니다. 자세한 내용은 libpkcs11(3LIB) 매뉴얼 페이지를 참조하십시오.

또한 충돌로 인해 응용 프로그램 또는 명령(예: ssh 및 Java)이 암호화 작업의 SPARC 하드웨어 가속을 사용할 수 없게 되고, 다른 응용 프로그램 또는 명령(예: encryptdecrypt)이 완전히 실패할 수도 있습니다.

주 -  이 문제는 nscd(1M), zoneadm(1M), svc.configd(1M), ldap_cachemgr(1M), hotplugd(1M), iscsitgtd(1M), picld(1M), labeld(1M), in.iked(1M)door_ucred 시스템 호출을 호출하는 모든 서비스에 잠재적으로 영향을 미칩니다.

임시해결책: 충돌을 방지하려면 전역 영역의 사용자당 최대 그룹 수가 사용자를 지정할 수 있는 그룹 수를 초과하도록 최대값을 늘리십시오. 예를 들어 사용자를 31개 그룹에 지정할 수 있는 경우 전역 영역의 /etc/system 파일에 다음 라인을 추가하십시오.

set ngroups_max = 32

ngroups_max에 지정할 수 있는 최대값은 1024입니다.

OpenLDAP 패키지 업데이트 문제(21577683)

LDAP 구성 파일 /etc/openldap/ldap.conf/etc/openldap/slapd.conf를 수동으로 수정한 경우 TLS 암호 슈트에 대한 보안 설정이 올바르지 않을 수 있습니다.

임시해결책: 고유한 LDAP 구성 파일을 유지 관리하는 경우 다음과 같이 수정하는 데 보안 시스템을 유지 관리하십시오.

  • /etc/openldap/ldap.conf 파일에서 TLS_PROTOCOL_MINTLS_CIPHER_SUITE 값을 다음과 같이 설정합니다. 

    TLS_PROTOCOL_MIN   3.2
TLS_CIPHER_SUITE   TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

  • /etc/openldap/slapd.conf 파일에서 TLSProtocolMinTLSCipherSuite 값을 다음과 같이 설정합니다.

    TLSProtocolMin  770
TLSCipherSuite  TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Copyright © 2015, 2016, Oracle and/or its affiliates. All rights reserved. 
이전
다음