このセクションでは、Oracle Solaris 11.4 リリースにおけるセキュリティーソフトウェアに関する問題について説明します。
Oracle Solaris 11.4 の sxadm コマンドは、SPARC ファームウェアでの CVE-2017-5715 (分岐先インジェクション、Spectre Variant 2) に対するハードウェアベースの軽減のステータスを提供するために、HW_BTI セキュリティー拡張を使用します。詳細は、sxadm(8) のマニュアルページを参照してください。
この軽減が有効になっているかどうかを sxadm で判定するには、このステータスをオペレーティングシステムに伝えるバージョンにファームウェアを更新する必要があります。ファームウェアが更新されていないと、HW_BTI が有効になっている場合でも、sxadm は HW_BTI がサポートされていないと報告します。
次の表に、HW_BTI セキュリティー拡張をサポートしている最小のファームウェアバージョンを示します。特定のプラットフォームに対して、指定されているバージョン以降のファームウェアが実行されていることを確認してください。
|
SPARC の CVE-2017-5715 の軽減について詳しくは、support.oracle.com で「SPARC 上の Oracle Solaris — CVE-2017-5753 (Spectre v1)、CVE-2017-5715 (Spectre v2)、および CVE-2017-5754 (Meltdown) 脆弱性 (ドキュメント ID 2349278.1)」を参照してください。
ユーザーの Kerberos 資格の更新および資格の期限切れ警告に使用される ktkt_warn サービスは、デフォルトで無効になりました。次のエラーメッセージが表示されます。
kinit: no ktkt_warnd warning possible
回避方法: 次のいずれかの回避方法を選択してサービスを有効にします。
システムで Kerberos がすでに構成されている場合は、svcadm コマンドを使用してサービスを有効にします。
# svcadm enable ktkt_warn
Kerberos が構成されていない場合は、kclient ユーティリティーを実行して Kerberos を構成します。このとき、ktkt_warn サービスも有効になります。
kclient ユーティリティーの詳細は、kclient(8) のマニュアルページを参照してください。
LDAP 構成ファイル /etc/openldap/ldap.conf および /etc/openldap/slapd.conf に対して手動の変更を行なった場合は、TLS 暗号化スイートのセキュリティー設定が正しくない可能性があります。
回避方法: ユーザー独自の LDAP 構成ファイルを保持している場合は、セキュアなシステムを維持するために次の変更を行います。
/etc/openldap/ldap.conf ファイルで、TLS_PROTOCOL_MIN および TLS_CIPHER_SUITE 値を次のように設定します。
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
/etc/openldap/slapd.conf で、TLSProtocolMin および TLSCipherSuite 値を次のように設定します。
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
デフォルトでは、ssh-dss 鍵は無効になっています。既存の ssh-dss 鍵を authorized_keys ファイルから削除し、新しい ssh-rsa 鍵を構成する必要があります。そうしないと、サーバーを Oracle Solaris 11.4 にアップグレードしたあと、サーバーに接続できない可能性があります。
デフォルトでは、diffie-hellman-group1-sha1 鍵交換方式は無効になっています。セキュアな鍵交換方式をサポートするには、この方式をサポートしているピアのみをアップグレードするべきです。