Go to main content

Oracle® Solaris 11.4 ご使用にあたって

印刷ビューの終了

更新: 2018 年 8 月
 
 

セキュリティーに関する問題

このセクションでは、Oracle Solaris 11.4 リリースにおけるセキュリティーソフトウェアに関する問題について説明します。

sxadmHW_BTI を正しく報告するには、SPARC のファームウェア更新が必要な場合がある (28150745)

Oracle Solaris 11.4 の sxadm コマンドは、SPARC ファームウェアでの CVE-2017-5715 (分岐先インジェクション、Spectre Variant 2) に対するハードウェアベースの軽減のステータスを提供するために、HW_BTI セキュリティー拡張を使用します。詳細は、sxadm(8) のマニュアルページを参照してください。

この軽減が有効になっているかどうかを sxadm で判定するには、このステータスをオペレーティングシステムに伝えるバージョンにファームウェアを更新する必要があります。ファームウェアが更新されていないと、HW_BTI が有効になっている場合でも、sxadmHW_BTI がサポートされていないと報告します。

次の表に、HW_BTI セキュリティー拡張をサポートしている最小のファームウェアバージョンを示します。特定のプラットフォームに対して、指定されているバージョン以降のファームウェアが実行されていることを確認してください。

SPARC M8、T8、M7、T7、S7
SPARC ファームウェア 9.8.6
SPARC M6、M5、T5
SPARC ファームウェア 9.6.23
SPARC T4
SPARC ファームウェア 8.9.11

SPARC の CVE-2017-5715 の軽減について詳しくは、support.oracle.com で「SPARC 上の Oracle Solaris — CVE-2017-5753 (Spectre v1)、CVE-2017-5715 (Spectre v2)、および CVE-2017-5754 (Meltdown) 脆弱性 (ドキュメント ID 2349278.1)」を参照してください。

ktkt_warn サービスがデフォルトで無効である (15774352)

ユーザーの Kerberos 資格の更新および資格の期限切れ警告に使用される ktkt_warn サービスは、デフォルトで無効になりました。次のエラーメッセージが表示されます。 

kinit:  no ktkt_warnd warning possible

回避方法: 次のいずれかの回避方法を選択してサービスを有効にします。

  • システムで Kerberos がすでに構成されている場合は、svcadm コマンドを使用してサービスを有効にします。

    # svcadm enable ktkt_warn

  • Kerberos が構成されていない場合は、kclient ユーティリティーを実行して Kerberos を構成します。このとき、ktkt_warn サービスも有効になります。

    kclient ユーティリティーの詳細は、kclient(8) のマニュアルページを参照してください。

OpenLDAP パッケージ更新の問題 (21577683)

LDAP 構成ファイル /etc/openldap/ldap.conf および /etc/openldap/slapd.conf に対して手動の変更を行なった場合は、TLS 暗号化スイートのセキュリティー設定が正しくない可能性があります。

回避方法: ユーザー独自の LDAP 構成ファイルを保持している場合は、セキュアなシステムを維持するために次の変更を行います。

  • /etc/openldap/ldap.conf ファイルで、TLS_PROTOCOL_MIN および TLS_CIPHER_SUITE 値を次のように設定します。 

    TLS_PROTOCOL_MIN   3.2
TLS_CIPHER_SUITE   TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

  • /etc/openldap/slapd.conf で、TLSProtocolMin および TLSCipherSuite 値を次のように設定します。

    TLSProtocolMin  770
TLSCipherSuite  TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

OpenSSH では、セキュアでないアルゴリズムが無効になる

デフォルトでは、ssh-dss 鍵は無効になっています。既存の ssh-dss 鍵を authorized_keys ファイルから削除し、新しい ssh-rsa 鍵を構成する必要があります。そうしないと、サーバーを Oracle Solaris 11.4 にアップグレードしたあと、サーバーに接続できない可能性があります。

デフォルトでは、diffie-hellman-group1-sha1 鍵交換方式は無効になっています。セキュアな鍵交換方式をサポートするには、この方式をサポートしているピアのみをアップグレードするべきです。

注 -  SSH プロトコルバージョン 1 はサポートされなくなりました。
Copyright © 2018, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ