本节介绍了 Oracle Solaris 11.4 发行版中的安全软件问题。
Oracle Solaris 11.4 中的 sxadm 命令使用 HW_BTI 安全扩展为 SPARC 固件中的 CVE-2017-5715(分支目标注入,Spectre 变体 2)提供基于硬件的缓解状态。有关更多信息,请参见 sxadm(8) 手册页。
为了让 sxadm 确定是否启用了此缓解,必须将固件更新到与操作系统沟通此状态的版本。如果未更新固件,sxadm 将报告 HW_BTI 不受支持,即使 HW_BTI 处于启用状态也是如此。
下表显示了支持 HW_BTI 安全扩展的最低固件版本。对于给定的平台,请确保运行指定的固件版本或更高版本。
|
有关 CVE-2017-5715 的 SPARC 缓解的更多信息,请参见 support.oracle.com 上的“Oracle Solaris on SPARC-CVE-2017-5753 (Spectre v1)、CVE-2017-5715 (Spectre v2) 和 CVE-2017-5754 (Meltdown) 漏洞(文档 ID 2349278.1)”。
用于续订用户的 Kerberos 凭据以及警告凭据到期的 ktkt_warn 服务现在缺省被禁用。将显示以下错误消息:
kinit: no ktkt_warnd warning possible
解决方法:选择以下解决方法之一启用该服务:
如果系统已经配置了 Kerberos,可使用 svcadm 命令启用该服务。
# svcadm enable ktkt_warn
如果尚未配置 Kerberos,则可运行 kclient 实用程序配置 Kerberos,这将同时启用 ktkt_warn 服务。
有关 kclient 实用程序的更多信息,请参见 kclient(8) 手册页。
如果对 LDAP 配置文件 /etc/openldap/ldap.conf 和 /etc/openldap/slapd.conf 进行了手动修改,则有关 TLS 加密套件的安全设置可能会不正确。
解决方法:如果您维护您自己的 LDAP 配置文件,请进行以下修改以维护一个安全系统:
在 /etc/openldap/ldap.conf 文件中,设置 TLS_PROTOCOL_MIN 和 TLS_CIPHER_SUITE 值,如下所示:
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
在 /etc/openldap/slapd.conf 中,设置 TLSProtocolMin 和 TLSCipherSuite 值,如下所示:
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
缺省情况下,ssh-dss 密钥处于禁用状态。您必须从 authorized_keys 文件中删除现有的 ssh-dss 密钥并配置新的 ssh-rsa 密钥。否则,在将服务器升级到 Oracle Solaris 11.4 之后,可能无法连接到服务器。
缺省情况下,diffie-hellman-group1-sha1 密钥交换方法处于禁用状态。为了支持安全的密钥交换方法,只应当升级支持此方法的对等服务器。