Go to main content

Oracle® Solaris 11.4 릴리스 노트

인쇄 보기 종료

업데이트 날짜: 2018년 8월
 
 

보안 문제

이 절에서는 Oracle Solaris 11.4 릴리스의 보안 소프트웨어 관련 문제에 대해 설명합니다.

sxadmHW_BTI를 올바르게 보고하려면 SPARC 펌웨어 업데이트가 필요할 수 있음(28150745)

Oracle Solaris 11.4의 sxadm 명령은 SPARC 펌웨어에서 CVE-2017-5715(Branch Target Injection, Spectre Variant 2)에 대한 하드웨어 기반 완화 상태를 제공하기 위해 HW_BTI 보안 확장을 사용합니다. 자세한 내용은 sxadm(8) 매뉴얼 페이지를 참조하십시오.

sxadm에서 이 완화가 사용으로 설정되었는지 여부를 확인하기 위해서는 이 상태를 운영체제에 알리는 버전으로 펌웨어를 업데이트해야 합니다. 펌웨어가 업데이트되지 않은 경우 HW_BTI가 사용으로 설정된 경우라도 sxadm에서 HW_BTI가 지원되지 않는 것으로 보고됩니다.

다음 테이블은 HW_BTI 보안 확장을 지원하는 최소 펌웨어 버전을 보여줍니다. 해당 펌웨어에 대해 지정된 펌웨어 버전 이상을 실행 중인지 확인하십시오.

SPARC M8, T8, M7, T7, S7
SPARC 펌웨어 9.8.6
SPARC M6, M5, T5
SPARC 펌웨어 9.6.23
SPARC T4
SPARC 펌웨어 8.9.11

CVE-2017-5715를 위한 SPARC 완화에 대한 자세한 내용은 support.oracle.com의 "Oracle Solaris on SPARC — CVE-2017-5753 (Spectre v1), CVE-2017-5715 (Spectre v2), and CVE-2017-5754 (Meltdown) Vulnerabilities (Doc ID 2349278.1)"을 참조하십시오.

ktkt_warn 서비스가 기본적으로 사용 안함으로 설정됨(15774352)

사용자의 Kerberos 자격 증명을 갱신하고 자격 증명 만료를 경고하는 데 사용되는 ktkt_warn 서비스는 이제 기본적으로 사용 안함으로 설정됩니다. 다음과 같은 오류 메시지가 나타납니다.

kinit:  no ktkt_warnd warning possible

임시해결책: 다음 임시해결책 중 하나를 선택하여 서비스를 사용으로 설정하십시오.

  • 시스템에 이미 Kerberos가 구성된 경우 svcadm 명령을 사용하여 서비스를 사용으로 설정하십시오.

    # svcadm enable ktkt_warn

  • Kerberos가 구성되지 않은 경우 kclient 유틸리티를 실행하여 Kerberos를 구성합니다. 그러면 ktkt_warn 서비스도 사용으로 설정됩니다.

    kclient 유틸리티에 대한 자세한 내용은 kclient(8) 매뉴얼 페이지를 참조하십시오.

OpenLDAP 패키지 업데이트 문제(21577683)

LDAP 구성 파일 /etc/openldap/ldap.conf/etc/openldap/slapd.conf를 수동으로 수정한 경우 TLS 암호 슈트에 대한 보안 설정이 올바르지 않을 수 있습니다.

임시해결책: 고유한 LDAP 구성 파일을 유지 관리하는 경우 다음과 같이 수정하는 데 보안 시스템을 유지 관리하십시오.

  • /etc/openldap/ldap.conf 파일에서 TLS_PROTOCOL_MINTLS_CIPHER_SUITE 값을 다음과 같이 설정합니다. 

    TLS_PROTOCOL_MIN   3.2
TLS_CIPHER_SUITE   TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

  • /etc/openldap/slapd.conf 파일에서 TLSProtocolMinTLSCipherSuite 값을 다음과 같이 설정합니다.

    TLSProtocolMin  770
TLSCipherSuite  TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA

OpenSSH에서 사용 안함으로 설정된 비보안 알고리즘

기본적으로 ssh-dss 키는 사용 안함으로 설정됩니다. authorized_keys 파일에서 기존 ssh-dss 키를 제거하고 새로운 ssh-rsa 키를 구성해야 합니다. 그렇지 않으면 서버가 Oracle Solaris 11.4로 업그레이드된 다음 서버에 연결하지 못할 수 있습니다.

기본적으로 diffie-hellman-group1-sha1 키 교환 방법은 사용 안함으로 설정됩니다. 이 방법을 지원하는 피어만 보안 키 교환 방법을 지원하도록 업그레이드해야 합니다.

주 -  SSH 프로토콜 버전 1은 더 이상 지원되지 않습니다.
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. 
이전
다음