Cette section décrit les problèmes relatifs au logiciel de sécurité dans la version Oracle Solaris11.4.
La commande sxadm dans Oracle Solaris 11.4 utilise l'extension de sécurité HW_BTI pour fournir le statut de la réduction matérielle pour CVE-2017-5715 (injection cible de branche, variante 2 de Spectre) dans le microprogramme SPARC. Pour plus d'informations, reportez-vous à la page de manuel sxadm(8).
Pour que sxadm puisse déterminer si cette réduction est activée, le microprogramme doit être mis à jour à une version qui communique ce statut au système d'exploitation. Si le microprogramme n'est pas mis à jour, la commande sxadm indique que l'extension HW_BTI n'est pas prise en charge, même si elle est activée.
Le tableau suivant indique la version minimale du microprogramme qui prend en charge l'extension de sécurité HW_BTI. En fonction de la plate-forme, assurez-vous que vous exécutez la version spécifiée du microprogramme ou une version plus récente.
|
Pour plus d'informations sur les réductions SPARC pour CVE-2017-5715, reportez-vous au document "Vulnérabilités d'Oracle Solaris sur SPARC — CVE-2017-5753 (Spectre v1), CVE-2017-5715 (Spectre v2) et CVE-2017-5754 (Meltdown) (Doc ID 2349278.1)" sur support.oracle.com.
Le service ktkt_warn, utilisé pour renouveler les informations d'identification Kerberos d'un utilisateur et pour annoncer l'expiration de ces informations est à présent désactivé par défaut. Le message d'erreur suivant s'affiche :
kinit: no ktkt_warnd warning possible
Solution de contournement : Sélectionnez l'une des solutions de contournement suivantes pour activer le service :
Si Kerberos est déjà configuré sur le système, utilisez la commande svcadm pour activer le service.
# svcadm enable ktkt_warn
Si Kerberos n'est pas déjà configuré, exécutez l'utilitaire kclient pour configurer Kerberos, ce qui activera le service ktkt_warn.
Pour plus d'informations sur l'utilitaire kclient, reportez-vous à la page de manuel kclient(8).
Si vous avez apporté des modifications manuelles aux fichiers de configuration LDAP /etc/openldap/ldap.conf et /etc/openldap/slapd.conf, les paramètres de sécurité pour la suite de chiffrement TLS risquent d'être incorrects.
Solution de contournement : si vous gérez vous-même vos fichiers de configuration LDAP, apportez les modifications suivantes pour conserver un système sécurisé :
Dans le fichier /etc/openldap/ldap.conf, définissez les valeurs TLS_PROTOCOL_MIN et TLS_CIPHER_SUITE comme suit :
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Dans le fichier /etc/openldap/slapd.conf, définissez les valeurs TLSProtocolMin et TLSCipherSuite comme suit :
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Par défaut, les clés ssh-dss sont désactivées. Vous devez supprimer les clés ssh-dss existantes des fichiers authorized_keys et configurer les nouvelles clés ssh-rsa. Sinon, vous risquez de ne pas pouvoir vous connecter au serveur lorsque celui-ci aura été mis à niveau vers Oracle Solaris 11.4.
Par défaut, la méthode d'échange de clés diffie-hellman-group1-sha1 est désactivée. Seuls les homologues qui prennent en charge cette méthode devraient être mis à niveau pour prendre en charge une méthode sécurisée.