En esta sección, se describen los problemas que pueden surgir con el software de seguridad en la versión Oracle Solaris 11.4.
El comando sxadm de Oracle Solaris 11.4 usa la extensión de seguridad HW_BTI para proporcionar el estado de la mitigación basada en hardware para CVE-2017-5715 (inyección de destino de sucursal, Spectre Variant 2) en el firmware de SPARC. Para obtener más información, consulte la página del comando man sxadm(8).
Para que sxadm determine si la mitigación está activada, el firmware se debe actualizar con una versión que comunique este estado al sistema operativo. Si el firmware no está actualizado, sxadm informa que no se admite HW_BTI, aun cuando HW_BTI esté activada.
En la siguiente tabla, se muestra la versión de firmware mínima que admite la extensión de seguridad HW_BTI. Para la plataforma determinada, asegúrese de estar ejecutando la versión de firmware especificada o una más reciente.
|
Para obtener más información sobre mitigaciones de SPARC para CVE-2017-5715, consulte “Oracle Solaris sobre SPARC: Vulnerabilidades CVE-2017-5753 (Spectre v1), CVE-2017-5715 (Spectre v2) y CVE-2017-5754 (Meltdown) (ID de documento 2349278.1)” en support.oracle.com.
El servicio ktkt_warn, utilizado para renovar las credenciales de Kerberos de un usuario y advertir sobre la caducidad de las credenciales, está ahora desactivado de manera predeterminada. Aparecerá el siguiente mensaje de error:
kinit: no ktkt_warnd warning possible
Solución alternativa: elija una de las siguientes soluciones alternativas para activar el servicio:
Si el sistema ya tiene Kerberos configurado, utilice el comando svcadm para activar el servicio.
# svcadm enable ktkt_warn
Si no se ha configurado Kerberos, ejecute la utilidad kclient para configurar Kerberos, que también activará el servicio ktkt_warn.
Para obtener más información sobre la utilidad kclient, consulte la página del comando man kclient(8).
Si realizó modificaciones manuales a los archivos de configuración de LDAP /etc/openldap/ldap.conf y /etc/openldap/slapd.conf, es posible que la configuración de seguridad del conjunto de cifrado de TLS sea incorrecta.
Solución alternativa: si mantiene los archivos de configuración de LDAP, realice las siguientes modificaciones para mantener un sistema seguro:
En el archivo /etc/openldap/ldap.conf, configure los valores TLS_PROTOCOL_MIN y TLS_CIPHER_SUITE de la siguiente manera:
TLS_PROTOCOL_MIN 3.2 TLS_CIPHER_SUITE TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
En /etc/openldap/slapd.conf, configure los valores TLSProtocolMin y TLSCipherSuite de la siguiente manera:
TLSProtocolMin 770 TLSCipherSuite TLSv1.2:!aNULL:!eNULL:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-DES-CBC3-SHA:DHE-DSS-DES-CBC3-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA
Por defecto, las claves de ssh-dss están desactivadas. Debe eliminar las claves existentes de ssh-dss de los archivos authorized_keys y configurar las claves nuevas de ssh-rsa. De lo contrario, tal vez no pueda conectarse con el servidor después de cambiar la versión del servidor a Oracle Solaris 11.4.
Por defecto, el método de intercambio de claves diffie-hellman-group1-sha1 está desactivado. Solo los pares que admiten este método se deben actualizar con la versión nueva para admitir un método de intercambio de claves seguro.