セキュリティ
このOracle Linux 8リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。
バージョン0.1.72に更新されたSCAPセキュリティ・ガイド
SCAPセキュリティ・ガイドの更新には、次の重要な変更が含まれています:
- Bashが改善されて、fstab内のISO9660パーティションが処理されるように修正されました。
- PCI DSSプロファイルは、PCI DSSポリシー・バージョン4.0と整合されました。
- DISA Oracle Linux 8 STIG - バージョン1、リリース10に準拠するように、Oracle Linux 8 stigプロファイルが更新されました。
OpenSSLによるBleichenbacherのような攻撃からの保護
OpenSSL TLSツールキットには、RSA PKCS #1 v1.5復号化プロセスに対するBleichenbacherのような攻撃に対するAPI保護が含まれるようになりました。RSA復号化は、PKCS #1 v1.5復号化中にパディングをチェックするときにエラーを検出すると、エラーではなくランダムに生成された確定的メッセージを返すようになりました。この変更により、CVE-2020-25659やCVE-2020-25657などの脆弱性に対する一般的な保護が提供されます。
この保護を無効にするには、RSA復号化コンテキストでEVP_PKEY_CTX_ctrl_str(ctx, "rsa_pkcs1_implicit_rejection". "0")関数を呼び出します。ただし、これにより、システムの脆弱性が高まります。
1.6.1に更新されたlibrdkafka
Apache Kafka librdkafka実装が1.6.1に更新されました。これは、Oracle Linux 8の最初のメジャー機能リリースです。この更新には、librdkafkaパッケージのCHANGELOG.mdにリストされている重要な拡張機能およびバグ修正が含まれています。
重要な変更には、変更された構成デフォルトおよび非推奨の構成プロパティが含まれています。このバージョンのAPI (CおよびC++)およびABI ©は、古いバージョンのlibrdkafkaと互換性がありますが、構成プロパティの変更によっては既存のアプリケーションの変更が必要になる場合があります。
バージョン1.4.0に更新されたlibkcapi
libkcapiライブラリがバージョン1.4.0に更新されました。主な変更点は次のとおりです:
-
sm3sumおよびsm3hmacツールが追加されました。 -
kcapi_md_sm3およびkcapi_md_hmac_sm3APIが追加されました。 -
便利なSM4関数が追加されました。
-
リンク時間最適化(LTO)とLTO回帰テストが追加されました
-
kcapi-encを使用した任意のサイズのAEAD暗号化のサポートが修正されました。
バージョン5.71に更新されたstunnel
stunnel TLS/SSLトンネリング・サービスがバージョン5.71に更新されました。
主な変更点は次のとおりです:
-
最新のPostgreSQLクライアントとの統合。
- ソフトウェア偽装用のカスタム
connectプロトコル・ネゴシエーション・ヘッダーを挿入するための新しいprotocolHeaderサービス・レベル・オプション。 -
クライアントSMTPプロトコル・ネゴシエーションHELO/EHLO値を制御するための新しい
protocolHostオプション。 -
新しいクライアント側の
protocol = ldap可用性。 -
セッションを再開できるかどうかを制御するための新しい
sessionResumeサービス・レベル・オプション。 -
CApathまたはCAfileを使用してサーバー・モードでクライアント証明書をリクエストするための拡張オプション。 -
ファイルの読取りおよびロギングのパフォーマンスが向上しました。
-
retryオプションの構成可能な遅延が追加されました。 -
verifyChainがクライアント・モードに設定されている場合、OCSPステープリングがリクエストおよび検証されます。 -
OCSPステープリングを常にサーバー・モードで使用できます。
-
未確定なOCSP検証でTLSネゴシエーションが中断されます。これを無効にするには、
OCSPrequire = noを設定します。
OpenSSHによる認証遅延制限の追加
OpenSSHは、ログイン失敗後にレスポンスを人為的に遅延させ、ユーザー列挙攻撃を防止します。人為的遅延の上限は、権限アクセス管理(PAM)処理などでリモート認証に時間がかかりすぎる場合に適用されます。
ハッシュ合計計算でlibkcapiによるファイル名のターゲット指定が可能
libkcapiパッケージには、ハッシュ合計計算でターゲット・ファイル名を指定する新しい-Tオプションが含まれています。このオプションは、HMACファイルを指定し、HMACファイルで指定されたターゲット・ファイル名をオーバーライドする-cオプションとともに使用する必要があります。次に例を示します:
$ sha256hmac -c <hmac_file> -T <target_file>バージョン3.22.0に更新されたopencryptoki
opencryptokiパッケージがバージョン3.22.0に更新されました。主な変更点は次のとおりです:
-
AES-XTSキー・タイプをCPACF保護キーで使用できます。 -
証明書オブジェクトの管理。
-
パブリック・セッションを作成するための
no-loginオプション。 -
セキュリティ担当者(SO)としての認証。
-
EdwardsおよびMontgomeryキーをインポートおよびエクスポートする機能。 -
RSA-PSSキーおよび証明書をインポートする機能。 -
作成またはインポート時にキーAES-XTSが異なることの検証。
バージョン3.1.2に更新されたaudit
auditパッケージがバージョン3.1.2に更新されました。主な変更点は次のとおりです:
-
auparseライブラリが名前なしおよび匿名ソケットを解釈するようになりました。 -
ausearchおよびaureportコマンドのstartおよびendオプションにキーワードthis-hourが追加されました。 -
シグナルのわかりやすいキーワードが
auditctlコマンドに追加されました。 -
auparseコマンドが破損したログをより適切に処理するように強化されました。 -
ProtectControlGroupsオプションがauditdサービスでデフォルトで無効になりました。 -
除外フィルタのルール・チェックが修正されました。
-
OPENAT2フィールドの解釈が改善されました。 -
audispd af_unixプラグインがスタンドアロン・プログラムに移動されました。 -
Pythonバインディングが更新され、Simplified Wrapper and Interface Generator (SWIG)の問題を解決するためのPython APIからの監査ルールの設定が無効になりました。
io_uring非同期I/O API機能が追加されました。
bcryptローカル・ユーザーのパスワード・ハッシュ・アルゴリズム
ローカル・ユーザーに対してbcryptパスワード・ハッシュ・アルゴリズムを有効にできるようになりました。bcryptハッシュ・アルゴリズムに切り替えるには、まずカスタム・プロファイルを作成し、次にそのプロファイルを編集してハッシュ・アルゴリズムを変更する必要があります:
-
現在のプロファイルと有効になっている機能を取得します:出力は次のようになります:
sudo authselect currentProfile ID: minimal Enabled features: - with-faillock -
現在のプロファイルID minimalに基づいて、カスタム・プロファイルmyprofileを作成します:
sudo authselect create-profile myprofile -b minimal -
元のプロファイルで有効になっていた機能を有効にします。次に例を示します:
以前に有効にした機能ごとに、このコマンドを複数回実行することが必要になる場合があります。sudo authselect enable-feature with-faillock -
作成したプロファイルの構成ファイルを編集して、
pam_unix.soで使用されるアルゴリズムを変更します。たとえば、
pam_unix.so sha512設定をpam_unix.so blowfishに変更して、/etc/authselect/custom/myprofile/system-authおよび/etc/authselect/custom/myprofile/password-authファイルを編集します。 -
変更を適用します:
# authselect apply-changes -
passwdコマンドを使用して、ユーザーのパスワードを変更します。 -
/etc/shadowファイルで、ハッシュ・アルゴリズムが$2b$に設定されていることを確認します。これは、bcryptパスワード・ハッシュ・アルゴリズムが使用されていることを示しています。