セキュリティ

このOracle Linux 9リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。

ハッシュ合計計算でlibkcapiによるファイル名のターゲット指定が可能

libkcapiパッケージには、ハッシュ合計計算でターゲット・ファイル名を指定する新しい-Tオプションが含まれています。このオプションは、HMACファイルを指定し、HMACファイルで指定されたターゲット・ファイル名をオーバーライドする-cオプションとともに使用する必要があります。次に例を示します:

$ sha256hmac -c <hmac_file> -T <target_file>

SSHでメッセージ認証コードを有効にするように更新された暗号化ポリシー

システム全体の暗号化ポリシー(crypto-policies)は、SSHプロトコルのメッセージ認証コード(MAC)の処理を制御するオプションで構成できます。crypto-policiesオプションssh_etmは、トライステートのetm@SSHオプションになりました。以前のssh_etmオプションは非推奨になりました。

ssh_etmには、次のいずれかの値を設定できます:

  • ANY: encrypt-then-macencrypt-and-macの両方のMACを許可します。
  • DISABLE_ETM: encrypt-then-mac MACを防止します。
  • DISABLE_NON_ETM: encrypt-then-macを使用しないMACを防止します。

暗黙的なMACを使用する暗号は、認証された暗号化を使用するため、常に許可されます。

semanage fcontextによるローカル・ファイル・コンテキストの変更の正しいソート

semanage fcontext -l -Cコマンドが更新され、file_contexts.localファイルのルールが古いものから新しいものに正しい順序で表示され、restoreconコマンドを使用するとSELinuxルール管理が改善され、エントリが経過時間ごとに処理されます。

サービス用に更新されたSELinuxポリシー

新しいルールがSELinuxポリシーに追加され、次のsystemdサービスを制限します:

  • nvme-stas

  • realmd

この更新の影響を受けるサービスは、unconfined_service_t SELinuxラベルでは実行されなくなり、SELinux強制モードで正常に実行できます。

chronyd-restrictedサービス用に更新されたSELinuxポリシー

SELinuxポリシーには、chronyd-restrictedサービスを制限するルールが含まれています。サービスは、SELinux強制モードで正常に実行されます。

バージョン3.6に更新されたSELinuxユーザー領域

SELinuxユーザー領域コンポーネント・パッケージがバージョン3.6に更新されました。次のコンポーネント・パッケージが更新されました:

  • libsepol
  • libselinux
  • libsemanage
  • policycoreutils
  • checkpolicy
  • mcstrans

主な変更点は次のとおりです:

  • SELinux共通中間言語(CIL)でのdenyルールの追加
  • CILでのnotselfおよびotherキーワードの追加。
  • ポリシーのリロードの数を出力する新しいgetpolicyloadユーティリティ。

バージョン3.8.3に更新されたGnuTLS

gnutlsパッケージがバージョン3.8.3に更新されました。主な変更点は次のとおりです:

  • gnutls_hkdf_expand関数は、RFC 5869 2.3に準拠するために、ハッシュ・ダイジェスト・サイズの255倍以下の長さの引数のみを受け入れます。
  • TLS PSKユーザー名の長さ制限が65535文字に増えました。
  • gnutls_session_channel_binding API関数は、RFC9622 4.2に従ってGNUTLS_CB_TLS_EXPORTERがリクエストされると、さらにチェックを実行するようになりました。
  • GNUTLS_NO_STATUS_REQUESTフラグおよび%NO_STATUS_REQUEST優先度修飾子が追加され、クライアント側でstatus_request TLS拡張を無効にできるようになりました。
  • TLSバージョンが1.3より古い場合、GnuTLSは暗号仕様の変更メッセージの内容が1であることを確認します。
  • ClientHelloメッセージのTLS拡張は、フィンガープリントを強化するためにシャッフルされます。
  • GnuTLSは、PKCS #11トークンに対してEdDSAキー生成を実行できます。

バージョン3.9.1に更新されたnettle

nettleパッケージがバージョン3.9.1に更新されました。主な変更点は次のとおりです:

  • バルーン・パスワード・ハッシュが含まれています。
  • SM4ブロック暗号が含まれています。
  • SIV-GCM認証暗号化モードが含まれています。
  • OCB認証暗号化モードが含まれています。
  • 新しい関数md5_compresssha1_compresssha256_compresssha512_compressがエクスポートされています。
  • x86_64プラットフォームでのSHA-256ハッシュ関数のパフォーマンスが向上しました。
  • x86_64プラットフォームでのPoly1305ハッシュ関数のパフォーマンスが向上しました。

使用可能なOracle Linux 9 OpenSSL FIPSプロバイダ

OpenSSLは、fips.so共有ライブラリをFIPSプロバイダとして使用します。この更新により、認定のために米国国立標準技術研究所(NIST)に提出された最新バージョンのfips.soは、別のopenssl-fips-providerパッケージで出荷されます。このパッケージにより、将来のバージョンのOpenSSLで、動作保証されているコードまたは認定中のコードが使用されるようになります。

プロバイダ構成用のOpenSSLドロップイン・ディレクトリ

OpenSSL TLSツールキットは、暗号化アルゴリズムを提供するモジュールのインストールおよび構成のためのプロバイダAPIとのアトミックな統合を提供します。プロバイダ固有の構成は、/etc/pki/tls/openssl.dディレクトリ内の個別の.confファイルで定義できます。

バージョン0.25.3に更新されたp11-kit

p11-kitパッケージがバージョン0.25.3に更新され、PKCS#11モジュールを管理するためのp11-kitツール、信頼ポリシー・ストアを操作するためのtrustツール、およびp11-kitライブラリが含まれています。主な変更点は次のとおりです:

  • PKCS#11バージョン3.0との統合が追加されました

  • pkcs11.hヘッダー・ファイル:

    • ChaCha20/Salsa20およびPoly1305メカニズムと属性が追加されました

    • メッセージベースの暗号化にAES-GCMメカニズム・パラメータが追加されました

  • p11-kitツール:

    • トークンのオブジェクトをリストおよび管理するコマンド(list-tokenslist-mechanismslist-objectsimport-objectexport-objectdelete-objectおよびgenerate-keypair)が追加されました

    • トークンのPKCS#11プロファイルを管理するコマンド(list-profilesadd-profile、およびdelete-profile)が追加されました

    • マージされた構成を出力するためのprint-configコマンドが追加されました

  • trustツール:

    • .p11-kitファイルの形式を確認するcheck-formatコマンドが追加されました

バージョン1.4.0に更新されたlibkcapi

libkcapiライブラリがバージョン1.4.0に更新されました。主な変更点は次のとおりです:

  • sm3sumおよびsm3hmacツールが追加されました。

  • kcapi_md_sm3およびkcapi_md_hmac_sm3 APIが追加されました。

  • 便利なSM4関数が追加されました。

  • リンク時間最適化(LTO)とLTO回帰テストが追加されました

  • kcapi-encを使用した任意のサイズのAEAD暗号化のサポートが修正されました。

ユーザーおよびグループの作成用にOpenSSHによるsysusers.d形式の使用

OpenSSHでは、sysusers.d形式を使用してシステム・ユーザーを宣言するようになりました。以前は、この目的のために静的useraddスクリプトが使用されていました。

OpenSSHによる認証遅延制限の追加

OpenSSHは、ログイン失敗後にレスポンスを人為的に遅延させ、ユーザー列挙攻撃を防止します。人為的遅延の上限は、権限アクセス管理(PAM)処理などでリモート認証に時間がかかりすぎる場合に適用されます。

バージョン5.71に更新されたstunnel

stunnel TLS/SSLトンネリング・サービスがバージョン5.71に更新されました。

主な変更点は次のとおりです:

  • 最新のPostgreSQLクライアントとの統合。

  • ソフトウェア偽装用のカスタムconnectプロトコル・ネゴシエーション・ヘッダーを挿入するための新しいprotocolHeaderサービス・レベル・オプション。
  • クライアントSMTPプロトコル・ネゴシエーションHELO/EHLO値を制御するための新しいprotocolHostオプション。

  • 新しいクライアント側のprotocol = ldap可用性。

  • セッションを再開できるかどうかを制御するための新しいsessionResumeサービス・レベル・オプション。

  • CApathまたはCAfileを使用してサーバー・モードでクライアント証明書をリクエストするための拡張オプション。

  • ファイルの読取りおよびロギングのパフォーマンスが向上しました。

  • retryオプションの構成可能な遅延が追加されました。

  • verifyChainがクライアント・モードに設定されている場合、OCSPステープリングがリクエストおよび検証されます。

  • OCSPステープリングを常にサーバー・モードで使用できます。

  • 未確定なOCSP検証でTLSネゴシエーションが中断されます。これを無効にするには、OCSPrequire = noを設定します。

バージョン3.1.2に更新されたaudit

auditパッケージがバージョン3.1.2に更新されました。主な変更点は次のとおりです:

  • auparseライブラリが名前なしおよび匿名ソケットを解釈するようになりました。

  • ausearchおよびaureportコマンドのstartおよびendオプションにキーワードthis-hourが追加されました。

  • シグナルのわかりやすいキーワードがauditctlコマンドに追加されました。

  • auparseコマンドが破損したログをより適切に処理するように強化されました。

  • ProtectControlGroupsオプションがauditdサービスでデフォルトで無効になりました。

  • 除外フィルタのルール・チェックが修正されました。

  • OPENAT2フィールドの解釈が改善されました。

  • audispd af_unixプラグインがスタンドアロン・プログラムに移動されました。

  • Pythonバインディングが更新され、Simplified Wrapper and Interface Generator (SWIG)の問題を解決するためのPython APIからの監査ルールの設定が無効になりました。

  • io_uring非同期I/O API機能が追加されました。

バージョン8.2310に更新されたrsyslog

Rsyslogがバージョン8.2310に更新されました。主な変更点は次のとおりです:

  • カスタマイズ可能なTLS/SSL暗号化設定

    Rsyslogには、セキュリティと柔軟性を高めるために異なるCA証明書、秘密キー、公開キーおよびCRLファイルを指定するなど、接続ごとに一意のTLS/SSL設定を構成する機能が含まれています。詳細および使用方法については、rsyslog-docパッケージで提供されているドキュメントを参照してください。

  • 機能削除の改善

    Rsyslogには、機能を削除する際の動作を定義する新しいグローバル・オプションが含まれています:
    • libcapng.default: 機能の削除中にエラーが返された場合のRsyslogの動作を定義します。デフォルト値はonで、libcapngに関連するエラーが発生するとRsyslogが終了します。

    • libcapng.enable Rsyslogが起動時に機能を削除するかどうかを制御します。このオプションを無効にすると、libcapng.defaultは影響を受けず、機能の削除は無効になります。

バージョン3.22.0に更新されたopencryptoki

opencryptokiパッケージがバージョン3.22.0に更新されました。主な変更点は次のとおりです:

  • AES-XTSキー・タイプをCPACF保護キーで使用できます。

  • 証明書オブジェクトの管理。

  • パブリック・セッションを作成するためのno-loginオプション。

  • セキュリティ担当者(SO)としての認証。

  • EdwardsおよびMontgomeryキーをインポートおよびエクスポートする機能。

  • RSA-PSSキーおよび証明書をインポートする機能。

  • 作成またはインポート時にキーAES-XTSが異なることの検証。

バージョン0.1.72に更新されたSCAPセキュリティ・ガイド

SCAPセキュリティ・ガイドの更新には、次の重要な変更が含まれています:

  • Bashが改善されて、fstab内のISO9660パーティションが処理されるように修正されました。
  • PCI DSSプロファイルは、PCI DSSポリシー・バージョン4.0と整合されました。
  • STIGプロファイルは、最新のDISA STIGポリシーに準拠しています。