Scientific Linux セキュリティ更新：SL7.x x86_64 上の libreswan

medium Nessus プラグイン ID 84393

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Liberswan の IKE デーモンが特定の IKEv1 ペイロードを処理していた方法で、欠陥が見つかりました。リモートの攻撃者は特別に細工された IKEv1 ペイロードを送信できます。なお、これが処理されると、サービス拒否（デーモンクラッシュ）が発生します。(CVE-2015-3204)

この更新は次のバグを修正します :

- 以前は、programs/pluto/state.h および programs/pluto/kernel_netlink.c ファイルは、それぞれの最大 SELinux コンテキストサイズが 257 および 1024 でした。libreswan によって設定された、これらの制限は、ラベル付きのインターネットプロトコルセキュリティ（IPsec）を使用する際に pluto（IPsec デーモン）が交換できるコンテキストのサイズを制限していました。ラベル付きの IPsec の SELinux ラベルは 4096 バイトに拡張され、上記のような制限はなくなります。

- 一部のアーキテクチャで、カーネル AES_GCM IPsec アルゴリズムが、アクセラレーションドライバーと適切に機能しませんでした。これらのカーネルでは、アクセラレーションモジュールは modprobe ブラックリストに追加されます。ただし、 libreswan はこのブラックリストを無視するため、AES_GCM エラーにつながります。
この更新では、libreswan パッケージに対してモジュールのブラックリストのサポートを追加し、AES_GCM エラーが発生しないようにしています。

- IPsec トンネルが確立されると（および 1 つのエンドポイントが再起動されたとき）、ipv6-icmp Neighbour Discovery の適切な動作を妨げていた IPv6 の問題が解決されました。アップグレードする際、 /etc/ipsec.conf は、/etc/ipsec.conf の「include」ステートメントを使用するすべての /etc/ipsec.d/*conf ファイルをロードしています。または、この新しい構成ファイルを /etc/ipsec.conf に明確に含めます。

- FIPS 自己テストにより、libreswan の FIPS モードでの適切な起動が妨げられました。このバグは修正されています。そのため、libreswan は FIPS モードで正常に機能するようになりました。

また、この更新は以下の拡張機能も追加します：

- 新しいオプションの「seedbits=」が、スタートアップの /dev/random ファイルからのエントロピー追加で、Network Security Service（NSS）擬似乱数発生器（PRNG）機能をプレシードします。このオプションはデフォルトでは無効化されています。このオプションは、/etc/ipsec.fonf ファイルの「config setup」セクションで「seedbits=」オプションを設定することで有効化できます。

- ビルドプロセスは、暗号化アルゴリズム検証プログラム（CAVP）証明機関テストを Internet Key Exchange バージョン 1 および 2 （IKEv1 および IKEv2） PRF/PRF+ 機能で実行するようになりました。