最新のセキュリティー修正が含まれているシステムは、よりセキュアなコンピューティング環境を提供します。Oracle Solaris では、共通脆弱性 (CVE) リストやその他のセキュリティー修正にオンラインでアクセスできます。pkg コマンドには、CVE アップデートを検索するためのオプションがあります。
Oracle Solaris パッケージへのクリティカルアップデートのステータスは、Oracle クリティカルパッチアップデート、セキュリティーアラート、およびサードパーティー掲示板の Web サイトにある情報に従うことによってモニターできます。クリティカルパッチアップデートは遅延なく適用するようにしてください。
Oracle Solaris Support パッケージリポジトリには、割り当てられた CVE ID でセキュリティーの脆弱性の修正を追跡するためのメタデータが含まれています。Oracle Solaris は、このメタデータのパッケージを Oracle バグデータベースから作成します。このパッケージをインストールしたあと、システムに既知で、かつ必須のセキュリティーの脆弱性の修正がすべて含まれているかどうかを容易に判定できます。この情報をほかのソースから導き出す必要はありません。Oracle Solaris は、上流の FOSS (Free and Open Source) コンポーネント内のバグを、新しいバージョンのコンポーネントを生成するのではなく、コードにパッチを適用することによって修正する場合があるため、Oracle バグデータベースをソースとして使用することがきわめて重要です。
Oracle バグデータベースのメタデータパッケージ pkg:/support/critical-patch-update/solaris-11-cpu では、entire の依存関係階層が有効です。特定の CVE 修正に対して変更されたパッケージはすべて、solaris-11-cpu パッケージの依存関係です。これらは「オプションの」依存関係であるため、すでにインストールされている場合は更新されますが、修正されるソフトウェアがまだインストールされていない場合はインストールされません。
メタデータパッケージでは、出荷済みのバージョンに特定の CVE ID の修正がすでに含まれているクリティカルパッチアップデート (CPU) メタデータへの遡及的な更新が可能になります。Oracle Solaris は新しい CPU を発行する場合、新しいバージョンのパッケージの Oracle Solaris サポートリポジトリへの発行に加え、修正を含む新しいパッケージバージョンも発行します。
CPU パッケージのバージョンフォーマットは @YYYY.MM-VV です。ここで、VV は通常、CPU パッケージ solaris-11-cpu@2014.10-1 にあるような小さな数字です。このフォーマットにより、Oracle Solaris はクリティカルパッチアップデートを同じ月のうちに再発行できます。バージョンフォーマットには、日付 (DD) は含まれていません。
メタデータは、Oracle Solaris Support パッケージリポジトリの Web サイト、またはコマンド行インタフェースのいずれかを使用して検索できます。特定の CVE ID が複数のパッケージに適用されるケースのほか、特定のパッケージバージョンに複数の CVE ID の修正が含まれているケースも検索できます。
solaris-11-cpu パッケージは依存関係階層内で entire パッケージより上位にあるため、デフォルトでは、Oracle Solaris 11 システムにこのパッケージはインストールされていません。CPU パッケージを明示的にインストールする必要があります。
# pkg install solaris-11-cpu
インストール後、CPU パッケージがシステムを CPU の SRU バージョンに更新します。この更新には、システムの SRU と CPU の SRU バージョンの間にあるすべてのパッケージアップデートが含まれます。詳細および例については、Oracle Solaris 11.3 ソフトウェアの追加と更新 の サポート更新の適用およびOracle Solaris 11.3 ソフトウェアの追加と更新 の クリティカルパッチ更新パッケージを参照してください。
このセクションの例では、コマンド行を使用して CVE 情報を検索する方法を示します。
使用例 13 CVE ID に対する修正を含むパッケージを一覧表示するためのいくつかの方法CVE ID がわかっている場合は、その ID を使用して、その修正を含むパッケージを検索できます。次の検索では、bash の Shellshock ソフトウェアバグの修正を見つけます。
pkg search コマンドは、CVE ID に対して構成されているすべてのリポジトリとローカルシステムを検索します。この出力には、その修正が含まれているパッケージとバージョン、およびそれを提供している CPU が一覧表示されます。欠けているフィールドを示すための、検索での末尾のコロン (:) の使用に注意してください。
$ pkg search CVE-2014-7187: INDEX ACTION VALUE PACKAGE CVE-2014-7187 set pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg:/support/critical-patch-update/solaris-11-cpu@2015.8-1 CVE-2014-7187 set pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg:/support/critical-patch-update/solaris-11-cpu@2015.7-3 ... CVE-2014-7187 set pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg:/support/critical-patch-update/solaris-11-cpu@2014.10-1 CVE-2014-7187 set pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.3.0.4.0 pkg:/support/critical-patch-update/solaris-11-cpu@2014.10-1
末尾のコロンがない場合、pkg search コマンドはすべての solaris-ll-cpu パッケージバージョンを一覧表示しますが、その修正を含む bash パッケージを一覧表示しません。
$ pkg search CVE-2014-7187 INDEX ACTION VALUE PACKAGE info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11-cpu@2015.8-1 info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11-cpu@2014.4-1 ... info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11-cpu@2014.10-1
次のコマンドは、CVE ID、その修正を含むパッケージ、および solaris-11-cpu パッケージバージョンを表示します。
$ pkg search -Ho name,value,pkg.shortfmri CVE-2014-7187: CVE-2014-7187 pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg:/support/critical-patch-update/solaris-11-cpu@2015.8-1 ... CVE-2014-7187 pkg://solaris/shell/bash@4.1.17,5.11-0.175.2.5.0.2.0 pkg:/support/critical-patch-update/solaris-11-cpu@2015.7-1 ... CVE-2014-7187 pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg:/support/critical-patch-update/solaris-11-cpu@2014.10-1
pkg contents -r コマンドは、bash の Shellshock ソフトウェアバグを修正するパッケージを (ローカルシステムではなく) リポジトリで検索します。
$ pkg contents -Hro value -t set -a name=CVE-2014-7187 solaris-11-cpu pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.2.0.8.0 pkg://solaris/shell/bash@4.1.11,5.11-0.175.2.3.0.4.0 pkg://solaris/shell/bash@4.1.17,5.11-0.175.2.5.0.2.0
SRU と CPU は累積されるため、この修正は 1 回インストールされたあとに使用できます。
使用例 14 CVE 修正がいつ最初に使用可能になったかの表示この例は、bash の Shellshock ソフトウェアバグの修正がこのシステムでは solaris-11-cpu@2014.4-1 パッケージで最初に使用可能になり、以降のすべての SRU で使用可能であることを示しています。
$ pkg search -po pkg.shortfmri CVE-2014-7187 PKG.SHORTFMRI pkg:/support/critical-patch-update/solaris-11-cpu@2014.4-1 pkg:/support/critical-patch-update/solaris-11-cpu@2015.1-1 pkg:/support/critical-patch-update/solaris-11-cpu@2015.1-2 ...使用例 15 クリティカルパッチアップデート内の CVE ID の一覧表示
この例は、最新の CPU 内の修正されたすべての CVE を表示する方法を示しています。
$ pkg contents -rHo value -a name=info.cve solaris-11-cpu@latest CVE-1999-0103 CVE-2002-2443 CVE-2003-0001 CVE-2004-0230 ... CVE-2015-5477 ...使用例 16 最新の CPU がインストールされていることの確認
最新の solaris-11-cpu パッケージのステータスを確認するには、pkg list コマンドを使用します。
$ pkg list -af solaris-11-cpu@latest NAME (PUBLISHER) VERSION IFO support/critical-patch-update/solaris-11-cpu 2015.8-1 ---
I 列に i フラグがないため、最新の CPU がインストールされていません。
使用例 17 CVE ID の修正がインストールされていることの確認特定の CVE ID の修正がインストールされていることを確認するには、その CVE ID のインストール済みパッケージを検索します。インストールされていない場合は、出力が表示されません。pkg search -l コマンドは、ローカルディスクのみを検索します。
# pkg search -l CVE-2014-7187 INDEX ACTION VALUE PACKAGE info.cve set CVE-2014-7187 pkg:/support/critical-patch-update/solaris-11-cpu@2014.10-1
pkg コマンドのオプションの詳細は、pkg(1) のマニュアルページを参照してください。