Oracle Solaris サポートリポジトリは、セキュリティー更新を含む重要な修正で随時更新されます。Oracle Solaris サポートリポジトリについては、サポート更新へのアクセスを参照してください。
Oracle Solaris ではこれらの修正を提供するための Support Repository Updates (SRU) が用意されています。SRU は 3 つごとにクリティカルパッチ更新 (CPU SRU) になります。CPU SRU のリリースのタイミングは、ほかの Oracle 製品のクリティカルパッチ更新のリリースと同じです。
次の図は 2 つのシステムのアップグレード戦略を示しています。図で、GA は Oracle Solaris 11.3 や Oracle Solaris 11.4 などのリリース、S は SRU、C は CPU SRU です。
重要なセキュリティー修正でシステムを最新状態に維持するための最善の方法は、新しい SRU が利用可能になるたびに更新することです。
毎月リブートできない場合、Oracle クリティカルパッチ更新に合わせて少なくとも四半期ごとに更新します。
CPU SRU またはその他の SRU に更新すると、それ以前のすべての SRU で提供されたすべての修正および機能拡張が取得されます。
図 1 月次の SRU または四半期ごとの CPU システム更新
次の表では、SRU と CPU SRU の違いについて説明します。
|
サポート更新を適用するには、次のいずれかのソースからシステムを更新します。
https://pkg.oracle.com/solaris/support/ で入手できる Oracle Solaris サポートリポジトリ。サポートリポジトリにアクセスするには、Oracle サポート資格を使用して、https://pkg-register.oracle.com/ Oracle Solaris パッケージリポジトリの証明書要求サイトに SSL 証明書を作成します。
次のいずれかのソースから更新するローカルリポジトリ。
Oracle Solaris サポートリポジトリ。
My Oracle Support からダウンロードされた SRU リポジトリファイル。
リポジトリファイルをダウンロードするには、https://support.oracle.com/ で「Oracle Solaris 11.4 Support Repository Updates (SRU) Index」を検索します。各 SRU の Readme ファイルには、この SRU で修正されるバグ、更新されるパッケージ、および置換される IDR (Interim Diagnostic or Relief) 更新のリストが記載されています。IDR 更新の説明については、IDR カスタムソフトウェア更新のインストールを参照してください。SRU のインストールガイドには、SRU Readme ファイルのコピー、SRU パッケージリポジトリファイルをインストールする方法について説明している別個の readme ファイル、チェックサムファイル、および SRU リポジトリファイルをローカルパッケージリポジトリにインストールするスクリプトが含まれています。リポジトリダウンロードには、SRU リポジトリファイルが含まれています。
ローカルの IPS パッケージリポジトリを作成および保持する方法およびリポジトリに必要な最低限の内容については、Oracle Solaris 12 パッケージリポジトリのコピーと作成を参照してください。
イメージの更新の概要に記載されているように、更新を実行します。最新の SRU リリースよりも古い SRU に更新するには、許可される最新バージョンより古いバージョンへの更新で説明されている方法のいずれかを使用します。
図 4, 表 4, SRU と CPU の比較に記載されているように、各 SRU は以前リリースされた SRU によって提供されたすべての修正および機能拡張を含んでいますが、SRU は別の SRU を含んでおらず、SRU は 1 つのバージョンの pkg:/entire のみを含みます。システムを特定の SRU に更新するには、Oracle Solaris サポートリポジトリを使用するか、その SRU 用のリポジトリファイルの内容をローカルリポジトリに追加することによって、その SRU へのアクセスが必要です。
たとえば、SRU 28 リポジトリ内容をローカルリポジトリに追加していないが、SRU 29 リポジトリ内容を追加した場合、このリリースのすべての SRU で最初に提供されたすべての修正を SRU 29 を通じて利用できますが、システムを SRU 28 レベルに更新することはできません。クエリーによって、ローカルリポジトリに entire@0.5.11-0.175.3.29 が含まれていても、entire@0.5.11-0.175.3.28 は含まれていないことが表示されます。使用可能なバージョンのチェックを参照してください。
次のクリティカルパッチ更新パッケージは個々の月次 SRU で利用できます。このパッケージのほとんどの内容は、その SRU で提供される CVE 修正に関する情報です。
pkg:/support/critical-patch-update/solaris-11-cpu@YYYY.MM-version
|
solaris-11-cpu パッケージはデフォルトでインストールされていません。このパッケージが必要な場合は、明示的にインストールする必要があります。このパッケージは、新しい SRU に更新する際は不要です。このパッケージをインストールする利点は次のとおりです。
このシステムで修正された CVE を簡単に一覧表示できます。
このシステムで実行している SRU を簡単に表示できます。
このパッケージを特定の SRU バージョンに更新することによって、特定の SRU に簡単にアップグレードできます。その制約パッケージからロック解除されるコンポーネントも含め、すべてのコンポーネントが指定された SRU レベルに移動されます。
これらの CVE を修正するために必要なすべてのパッケージが正しいバージョンでインストールされていることを確認できます。
次のコマンドは、このシステムに solaris-11-cpu パッケージがインストールされている場合に、このシステムにインストールされているすべての CVE 修正を一覧表示します。
$ pkg search -Hlo value info.cve:
このシステムに solaris-11-cpu パッケージがインストールされていない場合、インストールされている SRU のための solaris-11-cpu パッケージを識別し、そのパッケージをリモートからクエリー検索します。たとえば、このシステムで 2018 年 1 月にリリースされた Oracle Solaris 11.3 SRU 28 が実行されている場合、対応する solaris-11-cpu パッケージは solaris-11-cpu@2018.1 です。
$ pkg contents -ro value -t set -a name=info.cve solaris-11-cpu@2018.1
追加の修正が使用可能かどうかを確認するには、次のコマンドを使用して、インストールしたバージョンより新しいバージョンの solaris-11-cpu パッケージが使用可能かどうかを表示します。
$ pkg list -n solaris-11-cpu
新しいパッケージが使用可能な場合は、次のコマンドを使用して、新しいパッケージから使用できる CVE 修正を一覧表示し、そのリストをインストール済みの CVE 修正のリストと比較します。
$ pkg contents -ro value -t set -a name=info.cve solaris-11-cpu@YYYY.MM
利用可能な最新の SRU に更新するか、指定された SRU に更新してその SRU 用の新しい修正および機能拡張をインストールするには、pkg update コマンドを使用します。
$ pkg update --be-name Solaris-11.3-SRU30 solaris-11-cpu@2018.3 '*'
次のコマンドは、指定された CVE の修正を提供する solaris-11-cpu パッケージのすべてのバージョンを表示します。
$ pkg search -Hpo pkg.shortfmri CVE-YYYY-NNNN:
この出力は、この CVE の修正が最初に提供された solaris-11-cpu パッケージのバージョンと、この修正が最後に提供されたバージョンを示します。たとえば、10 月は 9 月より古いようにソートされるため、これらのパッケージは必ずしも日付順に一覧表示されません。
特定の CVE 識別子については、次のコマンドは、その CVE を修正するために変更されたすべてのパッケージを一覧表示します。
$ pkg search -Ho value CVE-YYYY-NNNN:
CVE の詳細は、Oracle Solaris 12 セキュリティーコンプライアンスガイドを参照してください。