5 Yumセキュリティ・プラグインの使用
警告:
Oracle Linux 7は現在延長サポート中です。詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。
できるだけ早くアプリケーションとデータをOracle Linux 8またはOracle Linux 9に移行してください。
このセキュリティ・プラグインはOracle Linux 7でyumに統合されており、セキュリティ・アップデートを含む、システムで使用可能なすべての更新情報のリストを取得できます。さらに、Oracle Enterprise Manager 12c Cloud Controlや管理ツール(Katello、Pulp、Red Hat Satellite、Spacewalk、SUSE Managerなど)を使用して、更新情報を抽出および表示できます。
システムで利用できる更新情報をリストするには、次のように入力します。
sudo yum updateinfo list
ELBA-2018-2000 bugfix NetworkManager-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-adsl-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-config-server-1:1.10.2-16.el7_5.noarch ELBA-2018-2000 bugfix NetworkManager-glib-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-libnm-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-ppp-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-team-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-tui-1:1.10.2-16.el7_5.x86_64 ELBA-2018-2000 bugfix NetworkManager-wifi-1:1.10.2-16.el7_5.x86_64 ELBA-2018-1994 bugfix binutils-2.27-28.base.el7_5.1.x86_64 ELBA-2018-1980 bugfix control-center-1:3.26.2-9.el7_5.x86_64 ELBA-2018-1980 bugfix control-center-filesystem-1:3.26.2-9.el7_5.x86_64 ELBA-2018-4142 bugfix dracut-033-535.0.2.el7.x86_64 ELBA-2018-4142 bugfix dracut-config-rescue-033-535.0.2.el7.x86_64 ELBA-2018-4142 bugfix dracut-network-033-535.0.2.el7.x86_64 ELEA-2018-0838 enhancement filesystem-3.2-25.el7.x86_64 ELSA-2018-2113 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 ...
コマンドからの出力では、利用可能な更新情報がID順にソートされ、各更新情報がセキュリティ・パッチ(severity /Sec.)、バグ修正(bugfix)または機能拡張(enhancement)のいずれであるかが指定されます。セキュリティ・パッチは、重大度(Important、ModerateまたはLow)別にリストされます。
次の例のように、--sec-severityオプションを使用すると、セキュリティ更新情報を重大度でフィルタ処理できます。
sudo yum updateinfo list --sec-severity=Moderate
ELSA-2018-1852 Moderate/Sec. kernel-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-devel-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-headers-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-tools-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-tools-libs-3.10.0-862.3.3.el7.x86_64 ELSA-2018-2123 Moderate/Sec. python-2.7.5-69.0.1.el7_5.x86_64 ELSA-2018-2123 Moderate/Sec. python-libs-2.7.5-69.0.1.el7_5.x86_64 ELSA-2018-1852 Moderate/Sec. python-perf-3.10.0-862.3.3.el7.x86_64 ...
更新情報IDではなく、共通脆弱性(CVE) ID順にセキュリティ更新情報をリストするには、キーワードcvesを引数として指定します。
sudo yum updateinfo list cves
CVE-2017-7762 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12359 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12363 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12364 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12366 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-5156 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-5188 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-6126 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12360 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12362 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12365 Critical/Sec. firefox-60.1.0-4.0.1.el7_5.x86_64 CVE-2018-12020 Important/Sec. gnupg2-2.0.22-5.el7_5.x86_64 CVE-2018-3665 Moderate/Sec. kernel-3.10.0-862.3.3.el7.x86_64 CVE-2018-3639 Important/Sec. kernel-3.10.0-862.6.3.el7.x86_64 CVE-2017-11600 Important/Sec. kernel-3.10.0-862.6.3.el7.x86_64 ...
同様に、キーワードbugfix、enhancementおよびsecurityは、すべてのバグ修正、拡張およびセキュリティ更新情報のリストをフィルタ処理します。
次の例のように、--cveオプションを使用すると、指定したCVEに対応する更新情報を表示できます。
sudo yum updateinfo list --cve CVE-2018-3665
ELSA-2018-1852 Moderate/Sec. kernel-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-devel-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-headers-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-tools-3.10.0-862.3.3.el7.x86_64 ELSA-2018-1852 Moderate/Sec. kernel-tools-libs-3.10.0-862.3.3.el7.x86_64 ELSA-2018-4144 Important/Sec. kernel-uek-firmware-4.1.12-124.16.4.el7uek.noarch ELSA-2018-1852 Moderate/Sec. python-perf-3.10.0-862.3.3.el7.x86_64 updateinfo list done
詳細情報を表示するには、たとえば次のようにlistのかわりにinfoを指定します。
sudo yum updateinfo info --cve CVE-2018-3665
===============================================================================
kernel security update
===============================================================================
Update ID : ELSA-2018-1852
Release : Oracle Linux 7
Type : security
Status : final
Issued : 2018-06-14
CVEs : CVE-2018-3665
Description : [3.10.0-862.3.3.OL7]
: - Oracle Linux certificates (Alexey Petrenko)
: - Oracle Linux RHCK Module Signing Key was
: compiled into kernel
: (olkmod_signing_key.x509)(alexey.petrenko@oracle.com)
: - Update x509.genkey [bug 24817676]
:
: [3.10.0-862.3.3]
: - [x86] always enable eager FPU by default on
: non-AMD processors (Paolo Bonzini) [1589051
: 1589048] {CVE-2018-3665}
Severity : Moderate
===============================================================================
Unbreakable Enterprise kernel security update
===============================================================================
Update ID : ELSA-2018-4144
Release : Oracle Linux 7
Type : security
Status : final
Issued : 2018-06-15
CVEs : CVE-2018-3665
Description : [4.1.12-124.16.4]
: - x86/fpu: Make eager FPU default (Mihai Carabas)
: [Orabug: 28135099] {CVE-2018-3665}
Severity : Important
updateinfo info doneセキュリティ関連の更新情報が利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ更新情報は含まれない場合でも)に更新するには、次のように入力します。
sudo yum --security update
すべてのパッケージを、セキュリティ更新情報が含まれる最新バージョン(セキュリティ更新情報が含まれない新しいパッケージは対象外)に更新するには、次のように入力します。
sudo yum --security update-minimal
すべてのカーネル・パッケージを、セキュリティ更新情報が含まれる最新バージョンに更新するには、次のように入力します。
sudo yum --security update-minimal kernel*
また、1つのCVEまたは更新情報に対応するパッケージのみを更新することもできます。たとえば:
sudo yum update --cve CVE-2018-3665 sudo yum update --advisory ELSA-2018-4144
ノート:
一部の更新ではシステムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。
詳細は、yum-security(8)マニュアル・ページを参照してください。