5 Yumセキュリティ・プラグインの使用

警告:

Oracle Linux 7は現在延長サポート中です。詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。

できるだけ早くアプリケーションとデータをOracle Linux 8またはOracle Linux 9に移行してください。

このセキュリティ・プラグインはOracle Linux 7でyumに統合されており、セキュリティ・アップデートを含む、システムで使用可能なすべての更新情報のリストを取得できます。さらに、Oracle Enterprise Manager 12c Cloud Controlや管理ツール(Katello、Pulp、Red Hat Satellite、Spacewalk、SUSE Managerなど)を使用して、更新情報を抽出および表示できます。

システムで利用できる更新情報をリストするには、次のように入力します。

sudo yum updateinfo list
ELBA-2018-2000 bugfix         NetworkManager-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-adsl-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-config-server-1:1.10.2-16.el7_5.noarch
ELBA-2018-2000 bugfix         NetworkManager-glib-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-libnm-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-ppp-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-team-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-tui-1:1.10.2-16.el7_5.x86_64
ELBA-2018-2000 bugfix         NetworkManager-wifi-1:1.10.2-16.el7_5.x86_64
ELBA-2018-1994 bugfix         binutils-2.27-28.base.el7_5.1.x86_64
ELBA-2018-1980 bugfix         control-center-1:3.26.2-9.el7_5.x86_64
ELBA-2018-1980 bugfix         control-center-filesystem-1:3.26.2-9.el7_5.x86_64
ELBA-2018-4142 bugfix         dracut-033-535.0.2.el7.x86_64
ELBA-2018-4142 bugfix         dracut-config-rescue-033-535.0.2.el7.x86_64
ELBA-2018-4142 bugfix         dracut-network-033-535.0.2.el7.x86_64
ELEA-2018-0838 enhancement    filesystem-3.2-25.el7.x86_64
ELSA-2018-2113 Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
...

コマンドからの出力では、利用可能な更新情報がID順にソートされ、各更新情報がセキュリティ・パッチ(severity /Sec.)、バグ修正(bugfix)または機能拡張(enhancement)のいずれであるかが指定されます。セキュリティ・パッチは、重大度(ImportantModerateまたはLow)別にリストされます。

次の例のように、--sec-severityオプションを使用すると、セキュリティ更新情報を重大度でフィルタ処理できます。

sudo yum updateinfo list --sec-severity=Moderate
ELSA-2018-1852 Moderate/Sec. kernel-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec. kernel-devel-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec. kernel-headers-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec. kernel-tools-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec. kernel-tools-libs-3.10.0-862.3.3.el7.x86_64
ELSA-2018-2123 Moderate/Sec. python-2.7.5-69.0.1.el7_5.x86_64
ELSA-2018-2123 Moderate/Sec. python-libs-2.7.5-69.0.1.el7_5.x86_64
ELSA-2018-1852 Moderate/Sec. python-perf-3.10.0-862.3.3.el7.x86_64
...

更新情報IDではなく、共通脆弱性(CVE) ID順にセキュリティ更新情報をリストするには、キーワードcvesを引数として指定します。

sudo yum updateinfo list cves
 CVE-2017-7762    Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12359   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12363   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12364   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12366   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-5156    Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-5188    Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-6126    Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12360   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12362   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12365   Critical/Sec.  firefox-60.1.0-4.0.1.el7_5.x86_64
 CVE-2018-12020   Important/Sec. gnupg2-2.0.22-5.el7_5.x86_64
 CVE-2018-3665    Moderate/Sec.  kernel-3.10.0-862.3.3.el7.x86_64
 CVE-2018-3639    Important/Sec. kernel-3.10.0-862.6.3.el7.x86_64
 CVE-2017-11600   Important/Sec. kernel-3.10.0-862.6.3.el7.x86_64
...

同様に、キーワードbugfixenhancementおよびsecurityは、すべてのバグ修正、拡張およびセキュリティ更新情報のリストをフィルタ処理します。

次の例のように、--cveオプションを使用すると、指定したCVEに対応する更新情報を表示できます。

sudo yum updateinfo list --cve CVE-2018-3665
ELSA-2018-1852 Moderate/Sec.  kernel-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec.  kernel-devel-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec.  kernel-headers-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec.  kernel-tools-3.10.0-862.3.3.el7.x86_64
ELSA-2018-1852 Moderate/Sec.  kernel-tools-libs-3.10.0-862.3.3.el7.x86_64
ELSA-2018-4144 Important/Sec. kernel-uek-firmware-4.1.12-124.16.4.el7uek.noarch
ELSA-2018-1852 Moderate/Sec.  python-perf-3.10.0-862.3.3.el7.x86_64
updateinfo list done

詳細情報を表示するには、たとえば次のようにlistのかわりにinfoを指定します。

sudo yum updateinfo info --cve CVE-2018-3665
===============================================================================
   kernel security update
===============================================================================
  Update ID : ELSA-2018-1852
    Release : Oracle Linux 7
       Type : security
     Status : final
     Issued : 2018-06-14
       CVEs : CVE-2018-3665
Description : [3.10.0-862.3.3.OL7]
            : - Oracle Linux certificates (Alexey Petrenko)
            : - Oracle Linux RHCK Module Signing Key was
            :   compiled into kernel
            :   (olkmod_signing_key.x509)(alexey.petrenko@oracle.com)
            : - Update x509.genkey [bug 24817676]
            : 
            : [3.10.0-862.3.3]
            : - [x86] always enable eager FPU by default on
            :   non-AMD processors (Paolo Bonzini) [1589051
            :   1589048] {CVE-2018-3665}
   Severity : Moderate

===============================================================================
  Unbreakable Enterprise kernel security update
===============================================================================
  Update ID : ELSA-2018-4144
    Release : Oracle Linux 7
       Type : security
     Status : final
     Issued : 2018-06-15
       CVEs : CVE-2018-3665
Description : [4.1.12-124.16.4]
            : - x86/fpu: Make eager FPU default (Mihai Carabas)
            :   [Orabug: 28135099]  {CVE-2018-3665}
   Severity : Important
updateinfo info done

セキュリティ関連の更新情報が利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ更新情報は含まれない場合でも)に更新するには、次のように入力します。

sudo yum --security update

すべてのパッケージを、セキュリティ更新情報が含まれる最新バージョン(セキュリティ更新情報が含まれない新しいパッケージは対象外)に更新するには、次のように入力します。

sudo yum --security update-minimal

すべてのカーネル・パッケージを、セキュリティ更新情報が含まれる最新バージョンに更新するには、次のように入力します。

sudo yum --security update-minimal kernel*

また、1つのCVEまたは更新情報に対応するパッケージのみを更新することもできます。たとえば:

sudo yum update --cve CVE-2018-3665
sudo yum update --advisory ELSA-2018-4144

ノート:

一部の更新ではシステムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。

詳細は、yum-security(8)マニュアル・ページを参照してください。