第1章 通知
Secure Bootモードでのシステムは、オラクル社により署名されたブート・ローダーおよびカーネルのみをロードします。オラクル社では、カーネルおよびgrub2パッケージを更新し、キーの有効期限が切れた場合や追加のセキュリティ更新を行う場合に、有効なExtended Validation (EV)証明書で署名します。EV証明書はshimバイナリにコンパイルされており、Microsoft社によって署名されています。この機能は、Oracle Linux 7 Update 3以降で完全にサポートされています。
以前にリリースされたすべてのカーネルおよび影響を受けるパッケージは、現在のバージョンで引き続き動作します。ただし、カーネルまたはパッケージを更新する場合は、これらの通知が適用されるため、ここに示す手順に従ってアトミック更新を実行する必要があります。
次の項では、カーネルおよび関連するパッケージが新しいキーで更新されるイベントについて説明します。各項では、変更によって影響を受ける最小カーネル・バージョンと、新しいキーで更新されるパッケージ・バージョンについて説明します。
1.1 [2020-07-29] CVE-2020-10713のキー更新
CVE-2020-10713に対応してUEKカーネルおよびgrubインスタンスに署名するために使用するキーが更新されました。この更新は、Oracle Linux 7およびOracle Linux 8のユーザーに影響を与えます。
新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。
Oracle Linux 7
Oracle Linux 7では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)。 v3.10.0-1127.18.2
-
Unbreakable Enterprise Kernelリリース3 (UEK R3)。 v3.8.13-118.47.2
-
Unbreakable Enterprise Kernelリリース4 (UEK R4)。 v4.1.12-124.40.6.3
-
Unbreakable Enterprise Kernelリリース5 (UEK R5)。 v4.14.35-1902.304.6.3
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)。 v5.4.17-2011.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
。 v2.02-0.82.0.5 (必須) -
shim-x64
。 v15-2.0.5 (必須) -
fwupdate-efi
。 v12-5.0.5 (オプション)
Oracle Linux 8
Oracle Linux 8では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)。 v4.18.0-193.14.3
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)。 v5.4.17-2011.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
。 v2.02-82.0.2 (必須) -
shim-x64
。 v15-11.0.5 (必須) -
fwupdate-efi
。 v11-3.0.3.el8 (オプション) -
fwupd
。 v1.1.4-6.0.2.el8 (オプション)
1.2 [2018-11-15]キー失効更新
キーの失効を回避するためにカーネルおよびgrubインスタンスの署名に使用するキーが更新されました。この更新は、Oracle Linux 7のユーザーに影響します。
新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。
この更新は、すべてのUEKリリースおよびRHCKに影響します。次のバージョン以上のカーネル・パッケージは、新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)。 v3.10.0-957.0
-
Oracle Modified Red Hat Compatible Kernel (RHCK)。 v3.10.0-957.0.0.0.2
-
Unbreakable Enterprise Kernelリリース3 (UEK R3)。 v3.8.13-118.27.1
-
Unbreakable Enterprise Kernelリリース4 (UEK R4)。 v4.1.12-124.22.1
-
Unbreakable Enterprise Kernelリリース5 (UEK R5)。 v4.14.35-1818.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
。 v2.02-0.76.0.3 (必須) -
shim-x64
。 v15-1.0.3 (必須) -
fwupdate-efi
。 v12-5.0.3 (オプション)