通知の説明
Oracle Linux UEFI Secure Boot署名キーの更新通知には、UEFI Secure Bootに使用されるカーネルおよび関連パッケージに署名するためにOracleが使用するUnified Extensible Firmware Interface (UEFI)署名キーの更新に関する情報が記載されています。
通知
UEFI Secure Bootモードでのシステムは、オラクル社により署名されたブート・ローダーおよびカーネルのみをロードします。オラクル社では、カーネルおよびgrub2パッケージを更新し、キーの有効期限が切れた場合や追加のセキュリティ更新を行う場合に、有効なExtended Validation (EV)証明書で署名します。EV証明書はshimバイナリにコンパイルされており、Microsoft社によって署名されています。この機能は、Oracle Linux 7.3以降で完全にサポートされています。
以前にリリースされたすべてのカーネルおよび影響を受けるパッケージは、現在のバージョンで引き続き動作します。ただし、カーネルまたはパッケージを更新する場合は、これらの通知が適用されるため、ここに示す手順に従ってアトミック更新を実行する必要があります。
このドキュメントの情報は、カーネルおよび関連するパッケージが新しいキーで更新されるイベントを説明しています。各項では、変更によって影響を受ける最小カーネル・バージョンと、新しいキーで更新されたパッケージ・バージョンについて説明します。
[2023-03-09] UEFIセキュア・ブートCVEを緩和するためのキー失効プロセスの改善: CVE-2022-3775、CVE-2022-2601
Oracleでは現在、UEFI Secure Boot Advanced Targeting (SBAT)を使用して、CVE-2022-3775およびCVE-2022-2601の軽減策としてコアブート・コンポーネントを取り消しています。この更新は、Oracle Linux 8およびOracle Linux 9のユーザーに影響します。
リストされているgrub2
およびshim
パッケージには、そのメタデータの.sbat
セクションで、失効レベルが「3」に設定されたUEFIバイナリが含まれています。Oracleでは、これらの値を必要に応じて非同期に増分できます。
UEFIセキュア・ブートが有効な場合に、mokutil
を使用してSBATポリシーを検証および構成する方法の詳細は、Oracle Linux: UEFIセキュア・ブートの操作を参照してください。
Oracle Linux 9
Oracle Linux 9では、次のパッケージ・バージョンで、キー失効のためのUEFI SBATメタデータが導入されています。
-
grub2
v2.06-46.0.4.el9
-
shim-x64
v15.7-1.0.3.el9
Oracle Linux 8
Oracle Linux 8では、次のパッケージ・バージョンで、キー失効のためのUEFI SBATメタデータが導入されています。
-
grub2
v2.02-142.0.3.el8_7.1
-
shim-x64
v15.7-1.0.3.el8
[2022-06-14] UEFI Secure Boot CVEのキー更新: CVE-2021-3695、CVE-2022-28737、CVE-2022-21499
Oracleは、CVE-2022-21499に対応してOracle Linuxカーネル、CVE-2021-3695に対応してgrub2インスタンス、およびCVE-2022-28737に対応してshimバイナリに署名するために使用されるUEFI Secure Boot署名証明書をローテーションしました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。
この更新の一部としてパッチが適用された追加の脆弱性には、grub2に関する次のものがあります。
- CVE-2021-3695
- CVE-2021-3696
- CVE-2021-3697
- CVE-2022-28733
- CVE-2022-28734
- CVE-2022-28735
- CVE-2022-28736
新しいカーネル・バージョンは、新しいキーで署名され、新しいshimに必要な"oracle(kernel-sig-key)=202204"
機能を提供します。システムをアップグレードする場合は、同じアトミック操作で他のコンポーネントを更新する必要があります。
重要:
Red Hat Compatible Kernel (RHCK)では、Oracle LinuxがUEFI Secure Bootを有効にしてRHCKをロードできるように、CVE-2022-21499に追加のセキュリティ修正が必要です。詳細は、「Oracleからの追加のセキュリティ修正によるRHCKの有効化」を参照してください。
Oracle Linux 7
Oracle Linux 7では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)
v3.10.0-1160.66.1.0.2
-
Unbreakable Enterprise Kernelリリース4 (UEK R4)
v4.1.12-124.63.2.1
-
Unbreakable Enterprise Kernelリリース5 (UEK R5)
v4.14.35-2047.513.2.3
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)
v5.4.17-2136.307.3.6
次のパッケージ・バージョンも互換性のある新しい証明書で署名されます。
-
grub2
v2.02-0.87.0.21.el7_9.9 (必須)
-
shim-x64
v15.6-1.0.7.el7 (必須)
Oracle Linux 8
Oracle Linux 8では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)
v4.18.0-372.9.1.0.2
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)
v5.4.17-2136.307.3.6
-
Unbreakable Enterprise Kernelリリース7 (UEK R7)
v5.15.0-0.30.19
次のパッケージ・バージョンも互換性のある新しい証明書で署名されます。
-
grub2
v2.02-123.0.3.el8 (必須)
-
shim-x64
v15.6-1.0.3.el8 (必須)
[2020-07-29] CVE-2020-10713のキー更新
CVE-2020-10713に対応してUEKカーネルおよびgrubインスタンスに署名するために使用するキーが更新されました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。
新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。
Oracle Linux 7
Oracle Linux 7では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)
v3.10.0-1127.18.2
-
Unbreakable Enterprise Kernelリリース3 (UEK R3)
v3.8.13-118.47.2
-
Unbreakable Enterprise Kernelリリース4 (UEK R4)
v4.1.12-124.40.6.3
-
Unbreakable Enterprise Kernelリリース5 (UEK R5)
v4.14.35-1902.304.6.3
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)
v5.4.17-2011.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
v2.02-0.82.0.5 (必須)
-
shim-x64
v15-2.0.5 (必須)
-
fwupdate-efi
v12-5.0.5 (オプション)
Oracle Linux 8
Oracle Linux 8では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)
v4.18.0-193.14.3
-
Unbreakable Enterprise Kernelリリース6 (UEK R6)
v5.4.17-2011.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
v2.02-82.0.2 (必須)
-
shim-x64
v15-11.0.5 (必須)
-
fwupdate-efi
v11-3.0.3.el8 (オプション)
-
fwupd
v1.1.4-6.0.2.el8 (オプション)
[2018-11-15]キー失効更新
キーの失効を回避するためにカーネルおよびgrubインスタンスの署名に使用するキーが更新されました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。
新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。
この更新は、すべてのUEKリリースおよびRHCKに影響します。次のバージョン以上のカーネル・パッケージは、新しいキーで署名されます。
-
Red Hat Compatible Kernel (RHCK)
v3.10.0-957.0
-
Oracle Modified Red Hat Compatible Kernel (RHCK)
v3.10.0-957.0.0.0.2
-
Unbreakable Enterprise Kernelリリース3 (UEK R3)
v3.8.13-118.27.1
-
Unbreakable Enterprise Kernelリリース4 (UEK R4)
v4.1.12-124.22.1
-
Unbreakable Enterprise Kernelリリース5 (UEK R5)
v4.14.35-1818.4.6
次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。
-
grub2
v2.02-0.76.0.3 (必須)
-
shim-x64
v15-1.0.3 (必須)
-
fwupdate-efi
v12-5.0.3 (オプション)
カーネルのアップグレードおよびダウングレードの処理
UEFI Secure Bootを使用している場合は、システム上のパッケージをアップグレードまたはダウングレードするときに、次のアクション項目に注意する必要があります。
カーネルのアップグレード
すでにSecure Bootを有効にしていて、カーネルをアップグレードする場合、shim-x64
、grub2
およびkernel
パッケージをアトミック操作として更新する必要があります。これらのパッケージがすべて更新されないと、Secure Bootプロセスは中断される可能性があり、システムの完全アップグレードが完了するまで無効化する必要があります。
fwupdate-efi
パッケージもこの更新の影響を受けます。このパッケージはブートに不可欠ではありませんが、インストールした場合は、次に示されたバージョン以上のバージョンに更新できます。
「通知」の説明に従って、新しいEV証明書で署名されたバージョン以上のバージョンにカーネルをアップグレードする場合は、関連付けられているパッケージが指定のバージョン以上にアップグレードされていることを確認します。
インストールまたはアップグレードする予定のカーネルのバージョンがキー更新の影響を受けるかどうかを判断して適切な最小パッケージ・バージョンを同時にインストール際は注意が必要です。
最後に、「レスキュー・カーネルの再構築」の手順に従うことを忘れないでください。
カーネルのダウングレード
Secure Bootを有効にし、最新のEV証明書で署名されたカーネル・バージョンを実行していて、「通知」に示されているバージョンよりも低いバージョンにカーネルをダウングレードする場合は、shim-x64
、grub2
およびkernel
パッケージをアトミック操作としてダウングレードする必要があります。shim
およびgrub2
パッケージが「通知」にリストされているバージョンより低いバージョンであることを確認します。
ダウングレードする予定のカーネルのバージョンが代替キー更新の影響を受けるかどうかを判断して適切なパッケージ・バージョンを同時にインストールする際は注意が必要です。
最後に、「レスキュー・カーネルの再構築」の手順に従うことを忘れないでください。
レスキュー・カーネルの再構築
UEFI Secure Bootで使用する新しい署名を使用してパッケージをアップグレードまたはダウングレードする場合は常に、システム・レスキュー・カーネルを再構築して、必要に応じてそれらの環境にブートする機能を維持する必要があります。
前のEV証明書で署名された古いレスキュー・カーネルをすべて削除します。
sudo rm -f /boot/initramfs-0-rescue-*
sudo rm -f /boot/i/boot/vmlinuz-0-rescue-*
現在のEV証明書で署名された新しいレスキュー・カーネルを生成します。
sudo /etc/kernel/postinst.d/51-dracut-rescue-postinst.sh $(uname -r) /boot/vmlinuz-$(uname -r)
Oracleからの追加のセキュリティ修正によるRHCKの有効化
Oracleは、UEFI Secure Bootで使用するためにカーネルおよびパッケージに署名する場合(特に緊急のセキュリティ問題やCVEに必要な場合)に、厳格なセキュリティ要件を維持します。
UEFI Secure Bootが有効になっている場合は、Oracle LinuxおよびRHCKを安全にブートできます。「[2022-06-14] UEFI Secure Boot CVEのキー更新: CVE-2021-3695、CVE-2022-28737、CVE-2022-21499」にリストされている一連のCVEでは、Oracleが現在の証明書を新しい証明書でローテーションする必要があり、これにより、古い証明書で署名されたカーネルがロードされなくなります。CVE-2022-21499の重要性により、OracleはUEKとRHCKの両方に必要な修正を適用しました。RHCKでUEFI Secure Bootを使用するお客様は、次の手順を使用して、変更されたRHCKエラータを適用する必要があります。
Oracle Linux 7
ol7_MODRHCK
ソフトウェア・チャネルを有効にします。
sudo yum-config-manager --enable ol7_MODRHCK
追加のセキュリティ修正を使用して最新のRHCKリリースをインストールするようにシステムを更新します。
sudo yum update -y
最新のRHCKリリースは更新時に常にインストールされるため、ol7_MODRHCK
チャネルを有効のままにしておくことができます。必要に応じてol7_MODRHCK
チャネルを無効にするには、次のコマンドを実行します。
sudo yum-config-manager --disable ol7_MODRHCK
Oracle Linux 8
oraclelinux-release-el8
パッケージを更新し、ol8_MODRHCK
ソフトウェア・チャネルを有効にします。
sudo dnf update oraclelinux-release-el8
sudo dnf config-manager --enable ol8_MODRHCK
追加のセキュリティ修正を使用して最新のRHCKリリースをインストールするようにシステムを更新します。
sudo dnf update -y
最新のRHCKリリースは更新時に常にインストールされるため、ol8_MODRHCK
チャネルを有効のままにしておくことができます。必要に応じてol8_MODRHCK
チャネルを無効にするには、次のコマンドを実行します。
sudo dnf config-manager --disable ol8_MODRHCK
Oracle Linux UEFI Secure Boot更新通知
F74970-02
2023年7月
Copyright © 2022, 2023, Oracle and/or its affiliates.