通知の説明

Oracle Linux UEFI Secure Boot署名キーの更新通知には、UEFI Secure Bootに使用されるカーネルおよび関連パッケージに署名するためにOracleが使用するUnified Extensible Firmware Interface (UEFI)署名キーの更新に関する情報が記載されています。

通知

UEFI Secure Bootモードでのシステムは、オラクル社により署名されたブート・ローダーおよびカーネルのみをロードします。オラクル社では、カーネルおよびgrub2パッケージを更新し、キーの有効期限が切れた場合や追加のセキュリティ更新を行う場合に、有効なExtended Validation (EV)証明書で署名します。EV証明書はshimバイナリにコンパイルされており、Microsoft社によって署名されています。この機能は、Oracle Linux 7.3以降で完全にサポートされています。

以前にリリースされたすべてのカーネルおよび影響を受けるパッケージは、現在のバージョンで引き続き動作します。ただし、カーネルまたはパッケージを更新する場合は、これらの通知が適用されるため、ここに示す手順に従ってアトミック更新を実行する必要があります。

このドキュメントの情報は、カーネルおよび関連するパッケージが新しいキーで更新されるイベントを説明しています。各項では、変更によって影響を受ける最小カーネル・バージョンと、新しいキーで更新されたパッケージ・バージョンについて説明します。

[2023-03-09] UEFIセキュア・ブートCVEを緩和するためのキー失効プロセスの改善: CVE-2022-3775、CVE-2022-2601

Oracleでは現在、UEFI Secure Boot Advanced Targeting (SBAT)を使用して、CVE-2022-3775およびCVE-2022-2601の軽減策としてコアブート・コンポーネントを取り消しています。この更新は、Oracle Linux 8およびOracle Linux 9のユーザーに影響します。

リストされているgrub2およびshimパッケージには、そのメタデータの.sbatセクションで、失効レベルが「3」に設定されたUEFIバイナリが含まれています。Oracleでは、これらの値を必要に応じて非同期に増分できます。

UEFIセキュア・ブートが有効な場合に、mokutilを使用してSBATポリシーを検証および構成する方法の詳細は、Oracle Linux: UEFIセキュア・ブートの操作を参照してください。

Oracle Linux 9

Oracle Linux 9では、次のパッケージ・バージョンで、キー失効のためのUEFI SBATメタデータが導入されています。

  • grub2

    v2.06-46.0.4.el9

  • shim-x64

    v15.7-1.0.3.el9

Oracle Linux 8

Oracle Linux 8では、次のパッケージ・バージョンで、キー失効のためのUEFI SBATメタデータが導入されています。

  • grub2

    v2.02-142.0.3.el8_7.1

  • shim-x64

    v15.7-1.0.3.el8

[2022-06-14] UEFI Secure Boot CVEのキー更新: CVE-2021-3695、CVE-2022-28737、CVE-2022-21499

Oracleは、CVE-2022-21499に対応してOracle Linuxカーネル、CVE-2021-3695に対応してgrub2インスタンス、およびCVE-2022-28737に対応してshimバイナリに署名するために使用されるUEFI Secure Boot署名証明書をローテーションしました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。

この更新の一部としてパッチが適用された追加の脆弱性には、grub2に関する次のものがあります。

  • CVE-2021-3695
  • CVE-2021-3696
  • CVE-2021-3697
  • CVE-2022-28733
  • CVE-2022-28734
  • CVE-2022-28735
  • CVE-2022-28736

新しいカーネル・バージョンは、新しいキーで署名され、新しいshimに必要な"oracle(kernel-sig-key)=202204"機能を提供します。システムをアップグレードする場合は、同じアトミック操作で他のコンポーネントを更新する必要があります。

重要:

Red Hat Compatible Kernel (RHCK)では、Oracle LinuxがUEFI Secure Bootを有効にしてRHCKをロードできるように、CVE-2022-21499に追加のセキュリティ修正が必要です。詳細は、「Oracleからの追加のセキュリティ修正によるRHCKの有効化」を参照してください。

Oracle Linux 7

Oracle Linux 7では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。

  • Red Hat Compatible Kernel (RHCK)

    v3.10.0-1160.66.1.0.2

  • Unbreakable Enterprise Kernelリリース4 (UEK R4)

    v4.1.12-124.63.2.1

  • Unbreakable Enterprise Kernelリリース5 (UEK R5)

    v4.14.35-2047.513.2.3

  • Unbreakable Enterprise Kernelリリース6 (UEK R6)

    v5.4.17-2136.307.3.6

次のパッケージ・バージョンも互換性のある新しい証明書で署名されます。

  • grub2

    v2.02-0.87.0.21.el7_9.9 (必須)

  • shim-x64

    v15.6-1.0.7.el7 (必須)

Oracle Linux 8

Oracle Linux 8では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。

  • Red Hat Compatible Kernel (RHCK)

    v4.18.0-372.9.1.0.2

  • Unbreakable Enterprise Kernelリリース6 (UEK R6)

    v5.4.17-2136.307.3.6

  • Unbreakable Enterprise Kernelリリース7 (UEK R7)

    v5.15.0-0.30.19

次のパッケージ・バージョンも互換性のある新しい証明書で署名されます。

  • grub2

    v2.02-123.0.3.el8 (必須)

  • shim-x64

    v15.6-1.0.3.el8 (必須)

[2020-07-29] CVE-2020-10713のキー更新

CVE-2020-10713に対応してUEKカーネルおよびgrubインスタンスに署名するために使用するキーが更新されました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。

新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。

Oracle Linux 7

Oracle Linux 7では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。

  • Red Hat Compatible Kernel (RHCK)

    v3.10.0-1127.18.2

  • Unbreakable Enterprise Kernelリリース3 (UEK R3)

    v3.8.13-118.47.2

  • Unbreakable Enterprise Kernelリリース4 (UEK R4)

    v4.1.12-124.40.6.3

  • Unbreakable Enterprise Kernelリリース5 (UEK R5)

    v4.14.35-1902.304.6.3

  • Unbreakable Enterprise Kernelリリース6 (UEK R6)

    v5.4.17-2011.4.6

次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。

  • grub2

    v2.02-0.82.0.5 (必須)

  • shim-x64

    v15-2.0.5 (必須)

  • fwupdate-efi

    v12-5.0.5 (オプション)

Oracle Linux 8

Oracle Linux 8では、次のカーネル・パッケージ・バージョン以上が新しいキーで署名されます。

  • Red Hat Compatible Kernel (RHCK)

    v4.18.0-193.14.3

  • Unbreakable Enterprise Kernelリリース6 (UEK R6)

    v5.4.17-2011.4.6

次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。

  • grub2

    v2.02-82.0.2 (必須)

  • shim-x64

    v15-11.0.5 (必須)

  • fwupdate-efi

    v11-3.0.3.el8 (オプション)

  • fwupd

    v1.1.4-6.0.2.el8 (オプション)

[2018-11-15]キー失効更新

キーの失効を回避するためにカーネルおよびgrubインスタンスの署名に使用するキーが更新されました。この更新は、Oracle Linux 7およびOracle Linux 8を実行しているユーザーに影響します。

新しいカーネル・バージョンは新しいキーで署名され、システムをアップグレードする場合は、他のコンポーネントがアトミック操作として更新される必要があります。

この更新は、すべてのUEKリリースおよびRHCKに影響します。次のバージョン以上のカーネル・パッケージは、新しいキーで署名されます。

  • Red Hat Compatible Kernel (RHCK)

    v3.10.0-957.0

  • Oracle Modified Red Hat Compatible Kernel (RHCK)

    v3.10.0-957.0.0.0.2

  • Unbreakable Enterprise Kernelリリース3 (UEK R3)

    v3.8.13-118.27.1

  • Unbreakable Enterprise Kernelリリース4 (UEK R4)

    v4.1.12-124.22.1

  • Unbreakable Enterprise Kernelリリース5 (UEK R5)

    v4.14.35-1818.4.6

次のパッケージ・バージョンは、最新のカーネル・リリースと同じEV証明書を使用して署名されます。

  • grub2

    v2.02-0.76.0.3 (必須)

  • shim-x64

    v15-1.0.3 (必須)

  • fwupdate-efi

    v12-5.0.3 (オプション)

カーネルのアップグレードおよびダウングレードの処理

UEFI Secure Bootを使用している場合は、システム上のパッケージをアップグレードまたはダウングレードするときに、次のアクション項目に注意する必要があります。

カーネルのアップグレード

すでにSecure Bootを有効にしていて、カーネルをアップグレードする場合、shim-x64grub2およびkernelパッケージをアトミック操作として更新する必要があります。これらのパッケージがすべて更新されないと、Secure Bootプロセスは中断される可能性があり、システムの完全アップグレードが完了するまで無効化する必要があります。

fwupdate-efiパッケージもこの更新の影響を受けます。このパッケージはブートに不可欠ではありませんが、インストールした場合は、次に示されたバージョン以上のバージョンに更新できます。

「通知」の説明に従って、新しいEV証明書で署名されたバージョン以上のバージョンにカーネルをアップグレードする場合は、関連付けられているパッケージが指定のバージョン以上にアップグレードされていることを確認します。

インストールまたはアップグレードする予定のカーネルのバージョンがキー更新の影響を受けるかどうかを判断して適切な最小パッケージ・バージョンを同時にインストール際は注意が必要です。

最後に、「レスキュー・カーネルの再構築」の手順に従うことを忘れないでください。

カーネルのダウングレード

Secure Bootを有効にし、最新のEV証明書で署名されたカーネル・バージョンを実行していて、「通知」に示されているバージョンよりも低いバージョンにカーネルをダウングレードする場合は、shim-x64grub2およびkernelパッケージをアトミック操作としてダウングレードする必要があります。shimおよびgrub2パッケージが「通知」にリストされているバージョンより低いバージョンであることを確認します。

ダウングレードする予定のカーネルのバージョンが代替キー更新の影響を受けるかどうかを判断して適切なパッケージ・バージョンを同時にインストールする際は注意が必要です。

最後に、「レスキュー・カーネルの再構築」の手順に従うことを忘れないでください。

レスキュー・カーネルの再構築

UEFI Secure Bootで使用する新しい署名を使用してパッケージをアップグレードまたはダウングレードする場合は常に、システム・レスキュー・カーネルを再構築して、必要に応じてそれらの環境にブートする機能を維持する必要があります。

前のEV証明書で署名された古いレスキュー・カーネルをすべて削除します。

sudo rm -f /boot/initramfs-0-rescue-*
sudo rm -f /boot/i/boot/vmlinuz-0-rescue-*

現在のEV証明書で署名された新しいレスキュー・カーネルを生成します。

sudo /etc/kernel/postinst.d/51-dracut-rescue-postinst.sh $(uname -r) /boot/vmlinuz-$(uname -r)

Oracleからの追加のセキュリティ修正によるRHCKの有効化

Oracleは、UEFI Secure Bootで使用するためにカーネルおよびパッケージに署名する場合(特に緊急のセキュリティ問題やCVEに必要な場合)に、厳格なセキュリティ要件を維持します。

UEFI Secure Bootが有効になっている場合は、Oracle LinuxおよびRHCKを安全にブートできます。「[2022-06-14] UEFI Secure Boot CVEのキー更新: CVE-2021-3695、CVE-2022-28737、CVE-2022-21499」にリストされている一連のCVEでは、Oracleが現在の証明書を新しい証明書でローテーションする必要があり、これにより、古い証明書で署名されたカーネルがロードされなくなります。CVE-2022-21499の重要性により、OracleはUEKとRHCKの両方に必要な修正を適用しました。RHCKでUEFI Secure Bootを使用するお客様は、次の手順を使用して、変更されたRHCKエラータを適用する必要があります。

Oracle Linux 7

ol7_MODRHCKソフトウェア・チャネルを有効にします。

sudo yum-config-manager --enable ol7_MODRHCK

追加のセキュリティ修正を使用して最新のRHCKリリースをインストールするようにシステムを更新します。

sudo yum update -y

最新のRHCKリリースは更新時に常にインストールされるため、ol7_MODRHCKチャネルを有効のままにしておくことができます。必要に応じてol7_MODRHCKチャネルを無効にするには、次のコマンドを実行します。

sudo yum-config-manager --disable ol7_MODRHCK
Oracle Linux 8

oraclelinux-release-el8パッケージを更新し、ol8_MODRHCKソフトウェア・チャネルを有効にします。

sudo dnf update oraclelinux-release-el8
sudo dnf config-manager --enable ol8_MODRHCK

追加のセキュリティ修正を使用して最新のRHCKリリースをインストールするようにシステムを更新します。

sudo dnf update -y

最新のRHCKリリースは更新時に常にインストールされるため、ol8_MODRHCKチャネルを有効のままにしておくことができます。必要に応じてol8_MODRHCKチャネルを無効にするには、次のコマンドを実行します。

sudo dnf config-manager --disable ol8_MODRHCK