セキュリティ更新およびエラッタ・リリースの追跡
Oracleでは、Oracle LinuxおよびOracle VMソフトウェアの重要な変更をエラッタと呼ばれる個別のパッケージ更新としてリリースします。これらのパッケージ更新は、リリースに集約されるか、_patch
チャネルを介して配布される前に、ULN上でダウンロードできるようになります。
エラッタ・パッケージには、次のものが含まれます。
-
セキュリティ・アドバイザ: 名前に接頭辞
ELSA-*
(Oracle Linuxの場合)とOVMSA-*
(Oracle VMの場合)が付いています。 -
名前の先頭に
ELBA-*
(Oracle Linuxの場合)およびOVMBA-*
(Oracle VMの場合)が付いているバグ修正アドバイザ。 -
名前の先頭に
ELEA-*
(Oracle Linuxの場合)およびOVMEA-*
(Oracle VMの場合)が付いている機能拡張アドバイザ。
新しいエラッタ・パッケージの公開時に通知を受けるには、Oracle Linuxエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/el-errata)およびOracle VMエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/oraclevm-errata)をサブスクライブできます。
ULNにログインしている場合、これらのメーリング・リストは、エラッタ・タブに示されるEnterprise Linuxエラッタ・メーリング・リストのサブスクライブリンクとOracle VMエラッタ・メーリング・リストのサブスクライブリンクに従うことでもサブスクライブできます。
Oracleは、ULNで利用可能になったエラッタの完全なリストを公開しています(https://linux.oracle.com/errata)。共通脆弱性(CVE)の公開されたリストを確認して、その詳細とステータスを調べることもできます(https://linux.oracle.com/cve)。
Oracle Linux yumサーバー・リポジトリへの更新は、https://yum.oracle.com/whatsnew.htmlにアクセスして追跡することもできます。ここでは、各リポジトリ内で過去6か月間に更新されたパッケージを確認できます。
ノート:
Oracleは、https://linux.oracle.com/errataにあるエラッタの告知を除いて、既存のセキュリティ脆弱性についてはコメントしません。Oracleは、すべてのOracleのお客様に最高のセキュリティ体制を提供するために、重大なセキュリティ脆弱性を重大度順に修正します。したがって、もっとも重要な問題が常に最初に修正されます。セキュリティ脆弱性の修正は、次の順序で作成されます。- 最新のコード行は、Oracle製品の次回メジャー・リリースに向けて開発されているコードです。
- すべての非ターミナル・リリースのための次回パッチセット
セキュリティ更新を確認するためのDNFの使用
DNFには、Oracle Linuxにインストールされているパッケージで利用可能なセキュリティおよびエラッタの更新を管理するための要件を処理する統合オプションが含まれています。
次のようにして、システムで使用可能なエラッタをリストします。
sudo dnf updateinfo list
コマンドからの出力では、使用可能なエラッタがID順にソートされ、次のいずれかのタイプが識別されます。
- セキュリティ・パッチ(
severity/Sec.
) - バグ修正(
bugfix
) - 機能拡張(
enhancement
)
また、セキュリティ・パッチは重大度(Critical
、Important
、Moderate
またはLow
)に応じてリストされます。
次の例のように、--sec-severityオプションを使用すると、セキュリティ・エラッタを重大度でフィルタ処理できます。
sudo dnf updateinfo list --sec-severity=Critical
エラッタIDではなく、共通脆弱性(CVE) ID順にセキュリティ正誤表をリストするには、キーワードcvesを引数として指定します。
sudo dnf updateinfo list cves
同様に、キーワードbugfix、enhancementおよびsecurityを使用して、すべての不具合修正、拡張およびセキュリティ・エラッタのリストをフィルタ処理します。
--cveオプションを使用すると、特定のCVE IDに対応するエラッタを表示できます。次に例を示します。
sudo dnf updateinfo list --cve CVE-2022-3545
CVEの詳細情報を表示するには、listではなくinfoを指定します。次に例を示します。
sudo dnf updateinfo info --cve CVE-ID
セキュリティ関連のエラッタが利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ・エラッタは含まれない場合でも)に更新するには、次のコマンドを使用します。
sudo dnf --security update
すべてのパッケージをセキュリティ・エラッタが含まれる最新バージョン(セキュリティ・エラッタが含まれない新しいパッケージは対象外)に更新するには、次のコマンドを使用します。
sudo dnf --security upgrade-minimal
すべてのカーネル・パッケージを、セキュリティ・エラッタが含まれる最新バージョンに更新するには、次のコマンドを使用します。
sudo dnf --security upgrade-minimal kernel*
CVEまたはエラッタに対応するパッケージのみを更新するには、dnf update --cveコマンドを使用します。次に例を示します。Enterprise Linux Security Advisory (ELSA)パッチの場合は、dnf update --advisoryを使用します。
sudo dnf update --cve CVE-ID
sudo dnf update --advisory ELSA-ID
ノート:
一部の更新では、システムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。
詳細は、dnf(8)
マニュアル・ページを参照してください。