セキュリティ更新およびエラッタ・リリースの追跡

Oracleでは、Oracle Linuxソフトウェアの重要な変更を、エラッタと呼ばれる個別のパッケージ更新としてリリースします。これらのパッケージ更新は、リリースに集約されるか、_patchチャネルを介して配布される前に、ULN上でダウンロードできるようになります。

エラッタ・パッケージには、次のものが含まれます。

  • セキュリティ・アドバイザ: 名前に接頭辞ELSA-* (Oracle Linuxの場合)とOVMSA-* (Oracle VMの場合)が付いています。

  • 名前の先頭にELBA-*(Oracle Linuxの場合)およびOVMBA-*(Oracle VMの場合)が付いているバグ修正アドバイザ。

  • 名前の先頭にELEA-*(Oracle Linuxの場合)およびOVMEA-*(Oracle VMの場合)が付いている機能拡張アドバイザ。

新しいエラッタ・パッケージの公開時に通知を受けるには、Oracle Linuxエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/el-errata)およびOracle VMエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/oraclevm-errata)をサブスクライブできます。

ULNにサインインしている場合、これらのメーリング・リストは、エラッタ・タブに示されるEnterprise Linuxエラッタ・メーリング・リストのサブスクライブ・リンクとOracle VMエラッタ・メーリング・リストのサブスクライブ・リンクに従うことでもサブスクライブできます。

Oracleは、ULNで利用可能になったエラッタの完全なリストを公開しています(https://linux.oracle.com/errata)。共通脆弱性(CVE)の公開されたリストを確認して、その詳細とステータスを調べることもできます(https://linux.oracle.com/cve)。

Oracle Linux yumサーバー・リポジトリへの更新は、https://yum.oracle.com/whatsnew.htmlにアクセスして追跡することもできます。ここでは、各リポジトリ内で過去6か月間に更新されたパッケージを確認できます。

ノート:

Oracleは、https://linux.oracle.com/errataにあるエラッタの告知を除いて、既存のセキュリティ脆弱性についてはコメントしません。Oracleは、すべてのOracleのお客様に最高のセキュリティ体制を提供するために、重大なセキュリティ脆弱性を重大度順に修正します。したがって、もっとも重要な問題が常に最初に修正されます。セキュリティ脆弱性の修正は、次の順序で作成されます。
  • 最新のコード行は、Oracle製品の次回メジャー・リリースに向けて開発されているコードです。
  • すべての非ターミナル・リリースのための次回パッチセット

セキュリティ更新を確認するためのDNFの使用

DNFには、Oracle Linuxにインストールされているパッケージで利用可能なセキュリティおよびエラッタの更新を管理するための要件を処理する統合オプションが含まれています。

詳細は、dnf(8)マニュアル・ページを参照してください。

  • 使用可能なエラッタとセキュリティ更新をリストします。

    次のようにして、システムで使用可能なエラッタをリストします。 

    sudo dnf updateinfo list

    コマンドからの出力では、使用可能なエラッタがID順にソートされ、次のいずれかのタイプが識別されます。

    • セキュリティ・パッチ(severity/Sec.)
    • バグ修正(bugfix)
    • 機能拡張(enhancement)

    また、セキュリティ・パッチは重大度(CriticalImportantModerateまたはLow)に応じてリストされます。

    • 次の例のように、--sec-severityオプションを使用すると、セキュリティ・エラッタを重大度でフィルタ処理します: 

      sudo dnf updateinfo list --sec-severity=Critical

    • エラッタIDではなく、共通脆弱性(CVE) ID順にセキュリティ・エラッタをリストするには、キーワードcvesを引数として指定します: 

      sudo dnf updateinfo list cves
      同様に、キーワードbugfixenhancementおよびsecurityを使用して、すべての不具合修正、拡張およびセキュリティ・エラッタのリストをフィルタ処理します。

    • --cveオプションを使用すると、特定のCVE IDに対応するエラッタを表示できます。次に例を示します: 

      sudo dnf updateinfo list --cve CVE-2022-3545
  • 更新されたセキュリティに関する詳細情報を表示します。

    CVEの詳細情報を表示するには、listではなくinfoを指定します。次に例を示します: 

    sudo dnf updateinfo info --cve CVE-ID
  • システムでセキュリティ関連の更新を実行します。

    次のオプションのいずれかを使用します:

    • セキュリティ関連のエラッタが利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ・エラッタは含まれない場合でも)に更新するには、次のコマンドを使用します。 

      sudo dnf --security update

    • すべてのパッケージをセキュリティ・エラッタが含まれる最新バージョン(セキュリティ・エラッタが含まれない新しいパッケージは対象外)に更新するには、次のコマンドを使用します。 

      sudo dnf --security upgrade-minimal

    • すべてのカーネル・パッケージを、セキュリティ・エラッタが含まれる最新バージョンに更新するには、次のコマンドを使用します。 

      sudo dnf --security upgrade-minimal kernel*

    • CVEまたは正誤表に対応するパッケージのみを更新するには、dnf update --cveコマンドを使用します。Enterprise Linux Security Advisory (ELSA)パッチの場合は、dnf update --advisoryを使用します。 

      sudo dnf update --cve CVE-ID
      sudo dnf update --advisory ELSA-ID

    ノート:

    一部の更新では、システムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。

ULNを使用したシステム固有のエラッタの管理

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを管理できます。

このタスクでは、特定のシステムに影響を与えるエラッタに関するCVSレポートをダウンロードできます。レポートを使用して、そのシステムを更新するためにダウンロードする必要があるRPMを特定できます。

  1. 有効なSSO資格証明を使用してhttps://linux.oracle.comにサインインします。
  2. 「システム」タブの登録されたマシンのリストで、システムの名前が付いているリンクを選択します。
    「システム詳細」ページの使用可能なエラッタには、システムで使用可能なエラッタが表示されます。数ページにわたる場合もあります。
  3. このシステムで使用可能なすべてのエラッタをダウンロードを選択します。

    または、影響を受けるシステムでsudo dnf upgradeコマンドを直接使用してRPMをダウンロードし、使用可能なすべてのエラッタ更新でシステムを更新します。

  4. アドバイザの詳細を表示し、RPMをダウンロードするには:
    1. アドバイザのリンクを選択します。
    2. システム・エラッタの詳細ページで、影響を受けるリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。

ULNを使用した使用可能なエラッタの参照

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを監視できます。

このタスクでは、ULNで使用可能なすべてのエラッタを直接参照し、登録済システムに必要なエラッタRPMのダウンロードを選択できます。

  1. 適切なSSO資格証明を使用してhttps://linux.oracle.comにサインインします。
  2. エラッタ・タブを選択します。
    エラッタ・ページに、ULNにあるすべてのリリースのエラッタの表が表示されます。
  3. エラッタ・ページでは、表示されたエラッタに対して次のアクションを実行することができます。

    • 使用可能なエラッタの表をソートするには、列タイトルのタイプ重大度アドバイザ影響を受けるシステムまたはリリース日を選択します。ソート順を逆にするには、タイトルをもう一度選択します。

      ノート:

      影響を受けるシステムの列には、アドバイザの影響を受ける可能性があるシステムの数が表示されます。

    • 異なるタイプのアドバイザを表示または非表示にするには、「バグ」「拡張」および「セキュリティ」の各チェック・ボックスを選択するか選択を解除して、「実行」を選択します。

    • 特定のリリースのOracle LinuxまたはOracle VMのアドバイザのみを表示するには、「リリース」リストからそのリリースを選択して、「実行」を選択します。

    • 表内を検索するには、「検索」フィールドに文字列を入力して、「実行」を選択します。

  4. アドバイザの詳細を表示し、RPMをダウンロードするには:
    1. アドバイザのリンクを選択します。
    2. アドバイザのエラッタの詳細ページで、サポートされたリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。優先されるアドバイザの列には、参照しているアドバイザより優先される最新のアドバイザ(ある場合)へのリンクが表示されます。