セキュリティ更新およびエラッタ・リリースの追跡

Oracleでは、Oracle LinuxおよびOracle VMソフトウェアの重要な変更をエラッタと呼ばれる個別のパッケージ更新としてリリースします。これらのパッケージ更新は、リリースに集約されるか、_patchチャネルを介して配布される前に、ULN上でダウンロードできるようになります。

エラッタ・パッケージには、次のものが含まれます。

  • セキュリティ・アドバイザ: 名前に接頭辞ELSA-* (Oracle Linuxの場合)とOVMSA-* (Oracle VMの場合)が付いています。

  • 名前の先頭にELBA-*(Oracle Linuxの場合)およびOVMBA-*(Oracle VMの場合)が付いているバグ修正アドバイザ。

  • 名前の先頭にELEA-*(Oracle Linuxの場合)およびOVMEA-*(Oracle VMの場合)が付いている機能拡張アドバイザ。

新しいエラッタ・パッケージの公開時に通知を受けるには、Oracle Linuxエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/el-errata)およびOracle VMエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/oraclevm-errata)をサブスクライブできます。

ULNにログインしている場合、これらのメーリング・リストは、エラッタ・タブに示されるEnterprise Linuxエラッタ・メーリング・リストのサブスクライブリンクとOracle VMエラッタ・メーリング・リストのサブスクライブリンクに従うことでもサブスクライブできます。

Oracleは、ULNで利用可能になったエラッタの完全なリストを公開しています(https://linux.oracle.com/errata)。共通脆弱性(CVE)の公開されたリストを確認して、その詳細とステータスを調べることもできます(https://linux.oracle.com/cve)。

Oracle Linux yumサーバー・リポジトリへの更新は、https://yum.oracle.com/whatsnew.htmlにアクセスして追跡することもできます。ここでは、各リポジトリ内で過去6か月間に更新されたパッケージを確認できます。

ノート:

Oracleは、https://linux.oracle.com/errataにあるエラッタの告知を除いて、既存のセキュリティ脆弱性についてはコメントしません。Oracleは、すべてのOracleのお客様に最高のセキュリティ体制を提供するために、重大なセキュリティ脆弱性を重大度順に修正します。したがって、もっとも重要な問題が常に最初に修正されます。セキュリティ脆弱性の修正は、次の順序で作成されます。
  • 最新のコード行は、Oracle製品の次回メジャー・リリースに向けて開発されているコードです。
  • すべての非ターミナル・リリースのための次回パッチセット

セキュリティ更新を確認するためのDNFの使用

DNFには、Oracle Linuxにインストールされているパッケージで利用可能なセキュリティおよびエラッタの更新を管理するための要件を処理する統合オプションが含まれています。

次のようにして、システムで使用可能なエラッタをリストします。

sudo dnf updateinfo list

コマンドからの出力では、使用可能なエラッタがID順にソートされ、次のいずれかのタイプが識別されます。

  • セキュリティ・パッチ(severity/Sec.)
  • バグ修正(bugfix)
  • 機能拡張(enhancement)

また、セキュリティ・パッチは重大度(CriticalImportantModerateまたはLow)に応じてリストされます。

次の例のように、--sec-severityオプションを使用すると、セキュリティ・エラッタを重大度でフィルタ処理できます。

sudo dnf updateinfo list --sec-severity=Critical

エラッタIDではなく、共通脆弱性(CVE) ID順にセキュリティ正誤表をリストするには、キーワードcvesを引数として指定します。

sudo dnf updateinfo list cves

同様に、キーワードbugfixenhancementおよびsecurityを使用して、すべての不具合修正、拡張およびセキュリティ・エラッタのリストをフィルタ処理します。

--cveオプションを使用すると、特定のCVE IDに対応するエラッタを表示できます。次に例を示します。

sudo dnf updateinfo list --cve CVE-2022-3545

CVEの詳細情報を表示するには、listではなくinfoを指定します。次に例を示します。

sudo dnf updateinfo info --cve CVE-ID

セキュリティ関連のエラッタが利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ・エラッタは含まれない場合でも)に更新するには、次のコマンドを使用します。

sudo dnf --security update

すべてのパッケージをセキュリティ・エラッタが含まれる最新バージョン(セキュリティ・エラッタが含まれない新しいパッケージは対象外)に更新するには、次のコマンドを使用します。

sudo dnf --security upgrade-minimal

すべてのカーネル・パッケージを、セキュリティ・エラッタが含まれる最新バージョンに更新するには、次のコマンドを使用します。

sudo dnf --security upgrade-minimal kernel*

CVEまたはエラッタに対応するパッケージのみを更新するには、dnf update --cveコマンドを使用します。次に例を示します。Enterprise Linux Security Advisory (ELSA)パッチの場合は、dnf update --advisoryを使用します。

sudo dnf update --cve CVE-ID
sudo dnf update --advisory ELSA-ID

ノート:

一部の更新では、システムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。

詳細は、dnf(8)マニュアル・ページを参照してください。

ULNを使用したシステム固有のエラッタの管理方法

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを管理できます。

このタスクでは、特定のシステムに影響を与えるエラッタに関するCVSレポートをダウンロードできます。レポートを使用して、そのシステムを更新するためにダウンロードする必要があるRPMを特定できます。

  1. 適切なULNユーザー名とパスワードを使用して、https://linux.oracle.comにログインします。
  2. 「システム」タブの登録されたマシンのリストで、システムの名前が付いているリンクをクリックします。
    「システム詳細」ページの使用可能なエラッタには、システムで使用可能なエラッタが表示されます。数ページにわたる場合もあります。
  3. このシステムで使用可能なすべてのエラッタをダウンロード日本語をクリックします。

    または、影響を受けるシステムでsudo dnf upgradeコマンドを直接使用してRPMをダウンロードし、使用可能なすべてのエラッタ更新でシステムを更新します。

  4. アドバイザの詳細を表示し、RPMをダウンロードするには:
    1. アドバイザのリンクをクリックします。
    2. システム・エラッタの詳細ページで、影響を受けるリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。

ULNを使用した使用可能なエラッタの参照方法

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを監視できます。

このタスクでは、ULNで使用可能なすべてのエラッタを直接参照し、登録済システムに必要なエラッタRPMのダウンロードを選択できます。

  1. 適切なULNユーザー名とパスワードを使用して、https://linux.oracle.comにログインします。
  2. エラッタ・タブを選択します。
    エラッタ・ページに、ULNにあるすべてのリリースのエラッタの表が表示されます。
  3. エラッタ・ページでは、表示されたエラッタに対して次のアクションを実行することができます。
    • 使用可能なエラッタの表をソートするには、列タイトルのタイプ重大度アドバイザ影響を受けるシステムまたはリリース日」をクリックします。ソート順を逆にするには、タイトルをもう一度クリックします。

      ノート:

      「影響を受けるシステム」の列には、アドバイザの影響を受ける可能性があるシステムの数が表示されます。

    • 異なるタイプのアドバイザを表示または非表示にするには、「バグ」「拡張」および「セキュリティ」の各チェック・ボックスを選択するかクリアして、「実行」をクリックします。

    • 特定のリリースのOracle LinuxまたはOracle VMのアドバイザのみを表示するには、「リリース」リストからそのリリースを選択して、「実行」をクリックします。

    • 表内を検索するには、「検索」フィールドに文字列を入力して、「実行」をクリックします。

  4. アドバイザの詳細を表示し、RPMをダウンロードするには:
    1. アドバイザのリンクをクリックします。
    2. アドバイザのエラッタの詳細ページで、サポートされたリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。優先されるアドバイザの列には、参照しているアドバイザより優先される最新のアドバイザ(ある場合)へのリンクが表示されます。