セキュリティ更新およびエラッタ・リリースの追跡

Oracleでは、Oracle Linuxソフトウェアの重要な変更を、エラッタと呼ばれる個別のパッケージ更新としてリリースします。

エラッタ・パッケージには、次のものが含まれます。

  • セキュリティ・アドバイザ: 名前に接頭辞ELSA-* (Oracle Linuxの場合)とOVMSA-* (Oracle VMの場合)が付いています。

  • 名前の先頭にELBA-*(Oracle Linuxの場合)およびOVMBA-*(Oracle VMの場合)が付いているバグ修正アドバイザ。

  • 名前の先頭にELEA-*(Oracle Linuxの場合)およびOVMEA-*(Oracle VMの場合)が付いている機能拡張アドバイザ。

新しいエラッタ・パッケージの公開時に通知を受けるには、Oracle Linuxエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/el-errata)およびOracle VMエラッタ・メーリング・リスト(https://oss.oracle.com/mailman/listinfo/oraclevm-errata)をサブスクライブできます。

Oracle Linux yumサーバー・リポジトリへの更新は、https://yum.oracle.com/whatsnew.htmlにアクセスして追跡できます。ここでは、各リポジトリ内で過去6か月間に更新されたパッケージを確認できます。

ノート:

オラクルは、エラッタのお知らせを除いて、既存のセキュリティ脆弱性についてコメントしません。Oracleは、すべてのOracleのお客様に最高のセキュリティ体制を提供するために、重大なセキュリティ脆弱性を重大度順に修正します。したがって、もっとも重要な問題が常に最初に修正されます。セキュリティ脆弱性の修正は、次の順序で作成されます。
  • 最新のコード行は、Oracle製品の次回メジャー・リリースに向けて開発されているコードです。
  • すべての非ターミナル・リリースのための次回パッチセット

セキュリティ更新を確認するためのDNFの使用

DNFには、Oracle Linuxにインストールされているパッケージで利用可能なセキュリティおよびエラッタの更新を管理するための要件を処理する統合オプションが含まれています。

詳細は、dnf(8)マニュアル・ページを参照してください。

  • 使用可能なエラッタとセキュリティ更新をリストします。

    次のようにして、システムで使用可能なエラッタをリストします。 

    sudo dnf updateinfo list

    コマンドからの出力では、使用可能なエラッタがID順にソートされ、次のいずれかのタイプが識別されます。

    • セキュリティ・パッチ(severity/Sec.)
    • バグ修正(bugfix)
    • 機能拡張(enhancement)

    また、セキュリティ・パッチは重大度(CriticalImportantModerateまたはLow)に応じてリストされます。

    • 次の例のように、--sec-severityオプションを使用すると、セキュリティ・エラッタを重大度でフィルタ処理します: 

      sudo dnf updateinfo list --sec-severity=Critical

    • エラッタIDではなく、共通脆弱性(CVE) ID順にセキュリティ・エラッタをリストするには、キーワードcvesを引数として指定します: 

      sudo dnf updateinfo list cves
      同様に、キーワードbugfixenhancementおよびsecurityを使用して、すべての不具合修正、拡張およびセキュリティ・エラッタのリストをフィルタ処理します。

    • --cveオプションを使用すると、特定のCVE IDに対応するエラッタを表示できます。次に例を示します: 

      sudo dnf updateinfo list --cve CVE-2022-3545
  • 更新されたセキュリティに関する詳細情報を表示します。

    CVEの詳細情報を表示するには、listではなくinfoを指定します。次に例を示します: 

    sudo dnf updateinfo info --cve CVE-ID
  • システムでセキュリティ関連の更新を実行します。

    次のオプションのいずれかを使用します:

    • セキュリティ関連のエラッタが利用可能なすべてのパッケージを最新バージョンのパッケージ(パッケージにバグ修正または新機能が含まれるがセキュリティ・エラッタは含まれない場合でも)に更新するには、次のコマンドを使用します。 

      sudo dnf --security update

    • すべてのパッケージをセキュリティ・エラッタが含まれる最新バージョン(セキュリティ・エラッタが含まれない新しいパッケージは対象外)に更新するには、次のコマンドを使用します。 

      sudo dnf --security upgrade-minimal

    • すべてのカーネル・パッケージを、セキュリティ・エラッタが含まれる最新バージョンに更新するには、次のコマンドを使用します。 

      sudo dnf --security upgrade-minimal kernel*

    • CVEまたは正誤表に対応するパッケージのみを更新するには、dnf update --cveコマンドを使用します。Enterprise Linux Security Advisory (ELSA)パッチの場合は、dnf update --advisoryを使用します。 

      sudo dnf update --cve CVE-ID
      sudo dnf update --advisory ELSA-ID

    ノート:

    一部の更新では、システムを再起動する必要があります。デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。