セキュリティ更新およびエラッタ・リリースの追跡

Oracleでは、Oracle Linuxソフトウェアの重要な変更を、エラッタと呼ばれる個別のパッケージ更新としてリリースします。これらのパッケージ更新は、リリースに集約されるか、_patchチャネルを介して配布される前に、ULN上でダウンロードできるようになります。

更新情報パッケージには次のものが含まれる場合があります:

セキュリティ・アドバイザ: 名前に接頭辞ELSA-* (Oracle Linuxの場合)とOVMSA-* (Oracle VMの場合)が付いています。
名前の先頭にELBA-*(Oracle Linuxの場合)およびOVMBA-*(Oracle VMの場合)が付いているバグ修正アドバイザ。
名前の先頭にELEA-*(Oracle Linuxの場合)およびOVMEA-*(Oracle VMの場合)が付いている機能拡張アドバイザ。

Oracleは、ULNで使用可能になった更新情報の完全なリスト(https://linux.oracle.com/errata)を公開します。共通脆弱性および公開(CVEs)の公開済リストを表示し、https://linux.oracle.com/cveで詳細およびステータスを確認することもできます。

新しいエラッタ・パッケージがリリースされたときに通知を受け取るには、「エラッタ」タブにある「Enterprise Linuxエラッタ・メーリング・リストのサブスクライブ」および「Oracle VMエラッタ・メーリング・リストのサブスクライブ」リンクに従って、関連するメーリング・リストをサブスクライブします。

ノート:

Oracleは、https://linux.oracle.com/errataにあるエラッタの告知を除いて、既存のセキュリティ脆弱性についてはコメントしません。 Oracleは、すべてのOracleのお客様に最高のセキュリティ体制を提供するために、重大なセキュリティ脆弱性を重大度順に修正します。したがって、もっとも重要な問題が常に最初に修正されます。セキュリティ脆弱性の修正は、次の順序で作成されます。

最新のコード行は、Oracle製品の次回メジャー・リリースに向けて開発されているコードです。
すべての非ターミナル・リリースのための次回パッチセット

ULNを使用した使用可能なエラッタの参照

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを監視できます。

このタスクでは、ULNで使用可能なすべてのエラッタを直接参照し、登録済システムに必要なエラッタRPMのダウンロードを選択できます。

適切なSSO資格証明を使用してhttps://linux.oracle.comにサインインします。
エラッタ・タブを選択します。
エラッタ・ページに、ULNにあるすべてのリリースのエラッタの表が表示されます。
エラッタ・ページでは、表示されたエラッタに対して次のアクションを実行することができます。
- 使用可能なエラッタの表をソートするには、列タイトルのタイプ、重大度、アドバイザ、影響を受けるシステムまたはリリース日を選択します。ソート順を逆にするには、タイトルをもう一度選択します。
  
  ノート:
  
  影響を受けるシステムの列には、アドバイザの影響を受ける可能性があるシステムの数が表示されます。
- 異なるタイプのアドバイザを表示または非表示にするには、「バグ」、「拡張」および「セキュリティ」の各チェック・ボックスを選択するか選択を解除して、「実行」を選択します。
- 特定のリリースのOracle LinuxまたはOracle VMのアドバイザのみを表示するには、「リリース」リストからそのリリースを選択して、「実行」を選択します。
- 表内を検索するには、「検索」フィールドに文字列を入力して、「実行」を選択します。
アドバイザの詳細を表示し、RPMをダウンロードするには:
1. アドバイザのリンクを選択します。
2. アドバイザのエラッタの詳細ページで、サポートされたリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。優先されるアドバイザの列には、参照しているアドバイザより優先される最新のアドバイザ(ある場合)へのリンクが表示されます。

ULNを使用したシステム固有のエラッタの管理

ULNで使用可能なエラッタを監視することで、登録済システムで必要になる可能性のある更新を最新の状態に保つことができます。

ユーザーは、ULNに登録されているシステムのエラッタのみを管理できます。

このタスクでは、特定のシステムに影響を与えるエラッタに関するCVSレポートをダウンロードできます。レポートを使用して、そのシステムを更新するためにダウンロードする必要があるRPMを特定できます。

有効なSSO資格証明を使用してhttps://linux.oracle.comにサインインします。
「システム」タブの登録されたマシンのリストで、システムの名前が付いているリンクを選択します。
「システム詳細」ページの使用可能なエラッタには、システムで使用可能なエラッタが表示されます。数ページにわたる場合もあります。
このシステムで使用可能なすべてのエラッタをダウンロードを選択します。

または、影響を受けるシステムでsudo dnf upgradeコマンドを直接使用してRPMをダウンロードし、使用可能なすべてのエラッタ更新でシステムを更新します。
アドバイザの詳細を表示し、RPMをダウンロードするには:
1. アドバイザのリンクを選択します。
2. システム・エラッタの詳細ページで、影響を受けるリリースおよびシステム・アーキテクチャのRPMをダウンロードすることができます。

本番環境での制御された更新の計画

ソフトウェアとOSの更新は、最小限の停止時間が求められるミッション・クリティカルなアプリケーションがある複雑な本番環境で問題になることがあります。 1つの解決策として、テスト済の単一のOracle Linuxリリースと更新レベルに環境をロックして、OSを頻繁に更新しないようにすることが考えられます。ただし、この方法ではセキュリティの脆弱性によるリスクが高まり、統合テストがより困難になる可能性があります。

ソフトウェア更新戦略を実装し、本番システム上のOSと基礎となるソフトウェアが頻繁に更新され、ソフトウェアの更新によるアプリケーションの破損のリスクを管理できるようにすることをお薦めします。

次のガイドラインは、ベスト・プラクティスに沿って、予期しない変更から本番システムを保護するソフトウェア更新戦略を実装するために役立ちます。

ローカルULNミラーを作成します。

システムに更新をロールアウトする際の課題の1つは、統合およびテスト環境で更新をテストしていたとしても、更新されたパッケージのソースを管理していないと、統合テストの期間と本番環境でパッケージの更新をロールアウトする時点までの間に、パッケージに変更が実施されている可能性があることです。

ローカルULNミラーを作成すると、チャネルをミラー・サーバーに同期するタイミングと頻度を制御できます。パッケージの選択は同期期間の間は静的であるため、パッケージのセットをテストしてから、本番環境を既知のワーキング・セットに更新する機会が得られます。

ミラー・サービスにULNを使用すると、Ksplice更新が含まれているチャネルをミラーリングできるため、オフラインのKspliceサービスを利用できます。オフラインKspliceを使用すると、インメモリー・カーネル更新を使用して再起動を回避できます。同時に、これらの更新をまず統合環境でテストしてから、本番環境に更新を適用できます。
リスクと脅威の軽減に基づいた段階的な更新戦略を検討します。
すべての更新が同じであるとはかぎりません。 ULNミラー・チャネルの時間同期は、要件に応じて実行できます。これらの要件に基づいて、システムを異なるスケジュールで異なる更新タイプを実行するように構成できます。たとえば、次のような戦略で作業できます。
- カーネルおよびユーザー・スペースのOracle Ksplice更新を、少なくとも毎週実行するようにスケジュールします。必要に応じて、まず統合テスト環境内でこれらの更新を精査できます。
- セキュリティ関連のパッケージ更新については、毎月のメンテナンス・スケジュールに従い、セキュリティ・ツールからのアラートやエラッタ通知に沿って実行してください。これらのタイプの更新には、dnf update --securityコマンドを使用します。
- ULNミラー・スナップショットを使用するフル・パッケージ更新を実行するには、少なくとも四半期ごとのメンテナンス・スケジュールを適用します。これらの更新を本番サーバーに実装する前に、まず統合テスト環境で更新を精査してください。

アトミック更新を定期的に実行すると、統合の問題が発生したときの解決が容易になり、潜在的なセキュリティ問題からより適切に環境を保護できます。統合テスト環境とYumまたはULNミラーを使用することは、プラットフォームの安定性の維持と侵害からの保護のために重要です。