Red Hat Enterprise Linuxの修正

Red Hat K.K. All rights reserved. 1

Red Hat Enterprise Linuxの修正

v0.7: 2014.12Red Hat K.K. Kazuo Moriwaka <[email protected]>


このスライドの位置づけ

Red Hat Enterprise Linuxは高い品質を誇りますが他のソフトウェアと同様にバグや脆弱性を含んでいます

そのためRed Hatは必要に応じて修正を出荷しており、Red Hat Enterprise Linuxを運用する際にはこの修正を確実に適用することが基本です

このスライドでは、Red Hat Enterprise Linuxの修正について以下のトピックを扱います● 修正が出荷・配布されるしくみ● 修正を出荷するポリシー● 修正が出荷されたことを知る方法● ある脆弱性が製品に影響するか、影響する場合は

どの修正で対応されているかを調べる方法


agenda

Red Hat Enterprise Linuxでの「修正」とは● パッケージ● 「パッチでの配布」との違い● チャネル（またはリポジトリ）● インターネット接続できない場合の更新

セキュリティ修正の出荷ポリシー修正の告知

● アドバイザリ● 影響度の概要● アドバイザリとOSアップデートリリースの関係

情報源● セキュリティ情報の入手● 通知を受けとる


Red Hat Enterprise Linuxでの「修正」とは


パッケージ

Red Hat Enterprise Linuxでは、RPMパッケージによりソフトウェアを配布しています● 1つのシステムは100〜数千のRPMパッ

ケージで構成されますパッケージにはバージョンや製品バージョン、

アーキテクチャを含む名前が付与されます● 例: glibc-2.17-55.el7.x86_64

全ての修正は新しいバージョンのパッケージを配布する形でおこないます● 「パッチ」の配布は行っていません

rpmパッケージを使うことでインストール・削除・更新などを統一的に行うことができます


パッケージの更新

「パッケージの更新」は何をするのか?● バイナリやドキュメント等のファイルを更新● 設定ファイルを更新

● ユーザによる変更があった場合は新版を別名で保存 or 旧版のバックアップを保存

● (サービスが起動していれば)サービスの再起動● パッケージに含まれるスクリプトを実行

● RPMパッケージは、インストールや更新の前後など各種のタイミングで実行するスクリプトを含んでいる

パッケージにより再起動などの必要有無が異なる● kernel, glibcなどいくつかのパッケージでは更新を反

映するためにはシステム再起動が必要● RHEL6以降では、needs-restarting コマンドにより更

新を反映するためのサービス再起動が必要か確認できる


「パッチでの配布」との違い

パッケージ単位で配布するRed Hatの方式は、以下のような特徴があります

特定の修正だけを選択的に適用する方法は提供されません● 例:

バグ修正がおこなわれたのち、セキュリティ上の問題に対する修正がおこなわれた。セキュリティ上の問題に「だけ」対応したパッケージを提供してほしい → 対応不可

ほとんどの場合、パッケージをダウングレードすることでアップデートのキャンセルが非常に簡単に実施できる● 設定ファイルの置き換えなどが発生していなければ、パッケー

ジをダウングレードするだけでアップデートする前の状態に戻る


チャネル（またはリポジトリ）

Red Hat Customer Portal

Channel

Red Hat 製品はいくつかの「チャネル」として提供されています。

たとえばRHEL Server を購入した場合、以下のようなチャネルがつかえるようになります● RHEL5 x86_64● RHEL5 ppcのOptional● RHEL6 x86_64● RHEL6 x86_64のOptional● RHEL6 x86_64のSupplementary● (などなど)

チャネルはyumなどのコマンドにより導入するソフトウェアを探索する対象になります。

RHEL


RHELセキュリティfixの「出荷」

セキュリティ上の問題に対応するパッケージは、以下のようにして出荷されます● アドバイザリ(後述)も同時に作成・登録されます

修正の適用は自動や強制ではなく、各サーバでyumコマンドなどを使って更新をおこないます


Channel RHEL

修正を含むパッケージを

チャネルへ登録（＝出荷）

yumコマンドやRed Hat Satelliteで

更新を指示


インターネット接続できない場合の更新

インターネット接続できない場合は?● Red Hat Satellite ServerをLAN内に構築して配布● Red Hat Customer Portalから必要パッケージをダウンロードして適用


Channel

Red Hat Satellite Server

Channel

必要製品の最新チャネルを同期

RHEL


セキュリティ修正の出荷ポリシー


セキュリティ上の修正が出荷される期間

セキュリティ上の修正が作成・出荷される期間はライフサイクルポリシーにより定められます

RHEL 3/4 では初期リリースから7年間 RHEL 5/6/7 では初期リリースから10年間

RHEL 3/4 については、Extended Lifecycle Support （ELS）が提供され、RHEL3については3年間、 RHEL4については5年間の延長サポートが提供されます● ELS期間中、重大なセキュリティ上の問題について修正が

出荷されます● ELS期間中に出荷される修正を入手するためにはELS

add-onとよばれるアドオン製品を別途購入する必要があります

● RHEL5以降についてELS提供予定はありません

https://access.redhat.com/support/policy/updates/errata/


RHELの製品ライフサイクル

RHEL5/6/7

RHEL3/4

https://access.redhat.com/support/policy/updates/errata/


修正の告知


アドバイザリ

製品の修正や拡張は全てアドバイザリ(勧告, Errataとも)とよばれる形で提供されます● 各アドバイザリには(通常)RPMパッケージが含まれる● 一つのアドバイザリによって1つ以上の問題の修正に対応

特定のアドバイザリのみ適用することはサポートの範囲内● 例: カーネルのみ古いバージョンを利用する● 全てを最新にしないとサポートしないわけではありません● 更新により修正された問題が疑われる場合、一時的なパッ

ケージ更新による切り分けをお願いすることがあります


アドバイザリの例: https://rhn.redhat.com/errata/RHSA-2013-0245.html

影響をうける製品

種類・ID

深刻度

対応する脆弱性のCVE ID一覧


アドバイザリの種別と ID

セキュリティ修正：Red Hat Security Advisory （RHSA)● セキュリティに関する修正● 不定期に発行● 深刻でないものはOSアップデートリリースで発行

バグ修正：Red Hat Bug Advisory (RHBA)● 不具合に関する修正● 不定期に発行● 重要度が低いものはOSアップデートリリースで発行

機能拡張修正：Red Hat Enhancement Advisory (RHEA)● 機能拡張に関する修正● OSのアップデートリリースのタイミングでのみ発行


RHSA の影響度概要

Critical

リモートの不正攻撃者が容易に悪用して、ユーザーの操作を必要とすることなくシステムのセキュリティを低下 (任意のコードを実行) させることができるものです。このタイプの脆弱性は、ワームによる悪用が可能です。

Important

リソースの機密性、整合性、または可用性を容易に低下させることができるものです。このタイプの脆弱性は、ローカルユーザーによる権限の取得、認証されていないリモートユーザーによる認証保護リソースの閲覧、認証されたリモートユーザーによる任意のコードの実行、ローカルまたはリモートユーザーによるサービス拒否を可能にします。

Moderate

悪用は比較的困難ですが、特定の条件ではリソースの機密性、整合性、または可用性を低下させることができるものです。あまり容易に悪用できないか、非現実的な設定に影響します。

Low

悪用のためにはあり得ない状況が必要と思われるものや、悪用が成功しても影響は最小であるものです。

https://access.redhat.com/security/updates/classification/ より抜き書き


RHEL 6 Server x86_64

6.56.46.3

...........

...........

...........

.................................

...........

...........

...........

...........

...........

...........

...........

Errata

アップデートリリース：　RHEL6.0 → 6.1 → 6.2...● およそ6ヶ月毎のリリースサイクル● ソフトウェアバージョンおよびAPI/ABIをできるだけ維持

アップデートリリースの実体● アドバイザリの集合● 以下の2つは基本的に全く同じものになります

● RHEL6.4 GA● RHEL6.3にRHEL6.4GA時点のアドバイザリを適用し

たもの

アドバイザリとOSアップデートリリースの関係


Extended Update Support(EUS)

アップデートリリースのサポート期間を延長します延長された期間について、重要なセキュリティ問題またはバ

グの修正が提供されます EUSを利用して「アップデート実施回数の削減」が可能にな

ります● 例: 完全にサポートされた状態でRHEL6.0を使いつづけ

6.1をスキップしたのち6.2をテスト&移行

6.0 6.1 6.2 6.3 6.4

6.2 EUS

6.0 EUS

6.1 EUS


情報源


セキュリティ情報の入手

製品からの一覧● https://access.redhat.com/security/updates/active/

CVE IDからの検索● CVE IDから問題の概要、Red Hat製品への影響有無の公式見解、対応errataの情報

● https://access.redhat.com/security/cve


アドバイザリ一覧(Errata)の例: https://rhn.redhat.com/errata/rhel-server-6-errata.html


セキュリティ情報の通知を受けとる

メーリングリスト● RHSA-announceメーリングリスト

● Red Hat全製品のセキュリティ勧告をメールで通知● その他、RHELのみ,JBossのみ,RHEVのみのメーリングリスト● https://access.redhat.com/ja/security/updates/advisory

RSSフィード● Red Hat製品の全errataをRSSフィード形式で提供● https://rhn.redhat.com/rpc/recent-errata.pxt

各システムに影響するもの● カスタマーポータルからのemail通知

● https://www.redhat.com/wapps/ugc/protected/notif.html● Satelliteからのemail通知

● 「個人設定」→「ユーザーの個人設定」→「電子メールの通知を受けとる」


最新情報は……

カスタマーポータル内「セキュリティ・アップデート」で、最新の情報をお伝えしています● https://access.redhat.com/ja/security/updates

未知の脆弱性を見つけた(かもしれない)場合の連絡先● [email protected] またはサポート窓口へ● https://access.redhat.com/ja/security/team/contact

Technology

Red Hat Enterprise Linuxの修正