第5章 パッチインストール
5.1. パッチングの仕組み
JBoss のセキュリティーおよびバグパッチは 2 つの形式でリリースされます。
- 計画された更新: 既存製品のマイクロ、マイナー、またはメジャーアップグレード。
- 非同期更新: 既存製品の通常のアップグレードサイクル以外にリリースされる 1 回限りのパッチ。
パッチが計画された更新の一部としてリリースされるか、それとも 1 回限りのパッチとしてリリースされるかは、修正される欠陥の深刻度によって決まります。通常、深刻度が低い欠陥は、対象製品の次回マイナーリリースで解決されます。深刻度が中程度以上の場合、非同期リリースによる製品の更新として重要度の高い順に対処され、その時点における欠陥の解決法のみが含まれます。
セキュリティー欠陥の深刻度は、Red Hat セキュリティーレスポンスチームが行うバグの評価が基準となり、次のような要因の組み合わせで評価されます。
- バグ悪用の容易さ。
- 悪用された場合、どのような被害があるか。
- 欠陥の影響を低減する他の要素はあるか (ファイアウォール、Security-Enhanced Linux、コンパイラー指示文など)。
Red Hat は、セキュリティー関連の欠陥をサブスクライバーに通知するメーリングリストを管理しています。「パッチメーリングリストへのサブスクライブ」 を参照してください。
JBoss のセキュリティー欠陥を評価する方法についての詳細は、http://securityblog.redhat.com/2012/09/19/how-red-hat-rates-jboss-security-flaws/ を参照してください。
