Red Hat エラータ (RHSA、RHBA、および RHEA) の説明
Red Hat エラータは、Red Hat エンジニアリングによる分析に基づいて、ユーザーが利用可能な更新とその重要性を判断する際に役立ちます。これらの更新により、セキュリティー問題に対処したり、バグを修正したり、個々のパッケージやコンテナーイメージ全体に新機能を提供したりできます。エラータは、カーネルや glibc などの低レベルのオペレーティングシステムパッケージ、およびパッケージとして提供される階層化された製品に対して公開されています。
このアーティクル記事では、Red Hat エラータとは何か、Red Hat がエラータを作成する理由、ユーザーがエラータを利用する方法、主要なタイプ (RHSA、RHBA、RHEA) の違い、およびアドバイザリーの番号付けと命名について説明します。
エラータとは
エラータという言葉はラテン語に由来し、エラータムという言葉の複数形になります。従来、エラータという言葉は、通常は出版プロセスにおけるエラーが原因とされる、出版されたテキストの修正を指しました。Red Hat エラータは、セキュリティー上の問題、バグ、または新機能の可用性に基づいたソフトウェアパッケージの修正または更新を指します。Red Hat では、エラータ、アドバイザリー、さらにはエラータアドバイザリーという用語を同じ意味で使用していることに注意してください。このアドバイザリー (エラータアドバイザリー) は公開されたテキストです。エラータはパッケージ化されたリリースです。
アドバイザリーは、どの Common Vulnerabilities and Exposures (CVE) が解決されたか、どのバグが解決されたか、どの機能が追加されたかをユーザーが追跡する際に役立ちます。エラータが提供する情報を把握するには、以下のコマンドを実行してください。出力には、エラータ ID、タイプ、セキュリティー上の影響または重大度の評価 (セキュリティー関連の場合は https://access.redhat.com/security/updates/classification を参照)、分類、およびこのエラータが適用されるパッケージ/バージョンが表示される点に注意してください。
RHEL 8 のコマンド例:
yum updateinfo --list
RHEL 7 のコマンド例:
yum updateinfo list
RHEL 7 のサイズ変更した出力:
Loaded plugins: product-id, search-disabled-repos, subscription-manage
...
RHSA-2019:2197 Low/Sec. elfutils-libs-0.176-2.el7.x86_64
RHEA-2019:2214 enhancement ethtool-2:4.8-10.el7.x86_64
RHBA-2019:2024 bugfix firewalld-0.6.3-2.el7.noarch
...
アドバイザリーは、更新を人間が判読できる説明に結び付けるメタデータの一部です。これらのアドバイザリーは、Red Hat エンジニアリングが新しいパッケージを生成するときに作成され、Red Hat カスタマーポータルで公開されます。アドバイザリーには 3 つのタイプがあります。
- Red Hat Security Advisory (RHSA): RHSA には 1 つ以上のセキュリティー修正が含まれ、バグや機能拡張の修正も含まれている場合があります。 RHSA は一般に、多くの組織にとって最も重要なタイプのエラータであると考えられています。 RHSA は、脆弱性の重大度に基づき、低度、中程度、重要、または重大の重大度評価を使用してランク付けされます。
- Red Hat Bug Advisory (RHBA): RHBA には常に 1 つ以上のバグ修正が含まれ、機能拡張が含まれる場合もありますが、セキュリティー修正は含まれません。 RHBA はバグ修正用にリリースされるため、多くの場合、RHEA よりも優先されるものと考えられています。
- Red Hat Enhancement Advisory (RHEA): RHEA には 1 つ以上の機能拡張または新機能が含まれ、バグ修正やセキュリティー修正は含まれません。RHEA は基本的に、新機能が追加され、更新されたパッケージが同梱される際にリリースされます。
Red Hat は、公開ライフサイクルポリシーに基づいて、さまざまな製品のエラータアドバイザリーを生成することに取り組んでいます。以下にいくつかの例を示します。
Red Hat Enterprise Linux のライフサイクル
Red Hat Universal Base Image - コンテンツの可用性
エラータの使用
エラータの使用方法を説明するために、いくつかのシナリオ例を見てみます。
パッケージに利用可能なセキュリティー更新があるか確認する
最初の例では、RHEL サーバーがあるとします。glibc はシステム上のほぼすべてのバイナリーで使用されるコアライブラリーであるため、利用可能なセキュリティー更新があるか確認する必要があります。
まず、インストールされている glibc のバージョンを確認してください。
rpm -qa | grep glibc
RHEL 7 の出力例:
glibc-2.17-260.el7_6.6.x86_64
glibc-common-2.17-260.el7_6.6.x86_64
ここで、利用可能なバージョンと、そのバージョンに重要な更新があるかを確認します。
yum updateinfo list | grep glibc
RHEL 7 の出力例:
RHSA-2019:2118 Moderate/Sec. glibc-2.17-292.el7.x86_64
RHSA-2019:2118 Moderate/Sec. glibc-common-2.17-292.el7.x86_64
現在インストールされているバージョン (2.17-260) から利用可能なバージョン (2.17-292) に移行することによって更新される、中程度の RHSA があることに注意してください。この情報に基づいて、最新バージョンに更新することが賢明と言えます。
yum update -y glibc
サイズ変更した出力例:
...
Updated:
glibc.x86_64 0:2.17-292.el7
Dependency Updated:
glibc-common.x86_64 0:2.17-292.el7
パッケージに関連する Red Hat が公開したエラータアドバイザリーを使用することで、脆弱性を解決したと確信できます。
コンテナーに利用可能なセキュリティー更新があるか確認する
たとえば、サポートされている RHEL コンテナーホスト上で Red Hat Universal Base image (UBI) を使用していて、利用可能なエラータがあるか確認したいとします。コマンド例 (RHEL 7 または 8):
podman run -it ubi8 yum updateinfo --list
出力例:
Updating Subscription Management repositories.
Unable to read consumer identity
Subscription Manager is operating in container mode.
Red Hat Enterprise Linux 8 for x86_64 - AppStream (RPMs) 2.9 MB/s | 9.2 MB 00:03
Red Hat Enterprise Linux 8 for x86_64 - BaseOS (RPMs) 4.0 MB/s | 8.1 MB 00:02
Red Hat Universal Base Image 8 (RPMs) - AppStream 1.1 MB/s | 1.9 MB 00:01
Red Hat Universal Base Image 8 (RPMs) - BaseOS 1.4 MB/s | 754 kB 00:00
Last metadata expiration check: 0:00:01 ago on Fri Aug 2 04:38:54 2019.
RHBA-2019:2707 bugfix bash-4.4.19-8.el8_0.x86_64
RHSA-2019:2692 Important/Sec. libnghttp2-1.33.0-1.el8_0.1.x86_64
RHBA-2019:1957 bugfix platform-python-3.6.8-4.el8_0.x86_64
RHBA-2019:1957 bugfix python3-libs-3.6.8-4.el8_0.x86_64
RHBA-2019:1958 bugfix python3-rpm-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix python3-rpm-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix rpm-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix rpm-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix rpm-build-libs-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix rpm-build-libs-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix rpm-libs-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix rpm-libs-4.14.2-11.el8_0.x86_64
RHBA-2019:1703 bugfix tzdata-2019b-1.el8.noarch
RHBA-2019:2871 bugfix tzdata-2019c-1.el8.noarch
UBI がサブスクライブされた Red Hat Enterprise Linux ホスト (7 または 8) 上で実行される場合、UBI は RHEL チャネル (再配布可能な UBI チャネルでは利用不可) からエラータ情報を取得し、エラータ情報を表示することに注意してください。これは、セキュリティー更新が適用されているかを確認する場合、特にセキュリティーチームがこの情報を要求した場合に、非常に役立ちます。
エラータへのアクセス
上記のコマンドラインの例に加えて、ユーザーは複数の方法で Red Hat が公開したエラータとアドバイザリーにアクセスできます。
Red Hat カスタマーポータル
通知
Satellite Server
YUM/DNF
追加情報
CVE データベース
セキュリティーラボ
RHEA または RHBA によってセキュリティー上の欠陥が修正されたことが判明した場合、どうなりますか?
コードのリベースやソフトウェアの変更が、セキュリティーに影響を与えることが後で判明する場合があるため、RHEA または RHBA はセキュリティー上の欠陥にも対処します。たとえば、CVE-2015-5201 では、すでに RHEA-2015:2527 に含まれていた rhev-hypervisor パッケージ (基本的には必要最低限の機能のみを搭載した Red Hat Enterprise Linux システムイメージで、仮想マシンにホストを提供するように設計されたもの) のパッケージが更新されました。したがって、CVE は RHEA アドバイザリーに遡って追加されました ( Web ページ で確認可能)。 ただし、アドバイザリーのタイプ (RHEA、RHBA、または RHSA) は URL の一部であるため、混乱を避けるために、アドバイザリー自体は RHSA として再ラベル付けされませんでした。
アドバイザリーの番号付けの仕組みについて
すべてのアドバイザリーには、年と連続番号が付けられます。この番号は 0001 から始まり、その年に出荷されたアドバイザリーの数で終わります。最初のアドバイザリーは RHBA、2 番目は RHEA、3 番目は RHSA であるとして、すべてに同じ順序で番号が与えられます。これは、RHSA 番号がしばしば先にスキップしている理由を説明しています。その間にある番号は、単に RHBA および RHEA アドバイザリーに使用されています。また、ほとんどのアドバイザリー番号は通常、アドバイザリーがリリースされる直前に割り当てられますが、一部は事前に割り当てられるため、アドバイザリーを時系列で見ると、番号順にならない場合があることにも注意してください。
Comments