Translated message

A translation of this page exists in English.

Red Hat エラータ (RHSA、RHBA、および RHEA) の説明

更新 -

Red Hat エラータは、Red Hat エンジニアリングによる分析に基づいて、ユーザーが利用可能な更新とその重要性を判断する際に役立ちます。これらの更新により、セキュリティー問題に対処したり、バグを修正したり、個々のパッケージやコンテナーイメージ全体に新機能を提供したりできます。エラータは、カーネルや glibc などの低レベルのオペレーティングシステムパッケージ、およびパッケージとして提供される階層化された製品に対して公開されています。

このアーティクル記事では、Red Hat エラータとは何か、Red Hat がエラータを作成する理由、ユーザーがエラータを利用する方法、主要なタイプ (RHSA、RHBA、RHEA) の違い、およびアドバイザリーの番号付けと命名について説明します。

エラータとは

エラータという言葉はラテン語に由来し、エラータムという言葉の複数形になります。従来、エラータという言葉は、通常は出版プロセスにおけるエラーが原因とされる、出版されたテキストの修正を指しました。Red Hat エラータは、セキュリティー上の問題、バグ、または新機能の可用性に基づいたソフトウェアパッケージの修正または更新を指します。Red Hat では、エラータ、アドバイザリー、さらにはエラータアドバイザリーという用語を同じ意味で使用していることに注意してください。このアドバイザリー (エラータアドバイザリー) は公開されたテキストです。エラータはパッケージ化されたリリースです。

アドバイザリーは、どの Common Vulnerabilities and Exposures (CVE) が解決されたか、どのバグが解決されたか、どの機能が追加されたかをユーザーが追跡する際に役立ちます。エラータが提供する情報を把握するには、以下のコマンドを実行してください。出力には、エラータ ID、タイプ、セキュリティー上の影響または重大度の評価 (セキュリティー関連の場合は https://access.redhat.com/security/updates/classification を参照)、分類、およびこのエラータが適用されるパッケージ/バージョンが表示される点に注意してください。

RHEL 8 のコマンド例:

yum updateinfo --list

RHEL 7 のコマンド例:

yum updateinfo list

RHEL 7 のサイズ変更した出力:

Loaded plugins: product-id, search-disabled-repos, subscription-manage       
...
RHSA-2019:2197 Low/Sec.       elfutils-libs-0.176-2.el7.x86_64
RHEA-2019:2214 enhancement    ethtool-2:4.8-10.el7.x86_64
RHBA-2019:2024 bugfix         firewalld-0.6.3-2.el7.noarch
...

アドバイザリーは、更新を人間が判読できる説明に結び付けるメタデータの一部です。これらのアドバイザリーは、Red Hat エンジニアリングが新しいパッケージを生成するときに作成され、Red Hat カスタマーポータルで公開されます。アドバイザリーには 3 つのタイプがあります。

  • Red Hat Security Advisory (RHSA): RHSA には 1 つ以上のセキュリティー修正が含まれ、バグや機能拡張の修正も含まれている場合があります。 RHSA は一般に、多くの組織にとって最も重要なタイプのエラータであると考えられています。 RHSA は、脆弱性の重大度に基づき、低度、中程度、重要、または重大の重大度評価を使用してランク付けされます。
  • Red Hat Bug Advisory (RHBA): RHBA には常に 1 つ以上のバグ修正が含まれ、機能拡張が含まれる場合もありますが、セキュリティー修正は含まれません。 RHBA はバグ修正用にリリースされるため、多くの場合、RHEA よりも優先されるものと考えられています。
  • Red Hat Enhancement Advisory (RHEA): RHEA には 1 つ以上の機能拡張または新機能が含まれ、バグ修正やセキュリティー修正は含まれません。RHEA は基本的に、新機能が追加され、更新されたパッケージが同梱される際にリリースされます。

Red Hat は、公開ライフサイクルポリシーに基づいて、さまざまな製品のエラータアドバイザリーを生成することに取り組んでいます。以下にいくつかの例を示します。

Red Hat Enterprise Linux のライフサイクル
Red Hat Universal Base Image - コンテンツの可用性

エラータの使用

エラータの使用方法を説明するために、いくつかのシナリオ例を見てみます。

パッケージに利用可能なセキュリティー更新があるか確認する

最初の例では、RHEL サーバーがあるとします。glibc はシステム上のほぼすべてのバイナリーで使用されるコアライブラリーであるため、利用可能なセキュリティー更新があるか確認する必要があります。

まず、インストールされている glibc のバージョンを確認してください。

rpm -qa | grep glibc

RHEL 7 の出力例:

glibc-2.17-260.el7_6.6.x86_64
glibc-common-2.17-260.el7_6.6.x86_64

ここで、利用可能なバージョンと、そのバージョンに重要な更新があるかを確認します。

yum updateinfo list | grep glibc

RHEL 7 の出力例:

RHSA-2019:2118 Moderate/Sec.  glibc-2.17-292.el7.x86_64
RHSA-2019:2118 Moderate/Sec.  glibc-common-2.17-292.el7.x86_64

現在インストールされているバージョン (2.17-260) から利用可能なバージョン (2.17-292) に移行することによって更新される、中程度の RHSA があることに注意してください。この情報に基づいて、最新バージョンに更新することが賢明と言えます。

yum update -y glibc

サイズ変更した出力例:

...
Updated:
  glibc.x86_64 0:2.17-292.el7                                                                                                  

Dependency Updated:
  glibc-common.x86_64 0:2.17-292.el7  

パッケージに関連する Red Hat が公開したエラータアドバイザリーを使用することで、脆弱性を解決したと確信できます。

コンテナーに利用可能なセキュリティー更新があるか確認する

たとえば、サポートされている RHEL コンテナーホスト上で Red Hat Universal Base image (UBI) を使用していて、利用可能なエラータがあるか確認したいとします。コマンド例 (RHEL 7 または 8):

podman run -it ubi8 yum updateinfo --list

出力例:

Updating Subscription Management repositories.
Unable to read consumer identity
Subscription Manager is operating in container mode.
Red Hat Enterprise Linux 8 for x86_64 - AppStream (RPMs)                                       2.9 MB/s | 9.2 MB     00:03    
Red Hat Enterprise Linux 8 for x86_64 - BaseOS (RPMs)                                          4.0 MB/s | 8.1 MB     00:02    
Red Hat Universal Base Image 8 (RPMs) - AppStream                                              1.1 MB/s | 1.9 MB     00:01    
Red Hat Universal Base Image 8 (RPMs) - BaseOS                                                 1.4 MB/s | 754 kB     00:00    
Last metadata expiration check: 0:00:01 ago on Fri Aug  2 04:38:54 2019.
RHBA-2019:2707 bugfix         bash-4.4.19-8.el8_0.x86_64
RHSA-2019:2692 Important/Sec. libnghttp2-1.33.0-1.el8_0.1.x86_64
RHBA-2019:1957 bugfix         platform-python-3.6.8-4.el8_0.x86_64
RHBA-2019:1957 bugfix         python3-libs-3.6.8-4.el8_0.x86_64
RHBA-2019:1958 bugfix         python3-rpm-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix         python3-rpm-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix         rpm-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix         rpm-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix         rpm-build-libs-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix         rpm-build-libs-4.14.2-11.el8_0.x86_64
RHBA-2019:1958 bugfix         rpm-libs-4.14.2-10.el8_0.x86_64
RHBA-2019:2709 bugfix         rpm-libs-4.14.2-11.el8_0.x86_64
RHBA-2019:1703 bugfix         tzdata-2019b-1.el8.noarch
RHBA-2019:2871 bugfix         tzdata-2019c-1.el8.noarch

UBI がサブスクライブされた Red Hat Enterprise Linux ホスト (7 または 8) 上で実行される場合、UBI は RHEL チャネル (再配布可能な UBI チャネルでは利用不可) からエラータ情報を取得し、エラータ情報を表示することに注意してください。これは、セキュリティー更新が適用されているかを確認する場合、特にセキュリティーチームがこの情報を要求した場合に、非常に役立ちます。

エラータへのアクセス

上記のコマンドラインの例に加えて、ユーザーは複数の方法で Red Hat が公開したエラータとアドバイザリーにアクセスできます。
Red Hat カスタマーポータル
通知
Satellite Server
YUM/DNF

追加情報
CVE データベース
セキュリティーラボ

RHEA または RHBA によってセキュリティー上の欠陥が修正されたことが判明した場合、どうなりますか?

コードのリベースやソフトウェアの変更が、セキュリティーに影響を与えることが後で判明する場合があるため、RHEA または RHBA はセキュリティー上の欠陥にも対処します。たとえば、CVE-2015-5201 では、すでに RHEA-2015:2527 に含まれていた rhev-hypervisor パッケージ (基本的には必要最低限の機能のみを搭載した Red Hat Enterprise Linux システムイメージで、仮想マシンにホストを提供するように設計されたもの) のパッケージが更新されました。したがって、CVE は RHEA アドバイザリーに遡って追加されました ( Web ページ で確認可能)。 ただし、アドバイザリーのタイプ (RHEA、RHBA、または RHSA) は URL の一部であるため、混乱を避けるために、アドバイザリー自体は RHSA として再ラベル付けされませんでした。

通知とアドバイザリー

アドバイザリーの番号付けの仕組みについて

すべてのアドバイザリーには、年と連続番号が付けられます。この番号は 0001 から始まり、その年に出荷されたアドバイザリーの数で終わります。最初のアドバイザリーは RHBA、2 番目は RHEA、3 番目は RHSA であるとして、すべてに同じ順序で番号が与えられます。これは、RHSA 番号がしばしば先にスキップしている理由を説明しています。その間にある番号は、単に RHBA および RHEA アドバイザリーに使用されています。また、ほとんどのアドバイザリー番号は通常、アドバイザリーがリリースされる直前に割り当てられますが、一部は事前に割り当てられるため、アドバイザリーを時系列で見ると、番号順にならない場合があることにも注意してください。

Comments