Red Hat カスタマーポータルで、セキュリティーエラータの影響を受ける RPM をダウンロードする方法

セキュリティーアドバイザリーがリリースされると、セキュリティーアドバイザリー ページに公開されます。詳細は確認する場合は、アドバイザリー番号をクリックしてください。

また、ダウンロード ページにアクセスして、特定の製品のすべてのエラータを表示することもできます。目的の製品を確認したら、'エラータ' タブをクリックします。たとえば、RHEL Server 7 のエラータの場合は こちらのページ になります。

すべての Red Hat エラータアドバイザリーは、Red Hat 製品エラータ のページで確認できます。

アドバイザリーの詳細ページ (例) には、問題の説明のほか、脆弱性を修正するためにパッケージの更新に加えて実行する必要がある特別な手順が記載されています。影響を受ける製品と公開済みの CVE に関する情報も確認できます。

アドバイザリーの詳細ページで、'更新パッケージ' タブをクリックします。更新パッケージをダウンロードするには、パッケージ名をクリックしてハードドライブに保存します。/tmp/updates などの新しいディレクトリーを作成し、ダウンロードしたすべてのパッケージをそこに保存することを強く推奨します。

すべての Red Hat Enterprise Linux パッケージは Red Hat, Inc GPG キーで署名されています。Red Hat Enterprise Linux 内の RPM ユーティリティーは、RPM パッケージをインストールする前に、その GPG 署名を自動的に検証しようとします。Red Hat, Inc. GPG キーがインストールされていない場合は、Red Hat Enterprise Linux インストール CD-ROM などのセキュアで静的なロケーションからインストールしてください。

CD-ROM が /mnt/cdrom にマウントされていると仮定した場合、以下のコマンドを使用してそれをキーリングにインポートします。

rpm --import /mnt/cdrom/RPM-GPG-KEY

RPM 検証用にインストールされているすべてのキーのリストを表示するには、以下のコマンドを実行します。

rpm -qa gpg-pubkey*

Red Hat, Inc. キーの場合、出力には以下の内容が含まれます。

gpg-pubkey-db42a60e-37ea5438

特定のキーの詳細を表示するには、以下の例のように、rpm -qi コマンドの後に上記のコマンドの出力を入力して実行します。

rpm -qi gpg-pubkey-db42a60e-37ea5438

RPM ファイルをインストールする前にその署名を検証し、Red Hat, Inc. のパッケージリリースから変更されていないことを確認することが非常に重要です。ダウンロードしたすべてのパッケージを一度に確認するには、次のコマンドを実行します。

rpm -K /tmp/updates/*.rpm

パッケージごとに GPG キーが正常に検証されると、コマンドは gpg OK を返します。

GPG キーを確認し、エラータレポートに関連付けられているすべてのパッケージをダウンロードした後、シェルプロンプトで root としてパッケージをインストールします。

これは、以下のコマンドを発行することで、ほとんどのパッケージ (カーネルパッケージを除く) で安全に実行できます。

rpm -Uvh /tmp/updates/*.rpm

カーネルパッケージの場合は、以下のコマンドを使用することを推奨します。

rpm -ivh /tmp/updates/< kernel-package>

前の例の <kernel-package> を、カーネル RPM の名前に置き換えます。

新しいカーネルを使用してマシンが安全に再起動したら、以下のコマンドを使用して古いカーネルを削除できます。

rpm -e <old-kernel-package>

前の例の < old-kernel-package> を、古いカーネル RPM の名前に置き換えます。

注記: 古いカーネルを削除する必要はありません。

重要:セキュリティーエラータをインストールする前に、エラータレポートに含まれる特別な指示を必ず読み、その内容に従って実行してください。