Yellowdog Updater Modified (YUM) は、ソフトウェアパッケージのインストール、更新、削除、およびパッケージリポジトリの管理に使用できる強力なパッケージ管理ツールです。 システムのセキュリティを確保するために、Alibaba Cloud Linuxディストリビューションは、コミュニティベースの業界でサポートされている取り組みを通じて発見された一般的な脆弱性とエクスポージャー (CVE) を最新の状態に保ちます。 Alibaba Cloud Linuxディストリビューションは、カーネルパッケージを含むソフトウェアパッケージを更新し、ソフトウェアの欠陥を修正し、セキュリティの脆弱性を修正し、セキュリティ機能をタイムリーに強化します。 このトピックでは、YUMを使用してAlibaba Cloud Linuxのセキュリティ更新プログラムを照会、確認、およびインストールする方法について説明します。
前提条件
Alibaba Cloud Linuxを実行するElastic Compute Service (ECS) インスタンスが作成されます。 詳細については、「作成方法」をご参照ください。
背景情報
Alibaba Cloud Linuxセキュリティアップデートの詳細については、「Alibaba Cloud Linux 3セキュリティアドバイザリー」および「Alibaba Cloud Linux 2.1903セキュリティアドバイザリー」をご参照ください。
Alibaba Cloud Linuxセキュリティアップデートは、CVEの共通脆弱性スコアリングシステム3 (CVSS3) に基づいて、次の重大度に分類されます。
重要: リスクの高い脆弱性が存在し、セキュリティアップデートが必要です。
重要: 比較的リスクの高い脆弱性が存在するため、セキュリティアップデートを強くお勧めします。
中程度: 中リスクの脆弱性が存在し、セキュリティアップデートが推奨されます。
低: 低リスクの脆弱性が存在し、セキュリティアップデートはオプションです。
セキュリティ更新プログラムの照会
次のコマンドを実行して、セキュリティ更新プログラムを照会できます。
yum updateinfo <command> [option]yum updateinfoコマンドは、セキュリティ更新、バグ修正、拡張更新など、パッケージの更新に関する情報を表示するために使用します。 このコマンドは通常、更新タイプの説明、関連するCVE ID、影響を受ける可能性のあるパッケージなど、利用可能な更新に関する詳細情報を取得するために使用されます。
コマンドの変数を次の表に示します。
変数 | 有効値 |
<command> |
|
[option] |
|
次の例は、yum updateinfoコマンドの使用方法を示しています。
次のコマンドを実行して、コマンドに関するヘルプ情報を取得します。
yum updateinfo --help次のコマンドを実行して、利用可能なすべてのセキュリティ更新プログラムの概要を取得します。
yum updateinfoコマンド出力のサンプル:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:06:42 ago on Wed 02 Jun 2021 03:05:30 AM EDT. Updates Information Summary: available 3 Security notice(s) 2 Important Security notice(s) 1 Moderate Security notice(s)Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Determining fastest mirrors base | 3.1 kB 00:00:00 extras | 2.5 kB 00:00:00 plus | 2.5 kB 00:00:00 updates | 2.9 kB 00:00:00 (1/6): extras/2.1903/x86_64/primary_db | 149 kB 00:00:00 (2/6): base/2.1903/x86_64/group_gz | 101 kB 00:00:00 (3/6): updates/2.1903/x86_64/updateinfo | 81 kB 00:00:00 (4/6): plus/2.1903/x86_64/primary_db | 1.5 MB 00:00:00 (5/6): base/2.1903/x86_64/primary_db | 4.9 MB 00:00:00 (6/6): updates/2.1903/x86_64/primary_db | 6.1 MB 00:00:00 Updates Information Summary: updates 17 Security notice(s) 7 Important Security notice(s) 6 Moderate Security notice(s) 4 Low Security notice(s) updateinfo summary done次のコマンドを実行して、利用可能なセキュリティ更新プログラムの一覧を照会します。
yum updateinfo listコマンド出力のサンプル:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:09:05 ago on Wed 02 Jun 2021 03:05:30 AM EDT. ALINUX3-SA-2021:0008 Moderate/Sec. gnutls-3.6.14-7.1.al8.x86_64 ALINUX3-SA-2021:0029 Important/Sec. gnutls-3.6.14-8.1.al8.x86_64 ALINUX3-SA-2021:0028 Important/Sec. libldb-2.1.3-3.1.al8.x86_64 ALINUX3-SA-2021:0029 Important/Sec. nettle-3.4.1-4.1.al8.x86_64Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ALINUX2-SA-2019:0055 Moderate/Sec. binutils-2.27-41.base.1.al7.x86_64 ALINUX2-SA-2019:0058 Low/Sec. curl-7.29.0-54.1.al7.x86_64 ALINUX2-SA-2019:0059 Low/Sec. elfutils-default-yama-scope-0.176-2.1.al7.n ...次のコマンドを実行して、指定されたセキュリティ更新プログラムの内容を照会します。
yum updateinfo info <update_id>コマンド出力のサンプル:
Alibaba Cloud Linux 3
<update_id> を
ALINUX3-SA-2021:0008に設定したサンプルコマンド:yum updateinfo info ALINUX3-SA-2021:0008サンプルコマンド出力:
Last metadata expiration check: 0:11:58 ago on Wed 02 Jun 2021 03:05:30 AM EDT. =============================================================================== ALINUX3-SA-2021:0008: gnutls security and bug fix update (Moderate) =============================================================================== Update ID: ALINUX3-SA-2021:0008 Type: security Updated: 1969-12-31 19:00:00 CVEs: CVE-2020-24659 Description: Package updates are available for Alibaba Cloud Linux 3 that fix the following vulnerabilities: : : CVE-2020-24659: : An issue was discovered in GnuTLS before 3.6.15. A server can trigger a NULL pointer dereference in a TLS 1.3 client if a no_renegotiation alert is sent with unexpected timing, and then an invalid second handshake occurs. The crash happens in the application's error handling path, where the gnutls_deinit function is called after detecting a handshake failure. : Severity: ModerateAlibaba Cloud Linux 2
<update_id> を
ALINUX2-SA-2020:0005に設定したサンプルコマンド:yum updateinfo info ALINUX2-SA-2020:0005サンプルコマンド出力:
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile =============================================================================== ALINUX2-SA-2020:0005: nss, nss-softokn, nss-util security update (Important) =============================================================================== Update ID : ALINUX2-SA-2020:0005 Release : Alibaba Cloud Linux 2.1903 Type : security Status : stable Issued : 2020-01-03 CVEs : CVE-2019-11729 : CVE-2019-11745 Description : Package updates are available for Alibaba Cloud Linux 2.1903 that fix : the following vulnerabilities: : : CVE-2019-11729: : Empty or malformed p256-ECDH public keys may : trigger a segmentation fault due values being : improperly sanitized before being copied into : memory and used. This vulnerability affects : Firefox ESR < 60.8, Firefox < 68, and Thunderbird : < 60.8. : : CVE-2019-11745: : When encrypting with a block cipher, if a call to : NSC_EncryptUpdate was made with data smaller than : the block size, a small out of bounds write could : occur. This could have caused heap corruption and : a potentially exploitable crash. This : vulnerability affects Thunderbird < 68.3, Firefox : ESR < 68.3, and Firefox < 71. : Severity : Important updateinfo info done次のコマンドを実行して、特定の重大度レベルのセキュリティ更新を照会します。
yum updateinfo list -- sec-severity=Moderateサンプルコマンド出力:
Last metadata expiration check: 0:05:25 ago on Mon 07 Jun 2021 09:08:25 AM EDT. ALINUX3-SA-2021:0008 Moderate/Sec. gnutls-3.6.14-7.1.al8.x86_64
セキュリティ更新プログラムの確認
デフォルトでは、update-motdサービスはAlibaba Cloud Linuxにインストールされ、有効になっています。 システムが利用可能なセキュリティ更新を検出すると、ECSインスタンスにログインするときにセキュリティ更新についてのプロンプトが表示されます。 update-motdサービスの管理方法については、このトピックの「update-motdサービスの管理」をご参照ください。
yum check-update -- securityコマンドを実行して、システムで使用可能なセキュリティ更新プログラムに関する情報を確認することもできます。 コマンドに -- sec-severity=<SEVS> を追加し、<SEVS> を1つ以上の重大度レベルに設定して、指定した重大度レベルのセキュリティグループをチェックできます。
複数の重大度レベルを指定する場合は、重大度レベルをコンマ (,) で区切ります。 セキュリティ更新の重大度レベルは大文字と小文字を区別します。
次の例は、セキュリティ更新プログラムを確認する方法を示しています。
Alibaba Cloud Linux 3
例1: 次のコマンドを実行して、すべてのセキュリティ更新を確認します。
yum check-update -- securityサンプルコマンド出力:
Last metadata expiration check: 0:08:41 ago on Wed 02 Jun 2021 05:24:55 PM CST. nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updates例2: 次のコマンドを実行して、重要なセキュリティレベルと重要なセキュリティレベルのセキュリティ更新を確認します。
yum check-update -- security -- sec-severity={Critical,Important}サンプルコマンド出力:
Last metadata expiration check: 0:10:23 ago on Wed 02 Jun 2021 05:24:55 PM CST. gnutls.x86_64 3.6.14-8.2.al8 alinux3-updates nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updates
Alibaba Cloud Linux 2
例1: 次のコマンドを実行して、
使用可能状態のすべてのセキュリティ更新プログラムを確認します。yum check-update -- security | grep availableサンプルコマンド出力:
49 package(s) needed for security, out of 183 available例2: 次のコマンドを実行して、
使用可能な状態にある重要なセキュリティ更新プログラムと重要なセキュリティ更新プログラムを確認します。yum check-update --security --secseverity=Critical,Important |grep availableサンプルコマンド出力:
30 package(s) needed for security, out of 183 available
セキュリティ更新プログラムのインストール
システムでセキュリティ更新プログラムを確認した後、yum upgradeコマンドを実行してセキュリティ更新レベルまたはCVE IDを指定し、セキュリティ更新プログラムをインストールできます。
yum upgradeコマンドを実行してセキュリティ更新プログラムをインストールすると、カーネルパッケージを除く古いソフトウェアパッケージが強制的に削除されます。 これにより、インスタンスが停止し、インスタンスで実行されているサービスが中断される可能性があります。 コマンドを実行して、オフピーク時にセキュリティ更新プログラムをインストールすることを推奨します。
yum upgrade -- securityコマンドを実行して、セキュリティ更新プログラムをインストールできます。 コマンドに-- sec-severity=<SEVS>を追加し、<SEVS> を1つ以上の重大度レベルに設定して、指定した重大度レベルのセキュリティ更新プログラムをインストールできます。説明複数の重大度レベルを指定する場合は、重大度レベルをコンマ (,) で区切ります。 セキュリティ更新の重大度レベルは大文字と小文字を区別します。
次のコードは、プラグインを起動する方法の例を示しています。
次のコマンドを実行して、重要および重要なセキュリティレベルのセキュリティ更新プログラムをインストールします。
sudo yum upgrade -- security -- sec-severity={Critical,Important}サンプルコマンド出力:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:06:43 ago on Wed 02 Jun 2021 03:51:48 AM EDT. Dependencies resolved. ================================================================================ Package Arch Version Repository Size ================================================================================ Upgrading: ... Transaction Summary ================================================================================ Upgrade 12 Packages Total download size: 3.9 M Is this ok [y/N]:Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ... [snipped] ... Transaction Summary ============================================================================================================================================================================= Upgrade 30 Packages (+1 Dependent package) Total download size: 91 M Is this ok [y/d/N]:yum upgrade -cve=<CVE ID>コマンドを実行して、特定のcveのセキュリティ更新プログラムをインストールできます。-cve=<CVE ID>を1つ以上のCVE IDに設定できます。説明複数のCVE IDを指定する場合は、コンマ (,) で区切ります。 CVE IDは大文字と小文字を区別します。
次のコードは、プラグインを起動する方法の例を示しています。
Alibaba Cloud Linux 3
次のコマンドを実行して、
CVE-2020-24659のセキュリティ更新プログラムをインストールします。sudo yum upgrade -- cve=CVE-2020-24659サンプルコマンド出力:
Last metadata expiration check: 0:02:44 ago on Wed 02 Jun 2021 04:17:27 AM EDT. Dependencies resolved. ===================================================================================== Package Architecture Version Repository Size ===================================================================================== Upgrading: ... Transaction Summary ===================================================================================== Upgrade 1 Package Total download size: 1.0 M Is this ok [y/N]Alibaba Cloud Linux 2
次のコマンドを実行して、
CVE-2019-11729とCVE-2019-11745のセキュリティ更新プログラムをインストールします。sudo yum upgrade -- cve=CVE-2019-11729、CVE-2019-11745サンプルコマンド出力:
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ... [snipped] ... Dependencies Resolved ============================================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================================= Updating: nss x86_64 3.44.0-7.1.al7 updates 854 k nss-softokn x86_64 3.44.0-8.1.al7 updates 330 k nss-softokn-freebl x86_64 3.44.0-8.1.al7 updates 225 k nss-sysinit x86_64 3.44.0-7.1.al7 updates 65 k nss-tools x86_64 3.44.0-7.1.al7 updates 528 k nss-util x86_64 3.44.0-4.1.al7 updates 79 k Updating for dependencies: nspr x86_64 4.21.0-1.1.al7 updates 127 k Transaction Summary ============================================================================================================================================================================= Upgrade 6 Packages (+1 Dependent package) Total download size: 2.2 M Is this ok [y/d/N]:説明man yumコマンドの出力によると、sudo yum upgradeコマンドはsudo yum update -- obsoletesコマンドと同じです。 /etc/yum.conf構成ファイルでは、デフォルトでobsoletesが有効になっているため、sudo yum upgradeコマンドもsudo yum updateコマンドと同じです。
update-motdサービスの管理
systemctlコマンドを実行して、update-motdサービスを管理できます。 以下の点にご注意ください。
update-motdサービスを開始します。sudo systemctl start update-motdupdate-motdサービスを停止します。sudo systemctl stop update-motdupdate-motdサービスを再起動します。sudo systemctl restart update-motdupdate-motdサービスのステータスを確認してください。systemctl status update-motd