RH安全コンサルティングの解釈方法

tag-icon tag-icon rhel
RH安全コンサルティングの解釈方法

私はRHEL 7を使用しています。

[root@localhost ~]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)

yum-plugin-securityをインストールしたので、重大度=重要なセキュリティ関連のパッチを探しています。出力によると、利用可能なものが1つあります。

[root@localhost ~]# yum updateinfo --sec-severity Important
Loaded plugins: product-id, search-disabled-repos, subscription-manager
Updates Information Summary: updates
    1 Important Security notice(s)
updateinfo summary done

さらに詳しく見ると、RHSAやCVEなどの詳細を得ることができます。

 [root@localhost ~]# yum updateinfo info --sec-severity Important
    Loaded plugins: product-id, search-disabled-repos, subscription-manager
    
    ===============================================================================
      Important: freetype security update
    ===============================================================================
      Update ID : RHSA-2020:4907
        Release : 0
           Type : security
         Status : final
         Issued : 2020-11-04 09:39:15 UTC
           Bugs : 1890210 - CVE-2020-15999 freetype: Heap-based buffer overflow due to integer truncation in Load_SBit_Png
           CVEs : CVE-2020-15999
    Description : FreeType is a free, high-quality, portable font engine that can
                : open and manage font files. FreeType loads, hints,
                : and renders individual glyphs efficiently.
                :
                : Security Fix(es):
                :
                : * freetype: Heap-based buffer overflow due to
                :   integer truncation in Load_SBit_Png
                :   (CVE-2020-15999)
                :
                : For more details about the security issue(s),
                : including the impact, a CVSS score,
                : acknowledgments, and other related information,
                : refer to the CVE page(s) listed in the References
                : section.
       Severity : Important
    updateinfo info done

inux RHSA-2020:4907ビュー-->アップデートパッケージの修正を含むパッケージを表示できます。

ここに画像の説明を入力してください。

現在のバージョンを確認し、アップデート時にインストールするバージョンと比較すると、現在のバージョンがパッチを含むパッケージバージョンであり、インストールされているパッケージバージョンがアップデートであることfreetype-2.8-14.el7.x86_64freetype.x86_64 0:2.8-14.el7_9.1わかります。

ここに画像の説明を入力してください。

しかし、いくつかの質問があります。

  1. RedHatセキュリティアドバイザリが「更新されたパッケージ」の下に追加のrpmパッケージを表示するのはなぜですか(赤い疑問符で示されているを参照)。 freetype-debuginfo、freetype-devel、freetype-demosパッケージをインストールしていません。 RHSAのアーチと同じレベルの私のOSバージョンの下にすべてのパッケージをリストする必要がありますか?

ここに画像の説明を入力してください。

  1. アドバイザリをインストールすると、上記のパッケージ(エントリ1)がインストール/アップデートされていることがわかりません。

ここに画像の説明を入力してください。

誰でも説明を提供できますか?

ありがとうございます!

ベストアンサー1

他のパッケージも同じ掲示板の一部ですが、すでにインストールされている場合にのみアップグレードできます。これらのdebuginfoパッケージは通常、Freetype の競合を調査したりライブラリとして開発した場合にのみ必要なデバッグ情報を提供します。このdemosパッケージにはデモツールが含まれており、このdevelパッケージにはFreetypeを使用してプログラムをビルドするときにのみ必要な開発ファイルが含まれています。

yum update --advisory RHSA-2020:4907

あなたのために正しいことをします。不要なものを追加インストールしなくても、アップグレードが必要なすべてのパッケージをアップグレードします。

おすすめ記事