「Rocky Linux」が緊急セキュリティ修正用リポジトリを導入

　Rocky Linuxは5月14日(現地時間)、緊急セキュリティ修正を提供するための「Rocky Linux Security Repository」を導入したことを発表した。

　「Rocky Linux」は、Red Hat Enterprise Linux(RHEL)との互換性を重視するエンタープライズ向けLinuxディストリビューション。今回導入されたSecurity Repositoryは、重大な脆弱性が公表され、かつ実証コードが存在する一方、アップストリームの修正がまだ提供されていない場合に、Rocky Linux側で緊急修正を先行提供するための任意リポジトリとなっている。

　このリポジトリの利用は既定では無効化されており、管理者が必要に応じて有効化する。通常のRocky Linuxのアップストリーム互換方針は維持される。また、提供されるパッケージは、後続のアップストリームリリースによって置き換えられる設計であり、通常のerrataとは異なりdnf update --security の対象としては扱われない。

　Rocky Linuxでは、CopyFailおよびDirty Fragによって、これらの仕組みの必要性が明確になったとしている。いずれも公開済みのPoCが存在し、アップストリームの修正が広く提供される前に管理者がリスクにさらされる状況が発生していた。

　なお、Security Repositoryは一般的な高速更新チャンネルではなく、通常のRocky Linuxリリースプロセスを置き換えるものでもない。あくまでも、アップストリーム互換性を維持しつつ、緊急時に限って一時的な橋渡しとして利用する方針としている。

　利用する場合は、以下のようにDNFでsecurityリポジトリを有効化して更新できる。

$ sudo dnf --enablerepo=security update 

　緊急修正を必要としない環境では、特別な対応は不要としている。

(川原 龍人/びぎねっと)

[関連リンク]
Rocky Linuxによる発表