HOME / コンピュータTips / Solaris / Solaris11のCPU(Critical Patch Unit)の当て方

Date: 2022/12/05 |  このエントリーをはてなブックマークに追加  |  Tags:

Solaris 11.4 CPU(Critical Patch Unit)の当て方

Solaris 11.4のバージョンについて

Solaris 11.4には4つのリビジョンがあります。

2024年4月現在、Solaris自体の開発はメンテナンスフェーズになったわけでもなく、SRU毎に、最新機能がモリモリ入っていきます。

  • GA(Release 版) 一応、無償のOTNライセンスの利用も可能
    • いわゆる、リリース時点のバージョンのことですが、現在は利用しません
    • 以前は、1〜2年に1度の頻度でリリース版がでたため、無償のOTNライセンスではその都度、これを利用しておりました。
    • しかし、Solaris 11.4のリリースサイクルが、継続的なアップデート(つまりWindows10以降のように、毎月のようにアップデートされる方針)に変更されたため、11.4以降のアップデートは、月次アップデートが基本となりました。
    • 従ってこれは事実上利用せず(多分廃止され)、いまは後述のCBEを利用します。
  • CBE(Common Build Environment) 一応、無償のOTNライセンス利用も可能。
    • GA版があまりにもSRUと離れてしまったため、これではSolaris11.4の上で動くソフトウェアのテストもできないし、ビルドもできない為、生まれたバージョンです。
    • 事実上、11.4の最新版ですが、SRUよりもちょっと早く出てきます・・・つまりOpenBeta^H^H^H^Hです。
    • だったような計画だった気もするんですが、CBEはパッケージなどを作る為の「基準ビルド用」のポジションになっており、特にバージョンアップが進んでないみたいです。必要なら作るみたいなポジションのようですね。
  • SRU(Support Repository Unit) 有償サポート
    • 月次パッチ版です。商用では通常はこれを利用します。Windowsの月次アップデートと似たようなものだとおもってください。
    • 途中からSolarisの開発の仕方が変わってきたため、最新機能がモリモリはいるようになりました。
    • こちらを参考にして購入してください
  • CPU(Critical Patch Unit) 有償サポート(SRUと同じ契約で利用可能)
    • 四半期(=3ヶ月)に1度程度、SRUと連動してアップデートされます。間の二ヶ月はクリティカルパッチ(CVE)がでるとアップデートされます。
    • サーバなど、あまりアップデートしたくないのはこれを充てると良いです。
    • 実際問題……
      • 3ヶ月に1度はSRUと同じバージョンになるので、最新機能は3ヶ月に1度入ります。
      • とはいえ、CPUも毎月、CVEだけを直したバージョンがでます。アップデートの仕方によっては、リブートがいります。
      • したがって「塩漬け」はできません。

参考

SRUとCPUの関係

Oracle Solaris 11.4のマニュアルから


L10Nsrucpu.png

SRUからCPUへの変更方法

通常のアップデートは次の様に行います

sudo pkg update --be-name="ラベル" --accept

このコマンドは、どのレポジトリを追いかけているかによって異なります。

SRU、CPUの場合

% LC_ALL=C pkg publisher
PUBLISHER                   TYPE     STATUS P LOCATION
solaris                     origin   online F https://pkg.oracle.com/solaris/support/

Release(GA)、CBEの場合

% LC_ALL=C pkg publisher
PUBLISHER                   TYPE     STATUS P LOCATION
solaris                     origin   online F https://pkg.oracle.com/solaris/release/

この切り替え方法は、pkg set-publisherで切り替えますが、こちらのページよりSolaris11の購入ができれば、pkg-registerサイトに全て書かれています。

まず、Solaris11.4のIPSには、全てのパッケージを紐付けるconsolidationパッケージに、entireがあり、上記のコマンドは、暗黙にentireが指定されています。本当はこうです。

sudo pkg update --be-name="ラベル" --accept entire

entireをアップデートするため、全部がアップデートされるという考え方です。

CPUではentireではなく、solaris-11-cpuを追いかけます。

entireを消す(マニュアルでは不要なように見えたが)、

sudo pkg uninstall -v entire

cpuを追いかけるように切り替える。

sudo pkg install -v solaris-11-cpu

実際にアップデートを行う。

sudo pkg update -v --be-name=ラベル solaris-11-cpu

ラベルはどういうのが良いかというと、GRUBの起動画面などに出てきたり、beadmででてくるので、次の様にしています。info -rでインストール後のパッケージがどんなバージョンかわかるので・・・

% sudo pkg info -r solaris-11-cpu
       名前: support/critical-patch-update/solaris-11-cpu
     サマリー: Oracle Solaris 11.4.51.132.1 Critical Patch Update 2022.11-1
       説明: This package ensures a system remains up to date with the Oracle
           Critical Patch Updates for Oracle Solaris
       状態: インストール済みでない
  パブリッシャー: solaris
    バージョン: 2022.11
       分岐: 1
パッケージ化の日付: 2022年11月07日 20時36分21秒
      サイズ: 2.52 kB
     FMRI: pkg://solaris/support/critical-patch-update/solaris-11-cpu@2022.11-1:20221107T203621Z

私は上のサマリーを見て、こんな風にラベルを決めています。

sudo pkg update -v --be-name=solaris11.4.51.132.1cpu2022.11-1 --accept solaris-11-cpu

CPUでのパッチの当て方

基本的にはsolaris-11-cpuを追いかければ良いが、特定のCVEが当たっているかどうかは、下記の様に調べることができる。

Solaris 11.4のCVEが当たっているかみる

最新から一覧を取る

pkg contents -rHo value -a name=info.cve solaris-11-cpu@latest

特殊パッケージ、IDRの当て方

  • IDRは、サポート対応によって、特別なパッケージが作られた場合に配布されるものであり、一般の顧客向けには配布されないもの。
  • IDRがインストールされた場合、将来のバージョンで特定の問題が治っていればIDRが自動リムーブされ、アップデートされる。IDRの特殊パッケージが治っていない場合は、IDRがupdateを阻害するようになる。

ということで、使っているシステムにIDRが入っていることは普通は稀で、SPARC Super Clusterや、特定のバグをMy Oracle Supportで報告したとき、しかるべきケースに提供されるかもしれないもの。


Solaris11のCPU(Critical Patch Unit)の当て方

  • 記事が0件です

コンピュータTips/Solaris

Recent Updates