レッドハットの森若です。

最近は以前より減ってきた気がするのですが、購入前にRHELに含まれるパッケージのバージョン番号だけをお問いあわせされるケースがあります。多くの場合中間に複数の人がいるため質問の本来の意図はよくわかりません。

今回はまずRHELに含まれるパッケージのバージョン確認方法を紹介して、次にバージョンの確認にはあまり意味がないことを説明します。

パッケージバージョンの確認方法

カスタマーポータル内の以下ページから、rpmパッケージを検索することができます。 https://access.redhat.com/downloads/content/package-browser

パッケージ名を入力して検索し、アーキテクチャをクリックすると、最新パッケージと、それが提供される製品がまとまったページが表示されます。バージョンを選択することで、過去に出荷されたパッケージや他の製品むけに出荷された別バージョンなども確認できます。

この検索をおこなうには有効なサブスクリプションが対応づけられたアカウントが必要です。

パッケージの細かいバージョンにあまり意味がない理由

Red Hat製品のパッケージの厳密なバージョンを確認することにはあまり意味がありません。その理由は大きく2つあります。

• 機能拡張やセキュリティfixのバックポート時にバージョンを変えないケースがある
• 機能をサポート対象外にしたり無効化するケースがある

順にみていきましょう。

機能拡張やセキュリティfixのバックポート時にバージョンを変えないケースがある

Red Hatは基本的にupstream firstポリシーで開発をおこなっており、upstreamプロジェクトで拡張や修正を行ったのち、製品に反映します。

あるソフトウェア foobar で重大なセキュリティの問題が発見され、バージョン 2.4.6で修正したとします。 そのソフトウェアがRHELに含まれており、パッケージのバージョン 2.3.8-10 で同じ問題の影響を受けるとします。 Red Hatのエンジニアリングはupstream projectの2.4.6で行われた修正内容を反映して、2.3.8-11 のようなパッケージを作成してリリースします。このような活動を「バックポート」と呼んでいます。

結果として「foobarのこの問題は2.4.6以降なら直っている」という知識はRHELについては間違いで「2.3.8-11以降なら直っている」ということになります。とはいえ、上記の背景を知らない状態で「今のfoobarパッケージのバージョンは2.3.8-14です」という回答だけを入手してもどの問題が対応済みなのかはわかりませんし、背景を知っていれば対応状況やバージョンも同時にわかっているはずです。機能拡張についてはバージョン変更(リベース)で対応するケースが多いですが、お客様からのリクエスト等で同様にバックポートされるケースがあります。

このような知識を持たずにバージョンだけを確認して機能や脆弱性の有無を検討するのは間違いです。

機能をサポート対象外にしたり無効化するケースがある

Red Hat製品では他機能との競合や、実装が成熟していない、そのコンポーネントのメンテナンスをする体制がRed Hatにないなどの理由で機能を無効化したり、サポート対象外にするケースがあります。

たとえば RHEL 8で openldap-serverはサポート対象外となっていますが、codeready-builder-for-rhel-8-x86_64-rpms というリポジトリでサポートしないパッケージとして提供されています。この場合に openldap-serverの バージョンだけ を確認してもあまり意味がありません。

おすすめの確認方法

機能や動作を確認するには評価用サブスクリプション等を利用して実際に試すのが一番です。簡単なものなら これ以上ないほど簡単に日本語でRHEL8を試すHow toで紹介したラボで確認することもできます。

特定のパッケージについてサポート有無を確認したい場合には、RHEL 8の場合はリポジトリを確認します。BaseOSまたはAppStreamに含まれていればサポート対象で、他のリポジトリはサポート対象外です。

脆弱性の影響有無を確認したい場合には、バージョン番号の確認ではなく、Red Hat CVEデータベースで確認できます。