HOME情報セキュリティ脆弱性対策情報「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了

本文を印刷する

情報セキュリティ

「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了

最終更新日:2016年11月1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 レッドハット株式会社提供のOS(基本ソフト)「Red Hat Enterprise Linux 4」の延長サポート、および「Red Hat Enterprise Linux 5」(以後、RHEL)の通常サポートが2017年3月31日、同時に終了する(*1)ことを踏まえ、システム管理者に速やかな移行を求められます。

 Linuxはオープンソースソフトウェア(OSS)の基本ソフトとして、無償で利用可能なことから広く普及しています。またRHELの場合、その使途は外部からインターネットでアクセスされるサーバーにも活用されています。そのため、サポート終了により修正パッチが提供されなくなると、インターネットを介して攻撃に晒される可能性が高くなり、速やかな移行が求められます。
 また、RHELのソースコードをベースに開発された無償の「CentOS(*2)」のように、派生ソフトウェアが複数存在しているのもOSSであるLinuxならではの特徴で、今回のサポート終了ではこうした派生ソフトウェアにもRHELのサポートポリシーが波及しています(*3)

(1)互換性を考慮したシステム移行の必要性

 サーバーはハードウェア、OS、ミドルウェア、アプリケーション等から構成されており、これら相互の互換性の考慮が必要です。
 ① レッドハット株式会社が提供する最新バージョンの「RHEL7」は64bit版(*4)のみです。今回サポート終了を迎える
  RHEL4、5で32bit版を利用していた場合、「RHEL7」へのバージョンアップには大規模な改修が想定されます。
 ② OSのバージョンアップでは、同時にミドルウェアのバージョンアップも必要となることが多く、これによりアプリ
  ケーションが動作しなくなる可能性があります。

 また、RHEL4から5以降への移行には、互換性の問題が生じないよう各バージョンにおける変更点の確認(*5)が必要です。

図1. 移行における互換性のイメージ
図1. 移行における互換性のイメージ

(2)ソフトウェアのライフサイクル(サポート期間)を把握し、移行バージョンの決定を

 2017年3月31日でサポートが終了するRHEL4とRHEL5とではその意味が異なります。前者は延長サポート期間の終了であり、これ以降のサポートは提供されません。一方、後者は通常サポート期間の終了で、延長サポートは2020年11月30日まで有効です。しかし、延長サポート期間に提供されるサポートは限定的です。
 移行後のシステム利用を仮に2020年11月末以降も予定している場合、移行計画は現時点でRHEL7を念頭にするのが賢明です。

表1 各バージョンのサポート期間(2016年11月1日現在)
OS 初期出荷日 通常サポート期間 延長サポート期間(*6)
RHEL 42005年 2月14日2012年 2月29日まで2017年 3月31日まで
RHEL 52007年 3月15日2017年 3月31日まで2020年11月30日まで
RHEL 62010年11月10日2020年11月30日まで未定
RHEL 72014年 6月10日2024年 6月30日まで未定

(3)いまだ発見されるRHELの脆弱性

 レッドハット株式会社によれば、通常サポート期間中に重大な影響を及ぼすと判断された脆弱性への修正がRHEL4に関して66件(*7)、RHEL5では484件(*8)ありました。RHEL5では通常サポート期間を迎えようとする現在においても引き続き脆弱性が発見されています。サポート終了後は脆弱性が発見されても修正されないため、外部からの攻撃を許してしまうなどの危険をはらみます。サポート終了後の継続利用は極力避け、速やかに移行を行う必要があります。

 サポート終了に関する情報は下記URLをご確認ください。
http://jp-redhat.com/rhel4-eol/

脚注

(*1)レッドハット株式会社「2017年3月31日、下記2つのサポートを終了いたします。」
http://jp-redhat.com/rhel4-eol/別ウィンドウで開く
Red Hat Enterprise Linux 4延長ライフサイクルサポートの終了に関する更新情報
https://www.redhat.com/ja/about/blog/rhjapan-red-hat-enterprise-linux-4-extended-life-cycle-support-retirement-update別ウィンドウで開く

(*2)https://www.centos.org/別ウィンドウで開く

(*3)CentOS Product Specifications
https://wiki.centos.org/About/Product別ウィンドウで開く

(*4)Red Hat Enterprise Linux テクノロジの機能と制限 - Red Hat Customer Portal
https://access.redhat.com/ja/articles/1271503別ウィンドウで開く

(*5)5.0 Release Notes
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/5.0_Release_Notes/index.html別ウィンドウで開く
Red Hat Enterprise Linux 6 移行計画ガイド
https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Migration_Planning_Guide/別ウィンドウで開く

(*6) POLICIES AND GUIDELINES Extended life cycle support exclusions
https://www.redhat.com/en/about/red-hat-enterprise-linux-server-extended-lifecycle-support-exclusions別ウィンドウで開く

(*7)redhat.com | Security Sample Days of Risk Report for Red Hat Enterprise Linux 4 AS (default installation packages)
http://www.redhat.com/security/data/metrics/summary-rhel4-critical.html別ウィンドウで開く

(*8)redhat.com | Security Sample Days of Risk Report for Red Hat Enterprise Linux 5 (all packages)
http://www.redhat.com/security/data/metrics/summary-rhel5-critical.html別ウィンドウで開く

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:

更新履歴

2016年11月1日 プレス発表 『注意喚起:「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了』公開に伴い、本ページを公開