glibcのGHOST¹対応時のこと。

yumからglibcのCHANGELOGが読みたいんだけど、yum-changelogパッケージ²の使い方をいっつも忘れる。 毎回man 1 yum-changelogやyum help changelogで確かめているので、いい加減メモをとろう。

使い方はこう。

yum changelog <date>|<number>|all <package>

この<date>|<number>|allってのが自分にとっては曲者で、ここを忘れてyum changelog glibcとかやっても表示されない。

• <date>は日付指定で、2014-12なら2014年12月以降のCHANGELOGを検索する。
• <number>は個数指定で、指定した数だけCHANGELOGを新しい順に出してくれる。
• allはすべてのCHANGELOGを出力する。

GHOSTでいえば、glibcの最新のCHANGELOGが対応パッチだろうということで、yum changelog 1 glibcしてみる。

[hfm@work ~]$ yum changelog 1 glibc
読み込んだプラグイン:changelog, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp

Listing 1 changelog

==================== Installed Packages ====================
glibc-2.12-1.149.el6_6.4.x86_64          installed
* Wed Dec 10 21:00:00 2014 Carlos O'Donell <carlos@redhat.com> - 2.12-1.149.4
- Fix recursive dlopen() (#1173469).


==================== Available Packages ====================
glibc-2.12-1.149.el6_6.5.i686            updates
* Mon Jan 19 21:00:00 2015 Siddhesh Poyarekar <siddhesh@redhat.com> - 2.12-1.149.5
- Fix parsing of numeric hosts in gethostbyname_r (CVE-2015-0235, #1183533).

changelog stats. 3 pkgs, 2 source pkgs, 2 changelogs

この通り、Available Packagesのところにアップデート可能なパッケージと、そのCHANGELOGが表示されている。 “CVE-2015-0235”はGHOSTのCVE番号なのでドンピシャ。

ちなみにyum update --changelog glibcとかでも確認できるんだけど、これは意図せずy押したらアップデートされてしまうので、結構危ないコマンドだと思っている。 こういう目的外の効果を発揮しかねないコマンドは、リスクと判断して、極力使用を控えるのが自分ルールだったりする。