隔月ごとに新しい Linux の脆弱性がニュースで取り上げられ、CVE 番号が出回り始めます。 Linux を使用している場合、「私は脆弱なのでしょうか?」という反応が予想されます。最悪の事態を想定する前に、5 分間かけて PC が影響を受けるかどうかを実際に確認してください。
Linux CVE の見出しのほとんどは実際よりも怖く聞こえますが、だからといってシステムが危険にさらされていることを自動的に意味するわけではありません。 Linux ディストリビューションのパッチは、多くの場合、すぐに更新を配布します (場合によっては、ほとんどの人が脆弱性の存在に気づく前に)。システムに脆弱性があるかどうか、または脆弱なパッケージが含まれているかどうかを確認する方法は次のとおりです。
CVE とは実際には何ですか
識別子が実際に何を表しているのかを理解する
CVE 番号は次のようになります。
CVE-2026-12345
これは、文書化された特定の脆弱性を指す単なる識別子です。これは、ディストリビューションが影響を受けたり、何かを再インストールする必要があることを自動的に意味するものではありません (ほとんどの場合)。多くの人が見逃している重要な詳細は、アップストリームのプロジェクト アドバイザリーとディストリビューション アドバイザリーが同じものではないということです。
Linux を初めて使用する方や専門用語に慣れていない方のために、これが何を意味するのかを説明します。Linux カーネル チームが脆弱性を発表すると、それは上流のカーネル ソースに影響を与えます。ディストリビューションでは、表示されるバージョン文字列を大幅に変更せずに、パッケージ版ですでに問題にパッチを適用している可能性があります。このプロセスはバックポートと呼ばれ、安定したディストリビューションが互換性を損なうことなくセキュリティを維持する方法の中心となります。したがって、最初に行うべきことは、一般的な CVE データベースだけでなく、ディストリビューションのセキュリティ トラッカーを確認することです。
停止!これら 4 つの Linux ディストリビューションは、初心者にとって思っているほど安全ではありません
Linux を初めて使用する場合、これらの Linux ディストリビューションをインストールしようとすると、誤ってエクスペリエンスを台無しにしてしまう可能性があります。
Debian での CVE の確認
Debian セキュリティ トラッカーの使用
セキュリティ修正はディストリビューションだけでなく、リリースごとにも適用されます。 CVE を確認する前に、ディストリビューションのリリースとバージョンを確認してください。
lsb_release -a
Debian は、明確で非常に便利な公安トラッカーを維持しています。 security-tracker.debian.org に移動し、CVE 識別子を入力します。トラッカー ページには、影響を受けるソース パッケージと、サポートされている各 Debian リリースのステータスが表示されます。
たとえば、上を見上げると CVE-2026–27586、トラッカーは、軽量 Web サーバーであるパッケージ Caddy が Bookworm、Trixie、および Sid で脆弱であることを示していますが、まだ修正された Debian パッケージはありません。これは、現在ディストリビューションから出荷されているパッケージ版に問題が存在することを示しています。
トラッカーのエントリにリリースがまったく記載されていない場合は、脆弱ではありません。修正済みと表示されている場合、ページには修正が適用された Debian パッケージのバージョンがリストされます。そのバージョン番号は、システムにインストールされているパッケージと比較するものです。
インストールされているパッケージのバージョンを確認する
ローカルにインストールされているバージョンを確認するには、次のコマンドを実行します。
apt policy caddy
出力には、現在システムにインストールされているバージョンと、構成済みのリポジトリで利用可能な候補バージョンが表示されます。 Debian トラッカーにリストされている修正バージョンを含むインストール済みバージョンと比較します。
インストールされているバージョンが修正バージョンと同じかそれより新しい場合、脆弱性はシステムにすでにパッチされていますが、バージョンが古い場合はシステムを更新すると、パッチが適用されたパッケージがインストールされます。トラッカーがまだ問題を脆弱または未修正としてリストしている場合は、Debian メンテナーがパッチ適用済みパッケージをまだ出荷していないことを意味するため、更新を待つ必要があります。
技術的にはより安全なバージョンにロールバックできますが、互換性の問題が発生する可能性があります。
Ubuntu での CVE の確認
Ubuntu の CVE セキュリティ ページの使用
Ubuntu は、CVE 情報を ubuntu.com/security/cves で公開しています。検索フィールドに CVE 番号を入力して、アドバイザリ ページを開きます。
このページには、脆弱性の説明と、さまざまな Ubuntu リリースにわたる影響を受けるパッケージのステータスを示す表が含まれています。
各リリースは、異なるステータスとともに個別にリストされます。たとえば、CVE-2026-27586 の CVE ページには、次のステータスが表示されます。 評価が必要 Ubuntu 25.10 および Ubuntu 24.04 LTS の場合、Ubuntu 22.04 LTS では 発売されていない。これは、パッケージがそのリリースに存在しないことを意味します。リリースに示されている場合は、 評価が必要、 Ubuntuのセキュリティチームは、パッケージ版が影響を受けるかどうかをまだ判断中だ。それが表示される場合 修理済み、 このページには、パッチが適用されたパッケージのバージョンがリストされます。
基本的な Ubuntu システム セキュリティの初心者ガイド
このガイドに従うことで、Ubuntu システムのセキュリティを迅速かつ簡単に強化できます。
インストールされているパッケージと比較する
修正バージョンを確認したら、インストールされているパッケージを確認してください。このコマンドは Debian と同じです。
apt policy caddy
システムに修正バージョンまたは新しいバージョンが表示されていれば、安全です。そうでない場合は、Debian と同様にシステムを更新します。 Ubuntu では無人アップグレードが有効になっていることがよくあります。つまり、セキュリティ パッチがすでに自動的にインストールされている可能性があります。
CVE RHEL の確認
Red Hat のセキュリティ アドバイザリー システムの使用
RHEL は、エンタープライズ サービスの大規模なエコシステムを提供する独自のディストリビューションであるため、ほとんどのコミュニティ ディストリビューションとは多少異なります (Ubuntu Pro や SUSE などの製品を除く)。
RHEL システムが影響を受けるかどうかを確認するには、いくつかのオプションがあります。
Red Hat の CVE セキュリティ ページで CVE 番号を検索します。このページには、Red Hat に影響を与える CVE がリストされています。 RHEL のみのパッケージの脆弱性をチェックするには、 Red Hat ソフトウェアに影響を与える CVE オプション。
サインアップして、追加の詳細を提供する Red Hat CVE Checker を使用することもできます。 RHEL は、脆弱性に対する実用的なベンダー固有のアップデートとパッチを提供するセキュリティ アドバイザリも公開します。
インストールされているパッケージのバージョンを確認する
RHEL システムに何がインストールされているかを確認するには (Fedora についても同じことができます):
dnf info caddy
インストールされているバージョンとアドバイザリに記載されている修正バージョンを比較し、パッチが適用されたバージョンが利用可能な場合はアップグレードします。
実行中のカーネルを確認する
どのカーネル バージョンがアクティブであるかを確認する
CVE が特に Linux カーネルをターゲットにしている場合は、実行しているカーネルを常に確認してください。
uname -r
カーネル CVE は、カーネル管理者によって Linux CVE メーリング リストを通じて公に発表されることもあります。これらの発表は lore.kernel.org/linux-cve-announce にアーカイブされています。
そのページで CVE 識別子を直接検索できます。アーカイブには元の発表電子メールが表示されます。これには通常、脆弱性の説明、影響を受けるサブシステム、問題が修正されたカーネルのバージョンが含まれます。
たとえば、次のように CVE を検索します。 CVE-2025-71237 問題を説明するカーネル チームの発表、問題を修正したコミット、修正が適用されたカーネル バージョンが表示されます。
パッチが適用されたカーネルが利用可能かどうかを確認する
Debian または Ubuntu の場合:
apt list --upgradable | grep linux
RHEL の場合:
dnf check-update | grep kernel
新しいカーネルがインストールされているにもかかわらず古いバージョンが報告される場合は、再起動してください。カーネルの脆弱性は、最も憂慮すべき見出しを生むことがよくありますが、ほとんどの場合、パッチを適用するのが最も簡単な脆弱性でもあります。
おそらく、もう Linux カーネルをコンパイルする必要はありません
もう90年代ではありません。
Linux CVE レポートを実用的なコンテキストに組み込む
すべての CVE が実際の影響において同等であるわけではありません。たとえば、公共のインターネットに公開されているサービスにおけるリモート コード実行の欠陥は直ちに注意を払う必要がありますが、シングルユーザー デスクトップでのシェル アクセスを必要とするローカル権限昇格は通常、それほど緊急ではありません。
パニックになる前に、影響を受けるパッケージが実際にシステムにインストールされているか、サービスが有効になっているか、信頼できないネットワークに公開されているかなど、いくつかの基本的な質問を検討してください。脆弱なコンポーネントがインストールされていないか、実行されていない場合、またはシステムの外部からアクセスできない場合、実際のリスクはすでにはるかに低い可能性があります。
メジャー ディストリビューションのサポートされているリリースを実行している場合、セキュリティ チームは脆弱性に積極的にパッチを当てていますが、サポートされていないリリースを実行している場合、正式なセキュリティ メンテナンスはありません。この場合、リスクが大幅に増加し、CVE チェックはあまり役に立ちません。脆弱性について繰り返し心配していることに気付いた場合は、リリースがまだアップデートを受信していることを確認してください。