【最終版】CentOSのバージョン情報とサポート期限

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、CentOSのバージョン情報とサポート期限についてまとめたもので、2025年5月19日に改訂しています。

CentOSは、Red Hat Enterprise Linux（以下「RHEL」とします）と互換性のあるオープンソースのOSで、CentOS Linux とCentOS Stream という 2 種類のディストリビューション（Linuxカーネルとその他ソフトウェア群を1つにまとめたもの）があります。

どちらも無償のオープンソースOSですが、CentOS Linux は過去のCentOSプロジェクトに基づいたディストリビューションで、RHELの安定版と完全な互換性を有していたのに対し、CentOS Streamは、RHELのローリングリリース型の開発バージョンと位置付けられており安定版ではないことから、Web制作の現場では、CentOS Linuxが選択・使用されてきました（そのため、本自記事で「CentOS」と記載する場合、特段の理由がなければ「CentOS Linux」を意味するものとします）。

この非常に優れており、かつ愛されてきたCentOSですが、2024年6月30日をもってすべてのバージョンの公式サポート期間が終了しています。
そのため、本記事をもって【最終版】とさせていただき、以降については、大きな動き（脆弱性情報の発見等）があったときのみ更新させていただく想定です。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

もともと、CentOSの最新安定版は8でしたが、CentOSプロジェクトがCentOS Linuxの開発中止を発表したことから、CentOS 8のサポートが当初予定より大幅に短縮され、2021年12月31日をもって終了しました。
その結果として、CentOS 7（2024年6月30日にセキュリティサポート終了）の方がCentOS 8より長くサポートされる形となりました。

2025年5月19日現在、CentOS Linuxにおける全てのバージョンについて、公式のセキュリティサポートは終了（EOL）しています。
※RHEL9系の開発ブランチであるCentOS Stream 9のサポートは継続されています。

アクティブサポート期限とは、CentOSの各バージョンに関して、新しい機能が追加される最後の期限を指します。この期間中には、新機能の追加や改善が行われたり、バグ修正が行われます。また、当然ながらセキュリティパッチも提供されます。

セキュリティサポート期限とは、CentOSの各バージョンに関して、セキュリティ関連のアップデートが提供される最後の期間を指します。
前述のように、アクティブサポート期間中にはセキュリティサポートも提供されますが、アクティブサポート終了後、セキュリティサポート終了期限までの期間は、基本的に重大なセキュリティホールに関するパッチのみが提供され、新機能の追加等は行われません。

※グレーのバージョンは公式のセキュリティサポートが終了しています。

CentOSの脆弱性については、公式サポート終了後も見つかっています。
そこで、CentOS 6・7・8の脆弱性で、公式リポジトリでは未修正の脆弱性情報について、下記にまとめておきます。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。CVEが採番されていない脆弱性については、現時点では掲載しておりません。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述の掲載ルール外の脆弱性情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。NVDにてスコアリングされていない場合にはRed Hatのスコアを掲載しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※CVE-2020-15778は、OSコマンドインジェクションの脆弱性であり、OpenSSH 8.3 p1以前のscpを含むすべてのLinuxディストリビューションが対象であるため、本脆弱性はCentOS 6・7・8に影響を与えると考えています。CentOS 8については、最新のバージョンに更新すれば修正対応されています。
※CVE-2021-3156は、sudoの引数解析におけるヒープオーバーフローにより、非特権ユーザーがroot権限を取得できる脆弱性ですが、CentOS 6に含まれるsudo は1.8.6p3であることから、本脆弱性はCentOS 6に影響を与えると考えています。
※CVE-2021-4034は、polkitのpkexec ユーティリティにローカル特権昇格の脆弱性が発見されたものですが、CentOS にはpolkitが含まれていることから、本脆弱性はCentOS 6・7・8に影響を与えると考えています。なお、CentOS 7については、最新のバージョンに更新すれば修正対応されています。
※CVE-2021-4122は、cryptsetup（LUKS2のオンライン再暗号化機能）に関する脆弱性ですが、CentOS 8にはcryptsetup2.3.3 系が搭載されていることから、本脆弱性はCentOS 8に影響を与えると考えています。なお、CentOS 6と7は、いずれもcryptsetup2.2.0未満でLUKS2/オンライン再暗号化を実装していないため影響を受けないと考えています。
※CVE-2021-44142は、Sambaのvfs_fruitモジュールに存在する脆弱性ですが、CentOS 7・8 にはSambaが公式リポジトリに同梱されていることから、本脆弱性はCentOS 7・8に影響を与えると考えています。なお、CentOS 7では修正対応されています。
※CVE 2022 43552は、curlライブラリのHTTPプロキシトンネリング処理の脆弱性ですが、curlはCentOS標準パッケージとして組み込まれており、そのためCentOS 6・7・8に影響を与えると考えています。なお、CentOS 7の最新バージョンでは修正対応されています。
※CVE-2023-38559は、Ghostscriptのdevn_pcx_write_rle()に起因するバッファオーバーフローの脆弱性ですが、GhostscriptはCentOSの標準印刷／画像レンダリングスタックとしてRPMパッケージに組み込まれている関係にあることから、CentOS 6・7・8 に影響を与える脆弱性であると考えています。
※CVE-2023-41993は、WebKitエンジンの型混乱に起因する任意コード実行の脆弱性ですが、WebKitGTKライブラリはCentOSに標準収録されるGUI／Web描画スタックとしてCentOSと密接な関係性にあることから、CentOS 6・7・8に影響を与える脆弱性であると考えています。
※CVE-2024-49761は、REXML3.3.8以前かつ Ruby 3.1 以前で発現する、非効率的な正規表現の複雑さに関する脆弱性ですが、CentOS 6・7・8は、前述の条件に該当するため、本脆弱性はCentOS 6・7・8に影響を与えると考えています。
※本記事における脆弱性情報は、当社が把握している情報の一部であり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

それでは、CentOS 7の公式サポートが2024年6月30日に終了したことに伴い、Webサイト、Webシステムについてはどのような対応策があるのでしょうか。

「CentOS 延長サポート」で検索をすれば、各社の延長サポートサービスがヒットします。
この延長サポートサービスを利用することが最も簡単な対応策であることは間違いありません。

しかしながら、ある程度の費用が掛かり続けることは調べていただければわかるかと思います。

当社でも、企業の基幹システム等、大規模なものであれば迷わず延長サポートをお勧めします。

一方で、Web制作会社である当社にくるご相談はやはりWebサイトに関するものであり、「Webサイトを動かすためのOSに毎年費用をかけ続けるのは避けたい」というものであったりします。
この場合には、オープンソースOSへの移行をお勧めすることになります。

CentOS Stream 8はオープンソースOSではありますが、RHELの次期マイナーバージョンを先行テストする位置づけのもので、安定性より最新機能優先のローリングリリースです。

そのため企業の本番環境では通常利用されず、変更するのであれば、代替OS（後述）への移行をお勧めしたいと思います。

AlmaLinux OSはRHELとのバイナリレベルでの互換を目指しているLinuxディストリビューションで、AlmaLinux OS Foundationによって管理されている無料のオープンソースOSです。

※「バイナリレベルでの互換を目指している」というのは、ソースコードはRHELと同一でなくても、アプリケーションが双方のプラットフォーム上で同じように動作することを目指しているという意味です。

詳細については「AlmaLinuxのバージョン情報とサポート期限」の記事をご覧ください。

Rocky LinuxもRHELとのバイナリレベルでの互換を目指しているLinuxディストリビューションで、Rocky Enterprise Software Foundation (RESF) によって管理されている無料のオープンソースOSです。

詳細については「Rocky Linuxのバージョン情報とサポート期限」の記事をご覧ください。

OSの変更は、ほぼ全てのアプリケーションに影響を与えます。
しかし、シンプルなWebサイト環境であれば、CentOS 7からAlmaLinux OSないしRocky Linuxに変更しても、そのまま動く可能性も十分にあります。
その場合コストを抑えることができますので、こちらのお問合せよりお気軽にご相談ください。