Notas de lançamento do Amazon Linux 2023 versão 2022.0.20221102

• Esta versão aborda um problema de segurança em openssl. Para obter detalhes, consulte ALAS2022-2022-157 na central de segurança do Amazon Linux.

• A partir de AL2023 versão 2022.0.20220728 então, o SELinux passou de um modo obrigatório para um modo permissivo por padrão. Você pode alterar as configurações do SELinux para o modo forçado via linha de comando executando o comando setenforce.

• O pacote pcre antigo está obsoleto e será removido em uma versão futura do Amazon Linux. O pacote pcre2 é o sucessor, e os poucos pacotes restantes no Amazon Linux 2022 que dependem da biblioteca pcre obsoleta serão migrados para pcre2 em futuras atualizações.

Problemas conhecidos

• O Amazon Linux 2022 contém um problema conhecido em que os servidores NTP definidos pelo cliente via DHCP não são atendidos.

  Solução alternativa - Configure os servidores NTP usando um arquivo de configuração no /etc/chrony.d

• Atualmente, a ativação do modo FIPS não é suportada, e haverá mudanças na forma como um sistema habilitado para o modo FIPS funciona nas próximas versões.

• A instalação collected-java falha porque o pacote Amazon Corretto não anuncia que ele fornece libjvm.so. Depois que o pacote Amazon Corretto for atualizado, espera-se que a instalação collectd-java funcione.

  Solução alternativa ‐ Instale manualmente com rpm —nodeps -i collectd-java-5.12.0-16.amzn2022.0.1.x86_64.rpm.

Atualizações de Segurança

• Para obter informações sobre os CVEs abordados nesta versão, consulte o Amazon Linux Security Center.

• Kernel atualizado de 5.10 para 5.15

• OpenSSL atualizado de 1.1 para 3.0

• AWS CLI atualizado para AWS CLI v2

• As ferramentas da AWS encontradas no Amazon Linux 2 foram adicionadas aos repositórios ecs-agent, aws-cfn-bootstrap, aws-kinesis-agent, ec2-instance-connect e outras ferramentas.

• rsyslog não é mais instalado por padrão e, portanto, system-journald é a forma como syslog funciona, com journalctl como o cliente que pode ver os registros.

• O padrão curl faz parte do pacote curl-minimal, que suporta os protocolos mais populares. Você pode mudar para o recurso completo, curl se necessário, executando dnf install --allowerasing curl-full libcurl-full

• O padrão gnupg é mínimo, que tem funcionalidade limitada, mas tem o código mínimo necessário para verificar RPMs pelo GPG e traz um número mínimo de pacotes para AMIs e imagens de contêiner. Se precisar de funcionalidade gnupg completa, você pode obter a funcionalidade completa gnupg executando dnf install --allowerasing gnupg2-full

• Curadoria de pacotes - Como parte do ciclo de desenvolvimento, selecionamos a lista de pacotes disponíveis nos repositórios. Isso envolveu a remoção de vários pacotes que não eram mais necessários devido às dependências. Alguns pacotes podem ser adicionados novamente ao repositório enquanto trabalhamos com as solicitações dos clientes.

• Os tempos de execução da linguagem foram atualizados e alguns tempos de execução, como o Ruby, foram espaçados por nomes, permitindo que novas versões fossem adicionadas no futuro sem remover as atuais dos repositórios.

• O ecossistema Java agora é baseado no Amazon Corretto 17 em vez do OpenJDK 11. As ferramentas de compilação Java foram reconstruídas para versões mais recentes e executadas com o Amazon Corretto.

• O trigêmeo do GCC e de outros compiladores mudou, indicando a Amazon como fornecedora.

O kernel CONFIG_HZ mudou de 250 para 100 em ambos arm64 e x86.

A configuração do kernel foi melhor otimizada para o uso da memória e reforçada com a desativação de algumas funcionalidades não utilizadas no Amazon EC2. As alterações notáveis incluem:

• Definir NR_CPUS=512 partir de 8192

• Remova vários sistemas de arquivos antigos e use ext4-only

• Remova alguns adaptadores físicos não usados no Amazon EC2

• Elimine uma variedade de protocolos de rede antigos ou não utilizados

• Remover o suporte de CDROM

• Remover o suporte PS2

• Remova a “mídia” e o v4l2 suporte

• Eliminar versões NFS/CIFS API mais antigas, exceto nfsv3

• Ative algumas opções de segurança de baixo desempenho

• Conjunto PANIC_ON_OOPS para todas as suspensões

• Habilitar TCMU CONFIG_TCM_USER2 módulo

• Elimine plataformas não utilizadas arm64

• Habilitar o CONFIG_KEXEC_SIG

• Desativar CONFIG_SCHED_CORE and CONFIG_SCHED_SMT ativado arm64

• DESABILITAR O CONFIG_LDISC_AUTOLOAD

• Ativar suporte CONFIG_NET_SCH_CAKE ao CAKE qdisc

• Atualize o cliente Lustre para 2.12.8

• DESABILITAR O CONFIG_KSM

  ‐ CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT

  ‐ CONFIG_GCC_PLUGIN_STACKLEAK

  ‐ CONFIG_INIT_ON_ALLOC_DEFAULT_ON

  ‐ CONFIG_ZERO_CALL_USED_REGS

  ‐ CONFIG_KFENCE

• credentials-fetcher-1.0.0-1.amzn2022.src

• netlabel_tools-0.30.0-13.amzn2022.src

• udica-0.2.6-3.amzn2022.src

• amazon-linux-repo-cdn-2022.0.20221101-0.amzn2022

• amazon-linux-repo-cdn-2022.0.20221102-0.amzn2022

• libselinux-3.2-1.amzn2022.0.2

• libsepol-3.3-2.amzn2022.0.1

• libselinux-3.4-5.amzn2022.0.1

• libsepol-3.4-3.amzn2022.0.2

• system-release-2022.0.20221101-0.amzn2022

• system-release-2022.0.20221102-0.amzn2022