Note di rilascio di Amazon Linux 2023 versione 2022.0.20221101

• Questo rilascio risolve un problema di sicurezza in openssl. Per i dettagli, consulta ALAS2022-2022-157 nella pagina Amazon Linux Security Center.

• A partire da AL2023 versione 2022.0.20220728, SELinux è passato da una modalità di applicazione a una di autorizzazione per impostazione predefinita. È possibile modificare le impostazioni di SELinux in modalità di applicazione tramite riga di comando eseguendo il comando setenforce.

• Il pacchetto pcre legacy è obsoleto e sarà rimosso in un futuro rilascio di Amazon Linux. Il pacchetto pcre2 è il successore e i pochi pacchetti rimanenti in Amazon Linux 2022 che dipendono dalla libreria pcre obsoleta verranno trasferiti a pcre2 nei futuri aggiornamenti.

Problemi noti

• Amazon Linux 2022 contiene un problema noto a causa del quale i server NTP definiti dal cliente tramite DHCP non vengono accettati.

  Soluzione alternativa: configura i server NTP utilizzando un file di configurazione in /etc/chrony.d

• L'abilitazione della modalità FIPS non è attualmente supportata e nei prossimi rilasci verranno apportate modifiche al funzionamento di un sistema abilitato alla modalità FIPS.

• L'installazione di collected-java non riesce perché il pacchetto Amazon Corretto non annuncia che fornisce libjvm.so. Una volta aggiornato il pacchetto Amazon Corretto, l'installazione di collectd-java dovrebbe funzionare.

  Soluzione alternativa: installa manualmente con rpm —nodeps -i collectd-java-5.12.0-16.amzn2022.0.1.x86_64.rpm.

Aggiornamenti di sicurezza

• Per informazioni sui CVE risolti in questo rilascio, consulta la pagina Amazon Linux Security Center.

• Kernel aggiornato dalla versione 5.10 alla 5.15

• OpenSSL aggiornato dalla versione 1.1 alla 3.0

• Interfaccia AWS CLI aggiornata a AWS CLI v2

• Gli strumenti AWS presenti in Amazon Linux 2 sono stati aggiunti a repository come ecs-agent, aws-cfn-bootstrap, aws-kinesis-agent, ec2-instance-connect e altri strumenti.

• rsyslog non è più installato per impostazione predefinita e quindi system-journald è il modo in cui funziona syslog, con journalctl come client che può esaminare i log.

• L'impostazione predefinita curl fa parte del pacchetto curl-minimal, che supporta i protocolli più diffusi. È possibile passare alla versione completa di curl, se necessario, eseguendo dnf install --allowerasing curl-full libcurl-full

• L'impostazione predefinita gnupg è minima, ossia ha funzionalità limitate, ma contiene il codice minimo necessario per la verifica degli RPM tramite GPG e include un numero minimo di pacchetti nelle AMI e nelle immagini di container. Se hai bisogno della funzionalità completa di gnupg, puoi ottenere la gnupg completa eseguendo dnf install --allowerasing gnupg2-full

• Cura dei pacchetti: come parte del ciclo di sviluppo, abbiamo curato l'elenco dei pacchetti disponibili nei repository. Ciò ha comportato la rimozione di un certo numero di pacchetti che non erano più necessari a causa delle dipendenze. Alcuni pacchetti possono essere aggiunti nuovamente al repository man mano che elaboriamo le richieste dei clienti.

• I runtime dei linguaggi sono stati aggiornati e ad alcuni runtime come Ruby sono stati assegnati spazi dei nomi, consentendo così l'aggiunta di nuove versioni in futuro senza rimuovere quelle attuali dai repository.

• L'ecosistema Java è ora basato su Amazon Corretto 17 anziché su OpenJDK 11. Gli strumenti di compilazione Java sono stati ricostruiti in versioni più recenti ed eseguiti con Amazon Corretto.

Kernel CONFIG_HZ è stato modificato da 250 a 100 sia su arm64 che su x86.

La configurazione del kernel è stata ulteriormente ottimizzata per l'utilizzo della memoria e rafforzata disabilitando alcune funzionalità non utilizzate in Amazon EC2. Tra le modifiche di rilievo figurano:

• Impostazione NR_CPUS=512 da 8192

• Rimozione di diversi file system precedenti e uso esclusivo di ext4

• Rimozione di alcuni adattatori fisici non utilizzati in Amazon EC2

• Eliminazione di una serie di protocolli di rete obsoleti o inutilizzati

• Rimozione del supporto CDROM

• Rimozione del supporto per PS2

• Rimozione del supporto per "media" e v4l2

• Eliminazione delle versioni precedenti delle API NFS/CIFS tranne nfsv3

• Attivazione di alcune opzioni di sicurezza che ottimizzano le prestazioni

• Impostazione di PANIC_ON_OOPS per tutti i blocchi

• Abilitazione del modulo TCMU CONFIG_TCM_USER2

• Eliminazione delle piattaforme arm64 inutilizzate

• Abilitazione di CONFIG_KEXEC_SIG

• Disabilitazione di CONFIG_SCHED_CORE and CONFIG_SCHED_SMT su arm64

• Disabilitazione di CONFIG_LDISC_AUTOLOAD

• Abilitazione del supporto qdisc per CAKE CONFIG_NET_SCH_CAKE

• Aggiornamento del client Lustre a 2.12.8

• Disabilitazione di CONFIG_KSM

  ‐ CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT

  ‐ CONFIG_GCC_PLUGIN_STACKLEAK

  ‐ CONFIG_INIT_ON_ALLOC_DEFAULT_ON

  ‐ CONFIG_ZERO_CALL_USED_REGS

  ‐ CONFIG_KFENCE