本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Linux 1 (AL1) 版本 2018.03 发行说明
**警告**
不再支持亚马逊 Linux 1(AL1前身为亚马逊 Linux AMI)。本指南仅供参考。
**注意**
AL1 不再是亚马逊 Linux 的当前版本。 AL2023 是亚马逊 Linux 2 AL1 的继任者。有关 023 新增内容的更多信息,请参阅《 AL2 023 [用户指南》中的 “[比较 AL1 和 AL2 023](https://docs.aws.amazon.com/linux/al2023/ug/compare-with-al1.html)” 部分以及 AL2 023](https://docs.aws.amazon.com/linux/al2023/ug/) 中的 Package [更改列表](https://docs.aws.amazon.com/linux/al2023/release-notes/compare-packages.html)。 AL2
本主题包括 2018.03 版本的亚马逊 Linux 1 (AL1) 发行说明更新。
## 升级到亚马逊 Linux 1 (AL1) 版本 2018.03
要从亚马逊 Linux 1 (AL1) 版本 2011.09 或更高版本升级到亚马逊 Linux 1 (AL1) 版本 2018.03,请随后运行。`sudo yum clean all` `sudo yum update`升级完成后,重启您的实例。
亚马逊 Linux 1 (AL1) 存储库提供的更新允许您从一个版本的亚马逊 Linux 1 (AL1) 滚动到下一个版本。
## 亚马逊 Linux 2018.03.0.20230404.0
更新后的软件包:
+ `db4-4.7.25-22.13.amzn1.x86_64`
+ `db4-utils-4.7.25-22.13.amzn1.x86_64`
+ `kernel-4.14.311-161.529.amzn1.x86_64`
+ `kernel-devel-4.14.311-161.529.amzn1.x86_64`
+ `kernel-headers-4.14.311-161.529.amzn1.x86_64`
+ `kernel-tools-4.14.311-161.529.amzn1.x86_64`
+ `microcode_ctl-2.1-47.41.amzn1.x86_64`
+ `python27-2.7.18-2.145.amzn1.x86_64`
+ `python27-babel-0.9.4-5.1.9.amzn1.noarch`
+ `python27-devel-2.7.18-2.145.amzn1.x86_64`
+ `python27-libs-2.7.18-2.145.amzn1.x86_64`
+ `vim-common-9.0.1403-1.76.amzn1.x86_64`
+ `vim-data-9.0.1403-1.76.amzn1.noarch`
+ `vim-enhanced-9.0.1403-1.76.amzn1.x86_64`
+ `vim-filesystem-9.0.1403-1.76.amzn1.noarch`
+ `vim-minimal-9.0.1403-1.76.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20230322.0
更新后的软件包:
+ `kernel-4.14.309-159.529.amzn1.x86_64`
+ `kernel-devel-4.14.309-159.529.amzn1.x86_64`
+ `kernel-headers-4.14.309-159.529.amzn1.x86_64`
+ `kernel-tools-4.14.309-159.529.amzn1.x86_64`
+ `tar-1.26-31.23.amzn1.x86_64`
+ `vim-common-9.0.1367-1.73.amzn1.x86_64`
+ `vim-data-9.0.1367-1.73.amzn1.noarch`
+ `vim-enhanced-9.0.1367-1.73.amzn1.x86_64`
+ `vim-filesystem-9.0.1367-1.73.amzn1.noarch`
+ `vim-minimal-9.0.1367-1.73.amzn1.x86_64`
+ `xorg-x11-server-Xorg-1.17.4-18.51.amzn1.x86_64`
+ `xorg-x11-server-common-1.17.4-18.51.amzn1.x86_64`
包含 CVEs:
`kernel-4.14.309-159.529.amzn1`, `kernel-devel-4.14.309-159.529.amzn1`, `kernel-headers-4.14.309-159.529.amzn1`, `kernel-tools-4.14.309-159.529.amzn1`
+ CVE-2023-26545
`tar-1.26-31.23.amzn1`
+ CVE-2022-48303
`vim-common-9.0.1367-1.73.amzn1`, `vim-data-9.0.1367-1.73.amzn1`, `vim-enhanced-9.0.1367-1.73.amzn1`, `vim-filesystem-9.0.1367-1.73.amzn1`
+ CVE-2023-0288
+ CVE-2023-0433
+ CVE-2023-0512
+ CVE-2023-1127
`xorg-x11-server-Xorg-1.17.4-18.51.amzn1`, `xorg-x11-server-common-1.17.4-18.51.amzn1`
+ CVE-2023-0494
## 亚马逊 Linux 2018.03.0.20230306.1
更新的软件包
+ `tzdata-2022g-1.84.amzn1.noarch`
+ `tzdata-java-2022g-1.84.amzn1.noarch`
## 亚马逊 Linux 2018.03.0.20230221.0
更新的软件包
+ `ca-certificates-2018.2.22-65.1.29.amzn1.noarch`
+ `kernel-4.14.305-155.531.amzn1.x86_64`
+ `kernel-devel-4.14.305-155.531.amzn1.x86_64`
+ `kernel-headers-4.14.305-155.531.amzn1.x86_64`
+ `kernel-tools-4.14.305-155.531.amzn1.x86_64`
+ `xorg-x11-server-Xorg-1.17.4-18.50.amzn1.x86_64`
+ `xorg-x11-server-common-1.17.4-18.50.amzn1.x86_64`
包含 CVEs:
`ca-certificates-2018.2.22-65.1.29.amzn1`
+ CVE-2022-23491
`xorg-x11-server-1.17.4-18.50.amzn1`
+ CVE-2022-2320
+ CVE-2022-4283
+ CVE-2022-46340
+ CVE-2022-46341
+ CVE-2022-46342
+ CVE-2022-46343
+ CVE-2022-46344
## 亚马逊 Linux 2018.03.0.20230207.0
更新后的软件包:
+ kernel-4.14.301-153.528.amzn1.x86\_64
+ kernel-devel-4.14.301-153.528.amzn1.x86\_64
+ kernel-headers-4.14.301-153.528.amzn1.x86\_64
+ kernel-tools-4.14.301-153.528.amzn1.x86\_64
+ krb5-libs-1.15.1-55.51.amzn1.x86\_64
+ openssl-1.0.2k-16.162.amzn1.x86\_64
+ sudo-1.8.23-10.57.amzn1.x86\_64
+ vim-common-9.0.1160-1.1.amzn1.x86\_64
+ vim-data-9.0.1160-1.1.amzn1.noarch
+ vim-enhanced-9.0.1160-1.1.amzn1.x86\_64
+ vim-filesystem-9.0.1160-1.1.amzn1.noarch
+ vim-minimal-9.0.1160-1.1.amzn1.x86\_64
包含 CVEs:
`sudo-1.8.23-10.57.amzn1`
+ CVE-2023-22809
`vim-9.0.1160-1.1.amzn1`
+ CVE-2022-4292
+ CVE-2023-0049
`krb5-1.15.1-55.51.amzn1`
+ CVE-2022-42898
## 亚马逊 Linux 2018.03.0.20230124.1
此版本中没有重大更新。
更新后的软件包:
+ `ca-certificates-2018.2.22-65.1.28.amzn1.noarch`
+ `krb5-libs-1.15.1-46.49.amzn1.x86_64`
+ `vim-common-9.0.1006-1.1.amzn1.x86_64`
+ `vim-data-9.0.1006-1.1.amzn1.noarch`
+ `vim-enhanced-9.0.1006-1.1.amzn1.x86_64`
+ `vim-filesystem-9.0.1006-1.1.amzn1.noarch`
+ `vim-minimal-9.0.1006-1.1.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20221209.1
此版本中没有重大更新。
更新后的软件包:
+ `curl-7.61.1-12.101.amzn1.x86_64`
+ `expat-2.1.0-15.33.amzn1.x86_64`
+ `kernel-4.14.299-152.520.amzn1.x86_64`
+ `kernel-devel-4.14.299-152.520.amzn1.x86_64`
+ `kernel-headers-4.14.299-152.520.amzn1.x86_64`
+ `kernel-tools-4.14.299-152.520.amzn1.x86_64`
+ `libcurl-7.61.1-12.101.amzn1.x86_64`
+ `nvidia-450.216.04-2018.03.118.amzn1.x86_64`
+ `nvidia-dkms-450.216.04-2018.03.118.amzn1.x86_64`
+ `rsync-3.0.6-12.14.amzn1.x86_64`
+ `tzdata-2022f-1.83.amzn1.noarch`
+ `tzdata-java-2022f-1.83.amzn1.noarch`
+ `zlib-1.2.8-7.20.amzn1.x86_64`
+ `zlib-devel-1.2.8-7.20.amzn1.x86_64`
包含 CVEs:
`curl-7.61.1-12.101.amzn1`
+ CVE-2022-22576
+ CVE-2022-27774
+ CVE-2022-27776
+ CVE-2022-27781
+ CVE-2022-27782
+ CVE-2022-32206
+ CVE-2022-32208
+ CVE-2022-35252
`kernel-4.14.299-152.520.amzn1`
+ CVE-2022-20369
+ CVE-2022-26373
+ CVE-2022-2978
+ CVE-2022-3542
+ CVE-2022-3564
+ CVE-2022-3565
+ CVE-2022-3594
+ CVE-2022-3621
+ CVE-2022-3646
+ CVE-2022-3649
+ CVE-2022-39842
+ CVE-2022-40768
+ CVE-2022-41849
+ CVE-2022-41850
+ CVE-2022-43750
`nvidia-450.216.04-2018.03.118.amzn1`
+ CVE-2022-34670
+ CVE-2022-34674
+ CVE-2022-34675
+ CVE-2022-34677
+ CVE-2022-34679
+ CVE-2022-34680
+ CVE-2022-34682
+ CVE-2022-42254
+ CVE-2022-422255
+ CVE-2022-42256
+ CVE-2022-42257
+ CVE-2022-42258
+ CVE-2022-42259
+ CVE-2022-42260
+ CVE-2022-42261
+ CVE-2022-42262
+ CVE-2022-42263
+ CVE-2022-42264
## 亚马逊 Linux 2018.03.0.20221018.0
此版本中没有重大更新。
更新后的软件包:
+ `kernel-4.14.294-150.533.amzn1.x86_64`
+ `kernel-devel-4.14.294-150.533.amzn1.x86_64`
+ `kernel-headers-4.14.294-150.533.amzn1.x86_64`
+ `kernel-tools-4.14.294-150.533.amzn1.x86_64`
+ `ruby20-2.0.0.648-2.41.amzn1.x86_64`
+ `ruby20-irb-2.0.0.648-2.41.amzn1.noarch`
+ `ruby20-libs-2.0.0.648-2.41.amzn1.x86_64`
+ `rubygem20-bigdecimal-1.2.0-2.41.amzn1.x86_64`
+ `rubygem20-psych-2.0.0-2.41.amzn1.x86_64`
+ `rubygems20-2.0.14.1-2.41.amzn1.noarch`
+ `tzdata-2022e-1.81.amzn1.noarch`
+ `tzdata-java-2022e-1.81.amzn1.noarch`
+ `vim-common-9.0.475-1.1.amzn1.x86_64`
+ `vim-data-9.0.475-1.1.amzn1.noarch`
+ `vim-enhanced-9.0.475-1.1.amzn1.x86_64`
+ `vim-filesystem-9.0.475-1.1.amzn1.noarch`
+ `vim-minimal-9.0.475-1.1.amzn1.x86_64`
包含 CVEs:
`kernel-4.14.294-150.533.amzn1`
+ CVE-2021-4159
+ CVE-2021-33655
+ CVE-2022-1462
+ CVE-2022-1679
+ CVE-2022-2153
+ CVE-2022-2588
+ CVE-2022-2663
+ CVE-2022-3028
+ CVE-2022-36123
+ CVE-2022-36879
+ CVE-2022-36946
+ CVE-2022-40307
## 亚马逊 Linux 2018.03.0.20220907.3
此版本中没有重大更新。
更新后的软件包:
+ `amazon-ssm-agent-3.1.1732.0-1.amzn1.x86_64`
+ `gnupg2-2.0.28-2.35.amzn1.x86_64`
+ `java-1.7.0-openjdk-1.7.0.321-2.6.28.1.86.amzn1.x86_64`
+ `tzdata-2022c-1.80.amzn1.noarch`
+ `tzdata-java-2022c-1.80.amzn1.noarch`
## 亚马逊 Linux 2018.03.0.20220802.0
此版本中没有重大更新。
更新后的软件包:
+ `kernel-4.14.287-148.504.amzn1.x86_64`
+ `kernel-devel-4.14.287-148.504.amzn1.x86_64`
+ `kernel-headers-4.14.287-148.504.amzn1.x86_64`
+ `kernel-tools-4.14.287-148.504.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.3-7.amzn1.noarch`
+ `openssl-1.0.2k-16.159.amzn1.x86_64`
+ `vim-common-8.2.5172-1.1.amzn1.x86_64`
+ `vim-data-8.2.5172-1.1.amzn1.noarch`
+ `vim-enhanced-8.2.5172-1.1.amzn1.x86_64`
+ `vim-filesystem-8.2.5172-1.1.amzn1.noarch`
+ `vim-minimal-8.2.5172-1.1.amzn1.x86_64`
包含 CVEs:
`kernel-4.14.287-148.504.amzn1`
+ CVE-2022-2318
+ CVE-2022-26365
+ CVE-2022-33740
+ CVE-2022-33741
+ CVE-2022-33742
+ CVE-2022-33744
## 亚马逊 Linux 2018.03.0.20220705.1
此版本中没有重大更新。
更新后的软件包:
+ `ca-certificates-2018.2.22-65.1.27.amzn1.noarch`
+ `expat-2.1.0-14.31.amzn1.x86_64`
+ `kernel-4.14.285-147.501.amzn1.x86_64`
+ `kernel-devel-4.14.285-147.501.amzn1.x86_64`
+ `kernel-headers-4.14.285-147.501.amzn1.x86_64`
+ `kernel-tools-4.14.285-147.501.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.3-5.amzn1.noarch`
+ `microcode_ctl-2.1-47.40.amzn1.x86_64`
+ `openssl-1.0.2k-16.158.amzn1.x86_64`
+ `yum-3.4.3-150.73.amzn1.noarch`
+ `zlib-1.2.8-7.19.amzn1.x86_64`
+ `zlib-devel-1.2.8-7.19.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20220609.0
此版本中没有重大更新。
更新后的软件包:
+ `expat-2.1.0-12.28.amzn1.x86_64`
+ `gzip-1.5-9.20.amzn1.x86_64`
+ `kernel-4.14.281-144.502.amzn1.x86_64`
+ `kernel-devel-4.14.281-144.502.amzn1.x86_64`
+ `kernel-headers-4.14.281-144.502.amzn1.x86_64`
+ `kernel-tools-4.14.281-144.502.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.3-1.amzn1.noarch`
+ `openldap-2.4.40-16.32.amzn1.x86_64`
+ `python27-2.7.18-2.142.amzn1.x86_64`
+ `python27-devel-2.7.18-2.142.amzn1.x86_64`
+ `python27-libs-2.7.18-2.142.amzn1.x86_64`
+ `rsyslog-5.8.10-9.29.amzn1.x86_64`
+ `tzdata-2022a-1.79.amzn1.noarch`
+ `tzdata-java-2022a-1.79.amzn1.noarch`
+ `vim-common-8.2.4877-1.1.amzn1.x86_64`
+ `vim-data-8.2.4877-1.1.amzn1.noarch`
+ `vim-enhanced-8.2.4877-1.1.amzn1.x86_64`
+ `vim-filesystem-8.2.4877-1.1.amzn1.noarch`
+ `vim-minimal-8.2.4877-1.1.amzn1.x86_64`
+ `xz-5.2.2-1.14.amzn1.x86_64`
+ `xz-libs-5.2.2-1.14.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20220503.0
此版本中没有重大更新。
更新后的软件包:
+ `rpm-4.11.3-40.80.amzn1.x86_64`
+ `rpm-build-libs-4.11.3-40.80.amzn1.x86_64`
+ `rpm-libs-4.11.3-40.80.amzn1.x86_64`
+ `rpm-python27-4.11.3-40.80.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20220419.0
此版本中没有重大更新。
更新后的软件包:
+ `amazon-ssm-agent-3.1.1188.0-1.amzn1.x86_64`
+ `glibc-2.17-324.189.amzn1.x86_64`
+ `glibc-common-2.17-324.189.amzn1.x86_64`
+ `glibc-devel-2.17-324.189.amzn1.x86_64`
+ `glibc-headers-2.17-324.189.amzn1.x86_64`
+ `kernel-4.14.275-142.503.amzn1.x86_64`
+ `kernel-devel-4.14.275-142.503.amzn1.x86_64`
+ `kernel-headers-4.14.275-142.503.amzn1.x86_64`
+ `kernel-tools-4.14.275-142.503.amzn1.x86_64`
+ `libblkid-2.23.2-63.36.amzn1.x86_64`
+ `libcap54-2.54-1.4.amzn1.x86_64`
+ `libgcrypt-1.5.3-12.20.amzn1.x86_64`
+ `libmount-2.23.2-63.36.amzn1.x86_64`
+ `libsmartcols-2.23.2-63.36.amzn1.x86_64`
+ `libuuid-2.23.2-63.36.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.1-16.amzn1.noarch`
+ `util-linux-2.23.2-63.36.amzn1.x86_64`
+ `vim-common-8.2.4621-1.1.amzn1.x86_64`
+ `vim-data-8.2.4621-1.1.amzn1.noarch`
+ `vim-enhanced-8.2.4621-1.1.amzn1.x86_64`
+ `vim-filesystem-8.2.4621-1.1.amzn1.noarch`
+ `vim-minimal-8.2.4621-1.1.amzn1.x86_64`
## 亚马逊 Linux 2018.03.20220315.0 版本 (03/15)
此版本中没有重大更新。
更新后的软件包:
+ `openssl-1.0.2k-16.156.amzn1.x86_64`
## 亚马逊 Linux 2018.03.20220310.0 版本 (03/10)
此版本中没有重大更新。
更新后的软件包:
+ `cyrus-sasl-2.1.23-13.17.amzn1.x86_64`
+ `cyrus-sasl-lib-2.1.23-13.17.amzn1.x86_64`
+ `cyrus-sasl-plain-2.1.23-13.17.amzn1.x86_64`
+ `expat-2.1.0-12.27.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.1-13.amzn1.noarch`
+ `tzdata-2021e-1.78.amzn1.noarch`
+ `tzdata-java-2021e-1.78.amzn1.noarch`
+ `vim-common-8.2.4314-1.1.amzn1.x86_64`
+ `vim-data-8.2.4314-1.1.amzn1.noarch`
+ `vim-enhanced-8.2.4314-1.1.amzn1.x86_64`
+ `vim-filesystem-8.2.4314-1.1.amzn1.noarch`
+ `vim-minimal-8.2.4314-1.1.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.202209.2 更新
此版本中没有重大更新。
更新后的软件包:
+ `kernel-4.14.268-139.500.amzn1.x86_64`
+ `kernel-devel-4.14.268-139.500.amzn1.x86_64`
+ `kernel-headers-4.14.268-139.500.amzn1.x86_64`
+ `kernel-tools-4.14.268-139.500.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.202209.0 更新
此版本中没有重大更新。
更新后的软件包:
+ `ca-certificates-2018.2.22-65.1.26.amzn1.noarch`
+ `openssh-7.4p1-22.77.amzn1.x86_64`
+ `openssh-clients-7.4p1-22.77.amzn1.x86_64`
+ `openssh-server-7.4p1-22.77.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.202207.0 更新
此版本中没有重大更新。
内核:
将内核重置为上游稳定版 4.14.262
+ CVEs 已修复:
+ CVE-2021-4083 [fget:在获得 fd 的引用后检查 fd 是否还存在]
+ CVE-2021-39685 [USB:小工具:检测太大的端点 0 个请求]
+ CVE-2021-28711 [xen/blkfront:在事件频道风暴中加强 blkfront]
+ CVE-2021-28712 [xen/netfront:强化网络前线抵御事件频道风暴]
+ CVE-2021-28713 [xen/console:强化 hvc\_xen 抵御事件频道风暴]
+ CVE-2021-28714 [xen/netback:修复 rx 队列失速检测]
+ CVE-2021-28715 [xen/netback:不要排队无限数量的包裹]
+ CVE-2021-44733 [tee:处理引用计数为 0 的 shm 的查找]
+ CVE-2021-4155 [xfs:像 fallocate 一样在 XFS\_IOC\_ \{ALLOC,FREE\} SP 中映射未写的方块]
+ CVE-2022-0492 [内核:cgroups v1 release\_agent 功能可能允许权限升级]
+ Amazon 的功能和向后移植:
+ ena:更新到 2.6.0
+ fuse:修复错误的 inode
+ fuse:修复 fuse\_iget () 中的实时锁定
+ lustre:更新至亚马逊 FSx LustreClient v2.10.8-10
+ cgroup-v1:需要能力才能设置 release\_agent
+ 审计:在 cmdline 上改进 “audit=1” 时的审计队列处理
+ ENA:更新至 v2.6.1
+ 其他修复:
+ 跟踪:修复附加触发器时的 pid 过滤问题
+ NFSv42: 除非 OP\_CLONE 操作失败,否则不要让 clone () 失败
+ ARM:socfpga:使用 CONFIG\_FORTIRY\_SOURCE 修复崩溃问题
+ ipv6:修复 ip6\_finish\_output () 中的错别字
+ 跟踪:创建事件时检查 pid 过滤
+ PCI:aardvark:启用训练后立即进行列车链接
+ PCI:aardvark:更新关于禁用链接训练的评论
更新后的软件包:
+ `kernel-4.14.262-135.489.amzn1.x86_64`
+ `kernel-devel-4.14.262-135.489.amzn1.x86_64`
+ `kernel-headers-4.14.262-135.489.amzn1.x86_64 `
+ `kernel-tools-4.14.262-135.489.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20220128.0 更新
此版本中没有重大更新。
更新后的软件包:
+ `vim-common-8.2.4006-1.2.amzn1.x86_64`
+ `vim-data-8.2.4006-1.2.amzn1.noarch`
+ `vim-enhanced-8.2.4006-1.2.amzn1.x86_64`
+ `vim-filesystem-8.2.4006-1.2.amzn1.noarch`
+ `vim-minimal-8.2.4006-1.2.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20211222.0
**注意**
现在, AL1 AMI 中不再默认提供已弃用的`aws-apitools-*`软件包(有关更多详细信息,请参阅[此论坛帖子](https://forums.aws.amazon.com/thread.jspa?threadID=323611))。根据[我们之前的公告](https://alas.aws.amazon.com/announcements/2021-001.html),它默认`log4j-cve-2021-44228-hotpatch`处于启用状态,现在是 AMI 的一部分,而不是发布时应用的更新。
更新后的软件包:
+ `aws-apitools-as-1.0.61.6-1.0.amzn1.noarch`
+ `aws-apitools-elb-1.0.35.0-1.0.amzn1.noarch`
+ `apitools-mon-1.0.20.0-1.0.amzn1.noarch`
+ `java-1.7.0-openjdk-1.7.0.261-2.6.22.1.83.amzn1.x86_64`
+ `java-1.7.0-openjdk-1.7.0.261-2.6.22.1.84.amzn1.x86_64`
+ `log4j-cve-2021-44228-hotpatch-1.1-12.amzn1.noarch`
## 亚马逊 Linux 2018.03.0.20211201.0
主要更新:
+ 已更新`nss`以修复 CVE-2021-43527。处理 DER 编码的 DSA 或 RSA-PSS 签名时,3.73 及以下版本的 NSS(网络安全服务)容易出现堆溢出。使用 NSS 处理在 CMS、S/MIME、PKCS \#7 或 PKCS \#12 中编码的签名的应用程序可能会受到影响。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用程序可能会受到影响,具体取决于它们配置 NSS 的方式。在验证 DER 编码的签名时,NSS 会将签名解码为固定大小的缓冲区,并将缓冲区传递到底层 PKCS \#11 模块。处理 DSA 和 RSA-PSS 签名时,未正确检查签名的长度。大于 16384 位的 DSA 和 RSA-PSS 签名将使缓冲区溢出。`VFYContextStr`有漏洞的代码位于其中`secvfy.c:vfy_CreateContext`。(CVE-2021-43527)
更新后的软件包:
+ `nss-3.53.1-7.87.amzn1.x86_64`
+ `nss-sysinit-3.53.1-7.87.amzn1.x86_64`
+ `nss-tools-3.53.1-7.87.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20211111.0
更新后的软件包:
+ `curl-7.61.1-12.100.amzn1.x86_64`
+ `kernel-4.14.252-131.483.amzn1.x86_64`
+ `kernel-devel-4.14.252-131.483.amzn1.x86_64`
+ `kernel-headers-4.14.252-131.483.amzn1.x86_64`
+ `kernel-tools-4.14.252-131.483.amzn1.x86_64`
+ `libcurl-7.61.1-12.100.amzn1.x86_64`
+ `openssl-1.0.2k-16.155.amzn1.x86_64`
内核更新:
将内核重置为上游稳定版 4.14.252
+ CVEs 已修复:
+ CVE-2021-37159 [usb:hso:修复 hso\_create\_net\_device 的错误处理代码]
+ CVE-2021-3744 [crypto:ccp-修复 ccp\_run\_aes\_gcm\_cmd () 中的资源泄漏]
+ CVE-2021-3764 [crypto:ccp-修复 ccp\_run\_aes\_gcm\_cmd () 中的资源泄漏]
+ CVE-2021-20317 [lib/timerqueue:依赖 rbtree 语义作为下一个计时器]
+ CVE-2021-20321 [ovl:修复 ovl\_rename () 中缺少的负数入口检查]
+ CVE-2021-41864 [bpf:修复 prealloc\_elems\_and\_freelist () 中的整数溢出问题]
+ Amazon 的功能和向后移植:
+ 为 arm64 启用 nitro-enclaves 驱动程序
+ 其他修复:
+ md:修复 md\_alloc 中锁单反转的问题
+ arm64:将 stack\_chk\_guard 标记为 ro\_after\_init
+ cpufreq:schedutil:使用 kobject release () 方法释放 sugov\_tunables
+ cpufreq:schedutil:在 kobject\_put () 释放内存之前销毁互斥体
+ ext4:修复 ext4\_dx\_readdir () 中潜在的无限循环
+ nfsd4:处理 NFSv4 READDIR 的 “dircount” 提示为零
+ net\_sched:修复 fifo\_set\_limit () 中的空解引用
+ perf/x86:事件初始化失败时重置销毁回调
+ virtio:在验证之前写回 F\_VERSION\_1
## 亚马逊 Linux 2018.03.0.20211015.1
更新后的软件包:
+ `kernel-4.14.248-129.473.amzn1.x86_64`
+ `kernel-devel-4.14.248-129.473.amzn1.x86_64`
+ `kernel-headers-4.14.248-129.473.amzn1.x86_64`
+ `kernel-tools-4.14.248-129.473.amzn1.x86_64`
+ `openssl-1.0.2k-16.154.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.248
+ CVEs 已修复:
+ CVE-2020-16119 [dccp:克隆 dccp 袜子时不要重复 ccid]
+ CVE-2021-40490 [ext4:修复在 xattrs 发生变化时向 inline\_data 文件写入竞赛]
+ CVE-2021-42252 [soc:aspeed:lpc-ctrl:修复 mmap 的边界检查]
+ 其他修复:
+ mm/kmemleak.c:让 cond\_resched () 速率限制更高效
+ mm/page\_alloc:加快 max\_order 的迭代速度
+ tcp:seq\_file:避免在 tcp\_seek\_last\_pos 期间跳过 sk
+ KVM:x86:调整 tsc\_offset 后,在返回客户机之前更新 vCPU 的 hv\_clock
+ cifs:修复 sess\_alloc\_buffer () 失败路径中的错误版本
+ rcu:修复 exp\_wq 服务员错过的唤醒问题
## 亚马逊 Linux 2018.03.0.20211001.0
主要更新:
+ 更新`ca-certificates`到版本`2018.2.22-65.1.24.amzn1`,该版本解决了即将到期的 IdentTrust DST 根 CA X3,该版本影响了一些 Let's Encrypt TLS 证书。证书即将到期的影响将是 OpenSSL 无法验证 Let's Encrypt 颁发的受影响的证书。受影响的客户在尝试连接某些网站或使用 Let's Encrypt 证书时可能会遇到连接或 APIs 证书错误。
更新后的软件包:
+ `ca-certificates-2018.2.22-65.1.24.amzn1.noarch`
+ `curl-7.61.1-12.99.amzn1.x86_64`
+ `glib2-2.36.3-5.22.amzn1.x86_64`
+ `glibc-2.17-324.188.amzn1.x86_64`
+ `glibc-common-2.17-324.188.amzn1.x86_64`
+ `libcurl-7.61.1-12.99.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20210721.0
更新后的软件包:
+ `amazon-ssm-agent-3.0.1124.0-1.amzn1.x86_64`
+ `bind-libs-9.8.2-0.68.rc1.87.amzn1.x86_64`
+ `bind-utils-9.8.2-0.68.rc1.87.amzn1.x86_64`
+ `curl-7.61.1-12.98.amzn1.x86_64`
+ `dhclient-4.1.1-53.P1.29.amzn1.x86_64`
+ `dhcp-common-4.1.1-53.P1.29.amzn1.x86_64`
+ `glibc-2.17-322.181.amzn1.x86_64`
+ `glibc-common-2.17-322.181.amzn1.x86_64`
+ `glibc-devel-2.17-322.181.amzn1.x86_64`
+ `glibc-headers-2.17-322.181.amzn1.x86_64`
+ `kernel-4.14.238-125.422.amzn1.x86_64`
+ `kernel-devel-4.14.238-125.422.amzn1.x86_64`
+ `kernel-headers-4.14.238-125.422.amzn1.x86_64`
+ `kernel-tools-4.14.238-125.422.amzn1.x86_64`
+ `libX11-1.6.0-2.2.14.amzn1.x86_64`
+ `libX11-common-1.6.0-2.2.14.amzn1.x86_64`
+ `libcurl-7.61.1-12.98.amzn1.x86_64`
+ `nspr-4.25.0-2.45.amzn1.x86_64`
+ `nss-3.53.1-7.85.amzn1.x86_64`
+ `nss-softokn-3.53.1-6.46.amzn1.x86_64`
+ `nss-softokn-freebl-3.53.1-6.46.amzn1.x86_64`
+ `nss-sysinit-3.53.1-7.85.amzn1.x86_64`
+ `nss-tools-3.53.1-7.85.amzn1.x86_64`
+ `nss-util-3.53.1-1.58.amzn1.x86_64`
+ `rpm-4.11.3-40.79.amzn1.x86_64`
+ `rpm-build-libs-4.11.3-40.79.amzn1.x86_64`
+ `rpm-libs-4.11.3-40.79.amzn1.x86_64`
+ `rpm-python27-4.11.3-40.79.amzn1.x86_64`
+ `tzdata-2021a-1.79.amzn1.noarch`
+ `tzdata-java-2021a-1.79.amzn1.noarch`
+ `update-motd-1.0.1-3.1.amzn1.noarch`
内核更新:
+ 将内核重置为上游稳定版 4.14.238
+ 亚马逊 EFA 驱动程序:更新至 v1.12.1 版本
+ CVEs 已修复:
+ CVE-2021-32399 [蓝牙:移除 HCI 控制器时消除潜在的争用条件]
+ CVE-2021-33034 [蓝牙:在 amp\_destroy 之前验证 AMP hci\_chan]
+ CVE-2020-26558 [蓝牙:SMP:如果远程和本地公钥相同,则失败]
+ CVE-2021-0129 [蓝牙:SMP:如果远程和本地公钥相同,则失败]
+ CVE-2020-24586 [mac80211:防止混合密钥和片段缓存攻击]
+ CVE-2020-24587 [mac80211:防止混合密钥和片段缓存攻击]
+ CVE-2020-24588 [cfg80211:缓解 A-MSDU 聚合攻击]
+ CVE-2020-26139 [mac80211:不要让 EAPOL 帧 accept/forward 无效]
+ CVE-2020-26147 [mac80211:确保所有片段都已加密]
+ CVE-2021-29650 [netfilter:x\_tables:使用正确的内存屏障。]
+ CVE-2021-3564 [蓝牙:修复错误的 flush\_work () 顺序]\\
+ CVE-2021-3573 [蓝牙:使用正确的锁定来防止 HDEV 对象的 UAF]
+ CVE-2021-3587 [nfc:修复连接失败后 llcp\_sock\_getname () 中空的 ptr 取消引用]
+ CVE-2021-34693 [可以:bcm:修复结构 bcm\_msg\_head 中的 infoleak]
+ CVE-2021-33624 [bpf:从旧的辅助数据中继承已 expanded/patched 见计数]
+ CVE-2021-33909 [seq\_file:不允许分配极大的序列缓冲区]
+ Amazon 的功能和向后移植:
+ arm64/kernel:不要为了避开 Cortex-A53 错误而禁止 ADRP \#843419
+ arm64/errata:在框架中添加 REVIDR 处理功能
+ arm64/kernel:在运行时启用 A53 erratum \#8434319 处理
+ arm64:修复对 “printk” 的未定义引用
+ arm64/kernel:重命名 module\_emit\_adrp\_veneer →module\_emit\_veneer\_for\_adrp
+ arm64/kernel:kaslr:将模块随机化范围缩小到 4 GB
+ 恢复 “arm64:acpi/pci:调用 \_DSM 是否保留固件 PCI 设置”
+ PCI/ACPI:评估 PCI 启动配置 \_DSM
+ PCI:如果我们保留固件配置,请不要自动重新分配
+ arm64:PCI:必要时允许资源重新分配
+ arm64:PCI:需要时保留固件配置
+ bpf:修复 subprog 验证器绕过 0 异常 div/mod
+ bpf,x86\_64:从 div/mod 中移除过时的异常处理
+ bpf,arm64:从 div/mod 中移除过时的异常处理
+ bpf,s390x:从 div/mod 中移除过时的异常处理
+ bpf,ppc64:从 div/mod 中删除过时的异常处理
+ bpf,sparc64:从 div/mod 中移除过时的异常处理
+ bpf,mips64:从 div/mod 中移除过时的异常处理
+ bpf,mips64:用 k 删除不需要的零校验 div/mod
+ bpf,arm:从 div/mod 中移除过时的异常处理
+ bpf:修复 div/mod 上的 32 位 src 寄存器截断
+ bpf:从旧的辅助数据中继承已 expanded/patched 见计数
+ bpf:不要将 insn 标记为在推测路径验证下所见
+ bpf:修复在猜测错误的分支上的泄漏问题
+ seq\_file:不允许分配极大的序列缓冲区
## 亚马逊 Linux 2018.03.0.20210521.1
更新后的软件包:
+ `kernel-4.14.232-123.381.amzn1.x86_64`
+ `kernel-devel-4.14.232-123.381.amzn1.x86_64`
+ `kernel-headers-4.14.232-123.381.amzn1.x86_64`
+ `kernel-tools-4.14.232-123.381.amzn1.x86_64`
+ `nvidia-418.197.02-2018.03.117.amzn1.x86_64`
+ `nvidia-dkms-418.197.02-2018.03.117.amzn1.x86_64`
+ `ruby20-2.0.0.648-2.40.amzn1.x86_64`
+ `ruby20-irb-2.0.0.648-2.40.amzn1.noarch`
+ `ruby20-libs-2.0.0.648-2.40.amzn1.x86_64`
+ `rubygem20-bigdecimal-1.2.0-2.40.amzn1.x86_64`
+ `rubygem20-psych-2.0.0-2.40.amzn1.x86_64`
+ `rubygems20-2.0.14.1-2.40.amzn1.noarch`
+ `xorg-x11-server-Xorg-1.17.4-18.44.amzn1.x86_64`
+ `xorg-x11-server-common-1.17.4-18.44.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.232
+ lustre:更新至亚马逊 FSx LustreClient v2.10.8-7
+ CVEs 已修复:
+ CVE-2020-29374 [gup:记录并解决了 “无论哪种方式 COW 都可能中断” 的问题]
+ CVE-2021-23133 [net/sctp:修复 sctp\_destroy\_sock 中的争用条件]
+ Amazon 的功能和向后移植:
+ bpf:修复向后移植后修复自测
+ bpf,selftest:修复一些针对非特权的 test\_verifier 案例
+ bpf:移动 off\_reg 进入 sanitize\_ptr\_alu
+ bpf:确保 off\_reg 对所有类型都没有混合签名边界
+ bpf:将 ptr\_limit 重做为 alu\_limit 然后添加常见的错误路径
+ bpf:改进向用户发送的验证器错误消息
+ bpf: 重构并简化界限检查助手
+ bpf:将 sanitize\_val\_alu 移出 op 开关
+ bpf: 收紧推测指针算术掩码
+ bpf:更新自测以反映新的错误状态
+ bpf:不允许 root 用户破坏有效的指针
+ bpf/verifier:不允许使用指针减法
+ selftests/bpf:修复 test\_align
+ selftests/bpf:让 “可疑指针算术” 测试有用
+ bpf:修复负的 dst 寄存器上的屏蔽否定逻辑
+ bpf:修复猜测中未初始化的 bpf 堆栈的泄漏问题
+ 恢复 “net/sctp:修复 sctp\_destroy\_sock 中的竞争条件”
+ sctp:延迟 auto\_asconf 初始化直到绑定第一个地址
+ cifs:修复 smb2\_reconnect 中的恐慌问题
+ 其他修复:
+ arm64:修复 load\_unaligned\_zeropad () 中的内联 asm
+ ext4:更正 ext4\_rename () 中的错误标签
+ x86/crash:修复 crash\_setup\_memmap\_entris () 访问权限 out-of-bounds
## 亚马逊 Linux 2018.03.0.20210408.0
主要更新:
+ iptables 已从 1.4.18 更新至 1.4.21
更新后的软件包:
+ `amazon-ssm-agent-3.0.529.0-1.amzn1.x86_64`
+ `iptables-1.4.21-34.33.amzn1.x86_64`
+ `kernel-4.14.225-121.362.amzn1.x86_64`
+ `kernel-devel-4.14.225-121.362.amzn1.x86_64`
+ `kernel-headers-4.14.225-121.362.amzn1.x86_64`
+ `kernel-tools-4.14.225-121.362.amzn1.x86_64`
+ `libmnl-1.0.3-4.2.amzn1.x86_64`
+ `libnetfilter_conntrack-1.0.4-1.7.amzn1.x86_64`
+ `libnfnetlink-1.0.1-1.3.amzn1.x86_64`
+ `openssh-7.4p1-21.75.amzn1.x86_64`
+ `openssh-clients-7.4p1-21.75.amzn1.x86_64`
+ `openssh-server-7.4p1-21.75.amzn1.x86_64`
+ `python27-setuptools-36.2.7-1.35.amzn1.noarch`
+ `screen-4.0.3-19.7.amzn1.x86_64`
## 亚马逊 Linux 2018.03.0.20210319.0
没有重大更新。在 Main AL1 tance Support 中提醒。
更新后的软件包:
+ `bind-libs-9.8.2-0.68.rc1.86.amzn1.x86_64`
+ `bind-utils-9.8.2-0.68.rc1.86.amzn1.x86_64`
+ `cloud-init-0.7.6-43.23.amzn1.noarch`
+ `ec2-net-utils-0.7-43.5.amzn1.noarch`
+ `ec2-utils-0.7-43.5.amzn1.noarch`
+ `grub-0.97-94.32.amzn1.x86_64`
+ `kernel-4.14.225-121.357.amzn1.x86_64`
+ `kernel-devel-4.14.225-121.357.amzn1.x86_64`
+ `kernel-headers-4.14.225-121.357.amzn1.x86_64`
+ `kernel-tools-4.14.225-121.357.amzn1.x86_64`
+ `python27-pyliblzma-0.5.3-11.7.amzn1.x86_64`
+ `yum-3.4.3-150.72.amzn1.noarch`
内核更新:
+ 将内核重置为上游稳定版 4.14.225
+ CVEs 已修复:
+ CVE-2021-26930 [xen-blkback:修复 xen\_blkbk\_map () 中的错误处理 ()]
+ CVE-2021-26931 [xen-blkback:不要 “处理” 错误 BUG ()]
+ CVE-2021-26932 [xen/x86:不要提早保释 clear\_foreign\_p2m\_mapping ()]
+ CVE-2021-27363 [scsi:iSCSI:将会话和用户名限制为管理员权限]
+ CVE-2021-27364 [scsi:iSCSI:将会话和用户名限制为管理员权限]
+ CVE-2021-27365 [scsi:isci:确保 sysfs 属性仅限于 PAGE\_SIZE]
+ CVE-2021-28038 [xen/gntTab:按插槽处理 p2m 更新错误]
+ Amazon 的功能和向后移植:
+ arm64:kaslr:重构早期初始化命令行解析
+ arm64:从引导加载程序扩展内核命令行
+ arm64:导出 acpi\_psci\_use\_hvc () 符号
+ hwrng: 添加 Gravition RNG 驱动程序
+ iommu/vt-d:跳过在古怪的 gfx 专用 iommu 上禁用 TE
+ x86/x2apic:将 set\_x2apic\_phys\_mode () 标记为初始化
+ x86/apic:Deinline x2apic 函数
+ x86/apic:在不进行中断重映射的情况下修复 x2apic 的启用
+ x86/msi:只对 DMAR 单元使用高位的 MSI 地址
+ x86/io\_apic:激活时重新评估向量配置 ()
+ x86/ioapic:处理 RTE 中的扩展目的地 ID 字段
+ x86/apic:在 MSI 中支持 15 位 APIC ID(如果有)
+ x86/kvm:保留 KVM\_FEATURE\_MSI\_EXT\_DEST\_ID
+ x86/kvm:检测到 KVM\_FEATURE\_MSI\_EXT\_DEST\_ID 时启用 15 位扩展
+ arm64:HWCAP:添加对 AT\_ 的支持 HWCAP2
+ arm64:HWCAP:封装 elf\_hwcap
+ arm64:为 .5-RNG 实现 archrandom.h ARMv8
+ mm:memcontrol:修复 memcg 和系统统计信息中的 NR\_WRITEBACK 泄漏问题
+ mm:memcg:唤醒民意调查员时确保 memory.events 是最新的
+ mem\_cgroup:确保 moving\_account、move\_lock\_task 和 stat\_cpu 位于同一缓存行中
+ mm:修复 oom\_kill 事件处理问题
+ mm:writeback:使用精确的 memcg 脏计数
+ 其他修复:
+ net\_sched:拒绝 qdisc\_get\_rtab () 中愚蠢的 cell\_log
+ x86:always\_inline \{rd,wr\} msr ()
+ net: lapb:在发送数据包之前复制 skb
+ ipv4:修复路由查找和失效之间的争用条件
+ mm:hugetlb:修复隔离和释放页面之间的竞争
+ mm:hugetlb:从 page\_huge\_active 中删除 VM\_BUG\_ON\_PAGE
+ mm:thp:修复 shmem 上的 MADV\_REMOVE 死锁 THP
+ x86/apic:为非序列化添加额外的序列化 MSRs
+ iommu/vt-d:缓存模式开启时不要使用刷新队列
+ fgraph:创建任务时初始化 tracing\_graph\_pause
+ ARM:确保信号页包含定义的内容
+ kvm:直接检查 tlbs\_dirty
+ ext4:修复潜在的 htree 索引校验和损坏
+ mm/memory.c:修复潜在的 pte\_unmap\_unlock pte 错误
+ mm/hugetlb:修复 hugetlb\_register\_node () 错误路径中可能出现的双重释放
+ arm64:在 primary\_switch 中使 TLB 失效后添加缺失的 ISB
+ mm/rmap:修复未映射的 pte 上潜在的 pte\_unmap
+ x86/reboot:如果支持 VMX,则强制所有 CPU 退出 VMX 根目录
+ mm:hugetlb:修复释放和解散页面之间的竞争
+ arm64 模块:将 plt\* 部分地址设置为 0x0
+ xfs:修复 xfs\_setattr\_size () 中的断言失败
## 亚马逊 Linux 2018.03.0.20210224.0
更新后的软件包:
+ `kernel-4.14.219-119.340.amzn1.x86_64`
+ `kernel-devel-4.14.219-119.340.amzn1.x86_64`
+ `kernel-headers-4.14.219-119.340.amzn1.x86_64`
+ `kernel-tools-4.14.219-119.340.amzn1.x86_64`
+ `openssl-1.0.2k-16.153.amzn1.x86_64`
+ `python27-2.7.18-2.141.amzn1.x86_64`
+ `python27-devel-2.7.18-2.141.amzn1.x86_64`
+ `python27-libs-2.7.18-2.141.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.219
+ CVEs 已修复:
+ CVE-2020-28374 [scsi:目标:修复 XCOPY NAA 标识符查询]
+ CVE-2021-3178 [nfsd4:readdirplus 不应该返回导出的父级]
+ CVE-2020-27825 [跟踪:修复 trace\_open 中的竞赛和缓冲区调整大小调用]
+ CVE-2021-3347 [futex:确保来自 futex\_lock\_pi () 的返回值正确]
+ CVE-2021-3348 [nbd:在我们添加连接时冻结队列]
+ 向后移植的修复程序:
+ NFS:当我们在空页面缓存中寻找 cookie 时,请使用未缓存的读取器
+ 其他修复:
+ virtio\_net:修复对 cpus\_read\_lock () 的递归调用
+ net-sysfs:存储 xps\_cpus 时使用 rtnl 锁
+ net:以太网:ti:cpts:修复未注册 ptp\_clock 时的 ethtool 输出
+ vhost\_net:sendmsg 失败时错误地修复 ubuf refcount
+ net-sysfs:访问 xps\_cpus\_map 和 num\_tc 时使用 rtnl 锁
+ crypto:ecdh-避免 ecdh\_set\_secret () 中的缓冲区溢出
+ x86/mm:修复 pmd ptlock 的泄漏问题
+ KVM:x86:修复 UBSAN 报告的越界偏移问题
+ net: ip:始终对经过碎片整理的 IP 数据包进行碎片整理
+ x86/resctrl:使用 IPI 而不是 task\_work\_add () 来更新 PQR\_ASSOC MSR
+ x86/resctrl:不要将任务移到同一个资源组
+ cpufreq:powernow-k8:通过政策而不是使用 cpufreq\_cpu\_get ()
+ iommu/intel:修复 intel\_irq\_remapping\_alloc 中的内存泄漏
+ KVM:arm64:没有 PMU 可用时不要访问 PMCR\_EL0
+ mm/hugetlb:修复可能缺少的大页面大小信息
+ dm 快照:在提交元数据之前刷新合并的数据
+ ext4:修复了使用 RENAME\_WHITEOUT 进行重命名的错误
+ NFS4: 已修复 trace\_event\_raw\_event use-after-free \_nfs4\_set\_lock
+ ext4:修复设置密码盐时超级块校验和失败的问题
+ mm,slub:如果 acquire\_slab () 失败,请考虑部分列表的其余部分
+ rxrpc:修复 rxrpc\_read () 中对不支持的令牌类型的处理
+ tipc:修复 tipc\_link\_xmit () 中的空解引用
+ net:使用 skb\_list\_del\_init () 从 RX 子列表中删除
+ net:为滑板段行走引入 skb\_list\_walk\_safe
+ dm:避免在 dm\_get\_dev\_t () 中查找文件系统
+ skbuff:在 \_\_netdev\_alloc\_skb () 中也带有 kmalloc () 的小 skbuff
+ 跟踪:修复 trace\_open 中的竞赛和缓冲区调整大小调用
+ x86/boot/compressed:禁用重新定位松
+ nbd:在我们添加连接时冻结队列
+ KVM: x86:正确获取 smi 待处理状态
+ x86/entry/64/compat:将 r8-r11 保留在 int \$0x80
+ x86/entry/64/compat:修复 x86/entry/64/compat:在 int \$0x80 中保留 r8-r11
## 亚马逊 Linux 2018.03.0.20210126.0
更新后的软件包:
+ `bind-libs-9.8.2-0.68.rc1.85.amzn1.x86_64`
+ `bind-utils-9.8.2-0.68.rc1.85.amzn1.x86_64`
+ `ca-certificates-2018.2.22-65.1.23.amzn1.noarch`
+ `e2fsprogs-1.43.5-2.44.amzn1.x86_64`
+ `e2fsprogs-libs-1.43.5-2.44.amzn1.x86_64`
+ `ec2-net-utils-0.7-2.4.amzn1.noarch`
+ `ec2-utils-0.7-2.4.amzn1.noarch`
+ `expat-2.1.0-12.24.amzn1.x86_64`
+ `gnupg2-2.0.28-2.34.amzn1.x86_64`
+ `kernel-4.14.214-118.339.amzn1.x86_64`
+ `kernel-devel-4.14.214-118.339.amzn1.x86_64`
+ `kernel-headers-4.14.214-118.339.amzn1.x86_64`
+ `kernel-tools-4.14.214-118.339.amzn1.x86_64`
+ `libblkid-2.23.2-63.33.amzn1.x86_64`
+ `libcom_err-1.43.5-2.44.amzn1.x86_64`
+ `libepoxy-1.2-3.3.amzn1.x86_64`
+ `libevdev-1.4.5-2.4.amzn1.x86_64`
+ `libmount-2.23.2-63.33.amzn1.x86_64`
+ `libsmartcols-2.23.2-63.33.amzn1.x86_64`
+ `libss-1.43.5-2.44.amzn1.x86_64`
+ `libuuid-2.23.2-63.33.amzn1.x86_64`
+ `libX11-1.6.0-2.2.13.amzn1.x86_64`
+ `libX11-common-1.6.0-2.2.13.amzn1.x86_64`
+ `libxslt-1.1.28-6.15.amzn1.x86_64`
+ `mtdev-1.1.2-5.4.amzn1.x86_64`
+ `python27-pip-9.0.3-1.28.amzn1.noarch`
+ `python27-setuptools-36.2.7-1.34.amzn1.noarch`
+ `ruby20-2.0.0.648-2.39.amzn1.x86_64`
+ `ruby20-irb-2.0.0.648-2.39.amzn1.noarch`
+ `ruby20-libs-2.0.0.648-2.39.amzn1.x86_64`
+ `rubygem20-bigdecimal-1.2.0-2.39.amzn1.x86_64`
+ `rubygem20-psych-2.0.0-2.39.amzn1.x86_64`
+ `rubygems20-2.0.14.1-2.39.amzn1.noarch`
+ `sudo-1.8.23-9.56.amzn1.x86_64`
+ `system-release-2018.03-0.2.noarch`
+ `tzdata-2020d-2.76.amzn1.noarch`
+ `tzdata-java-2020d-2.76.amzn1.noarch`
+ `util-linux-2.23.2-63.33.amzn1.x86_64`
+ `vim-common-8.0.0503-1.47.amzn1.x86_64`
+ `vim-enhanced-8.0.0503-1.47.amzn1.x86_64`
+ `vim-filesystem-8.0.0503-1.47.amzn1.x86_64`
+ `vim-minimal-8.0.0503-1.47.amzn1.x86_64`
+ `xorg-x11-drv-evdev-2.9.2-1.7.amzn1.x86_64`
+ `xorg-x11-drv-vesa-2.3.4-1.8.amzn1.x86_64`
+ `xorg-x11-drv-void-1.4.1-1.8.amzn1.x86_64`
+ `xorg-x11-server-common-1.17.4-18.43.amzn1.x86_64`
+ `xorg-x11-server-Xorg-1.17.4-18.43.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.214
+ CVEs 已修复:
+ CVE-2019-19813 [btrfs:inode:验证 inode 模式以避免空指针取消引用]
+ CVE-2019-19816 [btrfs:inode:验证 inode 模式以避免空指针取消引用]
+ CVE-2020-29661 [tty:修复 tiocspgrp () 中的->pgrp 锁定]
+ CVE-2020-29660 [tty:修复->会话锁定]
+ CVE-2020-27830 [speakup:拒绝在 seakup 之外设置 seakup 线路纪律]
+ CVE-2020-27815 [jfs:修复数组索引边界检查问题] dbAdjTree
+ CVE-2020-29568 [xen/xenbus:允许手表在排队之前丢弃事件]
+ CVE-2020-29569 [xen-blkback:在 kthread\_stop () 之后将 ring->xenblkd 设置为空]
+ 向后移植的修复程序:
+ SMB3: 添加对获取和设置的支持 SACLs
+ 添加 SMB 2 对获取和设置的支持 SACLs
+ 其他修复:
+ mm:memcontrol:修复内存中过于复杂的问题。stat 报告
+ PCI:修复 pci\_slot\_release () 空指针取消引用
+ ext4:修复 fs 冻结和 EA 索引节点的死锁
+ ext4:修复 ext4\_free\_data 的内存泄漏问题
+ 时间表/截止日期:修复 sched\_dl\_global\_validate ()
+ cifs:修复 cifs\_echo\_request () use-after-free 中的潜力
+ btrfs:修复 btrfs\_get\_extent 中的返回值混淆问题
+ btrfs:修复挂载时读取 qgroup 配置时的 lockdep splat
## 亚马逊 Linux 2018.03.0.20201209.1
主要更新:`curl``openssl`、和的安全更新`python27`。
更新的软件包:
+ `curl-7.61.1-12.95.amzn1.x86_64`
+ `kernel-4.14.203-116.332.amzn1.x86_64`
+ `kernel-tools-4.14.203-116.332.amzn1.x86_64`
+ `libcurl-7.61.1-12.95.amzn1.x86_64`
+ `openssl-1.0.2k-16.152.amzn1.x86_64`
+ `python27-2.7.18-2.140.amzn1.x86_64`
+ `python27-devel-2.7.18-2.140.amzn1.x86_64`
+ `python27-libs-2.7.18-2.140.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.203
+ CVEs 已修复:
+ CVE-2020-12352 [蓝牙:A2MP:修复无法初始化所有成员的问题]
+ CVE-2020-12351 [蓝牙:L2CAP:修复在非基于插槽的频道上调用 sk\_filter 的问题]
+ CVE-2020-24490 [蓝牙:修复 store\_pending\_adv\_report 中的内核糟糕]
+ CVE-2020-25211 [netfilter:ctnetlink:为 l3/l4 protonum 添加范围检查]
+ CVE-2020-0423 [活页夹:发布待办事项列表时修复 UAF]
+ CVE-2020-14386 [net/packet:修复 tpacket\_rcv 中的溢出问题]
+ 其他修复:
+ 在内存回收的情况下写回期间出现软锁定问题
+ 修复 CIFS 尾随字符
## 亚马逊 Linux 2018.03.0.20201028.0
更新的软件包:
+ `amazon-ssm-agent`: `2.3.1319.0-1` 到 `3.0.161.0-1.`
+ `aws-cfn-bootstrap`: `1.4-32.23` 到 `1.4-34.24.`
+ `kernel`: `4.14.193-113.317` 到 `4.14.200-116.320.`
+ `kernel-devel`: `4.14.193-113.317` 到 `4.14.200-116.320.`
+ `kernel-headers`: `4.14.193-113.317` 到 `4.14.200-116.320.`
+ `kernel-tools`: `4.14.193-113.317` 到 `4.14.200-116.320.`
+ `libxml2`: `2.9.1-6.4.40` 到 `2.9.1-6.4.41.`
+ `libxml2-python27`: `2.9.1-6.4.40` 到 `2.9.1-6.4.41.`
+ `ntp`: `4.2.8p12-1.41` 到 `4.2.8p15-1.44.`
+ `ntpdate`: `4.2.8p12-1.41` 到 `4.2.8p15-1.44.`
+ `rpm`: `4.11.3-40.77` 到 `4.11.3-40.78.`
+ `rpm-build-libs`: `4.11.3-40.77` 到 `4.11.3-40.78.`
+ `rpm-libs`: `4.11.3-40.77` 到 `4.11.3-40.78.`
+ `rpm-python27`: `4.11.3-40.77` 到 `4.11.3-40.78.`
+ `tzdata`: `2019c-1.73` 到 `2020a-1.75.`
+ `tzdata-java`: t `2019c-1.73` o t `2020a-1.75.tzdata-2019c.173.amzn1.noarch` o `tzdata-2020a-1.75.amzn1.noarch`
内核更新:
+ 将内核重置为上游稳定版 4.14.200
+ CVEs 已修复:
+ CVE-2019-19448 [btrfs:只有在 try\_merge\_free\_space 中没有 right\_info 时才搜索 left\_info]
+ CVE-2020-25212 [nfs:修复 getxattr 内核崩溃和内存溢出问题]
+ CVE-2020-14331 [vgacon:修复了回滚处理中缺少检查的问题]
+ CVE-2020-14314 [ext4:修复 do\_split () 中潜在的负数组索引]
+ CVE-2020-25285 [mm/hugetlb:修复 hugetlb sysctl 处理程序之间的竞争]
+ CVE-2020-25641 [block:允许 for\_each\_bvec 支持零 len bvec]
+ CVE-2020-25211 [netfilter:ctnetlink:为 l3/l4 protonum 添加范围检查]
+ CVE-2020-12888 [vfio-pci:使 mmap 失效并阻止 MMIO 访问禁用的内存]
+ CVE-2020-25284 [rbd:需要全局 CAP\_SYS\_ADMIN 才能进行映射和取消映射]
+ CVE-2020-14390 [fbcon:移除软回滚代码]
+ CVE-2020-25645 [geneve:在日内瓦的路线查找中添加传输端口]
+ 其他修复:
+ nfs:优化 readdir 缓存页面失效
+ nfs:修复安全标签长度未被重置的问题
## 亚马逊 Linux 2018.03.0.20200918.0
**注意**
主要更新:
已移除 `aws-api-tools-ec2-1.7.3.0-2.1.amzn1.noarch`
更新的软件包:
+ `tzdata-2019c.173.amzn1.noarch` 到 `tzdata-2020a-1.75.amzn1.noarch`
+ `tzdata-java-2019c-1.73.amzn1.noarch` 到 `tzdata-java-2020a-1.75.amzn1.noarch`
## 亚马逊 Linux 2018.03.0.20200904.0
主要更新:更新了内核AWS CLI、ruby 和 python,以及针对内核、ruby 和 python 的 CVE 修复。还包含对文件描述符 ulimit 大于 1024 的系统上的 rpm 使用率的修复程序。
更新的软件包:
+ `aws-cli-1.18.107-1.55.amzn1.noarch`
+ `kernel-4.14.193-113.317.amzn1.x86_64`
+ `kernel-devel-4.14.193-113.317.amzn1.x86_64`
+ `kernel-headers-4.14.193-113.317.amzn1.x86_64`
+ `kernel-tools-4.14.193-113.317.amzn1.x86_64`
+ `libxml2-2.9.1-6.4.40.amzn1.x86_64`
+ `libxml2-python27-2.9.1-6.4.40.amzn1.x86_64`
+ `python27-2.7.18-2.139.amzn1.x86_64`
+ `python27-botocore-1.17.31-1.72.amzn1.noarch`
+ `python27-devel-2.7.18-2.139.amzn1.x86_64`
+ `python27-libs-2.7.18-2.139.amzn1.x86_64`
+ `python27-rsa-3.4.1-1.9.amzn1.noarch`
+ `rpm-4.11.3-40.77.amzn1.x86_64`
+ `rpm-build-libs-4.11.3-40.77.amzn1.x86_64`
+ `rpm-libs-4.11.3-40.77.amzn1.x86_64`
+ `rpm-python27-4.11.3-40.77.amzn1.x86_64`
+ `ruby20-2.0.0.648-1.33.amzn1.x86_64`
+ `ruby20-irb-2.0.0.648-1.33.amzn1.noarch`
+ `ruby20-libs-2.0.0.648-1.33.amzn1.x86_64`
+ `rubygem20-bigdecimal-1.2.0-1.33.amzn1.x86_64`
+ `rubygem20-json-1.8.3-1.53.amzn1.x86_64`
+ `rubygem20-psych-2.0.0-1.33.amzn1.x86_64`
+ `rubygems20-2.0.14.1-1.33.amzn1.noarch`
内核更新:
+ 将内核变为上游稳定版 4.14.193
+ 已将 EFA 更新至版本 1.9.0g
+ CVEs 已修复
+ CVE-2020-16166 [random32:更新中断和活动时的网络随机状态]
+ CVE-2020-14386 [net/packet:修复 tpacket\_rcv 中的溢出问题]
## 亚马逊 Linux 2018.03.0.20200716.0
**注意**
主要更新:
[此 AMI 版本附带更新后的`aws-apitools-ec2`程序包,根据此处发布的弃用计划,该包会显示警告](https://forums.aws.amazon.com/ann.jspa?annID=7804)
更新后的软件包:
+ `amazon-ssm-agent-2.3.1319.0-1.amzn1.x86_64`
+ `aws-apitools-ec2-1.7.3.0-2.1.amzn1.noarch`
+ `bash-4.2.46-34.43.amzn1.x86_64`
+ `initscripts-9.03.58-1.40.amzn1.x86_64`
+ `kernel-4.14.186-110.268.amzn1.x86_64`
+ `kernel-tools-4.14.186-110.268.amzn1.x86_64`
+ `ibcgroup-0.40.rc1-5.15.amzn1.x86_64`
+ `microcode_ctl-2.1-47.39.amzn1.x86_64`
内核更新:
+ 将内核重置为上游稳定版 4.14.186
+ 将 ENA 模块更新到版本 2.2.10
+ CVEs 已修复
+ CVE-2018-20669 [让 'user\_access\_begin () '执行 'access\_ok ()']
+ CVE-2019-19462 [kernel/relay.c:handle alloc\_percpu 在 relay\_open 中返回空值]
+ CVE-2020-0543 [在微码中寻址]
+ CVE-2020-10732 [fs/binfmt\_elf.c:在 fill\_thread\_core\_info () 中分配初始化的内存 ()]
+ CVE-2020-10757 [mm:修复 mremap 不考虑巨大的 pmd 开发地图]
+ CVE-2020-10766 [x86/推测:为每项任务的间接分支推测控制做好准备]
+ CVE-2020-10767 [x86/猜测:避免基于 STIBP 和增强型 IBRS 强制禁用 IBPB]
+ CVE-2020-10768 [x86/推测:PR\_SPEC\_FORCE\_DISABLE 对间接分支禁用强制执行]
+ CVE-2020-12771 [bcache:修复 btree\_gc\_coalesce 中潜在的死锁问题]
+ CVE-2020-12888 [vfio-pci:使 mmap 失效并阻止 MMIO 访问禁用的内存]
+ 修复交换文件中不允许出现漏洞的问题 [iomap:不允许交换文件中出现漏洞]
+ 修复填充缓存信息的问题 [ACPI/PPTT:处理架构上未知的缓存类型]
+ 修复 vfio/pci [vfio/pci:修复 alloc\_perm\_bits ()] 中的内存泄漏
+ 修复 btrfs 中的错误处理 [btrfs:修复提交直接个人简历时的错误处理] I/O
+ 修复 ext4 中导致空指针取消引用的竞赛 [ext4:修复 ext4\_sync\_parent () 和重命名 () 之间的竞争]
+ 修复 ext4 中的空指针取消引用 [ext4:修复错误指针取消引用]
+ 修复 slub 分配器中的内存泄漏 [mm/slab:修复 sysfs\_slab\_add ()] 中的内存泄漏
## 亚马逊 Linux 2018.03.0.20200602.1
主要更新:
+ Python 2.7 已更新到最新的上游版本——2.7.18。
+ 根据我们的亚马逊 Linux 1 (AL1) 支持时间表,亚马逊 Linux 将继续为 Python 2.7 提供安全修复。请参阅 AL1 FAQs。
+ ca 证书修复 Sectigo 中间 CA 过期
+ 有关更多详细信息,请参阅[此](https://forums.aws.amazon.com/thread.jspa?threadID=322837&tstart=0)论坛话题。
+ 新内核修复了五个 CVEs (见下文)
更新的软件包:
+ `aws-cfn-bootstrap-1.4-32.23.amzn1`
+ `bind-libs-9.8.2-0.68.rc1.64.amzn1`
+ `bind-utils-9.8.2-0.68.rc1.64.amzn1`
+ `ca-certificates-2018.2.22-65.1.22.amzn1`
+ `kernel-4.14.181-108.257.amzn1`
+ `kernel-devel-4.14.181-108.257.amzn1`
+ `kernel-headers-4.14.181-108.257.amzn1`
+ `kernel-tools-4.14.181-108.257.amzn1`
+ `krb5-libs-1.15.1-46.48.amzn1`
+ `python27-2.7.18-1.137.amzn1`
+ `python27-devel-2.7.18-1.137.amzn1`
+ `python27-libs-2.7.18-1.137.amzn1`
内核更新:
+ 将内核改为上游稳定版 4.14.181
+ 已将 ENA 模块更新至版本 2.2.8
+ CVEs 已修复:
+ CVE-2019-19319 [ext4:使用 block\_validity 保护日志 inode 的区块]
+ CVE-2020-10751 [selinux:正确处理 selinux\_netlink\_send () 中的多条消息]
+ CVE-2020-1749 [net:ipv6\_stub:使用 ip6\_dst\_lookup\_flow 而不是 ip6\_dst\_lookup]
+ CVE-2019-19768 [blktrace:使用 RCU 保护 q->blk\_trace]
+ CVE-2020-12770 [scsi:sg:在 sg\_write 中添加 sg\_remove\_request]
+ 修复了 xen-blkfront 中的死锁情况 [xen-blkfront:延迟刷新直到队列锁掉落]
+ 修复 ORC 展开问题 [x86/unwind/orc:修复非活动任务的 unwind\_get\_return\_address\_ptr ()]
## 2018.03.0.20200514 更新
主要更新:
+ cloud-init 现在支持 IMDSv2
+ 内核包含对重要唉: https://alas.aws.amazon.com/ALAS-2020-1366.html 的修复程序
+ Java 唉:/ALAS-2020-1365.html https://alas.aws.amazon.com
+ AWS CLI已升级到 1.18.13-1.54
更新的软件包:
+ `aws-cli-1.18.13-1.54.amzn1`
+ `cloud-init-0.7.6-2.20.amzn1`
+ `ec2-net-utils-0.7-1.3.amzn1`
+ `ec2-utils-0.7-1.3.amzn1`
+ `expat-2.1.0-11.22.amzn1`
+ `java-1.7.0-openjdk-1.7.0.261-2.6.22.1.83.amzn1`
+ `kernel-4.14.177-107.254`
+ `libicu-50.2-4.0`
+ `libtirpc-0.2.4-0.16.15`
+ `python27-botocore-1.15.13-1.71`
+ `python27-colorama-0.4.1-4.8`
+ `yum-3.4.3-150.71`
内核更新:
+ 将内核改为上游稳定版 4.14.177
+ CVE-2020-10711 [netlabel:应对 NULL catmap]
+ CVE-2020-12826 [将 exec\_id 扩展到 64 位]
+ CVE-2020-12657 [block,bfq:bfq\_idle\_slice\_timer\_body use-after-free 中已修复]
+ CVE-2020-11565 [mm:mempolicy:MPOL\_PREFERRED 至少需要一个 nodeid]
+ CVE-2020-8648 [vt:选择,关闭 sel\_buffer 竞赛]
+ CVE-2020-1094 [虚拟主机:查看 docket sk\_family 而不是致电 getname]
+ CVE-2020-8649 [vgacon:在 vgacon\_invert\_region 中修复 UAF]
+ CVE-2020-8647 [vgacon:在 vgacon\_invert\_region 中修复 UAF]
+ CVE-2020-8648 [vt:选择,关闭 sel\_buffer 竞赛]
+ 除以零调度程序修复
## 更新了内核
亚马逊 Linux 1 (AL1) 版本 2017.09 和亚马逊 Linux 1 (AL1) 版本 2018.03 之间的主要区别在于包含了更新的内核——Linux 内核 4.14。
2018 年 11 月 19 日更新:ENA 驱动程序更新:ENA 驱动程序更新,引入了低延迟队列 (LLQ),以改善平均延迟和尾部延迟。此更新还增加了对接收校验和卸载的支持,从而提高了 CPU 利用率。
## 使用 Amazon S EC2 ystems Manager 补丁管理器自动进行大规模安全补丁
Amazon EC2 Systems Manager 补丁管理器支持亚马逊 Linux 1 (AL1)。这样可以自动修补 Amazon Linux 1 () Amaz AL1 on 实例的队列。 EC2 它可以扫描实例中是否缺少补丁,并自动安装所有缺失的补丁。
## 已弃用的软件包
+ `gcc44`
+ `java-1.6.0-openjdk`
+ `mysql51`
+ `openssl097a`
+ `php53`
+ `php54`
+ `php55`
+ `php70 `
+ `postgresql8`
+ `python26`
+ `ruby18`
+ `ruby19`
+ `ruby21`
+ `ruby22`
+ `tomcat6`