Yellowdog Updater Modified (YUM) adalah alat manajemen paket yang kuat untuk menginstal, memperbarui, dan menghapus perangkat lunak serta mengelola repositori. Untuk menjaga keamanan sistem, distribusi Alibaba Cloud Linux diperbarui secara berkala berdasarkan kerentanan umum (CVE) yang diidentifikasi melalui upaya komunitas dan industri. Distribusi ini menyediakan pembaruan tepat waktu untuk paket termasuk kernel, memperbaiki cacat perangkat lunak, menambal kerentanan, dan meningkatkan fitur keamanan. Topik ini menjelaskan cara menggunakan YUM untuk menanyakan, memeriksa, dan menginstal pembaruan keamanan untuk Alibaba Cloud Linux.
Prasyarat
Sebuah instance Elastic Compute Service (ECS) yang menjalankan Alibaba Cloud Linux telah dibuat. Untuk informasi lebih lanjut, lihat Metode Pembuatan.
Informasi latar belakang
Untuk informasi tentang pembaruan keamanan Alibaba Cloud Linux, lihat Advisori Keamanan Alibaba Cloud Linux 3 dan Advisori Keamanan Alibaba Cloud Linux 2.1903.
Pembaruan keamanan Alibaba Cloud Linux diklasifikasikan berdasarkan Common Vulnerability Scoring System 3 (CVSS3) untuk CVE:
Kritis: Kerentanan risiko tinggi ada dan pembaruan keamanan diperlukan.
Penting: Kerentanan risiko relatif tinggi ada dan pembaruan keamanan sangat direkomendasikan.
Sedang: Kerentanan risiko sedang ada dan pembaruan keamanan direkomendasikan.
Rendah: Kerentanan risiko rendah ada dan pembaruan keamanan bersifat opsional.
Tanyakan pembaruan keamanan
Jalankan perintah berikut untuk menanyakan pembaruan keamanan:
yum updateinfo <command> [option]Perintah yum updateinfo digunakan untuk menampilkan informasi pembaruan paket, termasuk pembaruan keamanan, perbaikan bug, dan peningkatan. Perintah ini memberikan detail seperti jenis pembaruan, CVE terkait, dan paket yang mungkin terpengaruh.
Tabel berikut menjelaskan variabel dari perintah tersebut.
Variabel | Nilai valid |
<command> |
|
[option] |
|
Contoh berikut menunjukkan penggunaan perintah yum updateinfo.
Jalankan perintah berikut untuk mendapatkan bantuan:
yum updateinfo --helpJalankan perintah berikut untuk mendapatkan gambaran umum semua pembaruan keamanan:
yum updateinfoContoh keluaran perintah:
Alibaba Cloud Linux 3
Pemeriksaan kedaluwarsa metadata terakhir: 0:06:42 yang lalu pada Rabu 02 Juni 2021 03:05:30 AM EDT. Ringkasan Informasi Pembaruan: tersedia 3 pemberitahuan keamanan 2 pemberitahuan keamanan Penting 1 pemberitahuan keamanan SedangAlibaba Cloud Linux 2
Plugin yang dimuat: fastestmirror Menentukan mirror tercepat base | 3.1 kB 00:00:00 extras | 2.5 kB 00:00:00 plus | 2.5 kB 00:00:00 updates | 2.9 kB 00:00:00 (1/6): extras/2.1903/x86_64/primary_db | 149 kB 00:00:00 (2/6): base/2.1903/x86_64/group_gz | 101 kB 00:00:00 (3/6): updates/2.1903/x86_64/updateinfo | 81 kB 00:00:00 (4/6): plus/2.1903/x86_64/primary_db | 1.5 MB 00:00:00 (5/6): base/2.1903/x86_64/primary_db | 4.9 MB 00:00:00 (6/6): updates/2.1903/x86_64/primary_db | 6.1 MB 00:00:00 Ringkasan Informasi Pembaruan: pembaruan 17 pemberitahuan keamanan 7 pemberitahuan keamanan Penting 6 pemberitahuan keamanan Sedang 4 pemberitahuan keamanan Rendah ringkasan updateinfo selesaiJalankan perintah berikut untuk menanyakan daftar pembaruan keamanan:
yum updateinfo listContoh keluaran perintah:
Alibaba Cloud Linux 3
Pemeriksaan kedaluwarsa metadata terakhir: 0:09:05 yang lalu pada Rabu 02 Juni 2021 03:05:30 AM EDT. ALINUX3-SA-2021:0008 Sedang/Keam. gnutls-3.6.14-7.1.al8.x86_64 ALINUX3-SA-2021:0029 Penting/Keam. gnutls-3.6.14-8.1.al8.x86_64 ALINUX3-SA-2021:0028 Penting/Keam. libldb-2.1.3-3.1.al8.x86_64 ALINUX3-SA-2021:0029 Penting/Keam. nettle-3.4.1-4.1.al8.x86_64Alibaba Cloud Linux 2
Plugin yang dimuat: fastestmirror Memuat mirror tercepat dari hostfile yang di-cache ALINUX2-SA-2019:0055 Sedang/Keam. binutils-2.27-41.base.1.al7.x86_64 ALINUX2-SA-2019:0058 Rendah/Keam. curl-7.29.0-54.1.al7.x86_64 ALINUX2-SA-2019:0059 Rendah/Keam. elfutils-default-yama-scope-0.176-2.1.al7.n ...Jalankan perintah berikut untuk menanyakan isi pembaruan keamanan tertentu:
yum updateinfo info <update_id>Contoh keluaran perintah:
Alibaba Cloud Linux 3
Contoh perintah dengan <update_id> disetel ke
ALINUX3-SA-2021:0008:yum updateinfo info ALINUX3-SA-2021:0008Contoh keluaran perintah:
Pemeriksaan kedaluwarsa metadata terakhir: 0:11:58 yang lalu pada Rabu 02 Juni 2021 03:05:30 AM EDT. =============================================================================== ALINUX3-SA-2021:0008: pembaruan keamanan dan perbaikan bug gnutls (Sedang) =============================================================================== ID Pembaruan: ALINUX3-SA-2021:0008 Jenis: keamanan Diperbarui: 1969-12-31 19:00:00 CVE: CVE-2020-24659 Deskripsi: Pembaruan paket tersedia untuk Alibaba Cloud Linux 3 yang memperbaiki kerentanan berikut: : : CVE-2020-24659: : Masalah ditemukan di GnuTLS sebelum 3.6.15. Server dapat memicu dereferensi pointer NULL di klien TLS 1.3 jika alert no_renegotiation dikirim dengan waktu yang tidak terduga, dan kemudian handshake kedua yang tidak valid terjadi. Crash terjadi di jalur penanganan kesalahan aplikasi, di mana fungsi gnutls_deinit dipanggil setelah mendeteksi kegagalan handshake. : Keparahan: SedangAlibaba Cloud Linux 2
Contoh perintah dengan <update_id> disetel ke
ALINUX2-SA-2020:0005:yum updateinfo info ALINUX2-SA-2020:0005Contoh keluaran perintah:
Plugin yang dimuat: fastestmirror Memuat mirror tercepat dari hostfile yang di-cache =============================================================================== ALINUX2-SA-2020:0005: pembaruan keamanan nss, nss-softokn, nss-util (Penting) =============================================================================== ID Pembaruan : ALINUX2-SA-2020:0005 Rilis : Alibaba Cloud Linux 2.1903 Jenis : keamanan Status : stabil Diterbitkan : 2020-01-03 CVE : CVE-2019-11729 : CVE-2019-11745 Deskripsi : Pembaruan paket tersedia untuk Alibaba Cloud Linux 2.1903 yang memperbaiki : kerentanan berikut: : : CVE-2019-11729: : Kunci publik p256-ECDH kosong atau salah bentuk dapat : memicu segmentation fault karena nilai-nilai tidak : dibersihkan dengan benar sebelum disalin ke : memori dan digunakan. Kerentanan ini memengaruhi : Firefox ESR < 60.8, Firefox < 68, dan Thunderbird : < 60.8. : : CVE-2019-11745: : Saat mengenkripsi dengan cipher blok, jika panggilan ke : NSC_EncryptUpdate dilakukan dengan data lebih kecil dari : ukuran blok, penulisan out of bounds kecil dapat : terjadi. Ini dapat menyebabkan korupsi heap dan : crash yang mungkin dieksploitasi. Kerentanan ini memengaruhi Thunderbird < 68.3, Firefox : ESR < 68.3, dan Firefox < 71. : Keparahan : Penting informasi updateinfo selesaiJalankan perintah berikut untuk menanyakan pembaruan keamanan tingkat keparahan tertentu:
yum updateinfo list --sec-severity=ModerateContoh keluaran perintah:
Pemeriksaan kedaluwarsa metadata terakhir: 0:05:25 yang lalu pada Senin 07 Juni 2021 09:08:25 AM EDT. ALINUX3-SA-2021:0008 Sedang/Keam. gnutls-3.6.14-7.1.al8.x86_64
Periksa pembaruan keamanan
Secara default, layanan update-motd diinstal dan diaktifkan di Alibaba Cloud Linux. Saat sistem mendeteksi pembaruan keamanan tersedia, Anda akan diberi tahu saat masuk ke instance ECS. Untuk informasi tentang cara mengelola layanan update-motd, lihat bagian "Kelola Layanan update-motd" dalam topik ini.
Anda juga dapat menjalankan perintah yum check-update --security untuk memeriksa pembaruan keamanan yang tersedia. Tambahkan --sec-severity=<SEVS> ke perintah dan atur <SEVS> ke satu atau lebih tingkat keparahan untuk memeriksa grup keamanan tertentu.
Jika Anda menentukan beberapa tingkat keparahan, pisahkan dengan koma (,). Tingkat keparahan peka huruf besar-kecil.
Contoh berikut menunjukkan cara memeriksa pembaruan keamanan:
Alibaba Cloud Linux 3
Contoh 1: Jalankan perintah berikut untuk memeriksa semua pembaruan keamanan:
yum check-update --securityContoh keluaran perintah:
Pemeriksaan kedaluwarsa metadata terakhir: 0:08:41 yang lalu pada Rabu 02 Juni 2021 05:24:55 PM CST. nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updatesContoh 2: Jalankan perintah berikut untuk memeriksa pembaruan keamanan Kritis dan Penting:
yum check-update --security --sec-severity={Critical,Important}Contoh keluaran perintah:
Pemeriksaan kedaluwarsa metadata terakhir: 0:10:23 yang lalu pada Rabu 02 Juni 2021 05:24:55 PM CST. gnutls.x86_64 3.6.14-8.2.al8 alinux3-updates nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updates
Alibaba Cloud Linux 2
Contoh 1: Jalankan perintah berikut untuk memeriksa semua pembaruan keamanan dalam status
available:yum check-update --security |grep availableContoh keluaran perintah:
49 paket dibutuhkan untuk keamanan, dari 183 tersediaContoh 2: Jalankan perintah berikut untuk memeriksa pembaruan keamanan Kritis dan Penting dalam status
available.yum check-update --security --secseverity=Critical,Important |grep availableContoh keluaran perintah:
30 paket dibutuhkan untuk keamanan, dari 183 tersedia
Instal pembaruan keamanan
Setelah memeriksa pembaruan keamanan, jalankan perintah yum upgrade untuk menginstal pembaruan berdasarkan tingkat keparahan atau ID CVE.
Jika Anda menjalankan perintah yum upgrade, paket usang selain kernel akan dihapus secara paksa. Ini dapat menyebabkan instance berhenti dan layanan terganggu. Kami merekomendasikan menjalankan perintah ini selama jam-jam sepi.
Jalankan perintah
yum upgrade --securityuntuk menginstal pembaruan keamanan. Tambahkan--sec-severity=<SEVS>dan atur <SEVS> ke satu atau lebih tingkat keparahan.CatatanJika Anda menentukan beberapa tingkat keparahan, pisahkan dengan koma (,). Tingkat keparahan peka huruf besar-kecil.
Berikut adalah contoh penggunaan plugin:
Jalankan perintah berikut untuk menginstal pembaruan keamanan Kritis dan Penting:
sudo yum upgrade --security --sec-severity={Critical,Important}Contoh keluaran perintah:
Alibaba Cloud Linux 3
Pemeriksaan kedaluwarsa metadata terakhir: 0:06:43 yang lalu pada Rabu 02 Juni 2021 03:51:48 AM EDT. Ketergantungan diselesaikan. ================================================================================ Paket Arch Versi Repositori Ukuran ================================================================================ Meningkatkan: ... Ringkasan Transaksi ================================================================================ Tingkatkan 12 Paket Total ukuran unduhan: 3.9 M Apakah ini ok [y/N]:Alibaba Cloud Linux 2
Plugin yang dimuat: fastestmirror Memuat mirror tercepat dari hostfile yang di-cache ... [terpotong] ... Ringkasan Transaksi ============================================================================================================================================================================= Tingkatkan 30 Paket (+1 Paket Dependen) Total ukuran unduhan: 91 M Apakah ini ok [y/d/N]:Jalankan perintah
yum upgrade -cve=<CVE ID>untuk menginstal pembaruan keamanan untuk CVE tertentu. Atur-cve=<CVE ID>ke satu atau lebih ID CVE.CatatanJika Anda menentukan beberapa ID CVE, pisahkan dengan koma (,). ID CVE peka huruf besar-kecil.
Berikut adalah contoh penggunaan plugin:
Alibaba Cloud Linux 3
Jalankan perintah berikut untuk menginstal pembaruan keamanan untuk
CVE-2020-24659:sudo yum upgrade --cve=CVE-2020-24659Contoh keluaran perintah:
Pemeriksaan kedaluwarsa metadata terakhir: 0:02:44 yang lalu pada Rabu 02 Juni 2021 04:17:27 AM EDT. Ketergantungan diselesaikan. ===================================================================================== Paket Arsitektur Versi Repositori Ukuran ===================================================================================== Meningkatkan: ... Ringkasan Transaksi ===================================================================================== Tingkatkan 1 Paket Total ukuran unduhan: 1.0 M Apakah ini ok [y/N]Alibaba Cloud Linux 2
Jalankan perintah berikut untuk menginstal pembaruan keamanan untuk
CVE-2019-11729danCVE-2019-11745:sudo yum upgrade --cve=CVE-2019-11729,CVE-2019-11745Contoh keluaran perintah:
Plugin yang dimuat: fastestmirror Memuat mirror tercepat dari hostfile yang di-cache ... [terpotong] ... Ketergantungan Diselesaikan ============================================================================================================================================================================= Paket Arsitektur Versi Repositori Ukuran ============================================================================================================================================================================= Memperbarui: nss x86_64 3.44.0-7.1.al7 pembaruan 854 k nss-softokn x86_64 3.44.0-8.1.al7 pembaruan 330 k nss-softokn-freebl x86_64 3.44.0-8.1.al7 pembaruan 225 k nss-sysinit x86_64 3.44.0-7.1.al7 pembaruan 65 k nss-tools x86_64 3.44.0-7.1.al7 pembaruan 528 k nss-util x86_64 3.44.0-4.1.al7 pembaruan 79 k Memperbarui untuk dependensi: nspr x86_64 4.21.0-1.1.al7 pembaruan 127 k Ringkasan Transaksi ============================================================================================================================================================================= Tingkatkan 6 Paket (+1 Paket Dependen) Total ukuran unduhan: 2.2 M Apakah ini ok [y/d/N]:CatatanMenurut dokumentasi
man yum, perintahsudo yum upgradesetara dengansudo yum update --obsoletes. Perintahsudo yum upgradejuga setara dengansudo yum updatekarena opsiobsoletesdiaktifkan secara default dalam file konfigurasi /etc/yum.conf.
Kelola layanan update-motd
Gunakan perintah systemctl untuk mengelola layanan update-motd. Perhatikan hal berikut:
Mulai layanan
update-motd.sudo systemctl start update-motdHentikan layanan
update-motd.sudo systemctl stop update-motdMulai ulang layanan
update-motd.sudo systemctl restart update-motdPeriksa status layanan
update-motd.systemctl status update-motd