Alibaba Cloud は、最新の機能、およびセキュリティパッチを提供するために、Alibaba Cloud Linux 3 イメージの更新バージョンを定期的にリリースしています。このトピックでは、Alibaba Cloud Linux 3 イメージで利用可能なバージョンと更新について説明します。
背景情報
特に指定がない限り、更新は Elastic Compute Service (ECS) が利用可能なすべてのリージョンに適用されます。
Alibaba Cloud Linux 3 イメージは、ほとんどのインスタンスファミリーをサポートしています。ただし、以下のインスタンスファミリーは特定のパブリックイメージのみ使用できます。
イメージ ID に `_arm64_` が含まれる ARM イメージは、Alibaba Cloud 上のすべての ARM インスタンスと互換性があります。
2025
Alibaba Cloud Linux 3.2104 U12.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U12.1 | aliyun_3_x64_20G_alibase_20251030.vhd | 2025-11-30 |
|
aliyun_3_x64_20G_dengbao_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_x64_20G_container_optimized_alibase_202510309.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_container_optimized_alibase_20251030.vhd | 2025-11-30 |
|
更新内容
重要な更新
このリリースでは kernel-5.10.134-19.2.al8 パッケージを使用しており、以下の問題が修正されています。
マイクロコードのホットアップグレード中に、Zen2 以外のアーキテクチャで Zenbleed 脆弱性にパッチが適用される問題を修正しました。
機密コンピューティングのシナリオで、システムが高位アドレスメモリをバウンスバッファとして割り当てられるように、
swiotlb_any cmdlineパラメーターを追加しました。EFI を使用して TDX 仮想マシンを起動する際に、EFI スタブフェーズでメモリが正しく処理されない問題を修正しました。
PCIe セカンダリバス上のダウンストリームデバイスが、バスリセット後に初期化が完了する前に使用され、エラーやデバイスのオフラインを引き起こす問題を修正しました。
ハードウェアリンク例外時に Yitian インスタンスでカーネルの起動が失敗するのを防ぐため、DWC_PMU ドライバーの問題を修正しました。
Group Balancer の潜在的なクラッシュを修正しました。
特定のシナリオで virtio_net と vhost で予期しないパケット損失が発生する問題を修正しました。
詳細については、https://openanolis.cn/sig/Cloud-Kernel/doc/1388258453605187661
パッケージの更新
新機能
セキュア CAI コンポーネントスイートを更新しました。yum リポジトリを通じて、リモートデバイス認証と Hygon CSV のサポートが利用可能になりました。
trustee を trustee-1.7.0-1.al8 に更新しました。
trustiflux を trustiflux-1.4.4-1.al8 に更新しました。
cryptpilot を cryptpilot-0.2.7-1.al8 に更新しました。
trusted-network-gateway を trusted-network-gateway-2.2.6-1.al8 に更新しました。
gocryptfs を gocryptfs-2.4.0-2.al8 としてリリースしました。
tee-primitives を tee-primitives-1.0-2.al8 に更新しました。
システム運用保守 (O&M) の強化:
sysak を sysak-3.8.0-1 に更新し、システムの O&M 機能を強化しました。このコンポーネントは yum リポジトリを通じて更新されます。
コア OS の改善:
alinux-base-setup を alinux-release-3.2104.12-2.al8 に更新しました。セキュリティ上の理由から、rpcbind サービスはデフォルトで無効になっています。このコンポーネントはイメージ内で更新されます。
alinux-release を alinux-release-3.2104.12-2.al8 に更新し、Alibaba Cloud Linux 3.12.1 のリリースを示します。このコンポーネントはイメージ内で更新されます。
NetworkManager を NetworkManager-1.40.16-19.0.1.1.al8 に更新し、ipvlan 機能を有効にしました。このコンポーネントはイメージ内で更新されます。
systemd を systemd-239-82.0.4.3.al8.5 に更新し、NetworkNamespacePath 機能をサポートしました。このコンポーネントはイメージ内で更新されます。
tpm2-tss を tpm2-tss-2.4.6-1.0.2.al8 に更新し、機密コンピューティング用のランタイム依存ライブラリを提供しました。このコンポーネントは yum リポジトリを通じて更新されます。
tpm2-tools を tpm2-tools-4.1.1-5.0.6.al8 に更新し、機密コンピューティング用のランタイム依存ライブラリを提供しました。このコンポーネントは yum リポジトリを通じて更新されます。
tengine を tengine-3.1.0-3.al8 に更新しました。nginx-module-vts プラグインを統合し、Yitian プロセッサでのパフォーマンスを向上させます。このコンポーネントは yum リポジトリを通じて更新されます。
gcc-toolset-12-gcc を gcc-toolset-12-gcc-12.3.0-1.2.al8 に更新し、GCC の更新バージョンを提供しました。このコンポーネントは yum リポジトリを通じて更新されます。
rasdaemon を rasdaemon-0.6.7-16.5.al8 に更新し、信頼性、可用性、保守性 (RAS) の診断および自己修復ソリューションを提供しました。このコンポーネントは yum リポジトリを通じて更新されます。
tracker を tracker-3.1.2-3.0.1.1.al8 に更新しました。sqlite のバージョンチェックを無効にするようにコンパイルオプションが変更されました。このコンポーネントは yum リポジトリを通じて更新されます。
ostree を ostree-2022.2-11.al8 に更新し、ContainerOS のセキュリティ更新を実装しました。このコンポーネントは yum リポジトリを通じて更新されます。
システムチューニング機能の強化:
keentuned と keentune-target をバージョン 3.2.0 に更新しました。これらは yum リポジトリを通じて更新されます。
カーネル関連コンポーネントの更新:
smc-tools を smc-tools-1.8.3-1.0.4.al8 に更新しました。このマイナーバージョン更新では、監視機能とパケットキャプチャ機能が追加されています。このコンポーネントは yum リポジトリを通じて更新されます。
vtoa を vtoa-2.1.1-1.al8 に更新し、下位互換性を提供しました。このコンポーネントは yum リポジトリを通じて更新されます。
erofs-utils を erofs-utils-1.8.10-1.al8 に更新しました。この更新にはバグ修正が含まれています。このコンポーネントは yum リポジトリを通じて更新されます。
クラウドアプリケーションコンポーネントの更新:
aliyun-cli を aliyun-cli-3.0.305-1.al8 に更新しました。このコンポーネントはイメージ内で更新されます。
ossfs を ossfs-1.91.8-1.al8 に更新し、基本機能の問題を解決しました。このコンポーネントは yum リポジトリを通じて更新されます。
OS インテリジェントアシスタントの更新:
os-copilot を os-copilot-0.9.1-1.al8 に更新しました。このコンポーネントは yum リポジトリを通じて更新されます。
このリリースには、Anolis OS 8 からの 11 コンポーネントの更新が含まれています。3 つはイメージ内で更新され、8 つは yum リポジトリを通じて更新されます。以下の表に、コンポーネントと更新理由を示します。
コンポーネント名 | 以前のバージョン | 更新後のバージョン | 更新理由 | 更新方法 |
libsemanage | libsemanage-2.9-10.0.1.al8 | libsemanage-2.9-12.0.1.al8 | 機能強化。semanage のストレージと再構築のパフォーマンスを向上させます。これは前方互換性のある最適化で、再利用時の関数呼び出しを減らすための検出条件を追加し、パフォーマンスを向上させます。 | イメージ内で更新 |
tzdata | tzdata-2024b-1.0.1.2.al8 | tzdata-2025b-1.0.1.1.al8 | 機能更新。定期的なタイムゾーンの更新。 | イメージ内で更新 |
linux-firmware | linux-firmware-20241014-125.git06bad2f1.al8 | linux-firmware-20250325-129.git710a336b.al8 | 新機能。より多くのハードウェアタイプをサポートします。 | イメージ内で更新 |
gnome-control-center | gnome-control-center-40.0-31.1.al8 | gnome-control-center-40.0-32.1.al8 | 新機能。デバイスグループ情報をクエリするための API メソッドを追加します。 | yum リポジトリを通じて更新 |
java-1.8.0-openjdk-portable | java-1.8.0-openjdk-portable-1.8.0.432.b06-1.0.2.1.al8 | java-1.8.0-openjdk-portable-1.8.0.462.b08-1.0.1.1.al8 | 機能更新。より高い Java コンポーネントバージョンの依存関係をビルドおよびインストールするために Java コンポーネントの機能を更新します。 | yum リポジトリを通じて更新 |
java-17-openjdk-portable | java-17-openjdk-portable-17.0.13.0.11-1.0.2.1.al8 | java-17-openjdk-portable-17.0.16.0.8-1.0.1.1.al8 | 機能更新。より高い Java コンポーネントバージョンの依存関係をビルドおよびインストールするために Java コンポーネントの機能を更新します。 | yum リポジトリを通じて更新 |
motif | motif-2.3.4-20.al8 | motif-2.3.4-21.al8 | 機能強化。マルチスクリーンサポートを追加します。 | yum リポジトリを通じて更新 |
mysql-selinux | mysql-selinux-1.0.10-1.al8 | mysql-selinux-1.0.13-1.al8 | 新機能。機能的な特徴とバグ修正を追加します。 | yum リポジトリを通じて更新 |
scap-security-guide | scap-security-guide-0.1.75-1.0.1.al8 | scap-security-guide-0.1.77-1.0.1.al8 | 機能強化。ユーザー名前空間のルールを追加します。 | yum リポジトリを通じて更新 |
sos | sos-4.8.1-1.0.1.1.al8 | sos-4.8.2-1.0.1.1.al8 | 機能強化。Python 3.6 環境で walrus 演算子 (:=) をサポートします。 | yum リポジトリを通じて更新 |
tzdata | tzdata-2024b-1.0.1.2.al8 | tzdata-2025b-1.0.1.1.al8 | 機能更新。定期的なタイムゾーンの更新を追加します。 | イメージ内で更新 |
xorg-x11-drv-libinput | xorg-x11-drv-libinput-1.0.1-3.al8 | xorg-x11-drv-libinput-1.0.1-4.al8 | 新機能。特定の高キーコードを FK20-FK23 の範囲にマッピングする機能を追加します。 | yum リポジトリを通じて更新 |
このリリースには、Anolis OS 8 からの 27 コンポーネントのバグ修正が含まれています。このうち、12 はイメージ内で更新され、15 は yum リポジトリを通じて更新されます。以下の表に、コンポーネントと更新理由を示します。
コンポーネント名 | 以前のバージョン | 更新後のバージョン | 更新理由 | 更新方法 |
device-mapper-multipath | device-mapper-multipath-0.8.4-41.0.1.al8 | device-mapper-multipath-0.8.4-42.0.1.al8 | NVMe 外部ハンドラのメモリリークを修正しました。 | イメージ内で更新 |
dnf | dnf-4.7.0-20.0.1.1.al8 | dnf-4.7.0-21.0.1.1.al8 | dnf-automatic の機能と dnf の実行に関する問題を修正しました。 | イメージ内で更新 |
firewalld | firewalld-0.9.11-9.0.1.al8 | firewalld-0.9.11-10.0.1.al8 | ポートの競合を防ぐために、サービスの Ceph ポート番号を更新しました。 | イメージ内で更新 |
libdnf | libdnf-0.63.0-20.0.1.2.al8 | libdnf-0.63.0-21.0.1.1.al8 | 無効なメモリアクセスの問題を修正しました。 | イメージ内で更新 |
libselinux | libselinux-2.9-9.1.al8 | libselinux-2.9-10.1.al8 | ヌルポインターの使用に関する問題を修正しました。 | イメージ内で更新 |
lvm2 | lvm2-2.03.14-14.0.1.al8 | lvm2-2.03.14-15.0.1.al8 | 機能修正。シャットダウン中に dmeventd モジュールでスレッドがブロックされる問題を修正し、/run/nologin パラメーターが検出された場合に強制終了するための事前チェック機能を追加しました。 | イメージ内で更新 |
nfs-utils | nfs-utils-2.3.3-59.0.4.al8 | nfs-utils-2.3.3-64.0.1.al8 | GSSD 認証、READDIRPLUS 機能、mountstats ツールの動作を修正および改善するための複数のパッチを導入し、関連ドキュメントを調整しました。 | イメージ内で更新 |
nftables | nftables-1.0.4-4.al8 | nftables-1.0.4-7.al8 | 互換性のある式 (iptables-nft ルールなど) を処理する際の nftables の問題を修正および最適化しました。これには、翻訳エラーパスの修正、フォールバック印刷メカニズムの改善、サポートされていない式に対する警告メッセージの強化、メモリ管理の最適化が含まれます。 | イメージ内で更新 |
openldap | openldap-2.4.46-20.al8 | openldap-2.4.46-21.al8 | LDAP over SSL 接続が失敗したときのファイル記述子のリークを修正し、最初の TLS 接続失敗時の重複ファイルクローズの問題を修正しました。 | イメージ内で更新 |
sssd | sssd-2.9.4-5.al8.1 | sssd-2.9.4-5.al8.2 | sssd_kcm のメモリリークを修正し、ディスクキャッシュ内の大規模データベースの処理に関する問題を解決し、キャッシュグループを更新する際に正しい名前を使用して大文字と小文字の不一致による失敗を回避するように改善し、グループメンバーを追加するかどうかを決定するための ignore_group_members 構成オプションのサポートを追加しました。 | イメージ内で更新 |
tar | tar-1.30-9.0.2.al8 | tar-1.30-11.0.1.al8 | アップストリームのコミットから --no-overwrite-dir オプションの修正 (1.30-7) のリグレッションを修正し、「読み取り中にファイルが変更されました」という警告の頻度を減らし、filerem01 テストでの関連する失敗を修正するためのダウンストリームパッチを追加しました。 | イメージ内で更新 |
tuned | tuned-2.22.1-5.0.1.1.al8 | tuned-2.22.1-6.0.1.1.al8 | 2 つの問題を修正しました。hdparm デバイスチェックを遅延読み込みにし、PostgreSQL 構成で amd.scheduler プラグインインスタンスを無効にしました。 | イメージ内で更新 |
389-ds-base | 389-ds-base-1.4.3.39-9.0.1.al8 | 389-ds-base-1.4.3.39-15.0.1.al8 | str2filter および uiduniq モジュールの 2 つの機能的な問題を修正しました。 | yum リポジトリを通じて更新 |
autofs | autofs-5.1.4-114.0.1.al8.1 | autofs-5.1.4-114.0.1.al8.2 | デッドロックの問題を修正しました。 | yum リポジトリを通じて更新 |
cups-filters | cups-filters-1.20.0-35.0.1.al8 | cups-filters-1.20.0-36.0.1.al8 | 印刷中に画像が 90 度回転する問題を修正しました。 | yum リポジトリを通じて更新 |
curl | curl-7.61.1-35.0.2.al8 | curl-7.61.1-35.0.2.al8.3 | CVE-2023-28321 のフォローアップ更新。また、非同期スレッドに待機機会を作成して非同期の問題を解決しました。 | yum リポジトリを通じて更新 |
haproxy | haproxy-2.4.22-3.0.1.al8 | haproxy-2.4.22-3.0.1.al8.1 | CPU 使用率の急上昇を防ぐために、読み取りおよび書き込み関数でリトライフラグをクリアし、ファイルから証明書をロードできない問題を解決しました。 | yum リポジトリを通じて更新 |
jasper | jasper-2.0.14-5.0.1.al8 | jasper-2.0.14-6.0.1.al8 | jasper 構成ファイルの設定項目を変更しました。 | yum リポジトリを通じて更新 |
libisoburn | libisoburn-1.5.4-4.al8 | libisoburn-1.5.4-5.al8 | アップグレード中のスクリプトエラーを解決するために、インストール後スクリプトを変更しました。 | yum リポジトリを通じて更新 |
mod_security_crs | mod_security_crs-3.3.4-3.al8 | mod_security_crs-3.3.4-3.al8.2 | バグ修正。フォーム内の特定の都市名と通りの名前が無効になる問題を修正しました。 | yum リポジトリを通じて更新 |
mutter | mutter-40.9-22.0.1.al8 | mutter-40.9-23.0.1.al8 | ウィンドウをすばやく繰り返し切り替えることによって引き起こされる問題を修正しました。 | yum リポジトリを通じて更新 |
portreserve | portreserve-0.0.5-19.2.al8 | portreserve-0.0.5-20.0.1.al8 | tmpfiles.d 構成を更新しました。portreserve 用に作成された systemd 一時ファイルが、/run ではなく古い /var/run/ ディレクトリを参照する問題を修正しました。 | yum リポジトリを通じて更新 |
samba | samba-4.19.4-6.1.al8 | samba-4.19.4-9.1.al8 | Windows netlogon の強化後のドメインコントローラー検出機能を修正し、winbind のメモリリークを修正し、smbd_smb2_close() 内の fd_handle_destructor() での潜在的なカーネルパニックの問題を解決しました。 | yum リポジトリを通じて更新 |
squid | squid-4.15-13.al8.3 | squid-4.15-13.al8.5 | TTL が 0 に設定されていても squid が DNS エントリをキャッシュする問題を修正しました。 | yum リポジトリを通じて更新 |
strace | strace-5.18-2.0.4.al8 | strace-5.18-2.1.0.1.al8 | loongarch64 アーキテクチャのサポートを追加しました。 PTRACE_GET_SYSCALL_INFO を使用してプロセスにアタッチする際に、restart_syscall() で不正なシステムコール名が報告される問題を修正しました (RHEL-8570)。 net-yy-inet*、linkat--secontext_mismatch、および prctl-sve テストケースを更新しました。 | yum リポジトリを通じて更新 |
traceroute | traceroute-2.1.0-6.2.0.3.al8 | traceroute-2.1.0-9.0.1.al8 | 堅牢性を向上させるために poll.c のポーリングロジックを修正しました。 | yum リポジトリを通じて更新 |
unzip | unzip-6.0-47.0.1.al8 | unzip-6.0-48.0.1.al8 | 特定の ZIP ファイルが正しく展開できない問題を修正しました。 | yum リポジトリを通じて更新 |
116 件の CVE に対応しました。詳細は以下の表をご参照ください。
コンポーネント | 以前のバージョン | 更新後のバージョン | 修正された CVE ID |
aide | aide-0.16-102.al8 | aide-0.16-103.al8.2 | CVE-2025-54389 |
bind | bind-9.11.36-16.0.1.al8 | bind-9.11.36-16.0.1.al8.4 | CVE-2024-11187 |
bind-dyndb-ldap | bind-dyndb-ldap-11.6-5.al8 | bind-dyndb-ldap-11.6-6.al8 | CVE-2025-4404 |
bluez | bluez-5.63-3.0.1.al8 | bluez-5.63-5.0.1.al8 | CVE-2023-27349 CVE-2023-51589 |
buildah | buildah-1.33.11-1.al8 | buildah-1.33.12-2.al8 | CVE-2025-22871 CVE-2025-6032 |
bzip2 | bzip2-1.0.6-27.al8 | bzip2-1.0.6-28.al8 | CVE-2019-12900 |
compat-libtiff3 | compat-libtiff3-3.9.4-13.2.al8 | compat-libtiff3-3.9.4-14.0.1.al8 | CVE-2025-9900 |
compat-openssl10 | compat-openssl10-1.0.2o-4.0.1.al8 | compat-openssl10-1.0.2o-4.0.1.al8.1 | CVE-2023-0286 |
containernetworking-plugins | containernetworking-plugins-1.4.0-5.0.1.al8 | containernetworking-plugins-1.4.0-6.0.1.al8 | CVE-2025-22871 CVE-2025-6032 |
corosync | corosync-3.1.8-2.al8 | corosync-3.1.9-2.al8 | CVE-2025-30472 |
cups | cups-2.2.6-62.0.1.al8 | cups-2.2.6-63.0.1.al8 | CVE-2025-58060 |
delve | delve-1.22.1-1.0.2.al8 | delve-1.24.1-1.0.2.al8 | CVE-2025-22871 CVE-2025-4673 |
doxygen | doxygen-1.8.14-12.1.al8 | doxygen-1.8.14-13.al8 | CVE-2020-11023 |
emacs | emacs-27.2-10.0.1.al8 | emacs-27.2-14.0.1.al8.2 | CVE-2024-53920 |
expat | expat-2.2.5-16.al8 | expat-2.2.5-17.al8 | CVE-2024-8176 |
fence-agents | fence-agents-4.10.0-76.0.1.al8.1 | fence-agents-4.10.0-86.0.1.al8.7 | CVE-2025-47273 |
freetype | freetype-2.10.4-9.al8 | freetype-2.10.4-10.al8 | CVE-2025-27363 |
galera | galera-26.4.14-1.al8 | galera-26.4.20-1.al8 | CVE-2023-22084 CVE-2024-21096 |
gcc-toolset-13-gcc | gcc-toolset-13-gcc-13.3.1-2.1.0.1.1.al8 | gcc-toolset-13-gcc-13.3.1-2.2.0.1.1.al8 | CVE-2020-11023 |
gdk-pixbuf2 | gdk-pixbuf2-2.42.6-4.0.1.al8 | gdk-pixbuf2-2.42.6-6.0.1.al8 | CVE-2025-7345 |
ghostscript | ghostscript-9.54.0-18.al8 | ghostscript-9.54.0-19.al8 | CVE-2025-27832 |
gimp | gimp-2.8.22-25.al8 | gimp-2.8.22-26.al8.2 | CVE-2025-48797 CVE-2025-48798 CVE-2025-5473 |
git | git-2.43.5-2.0.1.al8 | git-2.43.7-1.0.1.al8 | CVE-2024-50349 CVE-2024-52006 CVE-2025-27613 CVE-2025-27614 CVE-2025-46835 CVE-2025-48384 CVE-2025-48385 |
git-lfs | git-lfs-3.4.1-3.0.1.al8 | git-lfs-3.4.1-5.0.1.al8 | CVE-2025-22871 |
glib2 | glib2-2.68.4-14.0.2.al8 | glib2-2.68.4-16.0.1.al8.2 | CVE-2024-52533 CVE-2025-4373 |
glibc | glibc-2.32-1.16.al8 | glibc-2.32-1.21.al8 | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 |
gnome-remote-desktop | gnome-remote-desktop-0.1.8-3.1.al8 | gnome-remote-desktop-0.1.8-4.0.1.al8 | CVE-2025-5024 |
gnutls | gnutls-3.6.16-8.0.2.al8.3 | gnutls-3.6.16-8.0.2.al8.4 | CVE-2025-32988 CVE-2025-32990 CVE-2025-6395 |
go-toolset | go-toolset-1.22.9-1.al8 | go-toolset-1.24.6-1.al8 | CVE-2025-4674 |
golang | golang-1.22.9-1.0.1.al8 | golang-1.24.6-1.0.1.al8 | CVE-2025-4674 |
grafana | grafana-9.2.10-20.0.1.al8 | grafana-9.2.10-25.0.1.al8 | CVE-2025-22871 |
grafana-pcp | grafana-pcp-5.1.1-9.0.1.al8 | grafana-pcp-5.1.1-10.al8 | CVE-2025-22871 |
gstreamer1 | gstreamer1-1.22.1-2.0.1.al8 | gstreamer1-1.22.12-3.0.1.al8 | CVE-2024-0444 CVE-2024-4453 |
gstreamer1-plugins-bad-free | gstreamer1-plugins-bad-free-1.22.1-4.0.1.al8 | gstreamer1-plugins-bad-free-1.16.1-1.1.al8 | #N/A |
gstreamer1-plugins-base | gstreamer1-plugins-base-1.22.1-3.0.1.al8 | gstreamer1-plugins-base-1.22.12-4.0.1.al8 | CVE-2024-47541 CVE-2024-47542 CVE-2024-47600 CVE-2024-47835 |
httpd | httpd-2.4.37-65.0.1.al8.2 | httpd-2.4.37-655.0.1.al8.5 | CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 |
ipa | ipa-4.9.13-14.0.1.1.al8 | ipa-4.9.13-20.0.1.1.al8 | CVE-2025-7493 |
ipa-healthcheck | ipa-healthcheck-0.12-4.al8 | ipa-healthcheck-0.12-6.al8 | CVE-2025-7493 |
jackson-annotations | jackson-annotations-2.14.2-1.al8 | jackson-annotations-2.19.1-1.al8 | CVE-2025-52999 |
jackson-core | jackson-core-2.14.2-1.al8 | jackson-core-2.19.1-1.al8 | CVE-2025-52999 |
jackson-databind | jackson-databind-2.14.2-1.al8 | jackson-databind-2.19.1-1.al8 | CVE-2025-52999 |
jackson-jaxrs-providers | jackson-jaxrs-providers-2.14.2-1.al8 | jackson-jaxrs-providers-2.19.1-1.al8 | CVE-2025-52999 |
java-1.8.0-openjdk | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 | java-1.8.0-openjdk-1.8.0.462.b08-2.0.1.1.al8 | CVE-2025-30749 CVE-2025-30754 CVE-2025-30761 CVE-2025-50106 |
java-17-openjdk | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 | java-17-openjdk-17.0.16.0.8-2.0.1.1.al8 | CVE-2025-30749 CVE-2025-30754 CVE-2025-50059 CVE-2025-50106 |
jq | jq-1.6-17.al8 | jq-1.6-17.al8.2 | CVE-2024-23337 CVE-2025-48060 |
keepalived | keepalived-2.2.8-3.al8 | keepalived-2.2.8-4.al8 | CVE-2024-41184 |
krb5 | krb5-1.18.2-30.0.1.al8 | krb5-1.18.2-32.0.1.al8 | CVE-2025-3576 |
libarchive | libarchive-3.5.3-4.al8 | libarchive-3.5.3-6.al8 | CVE-2025-5914 |
libblockdev | libblockdev-2.28-6.al8 | libblockdev-2.28-7.al8 | CVE-2025-6019 |
libcap | libcap-2.48-6.0.1.al8 | libcap-2.48-6.0.2.al8 | CVE-2025-1390 |
libpq | libpq-13.11-1.0.1.al8 | libpq-13.20-1.0.1.al8 | CVE-2025-1094 |
libreoffice | libreoffice-7.1.8.1-12.0.2.1.al8.1 | libreoffice-7.1.8.1-15.0.1.1.al8.1 | CVE-2025-1080 |
libsoup | libsoup-2.62.3-6.0.1.al8 | libsoup-2.62.3-9.0.1.al8 | CVE-2025-2784 CVE-2025-4948 CVE-2025-32049 CVE-2025-32914 |
libtasn1 | libtasn1-4.13-4.0.1.al8 | libtasn1-4.13-5.0.1.al8 | CVE-2024-12133 |
libtpms | libtpms-0.9.1-2.20211126git1ff6fe1f43.al8 | libtpms-0.9.1-3.20211126git1ff6fe1f43.al8 | CVE-2025-49133 |
libvirt | libvirt-8.0.0-23.3.0.2.al8 | libvirt-8.0.0-23.4.0.1.al8 | CVE-2025-49133 |
libvpx | libvpx-1.7.0-11.0.1.al8 | libvpx-1.7.0-12.0.1.al8 | CVE-2025-5283 |
libxml2 | libxml2-2.9.7-18.0.3.1.al8 | libxml2-2.9.7-21.0.1.1.al8.3 | CVE-2025-32415 |
libxslt | libxslt-1.1.32-6.1.al8 | libxslt-1.1.32-6.2.0.1.al8 | CVE-2023-40403 |
mariadb | mariadb-10.5.22-1.0.1.al8 | mariadb-10.5.27-1.0.1.al8 | CVE-2023-22084 CVE-2024-21096 |
mecab-ipadic | mecab-ipadic-2.7.0.20070801-16.2.al8 | mecab-ipadic-2.7.0.20070801-17.0.1.al8 | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 |
microcode_ctl | microcode_ctl-20240910-1.0.1.al8 | microcode_ctl-20250512-1.0.1.al8 | CVE-2024-28956 CVE-2024-43420 CVE-2024-45332 CVE-2025-20012 CVE-2025-20623 CVE-2025-24495 |
mingw-freetype | mingw-freetype-2.8-3.1.al8 | mingw-freetype-2.8-3.1.al8.1 | CVE-2025-27363 CVE-2025-32050 CVE-2025-32052 CVE-2025-32053 CVE-2025-32906 CVE-2025-32907 CVE-2025-32909 CVE-2025-32910 CVE-2025-32911 CVE-2025-32913 |
mingw-sqlite | mingw-sqlite-3.26.0.0-1.1.al8 | mingw-sqlite-3.26.0.0-2.al8 | CVE-2025-6965 |
mod_auth_openidc | mod_auth_openidc-2.4.9.4-6.al8 | mod_auth_openidc-2.4.9.4-8.al8 | CVE-2025-3891 |
mod_http2 | mod_http2-1.15.7-10.al8.1 | mod_http2-1.15.7-10.al8.4 | CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 |
mod_security | mod_security-2.9.6-1.al8 | mod_security-2.9.6-2.al8 | CVE-2025-47947 |
mysql | mysql-8.0.36-1.0.1.1.al8 | mysql-8.0.43-1.0.1.1.al8 | CVE-2025-21574 CVE-2025-21575 CVE-2025-21577 CVE-2025-21579 CVE-2025-21580 CVE-2025-21581 CVE-2025-21584 CVE-2025-21585 CVE-2025-30681 CVE-2025-30682 CVE-2025-30683 CVE-2025-30684 CVE-2025-30685 CVE-2025-30687 CVE-2025-30688 CVE-2025-30689 CVE-2025-30693 CVE-2025-30695 CVE-2025-30696 CVE-2025-30699 CVE-2025-30703 CVE-2025-30704 CVE-2025-30705 CVE-2025-30715 CVE-2025-30721 CVE-2025-30722 CVE-2025-50077 CVE-2025-50078 CVE-2025-50079 CVE-2025-50080 CVE-2025-50081 CVE-2025-50082 CVE-2025-50083 CVE-2025-50084 CVE-2025-50085 CVE-2025-50086 CVE-2025-50087 CVE-2025-50088 CVE-2025-50091 CVE-2025-50092 CVE-2025-50093 CVE-2025-50094 CVE-2025-50096 CVE-2025-50097 CVE-2025-50098 CVE-2025-50099 CVE-2025-50100 CVE-2025-50101 CVE-2025-50102 CVE-2025-50104 CVE-2025-53023 |
nodejs | nodejs-20.16.0-1.1.al8 | nodejs-20.19.2-1.1.al8 | CVE-2025-23165 CVE-2025-23166 CVE-2025-23167 |
nodejs-nodemon | nodejs-nodemon-2.0.20-3.al8 | nodejs-nodemon-3.0.1-1.al8 | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 |
nodejs-packaging | nodejs-packaging-23-3.1.al8 | nodejs-packaging-2021.06-4.al8 | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 |
open-vm-tools | open-vm-tools-12.3.5-2.al8 | open-vm-tools-12.3.5-2.al8.1 | CVE-2025-41244 |
opendnssec | opendnssec-2.1.7-1.1.al8 | opendnssec-2.1.7-2.al8 | CVE-2025-4404 |
openssh | openssh-8.0p1-25.0.1.1.al8 | openssh-8.0p1-26.0.1.1.al8 | CVE-2025-26465 |
osbuild | osbuild-126-1.0.1.al8 | osbuild-141.2-1.0.1.al8 | CVE-2024-34158 CVE-2024-9355 CVE-2024-1394 |
osbuild-composer | osbuild-composer-118-2.0.1.al8 | osbuild-composer-132.2-2.0.1.al8 | CVE-2025-22871 |
pam | pam-1.3.1-36.al8 | pam-1.3.1-38.al8 | CVE-2025-6020 |
pcs | pcs-0.10.18-2.0.1.1.al8.3 | pcs-0.10.18-2.0.1.1.al8.6 | CVE-2024-49761 |
perl | perl-5.26.3-422.0.1.al8 | perl-5.26.3-423.0.1.al8 | CVE-2025-40909 |
perl-CPAN | perl-CPAN-2.18-397.1.0.2.al8 | perl-CPAN-2.18-402.0.1.al8 | CVE-2020-16156 |
perl-FCGI | perl-FCGI-0.78-11.2.al8 | perl-FCGI-0.78-12.al8 | CVE-2025-40907 |
perl-File-Find-Rule | perl-File-Find-Rule-0.34-8.1.al8 | perl-File-Find-Rule-0.34-9.al8 | CVE-2011-10007 |
perl-JSON-XS | perl-JSON-XS-3.04-3.2.al8 | perl-JSON-XS-3.04-4.al8 | CVE-2025-40928 |
perl-YAML-LibYAML | perl-YAML-LibYAML-0.70-1.1.al8 | perl-YAML-LibYAML-0.70-2.al8 | CVE-2025-40908 |
podman | podman-4.9.4-18.0.1.al8 | podman-4.9.4-23.0.1.al8 | CVE-2025-9566 |
postgresql | postgresql-13.18-1.0.1.al8 | postgresql-13.22-1.0.1.al8 | CVE-2025-8714 CVE-2025-8715 |
python-cryptography | python-cryptography-3.2.1-7.al8 | python-cryptography-3.2.1-8.al8 | CVE-2023-49083 |
python-jinja2 | python-jinja2-2.10.1-3.0.3.al8 | python-jinja2-2.10.1-7.0.1.al8 | CVE-2025-27516 |
python-requests | python-requests-2.20.0-5.al8 | python-requests-2.20.0-6.al8 | CVE-2024-47081 |
python-setuptools | python-setuptools-39.2.0-8.al8.1 | python-setuptools-39.2.0-9.al8 | CVE-2025-47273 |
python3 | python3-3.6.8-69.0.1.1.al8 | python3-3.6.8-71.0.1.1.al8 | CVE-2025-8194 |
python3.11 | python3.11-3.11.11-1.0.1.al8 | python3.11-3.11.13-2.0.1.al8 | CVE-2025-8194 |
python3.11-setuptools | python3.11-setuptools-65.5.1-3.al8 | python3.11-setuptools-65.5.1-4.al8 | CVE-2025-47273 |
qemu-kvm | qemu-kvm-6.2.0-53.0.1.al8.2 | qemu-kvm-6.2.0-53.0.8.al8.4 | CVE-2025-49133 |
redis | redis-6.2.7-1.0.3.al8 | redis-6.2.19-1.0.1.1.al8 | CVE-2025-32023 CVE-2025-48367 |
resource-agents | resource-agents-4.9.0-54.al8.6 | resource-agents-4.9.0-54.al8.16 | CVE-2024-47081 |
rsync | rsync-3.1.3-20.0.1.al8 | rsync-3.1.3-23.0.1.al8 | CVE-2016-9840 |
runc | runc-1.1.12-5.0.1.al8 | runc-1.1.12-6.0.1.al8 | CVE-2025-22869 |
skopeo | skopeo-1.14.5-3.0.1.al8 | skopeo-1.14.5-4.0.1.al8 | CVE-2025-22871 CVE-2025-6032 |
socat | socat-1.7.4.1-1.0.1.al8 | socat-1.7.4.1-2.0.1.al8 | CVE-2024-54661 |
spice-client-win | spice-client-win-8.8-1.al8 | spice-client-win-8.10-1.al8 | CVE-2025-27363 CVE-2025-32050 CVE-2025-32052 CVE-2025-32053 CVE-2025-32906 CVE-2025-32907 CVE-2025-32909 CVE-2025-32910 CVE-2025-32911 CVE-2025-32913 |
sqlite | sqlite-3.26.0-19.al8 | sqlite-3.26.0-20.al8 | CVE-2025-6965 |
sudo | sudo-1.9.5p2-1.0.2.al8 | sudo-1.9.5p2-1.0.2.al8.1 | CVE-2025-32462 |
tbb | tbb-2018.2-9.2.al8 | tbb-2018.2-10.al8.1 | CVE-2020-11023 |
tigervnc | tigervnc-1.13.1-14.al8 | tigervnc-1.15.0-7.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
tomcat | tomcat-9.0.87-1.al8.2 | tomcat-9.0.87-1.al8.6 | CVE-2025-48976 CVE-2025-48988 CVE-2025-48989 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506 |
udisks2 | udisks2-2.9.0-16.0.1.1.al8 | udisks2-2.9.0-16.0.4.al8.1 | CVE-2025-8067 |
unbound | unbound-1.16.2-7.al8 | unbound-1.16.2-9.al8 | CVE-2025-5994 |
varnish | varnish-6.0.13-1.0.1.1.al8 | varnish-6.0.13-1.1.al8.1 | CVE-2025-47905 |
vim | vim-8.0.1763-19.0.2.al8.5 | vim-8.0.1763-21.0.1.al8 | CVE-2025-53905 CVE-2025-53906 |
webkit2gtk3 | webkit2gtk3-2.46.5-1.0.1.al8 | webkit2gtk3-2.46.6-2.0.1.al8 | CVE-2025-24201 |
xdg-utils | xdg-utils-1.1.3-11.al8 | xdg-utils-1.1.3-13.al8 | CVE-2022-4055 |
xmlrpc-c | xmlrpc-c-1.51.0-10.0.1.al8 | xmlrpc-c-1.51.0-11.0.1.al8 | CVE-2024-8176 |
xorg-x11-server | xorg-x11-server-1.20.11-25.0.1.al8 | xorg-x11-server-1.20.11-26.0.1.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
xorg-x11-server-Xwayland | xorg-x11-server-Xwayland-23.2.7-1.al8 | xorg-x11-server-Xwayland-23.2.7-4.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
yelp | yelp-40.3-2.al8 | yelp-40.3-2.al8.1 | CVE-2025-3155 |
yelp-xsl | yelp-xsl-40.2-1.0.1.al8 | yelp-xsl-40.2-1.0.1.al8.1 | CVE-2025-3155 |
修正された問題
qemu-kvm のバージョンが arm64 で Spice をサポートしていなかった問題を修正しました。
/etc/timezone がシンボリックリンクから通常のテキストファイルに変更される問題を修正しました。
cloud-init をアンインストールした後にシンボリックリンクが残る問題を修正しました。
既知の問題
ebmhfr7.48xlarge16 ECS Bare Metal Instance では、NetworkManager-wait-online サービスが起動に失敗します。これは、インスタンスに NetworkManager によって管理されていない usb0 インターフェイスがあるため、サービスが失敗するためです。サービスを手動で構成して再起動することで、この問題を解決できます。
解決策
/etc/NetworkManager/conf.d/99-unmanaged-device.conf ファイルを作成し、次の内容を追加します。
[device-usb0-unmanaged] match-device=interface-name:usb0 managed=0編集が完了したら、システムを再起動します。NetworkManager-wait-online サービスは正常に起動します。
Alibaba Cloud Linux 3 AI Extension Edition 0.5.4
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension ARM Edition 0.5.4 | aliyun_3_0_arm64_20G_alibase_aiext_0.5.4_20251031.vhd | 2025-11-30 |
|
更新内容
重要な更新
カーネルを 5.10.134-19.2.al8.aarch64 にアップグレードしました。
カーネルの更新:
マイクロコードのホットアップグレード中に、Zen2 以外のアーキテクチャで Zenbleed 脆弱性にパッチが適用される問題を修正しました。
機密コンピューティングのシナリオで、システムが高位アドレスメモリ (>2 GB) をバウンスバッファとして割り当てられるように、swiotlb_any cmdline パラメーターを追加しました。
EFI を使用して TDX 仮想マシンを起動する際に、EFI スタブフェーズでメモリが正しく処理されない問題を修正しました。
PCIe セカンダリバス上のダウンストリームデバイスが、バスリセット後に初期化が完了する前に使用され、エラーやデバイスのオフラインを引き起こす問題を修正しました。
ハードウェアリンク例外時に Yitian インスタンスでカーネルの起動が失敗するのを防ぐため、DWC_PMU ドライバーの問題を修正しました。
Group Balancer の潜在的なクラッシュを修正しました。
特定のシナリオで virtio_net と vhost で予期しないパケット損失が発生する問題を修正しました。
イメージの更新
デフォルトで
python3.12-3.12.7-1.al8を提供およびインストールし、デフォルトの Python 3 バージョンとして設定します。keentuned-3.4.1-1.al8を通じて AI シナリオ向けのインテリジェントなチューニングを提供します。デフォルトで
kmod-fuse-5.10.134~19.2-1.2.5~1.al8をインストールします。これにより、fuse over io_uring モードのサポートが強化され、100 万 IOPS と 40 GB/s のキャッシュ読み書き帯域幅という二重の改善が実現されます。
Alibaba Cloud Linux 3 AI Extension Edition 0.5.3
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.3 | aliyun_3_0_x64_20G_alibase_aiext_0.5.3_20251011.vhd | 2025-10-11 |
|
内容の更新
重要な更新
カーネル
カーネルをバージョン
5.10.134-19.103.al8.x86_64にアップグレードしました。新機能
5 レベルページテーブルのサポートを追加しました。互換性のため、ユーザーモードアプリケーションは、5 レベルページテーブル空間の割り当てを有効にするために、メモリマッピング (mmap) 中にヒントとして高位アドレスを明示的に指定する必要があります。この機能は最大 1 PB のメモリ管理をサポートします。
PCIe Resizable BAR 機能が追加されました。この機能により、BIOS 構成を変更せずに PCIe デバイスの BAR サイズを調整できます。
ページテーブルページの再利用機能がデフォルトで有効になりました。reclaim_pt パラメーターがデフォルトで cmdline に追加されます。この機能は、MADV_DONTNEED パスでページテーブルページを再利用してメモリを節約し、早期のメモリ不足 (OOM) の問題を防止します。
混合デプロイメントのサポートを強化しました。混合デプロイメントシナリオのロードバランシングポリシーを最適化しました。絶対抑制ポリシーがリファクタリングされ、オンラインタスクがオフラインタスクを抑制できるようになりました。この変更により、オフラインタスクがオンラインタスクをプリエンプトするのを防ぎます。
互換性
UPI をサポートするために GNR のパッチをバックポートしました。
以前のバージョンとのカーネル kABI の一貫性を維持しました。
cmdline の変更: pci_quirk パラメーターはデフォルトで有効になっており、pci_quirk=disable を追加することで無効にできます。drv_quirk パラメーターはデフォルトで無効になっており、drv_quirk=enable を追加することで有効にできます。
安定性
virtio-net で大小両方のパケットで発生したチェックサムエラーを修正しました。
グループバランサーの use-after-free の問題を修正しました。
再起動またはシャットダウン中に NVMe ドライバーで発生したヌルポインターの問題を修正しました。
vhost スレッドの例外を修正しました。
イメージ
update-grubenvサービスは、起動時に現在のブートモード (UEFI またはレガシー BIOS) を自動的に検出し、/boot/grub2/grubenv構成ファイルを更新して、GRand Unified Bootloader (GRUB) 環境変数がブート方法と一致するようにします。このサービスはデフォルトで有効になっています。keentuned を最新バージョンの
keentuned-3.4.0-1.al8.x86_64にアップグレードしました。kmod-fuse を
kmod-fuse-5.10.134~19.103-1.2.4.5~2.al8.x86_64にアップグレードしました。cmdline から
drv_quirk=disableとdrv_link_quirk=disableを削除し、reclaim_ptを追加しました。
セキュリティ更新
パッケージ名 | CVE ID | 更新バージョン |
bind-export-libs | CVE-2024-11187 | 9.11.36-16.0.1.al8.4 |
bzip2 | CVE-2019-12900 | 1.0.6-28.al8 |
bzip2-libs | 1.0.6-28.al8 | |
cups-client | CVE-2025-58060 | 2.2.6-63.0.1.al8 |
cups-libs | 2.2.6-63.0.1.al8 | |
expat | CVE-2024-8176 | 2.2.5-17.al8 |
freetype | CVE-2025-27363 | 2.10.4-10.al8 |
glib2 | CVE-2024-52533 CVE-2025-4373 | 2.68.4-16.0.1.al8.2 |
glibc | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 | 2.32-1.21.al8 |
glibc-all-langpacks | 2.32-1.21.al8 | |
glibc-common | 2.32-1.21.al8 | |
glibc-devel | 2.32-1.21.al8 | |
glibc-headers-x86 | 2.32-1.21.al8 | |
grub2-common | CVE-2025-0624 | 2.02-165.0.1.al8 |
grub2-efi-x64 | 2.02-165.0.1.al8 | |
grub2-pc | 2.02-165.0.1.al8 | |
grub2-pc-modules | 2.02-165.0.1.al8 | |
grub2-tools | 2.02-165.0.1.al8 | |
grub2-tools-efi | 2.02-165.0.1.al8 | |
grub2-tools-extra | 2.02-165.0.1.al8 | |
grub2-tools-minimal | 2.02-165.0.1.al8 | |
krb5-libs | CVE-2025-3576 | 1.18.2-32.0.1.al8 |
libarchive | CVE-2025-5914 | 3.5.3-6.al8 |
libblockdev | CVE-2025-6019 | 2.28-7.al8 |
libblockdev-crypto | 2.28-7.al8 | |
libblockdev-fs | 2.28-7.al8 | |
libblockdev-loop | 2.28-7.al8 | |
libblockdev-mdraid | 2.28-7.al8 | |
libblockdev-part | 2.28-7.al8 | |
libblockdev-swap | 2.28-7.al8 | |
libblockdev-utils | 2.28-7.al8 | |
libcap | CVE-2025-1390 | 2.48-6.0.2.al8 |
libtasn1 | CVE-2024-12133 | 4.13-5.0.1.al8 |
libudisks2 | CVE-2025-8067 | 2.9.0-16.0.4.al8.1 |
libxml2 | CVE-2025-32415 | 2.9.7-21.0.1.1.al8.3 |
nscd | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 | 2.32-1.21.al8 |
pam | CVE-2025-6020 CVE-2025-8941 | 1.3.1-38.al8 |
perl-Errno | CVE-2025-40909 | 1.28-423.0.1.al8 |
perl-interpreter | 5.26.3-423.0.1.al8 | |
perl-IO | 1.38-423.0.1.al8 | |
perl-libs | 5.26.3-423.0.1.al8 | |
perl-macros | 5.26.3-423.0.1.al8 | |
platform-python | CVE-2025-8194 | 3.6.8-71.0.1.1.al8 |
platform-python-devel | 3.6.8-71.0.1.1.al8 | |
platform-python-setuptools | CVE-2025-47273 | 39.2.0-9.al8 |
python3-cryptography | CVE-2023-49083 | 3.2.1-8.al8 |
python3-libs | CVE-2025-8194 | 3.6.8-71.0.1.1.al8 |
python3-libxml2 | CVE-2025-32415 | 2.9.7-21.0.1.1.al8.3 |
python3-requests | CVE-2024-47081 | 2.20.0-6.al8 |
python3-setuptools | CVE-2025-47273 | 39.2.0-9.al8 |
python3-setuptools-wheel | 39.2.0-9.al8 | |
python3-unbound | CVE-2025-5994 | 1.16.2-9.al8 |
socat | CVE-2024-54661 | 1.7.4.1-2.0.1.al8 |
sqlite | CVE-2025-6965 | 3.26.0-20.al8 |
sqlite-libs | 3.26.0-20.al8 | |
tuned | CVE-2024-52337 | 2.22.1-5.0.1.1.al8 |
udisks2 | CVE-2025-8067 | 2.9.0-16.0.4.al8.1 |
unbound-libs | CVE-2025-5994 | 1.16.2-9.al8 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2 | aliyun_3_0_x64_20G_alibase_aiext_0.5.2_20250714.vhd | 2025-07-14 |
|
内容の更新
重要な更新
標準的なコミュニティ openclip/bevformer AI コンテナイメージ (AC2) と Alibaba Cloud Linux 3 AI Extension Edition 0.5.2 を使用すると、Ubuntu 22.04 と比較してトレーニングと推論のパフォーマンスが向上します:
bevformer_base トレーニングの場合、ステップあたりの平均スループットは FP32 精度で 13%、FP16 精度で 12% から 18% 増加します。
openclip (RN50) の場合、ステップあたりの平均トレーニングスループットは 26% 増加し、平均推論スループットは 26% 増加します。
コミュニティの openclip/bevformer AI コンテナイメージを Alibaba Cloud 最適化バージョンに置き換えると、パフォーマンスの向上は次のようになります:
bevformer_base トレーニングの場合、ステップあたりの平均スループットは FP32 精度で 22%、FP16 精度で 17% から 20% 増加します。
openclip (RN50) の場合、ステップあたりの平均トレーニングスループットは 46% 増加し、平均推論スループットは 26% 増加します。
カーネル
カーネルをバージョン 5.10.134-19.101.al8.x86_64 にアップグレードしました。
スケジューリング
クラスター スケジューリングのラウンドロビン属性。
ルートグループ内の移動不可能なスレッドに対する BVT 構成のサポートが追加されました。
コアスケジューリングは、各
cookieの特別なプロパティの独立した構成をサポートするようになりました。cookieを持たない通常のタスクとコアを共有できます。ロードバランサーが同じ
cookieを持つタスクを自動的にグループ化するのを防ぎ、代わりに異なるコアに分散させます。
メモリ
mmap()は、Transparent Enormous Pages (THP) にアラインされたアドレス空間の割り当てをサポートするようになりました。virtio-memはmemmap_on_memory機能をサポートしており、コンテナメモリの高速なスケーリングを可能にします。モデルトレーニングシナリオでのパフォーマンスを向上させるための一時ファイル最適化機能が追加されました。
メモリ使用効率を向上させ、モデルトレーニングシナリオでのパフォーマンスを強化するための
pagecache limit平滑化再利用機能が追加されました。メモリ使用効率を向上させ、モデルトレーニングシナリオでパフォーマンス上の利点を提供するためのページテーブルページ再利用機能が追加されました。この機能を有効にするには、
reclaim_ptをcmdlineに追加します。shmem ファイルページの遅延解放を制御するスイッチが追加されました。
kfenceの安定性の問題や、大きなコードページに対する THP カウントの問題など、さまざまな問題を修正しました。
ネットワーク
link groupやlink use-after-freeの問題、コンテナシナリオでのsmc-rデバイス検索の失敗など、さまざまな SMC の問題を修正しました。
ストレージ
erofs:
メインラインから erofs ファイルシステムのいくつかの修正をバックポートしました。
ファイルバックアップマウントと 48 ビットレイアウトのサポートが追加されました。
圧縮ファイルのサブページブロックのサポートが追加されました。
ext4、block、blk-mq、io_uring などのコンポーネントについて、メインラインの安定版ブランチからパッチをバックポートしました。
virtio-blk デバイスに
virtio-blk passthrough機能が追加されました。
ドライバー
NVMe ドライバーは、完了したポーリング IO コマンドのバッチ処理をサポートするようになりました。
NVMe ドライバーは、クラウドディスクとローカルディスクの差別化されたパラメーター構成をサポートするようになりました。
不正なスペースサイズ計算やルートバス割り当てなどの問題を修正するために、PCIe ドライバーのバグ修正パッチをマージしました。
BPF
コミュニティの安定版ブランチからバグ修正と CVE 修正パッチをバックポートしました。
パッケージ
python3.12-3.12.7-1.al8.x86_64パッケージが提供され、デフォルトでインストールされ、デフォルトの Python 3 バージョンとして設定されます。keentuned-3.2.4-2.al8.x86_64パッケージは、AI シナリオ向けのインテリジェントなチューニングを提供します。
既知の問題
ecs.ebmgn8t.32xlarge インスタンスでは、インスタンスの起動中に NetworkManager-wait-online サービスが起動に失敗します。
インスタンスには USB ネットワークデバイスが含まれており、これにより NetworkManager サービスの起動時間が増加します。これにより、NetworkManager-wait-online サービスがタイムアウトし、起動に失敗します。USB ネットワークデバイスを使用しない場合は、NetworkManager が usb0 を無視するように構成できます。これを行うには、
/etc/NetworkManager/conf.d/99-unmanaged-device.confファイルを編集し、次の内容を追加します。[device-usb0-unmanaged] match-device=interface-name:usb0 managed=0編集が完了したら、NetworkManager サービスを再起動して変更をすぐに有効にします。NetworkManager は usb0 デバイスを管理しなくなります。システムを再起動して、NetworkManager-wait-online サービスが正常に起動することを確認します。
vhost-netを使用すると、CPU 使用率が 100% に達し、ネットワークが利用できなくなることがあります。この問題は、次の修正プログラムをインストールすることで解決できます:yum install kernel-hotfix-22577883-5.10.134-19.101 -yNVMe ハードウェア例外が発生した後、reboot コマンドを実行するとヌルポインターの問題が発生する可能性があります。この問題を解決するには、次の修正プログラムをインストールします:
yum install kernel-hotfix-22584571-5.10.134-19.101 -y
Alibaba Cloud Linux 3.2104 U12
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U12 | aliyun_3_x64_20G_alibase_20250629.vhd | 2025-06-29 |
|
aliyun_3_x64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_x64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID | 更新バージョン |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
libtiff | CVE-2023-52356 | libtiff-4.4.0-12.0.2.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
python3.11 | CVE-2024-6232 | python3.11-3.11.10-1.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
podman | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | podman-4.9.4-15.0.1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
gstreamer1-plugins-good | CVE-2024-47537 CVE-2024-47539 CVE-2024-47540 CVE-2024-47606 CVE-2024-47613 | gstreamer1-plugins-good-1.16.1-5.al8 |
gstreamer1-plugins-base | CVE-2024-47538 CVE-2024-47607 CVE-2024-47615 | gstreamer1-plugins-base-1.22.1-3.0.1.al8 |
libsndfile | CVE-2024-50612 | libsndfile-1.0.28-16.0.1.al8 |
tuned | CVE-2024-52337 | tuned-2.22.1-5.0.1.1.al8 |
edk2 | CVE-2024-38796 | edk2-20220126gitbb1bba3d77-13.0.1.al8.4 |
bluez | CVE-2023-45866 | bluez-5.63-3.0.1.al8 |
fontforge | CVE-2024-25081 CVE-2024-25082 | fontforge-20200314-6.0.1.al8 |
mpg123 | CVE-2024-10573 | mpg123-1.32.9-1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-4558 | webkit2gtk3-2.46.3-2.0.1.al8 |
python-requests | CVE-2024-35195 | python-requests-2.20.0-5.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.2.al8 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.2.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-44309 CVE-2024-4558 | webkit2gtk3-2.46.5-1.0.1.al8 |
dpdk | CVE-2024-11614 | dpdk-23.11-2.al8 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.1.al8 |
iperf3 | CVE-2024-53580 | iperf3-3.9-13.al8.1 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.2.al8 |
NetworkManager | CVE-2024-3661 | NetworkManager-1.40.16-18.0.1.al8 |
raptor2 | CVE-2024-57823 | raptor2-2.0.15-17.0.1.al8 |
rsync | CVE-2024-12085 | rsync-3.1.3-20.0.1.al8 |
fence-agents | CVE-2024-56201 CVE-2024-56326 | fence-agents-4.10.0-76.0.1.al8.4 |
glibc | CVE-2022-23218 CVE-2022-23219 | glibc-2.32-1.19.al8 |
glibc | CVE-2024-33602 CVE-2024-33601 CVE-2024-33600 CVE-2024-33599 | glibc-2.32-1.20.al8 |
grafana | CVE-2025-21613 CVE-2025-21614 | grafana-9.2.10-21.0.1.al8 |
redis | CVE-2022-24834 CVE-2022-35977 CVE-2022-36021 CVE-2023-22458 CVE-2023-25155 CVE-2023-28856 CVE-2023-45145 CVE-2024-31228 CVE-2024-31449 CVE-2024-46981 | redis-6.2.17-1.0.1.1.al8 |
python-jinja2 | CVE-2024-56326 | python-jinja2-2.10.1-3.0.4.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-28.al8 |
libsoup | CVE-2024-52531 | libsoup-2.62.3-7.0.1.al8 |
git-lfs | CVE-2024-53263 | git-lfs-3.4.1-4.0.1.al8 |
keepalived | CVE-2024-41184 | keepalived-2.2.8-4.al8 |
unbound | CVE-2024-1488 CVE-2024-8508 | unbound-1.16.2-8.al8 |
java-17-openjdk | CVE-2025-21502 | java-17-openjdk-17.0.14.0.7-3.0.1.1.al8 |
galera | CVE-2023-22084 CVE-2024-21096 | galera-26.4.20-1.al8 |
mariadb | CVE-2023-22084 CVE-2024-21096 | mariadb-10.5.27-1.0.1.al8 |
doxygen | CVE-2020-11023 | doxygen-1.8.14-13.al8 |
tbb | CVE-2020-11023 | tbb-2018.2-10.al8.1 |
gcc-toolset-13-gcc | CVE-2020-11023 | gcc-toolset-13-gcc-13.3.1-2.2.0.1.1.al8 |
nodejs | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-20.18.2-1.1.al8 |
nodejs-packaging | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-packaging-2021.06-4.al8 |
nodejs-nodemon | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-nodemon-3.0.1-1.al8 |
podman | CVE-2024-11218 | podman-4.9.4-19.0.1.al8 |
buildah | CVE-2024-11218 | buildah-1.33.12-1.al8 |
libcap | CVE-2025-1390 | libcap-2.48-6.0.2.al8 |
libxml2 | CVE-2022-49043 | libxml2-2.9.7-18.0.4.1.al8 |
bind | CVE-2024-11187 | bind-9.11.36-16.0.1.al8.4 |
postgresql | CVE-2025-1094 | postgresql-13.20-1.0.1.al8 |
libpq | CVE-2025-1094 | libpq-13.20-1.0.1.al8 |
mecab-ipadic | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mecab-ipadic-2.7.0.20070801-17.0.1.al8 |
mysql | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mysql-8.0.41-1.0.1.1.al8 |
emacs | CVE-2025-1244 | emacs-27.2-11.0.1.al8.1 |
webkit2gtk3 | CVE-2024-54543 CVE-2025-24143 CVE-2025-24150 CVE-2025-24158 CVE-2025-24162 | webkit2gtk3-2.46.6-1.0.1.al8 |
tigervnc | CVE-2025-26594 CVE-2025-26595 CVE-2025-26596 CVE-2025-26597 CVE-2025-26598 CVE-2025-26599 CVE-2025-26600 CVE-2025-26601 | tigervnc-1.13.1-15.al8 |
rsync | CVE-2024-12087 CVE-2024-12088 CVE-2024-12747 | rsync-3.1.3-21.0.1.al8 |
libxml2 | CVE-2024-56171 CVE-2025-24928 | libxml2-2.9.7-19.0.1.1.al8 |
krb5 | CVE-2025-24528 | krb5-1.18.2-31.0.1.al8 |
pcs | CVE-2024-52804 | pcs-0.10.18-2.0.1.1.al8.4 |
webkit2gtk3 | CVE-2025-24201 | webkit2gtk3-2.46.6-2.0.1.al8 |
fence-agents | CVE-2025-27516 | fence-agents-4.10.0-76.0.1.al8.6 |
podman | CVE-2025-22869 | podman-4.9.4-20.0.1.al8 |
runc | CVE-2025-22869 | runc-1.1.12-6.0.1.al8 |
grub2 | CVE-2025-0624 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
libreoffice | CVE-2025-1080 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
freetype | CVE-2025-27363 | freetype-2.10.4-10.al8 |
python-jinja2 | CVE-2025-27516 | python-jinja2-2.10.1-7.0.1.al8 |
libxslt | CVE-2024-55549 CVE-2025-24855 | libxslt-1.1.32-6.1.0.1.al8 |
tomcat | CVE-2024-50379 CVE-2025-24813 | tomcat-9.0.87-1.al8.3 |
expat | CVE-2024-8176 | expat-2.2.5-17.al8 |
mod_auth_openidc | CVE-2025-31492 | mod_auth_openidc-2.4.9.4-7.al8 |
xmlrpc-c | CVE-2024-8176 | xmlrpc-c-1.51.0-11.0.1.al8 |
libtasn1 | CVE-2024-12133 | libtasn1-4.13-5.0.1.al8 |
bluez | CVE-2023-27349 CVE-2023-51589 | bluez-5.63-5.0.1.al8 |
パッケージの更新
新機能
AI モデルのトレーニングや推論などのシナリオで、機密コンピューティングに基づく強化されたデータセキュリティを提供するために、Confidential AI を追加しました。
ras-toolsを使用した PCIe フォールトインジェクションのサポートが追加されました。ハードウェアサポートを拡張するために 26 の外部デバイスドライバーを追加しました。これらのドライバーはデフォルトではインストールされません。
kmod-ast-5.10.134~19-1.14.4~1.al8.src.rpmkmod-bnxt-5.10.134~19-1.10.3_231.0.162.0~2.al8.src.rpmkmod-fic2-5.10.134~19-1.2.6~1.al8.src.rpmkmod-hinic-5.10.134~19-1.0~1.al8.src.rpmkmod-hns3-5.10.134~19-1.0~1.al8.src.rpmkmod-i40e-5.10.134~19-2.23.17~1.al8.src.rpmkmod-iavf-5.10.134~19-4.9.4~1.al8.src.rpmkmod-ice-5.10.134~19-1.12.13.4~2.al8.src.rpmkmod-igb-5.10.134~19-5.14.16~1.al8.src.rpmkmod-intel-QAT20-5.10.134~19-L.0.9.4__00004~1.al8.src.rpmkmod-irdma-5.10.134~19-1.13.43~1.al8.src.rpmkmod-ixgbe-5.10.134~19-5.19.6~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-kvdo-6.2.8.7-94.0.1.al8.src.rpmkmod-lpfc-5.10.134~19-14.2.673.37~1.al8.src.rpmkmod-mellanox-5.10.134~19-23.10~2.al8.src.rpmkmod-mpi3mr-5.10.134~19-8.11.1.0.0~1.al8.src.rpmkmod-mpt3sas-5.10.134~19-47.00.00.00~1.al8.src.rpmkmod-ngbevf-5.10.134~19-1.2.2~2.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-qla2xxx-5.10.134~19-10.02.09.00_k~1.al8.src.rpmkmod-sfc-5.10.134~19-5.3.16.1004~2.al8.src.rpmkmod-smartpqi-5.10.134~19-2.1.22_040~1.al8.src.rpmkmod-sxe-5.10.134~19-1.3.1.1~1.al8.src.rpmkmod-txgbevf-5.10.134~19-1.3.1~2.al8.src.rpmkmod-xscale-5.10.134~19-1.2.0_367~2.al8.src.rpm
重要な更新
カーネル
カーネルを kernel-5.10.134-19.1.al8 にアップグレードしました。
スケジューリング
クラスター スケジューリング機能をマージしました。
ルートグループ内の移動不可能なスレッドに対する BVT 構成のサポートが追加されました。
コアスケジューリングは、各 cookie の特別なプロパティの独立した構成をサポートするようになりました。
cookie を持たない通常のタスクとコアを共有できます。
ロードバランサーが同じ cookie を持つタスクを自動的にグループ化するのを防ぎ、代わりに異なるコアに分散させます。
メモリ
kfenceの安定性の問題を修正しました。大きなコードページの Transparent Enormous Pages (THP) カウントの問題を修正しました。
mmap()は THP にアラインされたアドレス空間の割り当てをサポートするようになりました。virtio-memは、コンテナがメモリを迅速にスケールインおよびスケールアウトするのに役立つmemmap_on_memory機能をサポートします。その他のメモリ関連の CVE パッチをマージしました。
ネットワーク
link groupとlink use-after-freeの問題を修正しました。コンテナシナリオで
smc-rデバイスの検索が失敗する問題を修正しました。
ストレージ
erofs
メインラインから erofs ファイルシステムのいくつかの修正をマージしました。
ファイルバックアップマウントと 48 ビットレイアウトのサポートが追加されました。
圧縮ファイルのサブページブロックのサポートが追加されました。
ext4、block、blk-mq、io_uring などのコンポーネントについて、メインラインの安定版ブランチからパッチをマージしました。
virtio-blk デバイスのパススルーをサポートするために
virtio-blk passthrough機能が追加されました。各 virtio-blk ブロックデバイスに
/dev/vdXc0という名前の汎用キャラクターデバイスが追加されました。このデバイスを使用すると、io_uring フレームワークが提供するuring_cmdメソッドを使用して、読み取りおよび書き込みコマンドを virtio-blk ドライバーレイヤーに直接送信できます。virtio-blk デバイスに双方向コマンドサポートが追加されました。この機能により、同じセクターベースアドレスでのベクターのような読み書き操作で、書き込みバッファーと読み取りバッファーの数を指定できます。これにより、単一の I/O 命令で読み取りと書き込みの両方の操作を完了できます。現在、書き込み後読み取り操作のみがサポートされています。
virtio-blk に基づく ring_pair という名前の virtio_ring 拡張が導入されました。このモデルでは、各 virtio-blk リクエストハードウェアキューは、送信キュー (SQ) と完了キュー (CQ) の 2 つの virtio_ring キューに対応します。リクエストが送信された後、ドライバーは送信された I/O コマンドによって占有されているスロットを積極的に再利用して、他のリクエストを送信できます。I/O 操作が完了すると、バックエンドは CQ を埋め、ドライバーは応答を収集する責任があります。この機能には、バックエンドが ring_pair 操作モードをサポートしている必要があります。現在、
vring split_queue+Indirect descriptorモードのみがサポートされています。
ドライバー
NVMe ドライバーは、完了したポーリング I/O コマンドのバッチ処理をサポートするようになりました。
SCSI 用の HiSilicon SAS ドライバーと libsas の多数の問題を修正しました。
不正なスペースサイズ計算やルートバス割り当てなどの問題を修正するために、PCIe ドライバーのバグ修正パッチをマージしました。
BPF
コミュニティの安定版ブランチからバグ修正と CVE 修正パッチをマージしました。
アーキテクチャ
x86 アーキテクチャ関連の CVE を修正しました。
解決済みの問題
alinux-base-setupをalinux-base-setup-3.2-8.al8に更新し、ARM アーキテクチャでKdumpの生成に失敗し、grubby パラメーターが有効にならない問題を修正しました。gdmをgdm-40.0-27.0.1.1.al8に更新し、画面がロックされた後にデスクトップが復帰しない問題を修正しました。alinux-releaseパッケージをalinux-release-3.2104.12-1.al8に更新し、Alibaba Cloud Linux の EULA ファイルを更新しました。dumpをdump-0.4-0.36.b46.3.al8に更新し、dumpで増分バックアップを実行した後に復元操作が失敗する問題を修正しました。mavenをmaven-3.6.2-9.1.al8に更新し、Alibaba Cloud Linux 3 にインストールした直後にmvnコマンドが利用できない問題を修正しました。Alibaba Cloud Linux 3 の
tdxシナリオにおけるgrub2のエラーを修正するため、grub2をgrub2-2.02-165.0.2.al8に更新しました。
既知の問題
virtio-blk パススルーは virtio-blk デバイス用の汎用キャラクターデバイスを導入するため、一部のユーザーコンポーネントでデバイス検出の問題が発生する可能性があります。
/dev/vda などのデバイスでは、パーティションには 1 から始まる番号が付けられます。したがって、/dev/vdac0 は /dev/vda のキャラクターデバイスであり、/dev/vdac とは関連付けられていません。なお、/dev/vdac0 はキャラクターデバイスであり、ブロックデバイスではありません。この文字チャンネルが不要な場合は、カーネルを kernel-5.10.134-19.1.al8 にアップグレードすることで、このインターフェイスが virtio-blk ディスクに公開されないようにすることができます。
Alibaba Cloud Linux 3.2104 U11.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U11.1 | aliyun_3_x64_20G_alibase_20250117.vhd | 2025-01-17 |
|
aliyun_3_x64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_x64_20G_container_optimized_20250117.vhd | 2025-01-17 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID |
python-requests | CVE-2024-35195 |
cups | CVE-2024-47175 |
NetworkManager | CVE-2024-3661 |
イメージ
loadmodulesサービスはデフォルトで有効になっています。timedatexサービスはデフォルトで有効になっています。
2024
Alibaba Cloud Linux 3.2104 U11
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U11 | aliyun_3_x64_20G_alibase_20241218.vhd | 2024-12-18 |
|
aliyun_3_x64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_x64_20G_container_optimized_20241226.vhd | 2024-12-26 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID | バージョン |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
パッケージの更新
新機能
AMD および NVIDIA GPU ベースの機密コンピューティング機能のサポートが追加されました。
util-linux-2.32.1-46.0.3.al8により、多数のpcieデバイスを持つシステムでのlscpuコマンドのパフォーマンスが最適化されます。erofs-utils-1.8.2-1.al8を使用してコンテナーストレージを実装しました。java-11-alibaba-dragonwell-11.0.24.21.21-1.1.al8を更新し、ビッグデータシナリオでのパフォーマンスを向上させるために BigDecimal クラスを最適化しました。Java のパフォーマンスを向上させるために
java-21-alibaba-dragonwell-21.0.4.0.4-1.1.al8を更新しました。システムマクロ変数の構成を提供するために
system-rpm-config-129-1.0.2.1.al8コンポーネントが追加されました。
重要な更新
カーネル
カーネルをバージョン 5.10.134-18.al8 にアップグレードしました。
新しいハードウェアのサポート
Intel GNR プラットフォームの公式サポートが追加されました。
AMD Turin プラットフォームの公式サポートが追加されました。
スケジューリング
cgroup v2はcpu sliをサポートするようになりました。これには、cpuusageやloadavgなどのコンテナーレベルのデータが含まれます。メモリ
複数のメモリ関連の問題を修正し、
kernel-5.10 stableブランチから複数のメモリbugfixパッチをバックポートしました。pgtable_share機能はデフォルトで無効になっています。コードセグメントの巨大ページは
direct collapseモードをサポートするようになりました。これにより、page fault中に巨大ページに迅速に統合されます。percpuの断片化によってchunksが解放不能になるのを防ぐために、percpu chunk解放最適化パッチセットをバックポートしました。
ネットワーク
virtio_netの Receive Side Scaling (RSS) ロジックを最適化し、RSS 構成がデバイスと一致し、キューの数に応じて正しく更新されるようにしました。bond 3ad モードに 200 G および 400 G レートのサポートを追加しました。
ストレージ
io_uring
percpu sqthreadsの同時作成におけるrace条件を修正しました。percpu sqthread構成を有効にする際に CPU の有効性をチェックする機能を追加しました。コード品質を向上させるために、コミュニティの
stableブランチからパッチをバックポートしました。
fuse/virtio-fs
pendingリクエストを再送信するサポートが追加されました。fuseのパフォーマンスを最適化するために、複数キューのサポートが追加されました。多数の書き込みリクエストが読み取りリクエストをブロックするのを防ぐために、読み書き分離を最適化しました。
failover機能のサポートが追加されました。この機能により、fuse daemonは異常回復後にattach操作を使用して元のfuse connectionに再接続できます。その後、リクエストを再送信し、他の操作を実行してエラー回復を完了できます。パフォーマンスを最適化するために 4 MB の書き込みアライメントのサポートが追加されました。
4 MB を超えるモジュールがロードされたときに
virtio-fsがI/O ハングを引き起こす問題を修正しました。virtio-fsにtagおよびqueue mapping sysfsのインターフェイスを追加しました。コード品質を向上させるために、コミュニティの
stableブランチからパッチをバックポートしました。
erofs
erofs_statfs()の UUID の問題を修正し、DEFLATE ストリーム割り当てロジックを最適化しました。コード品質を向上させるために、コミュニティの
stableブランチからパッチをバックポートしました。
ext4
EXT4_GROUP_INFO_WAS_TRIMMED_BIT のクリーンアップロジックを最適化しました。
コード品質を向上させるために、コミュニティの
stableブランチからパッチをバックポートしました。
xfs
xfs_log_force()における数十ミリ秒に及ぶ可能性のあるブロックに起因するジッターを削減することで、reflinkのパフォーマンスを最適化しました。CONFIG_FS_DAX を無効にすることによって引き起こされるコンパイルエラーを修正しました。
アトミック書き込み機能が有効な場合に
i_blocksが正しくチェックされるようにしました。
block
複数のハードウェアキューを持つデバイスの
mq-deadlineスケジューラにおけるI/O hangを修正しました。blockスロットリング構成の更新時に、bpsスロットリング計算で負の値が使用され、予期しないスロットリングが発生する不具合を修正しました。blk-mq "running from the wrong CPU"アラートを削除しました。コード品質を向上させるために、コミュニティの
stableブランチからパッチをバックポートしました。
misc
コード品質を向上させるために、
vfs、quota、overlayfs、nfs、cifs、ceph、dm/md、null_blk、nbd、loop、virtio-blkなどのモジュールについて、コミュニティのstableブランチからパッチをバックポートしました。
ドライバー
安定性を向上させるために、
kernel-5.10 LTSからwatchdogドライバーの修正をバックポートしました。NVMe ドライブは、最新の Alibaba Cloud ディスクアクティベーションソリューションをサポートするようになりました。
安定性を向上させるために、
kernel-5.10 LTSから NVMe ドライブの修正をバックポートしました。安定性を向上させるために、
kernel-5.10 LTSから SCSI 関連の修正をバックポートしました。安定性を向上させるために、
kernel-5.10 LTSから ATA 関連の修正をバックポートしました。block、net、および GPU レルム内のモジュールに対し、強制的な署名検証をサポートするsig_enforce_subsysパラメーターが導入されました。NetXen ネットワークインターフェイスカードドライバーは、コードの品質と安定性を向上させるために、
txgbeとtxgbevfの多数のパッチを統合しています。
Perf
perfツールにおいて、バックポートされたstableブランチのパッチに起因するポインターのメモリリークを修正しました。この修正により、コアダンプの障害が解決されます。BPF
Berkeley Packet Filter (BPF) プログラムでのアトミック操作のサポートが追加されました。
コミュニティから
stableおよびbugfixパッチをバックポートしました。
x86 アーキテクチャ
Intel GNR プラットフォームで C-state のサポートが追加されました。
EMR および GNR プラットフォームで p-state のサポートが追加されました。
新しいプラットフォームをサポートするために、
intel-speed-selectをバージョンv1.20に更新しました。仮想マシンへの Processor Event-Based Sampling (PEBS) 機能のパススルーのサポートが追加されました。
ACPI、APIC、消費電力、および PMU の
x86bugfixを他のアーキテクチャおよびシステムに適用しました。より多くの機能をサポートするために、
turbostateをバージョン2023.11.07にアップグレードしました。SPR および EMR での Compute Express Link (CXL) Performance Monitor (PMON) のサポートが追加されました。
AMD c2c のサポートが追加されました。
AMD Host System Management Port (HSMP) のサポートが追加されました。
AMD Indirect Branch Restricted Speculation (IBRS) の機能強化が追加されました。
AMD ABMC のサポートを追加しました。
修正された問題
パッケージ
systemd-239-82.0.3.4.al8.2において、Delegate=yesが設定されている場合に、非device cgroupサブグループが 20 秒以内にsystemdによって再利用される問題を修正しました。これにより、Pod が異常終了し、デプロイメントが失敗していました。ledmon-0.97-1.0.2.al8のメモリリークを修正しました。tuned-2.22.1-5.0.1.1.al8パッケージを使用して、Yitian プラットフォームでのデータアクセス効率を向上させました。mirror上のいくつかのコンポーネントのインストール失敗を修正しました。
イメージ
x86イメージのcrashkernelの値を変更し、vmcoreファイルが生成されない不具合を修正しました。Transparent Enormous Pages を使用するシナリオでメモリ再利用速度を向上させるために、
/sys/kernel/mm/transparent_hugepage/defragのデフォルトパラメーターをdeferに変更しました。
Alibaba Cloud Linux 3.2104 U10.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U10.1 | aliyun_3_x64_20G_alibase_20241103.vhd | 2024-11-03 |
|
aliyun_3_x64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
|
コンテンツの更新
セキュリティ更新
パッケージ名 | CVE ID | バージョン |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
パッケージの更新
新機能
libyang2コンポーネントが追加されました。keentunedとkeentune-targetをバージョン 3.1.1 に更新しました。ネットワークインターフェイスカードのキュー数を変更するためのチューニングオプションが追加されました。
優先度制御を変更するためのチューニングオプションが追加されました。
file-maxとschedulerのチューニングオプションが削除されました。安全でないコマンドの実行が削除されました。
keentunedのための 4 つの API コンポーネントが追加されました:keentune-bench、keentune-brain、keentune-ui、およびkeenopt。TCP 監視機能を強化するために
tcprtをバージョン 1.1.0 に更新しました。ACR のバージョン 20 ベースライン機能を提供するために
Node.jsを 20.16 に更新しました。erofs-utilsを 1.8.2 にアップグレードしました。このバージョンでは、いくつかの問題が修正され、より優れた EROFS が提供されます。
重要な更新
カーネル
カーネルをバージョン 5.10.134-17.3.al8 にアップグレードしました。
Anolis 開発の機能
SMC
大きなパケットの伝送遅延を最適化するために
AutoSplit機能が導入されました。SMC リンクグループ内の接続が RDMA QP を排他的に占有できるようになりました。
共有メモリの水位制御が導入されました。
SMC レイヤーでのデータ
dumpが導入されました。
swiotlb
swiotlbをメモリ空間全体に予約することをサポートするためにswiotlb=any cmdlineが導入されました。
コミュニティ機能
SMC Limited Handshake
sysctlパラメーター。SMC LGR と net 名前空間のディメンション別に分類された共有メモリ使用量統計をバックポートしました。
TDX
TDX Guest RTMR 更新インターフェイスが導入されました。リモートアテステーション用のカスタム測定値を追加できます。
ECDSA アルゴリズムモジュールが導入されました。
修正された問題
util-linux-2.32.1-46.0.3.al8において、クラスター内に多数のpciデバイスを検索する際にlscpuコマンドの実行に時間がかかる問題を修正しました。tzdata-2024a-1.0.1.6.al8において、移行中に一部のタイムゾーンファイルが欠落する問題を修正しました。SMC モジュールにおけるゼロ除算エラー、メモリリーク、その他の問題を修正しました。
複数のセキュリティソフトウェア製品が共存する場合にシステムがクラッシュする可能性があった
ftraceサブシステムのバグを修正しました。uprobeを使用する際の潜在的な境界外メモリアクセスの問題を修正しました。
Alibaba Cloud Linux 3.2104 U10
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U10 | aliyun_3_x64_20G_alibase_20240819.vhd | 2024-08-19 |
|
aliyun_3_x64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID | バージョン |
adwaita-qt |
| 1.4.2-1.al8 |
apr | CVE-2022-24963 | 1.7.0-12.al8 |
avahi |
| 0.7-21.0.1.al8.1 |
bind |
| 9.11.36-14.0.1.al8 |
c-ares |
| 1.13.0-9.al8.1 |
cockpit | CVE-2024-2947 | 310.4-1.al8 |
cups |
| 2.2.6-54.0.1.al8 |
cups-filters | CVE-2023-24805 | 1.20.0-32.0.1.al8 |
curl | CVE-2023-38546 | 7.61.1-34.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-39.0.2.al8 |
dhcp |
| 4.3.6-50.0.1.al8 |
dnsmasq |
| 2.79-32.0.1.al8 |
edk2 |
| 20220126gitbb1bba3d77-13.0.1.al8 |
expat | CVE-2023-52425 | 2.2.5-13.al8 |
evolution-mapi |
| 3.40.1-6.al8 |
flatpak |
| 1.12.9-1.al8 |
frr |
| 7.5.1-16.0.4.al8 |
fwupd | CVE-2022-3287 | 1.7.8-2.0.1.al8 |
ghostscript | CVE-2024-33871 | 9.54.0-16.al8 |
git |
| 2.43.5-1.0.1.al8 |
glib2 |
| 2.68.4-11.al8 |
gmp | CVE-2021-43618 | 6.2.0-13.0.1.al8 |
gnutls | CVE-2023-5981 | 3.6.16-8.0.2.al8 |
grafana |
| 9.2.10-16.0.1.al8 |
grafana-pcp | CVE-2024-1394 | 5.1.1-2.0.1.al8 |
gstreamer1-plugins-bad-free |
| 1.22.1-4.0.1.al8 |
gstreamer1-plugins-base | CVE-2023-37328 | 1.22.1-2.0.1.al8 |
gstreamer1-plugins-good | CVE-2023-37327 | 1.16.1-4.al8 |
harfbuzz | CVE-2023-25193 | 2.7.4-10.0.1.al8 |
httpd |
| 2.4.37-64.0.1.al8 |
mod_http2 |
| 1.15.7-10.al8 |
java-1.8.0-openjdk |
| 1.8.0.412.b08-2.0.1.1.al8 |
java-11-openjdk |
| 11.0.23.0.9-3.0.1.1.al8 |
libfastjson | CVE-2020-12762 | 0.99.9-5.al8 |
libjpeg-turbo | CVE-2021-29390 | 2.0.90-7.0.1.al8 |
liblouis |
| 3.16.1-5.al8 |
libmicrohttpd | CVE-2023-27371 | 0.9.59-3.al8 |
libpq | CVE-2022-41862 | 13.11-1.0.1.al8 |
librabbitmq | CVE-2023-35789 | 0.11.0-7.0.1.al8 |
libreoffice |
| 7.1.8.1-12.0.1.1.al8.1 |
libreswan |
| 4.12-2.0.2.al8 |
libsndfile | CVE-2022-33065 | 1.0.28-13.0.2.al8 |
libssh |
| 0.9.6-12.al8 |
libtiff |
| 4.4.0-12.0.1.al8 |
libvirt |
| 8.0.0-23.1.0.1.al8 |
qemu-kvm |
| 6.2.0-49.0.1.al8 |
libX11 |
| 1.7.0-9.al8 |
libxml2 |
| 2.9.7-18.0.3.al8 |
libXpm |
| 3.5.13-10.0.1.al8 |
linux-firmware |
| 20240111-121.gitb3132c18.al8 |
motif |
| 2.3.4-20.al8 |
openchange |
| 2.3-32.0.1.al8 |
opensc |
| 0.20.0-7.0.1.al8 |
openssh | CVE-2023-51385 | 8.0p1-20.0.1.al8 |
openssl |
| 1.1.1k-12.0.1.al8 |
pam | CVE-2024-22365 | 1.3.1-28.al8 |
pcp | CVE-2024-3019 | 5.3.7-20.0.1.al8 |
perl-HTTP-Tiny | CVE-2023-31486 | 0.074-2.0.1.al8.1 |
pixman | CVE-2022-44638 | 0.40.0-6.al8 |
pmix | CVE-2023-41915 | 3.2.3-5.al8 |
poppler | CVE-2020-36024 | 20.11.0-10.0.2.al8 |
postgresql-jdbc | CVE-2024-1597 | 42.2.14-3.al8 |
procps-ng | CVE-2023-4016 | 3.3.15-14.0.1.al8 |
protobuf-c | CVE-2022-48468 | 1.3.0-7.al8 |
python-cryptography | CVE-2023-23931 | 3.2.1-7.al8 |
python-dns | CVE-2023-29483 | 1.15.0-12.al8 |
python-pillow |
| 5.1.1-20.al8 |
python-pip | CVE-2007-4559 | 9.0.3-23.0.1.al8.1 |
python3 |
| 3.6.8-62.0.1.2.al8 |
qt5-qtbase |
| 5.15.3-5.0.3.al8 |
qt5-qtsvg | CVE-2023-32573 | 5.15.3-2.al8 |
rpm |
| 4.14.3-27.0.5.2.al8 |
samba |
| 4.18.6-3.0.1.1.al8 |
shadow-utils | CVE-2023-4641 | 4.6-19.0.1.al8 |
shim |
| 15.8-2.0.1.1.al8 |
sqlite | CVE-2023-7104 | 3.26.0-19.al8 |
squashfs-tools |
| 4.3-20.1.0.3.al8 |
sssd | CVE-2023-3758 | 2.9.4-3.al8 |
sudo |
| 1.9.5p2-1.0.1.al8 |
sysstat | CVE-2023-33204 | 11.7.3-11.0.1.al8 |
tang | CVE-2023-1672 | 7-8.al8 |
tcpdump | CVE-2021-41043 | 4.9.3-4.0.1.al8 |
tigervnc |
| 1.13.1-10.0.1.al8 |
tpm2-tss | CVE-2023-22745 | 2.3.2-5.0.2.al8 |
traceroute | CVE-2023-46316 | 2.1.0-6.2.0.3.al8 |
unbound | CVE-2024-1488 | 1.16.2-7.al8 |
util-linux | CVE-2024-28085 | 2.32.1-45.0.1.1.al8.1 |
webkit2gtk3 |
| 2.42.5-1.0.1.al8 |
Wireshark |
| 2.6.2-17.al8 |
xorg-x11-server |
| 1.20.11-16.0.4.al8 |
xorg-x11-server-Xwayland |
| 22.1.9-5.al8 |
yajl | CVE-2023-33460 | 2.1.0-12.0.1.al8 |
zziplib | CVE-2020-18770 | 0.13.71-11.al8 |
buildah |
| 1.33.7-2.al8 |
cockpit-podman |
| 84.1-1.al8 |
conmon |
| 2.1.10-1.al8 |
container-selinux |
| 2.229.0-2.al8 |
containernetworking-plugins |
| 1.4.0-2.0.1.al8 |
containers-common |
| 1-81.0.1.al8 |
criu |
| 3.18-5.0.1.al8 |
fuse-overlayfs |
| 1.13-1.0.1.al8 |
podman |
| 4.9.4-3.0.1.al8 |
runc |
| 1.1.12-1.0.1.al8 |
slirp4netns |
| 1.2.3-1.al8 |
libslirp |
| 4.4.0-2.al8 |
パッケージの更新
新機能
rdma-core が elastic Remote Direct Memory Access (eRDMA) をサポートするようになりました。
rasdaemon がメモリの訂正可能エラー (CE) の分離をサポートするようになりました。
nginx が OpenSSL 3 を使用するようになりました。
aliyun-cli がバージョン 3.0.210 にアップグレードされました。
重要な更新
カーネル
カーネルをバージョン 5.10.134-17.2.al8 にアップグレードしました。
新機能
fuse フェールオーバーのサポートを追加しました。この機能は、ネイティブのカーネルレベルの fuse 障害回復を提供し、中断のないファイルアクセスを保証します。
動的カーネルプリエンプションのサポートを追加します。この機能は、アップストリームコミュニティの設計に準拠しており、ユーザーは cmdline または sysfs を使用してプリエンプションモデルを切り替えることができます。利用可能なモデルは none と voluntary です。full モデルは現在サポートされていません。
Coherent Mesh Network (CMN) および Double Data Rate (DDR) Performance Monitoring Units (PMU) の perf メトリックをサポートするように perf を強化しました。
新しい BPF 機能
新しい BPF ヘルパー関数を追加しました。
bpf_for_each_map_elem:BPF マップを走査するためのヘルパー関数。
bpf_snprintf:文字列フォーマット用のヘルパー関数。
bpf_timer: 指定した時間の後にコールバック関数をトリガーできるタイマー。
bpf_loop:定数境界ループの制限をなくし、柔軟なループ作成を可能にするヘルパー関数。
bpf_strncmp:文字列比較用のヘルパー関数。
bpf_ktime_get_tai_ns:CLOCK_TAI タイプの時間を取得するためのヘルパー関数。
bpf_skb_load_bytes: raw_tp タイプのサポートを追加しました。これにより、raw_tp タイプのプログラムで非線形データを含む skb データを読み取ることができます。
arm64 アーキテクチャは、fentry、fexit、fmod_ret、bpf_lsm などのトランポリン関連機能のアタッチをサポートするようになりました。これにより、より強力なトレース、診断、およびセキュリティ機能が提供されます。
bpf_trampoline が livepatch と共存できるようになりました。
virtio-net 機能のサポートを追加しました。
virtio-net デバイス統計のサポートを追加しました。カーネルはデバイス統計を取得できるようになり、障害箇所の特定と問題の診断が向上します。
キューリセット機能を導入しました。これにより、仮想マシンキューのサイズを調整して、パケット損失を減らし、レイテンシを最適化できます。
動的割り込みモデレーション (netdim) を追加しました。これは、リアルタイムトラフィックに基づいて割り込み集約パラメーターをインテリジェントに調整し、データ受信パフォーマンスを最適化します。
virtio チェックサムを最適化しました。これにより、virtio ネットワークインターフェイスカードが特定の機能制御下でチェックサム検証を実行していた問題が修正されます。eXpress Data Path (XDP) アプリケーションを使用する場合、ゲストオペレーティングシステムでチェックサムを再検証する必要がなくなります。これにより、CPU 使用率が大幅に削減されます。
EROFS のオンデマンド読み込みモードがフェールオーバーをサポートするようになりました。
ext4 の O_DIRECT + O_SYNC セマンティクスに関する問題を修正しました。この問題は、iomap フレームワークの導入以来存在していました。これは、iomap フレームワーク内で `generic_write_sync()` が呼び出されたものの、`i_disksize` が `iomap_dio_rw()` の後に更新されたために発生しました。追加書き込みシナリオでは、これによりディスク上のファイル長が迅速に更新されませんでした。その結果、予期せぬ電源障害の後に書き込まれたデータを読み取ることができませんでした。
XFS ファイルシステムが遅延 inode 無効化機能をサポートするようになりました。この機能は、回収操作をバックグラウンドの kworker プロセスに移動します。これにより、削除操作によって引き起こされる前景アプリケーションのスタッタリングが減少します。
fuse 関連のサポートを追加しました。
`cache=none` モードでの共有メモリマッピング (mmap) のサポートを追加しました。
strict limit 機能の動的スイッチを追加しました。fuse モジュールは厳密な制限を設定しますが、これにより特定のシナリオで書き戻しが遅くなったり、スタッタリングが発生したりする可能性があります。この新しい sysfs ノブを使用すると、このような問題を動的に解決できます。
kernfs のグローバルロックの競合を最適化し、監視プログラムからの同時アクセスによって引き起こされるロードアベレージの増加の影響を軽減しました。
Group Identity 関連の機能を追加しました。
Group Identity 2.0 にきめ細かい優先度機能を提供します。
Shared Memory Communications over RDMA (SMC-R) および elastic Remote Direct Memory Access (eRDMA) アプリケーションシナリオで、smc_pnet 機能のサポートを追加しました。
Shared Memory Communications (SMC) および eRDMA シナリオでの到達可能性チェックを最適化し、低確率で発生するカーネルクラッシュの問題を修正しました。
Group Identity 2.0 の CPU 共有率を調整しました。
Group Identity 2.0 に `force idled time` メトリックを追加しました。
Group Identity を最適化し、優先度の異なるタスクの負荷制御を強化しました。
Group Balancer の基本機能を提供します。
rafsv6 モードで長さゼロの iovec を渡すサポートを追加しました。
rafsv6 モードで、dax マッピングの回収を許可し、メモリ不足 (OOM) や fuse のハングなどの問題を回避します。
kconfig を介して、rafsv6 の使用をセキュアコンテナーシナリオに制限します。
SMC の最適化とサポートを追加しました。
virtio のコントロール vq にタイムアウトメカニズムを追加しました。これにより、デバイスが応答しない場合に仮想マシン CPU が継続的に高負荷のポーリングを行うのを防ぎます。デフォルトのタイムアウトは 7 日です。
アウトオブツリー (OOT) モジュールで使用される slab メモリを分離する機能を追加しました。これは、OOT モジュールがメモリを破損した後の問題の切り分けに役立ちます。
マルチコア、大容量メモリ環境でのメモリプレッシャーによる長時間のマシン無応答を防ぐための高速 OOM 機能を追加しました。この機能は、サービスがメモリデプロイメント密度を高め、高ウォーターマークランタイム中のオンラインサービスのパフォーマンス安定性を向上させるのに役立ちます。
EROFS のサポートと最適化を追加しました。
xfs が fsdax reflink と dedupe をサポートするようになりました。これには、Tair PMEM インスタンスに対する特定の最適化が含まれており、スナップショットソースファイルの継続性を確保し、ダーティページの書き戻し効率を向上させ、ページフォールトの待機時間を最適化するためにリバースマップ btree への依存を排除します。
lazytime が有効になっている場合に、メモリ cgroup が長時間解放されない問題を修正するために、cgroup writeback のサポートを追加しました。この問題は、コンテナ化された環境でメモリ cgroup の数が高いままである可能性があり、cgroup を走査する際にメモリを消費し、高いシステム時間を引き起こしていました。
cgroup v2 用の IO Service Level Indicators (SLI) を提供します。blkio cgroup v2 に、待機時間、サービス時間、完了時間、キューに入れられた io、キューに入れられたバイト数などの IO SLI を追加します。
極端なケースでは、2 MB の IO をサポートする場合、各 bio_vec には 4k ページが 1 つしか含まれません。したがって、現在の 5.10 カーネルは最大 1 MB の IO をサポートできます。追加の分割ロジックは、一部のシナリオでパフォーマンスに影響を与える可能性があります。
blk-iocost QoS の設定時に競合状態によって引き起こされる ABBA デッドロックの問題を修正しました。
tcmu_loop デバイスが、`can_queue`、`nr_hw_queues`、`cmd_per_lun`、`sg_tablesize` などの構成可能なパラメーターをサポートするようになりました。バックエンドデバイスが十分に強力な場合、これらのパラメーターを増やすことでパフォーマンスが大幅に向上します。
イメージの更新
オペレーティングシステムイメージ
`spec_rstack_overflow=off` 起動パラメーターを追加しました。
`kfence.sample_interval=100 kfence.booting_max=0-2G:0,2G-32G:2M,32G-:32M` 起動パラメーターを追加しました。
`net.ipv4.tcp_retries2` を 8 に変更しました。
`net.ipv4.tcp_syn_retries` を 4 に変更しました。
クラシックネットワークの NTP サーバー構成を削除しました。
コンテナーイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.2104U10
修正された問題
カーネル
smc カーネルモジュール内の credits_announce_work 作業要素の不正なスケジューリングに起因する連結リストの破損の問題を修正しました。
perf_cgroup_switch における競合状態を修正しました。
Group Identity 2.0 の「Queue other time」統計が負の値になる可能性がある問題を修正しました。
cfs_rq におけるランタイム統計の問題を修正しました。
cfs_rq->core が NULL になる可能性がある問題を修正しました。
サウンドカード関連のドライバー (CONFIG_SND) を有効にしました。
cgroup kmem 統計カウントが有効な場合に kfence が原因で発生するカーネルのクラッシュを修正しました。
LoongArch アーキテクチャに関連する問題を修正しました。
EROFS 圧縮モードにおける安定性の問題を修正しました。
fscache 上の EROFS の安定性の問題を修正しました。
SMC に関連する安定性の問題を修正しました。
シェアが 0 の Backing Device Info (BDI) が STRICTLIMIT 属性を使用した場合に発生するライトバック性能の低下を修正しました。
seccomp のメモリリークを修正しました。
ユーザー操作によって ZERO_PAGE の参照カウントが不正になる可能性がある問題を修正しました。
TCMU における潜在的な再帰的メモリ再利用の問題を修正しました。
ioasids サブシステムがカーネルスレッドを移行する際に発生するカーネルクラッシュを修正しました。
レート制限ルールが構成されていない場合に I/O 統計が重複する問題を修正しました。
Phytium S2500 と特定の Baseboard Management Controller (BMC) チップ間の頻繁な通信によって引き起こされる、予期しないハードウェア信号のハングを修正しました。
Group Identity とコアスケジューリングが同時に有効化された場合に発生するカーネルパニックを修正しました。
Completely Fair Scheduler (CFS) の帯域幅制御のレート制限メカニズムを同期モードから非同期モードに変更しました。この変更により、多数の CPU を持つシナリオでの帯域幅制御の効率が最適化されます。
コアスケジューリングのメインスイッチを無効にする際に発生する潜在的な競合状態を修正しました。
高い Interrupt Request (IRQ) 負荷の下で不正確になる Sibling Idle (SIB Idle) 統計を修正しました。
システムの安定性を向上させるために、新しいバージョンの NVMe over RDMA からパッチをバックポートしました。
nvme_reset と nvme_rescan が同時に実行されたときに発生するデッドロックを修正しました。
PCIe ドライバーの Active State Power Management (ASPM) における Use-After-Free (UAF) の問題によって引き起こされるカーネルクラッシュを修正しました。
Phytium S5000C システム上の AST2600 グラフィックスデバイスに接続されたモニターでの画面の破損の問題を修正しました。
スケジューリングのデッドロックを防ぐための非同期 unthrottle によって引き起こされる警告を修正しました。
CVE-2023-52445
CVE-2023-6817
CVE-2024-0646
CVE-2023-20569
CVE-2023-51042
CVE-2023-6915
CVE-2023-6546
CVE-2022-38096
CVE-2024-0565
CVE-2024-26589
CVE-2024-23307
CVE-2024-22099
CVE-2024-24860
CVE-2024-1086
CVE-2023-51779
CVE-2024-26597
CVE-2024-24855
CVE-2023-52438
CVE-2023-4622
CVE-2023-6932
CVE-2023-20588
CVE-2023-5717
CVE-2023-6931
CVE-2023-28464
CVE-2023-39192
CVE-2023-6176
CVE-2023-45863
CVE-2023-5178
CVE-2023-45871
CVE-2023-4155
CVE-2023-20593
CVE-2023-3567
CVE-2023-3358
CVE-2023-0615
CVE-2023-31083
CVE-2023-4015
CVE-2023-42753
CVE-2023-4623
CVE-2023-4921
CVE-2023-2860
CVE-2023-1206
CVE-2023-3772
CVE-2023-42755
CVE-2023-3863
CVE-2022-3114
CVE-2023-31085
CVE-2023-4132
CVE-2022-3424
CVE-2022-3903
CVE-2022-45887
CVE-2023-3006
CVE-2023-42754
CVE-2023-0160
画像
debuginfo リポジトリ名を統一しました。
dnf debuginfo-install <package_name>コマンドを実行して、対応する debuginfo をインストールできるようになりました。ディスクおよびネットワークリソースへの影響を軽減するために、dnf-makecache サービスのアクティブな間隔を 1 時間から 1 日に延長しました。
virtio_blk モジュールがカーネル内でインツリーになったため、initramfs からモジュール構成を削除しました。
パッケージ
dnf コマンドが失敗する原因となる dnf-plugin-releasever-adapter のバグを修正しました。
Alibaba Cloud Linux 3.2104 U9.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U9.1 | aliyun_3_x64_20G_alibase_20240528.vhd | 2024-05-28 |
|
aliyun_3_arm64_20G_alibase_20240528.vhd | 2024-05-28 |
|
コンテンツの更新
セキュリティ更新
パッケージ名 | CVE ID | バージョン |
kernel |
| 5.10.134-16.3.al8 |
bind | CVE-2022-3094 | 9.11.36-11.0.1.al8 |
buildah |
| 1.31.3-1.al8 |
dnsmasq | CVE-2023-28450 | 2.79-31.0.1.al8 |
edk2-20220126gitbb1bba3d77 | CVE-2019-14560 | 6.0.2.al8 |
frr |
| 7.5.1-16.0.2.al8 |
grafana |
| 9.2.10-7.0.1.al8 |
grafana | CVE-2024-1394 | 9.2.10-7.0.1.al8 |
grafana-pcp | 5.1.1-1.0.1.al8 | |
gstreamer1-plugins-bad-free | CVE-2023-44429 | 1.22.1-2.0.1.al8 |
tigervnc | CVE-2023-44446 | 1.13.1-2.al8 |
unbound |
| 1.16.2-6.al8 |
webkit2gtk3 | CVE-2023-42917 | 2.40.5-1.0.2.al8.1 |
glibc | CVE-2024-2961 | 2.32-1.16.al8 |
python2-setuptools | CVE-2022-40897 | 39.0.1-13.1.module+al8+9+77049424 |
パッケージの更新
パッケージ名 | バージョン |
cloud-init | 23.2.2 |
container-selinux | 2.229.0 |
ethtool | 6.6 |
iproute | 6.2.0 |
iptables | 1.8.5 |
keentuned | 2.4.0 |
keentune-target | 2.4.0 |
rng-tools | 6.16 |
sssd | 2.9.1 |
sudo | 1.9.5p2 |
sysak | 2.4.0 |
重要な更新
カーネルの更新
カーネルを 5.10.134-16.3.al8 にアップグレードしました。
SMC-R および elastic Remote Direct Memory Access (eRDMA) シナリオで smc_pnet 機能のサポートを追加しました。
RDT ベースの動的メモリ帯域幅制御技術である HWDRC のサポートを追加しました。これにより、メモリ帯域幅やキャッシュなどのリソースをより正確に制御できます。
Group Identity を最適化し、優先度の異なるタスクのペイロード制御を強化しました。
新しいパッケージの機能
aliyun-cli を 3.0.204 にアップグレードしました。`yum` または `dnf` コマンドを使用して aliyun-cli をインストールおよび更新できるようになりました。
cloud-init を 23.2.2 にアップグレードしました。強化モードでのインスタンスメタデータへのアクセスをサポートするようになりました。
ethtool を 6.6 にアップグレードしました。CMIS プロトコルをサポートするようになりました。
sysak を 2.4.0 にアップグレードしました。このバージョンでは、診断機能の最適化、ノード監視の提供、sysom の可観測性機能のノード側サポートの追加、およびいくつかのバグの修正が行われています。
keentune を 2.4.0 にアップグレードしました。
イメージの更新
コンテナイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9.1
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明このリリース以降、`latest` タグは 3.9.1 イメージバージョンをプルしなくなります。
仮想マシンイメージ
イメージタイプが UEFI-Preferred に切り替わりました。UEFI と Legacy のデュアルブートモードがサポートされるようになりました。
修正された問題
カーネル
erofs 圧縮モードでの安定性の問題を修正しました。
fscache 上の erofs の安定性の問題を修正しました。
SMC 関連の安定性の問題を修正しました。
BDI が STRICTLIMIT 属性を使用し、その共有が 0 に設定された場合に発生するライトバックパフォーマンスの低下問題を修正しました。
seccomp のメモリリークを修正しました。
ユーザー操作によって ZERO_PAGE の参照カウントが不正になる問題を修正しました。
TCMU における潜在的なメモリ再帰の取り消し問題を修正しました。
ioasids サブシステムがカーネルスレッドを移行する際に発生するカーネルクラッシュを修正しました。
トラフィック制限ルールが設定されていない場合に I/O 統計が重複する問題を修正しました。
Phytium S2500 と特定の BMC チップ間で短時間に頻繁な通信が行われると、予期しないハードウェア信号のハングが発生する問題を修正しました。
Group Identity とコアスケジューリングが同時に有効化された場合に発生するカーネルパニックを修正しました。
CFS 帯域幅制御のスロットル解放を同期から非同期に変更しました。これにより、多数の CPU を持つシナリオでの帯域幅制御の効率が最適化されます。
コアスケジューリングのメインスイッチを無効にする際に発生する潜在的な競合状態を修正しました。
高 IRQ シナリオで sibidle 統計が不正確になる問題を修正しました。
イメージ
異なるカーネルバージョンをインストールしても再起動後に有効にならない問題を修正しました。
2023
Alibaba Cloud Linux 3.2104 U9
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U9 | aliyun_3_9_x64_20G_alibase_20231219.vhd | 2023-12-19 |
|
aliyun_3_9_arm64_20G_alibase_20231219.vhd | 2023-12-19 |
| |
aliyun_3_9_x64_20G_uefi_alibase_20231219.vhd | 2023-12-19 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID | パッケージバージョン |
カーネル |
| 5.10.134-16.1.al8 |
java-1.8.0-openjdk |
| 1.8.0.392.b08-4.0.3.al8 |
java-11-openjdk | CVE-2023-22081 | 11.0.21.0.9-2.0.3.al8 |
MariaDB |
| 10.5.22-1.0.1.al8 |
open-vm-tools |
| 12.2.5-3.al8.1 |
バインド | CVE-2023-3341 | 9.11.36-8.al8.2 |
dmidecode-doc | CVE-2023-30630 | 3.3-5.0.2.al8 |
frr | CVE-2023-38802 | 7.5.1-8.0.1.al8 |
Ghostscript |
| 9.54.0-14.al8 |
glibc | CVE-2023-4911 | 2.32-1.12.al8 |
Grafana |
| 7.5.15-5.0.1 |
libvpx |
| 1.7.0-10.0.1.al8 |
linux-firmware | CVE-2023-20593 | 20230404-117.git2e92a49f.al8 |
ncurses | CVE-2023-29491 | 6.1-10.20180224.0.1.al8 |
nghttp2 | CVE-2023-44487 | 1.33.0-4.0.1.al8.1 |
|
|
|
トラッカー マイナー | CVE-2023-5557 | 3.1.2-4.0.1.al8 |
パッケージの更新
パッケージ名 | 公開バージョン |
ca-certificates | 2023.2.60_v7.0.306 |
firewalld | 0.9.11 |
java-1.8.0-openjdk | 1.8.0.392.b08 |
java-11-openjdk | 11.0.21.0.9 |
libbpf | 0.6.0 |
lz4 | 1.9.4 |
mariadb | 10.5.22 |
nmstate | 2.2.15 |
nspr | 4.35.0 |
nss | 3.90.0 |
open-vm-tools | 12.2.5 |
openscap | 1.3.8 |
scap-security-guide | 0.1.69 |
sos | 4.6.0 |
xz | 5.4.4 |
重要な更新
カーネル
新機能
コアスケジューリングのサポートを追加します。
アップストリームコミュニティからコアスケジューリングのセキュリティ機能をバックポートします。この機能は、同じ物理コアのハイパースレッド上で、同じグループ内の信頼できるプロセスのみが実行されることを保証します。この機能はグループ ID と互換性がありません。同時に有効にしないでください。この機能はデフォルトで無効になっています。有効にするには、
sysctl -w kernel.sched_core=1コマンドを実行します。Arm64 での eBPF trampoline 機能のサポートを追加します。
Arm64 の eBPF trampoline 機能をバックポートして、bpf struct ops 機能をサポートします。注意: Arm64 関連の ftrace 機能がバックポートされていないため、bpf fentry 機能はまだ利用できません。
多世代 LRU (mglru) 機能のサポートを追加します。
mglru 機能は、メモリページの再利用を改善します。ビッグデータシナリオでは、メモリ再利用の速度と精度を向上させ、エンドツーエンド (e2e) のパフォーマンスを強化します。
バッチ TLB フラッシュのサポートを追加します。
バッチ移行機能は、メモリページの移行中にバッチ変換ルックアサイドバッファ (TLB) フラッシュとページコピー操作を実装します。これにより、カーネルページの移行パフォーマンスが向上します。
このバージョンでは、アップストリームコードに基づいて元のバッチ移行機能がリファクタリングおよび最適化されています。主な変更点として、`batch_migrate` cmdline パラメーターと
/sys/kernel/mm/migrate/batch_migrate_enabledインターフェイスが削除されました。バッチ移行は、ページ移行のデフォルト構成になりました。デフォルト値が 32 の /sys/kernel/mm/migrate/dma_migration_min_pages インターフェイスが追加されます。このインターフェイスは、DMA ページコピー機能が有効になっている場合にのみ適用されます。DMA ページコピー機能は、
/sys/kernel/mm/migrate/dma_migrate_enabledが有効になっており、かつ移行されたページの数が/sys/kernel/mm/migrate/dma_migration_min_pagesで設定された値に達した場合にのみ使用されます。cachestat 機能
カーネルに cachestat システムコールを導入します。このシステムコールを使用すると、指定したファイルのページキャッシュの詳細な統計情報を表示できます。
Arm64 のカーネルモードでの RAS イベントトリガーを強化します。
`copy_{from/to}_user`、`{get/put}_user`、Copy on Write (COW)、pagecache の読み取りなど、さまざまなシナリオにおける高信頼性、可用性、保守性 (RAS) の問題に対するエラー回復機能を追加します。
自己開発の Shared Memory Communications over RDMA, Direct Memory Access (SMC-D) ループバック機能のサポートを追加します。
SMC-D ループバック機能を導入して、ローカルプロセスとコンテナー間の TCP 通信を高速化します。
ページテーブルを CPU コアにバインドするサポートを追加し、クロスダイページテーブルの統計を提供します (自己開発)。
ページテーブルを CPU コアにバインドする機能により、メモリに負荷がかかっているときに、Quality of Service (QoS) に敏感なサービスのページテーブルを現在の Non-Uniform Memory Access (NUMA) ノードに割り当てることができます。これにより、メモリアクセスの待機時間が短縮され、より高速で効率的なメモリアクセスが可能になります。
自己開発のコードマルチコピー機能を強化します。
非同期タスクを使用して、プロセス起動中にコードマルチコピーの適用が失敗した場合にリトライします。`memory.duptext_nodes` カーネルインターフェイスを追加して、duptext のメモリ割り当てノードを制限します。
自己開発の kfence 機能を強化します。
Arm64 アーキテクチャ用に自己開発の強化された kfence 機能を追加します。これにより、kfence を動的に有効または無効にでき、すべてのメモリ破損の問題をキャプチャし、オンライン検出とオフラインデバッグの両方をサポートします。
メモリの問題がキャプチャされたときに、直ちにシステムクラッシュをトリガーする機能を追加します。これにより、開発者はデバッグ環境で問題をよりよく分析できます。この機能を有効にするには、
boot cmdline "kfence.fault=panic"を設定するか、echo panic > /sys/module/kfence/parameters/faultを実行します。デフォルト値はreportで、システムをクラッシュさせずにログのみを出力します。
自己開発のメモリ cgroup (memcg) Transparent Enormous Pages (THP) コントロールインターフェイスを提供します。
指定された memcg の THP リクエストを無効にする memcg THP コントロールインターフェイスを提供します。
自己開発の ACPU (Assess CPU) のサポートを追加します。
ACPU は、タスク実行中にハイパースレッディング (HT) ピアのアイドル時間に関する統計を収集し、cgroup ごとの統計を提供します。これは、タスク実行中に共有 CPU コアでのハードウェアリソースの競合を評価するために使用できます。
自己開発の HT-aware-quota 機能のサポートを追加します。
これは、Completely Fair Scheduler (CFS) 帯域幅コントロールとコアスケジューリングに基づく計算能力安定化ソリューションです。混合デプロイメントシナリオでは、HT ピアがアイドル状態であるかどうかを検出してクォータを調整します。これにより、タスクが各スケジューリングサイクルで比較的安定した計算能力を受け取ることが保証されます。計算集約型のタスクに適しています。
自己開発のグループ ID 2.0 のサポートを追加します。
cgroup レベルの SCHED_IDLE 機能を導入します。ターゲット cgroup の `cpu.idle` プロパティを設定することで、そのスケジューリングポリシーを SCHED_IDLE に設定できます。これは、オフラインタスクのバッチ管理に適しています。
動作の変更
モジュールの署名
カーネルモジュールに署名を追加します。これにより、開発者は署名されていないカーネルモジュールを識別して拒否できます。
Arm64 では、Spectre-BHB および Variant 4 の脆弱性修正がデフォルトで無効になっています。
分析によると、Spectre-BHB と Variant 4 の脆弱性は、Spectre v2 のセキュリティ脆弱性の修正、非特権 eBPF の無効化、サイト分離技術の使用、および SharedArrayBuffer の無効化によって対処されています。Spectre-BHB と Variant 4 に対する追加の修正は必要ありません。したがって、Arm64 のデフォルト cmdline に `nospectre_bhb ssbd=force-off` パラメーターが追加されます。これにより、セキュリティを確保しながら、不要なオーバーヘッドを削減し、パフォーマンスを向上させます。
TDX 機密 VM シナリオ用に TDX ゲスト構成を有効にします。
新しいパッケージ機能
ソフトウェアリポジトリを通じて erofs-utils-1.7.1 を提供します。
erofs-utils は、EROFS を作成、チェック、および圧縮するためのツールです。LZ4、LZMA、DEFLATE などの圧縮アルゴリズムをサポートし、tar ファイルを EROFS フォーマットに変換することをサポートします。
ソフトウェアリポジトリを通じて stress-ng-0.15.00 を提供します。
ソフトウェアリポジトリを通じて alibaba-cloud-compiler-13.0.1.4 を提供します。
Alibaba Cloud Compiler は、Alibaba Cloud が開発した C/C++ コンパイラです。オープンソースの Clang/LLVM-13 コミュニティバージョンに基づいており、オープンソースバージョンからすべてのオプションとパラメーターを継承しています。さらに、Alibaba Cloud Compiler は Alibaba Cloud インフラストラクチャ向けに深く最適化されており、Alibaba Cloud ユーザーにより良い C/C++ コンパイラ体験を提供するための独自の機能と最適化を提供します。
GB18030-2022 エンコーディングをサポートするために glibc にパッチを追加します。
Dragonwell 17 を 17.0.9.0.10.9 に更新: JIT コンパイラは、インライン化の決定を呼び出しの絶対数に基づかせるロジックを削除することで、インライン化のパフォーマンスを向上させます。
Dragonwell 8 を 8.15.16.372 に更新: 同じソケットで読み取りおよび書き込みイベントを待機する複数のコルーチンをサポートし、okhttp シナリオでのバグを修正します。
ソフトウェアリポジトリを通じて plugsched-1.3 を提供します。
plugsched は、スケジューラのホットアップグレード用の SDK です。カーネルスケジューラ開発者を対象としています。ユーザーはこのツールをインストールして、スケジューラモジュールを開発できます。
sysak を 2.2.0 に更新: MySQL および Java アプリケーションのメトリック観測と診断をサポートするアプリケーション観測機能を追加します。コンテナ監視とクラスター監視に関連する監視メトリックを追加します。ローカル監視機能を追加します。
keentune を 2.3.0 に更新: x264/265 関連のスクリプトを更新して、最新の ffmpeg をサポートします。XPS および RPS の CPU コアバインディングの問題を修正します。プロファイル内のデフォルトの elastic Remote Direct Memory Access (eRDMA) 設定を更新します。
Intel QAT、DLB、および IAA アクセラレータのソフトウェアチェーンを更新: QAT ドライバーのバグを修正し、DLB ドライバーをアップグレードし、QAT および IAA のユーザーモードコンポーネントのバグを修正し、アーキテクチャ間でユーザーモード DMA メモリを統一管理するソリューションを追加します。
smc-tools を更新: `smc-ebpf` コマンドを追加します。このコマンドは、ポート粒度で `smc_run` の有効範囲を制御することをサポートします。制御モードは、ホワイトリストモードとブラックリストモード、およびインテリジェントスケジューリングをサポートします。
修正された問題
カーネルの更新中に kernel-modules-extra や kernel-modules-internal などの RPM パッケージが自動的にインストールされなかったために、netfilter 関連の機能が利用できなかった問題を修正しました。
cgroup の作成と削除中にグループ ID の参照カウントが正しくなかったために、
/proc/sys/kernel/sched_group_identity_enabledインターフェイスが時々無効にできなかった問題を修正しました。
イメージの更新
コンテナ イメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明新しいバージョンがリリースされた後、`latest` タグを使用してバージョン 3.9 のイメージを取得することはできなくなります。
仮想マシンイメージ
rpmdb フォーマットはデフォルトで sqlite に切り替えられます。
keentune サービスはインストールされますが、デフォルトでは有効になっていません。
nfs-server サービスはデフォルトでは起動されません。
既知の問題
kdump サービスは、メモリサイズのために ecs.g6r.large インスタンスで正しく動作しない場合があります。クラッシュパラメーターを、例えば `0M-2G:0M,2G-128G:256M,128G-:384M` に調整することで、この問題を回避できます。
NFSv3 ファイルシステムで、ファイルに S 権限を追加し、特定の条件下でファイルのオーナーを変更すると、グループの S 権限が失われます。
この問題を修正するパッチは 2d8ae8c417("db nfsd: use vfs setgid helper") です。ただし、修正に必要なヘルパー関数は、5.10 カーネルバージョンと比較して大幅なコード変更があります。したがって、これは既知の問題であり、修正は延期されます。
TCP が SMC に置き換えられた後、netperf テストが途中で終了することがあります。
SMC は固定サイズのリングバッファーを使用します。送信中、残りのバッファースペースが `send()` で指定されたデータサイズよりも小さくなることがあります。この場合、SMC は送信可能なバイト数を返しますが、これは通常、ユーザーが `send()` で指定した量よりも少なくなります。netperf では、この動作はエラーと見なされ、終了の原因となります。アップストリームのメンテナーは、接続の停止問題を回避するために現在の設計を維持することを強く推奨しています。したがって、この問題は修正されません。
Alibaba Cloud Linux 3.2104 U8
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U8 | aliyun_3_arm64_20G_alibase_20230731.vhd | 2023-07-31 |
|
aliyun_3_x64_20G_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_qboot_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20230727.vhd | 2023-07-27 |
|
内容の更新
セキュリティ更新
パッケージ名 | CVE ID | パッケージバージョン |
ctags | CVE-2022-4515 | 5.8-23.0.1.al8 |
gssntlmssp |
| 1.2.0-1.0.1.al8 |
libtar |
| 1.2.20-17.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-37.0.1.al8 |
postgresql-jdbc | CVE-2022-41946 | 42.2.14-2.al8 |
freerdp |
| 2.2.0-10.0.1.al8 |
tigervnc |
| 1.12.0-15.al8 |
xorg-x11-server |
| 1.20.11-15.0.1.al8 |
poppler | CVE-2022-38784 | 20.11.0-6.0.1.al8 |
wayland | CVE-2021-3782 | 1.21.0-1.al8 |
net-snmp |
| 5.8-27.0.1.al8 |
dhcp |
| 4.3.6-49.0.1.al8 |
python-mako | CVE-2022-40023 | 1.0.6-14.al8 |
curl | CVE-2023-27535 | 7.61.1-30.0.2.al8.2 |
|
|
|
dnsmasq | CVE-2023-28450 | 2.79-27.al8 |
qt5 | CVE-2022-25255 | 5.15.3-1.0.1.al8 |
autotrace | CVE-2022-32323 | 0.31.1-55.al8 |
bind | CVE-2023-2828 | 9.11.36-8.al8.1 |
|
|
|
MySQL |
| 8.0.32-1.0.2.al8 |
ruby |
| 2.7.8-139.0.1.al8 |
カーネル |
| 5.10.134-15.al8 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.5 |
libssh |
| 0.9.6-7.al8 |
open-vm-tools | CVE-2023-20867 | 12.1.5-2.al8 |
Grafana |
| 7.5.15-4.0.2.al8 |
grafana-pcp | CVE-2022-27664 | 3.2.0-3.0.1.al8 |
frr | CVE-2022-37032 | 7.5.1-7.0.1.al8 |
sqlite | CVE-2020-24736 | 3.26.0-18.al8 |
git-lfs |
| 3.2.0-2.0.1.al8 |
sysstat | CVE-2022-39377 | 11.7.3-9.0.1.al8 |
python3 | CVE-2023-24329 | 3.6.8-51.0.1.al8.1 |
c-ares | CVE-2023-32067 | 1.13.0-6.al8.2 |
cups-filters | CVE-2023-24805 | 1.20.0-29.0.1.al8.2 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.4 |
delve go-toolset golang | CVE-2023-24540 | delve-1.9.1-1.0.1.al8 go-toolset-1.19.9-1.al8 golang-1.19.9-1.0.1.al8 |
カーネル |
| 5.10.134-14.1.al8 |
git |
| 2.39.3-1.1.al8 |
apr-util | CVE-2022-25147 | 1.6.1-6.2.al8.1 |
webkit2gtk3 | CVE-2023-2203 | 2.38.5-1.0.1.al8.3 |
edk2 |
| 20220126gitbb1bba3d77-4.al8 |
mingw-expat | CVE-2022-40674 | 2.4.8-2.al8 |
パッケージの更新
パッケージ名 | 公開バージョン |
at | at-3.1.20-12.0.1.al8 |
audit | audit-3.0.7-2.0.1.al8.2 |
authselect | authselect-1.2.6-1.al8 |
bind | bind-9.11.36-8.al8.1 |
checkpolicy | checkpolicy-2.9-1.2.al8 |
cloud-utils-growpart | cloud-utils-growpart-0.33-0.0.1.al8 |
container-selinux | container-selinux-2.189.0-1.al8 |
coreutils | coreutils-8.30-13.al8 |
crypto-policies | crypto-policies-20221215-1.gitece0092.al8 |
cups | cups-2.2.6-51.0.1.al8 |
dbus | dbus-1.12.8-24.0.1.al8 |
ding-libs | ding-libs-0.6.1-40.al8 |
dnf | dnf-4.7.0-16.0.1.al8 |
dnf-plugins-core | dnf-plugins-core-4.0.21-14.1.al8 |
dracut | dracut-049-223.git20230119.al8 |
elfutils | elfutils-0.188-3.0.1.al8 |
emacs | emacs-27.2-8.0.3.al8.1 |
expat | expat-2.2.5-11.al8 |
file | file-5.33-24.al8 |
freetype | freetype-2.10.4-9.al8 |
fuse | fuse-2.9.7-16.al8 |
gmp | gmp-6.2.0-10.0.1.al8 |
gnupg2 | gnupg2-2.2.20-3.al8 |
graphite2 | graphite2-1.3.10-10.2.al8 |
grub2 | grub2-2.02-148.0.1.al8 |
harfbuzz | harfbuzz-1.7.5-3.2.al8 |
hwdata | hwdata-0.314-8.16.al8 |
iproute | iproute-5.18.0-1.al8 |
iptables | iptables-1.8.4-24.0.1.al8 |
kernel | kernel-5.10.134-15.al8 |
kernel-hotfix-13383560-5.10.134-15 | kernel-hotfix-13383560-5.10.134-15-1.0-20230724161633.al8 |
kexec-tools | kexec-tools-2.0.25-5.0.1.al8 |
kmod | kmod-25-19.0.2.al8 |
kpatch | kpatch-0.9.7-2.0.1.al8 |
libarchive | libarchive-3.5.3-4.al8 |
libffi | libffi-3.1-24.0.1.al8 |
libteam | libteam-1.31-4.0.1.al8 |
libuser | libuser-0.62-25.0.1.al8 |
libxml2 | libxml2-2.9.7-16.0.1.al8 |
linux-firmware | linux-firmware-20230404-114.git2e92a49f.al8 |
logrotate | logrotate-3.14.0-6.0.1.al8 |
NetworkManager | NetworkManager-1.40.16-1.0.1.al8 |
nfs-utils | nfs-utils-2.3.3-59.0.2.al8 |
nftables | nftables-0.9.3-26.al8 |
oddjob | oddjob-0.34.7-3.0.1.al8 |
openssh | openssh-8.0p1-17.0.2.al8 |
openssl-pkcs11 | openssl-pkcs11-0.4.10-3.0.1.al8 |
pam | pam-1.3.1-25.0.1.al8 |
pciutils | pciutils-3.7.0-3.0.1.al8 |
python-linux-procfs | python-linux-procfs-0.7.1-1.al8 |
python-rpm-generators | python-rpm-generators-5-8.al8 |
python-slip | python-slip-0.6.4-13.al8 |
rng-tools | rng-tools-6.15-3.0.1.al8 |
rpcbind | rpcbind-1.2.5-10.0.1.al8 |
rpm | rpm-4.14.3-26.0.1.al8 |
rsyslog | rsyslog-8.2102.0-13.al8 |
selinux-policy | selinux-policy-3.14.3-117.0.1.al8 |
setools | setools-4.3.0-3.al8 |
setup | setup-2.12.2-9.0.1.al8 |
sg3_utils | sg3_utils-1.44-6.0.1.al8 |
shared-mime-info | shared-mime-info-2.1-5.0.1.al8 |
sssd | sssd-2.8.2-2.0.1.al8 |
tpm2-tss | tpm2-tss-2.3.2-4.0.2.al8 |
unbound | unbound-1.16.2-5.al8 |
util-linux | util-linux-2.32.1-42.0.1.al8 |
virt-what | virt-what-1.25-3.al8 |
wget | wget-1.19.5-11.0.1.al8 |
which | which-2.21-18.0.1.al8 |
xfsprogs | xfsprogs-5.0.0-10.0.6.al8 |
重要な更新
カーネルの更新
コミュニティアクティビティ
devlink を介したサブ機能の管理のサポートを追加します。
サブ機能は軽量の機能です。PCIe 仮想機能よりも軽量です。仮想機能とは異なり、サブ機能は独立した PCI デバイスではなく、親 PCI デバイスのリソースを共有します。ただし、サブ機能には、送信キュー、受信キュー、完了キューなど、ネットワークインターフェイスカード通信に関連するすべてのリソースがあります。Linux システムでは、サブ機能は完全なネットワークインターフェイスカードデバイスとして表示されます。この更新により、devlink を介してネットワークインターフェイスカード上のサブ機能を管理するためのサポートが追加されます。ドライバーと連携して、これをサポートするネットワークインターフェイスカード上でサブ機能を作成、破棄、およびクエリできます。
io_uring での NVMe パススルー機能のサポートを追加します。
複雑なストレージスタックのオーバーヘッドは、待機時間と 1 秒あたりの入出力操作 (IOPS) に大きな影響を与えます。ストレージデバイスが高速であるほど、このソフトウェアスタックのオーバーヘッドの割合は大きくなります。NVMe ディスクへのアクセスには、ファイルシステム、ブロックレイヤー、NVMe ドライバーなどの複数の抽象化レイヤーを通過してターゲットデバイスに到達する必要があります。この更新では、アップストリームの v5.19 カーネルから `uring_cmd` 機能がバックポートされます。実際のファイル操作は io_uring を介してカーネルに渡されます。これらの操作は io_uring レイヤーで解析されず、ファイルシステムとブロックレイヤーをバイパスして NVMe ドライバーレイヤーに直接送信されます。この機能をサポートするために、io_uring は CQE32 データ構造と NVMe キャラクターデバイスの作成をサポートするようになりました。
NVMe/SCSI の詳細な Persistent Reservation 権限コントロールのサポートを追加します。
以前は、永続予約操作を実行するプロセスは `CAP_SYS_ADMIN` 権限を持っている必要があり、コンテナーなどの一部の非特権シナリオでの使用が妨げられていました。この機能により、非特権プロセス (`CAP_SYS_ADMIN` 権限なし) がブロックデバイスへの書き込み権限を持っている限り、永続予約操作を実行できるようになります。これにより、使用シナリオが拡大します。
large ブロック I/O の IOPS スロットル機能を最適化します。
5.10 カーネルの IOPS 速度制限機能は、大容量ブロック I/O シナリオ (1 MB など) ではうまく機能しませんでした。これは主に、大容量ブロック I/O が分割される可能性があり、ブロックスロットルの IOPS 速度制限ロジックがこれをうまく処理できなかったためです。この現象は、バッファード I/O シナリオで特に顕著でした。なぜなら、バッファード I/O は最初にページキャッシュに書き込み、一定期間後に書き戻すため、このプロセスではしばしば I/O が大きなブロックにマージされるからです。アップストリームコミュニティは v5.18 でこれをリファクタリングおよび最適化しました。この更新では、アップストリームパッチをバックポートして、大容量ブロック I/O の IOPS 速度制限を最適化し、重複した BPS 統計に関連するバグを修正します。
eBPF のハッシュマップ用の `lookup_and_delete_elem` とブルームフィルター機能のサポートをバックポートします。
以前は、eBPF `lookup_and_delete_elem` (ルックアップして削除) 操作はキューとスタックタイプのマップのみをサポートしていました。現在はハッシュタイプのマップをサポートしています。
効率的なセットルックアップツールであるブルームフィルターという新しいマップタイプを追加します。
QEMU Arm64 仮想マシンゲスト OS の CPU とメモリのホットプラグのサポートを追加します。
`virsh setvcpus` コマンドを使用して、ゲスト OS の vCPU 数をホットアップグレードするためのサポートを追加します。
デフォルトで `CONFIG_MEMORY_HOTPLUG_DEFAULT_ONLINE` 構成を有効にして、`memhp_default_online_type` がオフライン状態になるのを防ぎます。これにより、ホットプラグされたメモリが自動的に使用されるようになり、新しく挿入されたメモリのページ記述子が作成される際のメモリ不足によるメモリホットプラグの失敗を回避できます。
すべての Intel チップで Intel HWP ブーストを有効にします。
ハードウェア P-states (HWP) IO ブースト技術は、I/O パフォーマンスを向上させることができます。以前は、カーネルはこの機能を一部の Skylake プラットフォームとエンタープライズサーバーでのみ有効にしていました。このパッチは CPU タイプのチェックを削除し、すべての CPU で HWP ブーストをデフォルトで有効にします。
ターン制ゲームコミュニティの HVO 属性。
HVO (HugeTLB Vmemmap Optimization) は、巨大ページメモリに対応する vmemmap のメモリフットプリントを削減します。巨大ページの vmemmap 内のすべての `struct page` インスタンスの仮想アドレスを同じ物理アドレスにマッピングすることで機能し、それによって `struct page` インスタンスが占有する物理メモリを解放します。
memcg lru ロック最適化機能をバックポートします。
この機能は、ページが属する memcg のロックを使用して、グローバル lru ロックを必要とするカーネル内のシナリオを最適化します。これらのシナリオには、ページの移動、memcg の移動、スワップイン、スワップアウトが含まれます。この機能は、グローバル lru ロックによって引き起こされる競合を大幅に削減します。複数の memcg を使用したテストでは、パフォーマンスが約 50% 向上しました。
Intel TDX ゲストカーネルのサポートを追加します。
Intel tdx ゲストで Linux カーネルを実行するサポートを追加します。これにより、ゲストにメモリ暗号化、メモリ整合性保護、CPU レジスタ保護、および信頼できる環境のリモート認証が提供されます。
EMR プラットフォームに対応します。
EMR CPU ID を PMU ドライバーに追加して、EMR プラットフォームで PMU 機能を有効にします。
IFS Array BIST 機能を有効にします。In-Field Scan (IFS) は、ECC では検出が困難な CPU エラーをキャプチャするために使用され、ランタイム中に各コアをチェックできます。
自己開発機能
Shared Memory Communications (SMC) カーネルネットワークプロトコルスタックを使用して TCP を透過的に高速化するためのサポートを追加します。
SMC は、IBM がアップストリームの Linux カーネルに貢献した高性能カーネルネットワークプロトコルスタックです。Remote Direct Memory Access (RDMA) などのさまざまな共有メモリ技術と組み合わせて使用し、TCP を透過的に高速化できます。Alibaba Cloud Native Kernel (ANCK) は、アップストリームバージョンに加えて多くの安定性の問題を修正しました。デフォルトで SMCv2 をサポートし、SMCv2.1 プロトコルネゴシエーションをサポートし、`max_link`/`max_conn`/Alibaba ベンダー ID 機能をサポートし、リンク接続数を最適化し、RQ フロー制御をサポートし、RDMA Write With Immediate 操作をサポートし、さまざまな診断情報を追加し、`PF_INET` プロトコルファミリーを介して SMC プロトコルスタックを使用することをサポートし、BPF を介した透過的な置き換えをサポートするなど、他の主要な機能をサポートします。
fuse キャッシュ整合性モデルを強化し、統計インターフェイスを追加します。
sysfs の下にデバッグインターフェイスを追加し、特定の fuse ファイルシステムに対して処理を待っているユーザーモードデーモンに送信されたすべてのリクエストを印刷します。
sysfs の下にデータ統計インターフェイスを追加し、特定の fuse ファイルシステムに対する各タイプのリクエストの数と処理時間をカウントして出力します。
NFS などの強力な整合性に依存する分散ファイルシステムバックエンドに合わせて、キャッシュモード (`cache=always|auto`) のキャッシュ整合性を強化します。
ユーザーモードデーモンは、fuse クライアントにディレクトリ内のすべてのダイレクト dentry を無効にするよう通知できます。
データとメタデータの flush-on-close および invalidate-on-open セマンティクスを含む、Close-To-Open (CTO) キャッシュ整合性モデルを実装します。
fuse フェールオーバーモードでのキャッシュ整合性モデルを強化します。
16k/64k ページ構成の arm64 プラットフォームで、EROFS が tar ファイルを直接マウントし、4k ブロックサイズの EROFS 非圧縮イメージを使用するためのサポートを追加します。
16k/64k ページ構成の arm64 プラットフォームで、4k ブロックサイズの EROFS 非圧縮イメージをマウントするためのサポートを追加します。
EROFS メタデータを使用して tar データをマウントおよびアクセスするために、tar ファイルをデータソースとして直接使用するためのサポートを追加します。
名前空間を越えて fuse マウントポイントを渡すためのサポートを追加します。
非特権サイドカーコンテナーからアプリケーションコンテナーに fuse マウントポイントを伝播するためのサポートを追加します。これにより、クラウドネイティブシナリオで fuse ベースのリモートストレージを使用するためのソリューションが提供されます。
THP によって引き起こされるメモリ肥大化の問題を解決します。
THP はパフォーマンスを向上させますが、メモリの肥大化を引き起こす可能性もあり、これがメモリ不足 (OOM) エラーにつながることがあります。たとえば、アプリケーションが 2 つの小さなページ (8 KiB のメモリ) を使用する必要がある場合でも、カーネルが 1 つの透過的な巨大ページを割り当てると、巨大ページの残りのメモリ (510 の小さなページ) はすべてゼロになります。これにより、常駐セットサイズ (RSS) のメモリ使用量が増加し、最終的に OOM エラーが発生する可能性があります。
THP Zero Subpage Reclamation (ZSR) 機能は、このメモリ肥大化の問題を解決するために設計されています。カーネルがメモリを再利用するとき、この機能は透過的な巨大ページを小さなページに分割し、すべてゼロのサブページを再利用します。これにより、急速なメモリ肥大化と OOM エラーを防ぎます。
システム構成の更新
`tcp_max_tw_buckets` の値が 5000 に変更されました。
vfat ファイルシステムのデフォルトのマウント文字セットが iso8859-1 に変更されました。
パッケージ機能の更新
aliyun_cli がデフォルトで統合されました。
container-selinux がデフォルトで統合されました。
Alibaba Cloud Linux 3 が Anolis OS epao ソースを使用して AI などのアプリケーションをインストールできるようにする anolis-epao-release パッケージを追加します。
修正された問題
Alibaba Cloud Linux 3 arm64 イメージで rngd.service の起動に失敗する問題を修正しました。
プロセスフォークが失敗したときに発生した cgroup リークについて、アップストリームコミュニティからバグ修正をバックポートしました。
overlayfs の権限問題を修正しました。すべての upperdir と lowerdir が同じファイルシステム上にあり、アクセスされたファイルまたはディレクトリに対する読み取り権限がなかった場合、以前のパフォーマンス最適化の論理エラーにより `ovl_override_creds()` が正しく実行されませんでした。これにより、有効な権限がマウンターの権限に昇格されず、コピーアップに読み取り権限が必要な場合に権限拒否エラーが発生しました。
fuse の安定性をさらに向上させるために、アップストリームコミュニティから fuse のいくつかのバグ修正をバックポートしました。
bigalloc 機能が有効になっている ext4 のいくつかのバグ修正をバックポートし、このシナリオでのオンラインサイズ変更に必要な時間を大幅に最適化しました。
Huihe Community CONT-PTE/PMD からの潜在的なデータ整合性の問題。
AMD モデルで resctrl が正常に使用できない問題を修正しました。
IAX ハードウェア圧縮および展開アクセラレータの安定性の問題を修正しました。
IAX ハードウェア圧縮および展開アクセラレータの巡回冗長検査 (CRC) 失敗の問題を修正しました。
同時 `swapoff-swapon` 操作中の `swap_info_struct` ロックの不適切な使用によって引き起こされるメモリ破損の問題を修正しました。この問題のバグ修正はコミュニティにマージされました。
自己開発のゾンビ memcg リーパー機能がワンショットモードで機能しない問題を修正しました。
Yitian 710 MPAM メモリ帯域幅モニタリング機能の潜在的な安定性の問題を修正しました。
イメージの更新
コンテナ イメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.8
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明新しいバージョンがリリースされた後、`latest` タグを使用してバージョン 3.8 のイメージを取得することはできなくなります。
既知の問題
ANCK 5.10-015 はアップストリームコミュニティの実装とスケジューリングウェイクアップの最適化を同期させたため、一部の極端なシナリオでパフォーマンスが低下する可能性があります。このシナリオは、非常に高い負荷圧力を持つベンチマークでのみ発生し、通常のユーザーシナリオには影響しません。
Alibaba Cloud Linux 3.2104 U7
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U7 | aliyun_3_x64_20G_alibase_20230516.vhd | 2023-05-16 |
|
aliyun_3_arm64_20G_alibase_20230515.vhd | 2023-05-15 |
|
内容の更新
カーネルのバグ (Bugfix) と重要なセキュリティ脆弱性 (CVE) を修正します。
multi-pcp 機能をサポートし、バディシステムのグローバルロックをバイパスして、ネットワークパケットの受信能力を向上させます。
multi-pcp 機能は、コアごとに 0 より大きいオーダーのメモリページを保持することをサポートします。これにより、ゾーン buddy システムを介した高次メモリページの割り当てを回避し、buddy システムのグローバルロックをバイパスしてネットワークパケット受信能力を向上させます。
圧縮および展開のパフォーマンスを向上させるために Intel IAA ドライバーを有効にします。
In-Memory Analytics Accelerator (IAA) は、基本的なデータ分析機能と高スループットの圧縮および展開を組み合わせたハードウェアアクセラレータです。ドライバーコードは Intel のコードリポジトリから提供され、ANCK カーネル用に適合およびバグ修正されています。
ページキャッシュの切り捨てによって引き起こされる shmem/hugetlb ファイルシステムでのサイレントなデータ損失を修正します。
shmem および hugetlb の障害ページはページキャッシュから削除されます。ファイル内の障害ページオフセットへの後続のアクセスは、新しいゼロページの割り当てにつながり、サイレントデータ損失を引き起こします。この機能は、ページフォールトによって引き起こされる shmem/tmpfs および hugetlb ファイルシステムのサイレントデータ損失の問題を修正します。
coresight ETE ドライバーと tools/perf ツールをサポートします。
ARM 64 プラットフォーム上の KVM モジュールの信号処理メカニズムを強化し、RAS などのシナリオでのシステムクラッシュを修正します。
CPU がゲストモードに入る前に、TIF_NOTIFY_RESUME フラグが処理されない場合、頻繁な RAS イベントが例外をトリガーし、システムクラッシュを引き起こす可能性があります。したがって、ARM 64 プラットフォームでは、保留中のタスク作業を正しく処理するために、完全な汎用エントリインフラストラクチャがサポートされるようになりました。
Linux コミュニティの CMN/DRW ドライバーと同期し、debugfs のサポートを追加し、関連するバグを修正します。
5.10-014 より前のバージョンの CMN/DRW ドライバーは、Linux コミュニティから逸脱していました。将来のメンテナンスコストを削減するため、バージョン 5.10-014 は Linux コミュニティの CMN/DRW ドライバーと同期し、Yitian 710 の CMN700 と互換性があります。同時に、debugfs のサポートと修正が追加され、ユーザーはユーザーモードで CMN トポロジーを表示できるようになりました。
X86 カーネルモードで COW によってトリガーされる MCE エラー回復をサポートします。
カーネルでの COW 操作中に修正不可能なエラーがトリガーされた場合、カーネルによって消費される修正不可能なエラーの回復ハンドラがないため、システムはクラッシュします。この機能は、アプリケーションに SIGBUS 信号を送信することで回復ハンドラをサポートし、システムクラッシュを回避します。
CPU PMU のユーザビリティを向上させるために、perf メトリックの形式でパフォーマンス問題をトップダウン分析するサポートを追加します。
5.10-014 より前のバージョンでは、perf メトリック機能はサポートされておらず、トップダウンのパフォーマンス分析ツールがありませんでした。CPU パフォーマンス監視ユニット (PMU) の使いやすさを向上させ、ユーザーが CPU パフォーマンスのボトルネックを特定するのを助けるため、バージョン 5.10-014 では perf メトリック機能が追加され、Yitian 710、Kunpeng、x86 などのプラットフォームのトップダウンメトリックがサポートされます。
virtio-net での UDP セグメントオフロード (USO) をサポートします。
UDP フラグメントオフロード (UFO) と比較して、これにより複雑なネットワーク環境でのパケット受信パフォーマンスと転送コンポーネントの転送パフォーマンスが向上します。バージョン 5.10-014 から、virtio-net は USO をサポートします。UFO と比較して、USO は、不安定なネットワーク状態、インキャストトラフィック、および著しいバーストを伴うビジネスシナリオにおいて、フラグメントの再構成によって引き起こされるパケット損失率を効果的に削減できます。また、受信側でのフラグメント再構成のオーバーヘッドも削減します。パケット損失や順序が乱れたパケットは、転送コンポーネントでフラグメントの再構成を引き起こし、その効率を低下させる可能性があります。USO はこの問題を効果的に軽減できます。
未実装の `pci_iounmap` が原因で aarch64 アーキテクチャで仮想アドレス空間が枯渇する問題を修正します。
5.10-014 より前のバージョンでは、`pci_iounmap` に `CONFIG_GENERIC_IOMAP` が構成されていなかったため、関数の実装が空で、マップされたメモリを解放できず、仮想アドレス空間の枯渇につながりました。バージョン 5.10-014 では、`pci_iounmap` 関数を正しく実装することでこの問題が修正されました。
パフォーマンス専有型 ublk をサポートします。
ublk は、io_uring パススルーメカニズムに基づいて実装された高性能ユーザーモードブロックデバイスです。分散ストレージでの効率的なエージェントアクセスに使用できます。
以下の Alibaba Cloud が自社開発したテクノロジーをサポートします:
マシンおよび memcg の粒度でコードセグメントをロックする機能をサポートします。
メモリのウォーターマークが低い場合、メモリの再利用がトリガーされます。メモリの解放中に、コアビジネスプログラムのコードセグメントに属するメモリが再利用される可能性があります。ビジネスプログラムが実行されると、このメモリはディスクから読み取られ、メモリに再ロードされます。頻繁な I/O 操作は、コアサービスの応答遅延とパフォーマンスのジッターにつながります。この機能は、コアビジネスプログラムが配置されている cgroup を選択し、そのコードセグメントメモリをロックして再利用できないようにすることで、コードセグメントのメモリが頻繁にスワップインおよびスワップアウトされるのを防ぎます。この機能には、ロックされたコードセグメントメモリの割合を制御するためにパーセンテージとして設定できるクォータ制限も追加されています。
ページキャッシュの再利用速度がその生成速度よりも遅いことによって引き起こされる OOM 問題を解決するために、ページキャッシュ使用量制限機能を提供します。
コンテナシナリオでは、コンテナで利用可能なメモリは制限されています。ページキャッシュが大量のメモリを占有し、メモリの再利用をトリガーする場合、ページキャッシュの再利用速度がビジネスの増加するメモリ需要よりも遅いと、OOM 問題が容易に発生し、ビジネスのパフォーマンスに深刻な影響を与えます。これに対処するため、ANCK はこの機能を導入し、コンテナが使用するページキャッシュのサイズを制限し、制限を超えたページキャッシュ使用量に対して早期にメモリを再利用します。これにより、メモリ圧力と OOM 問題が解決されます。このソリューションは、cgroup の粒度およびグローバルでのページキャッシュ使用量制限をサポートします。また、柔軟性のために同期および非同期の両方の再利用方法をサポートします。
動的な CPU 隔離をサポートします。
CPU 分離は、異なる CPU コアまたは CPU コアのセットを異なるタスクに割り当てることで、CPU リソースの競合を回避し、システム全体のパフォーマンスと安定性を向上させることができます。CPU 分離技術は、CPU の一部を重要なタスク用に分離し、重要でないタスクは分離されていない CPU を共有することで、重要なタスクの操作が影響を受けないようにします。ただし、システム内の重要なタスクの数は実行時に固定されていません。あまりにも多くの CPU を分離すると、CPU リソースの無駄遣いとコストの増加につながる可能性があります。したがって、CPU リソースをより有効に活用し、コストを節約し、ビジネス全体のパフォーマンスを向上させるために、いつでも CPU 分離の範囲を変更できる動的 CPU 分離が必要です。
cgroup v2 での CPU バーストおよび階層化メモリの最小ウォーターマークをサポートします。
cgroup v2 の使用を促進するために、CPU バーストや階層化メモリ最小ウォーターマーク機能など、さまざまな自己開発の ANCK テクノロジーのインターフェイスを cgroup v2 バージョン用に実装する必要があります。
xdp ソケットがキューに仮想メモリを割り当てることをサポートし、メモリの断片化による割り当て失敗を回避します。
デフォルトでは、xdp ソケットは `__get_free_pages()` を使用して隣接した物理メモリを割り当てます。マシンのメモリが高度に断片化されている場合、割り当てが容易に失敗し、xdp ソケットの作成が失敗する原因となります。この機能は `vmalloc()` を使用してメモリを割り当てることで、xdp ソケット作成の失敗の可能性を減らします。
Alibaba Cloud Linux 3.2104 U6.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U6.1 | aliyun_3_x64_20G_alibase_20230424.vhd | 2023-04-24 |
|
aliyun_3_arm64_20G_alibase_20230424.vhd | 2023-04-24 |
| |
aliyun_3_x64_20G_alibase_20230327.vhd | 2023-03-27 |
| |
aliyun_3_arm64_20G_alibase_20230327.vhd | 2023-03-27 |
|
Alibaba Cloud Linux 3.2104 U6
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U6 | aliyun_3_x64_20G_qboot_alibase_20230214.vhd | 2023-02-14 |
|
aliyun_3_x64_20G_uefi_alibase_20230214.vhd | 2023-02-14 |
| |
aliyun_3_x64_20G_alibase_20230110.vhd | 2023-01-10 |
| |
aliyun_3_arm64_20G_alibase_20230110.vhd | 2023-01-10 |
|
2022
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.5.2 | aliyun_3_x64_20G_alibase_20221118.vhd | 2022-11-18 | 最新のソフトウェアバージョンに |
aliyun_3_arm64_20G_alibase_20221118.vhd | 2022-11-18 |
| |
aliyun_3_x64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
aliyun_3_arm64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
Alibaba Cloud Linux 3.5 | aliyun_3_x64_20G_alibase_20220907.vhd | 2022-09-07 |
|
aliyun_3_arm64_20G_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_qboot_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_uefi_alibase_20220907.vhd | 2022-09-07 |
| |
Alibaba Cloud Linux 3.4.2 | aliyun_3_arm64_20G_alibase_20220819.vhd | 2022-08-19 |
|
aliyun_3_x64_20G_alibase_20220815.vhd | 2022-08-15 |
| |
Alibaba Cloud Linux 3.4.1 | aliyun_3_x64_20G_alibase_20220728.vhd | 2022-07-28 |
|
aliyun_3_arm64_20G_alibase_20220728.vhd | 2022-07-28 |
| |
Alibaba Cloud Linux 3.4 | aliyun_3_x64_20G_alibase_20220527.vhd | 2022-05-27 |
|
aliyun_3_x64_20G_qboot_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_arm64_20G_alibase_20220526.vhd | 2022-05-26 |
| |
Alibaba Cloud Linux 3.3.4 | aliyun_3_x64_20G_alibase_20220413.vhd | 2022-04-13 |
|
aliyun_3_arm64_20G_alibase_20220413.vhd | 2022-04-13 |
| |
Alibaba Cloud Linux 3.3.3 | aliyun_3_x64_20G_alibase_20220315.vhd | 2022-03-15 |
|
aliyun_3_arm64_20G_alibase_20220315.vhd | 2022-03-15 |
| |
Alibaba Cloud Linux 3.3.2 | aliyun_3_x64_20G_alibase_20220225.vhd | 2022-02-25 |
|
aliyun_3_x64_20G_qboot_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_arm64_20G_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20220225.vhd | 2022-02-25 |
|
2021
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2 | aliyun_3_x64_20G_qboot_alibase_20211214.vhd | 2021-12-14 |
|
aliyun_3_x64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_arm64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_x64_20G_uefi_alibase_20210910.vhd | 2021-09-10 |
| |
Alibaba Cloud Linux 3.1 | aliyun_3_arm64_20G_alibase_20210709.vhd | 2021-07-09 |
|
aliyun_3_x64_20G_alibase_20210425.vhd | 2021-04-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20210425.vhd | 2021-04-25 |
| |
Alibaba Cloud Linux 3.0 | aliyun_3_x64_20G_alibase_20210415.vhd | 2021-04-15 |
|
参考資料
詳細については、「Alibaba Cloud Linux 2 イメージのリリースノート」をご参照ください。
サードパーティおよびオープンソースのパブリックイメージリリースノート。
最新の Alibaba Cloud Linux 3 イメージを使用してインスタンスを作成することができます。