Alibaba Cloud は、最新のオペレーティングシステム機能、性能、およびセキュリティパッチをユーザーに提供するために、Alibaba Cloud Linux 3 イメージの更新バージョンを定期的にリリースしています。本トピックでは、Alibaba Cloud Linux 3 イメージで利用可能な最新バージョンと更新について詳しく説明します。
背景情報
特に指定がない限り、更新は Elastic Compute Service (ECS) インスタンスが利用可能なすべてのリージョンに適用されます。
ほとんどのインスタンスファミリーは Alibaba Cloud Linux 3 イメージと互換性があります。ただし、一部のインスタンスファミリーは、以下に詳述するように、特定のパブリックイメージしか使用できません。
イメージ ID に _arm64_ を含む ARM イメージは、Alibaba Cloud 上のすべての ARM インスタンスと互換性があります。
2025年
Alibaba Cloud Linux 3.2104 U12.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U12.1 | aliyun_3_x64_20G_alibase_20251030.vhd | 2025-11-30 |
|
aliyun_3_x64_20G_dengbao_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_x64_20G_container_optimized_alibase_202510309.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20251030.vhd | 2025-11-30 |
| |
aliyun_3_arm64_20G_container_optimized_alibase_20251030.vhd | 2025-11-30 |
|
更新内容
重要な更新
この更新では、カーネルが kernel-5.10.134-19.2.al8 パッケージに置き換えられ、以下の問題が修正されました:
マイクロコードのホットアップグレードが、Zen2 以外のアーキテクチャで Zenbleed の脆弱性に誤って対処しようとする問題を修正しました。
システムが機密コンピューティングのバウンスバッファとして高位アドレスを割り当てられるように、
swiotlb_any cmdlineパラメーターを追加しました。EFI を介して TDX 仮想マシン (VM) を起動する際に、EFI スタブフェーズでメモリが正しく受け入れられない問題を修正しました。
PCIe セカンダリバスリセット後、初期化が完了する前にダウンストリームデバイスが使用される可能性があり、エラーが発生したりデバイスがオフライン状態になったりする問題を修正しました。
ハードウェアリンクの異常時に Yitian インスタンスでカーネルの起動が失敗するのを防ぐため、いくつかの DWC_PMU ドライバーの問題を修正しました。
Group Balancer の潜在的なクラッシュ問題を修正しました。
virtio_net と vhost を使用した特定のシナリオでの予期しないパケット損失を修正しました。
詳細については、https://openanolis.cn/sig/Cloud-Kernel/doc/1388258453605187661
パッケージの更新
新機能
セキュア CAI シリーズコンポーネントを更新し、リモートデバイスアテステーションと Hygon CSV をサポートしました。これらの機能は yum リポジトリの更新を通じて提供されます:
trustee を trustee-1.7.0-1.al8 に更新しました。
trustiflux を trustiflux-1.4.4-1.al8 に更新しました。
cryptpilot を cryptpilot-0.2.7-1.al8 に更新しました。
trusted-network-gateway を trusted-network-gateway-2.2.6-1.al8 に更新しました。
gocryptfs-2.4.0-2.al8 をリリースしました。
tee-primitives を tee-primitives-1.0-2.al8 に更新しました。
システムの運用保守 (O&M) を強化しました:
sysak を sysak-3.8.0-1 に更新し、yum リポジトリの更新を通じて改善されたシステム O&M 機能を提供しました。
OS レベルの基盤機能を強化しました:
alinux-base-setup を alinux-release-3.2104.12-2.al8 に更新しました。セキュリティ上の理由から、rpcbind サービスはデフォルトで無効になっています。このコンポーネントはイメージ内で更新されます。
alinux-release を alinux-release-3.2104.12-2.al8 に更新しました。これは Alibaba Cloud Linux 3.12.1 のリリースを表します。このコンポーネントはイメージ内で更新されます。
NetworkManager を NetworkManager-1.40.16-19.0.1.1.al8 に更新し、ipvlan 機能を有効にしました。このコンポーネントはイメージ内で更新されます。
systemd を systemd-239-82.0.4.3.al8.5 に更新し、Systemd の NetworkNamespacePath 機能をサポートしました。この新機能はイメージに含まれています。
logrotate を logrotate-3.14.0-6.0.1.1.al8 に更新し、システムログを圧縮してシステムのメモリ使用量を最適化しました。このコンポーネントはイメージ内で更新されます。
tpm2-tss を tpm2-tss-2.4.6-1.0.2.al8 に更新し、yum リポジトリの更新を通じて機密コンピューティングのランタイム依存ライブラリを提供しました。
tpm2-tools を tpm2-tools-4.1.1-5.0.6.al8 に更新し、yum リポジトリの更新を通じて機密コンピューティングのランタイム依存ライブラリを提供しました。
tengine を tengine-3.1.0-3.al8 に更新し、Yitian 710 プロセッサでのパフォーマンスを向上させるために nginx-module-vts プラグインを統合しました。このコンポーネントは yum リポジトリの更新を通じて更新されます。
gcc-toolset-12-gcc を gcc-toolset-12-gcc-12.3.0-1.2.al8 に更新し、yum リポジトリの更新を通じて新しい GCC 機能を提供しました。
rasdaemon を rasdaemon-0.6.7-16.5.al8 に更新し、yum リポジトリの更新を通じて RAS 診断自己修復ソリューションを提供しました。
tracker を tracker-3.1.2-3.0.1.1.al8 に更新し、コンパイルオプションを変更して SQLite バージョンチェックを無効にしました。このコンポーネントは yum リポジトリの更新を通じて更新されます。
ostree を ostree-2022.2-11.al8 に更新し、ContainerOS でのセキュアな更新を実装しました。このコンポーネントは yum リポジトリで更新されます。
システムチューニング機能を強化しました:
yum リポジトリの更新を通じて keentuned および keentune-target バージョン 3.2.0 をリリースしました。
カーネルコンパニオンコンポーネントを更新しました:
smc-tools を smc-tools-1.8.3-1.0.4.al8 に更新しました。このマイナーバージョンは監視およびパケットキャプチャ機能を提供し、yum リポジトリの更新を通じて配信されます。
vtoa を vtoa-2.1.1-1.al8 に更新し、yum リポジトリの更新を通じて上位互換性と下位互換性を提供しました。
erofs-utils を erofs-utils-1.8.10-1.al8 に更新しました。これは yum リポジトリの更新を通じて配信されるバグ修正バージョンです。
クラウドアプリケーションコンポーネントを更新しました:
aliyun-cli を aliyun-cli-3.0.305-1.al8 に更新しました。このコンポーネントはイメージ内で更新されます。
ossfs を ossfs-1.91.8-1.al8 に更新し、基盤となる機能の問題を修正しました。このコンポーネントは yum リポジトリの更新を通じて更新されます。
OS インテリジェントアシスタントを更新しました:
os-copilot を os-copilot-0.9.1-1.al8 に yum リポジトリの更新を通じて更新しました。
Anolis OS 8 からの機能更新を同期しました。これには 11 のコンポーネントが含まれます。3 つのコンポーネントはイメージ内で更新され、8 つは yum リポジトリを通じて更新されます。以下の表に、コンポーネントと更新理由を示します。
コンポーネント名 | 以前のバージョン | 新しいバージョン | 更新理由 | 更新方法 |
libsemanage | libsemanage-2.9-10.0.1.al8 | libsemanage-2.9-12.0.1.al8 | 機能強化により、semanage のストレージと再構築のパフォーマンスが向上し、上位互換性があります。最適化により、再利用フェーズ中の関数呼び出し頻度を減らすための検出条件が追加され、パフォーマンスが向上します。 | イメージ内で更新 |
tzdata | tzdata-2024b-1.0.1.2.al8 | tzdata-2025b-1.0.1.1.al8 | 機能更新には、定期的なタイムゾーンの更新が含まれます。 | イメージ内で更新 |
linux-firmware | linux-firmware-20241014-125.git06bad2f1.al8 | linux-firmware-20250325-129.git710a336b.al8 | 機能追加により、より多くのハードウェアタイプをサポートします。 | イメージ内で更新 |
gnome-control-center | gnome-control-center-40.0-31.1.al8 | gnome-control-center-40.0-32.1.al8 | 機能追加により、API ベースでデバイスグループ情報をクエリできるようになります。 | yum リポジトリ経由で更新 |
java-1.8.0-openjdk-portable | java-1.8.0-openjdk-portable-1.8.0.432.b06-1.0.2.1.al8 | java-1.8.0-openjdk-portable-1.8.0.462.b08-1.0.1.1.al8 | 機能更新により、より高バージョンの Java コンポーネントをビルドおよびインストールするための Java コンポーネント機能が強化されます。 | yum リポジトリ経由で更新 |
java-17-openjdk-portable | java-17-openjdk-portable-17.0.13.0.11-1.0.2.1.al8 | java-17-openjdk-portable-17.0.16.0.8-1.0.1.1.al8 | 機能更新により、より高バージョンの Java コンポーネントをビルドおよびインストールするための Java コンポーネント機能が強化されます。 | yum リポジトリ経由で更新 |
motif | motif-2.3.4-20.al8 | motif-2.3.4-21.al8 | 機能強化により、マルチスクリーンサポートが追加されます。 | yum リポジトリ経由で更新 |
mysql-selinux | mysql-selinux-1.0.10-1.al8 | mysql-selinux-1.0.13-1.al8 | 機能追加には、新しい機能とバグ修正が含まれます。 | yum リポジトリ経由で更新 |
scap-security-guide | scap-security-guide-0.1.75-1.0.1.al8 | scap-security-guide-0.1.77-1.0.1.al8 | 機能強化により、ユーザー名前空間ルールが追加されます。 | yum リポジトリ経由で更新 |
sos | sos-4.8.1-1.0.1.1.al8 | sos-4.8.2-1.0.1.1.al8 | 機能強化により、Python 3.6 環境での walrus 演算子 (:=) のサポートが追加されます。 | yum リポジトリ経由で更新 |
tzdata | tzdata-2024b-1.0.1.2.al8 | tzdata-2025b-1.0.1.1.al8 | 機能更新には、定期的なタイムゾーンの更新が含まれます。 | イメージ内で更新 |
xorg-x11-drv-libinput | xorg-x11-drv-libinput-1.0.1-3.al8 | xorg-x11-drv-libinput-1.0.1-4.al8 | 機能追加により、特定の高キーコードを FK20-FK23 の範囲にマッピングします。 | yum リポジトリ経由で更新 |
Anolis OS 8 からのバグ修正を同期しました。これには 27 のコンポーネントが含まれます。12 のコンポーネントはイメージ内で更新され、15 は yum リポジトリを通じて更新されます。以下の表に、コンポーネントと更新理由を示します。
コンポーネント名 | 以前のバージョン | 新しいバージョン | 修正理由 | 更新方法 |
device-mapper-multipath | device-mapper-multipath-0.8.4-41.0.1.al8 | device-mapper-multipath-0.8.4-42.0.1.al8 | NVMe 外部ハンドラでのメモリリークを修正しました。 | イメージ内で更新 |
dnf | dnf-4.7.0-20.0.1.1.al8 | dnf-4.7.0-21.0.1.1.al8 | dnf-automatic の機能と dnf の実行に関する問題を修正しました。 | イメージ内で更新 |
firewalld | firewalld-0.9.11-9.0.1.al8 | firewalld-0.9.11-10.0.1.al8 | ポートの競合を防ぐために、サービスの Ceph ポート番号を更新しました。 | イメージ内で更新 |
libdnf | libdnf-0.63.0-20.0.1.2.al8 | libdnf-0.63.0-21.0.1.1.al8 | 無効なメモリアクセスの問題を修正しました。 | イメージ内で更新 |
libselinux | libselinux-2.9-9.1.al8 | libselinux-2.9-10.1.al8 | ヌルポインタの使用に関する問題を修正しました。 | イメージ内で更新 |
lvm2 | lvm2-2.03.14-14.0.1.al8 | lvm2-2.03.14-15.0.1.al8 | シャットダウン中に dmeventd モジュールでスレッドがブロックされる問題を修正し、/run/nologin パラメーターが検出された場合に強制終了する事前チェック機能を追加しました。 | イメージ内で更新 |
nfs-utils | nfs-utils-2.3.3-59.0.4.al8 | nfs-utils-2.3.3-64.0.1.al8 | GSSD 認証、READDIRPLUS 機能、mountstats ツールの動作を修正および改善するための複数のパッチを導入し、関連ドキュメントを調整しました。 | イメージ内で更新 |
nftables | nftables-1.0.4-4.al8 | nftables-1.0.4-7.al8 | nftables が iptables-nft ルールなどの互換性のある式を処理する方法を修正および最適化しました。修正には、翻訳エラーパスの修正、フォールバック印刷メカニズムの改善、サポートされていない式に対する警告メッセージの強化、メモリ管理の最適化が含まれます。 | イメージ内で更新 |
openldap | openldap-2.4.46-20.al8 | openldap-2.4.46-21.al8 | LDAP over SSL 接続失敗時のファイルディスクリプタリークと、初期 TLS 接続失敗時の重複ファイルクローズの問題を修正しました。 | イメージ内で更新 |
sssd | sssd-2.9.4-5.al8.1 | sssd-2.9.4-5.al8.2 | sssd_kcm のメモリリークを修正しました。ディスクキャッシュ内の大規模なデータベースを処理する際の問題を解決しました。大文字と小文字の不一致による失敗を防ぐために、キャッシュグループを更新する際に正しい名前を使用するように改善しました。グループメンバーを追加するかどうかを決定するための `ignore_group_members` 設定オプションのサポートを追加しました。 | イメージ内で更新 |
tar | tar-1.30-9.0.2.al8 | tar-1.30-11.0.1.al8 | --no-overwrite-dir オプション (1.30-7 上流コミット) のリグレッション問題を修正し、「読み取り中にファイルが変更されました」という警告の頻度を減らし、filerem01 テストでの関連する失敗を修正するための下流パッチを追加しました。 | イメージ内で更新 |
tuned | tuned-2.22.1-5.0.1.1.al8 | tuned-2.22.1-6.0.1.1.al8 | hdparm デバイスチェックを遅延ロードにし、PostgreSQL 設定で amd.scheduler プラグインインスタンスを無効にしました。 | イメージ内で更新 |
389-ds-base | 389-ds-base-1.4.3.39-9.0.1.al8 | 389-ds-base-1.4.3.39-15.0.1.al8 | str2filter および uiduniq モジュールの 2 つの機能的な問題を修正しました。 | yum リポジトリ経由で更新 |
autofs | autofs-5.1.4-114.0.1.al8.1 | autofs-5.1.4-114.0.1.al8.2 | デッドロックの問題を修正しました。 | yum リポジトリ経由で更新 |
cups-filters | cups-filters-1.20.0-35.0.1.al8 | cups-filters-1.20.0-36.0.1.al8 | 印刷中に画像が 90 度回転する問題を修正しました。 | yum リポジトリ経由で更新 |
curl | curl-7.61.1-35.0.2.al8 | curl-7.61.1-35.0.2.al8.3 | CVE-2023-28321 のフォローアップ更新と、非同期スレッドでの待機機会を作成して非同期問題を解決しました。 | yum リポジトリ経由で更新 |
haproxy | haproxy-2.4.22-3.0.1.al8 | haproxy-2.4.22-3.0.1.al8.1 | CPU 使用率の急上昇を防ぐために読み書き関数でリトライフラグをクリアし、ファイルからの証明書読み込みの問題を解決しました。 | yum リポジトリ経由で更新 |
jasper | jasper-2.0.14-5.0.1.al8 | jasper-2.0.14-6.0.1.al8 | jasper の設定ファイル内の設定項目を変更しました。 | yum リポジトリ経由で更新 |
libisoburn | libisoburn-1.5.4-4.al8 | libisoburn-1.5.4-5.al8 | アップグレード中のスクリプトエラーの問題を解決するために、post スクリプトを変更しました。 | yum リポジトリ経由で更新 |
mod_security_crs | mod_security_crs-3.3.4-3.al8 | mod_security_crs-3.3.4-3.al8.2 | バグ修正により、フォーム内の特定の都市名や通りの名前がブロックされる問題が解決されました。 | yum リポジトリ経由で更新 |
mutter | mutter-40.9-22.0.1.al8 | mutter-40.9-23.0.1.al8 | 高速かつ繰り返しのウィンドウ切り替えによって引き起こされる問題を修正しました。 | yum リポジトリ経由で更新 |
portreserve | portreserve-0.0.5-19.2.al8 | portreserve-0.0.5-20.0.1.al8 | tmpfiles.d 設定を更新し、portreserve の systemd 一時ファイルが古いディレクトリ /var/run/ ではなく /run を参照する問題を修正しました。 | yum リポジトリ経由で更新 |
samba | samba-4.19.4-6.1.al8 | samba-4.19.4-9.1.al8 | Windows netlogon の強化後のドメインコントローラー検出を修正し、winbind のメモリリークを解決し、fd_handle_destructor() による smbd_smb2_close() での潜在的なカーネルパニックを修正しました。 | yum リポジトリ経由で更新 |
squid | squid-4.15-13.al8.3 | squid-4.15-13.al8.5 | TTL が 0 に設定されていても squid が DNS エントリをキャッシュする問題を修正しました。 | yum リポジトリ経由で更新 |
strace | strace-5.18-2.0.4.al8 | strace-5.18-2.1.0.1.al8 | loongarch64 アーキテクチャのサポートを追加しました。 PTRACE_GET_SYSCALL_INFO を使用してプロセスをアタッチする際に、restart_syscall() のシステムコール名が誤って報告される問題を修正しました。 net-yy-inet*、linkat--secontext_mismatch、および prctl-sve テストケースを更新しました。 | yum リポジトリ経由で更新 |
traceroute | traceroute-2.1.0-6.2.0.3.al8 | traceroute-2.1.0-9.0.1.al8 | poll.c のポーリング処理ロジックを修正し、堅牢性を向上させました。 | yum リポジトリ経由で更新 |
unzip | unzip-6.0-47.0.1.al8 | unzip-6.0-48.0.1.al8 | 特定の ZIP ファイルが正しく解凍できない問題を修正しました。 | yum リポジトリ経由で更新 |
116 件の CVE に対処しました。以下の表に CVE を示します。
コンポーネント | 以前のバージョン | 新しいバージョン | 修正された CVE-ID |
aide | aide-0.16-102.al8 | aide-0.16-103.al8.2 | CVE-2025-54389 |
bind | bind-9.11.36-16.0.1.al8 | bind-9.11.36-16.0.1.al8.4 | CVE-2024-11187 |
bind-dyndb-ldap | bind-dyndb-ldap-11.6-5.al8 | bind-dyndb-ldap-11.6-6.al8 | CVE-2025-4404 |
bluez | bluez-5.63-3.0.1.al8 | bluez-5.63-5.0.1.al8 | CVE-2023-27349 CVE-2023-51589 |
buildah | buildah-1.33.11-1.al8 | buildah-1.33.12-2.al8 | CVE-2025-22871 CVE-2025-6032 |
bzip2 | bzip2-1.0.6-27.al8 | bzip2-1.0.6-28.al8 | CVE-2019-12900 |
compat-libtiff3 | compat-libtiff3-3.9.4-13.2.al8 | compat-libtiff3-3.9.4-14.0.1.al8 | CVE-2025-9900 |
compat-openssl10 | compat-openssl10-1.0.2o-4.0.1.al8 | compat-openssl10-1.0.2o-4.0.1.al8.1 | CVE-2023-0286 |
containernetworking-plugins | containernetworking-plugins-1.4.0-5.0.1.al8 | containernetworking-plugins-1.4.0-6.0.1.al8 | CVE-2025-22871 CVE-2025-6032 |
corosync | corosync-3.1.8-2.al8 | corosync-3.1.9-2.al8 | CVE-2025-30472 |
cups | cups-2.2.6-62.0.1.al8 | cups-2.2.6-63.0.1.al8 | CVE-2025-58060 |
delve | delve-1.22.1-1.0.2.al8 | delve-1.24.1-1.0.2.al8 | CVE-2025-22871 CVE-2025-4673 |
doxygen | doxygen-1.8.14-12.1.al8 | doxygen-1.8.14-13.al8 | CVE-2020-11023 |
emacs | emacs-27.2-10.0.1.al8 | emacs-27.2-14.0.1.al8.2 | CVE-2024-53920 |
expat | expat-2.2.5-16.al8 | expat-2.2.5-17.al8 | CVE-2024-8176 |
fence-agents | fence-agents-4.10.0-76.0.1.al8.1 | fence-agents-4.10.0-86.0.1.al8.7 | CVE-2025-47273 |
freetype | freetype-2.10.4-9.al8 | freetype-2.10.4-10.al8 | CVE-2025-27363 |
galera | galera-26.4.14-1.al8 | galera-26.4.20-1.al8 | CVE-2023-22084 CVE-2024-21096 |
gcc-toolset-13-gcc | gcc-toolset-13-gcc-13.3.1-2.1.0.1.1.al8 | gcc-toolset-13-gcc-13.3.1-2.2.0.1.1.al8 | CVE-2020-11023 |
gdk-pixbuf2 | gdk-pixbuf2-2.42.6-4.0.1.al8 | gdk-pixbuf2-2.42.6-6.0.1.al8 | CVE-2025-7345 |
ghostscript | ghostscript-9.54.0-18.al8 | ghostscript-9.54.0-19.al8 | CVE-2025-27832 |
gimp | gimp-2.8.22-25.al8 | gimp-2.8.22-26.al8.2 | CVE-2025-48797 CVE-2025-48798 CVE-2025-5473 |
git | git-2.43.5-2.0.1.al8 | git-2.43.7-1.0.1.al8 | CVE-2024-50349 CVE-2024-52006 CVE-2025-27613 CVE-2025-27614 CVE-2025-46835 CVE-2025-48384 CVE-2025-48385 |
git-lfs | git-lfs-3.4.1-3.0.1.al8 | git-lfs-3.4.1-5.0.1.al8 | CVE-2025-22871 |
glib2 | glib2-2.68.4-14.0.2.al8 | glib2-2.68.4-16.0.1.al8.2 | CVE-2024-52533 CVE-2025-4373 |
glibc | glibc-2.32-1.16.al8 | glibc-2.32-1.21.al8 | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 |
gnome-remote-desktop | gnome-remote-desktop-0.1.8-3.1.al8 | gnome-remote-desktop-0.1.8-4.0.1.al8 | CVE-2025-5024 |
gnutls | gnutls-3.6.16-8.0.2.al8.3 | gnutls-3.6.16-8.0.2.al8.4 | CVE-2025-32988 CVE-2025-32990 CVE-2025-6395 |
go-toolset | go-toolset-1.22.9-1.al8 | go-toolset-1.24.6-1.al8 | CVE-2025-4674 |
golang | golang-1.22.9-1.0.1.al8 | golang-1.24.6-1.0.1.al8 | CVE-2025-4674 |
grafana | grafana-9.2.10-20.0.1.al8 | grafana-9.2.10-25.0.1.al8 | CVE-2025-22871 |
grafana-pcp | grafana-pcp-5.1.1-9.0.1.al8 | grafana-pcp-5.1.1-10.al8 | CVE-2025-22871 |
gstreamer1 | gstreamer1-1.22.1-2.0.1.al8 | gstreamer1-1.22.12-3.0.1.al8 | CVE-2024-0444 CVE-2024-4453 |
gstreamer1-plugins-bad-free | gstreamer1-plugins-bad-free-1.22.1-4.0.1.al8 | gstreamer1-plugins-bad-free-1.16.1-1.1.al8 | #N/A |
gstreamer1-plugins-base | gstreamer1-plugins-base-1.22.1-3.0.1.al8 | gstreamer1-plugins-base-1.22.12-4.0.1.al8 | CVE-2024-47541 CVE-2024-47542 CVE-2024-47600 CVE-2024-47835 |
httpd | httpd-2.4.37-65.0.1.al8.2 | httpd-2.4.37-655.0.1.al8.5 | CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 |
ipa | ipa-4.9.13-14.0.1.1.al8 | ipa-4.9.13-20.0.1.1.al8 | CVE-2025-7493 |
ipa-healthcheck | ipa-healthcheck-0.12-4.al8 | ipa-healthcheck-0.12-6.al8 | CVE-2025-7493 |
jackson-annotations | jackson-annotations-2.14.2-1.al8 | jackson-annotations-2.19.1-1.al8 | CVE-2025-52999 |
jackson-core | jackson-core-2.14.2-1.al8 | jackson-core-2.19.1-1.al8 | CVE-2025-52999 |
jackson-databind | jackson-databind-2.14.2-1.al8 | jackson-databind-2.19.1-1.al8 | CVE-2025-52999 |
jackson-jaxrs-providers | jackson-jaxrs-providers-2.14.2-1.al8 | jackson-jaxrs-providers-2.19.1-1.al8 | CVE-2025-52999 |
java-1.8.0-openjdk | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 | java-1.8.0-openjdk-1.8.0.462.b08-2.0.1.1.al8 | CVE-2025-30749 CVE-2025-30754 CVE-2025-30761 CVE-2025-50106 |
java-17-openjdk | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 | java-17-openjdk-17.0.16.0.8-2.0.1.1.al8 | CVE-2025-30749 CVE-2025-30754 CVE-2025-50059 CVE-2025-50106 |
jq | jq-1.6-17.al8 | jq-1.6-17.al8.2 | CVE-2024-23337 CVE-2025-48060 |
keepalived | keepalived-2.2.8-3.al8 | keepalived-2.2.8-4.al8 | CVE-2024-41184 |
krb5 | krb5-1.18.2-30.0.1.al8 | krb5-1.18.2-32.0.1.al8 | CVE-2025-3576 |
libarchive | libarchive-3.5.3-4.al8 | libarchive-3.5.3-6.al8 | CVE-2025-5914 |
libblockdev | libblockdev-2.28-6.al8 | libblockdev-2.28-7.al8 | CVE-2025-6019 |
libcap | libcap-2.48-6.0.1.al8 | libcap-2.48-6.0.2.al8 | CVE-2025-1390 |
libpq | libpq-13.11-1.0.1.al8 | libpq-13.20-1.0.1.al8 | CVE-2025-1094 |
libreoffice | libreoffice-7.1.8.1-12.0.2.1.al8.1 | libreoffice-7.1.8.1-15.0.1.1.al8.1 | CVE-2025-1080 |
libsoup | libsoup-2.62.3-6.0.1.al8 | libsoup-2.62.3-9.0.1.al8 | CVE-2025-2784 CVE-2025-4948 CVE-2025-32049 CVE-2025-32914 |
libtasn1 | libtasn1-4.13-4.0.1.al8 | libtasn1-4.13-5.0.1.al8 | CVE-2024-12133 |
libtpms | libtpms-0.9.1-2.20211126git1ff6fe1f43.al8 | libtpms-0.9.1-3.20211126git1ff6fe1f43.al8 | CVE-2025-49133 |
libvirt | libvirt-8.0.0-23.3.0.2.al8 | libvirt-8.0.0-23.4.0.1.al8 | CVE-2025-49133 |
libvpx | libvpx-1.7.0-11.0.1.al8 | libvpx-1.7.0-12.0.1.al8 | CVE-2025-5283 |
libxml2 | libxml2-2.9.7-18.0.3.1.al8 | libxml2-2.9.7-21.0.1.1.al8.3 | CVE-2025-32415 |
libxslt | libxslt-1.1.32-6.1.al8 | libxslt-1.1.32-6.2.0.1.al8 | CVE-2023-40403 |
mariadb | mariadb-10.5.22-1.0.1.al8 | mariadb-10.5.27-1.0.1.al8 | CVE-2023-22084 CVE-2024-21096 |
mecab-ipadic | mecab-ipadic-2.7.0.20070801-16.2.al8 | mecab-ipadic-2.7.0.20070801-17.0.1.al8 | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 |
microcode_ctl | microcode_ctl-20240910-1.0.1.al8 | microcode_ctl-20250512-1.0.1.al8 | CVE-2024-28956 CVE-2024-43420 CVE-2024-45332 CVE-2025-20012 CVE-2025-20623 CVE-2025-24495 |
mingw-freetype | mingw-freetype-2.8-3.1.al8 | mingw-freetype-2.8-3.1.al8.1 | CVE-2025-27363 CVE-2025-32050 CVE-2025-32052 CVE-2025-32053 CVE-2025-32906 CVE-2025-32907 CVE-2025-32909 CVE-2025-32910 CVE-2025-32911 CVE-2025-32913 |
mingw-sqlite | mingw-sqlite-3.26.0.0-1.1.al8 | mingw-sqlite-3.26.0.0-2.al8 | CVE-2025-6965 |
mod_auth_openidc | mod_auth_openidc-2.4.9.4-6.al8 | mod_auth_openidc-2.4.9.4-8.al8 | CVE-2025-3891 |
mod_http2 | mod_http2-1.15.7-10.al8.1 | mod_http2-1.15.7-10.al8.4 | CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 |
mod_security | mod_security-2.9.6-1.al8 | mod_security-2.9.6-2.al8 | CVE-2025-47947 |
mysql | mysql-8.0.36-1.0.1.1.al8 | mysql-8.0.43-1.0.1.1.al8 | CVE-2025-21574 CVE-2025-21575 CVE-2025-21577 CVE-2025-21579 CVE-2025-21580 CVE-2025-21581 CVE-2025-21584 CVE-2025-21585 CVE-2025-30681 CVE-2025-30682 CVE-2025-30683 CVE-2025-30684 CVE-2025-30685 CVE-2025-30687 CVE-2025-30688 CVE-2025-30689 CVE-2025-30693 CVE-2025-30695 CVE-2025-30696 CVE-2025-30699 CVE-2025-30703 CVE-2025-30704 CVE-2025-30705 CVE-2025-30715 CVE-2025-30721 CVE-2025-30722 CVE-2025-50077 CVE-2025-50078 CVE-2025-50079 CVE-2025-50080 CVE-2025-50081 CVE-2025-50082 CVE-2025-50083 CVE-2025-50084 CVE-2025-50085 CVE-2025-50086 CVE-2025-50087 CVE-2025-50088 CVE-2025-50091 CVE-2025-50092 CVE-2025-50093 CVE-2025-50094 CVE-2025-50096 CVE-2025-50097 CVE-2025-50098 CVE-2025-50099 CVE-2025-50100 CVE-2025-50101 CVE-2025-50102 CVE-2025-50104 CVE-2025-53023 |
nodejs | nodejs-20.16.0-1.1.al8 | nodejs-20.19.2-1.1.al8 | CVE-2025-23165 CVE-2025-23166 CVE-2025-23167 |
nodejs-nodemon | nodejs-nodemon-2.0.20-3.al8 | nodejs-nodemon-3.0.1-1.al8 | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 |
nodejs-packaging | nodejs-packaging-23-3.1.al8 | nodejs-packaging-2021.06-4.al8 | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 |
open-vm-tools | open-vm-tools-12.3.5-2.al8 | open-vm-tools-12.3.5-2.al8.1 | CVE-2025-41244 |
opendnssec | opendnssec-2.1.7-1.1.al8 | opendnssec-2.1.7-2.al8 | CVE-2025-4404 |
openssh | openssh-8.0p1-25.0.1.1.al8 | openssh-8.0p1-26.0.1.1.al8 | CVE-2025-26465 |
osbuild | osbuild-126-1.0.1.al8 | osbuild-141.2-1.0.1.al8 | CVE-2024-34158 CVE-2024-9355 CVE-2024-1394 |
osbuild-composer | osbuild-composer-118-2.0.1.al8 | osbuild-composer-132.2-2.0.1.al8 | CVE-2025-22871 |
pam | pam-1.3.1-36.al8 | pam-1.3.1-38.al8 | CVE-2025-6020 |
pcs | pcs-0.10.18-2.0.1.1.al8.3 | pcs-0.10.18-2.0.1.1.al8.6 | CVE-2024-49761 |
perl | perl-5.26.3-422.0.1.al8 | perl-5.26.3-423.0.1.al8 | CVE-2025-40909 |
perl-CPAN | perl-CPAN-2.18-397.1.0.2.al8 | perl-CPAN-2.18-402.0.1.al8 | CVE-2020-16156 |
perl-FCGI | perl-FCGI-0.78-11.2.al8 | perl-FCGI-0.78-12.al8 | CVE-2025-40907 |
perl-File-Find-Rule | perl-File-Find-Rule-0.34-8.1.al8 | perl-File-Find-Rule-0.34-9.al8 | CVE-2011-10007 |
perl-JSON-XS | perl-JSON-XS-3.04-3.2.al8 | perl-JSON-XS-3.04-4.al8 | CVE-2025-40928 |
perl-YAML-LibYAML | perl-YAML-LibYAML-0.70-1.1.al8 | perl-YAML-LibYAML-0.70-2.al8 | CVE-2025-40908 |
podman | podman-4.9.4-18.0.1.al8 | podman-4.9.4-23.0.1.al8 | CVE-2025-9566 |
postgresql | postgresql-13.18-1.0.1.al8 | postgresql-13.22-1.0.1.al8 | CVE-2025-8714 CVE-2025-8715 |
python-cryptography | python-cryptography-3.2.1-7.al8 | python-cryptography-3.2.1-8.al8 | CVE-2023-49083 |
python-jinja2 | python-jinja2-2.10.1-3.0.3.al8 | python-jinja2-2.10.1-7.0.1.al8 | CVE-2025-27516 |
python-requests | python-requests-2.20.0-5.al8 | python-requests-2.20.0-6.al8 | CVE-2024-47081 |
python-setuptools | python-setuptools-39.2.0-8.al8.1 | python-setuptools-39.2.0-9.al8 | CVE-2025-47273 |
python3 | python3-3.6.8-69.0.1.1.al8 | python3-3.6.8-71.0.1.1.al8 | CVE-2025-8194 |
python3.11 | python3.11-3.11.11-1.0.1.al8 | python3.11-3.11.13-2.0.1.al8 | CVE-2025-8194 |
python3.11-setuptools | python3.11-setuptools-65.5.1-3.al8 | python3.11-setuptools-65.5.1-4.al8 | CVE-2025-47273 |
qemu-kvm | qemu-kvm-6.2.0-53.0.1.al8.2 | qemu-kvm-6.2.0-53.0.8.al8.4 | CVE-2025-49133 |
redis | redis-6.2.7-1.0.3.al8 | redis-6.2.19-1.0.1.1.al8 | CVE-2025-32023 CVE-2025-48367 |
resource-agents | resource-agents-4.9.0-54.al8.6 | resource-agents-4.9.0-54.al8.16 | CVE-2024-47081 |
rsync | rsync-3.1.3-20.0.1.al8 | rsync-3.1.3-23.0.1.al8 | CVE-2016-9840 |
runc | runc-1.1.12-5.0.1.al8 | runc-1.1.12-6.0.1.al8 | CVE-2025-22869 |
skopeo | skopeo-1.14.5-3.0.1.al8 | skopeo-1.14.5-4.0.1.al8 | CVE-2025-22871 CVE-2025-6032 |
socat | socat-1.7.4.1-1.0.1.al8 | socat-1.7.4.1-2.0.1.al8 | CVE-2024-54661 |
spice-client-win | spice-client-win-8.8-1.al8 | spice-client-win-8.10-1.al8 | CVE-2025-27363 CVE-2025-32050 CVE-2025-32052 CVE-2025-32053 CVE-2025-32906 CVE-2025-32907 CVE-2025-32909 CVE-2025-32910 CVE-2025-32911 CVE-2025-32913 |
sqlite | sqlite-3.26.0-19.al8 | sqlite-3.26.0-20.al8 | CVE-2025-6965 |
sudo | sudo-1.9.5p2-1.0.2.al8 | sudo-1.9.5p2-1.0.2.al8.1 | CVE-2025-32462 |
tbb | tbb-2018.2-9.2.al8 | tbb-2018.2-10.al8.1 | CVE-2020-11023 |
tigervnc | tigervnc-1.13.1-14.al8 | tigervnc-1.15.0-7.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
tomcat | tomcat-9.0.87-1.al8.2 | tomcat-9.0.87-1.al8.6 | CVE-2025-48976 CVE-2025-48988 CVE-2025-48989 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506 |
udisks2 | udisks2-2.9.0-16.0.1.1.al8 | udisks2-2.9.0-16.0.4.al8.1 | CVE-2025-8067 |
unbound | unbound-1.16.2-7.al8 | unbound-1.16.2-9.al8 | CVE-2025-5994 |
varnish | varnish-6.0.13-1.0.1.1.al8 | varnish-6.0.13-1.1.al8.1 | CVE-2025-47905 |
vim | vim-8.0.1763-19.0.2.al8.5 | vim-8.0.1763-21.0.1.al8 | CVE-2025-53905 CVE-2025-53906 |
webkit2gtk3 | webkit2gtk3-2.46.5-1.0.1.al8 | webkit2gtk3-2.46.6-2.0.1.al8 | CVE-2025-24201 |
xdg-utils | xdg-utils-1.1.3-11.al8 | xdg-utils-1.1.3-13.al8 | CVE-2022-4055 |
xmlrpc-c | xmlrpc-c-1.51.0-10.0.1.al8 | xmlrpc-c-1.51.0-11.0.1.al8 | CVE-2024-8176 |
xorg-x11-server | xorg-x11-server-1.20.11-25.0.1.al8 | xorg-x11-server-1.20.11-26.0.1.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
xorg-x11-server-Xwayland | xorg-x11-server-Xwayland-23.2.7-1.al8 | xorg-x11-server-Xwayland-23.2.7-4.al8 | CVE-2025-49175 CVE-2025-49176 CVE-2025-49178 CVE-2025-49179 CVE-2025-49180 |
yelp | yelp-40.3-2.al8 | yelp-40.3-2.al8.1 | CVE-2025-3155 |
yelp-xsl | yelp-xsl-40.2-1.0.1.al8 | yelp-xsl-40.2-1.0.1.al8.1 | CVE-2025-3155 |
バグ修正
qemu-kvm バージョン qemu-kvm-6.2.0-53.0.8.al8.4 で、arm64 で spice がサポートされていなかった問題を修正しました。
anaconda バージョン anaconda-33.16.7.12-1.0.7.4.al8 で、/etc/timezone をシンボリックリンクからテキストファイルに変更しました。
cloud-init バージョン cloud-init-23.2.2-9.0.1.1.al8 で、アンインストール後にシンボリックリンクが残る問題を修正しました。
kexec-tools バージョン kexec-tools-2.0.26-14.0.1.7.al8.2 で、c9i インスタンスの Node0 で Normal メモリが予約されていなかった問題を修正しました。
fuse バージョン fuse-2.9.7-19.1.al8 で、ossfs マウントポイントが失われる問題を修正しました。
gcc-toolset-12 バージョン gcc-toolset-12-12.0-6.1.al8 で、pcp ソフトウェアをインストールすると gcc-toolset-12 ディレクトリに再ビルドされ、機能に影響を与える問題を修正しました。
util-linux バージョン util-linux-2.32.1-46.0.4.1.al8 で、ハードウェアクロックを設定する際の無効なパラメーターの問題を解決しました。
既知の問題
ebmhfr7.48xlarge16 ECS Bare Metal Instance で NetworkManager-wait-online サービスが起動に失敗します。これは、インスタンスタイプに NetworkManager で管理されていない usb0 インターフェイスがあるため、サービスが失敗するためです。この問題を解決するには、サービスを手動で設定して再起動する必要があります。
ソリューション
/etc/NetworkManager/conf.d/99-unmanaged-device.conf ファイルを次の内容で作成します:
[device-usb0-unmanaged] match-device=interface-name:usb0 managed=0ファイルを編集した後、システムを再起動します。NetworkManager-wait-online サービスは正常に起動します。
Alibaba Cloud Linux 3 AI Extension Edition 0.5.4
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension ARM Edition 0.5.4 | aliyun_3_0_arm64_20G_alibase_aiext_0.5.4_20251031.vhd | 2025-11-30 |
|
更新内容
重要な更新
カーネルを 5.10.134-19.2.al8.aarch64 にアップグレードしました。
カーネルの更新:
マイクロコードのホットアップグレードが、Zen2 以外のアーキテクチャで Zenbleed の脆弱性に誤って対処しようとする問題を修正しました。
システムが機密コンピューティングのバウンスバッファとして高位アドレス (> 2 GB) を割り当てられるように、swiotlb_any cmdline パラメーターを追加しました。
EFI を介して TDX VM を起動する際に、EFI スタブフェーズでメモリが正しく受け入れられない問題を修正しました。
PCIe セカンダリバスリセット後、初期化が完了する前にダウンストリームデバイスが使用される可能性があり、エラーが発生したりデバイスがオフライン状態になったりする問題を修正しました。
ハードウェアリンクの異常時に Yitian インスタンスでカーネルの起動が失敗するのを防ぐため、いくつかの DWC_PMU ドライバーの問題を修正しました。
Group Balancer の潜在的なクラッシュ問題を修正しました。
virtio_net と vhost を使用した特定のシナリオでの予期しないパケット損失を修正しました。
イメージの更新
デフォルトで
python3.12-3.12.7-1.al8を提供およびインストールし、デフォルトの Python 3 バージョンとして設定しました。keentuned-3.4.1-1.al8を通じて AI シナリオ向けのインテリジェントなチューニングを提供しました。fuse over io_uring モードのサポートを強化するために、デフォルトで
kmod-fuse-5.10.134~19.2-1.2.5~1.al8をインストールしました。これにより、数百万 IOPS と 40 GB/s のキャッシュ読み書き帯域幅の二重の改善が達成されます。
Alibaba Cloud Linux 3 AI Extension Edition 0.5.3
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.3 | aliyun_3_0_x64_20G_alibase_aiext_0.5.3_20251011.vhd | 2025-10-11 |
|
更新内容
重要な更新
カーネル
カーネルをバージョン
5.10.134-19.103.al8.x86_64にアップグレードしました。新機能
ペタバイトレベルのメモリ管理を可能にするため、5 レベルページテーブルのサポートを追加しました。互換性のため、ユーザーモードでは mmap 中にヒントとして高位アドレスを明示的に指定して、5 レベルページテーブル空間の割り当てを有効にする必要があります。
BIOS 設定を変更せずに PCIe デバイスの BAR サイズを調整できる PCIe Resize Bar 機能を追加しました。
cmdline に reclaim_pt を追加することで、ページテーブルページの再利用をデフォルトで有効にしました。これにより、MADV_DONTNEED パスでページテーブルページを再利用してメモリを節約し、早期のメモリ不足 (OOM) 問題を防ぎます。
混合デプロイメントの強化:混合デプロイメントシナリオの負荷分散ポリシーを最適化しました。混合デプロイメントシナリオにおける絶対的な抑制ポリシーをリファクタリングし、オンラインタスクによるオフラインタスクの絶対的な抑制を実現しました。これにより、オフラインタスクがオンラインタスクをプリエンプトするのを効果的に防ぎます。
互換性
このパッチは GNR の UPI サポートをマージバックします。
カーネル kABI は以前のバージョンと一貫しています。
cmdline を変更しました:pci_quirk はデフォルトでオンであり、pci_quirk=disable を追加することで無効にできます。drv_quirk はデフォルトでオフであり、drv_quirk=enable を追加することで有効にできます。
安定性
virtio-net での大小両方のパケットにおけるチェックサムエラーの問題を修正しました。
グループバランサーの use-after-free の問題を修正しました。
再起動またはシャットダウン中の NVMe ドライブのヌルポインター逆参照問題を修正しました。
vhost スレッドの異常を修正しました。
イメージ
update-grubenvサービスを追加しました。このサービスは、システム起動時に現在のブートモード (UEFI またはレガシー BIOS) を自動的に検出し、/boot/grub2/grubenv設定ファイルを動的に更新して、GRand Unified Bootloader (GRUB) 環境変数が実際のブート方法と一致するようにします。このサービスはデフォルトで有効になっており、システム起動時に自動的に実行されます。keentuned を最新バージョンの
keentuned-3.4.0-1.al8.x86_64にアップグレードしました。kmod-fuse を
kmod-fuse-5.10.134~19.103-1.2.4.5~2.al8.x86_64にアップグレードしました。cmdline から
drv_quirk=disableとdrv_link_quirk=disableを削除し、reclaim_ptを追加しました。
セキュリティ更新
パッケージ名 | CVE ID | 新しいバージョン |
bind-export-libs | CVE-2024-11187 | 9.11.36-16.0.1.al8.4 |
bzip2 | CVE-2019-12900 | 1.0.6-28.al8 |
bzip2-libs | 1.0.6-28.al8 | |
cups-client | CVE-2025-58060 | 2.2.6-63.0.1.al8 |
cups-libs | 2.2.6-63.0.1.al8 | |
expat | CVE-2024-8176 | 2.2.5-17.al8 |
freetype | CVE-2025-27363 | 2.10.4-10.al8 |
glib2 | CVE-2024-52533 CVE-2025-4373 | 2.68.4-16.0.1.al8.2 |
glibc | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 | 2.32-1.21.al8 |
glibc-all-langpacks | 2.32-1.21.al8 | |
glibc-common | 2.32-1.21.al8 | |
glibc-devel | 2.32-1.21.al8 | |
glibc-headers-x86 | 2.32-1.21.al8 | |
grub2-common | CVE-2025-0624 | 2.02-165.0.1.al8 |
grub2-efi-x64 | 2.02-165.0.1.al8 | |
grub2-pc | 2.02-165.0.1.al8 | |
grub2-pc-modules | 2.02-165.0.1.al8 | |
grub2-tools | 2.02-165.0.1.al8 | |
grub2-tools-efi | 2.02-165.0.1.al8 | |
grub2-tools-extra | 2.02-165.0.1.al8 | |
grub2-tools-minimal | 2.02-165.0.1.al8 | |
krb5-libs | CVE-2025-3576 | 1.18.2-32.0.1.al8 |
libarchive | CVE-2025-5914 | 3.5.3-6.al8 |
libblockdev | CVE-2025-6019 | 2.28-7.al8 |
libblockdev-crypto | 2.28-7.al8 | |
libblockdev-fs | 2.28-7.al8 | |
libblockdev-loop | 2.28-7.al8 | |
libblockdev-mdraid | 2.28-7.al8 | |
libblockdev-part | 2.28-7.al8 | |
libblockdev-swap | 2.28-7.al8 | |
libblockdev-utils | 2.28-7.al8 | |
libcap | CVE-2025-1390 | 2.48-6.0.2.al8 |
libtasn1 | CVE-2024-12133 | 4.13-5.0.1.al8 |
libudisks2 | CVE-2025-8067 | 2.9.0-16.0.4.al8.1 |
libxml2 | CVE-2025-32415 | 2.9.7-21.0.1.1.al8.3 |
nscd | CVE-2025-0395 CVE-2025-4802 CVE-2025-8058 | 2.32-1.21.al8 |
pam | CVE-2025-6020 CVE-2025-8941 | 1.3.1-38.al8 |
perl-Errno | CVE-2025-40909 | 1.28-423.0.1.al8 |
perl-interpreter | 5.26.3-423.0.1.al8 | |
perl-IO | 1.38-423.0.1.al8 | |
perl-libs | 5.26.3-423.0.1.al8 | |
perl-macros | 5.26.3-423.0.1.al8 | |
platform-python | CVE-2025-8194 | 3.6.8-71.0.1.1.al8 |
platform-python-devel | 3.6.8-71.0.1.1.al8 | |
platform-python-setuptools | CVE-2025-47273 | 39.2.0-9.al8 |
python3-cryptography | CVE-2023-49083 | 3.2.1-8.al8 |
python3-libs | CVE-2025-8194 | 3.6.8-71.0.1.1.al8 |
python3-libxml2 | CVE-2025-32415 | 2.9.7-21.0.1.1.al8.3 |
python3-requests | CVE-2024-47081 | 2.20.0-6.al8 |
python3-setuptools | CVE-2025-47273 | 39.2.0-9.al8 |
python3-setuptools-wheel | 39.2.0-9.al8 | |
python3-unbound | CVE-2025-5994 | 1.16.2-9.al8 |
socat | CVE-2024-54661 | 1.7.4.1-2.0.1.al8 |
sqlite | CVE-2025-6965 | 3.26.0-20.al8 |
sqlite-libs | 3.26.0-20.al8 | |
tuned | CVE-2024-52337 | 2.22.1-5.0.1.1.al8 |
udisks2 | CVE-2025-8067 | 2.9.0-16.0.4.al8.1 |
unbound-libs | CVE-2025-5994 | 1.16.2-9.al8 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2 | aliyun_3_0_x64_20G_alibase_aiext_0.5.2_20250714.vhd | 2025-07-14 |
|
更新内容
重要な更新
Ubuntu 22.04 と比較して、Alibaba Cloud Linux 3 AI Extension Edition 0.5.2 は、標準コミュニティの openclip/bevformer AI コンテナイメージ (AC2) と使用した場合、トレーニングと推論でパフォーマンスの向上が見られます:
bevformer_base トレーニング:ステップあたりの平均スループットは、FP32 精度で 13%、FP6 精度で 12% から 18% 向上しました。
openclip (RN50) トレーニング:ステップあたりの平均スループットが 26% 増加しました。平均推論スループットは 26% 増加しました。
コミュニティの openclip/bevformer AI コンテナイメージを Alibaba Cloud の最適化された openclip/bevformer AI コンテナイメージに置き換えることで、以下の最終的なパフォーマンス向上が達成されます:
bevformer_base トレーニング:FP32 精度でステップあたりの平均スループットが 22% 増加し、FP16 精度で 17% から 20% 増加しました。
openclip (RN50) トレーニング:ステップあたりの平均スループットが 46% 増加しました。平均推論スループットは 26% 増加しました。
カーネル
カーネルをバージョン 5.10.134-19.101.al8.x86_64 にアップグレードしました。
スケジューリング
クラスターのラウンドロビンスケジューリング属性。
ルートグループ内の移動不可能なスレッドに対して bvt を設定するサポートを追加しました。
コアスケジューラは、各
cookieの特別な属性を独立して設定することをサポートします。cookieを持たない通常のタスクとコアを共有できます。同じ
cookieを持つタスクが負荷分散によって自動的にグループ化されるのを防ぎます。これにより、タスクは異なるコアに分散されます。
メモリ
mmap()は THP にアライメントされたアドレス空間の割り当てをサポートします。virtio-memはmemmap_on_memory機能をサポートし、コンテナメモリのスケーリングを迅速に行うのに役立ちます。一時ファイルの最適化機能を追加しました。これはモデルトレーニングシナリオでのパフォーマンス向上を期待されます。
pagecache limitスムーズな再利用機能を追加し、メモリ使用効率を向上させました。これはモデルトレーニングシナリオでのパフォーマンス向上を期待されます。メモリ使用効率を向上させるためにページテーブルページの再利用機能を追加しました。この機能を有効にするには、
cmdlineにreclaim_ptを追加する必要があります。これはモデルトレーニングシナリオでのパフォーマンス向上を期待されます。shmem ファイルページの遅延解放を制御するスイッチを追加しました。
kfenceの安定性の問題やコードの巨大ページ THP カウントの問題など、さまざまなバグを修正しました。
ネットワーク
link groupやlink use-after-freeの問題、コンテナシナリオでのsmc-rデバイスの検索失敗など、さまざまな smc バグを修正しました。
ストレージ
erofs:
いくつかのメインラインの erofs ファイルシステム修正を元に戻しました。
ファイルバックアップマウントと 48 ビットレイアウトのサポートを追加しました。
圧縮ファイルのサブページブロックのサポートを追加しました。
ext4、block、blk-mq、および io_uring のメインラインの安定版ブランチパッチを元に戻しました。
virtio-blk passthrough機能を追加しました。これにより、virtio-blk デバイスのパススルー機能がサポートされます。
ドライバー
NVMe ドライブは、完了したポーリング I/O コマンドのバッチ処理をサポートします。
クラウドディスクとローカルディスクの NVMe ドライブ関連パラメーターの差別化された設定のサポートを追加しました。
不正なスペースサイズの計算やルートバスの割り当てなどの問題を修正するために、PCIe ドライバーのバグ修正パッチをマージしました。
BPF
安定版コミュニティのバグ修正と CVE の修正パッチをマージしました。
パッケージ
デフォルトで
python3.12-3.12.7-1.al8.x86_64を提供およびインストールし、デフォルトの Python 3 バージョンとして設定しました。keentuned-3.2.4-2.al8.x86_64を通じて AI シナリオ向けのインテリジェントなチューニングを提供しました。
既知の問題
ecs.ebmgn8t.32xlarge インスタンスの起動プロセス中に NetworkManager-wait-online サービスが起動に失敗します。
インスタンスには USB ネットワークデバイスが含まれており、これにより NetworkManager サービスの起動時間が延長されます。これにより、NetworkManager-wait-online サービスがタイムアウトし、起動に失敗します。USB ネットワークデバイスを使用しない場合は、NetworkManager が usb0 を管理しないように設定できます。これを行うには、
/etc/NetworkManager/conf.d/99-unmanaged-device.confファイルを編集し、次の内容を追加します:[device-usb0-unmanaged] match-device=interface-name:usb0 managed=0ファイルを編集した後、NetworkManager サービスを再起動すると、変更がすぐに有効になります。NetworkManager は usb0 デバイスを管理しなくなります。システムを再起動して、NetworkManager-wait-online サービスが正常に起動することを確認します。
vhost-netを使用すると、CPU 使用率が高くなり、ネットワークが利用できなくなることが断続的に発生する場合があります。次の修正プログラムをインストールすることで解決できます:yum install kernel-hotfix-22577883-5.10.134-19.101 -yNVMe ハードウェア例外の後、再起動を実行するとヌルポインタの逆参照が発生する可能性があります。次の修正プログラムをインストールすることで解決できます:
yum install kernel-hotfix-22584571-5.10.134-19.101 -y
Alibaba Cloud Linux 3.2104 U12
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U12 | aliyun_3_x64_20G_alibase_20250629.vhd | 2025-06-29 |
|
aliyun_3_x64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_x64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
|
更新内容
セキュリティ更新
パッケージ名 | CVE ID | 新しいバージョン |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
libtiff | CVE-2023-52356 | libtiff-4.4.0-12.0.2.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
python3.11 | CVE-2024-6232 | python3.11-3.11.10-1.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
podman | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | podman-4.9.4-15.0.1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
gstreamer1-plugins-good | CVE-2024-47537 CVE-2024-47539 CVE-2024-47540 CVE-2024-47606 CVE-2024-47613 | gstreamer1-plugins-good-1.16.1-5.al8 |
gstreamer1-plugins-base | CVE-2024-47538 CVE-2024-47607 CVE-2024-47615 | gstreamer1-plugins-base-1.22.1-3.0.1.al8 |
libsndfile | CVE-2024-50612 | libsndfile-1.0.28-16.0.1.al8 |
tuned | CVE-2024-52337 | tuned-2.22.1-5.0.1.1.al8 |
edk2 | CVE-2024-38796 | edk2-20220126gitbb1bba3d77-13.0.1.al8.4 |
bluez | CVE-2023-45866 | bluez-5.63-3.0.1.al8 |
fontforge | CVE-2024-25081 CVE-2024-25082 | fontforge-20200314-6.0.1.al8 |
mpg123 | CVE-2024-10573 | mpg123-1.32.9-1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-4558 | webkit2gtk3-2.46.3-2.0.1.al8 |
python-requests | CVE-2024-35195 | python-requests-2.20.0-5.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.2.al8 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.2.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-44309 CVE-2024-4558 | webkit2gtk3-2.46.5-1.0.1.al8 |
dpdk | CVE-2024-11614 | dpdk-23.11-2.al8 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.1.al8 |
iperf3 | CVE-2024-53580 | iperf3-3.9-13.al8.1 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.2.al8 |
NetworkManager | CVE-2024-3661 | NetworkManager-1.40.16-18.0.1.al8 |
raptor2 | CVE-2024-57823 | raptor2-2.0.15-17.0.1.al8 |
rsync | CVE-2024-12085 | rsync-3.1.3-20.0.1.al8 |
fence-agents | CVE-2024-56201 CVE-2024-56326 | fence-agents-4.10.0-76.0.1.al8.4 |
glibc | CVE-2022-23218 CVE-2022-23219 | glibc-2.32-1.19.al8 |
glibc | CVE-2024-33602 CVE-2024-33601 CVE-2024-33600 CVE-2024-33599 | glibc-2.32-1.20.al8 |
grafana | CVE-2025-21613 CVE-2025-21614 | grafana-9.2.10-21.0.1.al8 |
redis | CVE-2022-24834 CVE-2022-35977 CVE-2022-36021 CVE-2023-22458 CVE-2023-25155 CVE-2023-28856 CVE-2023-45145 CVE-2024-31228 CVE-2024-31449 CVE-2024-46981 | redis-6.2.17-1.0.1.1.al8 |
python-jinja2 | CVE-2024-56326 | python-jinja2-2.10.1-3.0.4.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-28.al8 |
libsoup | CVE-2024-52531 | libsoup-2.62.3-7.0.1.al8 |
git-lfs | CVE-2024-53263 | git-lfs-3.4.1-4.0.1.al8 |
keepalived | CVE-2024-41184 | keepalived-2.2.8-4.al8 |
unbound | CVE-2024-1488 CVE-2024-8508 | unbound-1.16.2-8.al8 |
java-17-openjdk | CVE-2025-21502 | java-17-openjdk-17.0.14.0.7-3.0.1.1.al8 |
galera | CVE-2023-22084 CVE-2024-21096 | galera-26.4.20-1.al8 |
mariadb | CVE-2023-22084 CVE-2024-21096 | mariadb-10.5.27-1.0.1.al8 |
doxygen | CVE-2020-11023 | doxygen-1.8.14-13.al8 |
tbb | CVE-2020-11023 | tbb-2018.2-10.al8.1 |
gcc-toolset-13-gcc | CVE-2020-11023 | gcc-toolset-13-gcc-13.3.1-2.2.0.1.1.al8 |
nodejs | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-20.18.2-1.1.al8 |
nodejs-packaging | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-packaging-2021.06-4.al8 |
nodejs-nodemon | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-nodemon-3.0.1-1.al8 |
podman | CVE-2024-11218 | podman-4.9.4-19.0.1.al8 |
buildah | CVE-2024-11218 | buildah-1.33.12-1.al8 |
libcap | CVE-2025-1390 | libcap-2.48-6.0.2.al8 |
libxml2 | CVE-2022-49043 | libxml2-2.9.7-18.0.4.1.al8 |
bind | CVE-2024-11187 | bind-9.11.36-16.0.1.al8.4 |
postgresql | CVE-2025-1094 | postgresql-13.20-1.0.1.al8 |
libpq | CVE-2025-1094 | libpq-13.20-1.0.1.al8 |
mecab-ipadic | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mecab-ipadic-2.7.0.20070801-17.0.1.al8 |
mysql | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mysql-8.0.41-1.0.1.1.al8 |
emacs | CVE-2025-1244 | emacs-27.2-11.0.1.al8.1 |
webkit2gtk3 | CVE-2024-54543 CVE-2025-24143 CVE-2025-24150 CVE-2025-24158 CVE-2025-24162 | webkit2gtk3-2.46.6-1.0.1.al8 |
tigervnc | CVE-2025-26594 CVE-2025-26595 CVE-2025-26596 CVE-2025-26597 CVE-2025-26598 CVE-2025-26599 CVE-2025-26600 CVE-2025-26601 | tigervnc-1.13.1-15.al8 |
rsync | CVE-2024-12087 CVE-2024-12088 CVE-2024-12747 | rsync-3.1.3-21.0.1.al8 |
libxml2 | CVE-2024-56171 CVE-2025-24928 | libxml2-2.9.7-19.0.1.1.al8 |
krb5 | CVE-2025-24528 | krb5-1.18.2-31.0.1.al8 |
pcs | CVE-2024-52804 | pcs-0.10.18-2.0.1.1.al8.4 |
webkit2gtk3 | CVE-2025-24201 | webkit2gtk3-2.46.6-2.0.1.al8 |
fence-agents | CVE-2025-27516 | fence-agents-4.10.0-76.0.1.al8.6 |
podman | CVE-2025-22869 | podman-4.9.4-20.0.1.al8 |
runc | CVE-2025-22869 | runc-1.1.12-6.0.1.al8 |
grub2 | CVE-2025-0624 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
libreoffice | CVE-2025-1080 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
freetype | CVE-2025-27363 | freetype-2.10.4-10.al8 |
python-jinja2 | CVE-2025-27516 | python-jinja2-2.10.1-7.0.1.al8 |
libxslt | CVE-2024-55549 CVE-2025-24855 | libxslt-1.1.32-6.1.0.1.al8 |
tomcat | CVE-2024-50379 CVE-2025-24813 | tomcat-9.0.87-1.al8.3 |
expat | CVE-2024-8176 | expat-2.2.5-17.al8 |
mod_auth_openidc | CVE-2025-31492 | mod_auth_openidc-2.4.9.4-7.al8 |
xmlrpc-c | CVE-2024-8176 | xmlrpc-c-1.51.0-11.0.1.al8 |
libtasn1 | CVE-2024-12133 | libtasn1-4.13-5.0.1.al8 |
bluez | CVE-2023-27349 CVE-2023-51589 | bluez-5.63-5.0.1.al8 |
パッケージの更新
新機能
コンフィデンシャルコンピューティングに基づいて、AI モデルのトレーニングおよび推論シナリオで強化されたデータセキュリティを提供する Confidential AI を追加しました。
ras-toolsを介した PCIe フォールトインジェクションのサポートを追加しました。ハードウェアサポートのニーズを満たすため、26 個の外部デバイスドライバーを追加しました。デフォルトでは、これらのドライバーはインストールされていません。
kmod-ast-5.10.134~19-1.14.4~1.al8.src.rpmkmod-bnxt-5.10.134~19-1.10.3_231.0.162.0~2.al8.src.rpmkmod-fic2-5.10.134~19-1.2.6~1.al8.src.rpmkmod-hinic-5.10.134~19-1.0~1.al8.src.rpmkmod-hns3-5.10.134~19-1.0~1.al8.src.rpmkmod-i40e-5.10.134~19-2.23.17~1.al8.src.rpmkmod-iavf-5.10.134~19-4.9.4~1.al8.src.rpmkmod-ice-5.10.134~19-1.12.13.4~2.al8.src.rpmkmod-igb-5.10.134~19-5.14.16~1.al8.src.rpmkmod-intel-QAT20-5.10.134~19-L.0.9.4__00004~1.al8.src.rpmkmod-irdma-5.10.134~19-1.13.43~1.al8.src.rpmkmod-ixgbe-5.10.134~19-5.19.6~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-kvdo-6.2.8.7-94.0.1.al8.src.rpmkmod-lpfc-5.10.134~19-14.2.673.37~1.al8.src.rpmkmod-mellanox-5.10.134~19-23.10~2.al8.src.rpmkmod-mpi3mr-5.10.134~19-8.11.1.0.0~1.al8.src.rpmkmod-mpt3sas-5.10.134~19-47.00.00.00~1.al8.src.rpmkmod-ngbevf-5.10.134~19-1.2.2~2.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-qla2xxx-5.10.134~19-10.02.09.00_k~1.al8.src.rpmkmod-sfc-5.10.134~19-5.3.16.1004~2.al8.src.rpmkmod-smartpqi-5.10.134~19-2.1.22_040~1.al8.src.rpmkmod-sxe-5.10.134~19-1.3.1.1~1.al8.src.rpmkmod-txgbevf-5.10.134~19-1.3.1~2.al8.src.rpmkmod-xscale-5.10.134~19-1.2.0_367~2.al8.src.rpm
重要な更新
カーネル
カーネルをバージョン kernel-5.10.134-19.1.al8 にアップグレードしました。
スケジューリング
クラスター・スケジューリング機能をマージしました。
ルートグループ内の移動不可スレッドに対して bvt を設定するサポートを追加しました。
Core sched は、各 cookie の特別なプロパティを個別に設定することをサポートします。
cookie を持たない通常のタスクとコアを共有できます。
負荷分散が同じ cookie を持つタスクを自動的にグループ化するのを防ぎます。これにより、タスクが異なるコアに分散されます。
メモリ
kfenceの安定性の問題を修正しました。コードの Transparent Enormous Page (THP) カウントの問題を修正しました。
mmap()は、THP にアラインされたアドレス空間の割り当てをサポートします。virtio-memはmemmap_on_memory機能をサポートし、コンテナのメモリを迅速にスケーリングできます。その他のメモリ関連の CVE パッチをマージしました。
ネットワーク
link groupとlink use-after-freeの問題を修正しました。コンテナーシナリオにおける
smc-rデバイスのルックアップ失敗を修正しました。
ストレージ
erofs
erofs ファイルシステムのいくつかのメインラインの修正をマージしました。
ファイルバックアップマウントと 48 ビットレイアウトのサポートを追加しました。
圧縮ファイルに対するサブページブロックのサポートを追加しました。
ext4、block、blk-mq、io_uring などのコンポーネントのメインライン安定版ブランチのパッチをマージしました。
virtio-blk デバイスのパススルーをサポートするために、
virtio-blk passthrough機能を追加しました。各 virtio-blk ブロックデバイスに
/dev/vdXc0という名前の汎用キャラクターデバイスを追加しました。このデバイスを使用すると、io_uring フレームワークのuring_cmdメソッドを使用して、読み書きコマンドを virtio-blk ドライバーレイヤーに直接送信できます。virtio-blk デバイスの双方向コマンドサポートを追加しました。同じセクターベースアドレスで、ベクターのような読み書き操作で書き込みバッファと読み取りバッファの数を指定できます。これにより、1 つの I/O 命令で読み書き操作が完了します。現在、書き込み後の読み取りのみがサポートされています。
virtio-blk の virtio_ring 拡張機能である ring_pair を導入しました。このモードでは、各 virtio-blk リクエストハードウェアキューは、送信キュー (SQ) と完了キュー (CQ) の 2 つの virtio_ring キューに対応します。リクエストが送信された後、ドライバーは送信された I/O コマンドが占有していたスロットを積極的に再利用して他のリクエストを送信できます。I/O 操作が完了すると、バックエンドは CQ を埋め、ドライバーは応答を収集します。この機能には、バックエンドが ring_pair 操作モードをサポートする必要があります。現在、
vring split_queue+Indirect descriptorモードのみがサポートされています。
ドライバー
NVMe ドライバーは、完了したポーリング I/O コマンドのバッチ処理をサポートします。
SCSI HiSilicon SAS ドライバーと libsas の多数の問題を修正しました。
不正な領域サイズの計算やルートバスの割り当てなどの問題を修正するため、PCIe ドライバーのバグ修正パッチをマージしました。
BPF
安定版コミュニティのバグ修正パッチと CVE 修正パッチをマージしました。
アーキテクチャ
x86 アーキテクチャに関連する CVE を修正しました。
バグ修正
alinux-base-setupをバージョンalinux-base-setup-3.2-8.al8に更新し、ARM アーキテクチャでKdumpが生成できず、`grubby` パラメーターが有効にならない問題を修正しました。gdmをバージョンgdm-40.0-27.0.1.1.al8に更新し、画面がロックされた後にデスクトップが復帰できない問題を修正しました。Alibaba Cloud Linux の EULA ファイルを更新するため、
alinux-releaseをバージョンalinux-release-3.2104.12-1.al8に更新しました。dumpをバージョンdump-0.4-0.36.b46.3.al8に更新し、dumpの増分バックアップ後に復元操作が失敗する問題を修正しました。mavenをバージョンmaven-3.6.2-9.1.al8に更新し、Alibaba Cloud Linux 3 でmvnコマンドがそのままでは使用できない問題を修正しました。grub2をバージョンgrub2-2.02-165.0.2.al8に更新し、Alibaba Cloud Linux 3 のtdxシナリオで発生するgrub2のエラーを修正しました。
既知の問題
virtio-blk パススルー は virtio-blk デバイス用の汎用キャラクターデバイスを導入するため、ユーザーコンポーネントでデバイス検出エラーが発生する可能性があります。
/dev/vda のようなデバイスの場合、パーティションは 1 から番号付けされます。したがって、/dev/vdac0 は /dev/vda のキャラクターデバイスを表し、/dev/vdac とは関連付けられていません。さらに、/dev/vdac0 はブロックデバイスではなくキャラクターデバイスです。これは、それらを区別するもう 1 つの方法です。このキャラクターチャネルが必要ない場合は、カーネルをバージョン kernel-5.10.134-19.1.al8 にアップグレードしてください。これにより、virtio-blk ディスクのインターフェイスが公開されなくなります。
Alibaba Cloud Linux 3.2104 U11.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U11.1 | aliyun_3_x64_20G_alibase_20250117.vhd | 2025-01-17 |
|
aliyun_3_x64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_x64_20G_container_optimized_20250117.vhd | 2025-01-17 |
|
コンテンツの更新
セキュリティ更新
パッケージ名 | CVE ID |
python-requests | CVE-2024-35195 |
cups | CVE-2024-47175 |
NetworkManager | CVE-2024-3661 |
イメージ
loadmodulesサービスをデフォルトで有効にしました。timedatexサービスをデフォルトで有効にしました。
2024年
Alibaba Cloud Linux 3.2104 U11
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U11 | aliyun_3_x64_20G_alibase_20241218.vhd | 2024-12-18 |
|
aliyun_3_x64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_x64_20G_container_optimized_20241226.vhd | 2024-12-26 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | バージョン |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
パッケージのアップデート
新機能
AMD GPU および NVIDIA GPU ベースのコンフィデンシャルコンピューティング機能のサポートを追加しました。
lscpuコマンドのパフォーマンスを、util-linux-2.32.1-46.0.3.al8の超大規模pcieデバイスで最適化しました。コンテナストレージは
erofs-utils-1.8.2-1.al8を使用して実装されています。java-11-alibaba-dragonwell-11.0.24.21.21-1.1.al8を更新して BigDecimal クラスを最適化し、ビッグデータシナリオでのパフォーマンスを向上させました。java-21-alibaba-dragonwell-21.0.4.0.4-1.1.al8を更新し、Java のパフォーマンスを向上させました。システムマクロ変数構成を提供するために、
system-rpm-config-129-1.0.2.1.al8コンポーネントを追加しました。
重要なアップデート
カーネル
カーネルをバージョン 5.10.134-18.al8 にアップグレードしました。
新しいハードウェアのサポート
Intel GNR プラットフォームを正式にサポートします。
AMD Turin プラットフォームを正式にサポートします。
スケジューリング
cgroup v2でのcpu sliをサポートし、cpuusageやloadavgなどのコンテナ粒度のデータを含みます。メモリ
複数のメモリ関連の問題を修正し、
kernel-5.10 stableブランチからいくつかのメモリbugfixesをバックポートしました。pgtable_share機能はデフォルトで無効になっています。コードセグメントの巨大ページは
direct collapseモードをサポートしており、page fault中に巨大ページに迅速に統合できます。percpuの断片化によるchunkの解放失敗を防ぐために、percpu chunk解放最適化パッチセットをバックポートしました。
ネットワーク
virtio_netの RSS ロジックを最適化し、RSS 構成をデバイスと整合させ、キューの数で正しく更新するようにしました。bond 3ad モードで 200 G および 400 G の速度のサポートを追加しました。
ストレージ
io_uring
percpu sqthreadの同時作成中のrace条件を修正しました。percpu sqthreadを有効にするための CPU 構成の有効性をチェックします。コード品質を向上させるために、コミュニティの
stableブランチのパッチをバックポートしました。
fuse/virtio-fs
resend pendingリクエストをサポートします。fuseのパフォーマンスを最適化するために複数のキューをサポートします。多くの書き込みリクエストが読み取りリクエストをブロックするのを防ぐために、読み書き分離を最適化しました。
failover機能をサポートします。この機能により、fuse daemonは異常回復後にattach操作を通じて元のfuse connectionに再接続し、リクエストを再送信して障害回復を完了できます。パフォーマンスを最適化するために 4 MB の書き込みアライメントをサポートします。
virtio-fsで 4 MB を超えるモジュールをロードする際のIO hangの問題を修正しました。virtio-fsにtagとqueue mapping sysfsインターフェイスを追加しました。コード品質を向上させるために、コミュニティの
stableブランチのパッチをバックポートしました。
erofs
erofs_statfs()の UUID の問題を修正し、DEFLATE ストリーム割り当てロジックを最適化しました。コード品質を向上させるために、コミュニティの
stableブランチのパッチをバックポートしました。
ext4
EXT4_GROUP_INFO_WAS_TRIMMED_BIT のクリアロジックを最適化しました。
コード品質を向上させるために、コミュニティの
stableブランチのパッチをバックポートしました。
xfs
xfs_log_force()での数十ミリ秒のブロッキングの可能性によって引き起こされるreflinkのパフォーマンス変動を最適化しました。CONFIG_FS_DAX を無効にすることによって引き起こされるコンパイルエラーを修正しました。
アトミック書き込み機能が有効になっている場合、
i_blocksを正しくチェックします。
block
複数のハードウェアキューを持つデバイス上の
mq-deadlineスケジューラでのIO hangを修正しました。blockスロットル構成を更新すると、bps制限を計算する際に負の値が原因で予期しないスロットル動作が発生する問題を修正しました。blk-mq "running from the wrong CPU"警告を削除しました。コード品質を向上させるために、コミュニティの
stableブランチのパッチをバックポートしました。
misc
vfs、quota、overlayfs、nfs、cifs、ceph、dm/md、null_blk、nbd、loop、virtio-blkなどのモジュールについて、コミュニティのstableブランチのパッチをバックポートし、コード品質を向上させました。
ドライバー
安定性を向上させるために、
kernel-5.10 LTSからwatchdogドライバー関連の修正パッチをバックポートしました。NVMe ドライバーは、最新の Alibaba Cloud ディスクアクティベーションソリューションをサポートします。
安定性を向上させるために、
kernel-5.10 LTSから NVMe ドライバー関連の修正パッチをバックポートしました。安定性を向上させるために、
kernel-5.10 LTSから SCSI 関連の修正パッチをバックポートしました。安定性を向上させるために、
kernel-5.10 LTSから ATA 関連の修正パッチをバックポートしました。sig_enforce_subsysパラメーターを導入し、block、net、および GPU ドメインのモジュールに対する強制的な署名検証をサポートしました。NetXen ネットワークインターフェースカードドライバーの多くのパッチをマージして、
txgbeとtxgbevfを修正し、コードの品質と安定性を向上させました。
Perf
stableブランチのパッチをバックポートしたことによって引き起こされたperfツールのポインターメモリリークの問題を修正しました。これにより、coredumpの失敗が解決されます。BPF
Berkeley Packet Filter (BPF) プログラムでアトミック操作を使用するためのサポートを追加しました。
コミュニティの
stableおよびbugfixパッチをバックポートしました。
アーキテクチャ x86
Intel GNR プラットフォームの C-state のサポートを追加しました。
EMR および GNR プラットフォームの p-state のサポートを追加しました。
intel-speed-selectをバージョンv1.20に更新し、新しいプラットフォームをサポートしました。PEBS 機能を仮想マシンに渡すためのサポートを追加しました。
ACPI、APIC、消費電力、PMU の
x86bugfixを他のアーキテクチャまたはシステムに適用しました。turbostateをバージョン2023.11.07にアップグレードし、より多くの機能をサポートしました。SPR および EMR CXL PMON のサポートを追加しました。
AMD c2c のサポートを追加しました。
AMD HSMP のサポートを追加しました。
AMD IBRS の強化を追加しました。
AMD ABMC のサポートを追加しました。
バグ修正
パッケージ
Delegate=yesの場合、Pod が異常終了し、非device cgroupサブグループが 20 秒以内にsystemdによって回収される問題を修正しました。この問題はデプロイメントの失敗を引き起こしていましたが、systemd-239-82.0.3.4.al8.2によって修正されました。ledmon-0.97-1.0.2.al8を通じてメモリリークの問題を修正しました。tuned-2.22.1-5.0.1.1.al8を通じて Yitian プラットフォームでのデータアクセス効率を改善しました。mirror上でのいくつかのコンポーネントのインストール失敗を修正しました。
イメージ
x86イメージのcrashkernel値を変更し、vmcoreが生成できない問題を解決しました。/sys/kernel/mm/transparent_hugepage/defragのデフォルトパラメーターをdeferに変更し、Transparent Enormous Pages シナリオでのメモリ回収速度を向上させました。
Alibaba Cloud Linux 3.2104 U10.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U10.1 | aliyun_3_x64_20G_alibase_20241103.vhd | 2024-11-03 |
|
aliyun_3_x64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | バージョン |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
ソフトウェアパッケージのアップデート
新機能
libyang2コンポーネントを追加しました。keentunedとkeentune-targetをバージョン 3.1.1 に更新しました。ネットワークインターフェイスカードのキュー数を変更するチューニングオプションを追加しました。
優先度制御を変更するチューニングオプションを追加しました。
file-maxとschedulerのチューニングオプションを削除しました。安全でないコマンドの実行を削除しました。
keentunedのための 4 つの API コンポーネントを追加しました:keentune-bench、keentune-brain、keentune-ui、keenopt。tcprtをバージョン 1.1.0 に更新し、TCP 監視機能を強化しました。Node.jsを 20.16 に更新し、ACR にバージョン 20 のベースライン機能を提供しました。erofs-utilsを 1.8.2 にアップグレードしました。このバージョンはいくつかの問題を修正し、より良い EROFS を提供します。
重要なアップデート
カーネル
カーネルをバージョン 5.10.134-17.3.al8 にアップグレードしました。
Anolis 開発の機能
SMC
大きなパケットの伝送遅延を最適化するために
AutoSplit機能を導入しました。SMC リンクグループ内の接続が RDMA QP を排他的に占有できるようにしました。
共有メモリのウォーターマーク制御を導入しました。
SMC レイヤーでのデータ
dumpを導入しました。
swiotlb
swiotlb=any cmdlineを導入し、メモリ空間全体でのswiotlbの予約をサポートしました。
コミュニティ機能
SMC 限定ハンドシェイクの
sysctlパラメーター。SMC LGR およびネット名前空間ディメンション別に分類された共有メモリ使用統計をバックポートしました。
TDX
TDX Guest RTMR 更新インターフェイスを導入しました。リモートアテステーションのためにカスタム測定値を追加できます。
ECDSA アルゴリズムモジュールを導入しました。
バグ修正
util-linux-2.32.1-46.0.3.al8において、クラスター内で多数のpciデバイスを検索する際にlscpuコマンドの実行に時間がかかる問題を修正しました。tzdata-2024a-1.0.1.6.al8において、移行中に一部のタイムゾーンファイルが欠落する問題を修正しました。SMC モジュールにおけるゼロ除算エラー、メモリリーク、その他の問題を修正しました。
複数のセキュリティソフトウェア製品が共存する場合にシステムがクラッシュする可能性のある
ftraceサブシステムのバグを修正しました。uprobeを使用する際の潜在的な境界外メモリアクセスの問題を修正しました。
Alibaba Cloud Linux 3.2104 U10
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U10 | aliyun_3_x64_20G_alibase_20240819.vhd | 2024-08-19 |
|
aliyun_3_x64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | バージョン |
adwaita-qt |
| 1.4.2-1.al8 |
apr | CVE-2022-24963 | 1.7.0-12.al8 |
avahi |
| 0.7-21.0.1.al8.1 |
bind |
| 9.11.36-14.0.1.al8 |
c-ares |
| 1.13.0-9.al8.1 |
cockpit | CVE-2024-2947 | 310.4-1.al8 |
cups |
| 2.2.6-54.0.1.al8 |
cups-filters | CVE-2023-24805 | 1.20.0-32.0.1.al8 |
curl | CVE-2023-38546 | 7.61.1-34.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-39.0.2.al8 |
dhcp |
| 4.3.6-50.0.1.al8 |
dnsmasq |
| 2.79-32.0.1.al8 |
edk2 |
| 20220126gitbb1bba3d77-13.0.1.al8 |
expat | CVE-2023-52425 | 2.2.5-13.al8 |
evolution-mapi |
| 3.40.1-6.al8 |
flatpak |
| 1.12.9-1.al8 |
frr |
| 7.5.1-16.0.4.al8 |
fwupd | CVE-2022-3287 | 1.7.8-2.0.1.al8 |
ghostscript | CVE-2024-33871 | 9.54.0-16.al8 |
git |
| 2.43.5-1.0.1.al8 |
glib2 |
| 2.68.4-11.al8 |
gmp | CVE-2021-43618 | 6.2.0-13.0.1.al8 |
gnutls | CVE-2023-5981 | 3.6.16-8.0.2.al8 |
grafana |
| 9.2.10-16.0.1.al8 |
grafana-pcp | CVE-2024-1394 | 5.1.1-2.0.1.al8 |
gstreamer1-plugins-bad-free |
| 1.22.1-4.0.1.al8 |
gstreamer1-plugins-base | CVE-2023-37328 | 1.22.1-2.0.1.al8 |
gstreamer1-plugins-good | CVE-2023-37327 | 1.16.1-4.al8 |
harfbuzz | CVE-2023-25193 | 2.7.4-10.0.1.al8 |
httpd |
| 2.4.37-64.0.1.al8 |
mod_http2 |
| 1.15.7-10.al8 |
java-1.8.0-openjdk |
| 1.8.0.412.b08-2.0.1.1.al8 |
java-11-openjdk |
| 11.0.23.0.9-3.0.1.1.al8 |
libfastjson | CVE-2020-12762 | 0.99.9-5.al8 |
libjpeg-turbo | CVE-2021-29390 | 2.0.90-7.0.1.al8 |
liblouis |
| 3.16.1-5.al8 |
libmicrohttpd | CVE-2023-27371 | 0.9.59-3.al8 |
libpq | CVE-2022-41862 | 13.11-1.0.1.al8 |
librabbitmq | CVE-2023-35789 | 0.11.0-7.0.1.al8 |
libreoffice |
| 7.1.8.1-12.0.1.1.al8.1 |
libreswan |
| 4.12-2.0.2.al8 |
libsndfile | CVE-2022-33065 | 1.0.28-13.0.2.al8 |
libssh |
| 0.9.6-12.al8 |
libtiff |
| 4.4.0-12.0.1.al8 |
libvirt |
| 8.0.0-23.1.0.1.al8 |
qemu-kvm |
| 6.2.0-49.0.1.al8 |
libX11 |
| 1.7.0-9.al8 |
libxml2 |
| 2.9.7-18.0.3.al8 |
libXpm |
| 3.5.13-10.0.1.al8 |
linux-firmware |
| 20240111-121.gitb3132c18.al8 |
motif |
| 2.3.4-20.al8 |
openchange |
| 2.3-32.0.1.al8 |
opensc |
| 0.20.0-7.0.1.al8 |
openssh | CVE-2023-51385 | 8.0p1-20.0.1.al8 |
openssl |
| 1.1.1k-12.0.1.al8 |
pam | CVE-2024-22365 | 1.3.1-28.al8 |
pcp | CVE-2024-3019 | 5.3.7-20.0.1.al8 |
perl-HTTP-Tiny | CVE-2023-31486 | 0.074-2.0.1.al8.1 |
pixman | CVE-2022-44638 | 0.40.0-6.al8 |
pmix | CVE-2023-41915 | 3.2.3-5.al8 |
poppler | CVE-2020-36024 | 20.11.0-10.0.2.al8 |
postgresql-jdbc | CVE-2024-1597 | 42.2.14-3.al8 |
procps-ng | CVE-2023-4016 | 3.3.15-14.0.1.al8 |
protobuf-c | CVE-2022-48468 | 1.3.0-7.al8 |
python-cryptography | CVE-2023-23931 | 3.2.1-7.al8 |
python-dns | CVE-2023-29483 | 1.15.0-12.al8 |
python-pillow |
| 5.1.1-20.al8 |
python-pip | CVE-2007-4559 | 9.0.3-23.0.1.al8.1 |
python3 |
| 3.6.8-62.0.1.2.al8 |
qt5-qtbase |
| 5.15.3-5.0.3.al8 |
qt5-qtsvg | CVE-2023-32573 | 5.15.3-2.al8 |
rpm |
| 4.14.3-27.0.5.2.al8 |
samba |
| 4.18.6-3.0.1.1.al8 |
shadow-utils | CVE-2023-4641 | 4.6-19.0.1.al8 |
shim |
| 15.8-2.0.1.1.al8 |
sqlite | CVE-2023-7104 | 3.26.0-19.al8 |
squashfs-tools |
| 4.3-20.1.0.3.al8 |
sssd | CVE-2023-3758 | 2.9.4-3.al8 |
sudo |
| 1.9.5p2-1.0.1.al8 |
sysstat | CVE-2023-33204 | 11.7.3-11.0.1.al8 |
tang | CVE-2023-1672 | 7-8.al8 |
tcpdump | CVE-2021-41043 | 4.9.3-4.0.1.al8 |
tigervnc |
| 1.13.1-10.0.1.al8 |
tpm2-tss | CVE-2023-22745 | 2.3.2-5.0.2.al8 |
traceroute | CVE-2023-46316 | 2.1.0-6.2.0.3.al8 |
unbound | CVE-2024-1488 | 1.16.2-7.al8 |
util-linux | CVE-2024-28085 | 2.32.1-45.0.1.1.al8.1 |
webkit2gtk3 |
| 2.42.5-1.0.1.al8 |
wireshark |
| 2.6.2-17.al8 |
xorg-x11-server |
| 1.20.11-16.0.4.al8 |
xorg-x11-server-Xwayland |
| 22.1.9-5.al8 |
yajl | CVE-2023-33460 | 2.1.0-12.0.1.al8 |
zziplib | CVE-2020-18770 | 0.13.71-11.al8 |
buildah |
| 1.33.7-2.al8 |
cockpit-podman |
| 84.1-1.al8 |
conmon |
| 2.1.10-1.al8 |
container-selinux |
| 2.229.0-2.al8 |
containernetworking-plugins |
| 1.4.0-2.0.1.al8 |
containers-common |
| 1-81.0.1.al8 |
criu |
| 3.18-5.0.1.al8 |
fuse-overlayfs |
| 1.13-1.0.1.al8 |
podman |
| 4.9.4-3.0.1.al8 |
runc |
| 1.1.12-1.0.1.al8 |
slirp4netns |
| 1.2.3-1.al8 |
libslirp |
| 4.4.0-2.al8 |
パッケージのアップデート
新機能
rdma-core は eRDMA 機能を有効にします。
rasdaemon はメモリ CE エラーの分離をサポートします。
nginx は OpenSSL 3 を使用します。
aliyun-cli は 3.0.210 にアップグレードされます。
重要なアップデート
カーネル
カーネルをバージョン 5.10.134-17.2.al8 にアップグレードしました。
新機能
fuse フェイルオーバーのサポートを追加しました。この機能は、ネイティブなカーネルレベルの fuse 障害回復を提供し、中断のないファイルアクセスサービスを保証します。
動的カーネルプリエンプション機能のサポートを追加しました。これは、アップストリームコミュニティの動的カーネルプリエンプション設計をバックポートしたもので、cmdline または sysfs を介してプリエンプションモデルを切り替えることができます:none または voluntary。フルモードはまだサポートされていません。
CMN および DDR PMU の perf メトリックをサポートするように perf 機能を強化しました。
新しい BPF 機能
新しい BPF ヘルパーを追加しました。
bpf_for_each_map_elem:BPF マップを走査するためのヘルパー。
bpf_snprintf:文字列フォーマットヘルパー。
bpf_timer:指定された時間後にコールバック関数をトリガーするタイマー。
bpf_loop:定数有限ループの制限を削除し、自由にループを記述できるようにします。
bpf_strncmp:文字列比較ヘルパー。
bpf_ktime_get_tai_ns:CLOCK_TAI タイプの時刻を取得します。
bpf_skb_load_bytes:raw_tp タイプのサポートを追加しました。これにより、raw_tp タイプのプログラムで、非線形領域のデータを含む skb データを読み取ることができます。
arm64 アーキテクチャは、fentry、fexit、fmod_ret、bpf_lsm などのトランポリン関連機能のアタッチをサポートするようになりました。これにより、より強力なトレース、診断、およびセキュリティ機能が提供されます。
bpf_trampoline は livepatch との共存をサポートするようになりました。
virtio-net 機能のサポートを追加しました。
virtio-net デバイス統計のサポートを追加しました。これにより、デバイス統計のカーネルレベルでの取得が実装され、障害の特定と診断機能が向上します。
キューリセット機能を導入しました。この機能により、仮想マシンキューのサイズを調整して、パケット損失を減らし、レイテンシを最適化できます。
動的割り込みモデレーション (netdim) のサポートを追加しました。この機能は、リアルタイムのトラフィックに基づいて割り込み集約パラメーターをインテリジェントに調整し、データ受信パフォーマンスを最適化します。
virtio チェックサムを最適化しました。これにより、特定の機能制御下での virtio ネットワークインターフェースカード (NIC) のチェックサム検証の問題が修正されます。XDP アプリケーションシナリオでは、ゲストオペレーティングシステムでチェックサムを再検証する必要がなくなり、CPU 使用率が大幅に削減されます。
erofs オンデマンド読み込みモードでのフェイルオーバーのサポートを追加しました。
ext4 の O_DIRECT + O_SYNC セマンティクスの問題を修正しました。この問題は、iomap フレームワークが導入されて以来存在していました。これは、iomap フレームワーク内で generic_write_sync() が呼び出される一方で、i_disksize が iomap_dio_rw() の後に更新されることが原因でした。追記書き込みシナリオでは、これによりディスク上のファイル長が迅速に更新されず、異常な電源喪失後に書き込まれたデータを読み取ることができませんでした。
XFS ファイルシステムは、遅延 inode 無効化機能をサポートするようになりました。この機能は、回収操作をバックグラウンドの kworker プロセスに移動します。これにより、削除操作によって引き起こされるフォアグラウンドアプリケーションのスタッターが軽減されます。
fuse 関連のサポートを追加しました。
`cache=none` モードでの共有メモリマッピング (mmap) のサポートを追加しました。
strict limit 機能の動的スイッチを追加しました。fuse モジュールは strict limit を設定しますが、これにより特定のシナリオで非常に遅いライトバックやスタッターが発生する可能性があります。この sysfs ノブを使用すると、このような問題を動的に解決できます。
監視プログラムからの同時アクセスによって引き起こされる負荷平均の上昇を軽減するために、kernfs グローバルロックの競合を最適化しました。
GroupIdentity 関連の機能を追加しました。
Group Identity 2.0 の詳細な優先度機能を追加しました。
SMC-R および elastic Remote Direct Memory Access (eRDMA) アプリケーションシナリオで smc_pnet 機能をサポートしました。
SMC および eRDMA シナリオでの到達可能性チェックを最適化し、低確率のカーネルクラッシュ問題を修正しました。
Group Identity 2.0 の CPU 共有率を調整しました。
Group Identity 2.0 の force idled time メトリックを追加しました。
異なる優先度のタスクの負荷制御を強化するために Group Identity を最適化しました。
基本的な Group Balancer 機能を追加しました。
`rafsv6` モードで長さゼロの iovec を渡すサポートを追加しました。
`rafsv6` モードでは、dax マッピングを再利用して、ピニングによって引き起こされる潜在的なメモリ不足 (OOM) や fuse のハングの問題を回避できるようになりました。
kconfig を介して `rafsv6` をセキュアなコンテナシナリオに制限しました。
SMC 関連の最適化とサポートを追加しました。
virtio は、制御 vq のタイムアウトメカニズムをサポートするようになりました。これにより、デバイスが応答しない場合に仮想マシンの CPU ポーリング負荷が高くなるのを防ぎます。デフォルトのタイムアウトは 7 日です。
アウトオブツリー (OOT) モジュールで使用される slab メモリを分離する機能を追加しました。これは、OOT モジュールのメモリ破損が発生した場合に問題を分離するのに役立ちます。
高速 OOM 機能を追加しました。この機能は、マルチコア、大容量メモリ環境でのメモリプレッシャーによる長時間のマシン無応答を防ぎます。これにより、メモリ展開密度を高め、高負荷時のオンラインサービスの安定性を向上させることができます。
erofs 関連のサポートと最適化を追加しました。
xfs は fsdax reflink と dedupe をサポートするようになり、Tair PMEM インスタンス向けにターゲットを絞った最適化が行われました。最適化には、スナップショットソースファイルの連続性の向上、ダーティページライトバック効率の向上、リバースマップ btree への依存の削除によるページフォールトレイテンシの最適化が含まれます。
cgroup ライトバックのサポートを追加しました。これにより、lazytime が有効な場合にメモリ cgroup が長時間解放されない問題が修正されます。この問題は、コンテナ化されたデプロイメント環境でメモリ cgroup の数が高いままになる原因となり、cgroup を走査する際にメモリを占有し、高い sys CPU 使用率を引き起こします。
cgroup v2 の I/O サービスレベルインジケーター (SLI) を追加しました。これにより、待機時間、サービス時間、完了時間、キューに入れられた I/O、キューに入れられたバイト数など、blkio cgroup v2 の SLI が追加されます。
極端なケースでは、2 MB の I/O をサポートする場合、各 bio_vec には 4 KB のページが 1 つしか含まれません。したがって、現在の 5.10 カーネルは最大 1 MB の I/O しかサポートしません。追加の処理と分割ロジックは、一部のシナリオでパフォーマンスに影響を与える可能性があります。
blk-iocost qos ルールを設定する際の競合状態によって引き起こされる ABBA デッドロックの問題を修正しました。
tcmu_loop デバイスは、`can_queue`、`nr_hw_queues`、`cmd_per_lun`、`sg_tablesize` などの設定可能なパラメーターをサポートするようになりました。バックエンドデバイスが十分に強力な場合、これらのパラメーターを増やすとパフォーマンスが大幅に向上します。
イメージの更新
オペレーティングシステムイメージ
spec_rstack_overflow=off ブートパラメーターを追加しました。
kfence.sample_interval=100 kfence.booting_max=0-2G:0,2G-32G:2M,32G-:32M ブートパラメーターを追加しました。
net.ipv4.tcp_retries2 を 8 に変更しました。
net.ipv4.tcp_syn_retries を 4 に変更しました。
クラシックネットワークの NTP サーバー設定を削除しました。
コンテナイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.2104U10
バグ修正
カーネル
smc カーネルモジュール内の credits_announce_work ワーク要素の不適切なスケジューリングによって引き起こされる連結リストの破損問題を修正しました。
perf_cgroup_switch の競合状態を修正しました。
Group Identity 2.0 Queue other time 統計が負になる可能性がある問題を修正しました。
cfs_rq ランタイム統計の問題を修正しました。
cfs_rq->core が NULL になる可能性がある問題を修正しました。
サウンドカード関連のドライバー (CONFIG_SND) を有効にしました。
cgroup kmem 統計カウントが有効な場合に kfence によって引き起こされるカーネルダウンの問題を修正しました。
Loongson アーキテクチャ関連の問題を修正しました。
erofs 圧縮モードの安定性の問題を修正しました。
erofs over fscache の安定性の問題を修正しました。
SMC 関連の安定性の問題を修正しました。
BDI が STRICTLIMIT 属性を使用し、BDI 共有が 0 の場合に発生するライトバックパフォーマンスの低下の問題を修正しました。
seccomp のメモリリークを修正しました。
ユーザー操作が不適切な ZERO_PAGE 参照カウントにつながる可能性がある問題を修正しました。
TCMU の潜在的な再帰的メモリ取り消し問題を修正しました。
ioasids サブシステムでカーネルスレッドを移行する際のカーネルクラッシュの問題を修正しました。
スロットルルールが設定されていない場合の I/O 繰り返し統計の問題を修正しました。
Phytium S2500 と一部の BMC チップが短時間で頻繁に通信する際の予期しないハードウェア信号ハングの問題を修正しました。
Group Identity とコアスケジューリングが同時に有効になっている場合のカーネルパニックの問題を修正しました。
CFS 帯域幅制御のスロットル解除メカニズムを同期モードから非同期モードに変更し、多数の CPU を持つシナリオでの帯域幅制御効率を最適化しました。
コアスケジューリングマスタースイッチを無効にする際の潜在的な競合状態を修正しました。
高割り込み要求 (IRQ) ペイロードシナリオでの不正確な SIB Idle 統計を修正しました。
システムの安定性を向上させるために、NVMe over RDMA の上位バージョンの修正パッチをバックポートしました。
nvme_reset と nvme_rescan が同時に実行された場合のデッドロックハングの問題を修正しました。
PCIe ドライバー ASPM によってトリガーされる UAF 問題によるカーネルクラッシュを修正しました。
AST2600 グラフィックスカードデバイスを搭載した Phytium S5000C での表示破損の問題を修正しました。
非同期スロットル解除による警告を修正し、潜在的なスケジューリングデッドロックを防ぎました。
CVE-2023-52445
CVE-2023-6817
CVE-2024-0646
CVE-2023-20569
CVE-2023-51042
CVE-2023-6915
CVE-2023-6546
CVE-2022-38096
CVE-2024-0565
CVE-2024-26589
CVE-2024-23307
CVE-2024-22099
CVE-2024-24860
CVE-2024-1086
CVE-2023-51779
CVE-2024-26597
CVE-2024-24855
CVE-2023-52438
CVE-2023-4622
CVE-2023-6932
CVE-2023-20588
CVE-2023-5717
CVE-2023-6931
CVE-2023-28464
CVE-2023-39192
CVE-2023-6176
CVE-2023-45863
CVE-2023-5178
CVE-2023-45871
CVE-2023-4155
CVE-2023-20593
CVE-2023-3567
CVE-2023-3358
CVE-2023-0615
CVE-2023-31083
CVE-2023-4015
CVE-2023-42753
CVE-2023-4623
CVE-2023-4921
CVE-2023-2860
CVE-2023-1206
CVE-2023-3772
CVE-2023-42755
CVE-2023-3863
CVE-2022-3114
CVE-2023-31085
CVE-2023-4132
CVE-2022-3424
CVE-2022-3903
CVE-2022-45887
CVE-2023-3006
CVE-2023-42754
CVE-2023-0160
イメージ
debuginfo リポジトリ名を統一しました。
dnf debuginfo-install <package_name>コマンドを使用して、対応する debuginfo をインストールします。dnf-makecache サービスのアクティブな間隔が 1 時間から 1 日に延長され、ディスクとネットワークへの影響が軽減されました。
virtio_blk はカーネル内でインツリーであるため、virtio_blk モジュールに関連する構成は initramfs から削除されました。
パッケージ
dnf-plugin-releasever-adapter が dnf コマンドの失敗を引き起こすバグを修正しました。
Alibaba Cloud Linux 3.2104 U9.1
バージョン番号 | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U9.1 | aliyun_3_x64_20G_alibase_20240528.vhd | 2024-05-28 |
|
aliyun_3_arm64_20G_alibase_20240528.vhd | 2024-05-28 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | パッケージバージョン |
kernel |
| 5.10.134-16.3.al8 |
bind | CVE-2022-3094 | 9.11.36-11.0.1.al8 |
buildah |
| 1.31.3-1.al8 |
dnsmasq | CVE-2023-28450 | 2.79-31.0.1.al8 |
edk2-20220126gitbb1bba3d77 | CVE-2019-14560 | 6.0.2.al8 |
frr |
| 7.5.1-16.0.2.al8 |
grafana |
| 9.2.10-7.0.1.al8 |
grafana | CVE-2024-1394 | 9.2.10-7.0.1.al8 |
grafana-pcp | 5.1.1-1.0.1.al8 | |
gstreamer1-plugins-bad-free | CVE-2023-44429 | 1.22.1-2.0.1.al8 |
tigervnc | CVE-2023-44446 | 1.13.1-2.al8 |
unbound |
| 1.16.2-6.al8 |
webkit2gtk3 | CVE-2023-42917 | 2.40.5-1.0.2.al8.1 |
glibc | CVE-2024-2961 | 2.32-1.16.al8 |
python2-setuptools | CVE-2022-40897 | 39.0.1-13.1.module+al8+9+77049424 |
パッケージのアップデート
パッケージ名 | リリースバージョン |
cloud-init | 23.2.2 |
container-selinux | 2.229.0 |
ethtool | 6.6 |
iproute | 6.2.0 |
iptables | 1.8.5 |
keentuned | 2.4.0 |
keentune-target | 2.4.0 |
rng-tools | 6.16 |
sssd | 2.9.1 |
sudo | 1.9.5p2 |
sysak | 2.4.0 |
重要なアップデート
カーネルの更新
カーネルは 5.10.134-16.3.al8 にアップグレードされました。
SMC-R および elastic Remote Direct Memory Access (eRDMA) シナリオで smc_pnet 機能をサポートしました。
Resource Director Technology (RDT) に基づく動的メモリ帯域幅制御技術である HWDRC のサポートを追加し、メモリ帯域幅やキャッシュなどのリソースをより正確に制御できるようになりました。
Group Identity を最適化し、異なる優先度のタスクの負荷制御を強化しました。
新しいパッケージ機能
aliyun-cli は 3.0.204 にアップグレードされ、yum または dnf コマンドを使用してインストールおよび更新できるようになりました。
cloud-init は 23.2.2 にアップグレードされ、強化モードでのインスタンスメタデータアクセスをサポートします。
ethtool は 6.6 にアップグレードされ、CMIS プロトコルをサポートします。
sysak は 2.4.0 にアップグレードされました。このバージョンでは、診断機能が最適化され、ノード監視が提供され、ノード側の sysom 可観測性機能に適応し、いくつかのバグ修正が含まれています。
keentune は 2.4.0 にアップグレードされました。
イメージの更新
コンテナイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9.1
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明新しいバージョンがリリースされた後、latest タグを使用して 3.9.1 バージョンのイメージを取得することはできなくなります。
仮想マシンイメージ
イメージの起動モードは UEFI-Preferred に切り替えられ、UEFI と Legacy の両方の起動モードをサポートするようになりました。
バグ修正
カーネル
erofs 圧縮モードの安定性の問題を修正しました。
erofs over fscache の安定性の問題を修正しました。
SMC 関連の安定性の問題を修正しました。
BDI が STRICTLIMIT 機能を使用し、BDI 共有が 0 の場合に発生するライトバックパフォーマンスの低下の問題を修正しました。
seccomp のメモリリークを修正しました。
ユーザー操作が不適切な ZERO_PAGE 参照カウントにつながる可能性がある問題を修正しました。
TCMU での潜在的な再帰的メモリ回収の問題を修正しました。
ioasids サブシステムでカーネルスレッドが移行されるときに発生するカーネルクラッシュの問題を修正しました。
スロットルルールが設定されていない場合に発生する I/O 繰り返し統計の問題を修正しました。
Phytium S2500 と一部の BMC チップが短時間で頻繁に通信する場合に発生する予期しないハードウェア信号ハングの問題を修正しました。
Group Identity とコアスケジューリングが同時に有効になっている場合に発生するカーネルパニックの問題を修正しました。
CFS 帯域幅制御の非スロットルを同期から非同期に変更し、多数の CPU を持つシナリオでの帯域幅制御効率を最適化しました。
コアスケジューリングのマスター スイッチが無効になっている場合に発生する潜在的な競合状態を修正しました。
高 irq シナリオでの不正確な sibidle 統計を修正しました。
イメージ
他のカーネルバージョンをインストールしても再起動後に有効にならない問題を修正しました。
2023年
Alibaba Cloud Linux 3.2104 U9
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U9 | aliyun_3_9_x64_20G_alibase_20231219.vhd | 2023-12-19 |
|
aliyun_3_9_arm64_20G_alibase_20231219.vhd | 2023-12-19 |
| |
aliyun_3_9_x64_20G_uefi_alibase_20231219.vhd | 2023-12-19 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | パッケージバージョン |
kernel |
| 5.10.134-16.1.al8 |
java-1.8.0-openjdk |
| 1.8.0.392.b08-4.0.3.al8 |
java-11-openjdk | CVE-2023-22081 | 11.0.21.0.9-2.0.3.al8 |
mariadb |
| 10.5.22-1.0.1.al8 |
open-vm-tools |
| 12.2.5-3.al8.1 |
bind | CVE-2023-3341 | 9.11.36-8.al8.2 |
dmidecode-doc | CVE-2023-30630 | 3.3-5.0.2.al8 |
frr | CVE-2023-38802 | 7.5.1-8.0.1.al8 |
ghostscript |
| 9.54.0-14.al8 |
glibc | CVE-2023-4911 | 2.32-1.12.al8 |
grafana |
| 7.5.15-5.0.1 |
libvpx |
| 1.7.0-10.0.1.al8 |
linux-firmware | CVE-2023-20593 | 20230404-117.git2e92a49f.al8 |
ncurses | CVE-2023-29491 | 6.1-10.20180224.0.1.al8 |
nghttp2 | CVE-2023-44487 | 1.33.0-4.0.1.al8.1 |
|
|
|
tracker-miners | CVE-2023-5557 | 3.1.2-4.0.1.al8 |
パッケージの更新
パッケージ名 | リリースバージョン |
ca-certificates | 2023.2.60_v7.0.306 |
firewalld | 0.9.11 |
java-1.8.0-openjdk | 1.8.0.392.b08 |
java-11-openjdk | 11.0.21.0.9 |
libbpf | 0.6.0 |
lz4 | 1.9.4 |
mariadb | 10.5.22 |
nmstate | 2.2.15 |
nspr | 4.35.0 |
nss | 3.90.0 |
open-vm-tools | 12.2.5 |
openscap | 1.3.8 |
scap-security-guide | 0.1.69 |
sos | 4.6.0 |
xz | 5.4.4 |
重要な更新
カーネル
新機能
コアスケジューリングのサポート
アップストリームコミュニティからコアスケジューリングセキュリティ機能をバックポートします。この機能により、同じグループの信頼できるプロセスのみが同じ物理コアのハイパースレッドで同時に実行できるようになります。この機能はグループ ID と互換性がありません。同時に有効にしないでください。この機能はデフォルトで無効になっています。有効にするには、
sysctl -w kernel.sched_core=1コマンドを実行します。Arm64 での eBPF トランポリン機能をサポート
Arm64 の eBPF トランポリン機能をバックポートし、bpf struct ops 機能をサポートしました。Arm64 の ftrace 関連機能はバックポートされていないため、bpf fentry シリーズの機能はまだ利用できないことにご注意ください。
mglru 機能をサポート
メモリページの回収を改善する mglru をサポートします。この機能は、ビッグデータシナリオでのメモリ回収率と精度を向上させ、エンドツーエンドのパフォーマンスを向上させます。
バッチ TLB フラッシュのサポート
バッチ移行機能は、メモリページ移行中にバッチ TLB フラッシュとページコピー操作を実装し、カーネルページ移行操作のパフォーマンスを向上させます。
このバージョンでは、アップストリームコードに基づいて以前のカーネルの元のバッチ移行機能をリファクタリングおよび最適化しました。リファクタリング後の主な変更点には、`batch_migrate` cmdline パラメーターの削除、
/sys/kernel/mm/migrate/batch_migrate_enabledインターフェイスの削除、バッチ移行をページ移行のデフォルト設定にすることが含まれます。/sys/kernel/mm/migrate/dma_migration_min_pages インターフェイスを追加しました。デフォルト値は 32 です。このインターフェイスは、DMA ページコピー機能が有効になっているシナリオ専用です。DMA ページコピー機能は、
/sys/kernel/mm/migrate/dma_migrate_enabledが有効で、移行されたページ数が/sys/kernel/mm/migrate/dma_migration_min_pagesの値に達した場合にのみ使用されます。cachestat 機能をバックポート
カーネルに `cachestat` システムコールを導入しました。このシステムコールを使用して、指定されたファイルのページキャッシュの詳細な統計を表示できます。
Arm64 カーネルモードでの RAS イベントトリガーの強化
`copy_{from/to}_user`、`{get/put}_user`、Copy on Write (CoW)、pagecache 読み取りなど、さまざまなシナリオでの RAS 問題のエラー回復機能を追加しました。
SMC-D ループバック機能のサポート (独自開発)
SMC-D ループバック機能を導入し、ローカルマシン上のプロセス間 TCP 通信とコンテナ間 TCP 通信を高速化しました。
ページテーブルコアアフィニティのサポートとクロスダイページテーブル統計の提供 (独自開発)
ページテーブルのコアアフィニティ機能は、メモリプレッシャー下で、QoS に敏感なサービスのページテーブルを現在の NUMA ノードに割り当てることができます。これにより、メモリアクセスのレイテンシが短縮され、より高速で効果的なメモリアクセスが実現します。
コードマルチコピーの強化 (独自開発)
非同期タスクを使用して、プロセス起動中にコードのマルチコピーが有効にならなかったケースを再試行します。duptext のメモリ割り当てノードを制限するために `memory.duptext_nodes` カーネルインターフェイスを追加しました。
kfence の強化 (独自開発)
Arm64 アーキテクチャ向けに独自開発の kfence 強化機能を追加しました。これにより、kfence の柔軟な動的有効化・無効化とメモリ破損問題の完全なキャプチャが可能になり、オンライン検出とオフラインデバッグの両方に対応します。
メモリの問題がキャプチャされたときにシステムをすぐにクラッシュさせる機能を追加し、開発者がデバッグ環境で問題をよりよく分析できるようにしました。起動 cmdline を
"kfence.fault=panic"に設定するか、echo panic > /sys/module/kfence/parameters/faultを実行して有効にします。デフォルト値はreportで、システムをクラッシュさせずにログのみを出力します。
memcg THP 制御インターフェイスの提供 (独自開発)
指定された memcg の THP 割り当てを禁止するための memcg THP 制御インターフェイスを提供します。
ACPU (Assess CPU) のサポート (独自開発)
ACPU は、タスク実行中の HT ピアのアイドル時間をカウントし、cgroup ごとの統計を提供できます。これは、タスク実行中に共有 CPU コアでのハードウェアリソースの競合を評価するために使用できます。
HT-aware-quota 機能のサポート (独自開発)
CFS 帯域幅制御とコアスケジューリングに基づく計算能力安定化ソリューションです。混合デプロイシナリオでは、HT ピアがアイドル状態であるかどうかを感知してクォータを調整し、タスクが各スケジューリングサイクルで比較的安定した計算能力を得られるようにします。計算集約型のタスクに適しています。
グループ ID 2.0 のサポート (独自開発)
cgroup レベルの SCHED_IDLE 機能を導入しました。ターゲット cgroup の `cpu.idle` 属性を設定することで、その cgroup のスケジューリングポリシーを SCHED_IDLE に設定できます。これは、オフラインタスクのバッチ管理に適しています。
動作の変更
モジュール署名
カーネルモジュールに署名を追加し、開発者が署名のないカーネルモジュールを識別して拒否しやすくしました。
Arm64 での Spectre-BHB および Variant 4 の脆弱性修正のデフォルト無効化
分析の結果、Spectre-BHB および Variant 4 の脆弱性は、Spectre v2 のセキュリティ脆弱性の修正、非特権 eBPF の無効化、サイト分離技術の使用、および SharedArrayBuffer の無効化によって対処されていることがわかりました。Spectre-BHB および Variant 4 の追加の修正は必要ありません。したがって、Arm64 のデフォルト cmdline には `nospectre_bhb ssbd=force-off` パラメーターが追加され、セキュリティを確保しながら不要なオーバーヘッドを削減し、パフォーマンスを向上させます。
TDX ゲスト関連の構成を有効にし、TDX 機密仮想マシンシナリオをサポートしました。
新しいパッケージ機能
ソフトウェアリポジトリを通じて erofs-utils-1.7.1 を提供しました。
erofs-utils は、EROFS を作成、チェック、圧縮するためのツールです。LZ4、LZMA、DEFLATE などの圧縮アルゴリズムをサポートし、tar 形式を erofs 形式に変換することをサポートします。
ソフトウェアリポジトリを通じて stress-ng-0.15.00 を提供しました。
ソフトウェアリポジトリを通じて alibaba-cloud-compiler-13.0.1.4 を提供しました。
Alibaba Cloud Compiler は、Alibaba Cloud が作成した C/C++ コンパイラです。オープンソースの Clang/LLVM-13 コミュニティバージョンに基づいて開発されており、オープンソースバージョンでサポートされているすべてのオプションとパラメーターを継承しています。さらに、Alibaba Cloud Compiler は Alibaba Cloud インフラストラクチャに基づいて深く最適化されており、独自の機能と最適化を提供します。これにより、Alibaba Cloud ユーザーはより良い C/C++ コンパイラ体験を得ることができます。
glibc に GB18030-2022 エンコーディングをサポートするパッチを追加しました。
dragonwell17 は 17.0.9.0.10.9 に更新されました:JIT コンパイラは、呼び出しの絶対数に基づいてインライン化を決定するロジックを削除することで、インラインパフォーマンスを向上させます。
dragonwell8 は 8.15.16.372 に更新されました:複数のコルーチンが同じソケットの読み書きイベントを待機することをサポートし、okhttp シナリオのバグを修正しました。
ソフトウェアリポジトリを通じて plugsched-1.3 を提供しました。
plugsched は、スケジューラをホットアップグレードするための SDK で、カーネルスケジューラ開発者を対象としています。このツールをインストールして、スケジューラモジュールを開発できます。
sysak は 2.2.0 に更新されました:MySQL および Java アプリケーションのメトリック監視と診断をサポートするアプリケーション監視機能を追加しました。コンテナ監視とクラスター監視に関連する監視メトリックを追加しました。ローカル監視機能を追加しました。
keentune は 2.3.0 に更新されました:最新の ffmpeg をサポートするために x264/265 関連のスクリプトを更新しました。XPS および RPS コアアフィニティのエラー問題を解決しました。プロファイルの eRDMA のデフォルト設定を更新しました。
Intel QAT/DLB/IAA アクセラレータソフトウェアチェーンの更新:QAT ドライバーのバグ修正、DLB ドライバーのアップグレード、QAT および IAA ユーザースペースのバグ修正、およびクロスアーキテクチャアクセラレータユーザースペース DMA メモリの新しい統一管理ソリューション。
smc-tools の更新:`smc-ebpf` コマンドを追加しました。これは、`smc_run` の有効範囲のポート粒度制御をサポートします。制御モードは、ホワイトリストとブラックリストモード、およびインテリジェントスケジューリングをサポートします。
バグ修正
カーネルの更新時に `kernel-modules-extra` や `kernel-modules-internal` などの RPM パッケージが自動的にインストールされないため、netfilter 関連の機能が利用できない問題を修正しました。
cgroup の作成または削除中にグループ ID の参照カウントが正しくないため、
/proc/sys/kernel/sched_group_identity_enabledインターフェイスが時々無効にできない問題を修正しました。
イメージの更新
コンテナイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明新しいバージョンがリリースされた後、`latest` を使用して 3.9 バージョンのイメージを取得することはできなくなります。
仮想マシンイメージ
rpmdb 形式はデフォルトで sqlite に切り替えられます。
keentune サービスはインストールされますが、デフォルトでは有効になっていません。
nfs-server サービスはデフォルトでは有効になっていません。
既知の問題
ecs.g6r.large インスタンスでは、メモリサイズのために kdump サービスが正常に動作しない場合があります。この問題を回避するには、`0M-2G:0M,2G-128G:256M,128G-:384M` などのクラッシュパラメーターを調整してください。
nfsv3 ファイルシステムで、ファイルに S 権限を追加した後、特殊なケースでファイルのオーナーを変更すると、グループの S 権限が失われます。
この問題の修正はパッチ `2d8ae8c417("db nfsd: use vfs setgid helper")` ですが、修正に必要なヘルパー関数は 5.10 カーネルバージョンから大幅なコード変更があります。これは既知の問題であり、修正は一時的に延期されます。
TCP を SMC に置き換えた後、netperf テストが途中で終了することがあります。
SMC は固定サイズのリングバッファを使用するため、転送中に残りのバッファスペースが `send()` で指定されたデータサイズよりも小さくなる可能性があります。この場合、SMC は送信可能なバイト数を返します。これは通常、ユーザーが `send()` で指定した量よりも少なくなります。netperf では、この動作は例外として判断され、終了の原因となります。アップストリームのメンテナーは、接続の停止問題を回避するために現在の設計を維持することを強く推奨しています。したがって、この問題は修正されません。
Alibaba Cloud Linux 3.2104 U8
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U8 | aliyun_3_arm64_20G_alibase_20230731.vhd | 2023-07-31 |
|
aliyun_3_x64_20G_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_qboot_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20230727.vhd | 2023-07-27 |
|
コンテンツの更新
セキュリティアップデート
パッケージ名 | CVE ID | パッケージバージョン |
ctags | CVE-2022-4515 | 5.8-23.0.1.al8 |
gssntlmssp |
| 1.2.0-1.0.1.al8 |
libtar |
| 1.2.20-17.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-37.0.1.al8 |
postgresql-jdbc | CVE-2022-41946 | 42.2.14-2.al8 |
freerdp |
| 2.2.0-10.0.1.al8 |
tigervnc |
| 1.12.0-15.al8 |
xorg-x11-server |
| 1.20.11-15.0.1.al8 |
poppler | CVE-2022-38784 | 20.11.0-6.0.1.al8 |
wayland | CVE-2021-3782 | 1.21.0-1.al8 |
net-snmp |
| 5.8-27.0.1.al8 |
dhcp |
| 4.3.6-49.0.1.al8 |
python-mako | CVE-2022-40023 | 1.0.6-14.al8 |
curl | CVE-2023-27535 | 7.61.1-30.0.2.al8.2 |
|
|
|
dnsmasq | CVE-2023-28450 | 2.79-27.al8 |
qt5 | CVE-2022-25255 | 5.15.3-1.0.1.al8 |
autotrace | CVE-2022-32323 | 0.31.1-55.al8 |
bind | CVE-2023-2828 | 9.11.36-8.al8.1 |
|
|
|
mysql |
| 8.0.32-1.0.2.al8 |
ruby |
| 2.7.8-139.0.1.al8 |
kernel |
| 5.10.134-15.al8 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.5 |
libssh |
| 0.9.6-7.al8 |
open-vm-tools | CVE-2023-20867 | 12.1.5-2.al8 |
grafana |
| 7.5.15-4.0.2.al8 |
grafana-pcp | CVE-2022-27664 | 3.2.0-3.0.1.al8 |
frr | CVE-2022-37032 | 7.5.1-7.0.1.al8 |
sqlite | CVE-2020-24736 | 3.26.0-18.al8 |
git-lfs |
| 3.2.0-2.0.1.al8 |
sysstat | CVE-2022-39377 | 11.7.3-9.0.1.al8 |
python3 | CVE-2023-24329 | 3.6.8-51.0.1.al8.1 |
c-ares | CVE-2023-32067 | 1.13.0-6.al8.2 |
cups-filters | CVE-2023-24805 | 1.20.0-29.0.1.al8.2 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.4 |
delve go-toolset golang | CVE-2023-24540 | delve-1.9.1-1.0.1.al8 go-toolset-1.19.9-1.al8 golang-1.19.9-1.0.1.al8 |
kernel |
| 5.10.134-14.1.al8 |
git |
| 2.39.3-1.1.al8 |
apr-util | CVE-2022-25147 | 1.6.1-6.2.al8.1 |
webkit2gtk3 | CVE-2023-2203 | 2.38.5-1.0.1.al8.3 |
edk2 |
| 20220126gitbb1bba3d77-4.al8 |
mingw-expat | CVE-2022-40674 | 2.4.8-2.al8 |
パッケージの更新
パッケージ名 | リリースバージョン |
at | at-3.1.20-12.0.1.al8 |
audit | audit-3.0.7-2.0.1.al8.2 |
authselect | authselect-1.2.6-1.al8 |
bind | bind-9.11.36-8.al8.1 |
checkpolicy | checkpolicy-2.9-1.2.al8 |
cloud-utils-growpart | cloud-utils-growpart-0.33-0.0.1.al8 |
container-selinux | container-selinux-2.189.0-1.al8 |
coreutils | coreutils-8.30-13.al8 |
crypto-policies | crypto-policies-20221215-1.gitece0092.al8 |
cups | cups-2.2.6-51.0.1.al8 |
dbus | dbus-1.12.8-24.0.1.al8 |
ding-libs | ding-libs-0.6.1-40.al8 |
dnf | dnf-4.7.0-16.0.1.al8 |
dnf-plugins-core | dnf-plugins-core-4.0.21-14.1.al8 |
dracut | dracut-049-223.git20230119.al8 |
elfutils | elfutils-0.188-3.0.1.al8 |
emacs | emacs-27.2-8.0.3.al8.1 |
expat | expat-2.2.5-11.al8 |
file | file-5.33-24.al8 |
freetype | freetype-2.10.4-9.al8 |
fuse | fuse-2.9.7-16.al8 |
gmp | gmp-6.2.0-10.0.1.al8 |
gnupg2 | gnupg2-2.2.20-3.al8 |
graphite2 | graphite2-1.3.10-10.2.al8 |
grub2 | grub2-2.02-148.0.1.al8 |
harfbuzz | harfbuzz-1.7.5-3.2.al8 |
hwdata | hwdata-0.314-8.16.al8 |
iproute | iproute-5.18.0-1.al8 |
iptables | iptables-1.8.4-24.0.1.al8 |
kernel | kernel-5.10.134-15.al8 |
kernel-hotfix-13383560-5.10.134-15 | kernel-hotfix-13383560-5.10.134-15-1.0-20230724161633.al8 |
kexec-tools | kexec-tools-2.0.25-5.0.1.al8 |
kmod | kmod-25-19.0.2.al8 |
kpatch | kpatch-0.9.7-2.0.1.al8 |
libarchive | libarchive-3.5.3-4.al8 |
libffi | libffi-3.1-24.0.1.al8 |
libteam | libteam-1.31-4.0.1.al8 |
libuser | libuser-0.62-25.0.1.al8 |
libxml2 | libxml2-2.9.7-16.0.1.al8 |
linux-firmware | linux-firmware-20230404-114.git2e92a49f.al8 |
logrotate | logrotate-3.14.0-6.0.1.al8 |
NetworkManager | NetworkManager-1.40.16-1.0.1.al8 |
nfs-utils | nfs-utils-2.3.3-59.0.2.al8 |
nftables | nftables-0.9.3-26.al8 |
oddjob | oddjob-0.34.7-3.0.1.al8 |
openssh | openssh-8.0p1-17.0.2.al8 |
openssl-pkcs11 | openssl-pkcs11-0.4.10-3.0.1.al8 |
pam | pam-1.3.1-25.0.1.al8 |
pciutils | pciutils-3.7.0-3.0.1.al8 |
python-linux-procfs | python-linux-procfs-0.7.1-1.al8 |
python-rpm-generators | python-rpm-generators-5-8.al8 |
python-slip | python-slip-0.6.4-13.al8 |
rng-tools | rng-tools-6.15-3.0.1.al8 |
rpcbind | rpcbind-1.2.5-10.0.1.al8 |
rpm | rpm-4.14.3-26.0.1.al8 |
rsyslog | rsyslog-8.2102.0-13.al8 |
selinux-policy | selinux-policy-3.14.3-117.0.1.al8 |
setools | setools-4.3.0-3.al8 |
setup | setup-2.12.2-9.0.1.al8 |
sg3_utils | sg3_utils-1.44-6.0.1.al8 |
shared-mime-info | shared-mime-info-2.1-5.0.1.al8 |
sssd | sssd-2.8.2-2.0.1.al8 |
tpm2-tss | tpm2-tss-2.3.2-4.0.2.al8 |
unbound | unbound-1.16.2-5.al8 |
util-linux | util-linux-2.32.1-42.0.1.al8 |
virt-what | virt-what-1.25-3.al8 |
wget | wget-1.19.5-11.0.1.al8 |
which | which-2.21-18.0.1.al8 |
xfsprogs | xfsprogs-5.0.0-10.0.6.al8 |
重要な更新
カーネルの更新
コミュニティの追跡
devlink がサブファンクション管理をサポートします。
サブファンクションは軽量な機能です。PCIe 仮想機能と比較して、サブファンクションはより軽量です。仮想機能とは異なり、サブファンクションは独立した PCI デバイスではなく、親 PCI デバイスのリソースを共有します。ただし、サブファンクションは、送信キュー、受信キュー、完了キューなど、ネットワークカード通信に関連するすべてのリソースを持っています。サブファンクションは、Linux システムでは完全なネットワークカードデバイスとして表示されます。この更新では、devlink を介してネットワークカード上のサブファンクションを管理することをサポートします。ドライバーと連携することで、サブファンクションをサポートするネットワークカード上でサブファンクションを作成、破棄、およびクエリできます。
io_uring が NVMe パススルーをサポートします。
ストレージデバイスのアクセスプロセスでは、複雑なストレージスタックのオーバーヘッドがレイテンシと IOPS に大きな影響を与えます。ストレージデバイスの速度が向上するにつれて、このソフトウェアスタックのオーバーヘッドの割合が大きくなります。NVMe ディスクへのアクセスには、ファイルシステム、ブロックレイヤー、NVMe ドライバーなど、複数の抽象化レイヤーを通過して、最終的にターゲットデバイスに到達する必要があります。この更新では、メインライン v5.19 から io_uring uring_cmd 機能をバックポートし、実際のファイル操作を io_uring を介してカーネルに渡します。この操作は io_uring レイヤーでは解析されず、ファイルシステムとブロックレイヤーをバイパスして NVMe ドライバーレイヤーに直接送信されます。さらに、この機能をサポートするために、CQE32 データ構造の io_uring サポートと NVMe キャラクターデバイスの作成が導入されています。
詳細な NVMe/SCSI Persistent Reservation 権限制御をサポートします。
以前は、Persistent Reservation 操作を実行するプロセスは CAP_SYS_ADMIN 権限を持っている必要があり、コンテナなどの一部の非特権シナリオでの使用が妨げられていました。この機能により、CAP_SYS_ADMIN 権限を持たない非特権プロセスでも、ブロックデバイスへの書き込み権限があれば Persistent Reservation 操作を実行できるようになります。これにより、ユースケースが拡大します。
大規模ブロック I/O の IOPS スロットリングを最適化しました。
現在の 5.10 カーネルの IOPS スロットリング機能は、1 M などの大規模ブロック I/O シナリオではうまく機能しません。主な理由は、大規模ブロック I/O が分割される可能性があり、ブロックスロットルの IOPS スロットリングロジックがこれをうまく処理していなかったためです。この現象は、バッファ I/O シナリオで特に顕著です。なぜなら、バッファ I/O は最初にページキャッシュに書き込み、一定時間後に書き戻すためです。このプロセスは通常、大規模ブロック I/O にマージされます。メインラインコミュニティは v5.18 でこの問題をリファクタリングおよび最適化しました。この更新では、メインラインコミュニティのパッチをバックポートすることで大規模ブロック I/O の IOPS スロットリングを最適化し、BPS の繰り返し統計バグも修正しました。
bpf が、ハッシュマップの lookup_and_delete_elem とブルームフィルター機能のコミュニティサポートをバックポートします。
以前は、bpf の lookup_and_delete_elem (検索して削除) 操作はキューとスタックタイプのマップのみをサポートしていました。現在はハッシュタイプのマップをサポートしています。
新しいマップタイプ、ブルームフィルターを追加しました。これは効率的なセット検索ツールです。
QEMU Arm64 仮想マシンのゲスト OS の CPU とメモリのホットプラグをサポートします。
virsh setvcpus コマンドを使用して、ゲスト OS の vCPU 数をホットアップグレードすることをサポートします。
デフォルトで CONFIG_MEMORY_HOTPLUG_DEFAULT_ONLINE 構成を有効にすることで、「memhp_default_online_type」がオフライン状態になるのを回避します。これにより、メモリがホットプラグされたときに自動的に使用できるようになります。これにより、新しく挿入されたメモリに対応するページ記述子を作成する際にメモリが不足してメモリホットプラグが失敗する問題が回避されます。
すべての Intel チップで Intel HWP ブーストを有効にします。
HWP I/O ブースト技術は I/O パフォーマンスを向上させることができますが、以前のカーネルではこの機能は一部の Skylake プラットフォームとエンタープライズサーバーでのみ有効でした。このパッチは CPU タイプのチェックを削除し、デフォルトですべての CPU で HWP ブーストを有効にします。
ラウンドコミュニティの HVO 属性
HVO (HugeTLB Vmemmap Optimization) は、巨大ページに対応する vmemmap メモリフットプリントを削減できます。その原理は、vmemmap 内の巨大ページ内のすべての struct page の仮想アドレスを同じ物理アドレスにマッピングし、struct page が占有していた物理メモリを解放することです。
memcg lru ロック最適化機能をバックポートします。
この機能は、グローバル lru ロックでの操作を必要とするカーネル内のシナリオを、ページの memcg のロックで操作するように最適化します。これらのシナリオには、ページの移動、memcg の移動、スワップイン、スワップアウトが含まれます。この機能により、グローバル lru ロックによって引き起こされる競合が大幅に削減されます。マルチ memcg テストシナリオでは、パフォーマンスが約 50% 向上します。
Intel TDX ゲストカーネルのサポート
Intel tdx ゲストで Linux カーネルを実行することをサポートします。これにより、信頼できる環境に対してメモリ暗号化、メモリ整合性保護、CPU レジスタ保護、およびリモート構成証明が提供されます。
EMR プラットフォームへの適応。
EMR CPU ID を PMU ドライバーに追加し、EMR プラットフォームで PMU 機能を有効にします。
IFS Array BIST 機能を有効にします。IFS は、ECC で検出が困難な CPU エラーをキャプチャするために使用され、動作中に各コアをチェックできます。
独自開発機能
カーネルネットワークプロトコルスタック SMC による TCP の透過的な高速化機能をサポートします。
SMC は、IBM が Linux アップストリームに貢献した高性能カーネルネットワークプロトコルスタックであり、RDMA などのさまざまな共有メモリ操作技術と組み合わせて、TCP を透過的に高速化するために使用できます。ANCK は、アップストリームバージョンに加えて多くの安定性の問題を修正し、デフォルトで SMCv2 をサポートし、SMCv2.1 プロトコルネゴシエーションをサポートし、max_link/max_conn/Alibaba ベンダー ID 機能をサポートし、リンク接続数を最適化し、RQ フロー制御をサポートし、RDMA Write With Immediate 操作をサポートし、さまざまな診断情報を追加し、PF_INET プロトコルファミリーを介して SMC プロトコルスタックを使用することをサポートし、BPF およびその他の主要な機能を介した透過的な置き換えをサポートします。
fuse キャッシュ整合性モデルを強化し、統計インターフェイスを追加します。
sysfs の下にデバッグインターフェイスを追加し、特定の fuse ファイルシステムに対してユーザースペースデーモンに送信され、処理を待っているすべてのリクエストを印刷します。
sysfs の下にデータ統計インターフェイスを追加し、特定の fuse ファイルシステムに対して各タイプのリクエストの数とその処理時間をカウントして出力します。
キャッシュ (cache=always|auto) モードでのキャッシュ整合性を強化し、NFS などの強力な整合性に依存する分散ファイルシステムバックエンドに適したものにします。
ユーザースペースデーモンは、fuse クライアントにディレクトリ内のすべての直接 dentry を無効にするよう通知できます。
データとメタデータの flush-on-close と invalidate-on-open セマンティクスを含む、Close-To-Open (CTO) キャッシュ整合性モデルを実装します。
fuse フェールオーバーモードでのキャッシュ整合性モデルを強化します。
EROFS は、tar ファイルの直接マウントと、16k/64k ページ構成の arm64 プラットフォームでの 4k ブロックサイズの EROFS 非圧縮イメージの使用をサポートします。
16k/64k ページ構成の arm64 プラットフォームで 4k ブロックサイズの EROFS 非圧縮イメージのマウントをサポートします。
tar ファイルをデータソースとして直接使用し、EROFS メタデータを使用して tar データをマウントおよびアクセスすることをサポートします。
名前空間をまたいで fuse マウントポイントを渡すことをサポートします。
非特権サイドカーコンテナからアプリコンテナへの fuse マウントポイントの伝播をサポートし、クラウドネイティブシナリオでの fuse ベースのリモートストレージのソリューションを提供します。
Transparent Huge Pages (THP) によって引き起こされるメモリ肥大化の問題を解決します。
THP はパフォーマンスの向上をもたらしますが、メモリ肥大化を引き起こし、OOM につながる可能性もあります。たとえば、アプリケーションが実際に使用する必要があるのは 2 つの small ページ、つまり 8 KiB のメモリですが、カーネルは 1 つの透明なヒュージページを割り当てます。この場合、アプリケーションが実際に必要とするメモリ (2 つの small ページ) を除いて、透明なヒュージページの残りのメモリ (510 の small ページ) はすべてゼロです。これにより、最終的に RSS メモリ使用量の増加により OOM が発生する可能性があります。
THP ZSR は、このメモリの肥大化の問題を解決するために設計されています。カーネルがメモリを回収するとき、この機能は透過的な巨大ページを小さなページに分割し、すべてゼロのページ (ゼロサブページ) を回収します。これにより、急速なメモリの肥大化が OOM を引き起こすのを防ぎます。
システム構成の更新
tcp_max_tw_buckets の値を 5000 に変更しました。
vfat ファイルシステムのデフォルトのマウント文字セットを iso8859-1 に変更しました。
パッケージ機能の更新
aliyun_cli がデフォルトで統合されています。
container-selinux がデフォルトで統合されています。
anolis-epao-release パッケージを追加しました。これにより、Alibaba Cloud Linux 3 は Anolis OS epao ソースを使用して AI やその他のアプリケーションをインストールできます。
バグ修正
Alibaba Cloud Linux 3 arm64 イメージで rngd.service が起動に失敗する問題を修正しました。
プロセスフォークが失敗したときに発生する cgroup リークについて、メインラインコミュニティからのバグ修正をバックポートしました。
overlayfs の権限問題を修正しました。すべての上位ディレクトリと下位ディレクトリが同じファイルシステム上にあり、アクセスされたファイルまたはディレクトリに読み取り権限がない場合、overlayfs の以前のパフォーマンス最適化の論理エラーにより、ovl_override_creds() が正しく実行されず、実際の実行権限がマウンターの権限に昇格されませんでした。これにより、コピーアップに読み取り権限が必要な場合に権限拒否エラーが発生していました。
メインラインコミュニティから fuse のいくつかのバグ修正をバックポートし、fuse の安定性をさらに向上させました。
bigalloc 機能が有効な ext4 のいくつかのバグ修正をバックポートし、このシナリオでのオンラインリサイズにかかる時間を大幅に最適化しました。
ラウンドコミュニティ CONT-PTE/PMD に起因する潜在的なデータ整合性の問題。
AMD モデルで resctrl が正常に使用できない問題を修正しました。
IAX ハードウェア圧縮/展開アクセラレータの安定性の問題を修正しました。
IAX ハードウェア圧縮/展開アクセラレータの CRC チェック失敗の問題を修正しました。
同時 swapoff-swapon 操作中に swap_info_struct ロックの不適切な使用によって引き起こされるメモリ破損の問題を修正しました。この問題のバグ修正はコミュニティにマージされました。
独自開発のゾンビ memcg リーパー機能がワンショットモードで有効にならない問題を修正しました。
Yitian 710 MPAM メモリ帯域幅監視機能の潜在的な安定性の問題を修正しました。
イメージの更新
コンテナイメージ
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.8
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
説明新しいバージョンがリリースされた後、`latest` を使用して 3.8 バージョンのイメージを取得することはできなくなります。
既知の問題
ANCK 5.10-015 がアップストリームコミュニティの実装とスケジューリングウェイクアップの最適化を同期したため、一部の極端なシナリオでパフォーマンスが低下する可能性があります。このシナリオは、非常に高い負荷圧力を持つベンチマークでのみ発生し、通常のユーザーシナリオには影響しません。
Alibaba Cloud Linux 3.2104 U7
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U7 | aliyun_3_x64_20G_alibase_20230516.vhd | 2023-05-16 |
|
aliyun_3_arm64_20G_alibase_20230515.vhd | 2023-05-15 |
|
コンテンツの更新
カーネルのバグ (Bugfix) と重要なセキュリティ脆弱性 (CVE) を修正しました。
multi-pcp 機能をサポートし、バディシステムの大きなロックをバイパスしてネットワークパケット受信能力を向上させます。
multi-pcp は、コアごとのリストに 0 より大きいオーダーのメモリページを予約することをサポートします。これにより、高次のメモリページを割り当てる際にゾーンバディシステムを介した割り当てを回避します。これにより、バディシステムの大きなロックがバイパスされ、ネットワークパケット受信能力が向上します。
Intel IAA アクセラレータドライバーを有効にし、圧縮および展開のパフォーマンスを向上させました。
In-Memory Analytics Accelerator (IAA) は、基本的なデータ分析機能を組み合わせたハードウェアアクセラレータであり、高スループットの圧縮と展開を提供します。ドライバーコードは Intel コードリポジトリからのものであり、ANCK カーネル用に適合およびバグ修正されています。
ページキャッシュの切り捨てによる shmem/hugetlb ファイルシステムでのサイレントデータロスを修正しました。
障害のある shmem および hugetlb ページはページキャッシュから削除されるため、ファイル内の障害のあるページオフセットへの後続のアクセスは、新しいゼロページの割り当てにつながり、サイレントデータロスを引き起こします。この機能は、ページフォールトによって引き起こされる shmem/tmpfs および hugetlb ファイルシステムでのサイレントデータロスの問題を修正します。
coresight ETE ドライバーと tools/perf ツールのサポートを追加しました。
ARM 64 プラットフォーム上の KVM モジュールのシグナル処理メカニズムを強化し、RAS などのシナリオでのクラッシュ問題を修正しました。
CPU がゲストモードに入る前に、TIF_NOTIFY_RESUME フラグが処理されない場合、頻繁な RAS イベントトリガーがクラッシュを引き起こす可能性があります。したがって、保留中のタスク作業を正しく処理するために、ARM 64 プラットフォームで完全な汎用エントリインフラストラクチャがサポートされています。
Linux コミュニティの CMN/DRW ドライバーを同期し、debugfs サポートを追加し、関連するバグを修正しました。
5.10-014 より前のバージョンの CMN/DRW ドライバーは Linux コミュニティから逸脱していました。将来のメンテナンスコストを削減するために、バージョン 5.10-014 は Linux コミュニティの CMN/DRW ドライバーを同期し、Yitian 710 の CMN700 と互換性があります。同時に、debugfs のサポートと修正が追加され、ユーザーはユーザーモードで CMN トポロジを表示できます。
X86 カーネルモードの Copy on Write が MCE エラー回復をトリガーすることをサポートします。
カーネルモードの Copy on Write (CoW) 中に修正不可能なエラーがトリガーされた場合、修正不可能なエラーをカーネルが消費するための回復ハンドラがないため、システムはクラッシュします。この機能は、SIGBUS をアプリケーションに送信してシステムクラッシュを回避することにより、回復ハンドラのサポートを追加します。
perf メトリックの形式でパフォーマンス問題のトップダウン分析をサポートし、CPU PMU の使いやすさを向上させます。
5.10-014 より前のバージョンでは、perf メトリック機能がサポートされておらず、トップダウンのパフォーマンス分析ツールがありませんでした。CPU PMU の使いやすさを向上させ、ユーザーが CPU パフォーマンスのボトルネックを特定するのを助けるために、バージョン 5.10-014 では perf メトリック機能が追加され、Yitian 710、Kunpeng、x86 などのプラットフォームのトップダウンメトリックをサポートします。
virtio-net が uso オフロードをサポートします。
ufo オフロードと比較して、複雑なネットワーク環境でのパケット受信パフォーマンスと転送コンポーネントの転送パフォーマンスを向上させることができます。virtio-net 5.10-014 から、UDP セグメントオフロード (USO) がサポートされます。UDP フラグメントオフロード (UFO) と比較して、USO は、ネットワーク状態が不安定なビジネスシナリオ、インキャスト、および大幅なバーストでのフラグメント再構成によって引き起こされるパケット損失率を効果的に削減し、受信側でのフラグメント再構成のオーバーヘッドを削減します。同時に、パケット損失と順序の乱れは転送コンポーネントでのフラグメント再構成を引き起こし、その効率を低下させる可能性があり、USO はこの問題を効果的に緩和できます。
aarch64 アーキテクチャで、pci_iounmap が実装されていないために仮想アドレス空間が枯渇する問題を修正しました。
5.10-014 より前のバージョンでは、pci_iounmap に CONFIG_GENERIC_IOMAP が構成されていなかったため、pci_iounmap 関数は空として実装されていました。これにより、マップされたメモリの正常な解放が妨げられ、仮想アドレス空間が枯渇しました。バージョン 5.10-014 では、pci_iounmap 関数を適切に実装することでこの問題が修正されました。
高性能 ublk をサポートします。
ublk は、io_uring パススルーメカニズムに基づく高性能ユーザースペースブロックデバイスであり、分散ストレージのエージェントによる効率的なアクセスに使用できます。
以下の独自開発の Alibaba Cloud テクノロジーをサポートします:
マシン全体/memcg レベルでのコードセグメントロックをサポートします。
メモリウォーターマークが低い場合、メモリ回収がトリガーされます。メモリ解放プロセス中に、コアビジネスプログラムのコードセグメントに属するメモリが回収される可能性があります。ビジネスプログラムが実行されるにつれて、この部分のメモリはディスクから読み取られ、メモリに再ロードされます。頻繁な I/O 操作は、コアビジネスの応答に遅延を引き起こし、パフォーマンスの変動を引き起こします。この機能は、コードセグメントメモリをロックする必要があるコアビジネスプログラムが配置されている cgroup を選択することで、コードセグメントに属するメモリが頻繁にスワップインおよびスワップアウトされる問題を防止し、回収されないようにすることができます。さらに、この機能はクォータ制限を追加し、ロックされたコードセグメントメモリの割合をパーセンテージで設定できます。
ページキャッシュの回収速度が生成速度よりも遅いことによって引き起こされる OOM 問題を解決するためのページキャッシュ使用量制限機能を提供します。
コンテナシナリオでは、コンテナの利用可能なメモリは制限されています。ページキャッシュが大量のメモリを占有し、メモリ回収をトリガーする場合、ページキャッシュの回収速度がビジネスの増加するメモリ需要よりも遅いと、OOM の問題が発生しやすく、ビジネスのパフォーマンスに深刻な影響を与えます。この種の問題に対処するために、ANCK はこの機能を導入し、コンテナのページキャッシュの使用サイズを制限し、制限を超えたページキャッシュに対して早期のメモリ回収を実行して、メモリ不足と OOM の問題を解決します。このソリューションは、cgroup 粒度およびグローバルなページキャッシュ使用量制限をサポートし、同期および非同期の回収方法もサポートしており、高い柔軟性を提供します。
動的 CPU 分離をサポートします。
CPU 分離は、異なるタスクに異なる CPU コアまたは CPU セットを割り当てて、異なるタスク間の CPU リソースの競合を回避し、システム全体のパフォーマンスと安定性を向上させることができます。CPU 分離技術は、CPU の一部を重要なタスクが使用するために分離し、重要でないタスクは分離されていない CPU を共有します。これにより、重要なタスクの操作が影響を受けないことが保証されます。ただし、システム内の重要なタスクの数は動作中に固定されていません。あまりにも多くの CPU を分離すると、CPU リソースの浪費につながり、リソースコストが増加します。したがって、CPU リソースを動的に分離し、CPU 分離範囲をいつでも変更して、CPU リソースをより有効に活用し、コストを節約し、ビジネス全体のパフォーマンスを向上させる必要があります。
cgroup v2 での CPU バーストとメモリ最小ウォーターマーク分類をサポートします。
cgroup v2 の使用を促進するために、cgroup v2 バージョンでさまざまな独自開発の ANCK テクノロジーのインターフェイスを完成させる必要があります。これには、CPU バーストとメモリ最小ウォーターマーク分類機能が含まれます。
xdp ソケットは、キューに仮想メモリを割り当てることをサポートし、メモリの断片化による xdp ソケットの割り当て失敗を回避します。
デフォルトでは、xdp ソケットは __get_free_pages() を使用して隣接した物理メモリを割り当てます。マシンのメモリがひどく断片化されている場合、割り当てが失敗しやすく、xdp ソケットの作成が失敗する原因となります。この機能は vmalloc() を使用してメモリを割り当て、xdp ソケットの作成失敗の可能性を減らします。
Alibaba Cloud Linux 3.2104 U6.1
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U6.1 | aliyun_3_x64_20G_alibase_20230424.vhd | 2023-04-24 |
|
aliyun_3_arm64_20G_alibase_20230424.vhd | 2023-04-24 |
| |
aliyun_3_x64_20G_alibase_20230327.vhd | 2023-03-27 |
| |
aliyun_3_arm64_20G_alibase_20230327.vhd | 2023-03-27 |
|
Alibaba Cloud Linux 3.2104 U6
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2104 U6 | aliyun_3_x64_20G_qboot_alibase_20230214.vhd | 2023-02-14 |
|
aliyun_3_x64_20G_uefi_alibase_20230214.vhd | 2023-02-14 |
| |
aliyun_3_x64_20G_alibase_20230110.vhd | 2023-01-10 |
| |
aliyun_3_arm64_20G_alibase_20230110.vhd | 2023-01-10 |
|
2022年
バージョン | イメージ ID | リリース日 | リリースノート |
Alibaba Cloud Linux 3.5.2 | aliyun_3_x64_20G_alibase_20221118.vhd | 2022-11-18 |
|
aliyun_3_arm64_20G_alibase_20221118.vhd | 2022-11-18 |
| |
aliyun_3_x64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
aliyun_3_arm64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
Alibaba Cloud Linux 3.5 | aliyun_3_x64_20G_alibase_20220907.vhd | 2022-09-07 |
|
aliyun_3_arm64_20G_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_qboot_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_uefi_alibase_20220907.vhd | 2022-09-07 |
| |
Alibaba Cloud Linux 3.4.2 | aliyun_3_arm64_20G_alibase_20220819.vhd | 2022-08-19 |
|
aliyun_3_x64_20G_alibase_20220815.vhd | 2022-08-15 |
| |
Alibaba Cloud Linux 3.4.1 | aliyun_3_x64_20G_alibase_20220728.vhd | 2022-07-28 |
|
aliyun_3_arm64_20G_alibase_20220728.vhd | 2022-07-28 |
| |
Alibaba Cloud Linux 3.4 | aliyun_3_x64_20G_alibase_20220527.vhd | 2022-05-27 |
|
aliyun_3_x64_20G_qboot_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_arm64_20G_alibase_20220526.vhd | 2022-05-26 |
| |
Alibaba Cloud Linux 3.3.4 | aliyun_3_x64_20G_alibase_20220413.vhd | 2022-04-13 |
|
aliyun_3_arm64_20G_alibase_20220413.vhd | 2022-04-13 |
| |
Alibaba Cloud Linux 3.3.3 | aliyun_3_x64_20G_alibase_20220315.vhd | 2022-03-15 |
|
aliyun_3_arm64_20G_alibase_20220315.vhd | 2022-03-15 |
| |
Alibaba Cloud Linux 3.3.2 | aliyun_3_x64_20G_alibase_20220225.vhd | 2022-02-25 |
|
aliyun_3_x64_20G_qboot_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_arm64_20G_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20220225.vhd | 2022-02-25 |
|
2021
バージョン | イメージ ID | リリース日 | リリース内容 |
Alibaba Cloud Linux 3.2 | aliyun_3_x64_20G_qboot_alibase_20211214.vhd | 2021-12-14 |
|
aliyun_3_x64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_arm64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_x64_20G_uefi_alibase_20210910.vhd | 2021-09-10 |
| |
Alibaba Cloud Linux 3.1 | aliyun_3_arm64_20G_alibase_20210709.vhd | 2021-07-09 |
|
aliyun_3_x64_20G_alibase_20210425.vhd | 2021-04-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20210425.vhd | 2021-04-25 |
| |
Alibaba Cloud Linux 3.0 | aliyun_3_x64_20G_alibase_20210415.vhd | 2021-04-15 |
|
関連ドキュメント
詳細については、「Alibaba Cloud Linux 2 イメージのリリースノート」をご参照ください。
詳細については、「サードパーティおよびオープンソースのパブリックイメージリリースノート」をご参照ください。
最新の Alibaba Cloud Linux 3 イメージを使用してインスタンスを作成することができます。