Notas de la versión de Amazon Linux 2023 versión 2022.0.20221101

• Esta versión soluciona un problema de seguridad en openssl. Para obtener más información, consulte ALAS2022-2022-157 en el Centro de seguridad de Amazon Linux.

• Comenzando con Versión 2022.0.20220728 de AL2023, SELinux pasó del modo aplicación a uno permisivo predeterminado. Puede cambiar la configuración de SELinux al modo aplicación ejecutando el comando setenforce en la línea de comandos.

• El paquete pcre anterior está en desuso y se eliminará en la próxima versión de Amazon Linux. El paquete pcre2 es el sucesor y los pocos paquetes restantes de Amazon Linux 2022 que dependen de la biblioteca pcre obsoleta migrarán a pcre2 en futuras actualizaciones.

Problemas conocidos

• Amazon Linux 2022 presenta un problema conocido por el que no se utilizan los servidores NTP definidos por el cliente a través de DHCP.

  Solución alternativa: configure los servidores NTP con un archivo de configuración en /etc/chrony.d

• Actualmente, no se admite la habilitación del modo FIPS y, en las próximas versiones, habrá cambios en el funcionamiento de los sistemas habilitados en modo FIPS.

• La instalación de collected-java falla porque el paquete Amazon Corretto no notifica que proporciona libjvm.so. Una vez actualizado el paquete Amazon Corretto, se espera que la instalación de collectd-java funcione.

  Solución alternativa: realice la instalación manualmente con rpm —nodeps -i collectd-java-5.12.0-16.amzn2022.0.1.x86_64.rpm.

Actualizaciones de seguridad

• Para obtener información sobre los CVE abordados en esta versión, consulte el Centro de seguridad de Amazon Linux.

• Kernel se actualizó de la versión 5.10 a la versión 5.15

• OpenSSL se actualizó de la versión 1.1 a la versión 3.0

• AWS CLI se actualizó a la v2 de AWS CLI

• Las herramientas de AWS que se encuentran en Amazon Linux 2, se han añadido a los repositorios como ecs-agent, aws-cfn-bootstrap, aws-kinesis-agent, ec2-instance-connect y otras herramientas.

• rsyslog ya no se instala de forma predeterminada y, por lo tanto, system-journald es la forma en que syslog funciona, con journalctl como cliente que puede ver los registros.

• El curl predeterminado es parte del paquete curl-minimal, que admite los protocolos más populares. Si es necesario, puede cambiar a la versión curl con todas las características ejecutando dnf install --allowerasing curl-full libcurl-full

• La opción predeterminada gnupg es mínima, tiene una funcionalidad limitada, pero tiene el código mínimo necesario para verificar los RPM mediante GPG e incluye un número mínimo de paquetes en las AMI y en las imágenes de contenedor. Si necesita una funcionalidad gnupg completa, puede obtenerla el máximo gnupg ejecutando dnf install --allowerasing gnupg2-full

• Selección de paquetes: como parte del ciclo de desarrollo, hemos seleccionado la lista de paquetes disponibles en los repositorios. Esto implicó eliminar una serie de paquetes que ya no eran necesarios debido a las dependencias. Es posible que algunos paquetes se vuelvan a añadir al repositorio a medida que nos ocupemos de las solicitudes de los clientes.

• Se actualizaron los tiempos de ejecución de los idiomas y algunos tiempos de ejecución, como Ruby, estaban espaciados por nombres, lo que permitía añadir versiones más recientes en el futuro sin eliminar las actuales de los repositorios.

• El ecosistema Java ahora se basa en Amazon Corretto 17 en lugar de en OpenJDK 11. Las herramientas de compilación de Java se han vuelto a crear para adaptarlas a versiones más recientes y se ejecutan con Amazon Corretto.

Kernel CONFIG_HZ cambió de 250 a 100 tanto en arm64 como en x86.

La configuración del kernel se ha optimizado para el uso de la memoria y se ha reforzado aún más al deshabilitar algunas características que no se utilizan en Amazon EC2. Los cambios más notables incluyen:

• Establecer NR_CPUS=512 partir de 8192

• Eliminar varios sistemas de archivos antiguos y usar únicamente ext4

• Eliminar algunos adaptadores físicos que no se utilizan en Amazon EC2

• Eliminar varios protocolos de red antiguos o que no se utilizan

• Eliminar el soporte para CDROM

• Eliminar el soporte para PS2

• Eliminar los “medios” y el soporte v4l2

• Eliminar las versiones anteriores de la API NFS / CIFS, excepto nfsv3

• Activar algunas opciones de seguridad de bajo rendimiento

• Preparar PANIC_ON_OOPS para todos los bloqueos

• Habilitar el módulo TCMU CONFIG_TCM_USER2

• Eliminar las plataformas arm64 no utilizadas

• Habilitar: . CONFIG_KEXEC_SIG

• Deshabilitar CONFIG_SCHED_CORE and CONFIG_SCHED_SMT en arm64

• Deshabilitar: . CONFIG_LDISC_AUTOLOAD

• Habilitar la compatibilidad de CAKE qdisc con CONFIG_NET_SCH_CAKE

• Actualizar el cliente Lustre a 2.12.8

• Deshabilitar: . CONFIG_KSM

  ‐ CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT

  ‐ CONFIG_GCC_PLUGIN_STACKLEAK

  ‐ CONFIG_INIT_ON_ALLOC_DEFAULT_ON

  ‐ CONFIG_ZERO_CALL_USED_REGS

  ‐ CONFIG_KFENCE