Alibaba Cloud Linux 3镜像发布记录

阿里云定期发布Alibaba Cloud Linux 3镜像的更新版本,以确保用户可以获取到最新的操作系统特性、功能和安全补丁。您可以通过本文查看Alibaba Cloud Linux 3镜像最新的可用版本及更新内容。

背景信息

  • 如无特殊声明,更新内容适用于云服务器ECS所有可用地域。

  • Alibaba Cloud Linux 3镜像适用于大多数实例规格族,但存在一部分镜像仅适用于部分实例规格族。这些实例规格族只能选用指定的公共镜像,详情如下:

    • SCC镜像(镜像ID携带_scc_)仅适用的实例规格族:sccg7、sccc7

    • ARM镜像(镜像ID携带_arm64_)适用于阿里云上全系ARM实例

2024年

Alibaba Cloud Linux 3.2104 U10.1

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U10.1

aliyun_3_x64_20G_alibase_20241103.vhd

2024-11-03

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.3.al8

  • 内容更新:详见内容更新

aliyun_3_x64_20G_dengbao_alibase_20241103.vhd

2024-11-03

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.3.al8

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_alibase_20241103.vhd

2024-11-03

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 AMR版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.3.al8

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_dengbao_alibase_20241103.vhd

2024-11-03

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.3.al8

  • 内容更新:详见内容更新

内容更新

安全更新

软件包名称

CVE编号

版本

buildah

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

buildah-1.33.8-4.al8

containernetworking-plugins

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

containernetworking-plugins-1.4.0-5.0.1.al8

containers-common

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

containers-common-1-82.0.1.al8

podman

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

podman-4.9.4-12.0.1.al8

python-podman

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

python-podman-4.9.0-2.al8

runc

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

runc-1.1.12-4.0.1.al8

skopeo

CVE-2023-45290

CVE-2024-1394

CVE-2024-3727

CVE-2024-6104

CVE-2024-24783

CVE-2024-24784

CVE-2024-24789

CVE-2024-37298

skopeo-1.14.5-3.0.1.al8

httpd

CVE-2023-27522

httpd-2.4.37-65.0.1.al8.2

git-lfs

CVE-2023-45288

CVE-2023-45289

CVE-2023-45290

CVE-2024-24783

git-lfs-3.4.1-2.0.1.al8

bind

CVE-2024-1975

CVE-2024-1737

bind-9.11.36-16.0.1.al8

python-setuptools

CVE-2024-6345

python-setuptools-39.2.0-8.al8.1

less

CVE-2022-48624

CVE-2024-32487

less-530-3.0.1.al8

java-17-openjdk

CVE-2024-21131

CVE-2024-21138

CVE-2024-21140

CVE-2024-21144

CVE-2024-21145

CVE-2024-21147

java-17-openjdk-17.0.12.0.7-2.0.2.1.al8

java-11-openjdk

CVE-2024-21131

CVE-2024-21138

CVE-2024-21140

CVE-2024-21144

CVE-2024-21145

CVE-2024-21147

java-11-openjdk-11.0.24.0.8-3.0.2.1.al8

postgresql

CVE-2024-7348

postgresql-13.16-1.0.1.al8

flatpak

CVE-2024-42472

flatpak-1.12.9-3.al8

bubblewrap

CVE-2024-42472

bubblewrap-0.4.0-2.2.al8

java-1.8.0-openjdk

CVE-2024-21131

CVE-2024-21138

CVE-2024-21140

CVE-2024-21144

CVE-2024-21145

CVE-2024-21147

java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8

fence-agents

CVE-2024-6345

fence-agents-4.10.0-62.0.2.al8.4

pcp

CVE-2024-45769

CVE-2024-45770

pcp-5.3.7-22.0.1.al8

delve

CVE-2024-24791

CVE-2024-34155

CVE-2024-34156

CVE-2024-34158

delve-1.21.2-4.0.1.al8

golang

CVE-2024-24791

CVE-2024-34155

CVE-2024-34156

CVE-2024-34158

golang-1.21.13-2.0.1.al8

go-toolset

CVE-2024-24791

CVE-2024-34155

CVE-2024-34156

CVE-2024-34158

go-toolset-1.21.13-1.al8

edk2

CVE-2023-45236

CVE-2023-45237

CVE-2024-1298

edk2-20220126gitbb1bba3d77-13.0.1.al8.2

curl

CVE-2024-2398

curl-7.61.1-35.0.2.al8

libvpx

CVE-2023-6349

CVE-2024-5197

libvpx-1.7.0-11.0.1.al8

resource-agents

CVE-2024-37891

CVE-2024-6345

resource-agents-4.9.0-54.al8.4

389-ds-base

CVE-2024-5953

389-ds-base-1.4.3.39-8.0.1.al8

python-urllib3

CVE-2024-37891

python-urllib3-1.24.2-8.al8

pcs

CVE-2024-41123

CVE-2024-41946

CVE-2024-43398

pcs-0.10.18-2.0.1.1.al8.2

grafana

CVE-2024-24788

CVE-2024-24789

CVE-2024-24790

grafana-9.2.10-17.0.1.al8

libuv

CVE-2024-24806

libuv-1.42.0-2.al8

c-ares

CVE-2024-25629

c-ares-1.13.0-11.al8

xmlrpc-c

CVE-2023-52425

xmlrpc-c-1.51.0-9.0.1.al8

yajl

CVE-2022-24795

CVE-2023-33460

yajl-2.1.0-13.0.1.al8

wpa_supplicant

CVE-2023-52160

wpa_supplicant-2.10-2.al8

cups

CVE-2024-35235

cups-2.2.6-60.0.1.al8

linux-firmware

CVE-2023-31346

linux-firmware-20240610-122.git90df68d2.al8

wget

CVE-2024-38428

wget-1.19.5-12.0.1.al8

poppler

CVE-2024-6239

poppler-20.11.0-12.0.1.al8

krb5

CVE-2024-37370

CVE-2024-37371

krb5-1.18.2-29.0.1.al8

git-lfs

CVE-2024-34156

git-lfs-3.4.1-3.0.1.al8

libreoffice

CVE-2024-3044

CVE-2024-6472

libreoffice-7.1.8.1-12.0.2.1.al8.1

orc

CVE-2024-40897

orc-0.4.28-4.al8

jose

CVE-2023-50967

CVE-2024-28176

jose-10-2.3.al8.3

openssh

CVE-2020-15778

CVE-2023-48795

CVE-2023-51385

openssh-8.0p1-25.0.1.1.al8

libnbd

CVE-2024-3446

CVE-2024-7383

CVE-2024-7409

libnbd-1.6.0-6.0.1.al8

qemu-kvm

CVE-2024-3446

CVE-2024-7383

CVE-2024-7409

qemu-kvm-6.2.0-53.0.1.al8

libvirt

CVE-2024-3446

CVE-2024-7383

CVE-2024-7409

libvirt-8.0.0-23.2.0.2.al8

osbuild-composer

CVE-2024-34156

osbuild-composer-101-2.0.1.al8

libreswan

CVE-2024-3652

libreswan-4.12-2.0.2.al8.4

mod_auth_openidc

CVE-2024-24814

mod_auth_openidc-2.4.9.4-6.al8

podman

CVE-2023-45290

CVE-2024-24783

CVE-2024-24784

CVE-2024-24788

CVE-2024-24791

podman-4.9.4-13.0.1.al8

ghostscript

CVE-2024-29510

CVE-2024-33869

CVE-2024-33870

ghostscript-9.54.0-18.al8

emacs

CVE-2024-39331

emacs-27.2-9.0.3.al8

dovecot

CVE-2024-23184

CVE-2024-23185

dovecot-2.3.16-5.0.1.al8

expat

CVE-2024-45490

CVE-2024-45491

CVE-2024-45492

expat-2.2.5-13.0.1.al8

glib2

CVE-2024-34397

glib2-2.68.4-14.0.2.al8

python-idna

CVE-2024-3651

python-idna-2.5-7.al8

openldap

CVE-2023-2953

openldap-2.4.46-19.al8

python-pillow

CVE-2024-28219

python-pillow-5.1.1-21.al8

nghttp2

CVE-2024-28182

nghttp2-1.33.0-6.0.1.al8.1

python-jinja2

CVE-2024-34064

python-jinja2-2.10.1-3.0.3.al8

opencryptoki

CVE-2024-0914

opencryptoki-3.22.0-3.al8

gdk-pixbuf2

CVE-2021-44648

CVE-2021-46829

CVE-2022-48622

gdk-pixbuf2-2.42.6-4.0.1.al8

rear

CVE-2024-23301

rear-2.6-13.0.1.al8

grub2

CVE-2023-4692

CVE-2023-4693

CVE-2024-1048

grub2-2.02-150.0.2.al8

nss

CVE-2023-5388

CVE-2023-6135

nss-3.101.0-7.0.1.al8

gnutls

CVE-2024-0553

CVE-2024-28834

gnutls-3.6.16-8.0.1.al8.3

python3

CVE-2024-4032

CVE-2024-6232

CVE-2024-6923

python3-3.6.8-67.0.1.2.al8

grafana

CVE-2024-24791

grafana-9.2.10-18.0.1.al8

cups-filters

CVE-2024-47076

CVE-2024-47175

CVE-2024-47176

CVE-2024-47850

cups-filters-1.20.0-35.0.1.al8

linux-firmware

CVE-2023-20584

CVE-2023-31315

CVE-2023-31356

linux-firmware-20240827-124.git3cff7109.al8

golang

CVE-2024-9355

golang-1.21.13-3.0.1.al8

openssl

CVE-2024-5535

openssl-1.1.1k-14.0.1.al8

nano

CVE-2024-5742

nano-2.9.8-2.0.1.al8

runc

CVE-2023-45290

CVE-2024-34155

CVE-2024-34156

CVE-2024-34158

runc-1.1.12-5.0.1.al8

OpenIPMI

CVE-2024-42934

OpenIPMI-2.0.32-5.0.1.al8

软件包更新

新增特性

  • 新增libyang2组件,提供smartnat产品的公网和跨域VIP的网络访问能力。

  • keentunedkeentune-target更新到3.1.1的版本。

    • 新增了修改网卡队列数的调优项。

    • 新增了修改优先级控制的调优项。

    • 移除file-maxscheduler调优项。

    • 移除不安全命令的执行操作。

  • 新增keentuned的四个API组件:keentune-benchkeentune-brainkeentune-uikeenopt

  • tcprt更新到1.1.0版本,增强tcp的监控能力。

  • Node.js更新到20.16,给ACR制品中心提供20版本的基线能力。

  • erofs-utils升级到1.8.2,修复了一些问题,提供更优的EROFS。

重要更新

内核

内核升级到5.10.134-17.3.al8版本。

  • 龙蜥自研特性

    • SMC

      • 引入AutoSplit特性,优化大包传输时延。

      • 允许SMC Link Group中的连接独占RDMA QP。

      • 引入共享内存水位控制。

      • 引入SMC层数据dump

    • swiotlb

      引入swiotlb=any cmdline用于支持在整片内存空间中预留swiotlb

  • 社区特性

    • 回合SMC Limited Handshake相关sysctl

    • 回合SMC LGR与net namespace维度共享内存使用统计。

  • TDX

    • 引入TDX Guest RTMR更新接口,您可以添加自定义度量值以进行远程证明。

    • 引入ECDSA算法模块。

修复问题

  • 通过util-linux-2.32.1-46.0.3.al8修复了搜索集群pci设备多导致lscpu耗时长的问题。

  • 通过tzdata-2024a-1.0.1.6.al8修复迁移过程中某些时区文件不存在的问题。

  • 修复SMC模块中的除零错误,内存泄漏等问题。

  • 修复多个安全软件共存时,ftrace子系统缺陷可能导致系统宕机的问题。

  • 修复在使用uprobe时可能导致的内存越界问题。

Alibaba Cloud Linux 3.2104 U10

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U10

aliyun_3_x64_20G_alibase_20240819.vhd

2024-08-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.2.al8

  • 内容更新:详见内容更新

aliyun_3_x64_20G_dengbao_alibase_20240819.vhd

2024-08-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.2.al8

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_alibase_20240819.vhd

2024-08-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 AMR版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.2.al8

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_dengbao_alibase_20240819.vhd

2024-08-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-17.2.al8

  • 内容更新:详见内容更新

内容更新

安全更新

软件包名称

CVE编号

版本

adwaita-qt

  • CVE-2023-32573

  • CVE-2023-33285

  • CVE-2023-34410

  • CVE-2023-37369

  • CVE-2023-38197

1.4.2-1.al8

apr

CVE-2022-24963

1.7.0-12.al8

avahi

  • CVE-2021-3468

  • CVE-2023-1981

  • CVE-2023-38469

  • CVE-2023-38470

  • CVE-2023-38471

  • CVE-2023-38472

  • CVE-2023-38473

0.7-21.0.1.al8.1

bind

  • CVE-2023-4408

  • CVE-2023-50387

  • CVE-2023-50868

9.11.36-14.0.1.al8

c-ares

  • CVE-2020-22217

  • CVE-2023-31130

1.13.0-9.al8.1

cockpit

CVE-2024-2947

310.4-1.al8

cups

  • CVE-2023-32324

  • CVE-2023-34241

2.2.6-54.0.1.al8

cups-filters

CVE-2023-24805

1.20.0-32.0.1.al8

curl

CVE-2023-38546

7.61.1-34.0.1.al8

device-mapper-multipath

CVE-2022-41973

0.8.4-39.0.2.al8

dhcp

  • CVE-2023-4408

  • CVE-2023-50387

  • CVE-2023-50868

4.3.6-50.0.1.al8

dnsmasq

  • CVE-2023-50387

  • CVE-2023-50868

2.79-32.0.1.al8

edk2

  • CVE-2022-36763

  • CVE-2022-36764

  • CVE-2022-36765

  • CVE-2023-3446

  • CVE-2023-45229

  • CVE-2023-45230

  • CVE-2023-45231

  • CVE-2023-45232

  • CVE-2023-45233

  • CVE-2023-45234

  • CVE-2023-45235

20220126gitbb1bba3d77-13.0.1.al8

expat

CVE-2023-52425

2.2.5-13.al8

evolution-mapi

  • CVE-2022-1615

  • CVE-2022-2127

  • CVE-2023-34966

  • CVE-2023-34967

  • CVE-2023-34968

3.40.1-6.al8

flatpak

  • CVE-2023-28100

  • CVE-2023-28101

  • CVE-2024-32462

1.12.9-1.al8

frr

  • CVE-2023-31490

  • CVE-2023-41358

  • CVE-2023-41909

  • CVE-2023-46752

  • CVE-2023-46753

7.5.1-16.0.4.al8

fwupd

CVE-2022-3287

1.7.8-2.0.1.al8

ghostscript

CVE-2024-33871

9.54.0-16.al8

git

  • CVE-2024-32002

  • CVE-2024-32004

  • CVE-2024-32020

  • CVE-2024-32021

  • CVE-2024-32465

2.43.5-1.0.1.al8

glib2

  • CVE-2023-29499

  • CVE-2023-32611

  • CVE-2023-32665

2.68.4-11.al8

gmp

CVE-2021-43618

6.2.0-13.0.1.al8

gnutls

CVE-2023-5981

3.6.16-8.0.2.al8

grafana

  • CVE-2024-1313

  • CVE-2024-1394

9.2.10-16.0.1.al8

grafana-pcp

CVE-2024-1394

5.1.1-2.0.1.al8

gstreamer1-plugins-bad-free

  • CVE-2023-40474

  • CVE-2023-40475

  • CVE-2023-40476

  • CVE-2023-50186

1.22.1-4.0.1.al8

gstreamer1-plugins-base

CVE-2023-37328

1.22.1-2.0.1.al8

gstreamer1-plugins-good

CVE-2023-37327

1.16.1-4.al8

harfbuzz

CVE-2023-25193

2.7.4-10.0.1.al8

httpd

  • CVE-2023-31122

  • CVE-2023-45802

  • CVE-2024-27316

2.4.37-64.0.1.al8

mod_http2

  • CVE-2023-31122

  • CVE-2023-45802

  • CVE-2024-27316

1.15.7-10.al8

java-1.8.0-openjdk

  • CVE-2024-20918

  • CVE-2024-20919

  • CVE-2024-20921

  • CVE-2024-20926

  • CVE-2024-20945

  • CVE-2024-20952

  • CVE-2024-21011

  • CVE-2024-21068

  • CVE-2024-21085

  • CVE-2024-21094

1.8.0.412.b08-2.0.1.1.al8

java-11-openjdk

  • CVE-2024-20918

  • CVE-2024-20919

  • CVE-2024-20921

  • CVE-2024-20926

  • CVE-2024-20945

  • CVE-2024-20952

  • CVE-2024-21011

  • CVE-2024-21012

  • CVE-2024-21068

  • CVE-2024-21085

  • CVE-2024-21094

11.0.23.0.9-3.0.1.1.al8

libfastjson

CVE-2020-12762

0.99.9-5.al8

libjpeg-turbo

CVE-2021-29390

2.0.90-7.0.1.al8

liblouis

  • CVE-2023-26767

  • CVE-2023-26768

  • CVE-2023-26769

3.16.1-5.al8

libmicrohttpd

CVE-2023-27371

0.9.59-3.al8

libpq

CVE-2022-41862

13.11-1.0.1.al8

librabbitmq

CVE-2023-35789

0.11.0-7.0.1.al8

libreoffice

  • CVE-2022-26305

  • CVE-2022-26306

  • CVE-2022-26307

  • CVE-2022-3140

  • CVE-2022-38745

  • CVE-2023-0950

  • CVE-2023-1183

  • CVE-2023-2255

  • CVE-2023-6185

  • CVE-2023-6186

7.1.8.1-12.0.1.1.al8.1

libreswan

  • CVE-2023-2295

  • CVE-2023-30570

  • CVE-2023-38710

  • CVE-2023-38711

  • CVE-2023-38712

4.12-2.0.2.al8

libsndfile

CVE-2022-33065

1.0.28-13.0.2.al8

libssh

  • CVE-2023-48795

  • CVE-2023-6004

  • CVE-2023-6918

0.9.6-12.al8

libtiff

  • CVE-2022-2056

  • CVE-2022-2057

  • CVE-2022-2058

  • CVE-2022-2519

  • CVE-2022-2520

  • CVE-2022-2521

  • CVE-2022-2867

  • CVE-2022-2868

  • CVE-2022-2953

  • CVE-2022-3627

  • CVE-2022-3970

  • CVE-2022-48281

  • CVE-2023-0795

  • CVE-2023-0796

  • CVE-2023-0797

  • CVE-2023-0798

  • CVE-2023-0799

  • CVE-2023-0800

  • CVE-2023-0801

  • CVE-2023-0802

  • CVE-2023-0803

  • CVE-2023-0804

  • CVE-2023-26965

  • CVE-2023-26966

  • CVE-2023-2731

  • CVE-2023-3316

  • CVE-2023-3576

  • CVE-2022-40090

  • CVE-2023-3618

  • CVE-2023-40745

  • CVE-2023-41175

  • CVE-2023-6228

4.4.0-12.0.1.al8

libvirt

  • CVE-2021-3750

  • CVE-2023-3019

  • CVE-2023-3301

  • CVE-2023-3255

  • CVE-2023-5088

  • CVE-2023-6683

  • CVE-2023-6693

  • CVE-2024-2494

8.0.0-23.1.0.1.al8

qemu-kvm

  • CVE-2021-3750

  • CVE-2023-3019

  • CVE-2023-3301

  • CVE-2023-3255

  • CVE-2023-5088

  • CVE-2023-6683

  • CVE-2023-6693

  • CVE-2024-2494

6.2.0-49.0.1.al8

libX11

  • CVE-2023-43785

  • CVE-2023-43786

  • CVE-2023-43787

  • CVE-2023-3138

1.7.0-9.al8

libxml2

  • CVE-2023-39615

  • CVE-2024-25062

2.9.7-18.0.3.al8

libXpm

  • CVE-2023-43788

  • CVE-2023-43789

3.5.13-10.0.1.al8

linux-firmware

  • CVE-2022-46329

  • CVE-2023-20569

  • CVE-2023-20592

20240111-121.gitb3132c18.al8

motif

  • CVE-2023-43788

  • CVE-2023-43789

2.3.4-20.al8

openchange

  • CVE-2022-2127

  • CVE-2023-34966

  • CVE-2023-34967

  • CVE-2023-34968

2.3-32.0.1.al8

opensc

  • CVE-2023-40660

  • CVE-2023-40661

  • CVE-2023-5992

  • CVE-2023-2977

0.20.0-7.0.1.al8

openssh

CVE-2023-51385

8.0p1-20.0.1.al8

openssl

  • CVE-2023-3446

  • CVE-2023-3817

  • CVE-2023-5678

1.1.1k-12.0.1.al8

pam

CVE-2024-22365

1.3.1-28.al8

pcp

CVE-2024-3019

5.3.7-20.0.1.al8

perl-HTTP-Tiny

CVE-2023-31486

0.074-2.0.1.al8.1

pixman

CVE-2022-44638

0.40.0-6.al8

pmix

CVE-2023-41915

3.2.3-5.al8

poppler

CVE-2020-36024

20.11.0-10.0.2.al8

postgresql-jdbc

CVE-2024-1597

42.2.14-3.al8

procps-ng

CVE-2023-4016

3.3.15-14.0.1.al8

protobuf-c

CVE-2022-48468

1.3.0-7.al8

python-cryptography

CVE-2023-23931

3.2.1-7.al8

python-dns

CVE-2023-29483

1.15.0-12.al8

python-pillow

  • CVE-2023-50447

  • CVE-2023-44271

5.1.1-20.al8

python-pip

CVE-2007-4559

9.0.3-23.0.1.al8.1

python3

  • CVE-2007-4559

  • CVE-2022-48560

  • CVE-2022-48564

  • CVE-2023-27043

  • CVE-2023-40217

  • CVE-2023-6597

  • CVE-2024-0450

3.6.8-62.0.1.2.al8

qt5-qtbase

  • CVE-2023-33285

  • CVE-2023-34410

  • CVE-2023-37369

  • CVE-2023-38197

  • CVE-2023-51714

  • CVE-2024-25580

5.15.3-5.0.3.al8

qt5-qtsvg

CVE-2023-32573

5.15.3-2.al8

rpm

  • CVE-2021-35937

  • CVE-2021-35938

  • CVE-2021-35939

4.14.3-27.0.5.2.al8

samba

  • CVE-2023-3961

  • CVE-2023-4091

  • CVE-2023-42669

4.18.6-3.0.1.1.al8

shadow-utils

CVE-2023-4641

4.6-19.0.1.al8

shim

  • CVE-2023-40546

  • CVE-2023-40547

  • CVE-2023-40548

  • CVE-2023-40549

  • CVE-2023-40550

  • CVE-2023-40551

15.8-2.0.1.1.al8

sqlite

CVE-2023-7104

3.26.0-19.al8

squashfs-tools

  • CVE-2021-40153

  • CVE-2021-41072

4.3-20.1.0.3.al8

sssd

CVE-2023-3758

2.9.4-3.al8

sudo

  • CVE-2023-28486

  • CVE-2023-28487

  • CVE-2023-42465

1.9.5p2-1.0.1.al8

sysstat

CVE-2023-33204

11.7.3-11.0.1.al8

tang

CVE-2023-1672

7-8.al8

tcpdump

CVE-2021-41043

4.9.3-4.0.1.al8

tigervnc

  • CVE-2023-5380

  • CVE-2023-6816

  • CVE-2024-0229

  • CVE-2024-21885

  • CVE-2024-21886

  • CVE-2024-31080

  • CVE-2024-31081

  • CVE-2024-31083

1.13.1-10.0.1.al8

tpm2-tss

CVE-2023-22745

2.3.2-5.0.2.al8

traceroute

CVE-2023-46316

2.1.0-6.2.0.3.al8

unbound

CVE-2024-1488

1.16.2-7.al8

util-linux

CVE-2024-28085

2.32.1-45.0.1.1.al8.1

webkit2gtk3

  • CVE-2014-1745

  • CVE-2023-32359

  • CVE-2023-39928

  • CVE-2023-40414

  • CVE-2023-41983

  • CVE-2023-42852

  • CVE-2023-42883

  • CVE-2023-42890

  • CVE-2024-23206

  • CVE-2024-23213

2.42.5-1.0.1.al8

wireshark

  • CVE-2023-0666

  • CVE-2023-2856

  • CVE-2023-2858

  • CVE-2023-2952

2.6.2-17.al8

xorg-x11-server

  • CVE-2023-1393

  • CVE-2024-31080

  • CVE-2024-31081

  • CVE-2024-31083

1.20.11-16.0.4.al8

xorg-x11-server-Xwayland

  • CVE-2022-3550

  • CVE-2022-3551

  • CVE-2022-4283

  • CVE-2022-46340

  • CVE-2022-46341

  • CVE-2022-46342

  • CVE-2022-46343

  • CVE-2022-46344

  • CVE-2023-0494

  • CVE-2023-1393

  • CVE-2023-5367

  • CVE-2023-6377

  • CVE-2023-6478

  • CVE-2023-6816

  • CVE-2024-0229

  • CVE-2024-0408

  • CVE-2024-0409

  • CVE-2024-21885

  • CVE-2024-21886

22.1.9-5.al8

yajl

CVE-2023-33460

2.1.0-12.0.1.al8

zziplib

CVE-2020-18770

0.13.71-11.al8

buildah

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

  • CVE-2024-28176

1.33.7-2.al8

cockpit-podman

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

84.1-1.al8

conmon

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

2.1.10-1.al8

container-selinux

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

2.229.0-2.al8

containernetworking-plugins

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

1.4.0-2.0.1.al8

containers-common

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

1-81.0.1.al8

criu

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

3.18-5.0.1.al8

fuse-overlayfs

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

1.13-1.0.1.al8

podman

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

  • CVE-2024-28176

4.9.4-3.0.1.al8

runc

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

1.1.12-1.0.1.al8

slirp4netns

  • CVE-2022-27191

  • CVE-2022-2989

  • CVE-2022-3064

  • CVE-2022-41723

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-25173

  • CVE-2023-25809

  • CVE-2023-27561

  • CVE-2023-28642

  • CVE-2023-29400

  • CVE-2023-29406

  • CVE-2023-3978

  • CVE-2024-21626 CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

1.2.3-1.al8

libslirp

  • CVE-2018-25091

  • CVE-2021-33198

  • CVE-2021-34558

  • CVE-2022-2879

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2023-29409

  • CVE-2023-39318

  • CVE-2023-39319

  • CVE-2023-39321

  • CVE-2023-39322

  • CVE-2023-39326

  • CVE-2023-45287

  • CVE-2023-45803

  • CVE-2023-48795

  • CVE-2024-1753

  • CVE-2024-23650

  • CVE-2024-24786

  • CVE-2024-28180

4.4.0-2.al8

软件包更新

新增特性

  • rdma-core开启erdma特性。

  • rasdaemon支持内存CE错误隔离。

  • nginx使用OpenSSL 3。

  • aliyun-cli升级到3.0.210。

重要更新

内核

内核升级到5.10.134-17.2.al8版本。

新增特性

  • fuse failover支持,提供内核原生的fuse故障恢复能力,保障用户文件访问服务不中断。

  • 支持动态内核抢占特性,回合上游社区的动态内核抢占设计,允许用户通过cmdline或sysfs切换抢占模型:none或voluntary(full模式暂不支持)。

  • perf功能增强支持CMN和DDR PMU的perf metric功能。

  • bpf新特性

    • 新增bpf helper。

      • bpf_for_each_map_elem:遍历bpf map的helper。

      • bpf_snprintf:字符串格式化helper。

      • bpf_timer:定时器,可以在指定时间后触发回调函数。

      • bpf_loop:摆脱常量有限循环的限制,可以自由编写循环。

      • bpf_strncmp:字符串比较的helper。

      • bpf_ktime_get_tai_ns:获取CLOCK_TAI类型的时间。

      • bpf_skb_load_bytes:raw_tp类型支持,可以在raw_tp类型程序中读取skb数据,包括非线性区数据。

    • arm64架构支持包括fentry、fexit、fmod_ret以及bpf_lsm等trampoline相关特性的attach,从而提供更强大的跟踪诊断和安全功能。

    • bpf_trampoline支持与livepatch共存。

  • virtio-net相关特性支持。

    • 支持virtio-net设备统计:实现内核对设备统计数据的获取,提升故障定位和问题诊断能力。

    • 引入队列重置功能:该功能允许调整虚拟机队列的尺寸,从而减少数据包丢失并优化延迟性能。

    • 动态中断调节(netdim):支持根据实时流量智能调整中断聚合参数,优化数据接收性能。

    • 优化virtio校验和:修复了virtio网卡在特定特性控制下进行校验和验证的问题;在使用XDP应用场景时,无需在guest操作系统中重新验证校验和,从而显著减少CPU使用率。

  • erofs按需加载模式支持failover。

  • ext4修复O_DIRECT + O_SYNC语义问题。该问题自iomap框架引入以来一直存在,其原因在于generic_write_sync()是在iomap框架内调用的,而i_disksize的更新则发生在iomap_dio_rw()之后。这导致在追加写入的场景中,文件落盘的长度未能及时更新,因此在异常掉电的情况下,无法读取已写入的数据。

  • XFS文件系统支持延迟inode失效特性。该特性将回收操作转移至后台的kworker进程中执行,从而降低前台应用因删除操作而导致的卡顿现象。

  • fuse相关支持。

    • 支持在cache=none模式下进行共享内存映射(shared mmap)。

    • 支持strict limit特性动态开关。fuse模块会设置strict limit,在特定场景下可能导致回写非常慢甚至发生卡顿,通过引入该sysfs旋钮可以动态解决此类问题。

  • 优化kernfs全局锁的竞争,以降低由于监控程序并发访问所导致的loadD升高的影响。

  • GroupIdentity相关特性。

  • 提供Group Identity2.0细粒度优先级特性。

    • 在SMC-R + eRDMA的应用场景中,支持smc_pnet功能。

    • 优化SMC + eRDMA场景下的可达性检查,修复低概率的内核crash问题。

  • GroupIdentity 2.0 CPU share比例校准。

  • 增加Group Identity 2.0 force idled time指标。

  • Group Identity优化,增强不同优先级任务的负载控制。

  • 提供Group Balancer基础功能。

    • 支持rafsv6模式下传入zero-length iovec。

    • 在rafsv6模式下,允许回收dax mapping,以避免pin住可能带来的OOM和fuse hang等问题。

    • 通过kconfig限制rafsv6仅在安全容器场景使用。

  • SMC相关优化及支持。

  • virtio支持control vq的超时机制,以防止因设备无响应而导致虚拟机CPU持续高负荷轮询。默认超时时间为7天。

  • 新增对OOT模块使用的slab内存进行隔离的特性,以便OOT模块踩内存后问题定界。

  • 新增快速OOM特性避免在多核大内存环境中因内存紧张而导致的长时间机器无响应情况。该特性能够协助业务提升内存部署密度,并提高水位运行时在线业务性能的稳定性。

  • erofs相关支持及优化。

  • xfs支持fsdax reflink和dedupe,并针对Tair PMEM实例进行了针对性优化,包括快照源文件的连续性、脏页回写效率的提升,以及去除reverse map btree 的依赖以优化page fault时延等。

  • 支持cgroup writeback,以修复开启lazytime场景下,memory cgroup长期不释放的问题。该问题可能导致容器化部署环境中memory cgroup数量长时间维持在高位,从而占用内存,并引发遍历cgroup时sys过高等问题。

  • 提供cgroup v2 IO SLI增加blkio cgroup v2的IO SLI,包括wait time,service time,complete time,io queued和bytes queued等。

  • 在极端情况下,支持2 M IO时,每个bio_vec仅包含一个4k页面。因此,在当前5.10内核下,最多仅能支持1 M IO,而额外的处理拆分逻辑在某些场景下可能会影响性能。

  • 修复在设置blk-iocost qos过程中因race导致的ABBA死锁问题。

  • tcmu_loop设备支持参数可配置,包括can_queue、nr_hw_queues、cmd_per_lun、sg_tablesize等。当后端设备的能力足够强大时,适当调高这些参数可以显著提升性能。

镜像更新

  • 操作系统镜像

    • 增加spec_rstack_overflow=off启动参数。

    • 增加kfence.sample_interval=100 kfence.booting_max=0-2G:0,2G-32G:2M,32G-:32M启动参数。

    • 修改net.ipv4.tcp_retries2为8。

    • 修改net.ipv4.tcp_syn_retries为4。

    • 移除经典网络的ntp服务器配置。

  • 容器镜像

    alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.2104U10

修复问题

  • 内核

    • 修复由于smc内核模块中credits_announce_work工作元素错误调度而导致的链表污染问题。

    • 修复perf_cgroup_switch race问题。

    • 修复Group Identity 2.0 Queue other time统计可能为负数的问题。

    • 修复cfs_rq runtime统计问题。

    • 修复cfs_rq->core可能为NULL的问题。

    • 启用声卡相关驱动(CONFIG_SND)。

    • 修复在开启cgroup kmem统计计数时,kfence导致内核宕机的问题。

    • 龙芯架构相关修复。

    • erofs压缩模式稳定性修复。

    • erofs over fscache的稳定性修复。

    • SMC相关稳定性修复。

    • 修复BDI使用STRICTLIMIT特性且BDI份额为0时导致的回写性能下降问题。

    • 修复seccomp内存泄露问题。

    • 修复用户操作可能导致ZERO_PAGE引用计数不正确的问题。

    • 修复TCMU潜在的内存递归回收问题。

    • 修复ioasids子系统迁移内核线程时导致内核crash的问题。

    • 修复在不配置限流规则的情况下IO重复统计问题。

    • 修复Phytium S2500和某些BMC芯片在短时间内频繁通信时,出现非预期的硬件信号hang死的问题。

    • 修复Group Identity和core scheduling同时开启时导致内核panic的问题。

    • 将CFS带宽控制的限流机制由同步模式改为异步模式,以优化在CPU数量较大场景下的带宽控制效率。

    • 修复关闭core sched总开关时潜在的race condition。

    • 修复在中断请求(IRQ)高负载情况下,SIB Idle统计不准确的问题。

    • 回合高版本NVMe over RDMA的修复补丁,以提升系统的稳定性。

    • 修复nvme_reset与nvme_rescan并发执行出现死锁hang住的问题。

    • 修复由PCIe驱动ASPM引发的UAF问题所导致的内核crash。

    • 修复飞腾S5000C在AST2600显卡设备上显示器花屏问题。

    • 修复异步unthrottle引起的warning,避免因该warning引起的调度死锁。

    • CVE-2023-52445

    • CVE-2023-6817

    • CVE-2024-0646

    • CVE-2023-20569

    • CVE-2023-51042

    • CVE-2023-6915

    • CVE-2023-6546

    • CVE-2022-38096

    • CVE-2024-0565

    • CVE-2024-26589

    • CVE-2024-23307

    • CVE-2024-22099

    • CVE-2024-24860

    • CVE-2024-1086

    • CVE-2023-51779

    • CVE-2024-26597

    • CVE-2024-24855

    • CVE-2023-52438

    • CVE-2023-4622

    • CVE-2023-6932

    • CVE-2023-20588

    • CVE-2023-5717

    • CVE-2023-6931

    • CVE-2023-28464

    • CVE-2023-39192

    • CVE-2023-6176

    • CVE-2023-45863

    • CVE-2023-5178

    • CVE-2023-45871

    • CVE-2023-4155

    • CVE-2023-20593

    • CVE-2023-3567

    • CVE-2023-3358

    • CVE-2023-0615

    • CVE-2023-31083

    • CVE-2023-4015

    • CVE-2023-42753

    • CVE-2023-4623

    • CVE-2023-4921

    • CVE-2023-2860

    • CVE-2023-1206

    • CVE-2023-3772

    • CVE-2023-42755

    • CVE-2023-3863

    • CVE-2022-3114

    • CVE-2023-31085

    • CVE-2023-4132

    • CVE-2022-3424

    • CVE-2022-3903

    • CVE-2022-45887

    • CVE-2023-3006

    • CVE-2023-42754

    • CVE-2023-0160

  • 镜像

    • 统一了debuginfo仓库名称,用户现在可以直接使用命令dnf debuginfo-install <软件包名>来安装相应的debuginfo。

    • dnf-makecache服务的活动间隔已从1小时延长至1天,以减少该服务对磁盘和网络的影响。

    • virtio_blk在内核中处于in-tree状态,因此从initramfs中移除了virtio_blk模块的相关配置。

  • 软件包

    修复了dnf-plugin-releasever-adapter可能造成dnf命令无法正常使用的缺陷。

Alibaba Cloud Linux 3.2104 U9.1

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U9.1

aliyun_3_x64_20G_alibase_20240528.vhd

2024-05-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.3.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_alibase_20240528.vhd

2024-05-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.3.al8.aarch64

  • 内容更新:详见内容更新

aliyun_3_x64_20G_dengbao_alibase_20240528.vhd

2024-05-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.3.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_dengbao_alibase_20240528.vhd

2024-05-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.3.al8.aarch64

  • 内容更新:详见内容更新

内容更新

安全更新

软件包名称

CVE编号

软件包版本

kernel

  • CVE-2024-22099

  • CVE-2024-24860

  • CVE-2024-1086

  • CVE-2023-51779

  • CVE-2024-26597

  • CVE-2024-24855

  • CVE-2023-52438

  • CVE-2023-4622

  • CVE-2023-6932

  • CVE-2023-20588

  • CVE-2023-5717

  • CVE-2023-6931

  • CVE-2023-28464

  • CVE-2023-39192

  • CVE-2023-6176

  • CVE-2023-45863

  • CVE-2023-5178

  • CVE-2023-45871

5.10.134-16.3.al8

bind

CVE-2022-3094

9.11.36-11.0.1.al8

buildah

  • CVE-2023-25173

  • CVE-2022-41724

  • CVE-2022-41725

  • CVE-2023-24537

  • CVE-2023-24538

  • CVE-2023-24534

  • CVE-2023-24536

  • CVE-2022-41723

  • CVE-2023-24539

  • CVE-2023-24540

  • CVE-2023-29400

1.31.3-1.al8

dnsmasq

CVE-2023-28450

2.79-31.0.1.al8

edk2-20220126gitbb1bba3d77

CVE-2019-14560

6.0.2.al8

frr

  • CVE-2023-38406

  • CVE-2023-38407

  • CVE-2023-47235

  • CVE-2023-47234

7.5.1-16.0.2.al8

grafana

  • CVE-2023-3128

  • CVE-2023-39325

  • CVE-2023-44487

9.2.10-7.0.1.al8

grafana

CVE-2024-1394

9.2.10-7.0.1.al8

grafana-pcp

5.1.1-1.0.1.al8

gstreamer1-plugins-bad-free

CVE-2023-44429

1.22.1-2.0.1.al8

tigervnc

CVE-2023-44446

1.13.1-2.al8

unbound

  • CVE-2023-50387

  • CVE-2023-50868

1.16.2-6.al8

webkit2gtk3

CVE-2023-42917

2.40.5-1.0.2.al8.1

glibc

CVE-2024-2961

2.32-1.16.al8

python2-setuptools

CVE-2022-40897

39.0.1-13.1.module+al8+9+77049424

软件包更新

软件包名称

发布版本

cloud-init

23.2.2

container-selinux

2.229.0

ethtool

6.6

iproute

6.2.0

iptables

1.8.5

keentuned

2.4.0

keentune-target

2.4.0

rng-tools

6.16

sssd

2.9.1

sudo

1.9.5p2

sysak

2.4.0

重要更新

  • 内核更新

    • 内核升级到5.10.134-16.3.al8。

    • 在SMC-R + eRDMA场景支持smc_pnet功能。

    • 支持基于RDT的动态内存带宽控制技术HWDRC,能够更精确地调控内存带宽、Cache等资源。

    • Group Identity优化,增强不同优先级任务的负载控制。

  • 软件包新增特性

    • aliyun-cli升级到3.0.204,并且现在可以通过yum或dnf命令安装和更新aliyun-cli。

    • cloud-init升级到23.2.2,支持加固模式访问实例元数据。

    • ethtool升级到6.6,支持CMIS协议。

    • sysak升级到2.4.0,优化诊断功能,提供节点监控功能,适配sysom可观测功能在节点侧的支持,修复部分bug。

    • keentune升级到2.4.0。

镜像更新

  • 容器镜像

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9.1

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest

      说明

      新版本发布后,将无法再使用latest获取3.9.1版本的镜像。

  • 虚拟机镜像

    镜像切换到UEFI-Preferred类型,现在支持UEFI+Legacy双启动模式。

修复问题

  • 内核

    • erofs压缩模式稳定性修复。

    • erofs over fscache的稳定性修复。

    • SMC相关稳定性修复。

    • 修复BDI使用STRICTLIMIT特性且BDI份额为0时导致的回写性能下降问题。

    • 修复seccomp内存泄露问题。

    • 修复用户操作可能导致ZERO_PAGE引用计数不正确的问题。

    • 修复TCMU潜在的内存递归回收问题。

    • 修复ioasids子系统迁移内核线程时导致内核crash的问题。

    • 修复在不配置限流规则的情况下IO重复统计问题。

    • 修复Phytium S2500和某些BMC芯片在短时间内频繁通信时,出现非预期的硬件信号Hang死的问题。

    • 修复Group Identity和core scheduling同时使能时导致内核panic的问题。

    • 将CFS带宽控制解除限流从同步改为异步,优化CPU数量较大场景下的带宽控制效率。

    • 修复关闭core sched总开关时潜在的race condition。

    • 修复irq高的场景下sibidle统计不准的问题。

  • 镜像

    修复安装其他版本内核重启后不生效问题。

2023年

Alibaba Cloud Linux 3.2104 U9

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U9

aliyun_3_9_x64_20G_alibase_20231219.vhd

2023-12-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.1.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_9_arm64_20G_alibase_20231219.vhd

2023-12-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.1.al8.aarch64

  • 内容更新:详见内容更新

aliyun_3_9_x64_20G_dengbao_alibase_20231219.vhd

2023-12-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.1.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_9_arm64_20G_dengbao_alibase_20231219.vhd

2023-12-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.1.al8.aarch64

  • 内容更新:详见内容更新

aliyun_3_9_x64_20G_uefi_alibase_20231219.vhd

2023-12-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-16.1.al8.x86_64

  • 内容更新:详见内容更新

内容更新

安全更新

软件包名称

CVE编号

软件包版本

kernel

  • CVE-2022-3108

  • CVE-2022-3114

  • CVE-2022-3424

  • CVE-2022-36280

  • CVE-2022-3903

  • CVE-2022-39188

  • CVE-2022-41850

  • CVE-2022-42432

  • CVE-2022-4379

  • CVE-2022-4382

  • CVE-2022-45887

  • CVE-2023-0045

  • CVE-2023-0160

  • CVE-2023-0458

  • CVE-2023-0459

  • CVE-2023-0615

  • CVE-2023-1078

  • CVE-2023-1206

  • CVE-2023-1382

  • CVE-2023-1670

  • CVE-2023-1829

  • CVE-2023-1855

  • CVE-2023-1859

  • CVE-2023-1989

  • CVE-2023-1990

  • CVE-2023-2002

  • CVE-2023-2006

  • CVE-2023-20569

  • CVE-2023-20593

  • CVE-2023-20928

  • CVE-2023-20938

  • CVE-2023-2124

  • CVE-2023-2156

  • CVE-2023-2162

  • CVE-2023-2177

  • CVE-2023-2194

  • CVE-2023-22995

  • CVE-2023-2483

  • CVE-2023-26607

  • CVE-2023-28327

  • CVE-2023-2860

  • CVE-2023-2985

  • CVE-2023-3006

  • CVE-2023-30772

  • CVE-2023-3090

  • CVE-2023-31083

  • CVE-2023-31084

  • CVE-2023-31085

  • CVE-2023-3111

  • CVE-2023-3117

  • CVE-2023-31248

  • CVE-2023-3161

  • CVE-2023-3212

  • CVE-2023-3220

  • CVE-2023-32269

  • CVE-2023-3268

  • CVE-2023-33288

  • CVE-2023-3358

  • CVE-2023-35001

  • CVE-2023-3567

  • CVE-2023-35788

  • CVE-2023-35823

  • CVE-2023-35824

  • CVE-2023-35825

  • CVE-2023-35828

  • CVE-2023-35829

  • CVE-2023-3609

  • CVE-2023-3610

  • CVE-2023-3611

  • CVE-2023-3772

  • CVE-2023-3773

  • CVE-2023-3776

  • CVE-2023-3812

  • CVE-2023-3863

  • CVE-2023-4004

  • CVE-2023-4015

  • CVE-2023-40283

  • CVE-2023-4128

  • CVE-2023-4132

  • CVE-2023-4147

  • CVE-2023-4155

  • CVE-2023-42753

  • CVE-2023-42754

  • CVE-2023-42755

  • CVE-2023-4563

  • CVE-2023-4623

  • CVE-2023-4921

5.10.134-16.1.al8

java-1.8.0-openjdk

  • CVE-2022-40433

  • CVE-2023-22067

  • CVE-2023-22081

1.8.0.392.b08-4.0.3.al8

java-11-openjdk

CVE-2023-22081

11.0.21.0.9-2.0.3.al8

mariadb

  • CVE-2022-32081

  • CVE-2022-32082

  • CVE-2022-32084

  • CVE-2022-32089

  • CVE-2022-32091

  • CVE-2022-38791

  • CVE-2022-47015

  • CVE-2023-5157

10.5.22-1.0.1.al8

open-vm-tools

  • CVE-2023-34058

  • CVE-2023-34059

12.2.5-3.al8.1

bind

CVE-2023-3341

9.11.36-8.al8.2

dmidecode-doc

CVE-2023-30630

3.3-5.0.2.al8

frr

CVE-2023-38802

7.5.1-8.0.1.al8

ghostscript

  • CVE-2023-28879

  • CVE-2023-38559

  • CVE-2023-4042

  • CVE-2023-43115

9.54.0-14.al8

glibc

CVE-2023-4911

2.32-1.12.al8

grafana

  • CVE-2023-39325

  • CVE-2023-44487

7.5.15-5.0.1

libvpx

  • CVE-2023-44488

  • CVE-2023-5217

1.7.0-10.0.1.al8

linux-firmware

CVE-2023-20593

20230404-117.git2e92a49f.al8

ncurses

CVE-2023-29491

6.1-10.20180224.0.1.al8

nghttp2

CVE-2023-44487

1.33.0-4.0.1.al8.1

  • qemu-kvm

  • seabios

  • CVE-2022-40284

  • CVE-2023-3354

  • 6.2.0-33.0.2.al8

  • 1.16.0-4.al8

tracker-miners

CVE-2023-5557

3.1.2-4.0.1.al8

软件包更新

软件包名称

发布版本

ca-certificates

2023.2.60_v7.0.306

firewalld

0.9.11

java-1.8.0-openjdk

1.8.0.392.b08

java-11-openjdk

11.0.21.0.9

libbpf

0.6.0

lz4

1.9.4

mariadb

10.5.22

nmstate

2.2.15

nspr

4.35.0

nss

3.90.0

open-vm-tools

12.2.5

openscap

1.3.8

scap-security-guide

0.1.69

sos

4.6.0

xz

5.4.4

重要更新

内核

  • 新增特性

    • 支持core scheduling

      回合上游社区的core scheduling安全特性,限制只有受信任的同组进程才能同时运行在同一个物理核的超线程上。该特性与group identity存在不兼容,请勿同时启用。该功能默认关闭,如果要开启,请执行sysctl -w kernel.sched_core=1命令。

    • 在Arm64中支持eBPF trampoline特性

      在Arm64上回合eBPF trampoline特性,以支持bpf struct ops特性。注意,由于Arm64 ftrace相关特性未回合,bpf fentry系列特性仍不可用。

    • 支持mglru特性

      支持了改进内存页回收能力的mglru,能够在大数据场景改善内存回收的速率和准确性,提升e2e性能。

    • 支持batch TLB flushing

      Batch migration特性实现了在内存页面迁移过程中的批量TLB flushing和页面拷贝操作,从而提升内核页面迁移操作的性能。

      该版本基于上游代码对之前内核中原有batch migration特性进行了重构和优化。重构后的主要变化包括:移除cmdline参数batch_migrate,移除/sys/kernel/mm/migrate/batch_migrate_enabled接口,batch migration变为页面迁移时的默认采用的配置。

      增加/sys/kernel/mm/migrate/dma_migration_min_pages接口,默认值为32。该接口仅针对开启DMA page copy特性的场景,当且仅当/sys/kernel/mm/migrate/dma_migrate_enabled开启且migrate pages数目达到 /sys/kernel/mm/migrate/dma_migration_min_pages的设置才会使用DMA page copy特性。

    • 回合cachestat特性

      在内核中引入了cachestat系统调用,通过该系统调用可查看指定文件的详细page cache统计数据。

    • Arm64内核态触发RAS事件增强

      新增在不同场景下遇到RAS问题时的错误恢复能力,例如copy_{from/to}_user、{get/put}_user、Copy On Write (COW) 、pagecache reading等。

    • 支持SMC-D loopback特性(自研)

      引入SMC-D loopback特性,加速本地进程间TCP通信和容器间TCP通信。

    • 支持页表绑核,提供页表跨die的统计(自研)

      页表绑核的能力可以在内存紧张时,将QoS敏感型业务的页表尽力分配到当前NUMA节点,减少了内存访问延迟,实现了更快速、更有效的内存访问。

    • 代码多副本增强(自研)

      通过异步任务的方式对进程启动时代码多副本未生效的情况再做一次尝试。增加内核接口memory.duptext_nodes,用于限制duptext的内存分配节点。

    • kfence增强(自研)

      • Arm64架构新增自研的kfence增强功能,能够灵活动态开关kfence,全量捕获内存污染问题,从而兼顾线上探测和线下调试。

      • 新增捕获到内存问题时立即宕机的特性,以帮助开发者更好地在调试环境中分析问题。通过设置boot cmdline "kfence.fault=panic" echo panic > /sys/module/kfence/parameters/fault打开(该项默认值为report,仅输出日志不宕机)。

    • 提供memcg THP控制接口(自研)

      提供memcg THP控制接口,用于禁止指定memcg的THP的申请。

    • 支持ACPU(Assess CPU)(自研)

      ACPU可统计任务运行时HT对端空闲的时间,并提供per-cgroup统计,可以用于评估任务运行时共享CPU核心的硬件资源竞争情况。

    • 支持HT-aware-quota特性(自研)

      基于cfs带宽控制和core scheduling的算力稳定方案,在混合部署场景下,通过感知ht对端是否空闲来校准quota,使任务在每个调度周期内都能够得到相对稳定的算力,适用于计算密集型任务。

    • 支持group identity 2.0(自研)

      引入cgroup级别的SCHED_IDLE特性,可通过设置目标cgroup的cpu.idle属性来使得该cgroup的调度策略成为SCHED_IDLE。适用于批量管理离线任务。

  • 行为改变

    • 模块签名

      增加对内核模块的签名,以方便开发者识别和拒绝未签名的内核模块。

    • Arm64默认关闭Spectre-BHB与Variant 4漏洞修复

      经过分析,Spectre-BHB和Variant 4漏洞已通过修复Spectre v2安全漏洞、禁用unprivileged eBPF、Site-Isolation技术、禁用SharedArrayBuffer等手段解决,无需额外进行Spectre-BHB与Variant4修复,因此Arm64默认cmdline添加nospectre_bhb ssbd=force-off参数,在保证安全的前提下减少不必要的开销以提升性能。

    • 使能TDX guest相关配置,支持TDX机密虚拟机场景

软件包新增特性

  • 通过软件仓库erofs-utils-1.7.1

    erofs-utils是创建、检查、压缩EROFS的工具,支持LZ4、LZMA、DEFLATE等压缩算法,支持tar转erofs格式。

  • 通过软件仓库提供stress-ng-0.15.00

  • 通过软件仓库提供alibaba-cloud-compiler-13.0.1.4

    Alibaba Cloud Compiler是阿里云打造的C/C++ 编译器,基于Clang/LLVM-13社区开源版本开发,继承开源版本支持的所有选项、参数。另外Alibaba Cloud Compiler在开源版本基础之上,结合阿里云基础设施进行深度优化,提供特有的特性和优化,能让阿里云用户获得体验更好的C/C++编译器。

  • glibc添加支持GB18030-2022编码的补丁

  • dragonwell17更新到17.0.9.0.10.9:JIT compiler 提升inline的性能表现,去除根据绝对调用次数进行inline的判断逻辑

  • dragonwell8更新到8.15.16.372:支持多个coroutine等待同一socket的读写事件,修复了okhttp场景下的bug

  • 通过软件仓库提供plugsched-1.3

    plugsched是调度器热升级的sdk,面向内核调度器开发者,用户可通过安装该工具进行调度器模块的开发。

  • sysak更新到2.2.0:增加应用观测功能,支持MySQL和Java应用的指标观测及诊断;增加容器监控及集群监控相关的监控指标;增加本地监控功能;

  • keentune更新到2.3.0:更新x264/265相关脚本,支持最新ffmpeg;解决XPS、RPS的绑核错误问题;更新profile中eRDMA的默认设置

  • intel qat/dlb/iaa加速器软件链更新:qat驱动bugfix,dlb驱动升级,qat与iaa用户态bugfix,以及新增跨架构加速器用户态DMA内存统一管理方案

  • smc-tools更新:增加smc-ebpf指令,支持基于端口粒度来控制 smc_run 的生效范围,控制模式支持黑白名单模式以及智能调度。

修复问题

  • 修复了由于更新内核时未自动安装kernel-modules-extra、kernel-modules-internal等rpm包导致netfilter相关功能不可用的问题。

  • 修复了由于group identity在cgroup创建/删除时引用计数不正确,导致/proc/sys/kernel/sched_group_identity_enabled接口有时无法关闭的问题。

镜像更新

  • 容器镜像

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest

      说明

      新版本发布后,将无法再使用latest获取3.9版本的镜像。

  • 虚拟机镜像

    • rpmdb默认切换为sqlite格式

    • keentune服务默认安装但不使能

    • nfs-server服务默认不开启

已知问题

  • kdump服务在ecs.g6r.large实例上可能会因为内存大小原因无法正常工作,调整crash参数如0M-2G:0M,2G-128G:256M,128G-:384M可以避免此类问题。

  • nfsv3文件系统下,对文件增加S权限,在特殊情况下,修改文件的拥有者后,属组的S权限丢失。

    该问题的修复补丁为2d8ae8c417("db nfsd: use vfs setgid helper"),但修复需要用到的辅助函数与5.10内核版本的代码变动较大,作为已知问题暂缓修复。

  • 在使用SMC替换TCP后,netperf测试有概率提前退出。

    由于SMC使用固定大小的环形缓冲区,发送过程中可能会遇到缓冲区剩余空间小于send()指定的发送数据量的情况。此时SMC会返回可发送的字节数,一般小于send()中用户指定的发送量。在netperf中这一行为会被判断为异常而退出。上游maintainer强烈建议保持现有设计,以此避免connection stalled的问题,因此该问题不做修复。

Alibaba Cloud Linux 3.2104 U8

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U8

aliyun_3_arm64_20G_alibase_20230731.vhd

2023-07-31

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-15.al8.aarch64

  • 内容更新:详见内容更新

aliyun_3_x64_20G_alibase_20230727.vhd

2023-07-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-15.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_x64_20G_qboot_alibase_20230727.vhd

2023-07-27

  • 新增Alibaba Cloud Linux 3.2104 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20230727.vhd版本制作

  • 内核版本更新至5.10.134-15.al8.x86_64

aliyun_3_x64_20G_uefi_alibase_20230727.vhd

2023-07-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20230727.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

  • 内核版本更新至5.10.134-15.al8.x86_64

aliyun_3_x64_20G_dengbao_alibase_20230727.vhd

2023-07-27

  • 新增Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20230727.vhd版本制作

  • 内核版本更新至5.10.134-15.al8.x86_64

aliyun_3_arm64_20G_dengbao_alibase_20230727.vhd

2023-07-27

  • 新增Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位ARM版基础镜像的aliyun_3_arm64_20G_alibase_20230727.vhd版本制作

  • 内核版本更新至5.10.134-15.al8.aarch64

内容更新

安全更新

软件包名称

CVE编号

软件包版本

ctags

CVE-2022-4515

5.8-23.0.1.al8

gssntlmssp

  • CVE-2023-25563

  • CVE-2023-25564

  • CVE-2023-25565

  • CVE-2023-25566

  • CVE-2023-25567

1.2.0-1.0.1.al8

libtar

  • CVE-2021-33643

  • CVE-2021-33644

  • CVE-2021-33645

  • CVE-2021-33646

1.2.20-17.0.1.al8

device-mapper-multipath

CVE-2022-41973

0.8.4-37.0.1.al8

postgresql-jdbc

CVE-2022-41946

42.2.14-2.al8

freerdp

  • CVE-2022-39282

  • CVE-2022-39283

  • CVE-2022-39316

  • CVE-2022-39317

  • CVE-2022-39318

  • CVE-2022-39319

  • CVE-2022-39320

  • CVE-2022-39347

  • CVE-2022-41877

2.2.0-10.0.1.al8

tigervnc

  • CVE-2022-4283

  • CVE-2022-46340

  • CVE-2022-46341

  • CVE-2022-46342

  • CVE-2022-46343

  • CVE-2022-46344

1.12.0-15.al8

xorg-x11-server

  • CVE-2022-3550

  • CVE-2022-3551

  • CVE-2022-4283

  • CVE-2022-46340

  • CVE-2022-46341

  • CVE-2022-46342

  • CVE-2022-46343

  • CVE-2022-46344

  • CVE-2023-0494

1.20.11-15.0.1.al8

poppler

CVE-2022-38784

20.11.0-6.0.1.al8

wayland

CVE-2021-3782

1.21.0-1.al8

net-snmp

  • CVE-2022-44792

  • CVE-2022-44793

5.8-27.0.1.al8

dhcp

  • CVE-2022-2928

  • CVE-2022-2929

4.3.6-49.0.1.al8

python-mako

CVE-2022-40023

1.0.6-14.al8

curl

CVE-2023-27535

7.61.1-30.0.2.al8.2

  • go-toolset

  • golang

  • CVE-2023-29402

  • CVE-2023-29403

  • CVE-2023-29404

  • CVE-2023-29405

  • 1.19.10-1.al8

  • 1.19.10-1.0.1.al8

dnsmasq

CVE-2023-28450

2.79-27.al8

qt5

CVE-2022-25255

5.15.3-1.0.1.al8

autotrace

CVE-2022-32323

0.31.1-55.al8

bind

CVE-2023-2828

9.11.36-8.al8.1

  • libnbd

  • libtpms

  • libvirt

  • nbdkit

  • qemu-kvm

  • supermin

  • virt-v2v

  • CVE-2021-46790

  • CVE-2022-3165

  • CVE-2022-30784

  • CVE-2022-30786

  • CVE-2022-30788

  • CVE-2022-30789

  • CVE-2023-1018

  • libnbd-1.6.0-5.0.1.al8

  • libtpms-0.9.1-2.20211126git1ff6fe1f43.al8

  • libvirt-8.0.0-20.al8

  • nbdkit-1.24.0-5.al8

  • qemu-kvm-6.2.0-32.0.1.al8

  • supermin-5.2.1-2.0.2.al8

  • virt-v2v-1.42.0-22.al8

mysql

  • CVE-2022-21594

  • CVE-2022-21599

  • CVE-2022-21604

  • CVE-2022-21608

  • CVE-2022-21611

  • CVE-2022-21617

  • CVE-2022-21625

  • CVE-2022-21632

  • CVE-2022-21633

  • CVE-2022-21637

  • CVE-2022-21640

  • CVE-2022-39400

  • CVE-2022-39408

  • CVE-2022-39410

  • CVE-2023-21836

  • CVE-2023-21863

  • CVE-2023-21864

  • CVE-2023-21865

  • CVE-2023-21867

  • CVE-2023-21868

  • CVE-2023-21869

  • CVE-2023-21870

  • CVE-2023-21871

  • CVE-2023-21873

  • CVE-2023-21874

  • CVE-2023-21875

  • CVE-2023-21876

  • CVE-2023-21877

  • CVE-2023-21878

  • CVE-2023-21879

  • CVE-2023-21880

  • CVE-2023-21881

  • CVE-2023-21882

  • CVE-2023-21883

  • CVE-2023-21887

  • CVE-2023-21912

  • CVE-2023-21917

8.0.32-1.0.2.al8

ruby

  • CVE-2021-33621

  • CVE-2023-28755

  • CVE-2023-28756

2.7.8-139.0.1.al8

kernel

  • CVE-2021-33061

  • CVE-2021-3759

  • CVE-2022-3606

  • CVE-2022-36280

  • CVE-2022-3707

  • CVE-2022-39188

  • CVE-2022-4095

  • CVE-2022-41849

  • CVE-2022-42432

  • CVE-2022-4379

  • CVE-2022-4382

  • CVE-2022-4662

  • CVE-2022-4744

  • CVE-2022-47521

  • CVE-2022-47929

  • CVE-2023-0045

  • CVE-2023-0386

  • CVE-2023-0458

  • CVE-2023-0459

  • CVE-2023-0461

  • CVE-2023-0590

  • CVE-2023-0597

  • CVE-2023-1073

  • CVE-2023-1074

  • CVE-2023-1075

  • CVE-2023-1076

  • CVE-2023-1077

  • CVE-2023-1078

  • CVE-2023-1079

  • CVE-2023-1095

  • CVE-2023-1118

  • CVE-2023-1281

  • CVE-2023-1380

  • CVE-2023-1382

  • CVE-2023-1611

  • CVE-2023-1670

  • CVE-2023-1829

  • CVE-2023-1855

  • CVE-2023-1859

  • CVE-2023-1989

  • CVE-2023-1990

  • CVE-2023-2002

  • CVE-2023-20928

  • CVE-2023-20938

  • CVE-2023-2124

  • CVE-2023-2162

  • CVE-2023-2177

  • CVE-2023-2194

  • CVE-2023-2269

  • CVE-2023-22995

  • CVE-2023-23000

  • CVE-2023-23004

  • CVE-2023-2483

  • CVE-2023-25012

  • CVE-2023-26545

  • CVE-2023-26607

  • CVE-2023-28327

  • CVE-2023-28466

  • CVE-2023-2985

  • CVE-2023-30456

  • CVE-2023-30772

  • CVE-2023-3117

  • CVE-2023-31248

  • CVE-2023-31436

  • CVE-2023-3220

  • CVE-2023-32233

  • CVE-2023-32269

  • CVE-2023-3268

  • CVE-2023-33288

  • CVE-2023-35001

  • CVE-2023-35788

  • CVE-2023-35825

5.10.134-15.al8

webkit2gtk3

  • CVE-2023-32435

  • CVE-2023-32439

2.38.5-1.0.1.al8.5

libssh

  • CVE-2023-1667

  • CVE-2023-2283

0.9.6-7.al8

open-vm-tools

CVE-2023-20867

12.1.5-2.al8

grafana

  • CVE-2022-2880

  • CVE-2022-27664

  • CVE-2022-39229

  • CVE-2022-41715

7.5.15-4.0.2.al8

grafana-pcp

CVE-2022-27664

3.2.0-3.0.1.al8

frr

CVE-2022-37032

7.5.1-7.0.1.al8

sqlite

CVE-2020-24736

3.26.0-18.al8

git-lfs

  • CVE-2022-2880

  • CVE-2022-41715

  • CVE-2022-41717

3.2.0-2.0.1.al8

sysstat

CVE-2022-39377

11.7.3-9.0.1.al8

python3

CVE-2023-24329

3.6.8-51.0.1.al8.1

c-ares

CVE-2023-32067

1.13.0-6.al8.2

cups-filters

CVE-2023-24805

1.20.0-29.0.1.al8.2

webkit2gtk3

  • CVE-2023-28204

  • CVE-2023-32373

2.38.5-1.0.1.al8.4

delve

go-toolset

golang

CVE-2023-24540

delve-1.9.1-1.0.1.al8

go-toolset-1.19.9-1.al8

golang-1.19.9-1.0.1.al8

kernel

  • CVE-2022-47929

  • CVE-2023-0386

  • CVE-2023-1075

  • CVE-2023-1380

  • CVE-2023-26545

  • CVE-2023-28466

  • CVE-2023-30456

  • CVE-2023-32233

5.10.134-14.1.al8

git

  • CVE-2023-22490

  • CVE-2023-23946

  • CVE-2023-25652

  • CVE-2023-25815

  • CVE-2023-29007

2.39.3-1.1.al8

apr-util

CVE-2022-25147

1.6.1-6.2.al8.1

webkit2gtk3

CVE-2023-2203

2.38.5-1.0.1.al8.3

edk2

  • CVE-2022-4304

  • CVE-2022-4450

  • CVE-2023-0215

  • CVE-2023-0286

20220126gitbb1bba3d77-4.al8

mingw-expat

CVE-2022-40674

2.4.8-2.al8

软件包更新

软件包名称

发布版本

at

at-3.1.20-12.0.1.al8

audit

audit-3.0.7-2.0.1.al8.2

authselect

authselect-1.2.6-1.al8

bind

bind-9.11.36-8.al8.1

checkpolicy

checkpolicy-2.9-1.2.al8

cloud-utils-growpart

cloud-utils-growpart-0.33-0.0.1.al8

container-selinux

container-selinux-2.189.0-1.al8

coreutils

coreutils-8.30-13.al8

crypto-policies

crypto-policies-20221215-1.gitece0092.al8

cups

cups-2.2.6-51.0.1.al8

dbus

dbus-1.12.8-24.0.1.al8

ding-libs

ding-libs-0.6.1-40.al8

dnf

dnf-4.7.0-16.0.1.al8

dnf-plugins-core

dnf-plugins-core-4.0.21-14.1.al8

dracut

dracut-049-223.git20230119.al8

elfutils

elfutils-0.188-3.0.1.al8

emacs

emacs-27.2-8.0.3.al8.1

expat

expat-2.2.5-11.al8

file

file-5.33-24.al8

freetype

freetype-2.10.4-9.al8

fuse

fuse-2.9.7-16.al8

gmp

gmp-6.2.0-10.0.1.al8

gnupg2

gnupg2-2.2.20-3.al8

graphite2

graphite2-1.3.10-10.2.al8

grub2

grub2-2.02-148.0.1.al8

harfbuzz

harfbuzz-1.7.5-3.2.al8

hwdata

hwdata-0.314-8.16.al8

iproute

iproute-5.18.0-1.al8

iptables

iptables-1.8.4-24.0.1.al8

kernel

kernel-5.10.134-15.al8

kernel-hotfix-13383560-5.10.134-15

kernel-hotfix-13383560-5.10.134-15-1.0-20230724161633.al8

kexec-tools

kexec-tools-2.0.25-5.0.1.al8

kmod

kmod-25-19.0.2.al8

kpatch

kpatch-0.9.7-2.0.1.al8

libarchive

libarchive-3.5.3-4.al8

libffi

libffi-3.1-24.0.1.al8

libteam

libteam-1.31-4.0.1.al8

libuser

libuser-0.62-25.0.1.al8

libxml2

libxml2-2.9.7-16.0.1.al8

linux-firmware

linux-firmware-20230404-114.git2e92a49f.al8

logrotate

logrotate-3.14.0-6.0.1.al8

NetworkManager

NetworkManager-1.40.16-1.0.1.al8

nfs-utils

nfs-utils-2.3.3-59.0.2.al8

nftables

nftables-0.9.3-26.al8

oddjob

oddjob-0.34.7-3.0.1.al8

openssh

openssh-8.0p1-17.0.2.al8

openssl-pkcs11

openssl-pkcs11-0.4.10-3.0.1.al8

pam

pam-1.3.1-25.0.1.al8

pciutils

pciutils-3.7.0-3.0.1.al8

python-linux-procfs

python-linux-procfs-0.7.1-1.al8

python-rpm-generators

python-rpm-generators-5-8.al8

python-slip

python-slip-0.6.4-13.al8

rng-tools

rng-tools-6.15-3.0.1.al8

rpcbind

rpcbind-1.2.5-10.0.1.al8

rpm

rpm-4.14.3-26.0.1.al8

rsyslog

rsyslog-8.2102.0-13.al8

selinux-policy

selinux-policy-3.14.3-117.0.1.al8

setools

setools-4.3.0-3.al8

setup

setup-2.12.2-9.0.1.al8

sg3_utils

sg3_utils-1.44-6.0.1.al8

shared-mime-info

shared-mime-info-2.1-5.0.1.al8

sssd

sssd-2.8.2-2.0.1.al8

tpm2-tss

tpm2-tss-2.3.2-4.0.2.al8

unbound

unbound-1.16.2-5.al8

util-linux

util-linux-2.32.1-42.0.1.al8

virt-what

virt-what-1.25-3.al8

wget

wget-1.19.5-11.0.1.al8

which

which-2.21-18.0.1.al8

xfsprogs

xfsprogs-5.0.0-10.0.6.al8

重要更新

  • 内核更新

    • 社区跟踪

      • devlink支持对subfunction的管理。

        subfunction是一个轻量级的function,subfunction相比于PCIe virtual function更为轻量,不同于virtual function,subfunction并不是一个独立的PCI设备,而是共享其父PCI设备的资源。但subfunction用有所有网卡通信相关的资源,即一般有发送队列、接收队列、完成队列等。一个subfunction在Linux系统中呈现一个完整的网卡设备。本次更新支持了通过devlink来管理网卡上的subfunction,通过和驱动的配合,可以实现在支持subfunction的网卡上创建、销毁、查询subfunction等功能。

      • io_uring支持NVMe passthrough功能。

        在存储设备访问过程中,复杂的存储栈开销对延迟、IOPS产生较大影响,随着存储设备自身速度越快,这种软件栈的开销占比越来越大。对于NVMe磁盘的访问,需要经过filesystem、block layer、nvme driver等多层抽象,才能最终到达目标设备。本次更新回合了社区主线在v5.19新增的io_uring uring_cmd功能,将实际执行的文件操作,通过io_uring传递给内核,该操作不会在io_uring层做解析,而是直接递交给NVMe 驱动层处理,实现了绕过filesystem和block层。此外,为了支撑这一特性,引入 io_uring支持CQE32数据结构,支持创建NVMe字符设备等功能。

      • 支持细粒度的NVMe/SCSI的Persistent Reservation权限控制。

        之前执行Persistent Reservation操作的进程必须具有CAP_SYS_ADMIN 权限,使得某些非特权场景(如容器)无法使用。该特性支持非特权进程(不具有 CAP_SYS_ADMIN 权限),只要拥有块设备的写权限,都可以执行Persistent Reservation操作,扩展了使用场景。

      • 优化大块IO的IOPS限流功能。

        当前5.10内核的IOPS限流能力,在大块IO场景下(如1 M)不能很好地工作,其主要原因为大块IO可能存在拆分,而block throttle的IOPS限流逻辑没能较好地处理。这个现象在buffer IO场景尤为明显,因为buffer IO是先写入page cache,过一段时间后再回写,而这个过程通常会合并成大块IO。社区主线针对这个问题在v5.18有过重构优化。本次更新通过回合社区主线的补丁优化了大块IO的IOPS限流功能,并同步修复了 BPS重复统计的BUG。

      • bpf回合社区lookup_and_delete_elem对hashmap的支持以及bloom filter特性。

        • 之前bpf lookup_and_delete_elem(查找并删除)操作只支持queue和stack类型的map,现在扩展支持hash类型的map。

        • 新增map类型bloom filter,是一个高效的集合查找工具。

      • 支持作为QEMU Arm64的虚拟机Guest OS的CPU和内存热插功能。

        • 支持通过virsh setvcpus命令来热升级Guest OS中的vcpus数量。

        • 通过默认使能CONFIG_MEMORY_HOTPLUG_DEFAULT_ONLINE配置,避免“memhp_default_online_type”处于离线状态。这样通过热插拔插入内存时,可以自动使用该部分内存,避免出现为新插入内存创建对应Page描述符导致内存不足的内存热插拔失败问题。

      • 为所有Intel芯片使能Intel HWP boost。

        HWP IO boost技术可以提升IO性能,但是之前内核只针对部分Skylake平台以及企业服务器打开了该特性,这个patch删除了CPU类型检查,默认为所有CPU打开HWP boost。

      • 回合社区HVO特性。

        HVO是HugeTLB Vmemmap Optimization的简称,可以降低大页内存所对应的vmemmap内存占用。其原理是把一个大页在vmemmap中所有struct page的虚拟地址都映射到同一个物理地址,以此释放struct page所占用的物理内存。

      • 回合memcg lru lock锁优化特性。

        该特性将内核中需要操作全局lru lock大锁的场景优化为操作页所在memcg的锁,这些场景包括页移动、memcg移动和swapin和swapout。该特性可以大幅度降低了全局lru lock引入的竞争。在多个memcg测试的场景,性能提升约50%。

      • Intel TDX guest内核支持

        支持在Intel tdx guest中跑linux内核,为guest提供了内存加密、内存完整性保护、cpu寄存器保护及可信任环境远程验证等功能。

      • EMR平台适配。

        • 为PMU驱动增加EMR的CPU ID,使能EMR平台的PMU能力。

        • 使能IFS Array BIST能力。IFS用于捕捉ECC难以校验出的CPU错误,可以在运行中检查每个core。

    • 自研特性

      • 支持使用内核网络协议栈SMC透明加速TCP的能力。

        SMC是IBM贡献到Linux上游的高性能内核网络协议栈,可以配合各类共享内存操作技术(如RDMA),具备透明加速TCP的能力。ANCK在上游的基础上,修复了大量稳定性问题,支持默认使用SMCv2,支持SMCv2.1协议协商,支持 max_link/max_conn/Alibaba vendor ID特性,优化link连接数量,支持RQ流控、支持RDMA Write With Immediate操作,增加各类诊断信息,支持通过PF_INET协议族使用SMC协议栈,支持通过BPF透明替换等多个关键特性。

      • 增强fuse的缓存一致性模型,并增加统计接口。

        • 在sysfs下增加调试接口,输出打印特定fuse文件系统下所有已经发送给用户态daemon等待处理的请求。

        • 在sysfs下增加数据统计接口,统计输出特定fuse文件系统下各类型请求的数量以及处理耗时。

        • 增强cache (cache=always|auto)模式下的缓存一致性,以适用于依赖强一致性的分布式文件系统后端,例如NFS。

          1. 用户态daemon可以通知fuse client使一个目录下的所有目录项无效 (invalidate all direct dentry)。

          2. 实现CTO(Close-To-Open)缓存一致性模型,包括数据和元数据的 flush-on-close和invalidate-on-open语义。

          3. 增强fuse故障恢复(failover)模式下的缓存一致性模型。

      • EROFS支持直接挂载tar文件,在arm64平台16k/64k页配置下使用4k块大小的EROFS 非压缩镜像。

        • 支持在arm64平台16k/64k页面的配置下,可挂载4k块大小的EROFS非压缩镜像。

        • 支持可以直接把tar文件作为数据源,采用EROFS元数据来挂载和访问tar的数据。

      • 支持跨namespace传递fuse挂载点。

        支持将非特权sidecar容器中的fuse挂载点传播到app容器内,从而提供一种基于fuse 的远端存储在云原生场景下的解决方案。

      • 解决因透明大页THP带来的内存膨胀问题。

        THP在带来性能提升的同时,也可能产生内存膨胀问题。内存膨胀可能引发OOM。例如,一个应用程序实际需要使用2个小页面,即8 KiB内存,但是内核分配了1个透明大页。此时,除去应用程序实际需要的内存(2个小页面),透明大页剩下的内存(510个小页面)大小均为0。最终可能会因RSS内存用量增加而导致OOM。

        THP ZSR就是为了解决内存膨胀问题。在内核回收内存时,该功能会把透明大页拆分为小页面,并将其中的全零页面(zero subpage)回收,从而避免内存的快速膨胀引发OOM。

  • 系统配置更新

    • tcp_max_tw_buckets值修改为5000。

    • 修改vfat文件系统默认挂载的字符集为iso8859-1。

  • 软件包功能更新

    • 默认集成aliyun_cli

    • 默认集成container-selinux

    • 新增anolis-epao-release包,允许Alibaba Cloud Linux 3使用Anolis OS的epao源以安装AI等应用。

修复问题

  • 修复Alibaba Cloud Linux 3 arm64镜像rngd.service启动失败的问题。

  • 回合社区主线cgroup在进程fork失败时产生泄漏的bugfix。

  • 修复overlayfs的权限问题。当所有upperdir与lowerdir处于同一文件系统且访问的文件/目录没有读权限,因之前优化overlayfs性能时存在逻辑判断错误,ovl_override_creds() 没有正确执行,从而实际执行权限没有提升到挂载者的权限,最终导致copy up需要读权限时报权限不足。

  • 回合社区主线多个fuse的bugfix,进一步增强fuse的稳定性。

  • 回合社区ext4开启bigalloc特性下多个bugfix,并极大优化该场景下在线扩容的耗时。

  • 回合社区CONT-PTE/PMD导致的潜在数据一致性问题。

  • 修复AMD机型无法正常使用resctrl的问题。

  • 修复IAX硬件压缩解压缩加速器的稳定性问题。

  • 修复IAX硬件压缩解压缩加速器CRC校验失败的问题。

  • 修复了swapoff-swapon多并发的情况下由于swap_info_struct lock锁使用不当导致的踩内存问题。该问题bugfix已经合入社区。

  • 修复了自研特性zombie memcg reaper在one-shot模式下不生效的问题。

  • 修复倚天710 MPAM内存带宽监控特性潜在的稳定性问题。

镜像更新

  • 容器镜像

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.8

    • alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest

      说明

      新版本发布后,将无法再使用latest获取3.8版本的镜像。

  • 虚拟机镜像

已知问题

由于ANCK 5.10-015将一处调度唤醒的优化同步为上游社区的实现,导致在个别极端场景下性能可能产生回退。该场景仅在负载压力极大的benchmark中出现,对于通常用户场景不会有影响。

Alibaba Cloud Linux 3.2104 U7

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U7

aliyun_3_x64_20G_alibase_20230516.vhd

2023-05-16

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-14.al8.x86_64

  • 内容更新:详见内容更新

aliyun_3_arm64_20G_alibase_20230515.vhd

2023-05-15

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-14.al8.aarch64

  • 内容更新:详见内容更新

内容更新

  • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

  • 支持multi-pcp功能,绕开buddy系统大锁,提升网络收包能力

    multi-pcp支持在per-core中保留order大于0的内存页,避免在分配高order的内存页时通过zone buddy system进行分配,绕开buddy系统大锁,提升网络收包能力。

  • 使能Intel IAA加速器驱动,提升加解压性能

    IAA(In-Memory Analytics Accelerator)是一个结合了基本的数据分析功能,并且提供高吞吐量压缩/解压缩的硬件加速器。驱动代码来源于Intel代码仓库,并针对ANCK内核进行适配以及bugfix。

  • 修复shmem/hugetlb文件系统由于page cache truncate导致的数据静默丢失

    出现故障的shmem和hugetlb页面,会从页缓存中移除,因此对文件中故障页偏移量的后续访问会导致分配一个新的零页,导致数据静默丢失。该特性修复在shmem/tmpfs和hugetlb文件系统中,由于页面故障导致的静默数据丢失问题。

  • 增加coresight ETE驱动和tools/perf工具支持

  • 在ARM 64平台下,KVM模块信号处理机制增强,修复在RAS等场景下带来的宕机问题

    CPU在进入Guest模式之前,如果未处理TIF_NOTIFY_RESUME标志,导致RAS事件频繁触发异常后宕机。因此,在ARM 64平台上支持完整的通用条目基础结构,以正确处理待处理的任务工作。

  • 同步Linux社区CMN/DRW驱动,增加debugfs支持,修复相关缺陷

    在5.10-014版本之前的CMN/DRW驱动与Linux社区偏离,为降低后续维护成本,5.10-014版本同步了Linux社区的CMN/DRW驱动,并兼容了倚天710的CMN700。同时,添加了debugfs支持与修复,在用户态可以查看CMN的拓扑结构。

  • 支持X86内核态Copy On Write触发MCE错误恢复

    如果在内核执行写时复制(COW)触发不可纠正错误,由于没有针对内核消费不可纠正错误的恢复处理程序,将导致系统崩溃。本特性通过向应用程序发送SIGBUS来添加对恢复处理程序的支持,以避免系统崩溃。

  • 支持以perf metric的形式对性能问题进行topdown分析,提升CPU PMU的易用性

    在5.10-014版本之前不支持perf metric的功能,同时不具备topdown性能分析工具。为提升CPU PMU的易用性,方便用户定位CPU性能瓶颈问题,5.10-014版本添加了perf metric功能,同时支持了倚天710、鲲鹏、x86等平台的topdown metric。

  • virtio-net支持uso offloading

    相比于ufo offloading,可提升复杂网络环境下收包性能和转发组件的转发性能。virtio-net自5.10-014 开始支持udp segment offloading(USO)。相比于 udp fragment offloading(UFO),USO可以在网络条件不稳定、incast,突发明显等业务场景中有效减少分片重组造成的丢包率,减少接收侧分片重组的开销。同时,丢包和乱序会造成转发组件的分片重组,导致转发组件工作效率下降,而USO可以有效缓解该问题。

  • 修复在aarch64架构下由于pci_iounmap未实现导致的虚拟地址空间耗尽的问题

    在5.10-014版本之前,由于pci_iounmap未配置CONFIG_GENERIC_IOMAP,导致pci_iounmap函数的实现为空,无法正常释放映射的内存,造成虚拟地址空间耗尽。5.10-014版本修复了此问题,正常实现了pci_iounmap函数。

  • 支持高性能ublk

    ublk是基于io_uring passthrough机制实现的高性能用户态块设备,可应用于分布式存储的agent高效接入。

  • 支持以下阿里云自研技术:

    • 支持整机/memcg粒度的代码段锁定功能

      当内存水位线处于低水位时,会触发内存回收,在内存释放过程中,可能导致核心业务程序的代码段所属内存被回收。随着业务程序的运行,这部分内存又会从磁盘读取,加载到内存,频繁的io操作,导致核心业务响应延迟,造成性能抖动。此功能通过选定需要锁住代码段内存的核心业务程序所在的cgroup,让其不能被回收,可以防止代码段所属内存被频繁换入换出的问题。此外该功能还增加了配额限定,可以按照百分比方式,设定锁定代码段内存的比例大小。

    • 提供page cache使用限制的功能,解决page cache的回收速度慢于生产速度而导致的OOM问题

      对于容器类场景,容器可用内存都是有限的。当pagecache占用内存较多,触发内存回收时,一旦pagecache回收速度慢于业务逐增的内存需求,就容易出现OOM的问题,严重影响业务性能。针对该类问题,ANCK引入该功能,通过限定容器pagecache的使用大小,对超出限定的pagecache进行提前内存回收,以解决内存吃紧,出现OOM的问题。该方案支持cgroup粒度以及全局内pagecache使用限制,此外还支持同步和异步回收两种方法,灵活度高。

    • 支持动态隔离CPU

      CPU隔离可以将不同的CPU核心或CPU集合分配给不同的任务,以避免不同的任务在CPU资源上相互竞争的情况,从而提高整体系统性能和稳定性。CPU隔离技术可以把一部分CPU隔离出来,分配给关键任务使用,非关键任务共享不被隔离的CPU,从而保证关键任务的运行不受影响。然而,系统中的关键任务数量在运行过程中并不固定,隔离过多的CPU会导致CPU资源的浪费,导致资源成本上升。因此需要对CPU资源动态隔离,随时修改CPU隔离范围,以更好地利用CPU资源,节约成本并提升整体业务性能表现。

    • 在cgroup v2上支持CPU Burst和内存最低水位线分级功能

      为推广cgroup v2的使用,需补齐ANCK各种自研技术在cgroup v2版本上的接口,包括CPU Burst和内存最低水位线分级功能。

    • xdp socket支持为queue分配虚拟内存,避免内存碎片化导致的xdp socket分配失败问题

      默认情况下xdp socket使用__get_free_pages() 分配连续的物理内存使用。如果机器内存碎片化较为严重,很容易出现申请失败的情况,导致xdp socket创建失败。该特性使用vmalloc()分配内存,减少了xdp socket创建失败的可能性。

Alibaba Cloud Linux 3.2104 U6.1

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U6.1

aliyun_3_x64_20G_alibase_20230424.vhd

2023-04-24

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-13.1.al8.x86_64

aliyun_3_arm64_20G_alibase_20230424.vhd

2023-04-24

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-13.1.al8.aarch64

aliyun_3_x64_20G_alibase_20230327.vhd

2023-03-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-13.1.al8.x86_64

aliyun_3_arm64_20G_alibase_20230327.vhd

2023-03-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-13.1.al8.aarch64

Alibaba Cloud Linux 3.2104 U6

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2104 U6

aliyun_3_x64_20G_qboot_alibase_20230214.vhd

2023-02-14

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20230110.vhd版本制作

aliyun_3_x64_20G_dengbao_alibase_20230214.vhd

2023-02-14

  • 新增Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20230110.vhd版本制作

  • 内核版本更新至5.10.134-13.1.al8.x86_64uname -r命令回显结果)

aliyun_3_arm64_20G_dengbao_alibase_20230214.vhd

2023-02-14

  • 新增Alibaba Cloud Linux 3.2104 LTS 64位 ARM版 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位ARM版基础镜像的aliyun_3_arm64_20G_alibase_20230110.vhd版本制作

  • 内核版本更新至5.10.134-13.1.al8.aarch64(uname -r命令回显结果)

aliyun_3_x64_20G_uefi_alibase_20230214.vhd

2023-02-14

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20230110.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

aliyun_3_x64_20G_alibase_20230110.vhd

2023-01-10

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 新增Plus debug仓库repo配置

  • 内核更新:

    • 内核版本更新至5.10.134-13.al8.x86_64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

    • 支持用户态/dev/ioasid

      在ANCK 5.10-013以前的版本中,对于直接分配给用户态的设备、VFIO、vDPA等用户态直通框架需要使用自己的逻辑来隔离用户态发起的DMA(这些DMA请求往往不可信)。从ANCK 5.10-013版本开始,引入了/dev/ioasid,提供了统一的接口用于管理I/O页表,简化了VFIO、vDPA的实现。

    • SWIOTLB机制性能优化

      在ANCK 5.10-013以前的版本中,与外设通信使用的swiotlb机制在分配内存时仅使用单个锁。从ANCK 5.10-013版本开始,该锁被拆分为了多个并允许用户配置;当前受益方主要为大规格(如CPU数量大于32)的机密虚拟机(Intel TDX)。对于Redis和MySQL,测试显示此改动最大可以获得8倍的IO性能增幅。

    • virtio-net打开napi.tx优化TCP Small Queue性能

      在3bedc5bca69d ('ck: Revert "virtio_net: enable napi_tx by default"') 中,由于一些特殊场景下的高SI(softirq)导致了性能下降。但是这样导致tcp small queue不能正常工作,所以我们重新打开这个功能。

    • 支持AST2600 PCIe 2D VGA Driver

      在ANCK 5.10-013以前的版本中,不支持ASPEED的AST2600显卡。从ANCK 5.10-013版本开始支持ASPEED的AST2600显卡,并且在外接显示器时能够正常显示画面。

    • 支持动态开启Group Identity特性

      在ANCK 5.10-013版本,group Identity特性增加了全局sysctl开关,默认关闭,用以降低普通进程的调度开销,执行命令 echo 1 > /proc/sys/kernel/sched_group_identity_enabled开启开关。

    • ARM64平台默认内核启动cmdline调整

      从5.10.134-013版本开始,ARM64平台会添加以下参数到boot cmdline中以提升性能。

      cgroup.memory=nokmem iommu.passthrough=1 iommu.strict=0
      • cgroup.memory=nokmem,cgroup.memory使能后会在slab管理的page分配和释放流程上增加额外的处理逻辑,对性能造成影响,关闭该功能可提升性能。详情请参考龙蜥社区

      • iommu.passthrough=1 iommu直通模式,如果不显示指定则以CONFIG_IOMMU_DEFAULT_PASSTHROUGH的配置来控制,可减少页表映射的转换,此参数对物理机有效。

      • iommu.strict=0表示TLB invalidation使用lazy模式,即DMA unmap时,推迟对应TLB的失效动作以提升吞吐量,加快unmap速度,如果IOMMU driver不支持则会自动回退到strict=1的严格模式,即DMA unmap操作的同时使TLB无效。

    • 添加Compact Numa Aware (CNA) spinlock功能支持

      从5.10.134-013版本开始,为qspinlock添加了numa感知功能。可以通过在boot cmdline中添加numa_spinlock=on或者numa_spinlock=auto开启此功能。

      开启此功能后,可以使qspinlock在不同NUMA节点上的CPU竞争spinlock时尽量将锁交给同一NUMA节点的CPU,以减少跨NUMA的次数,从而提高性能。目前在sysbench以及leveldb的适用场景的基准测试中,能获得10%以上的性能提升效果。

    • 丰富ARM 64的perf mem和perf c2c功能

      从5.10.134-013版本开始,丰富了ARM64中的perf mem、perf c2c功能。在ARM64平台,可以通过perf mem/perf c2c显示样本的数据来源,如L1 hit等。perf mem增加综合内存事件支持、综合指令事件支持和指令总延迟信息显示等;perf c2c 增加了节点信息定位等。

    • fsck.xfs支持日志恢复

      当宕机发生后,文件系统可能处于不一致状态,且日志没有恢复。在xfsprogs-5.0.0-10.0.4及以前版本,fsck.xfs不支持日志恢复,可能导致系统重启后进入救援模式,需要系统管理员手动介入。从xfsprogs-5.0.0-10.0.5版本开始支持日志恢复。系统管理员如需启用该能力,需要配置启动参数fsck.mode=force和fsck.repair=yes。注意,目前该能力仅支持对系统盘生效。

    • hugetext自适应按需大页

      从5.10.134-013版本开始,针对代码大页在x86平台下的缺陷(2M iTLB entries数量非常少),引入代码大页自适应处理功能,根据2M区域的PTE扫描热度,按照热点较高整合为大页的原则,控制代码大页的使用。简而言之,该功能主要是控制每个应用的代码大页使用数量,防止iTLB miss负优化。该特性主要针对Java类应用和代码段较大的应用(例如OceanBase,MySQL)。

    • 支持SGX动态内存管理

      在ANCK 5.10以前的版本中,不具备对SGX动态内存管理功能的支持。从ANCK 5.10版本开始,添加了对SGX EDMM功能的支持,因此新版本可以获得SGX动态内存管理的能力。

    • 使能wireguard模块

      在ANCK 5.10-013以前的版本中,wireguard模块未被启用。从ANCK 5.10版本开始,将开启对wireguard模块的配置。WireGuard是一种安全、高效且易用的IPSec替代品,它设计得非常通用且足够抽象,适用于大多数场景,并且很容易配置。

aliyun_3_arm64_20G_alibase_20230110.vhd

2023-01-10

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 新增Plus debug仓库repo配置

  • 内核更新:

    • 内核版本更新至5.10.134-13.al8.aarch64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

2022年

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.5.2

aliyun_3_x64_20G_alibase_20221118.vhd

2022-11-18

更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

aliyun_3_arm64_20G_alibase_20221118.vhd

2022-11-18

更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

aliyun_3_x64_20G_alibase_20221102.vhd

2022-11-02

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-12.2.al8.x86_64

aliyun_3_arm64_20G_alibase_20221102.vhd

2022-11-02

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.134-12.2.al8.aarch64

Alibaba Cloud Linux 3.5

aliyun_3_x64_20G_alibase_20220907.vhd

2022-09-07

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.134-12.al8.x86_64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

    • 支持倚天710处理器

    • 支持磐久M物理机

    • 优化倚天平台上的基础性能

    • ARM 64架构支持MPAM特性

    • 支持datop监控NUMA跨node访问以及进程粒度内存冷热识别

    • ARM 64架构支持crashkernel预留4 GB以上内存

    • ARM 64架构支持对kernel module的hotfix

    • 支持ftrace osnoise tracer

    • 支持ext4 fast commit特性,该特性对于fsync有比较频繁的应用,例如MySQL、PostgreSQL数据库有比较明显的性能优化。相应的e2fsprogs版本更新至 1.46.0

    • 支持以下阿里云自研技术:

      • 填充可执行二进制文件末尾2 M未对齐部分,部分场景性能再提升2%。

      • 支持XFS 16k原子写特性,相比默认打开双写,有至多50%的性能提升,同时显著减少磁盘IO。相应的xfsprogs和mariadb也更新至龙蜥yum repo。相比硬件原子写方案,该方案有以下优点:

        • 基于CoW机制。

        • 不依赖硬件。

        • 无运行时IO链路配置依赖。

        另外,该优化效果可以与代码段大页特性叠加。更多信息,请参见MariaDB 16k 原子写使用手册

      • 支持nydus+erofs over fscache容器镜像加速。该特性由龙蜥社区贡献,于Linux 5.19版本合入到Linux社区主线,并成为Linux社区首个源生支持的容器镜像加速方案。更多信息,请参见龙蜥技术

      • 支持fd passthrough和fd attach增强特性。其中fd passthrough能将常用场景的IO延迟降低到先前的10%;fd attach支持无损恢复fuse挂载点连接,提升生产环境的稳定性

      • kidled支持匿名页、文件页以及slab的扫描

      • 新增memory.use_priority_swap接口,支持按cgroup优先级进行内存swap

      • SMC新增1-RTT、RDMA DIM支持,优化CQ中断处理逻辑,数据路径QPS 提升40%。引入SMC自动化测试能力,修复数十个稳定性问题

aliyun_3_arm64_20G_alibase_20220907.vhd

2022-09-07

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.134-12.al8.aarch64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

    • 支持倚天710处理器

    • 支持磐久M物理机

    • 优化倚天平台上的基础性能

    • ARM 64架构支持MPAM特性

    • 支持datop监控NUMA跨node访问以及进程粒度内存冷热识别

    • ARM 64架构支持crashkernel预留4 GB以上内存

    • ARM 64架构支持对kernel module的hotfix

    • 支持ftrace osnoise tracer

    • 支持ext4 fast commit特性,该特性对于fsync有比较频繁的应用,例如MySQL、PostgreSQL数据库有比较明显的性能优化。相应的e2fsprogs版本更新至 1.46.0

    • 支持以下阿里云自研技术:

      • 填充可执行二进制文件末尾2 M未对齐部分,部分场景性能再提升2%。

      • 支持XFS 16k原子写特性,相比默认打开双写,有至多50%的性能提升,同时显著减少磁盘IO。相应的xfsprogs和mariadb也更新至龙蜥yum repo。相比硬件原子写方案,该方案有以下优点:

        • 基于CoW机制。

        • 不依赖硬件。

        • 无运行时IO链路配置依赖。

        另外,该优化效果可以与代码段大页特性叠加。更多信息,请参见MariaDB 16k 原子写使用手册

      • 支持nydus+erofs over fscache容器镜像加速。该特性由龙蜥社区贡献,于Linux 5.19版本合入到Linux社区主线,并成为Linux社区首个源生支持的容器镜像加速方案。更多信息,请参见龙蜥技术

      • 支持fd passthrough和fd attach增强特性。其中fd passthrough能将常用场景的IO延迟降低到先前的10%;fd attach支持无损恢复fuse挂载点连接,提升生产环境的稳定性

      • kidled支持匿名页、文件页以及slab的扫描

      • 新增memory.use_priority_swap接口,支持按cgroup优先级进行内存swap

      • SMC新增1-RTT、RDMA DIM支持,优化CQ中断处理逻辑,数据路径QPS 提升40%。引入SMC自动化测试能力,修复数十个稳定性问题

aliyun_3_x64_20G_dengbao_alibase_20220914.vhd

2022-09-14

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220907.vhd版本制作

  • 内核版本更新至5.10.134-12.al8.x86_64uname -r命令回显结果)

  • 适用地域:华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华东1(杭州)、华东2(上海)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港

aliyun_3_x64_20G_qboot_alibase_20220907.vhd

2022-09-07

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220907.vhd版本制作

aliyun_3_x64_20G_uefi_alibase_20220907.vhd

2022-09-07

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220907.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

Alibaba Cloud Linux 3.4.2

aliyun_3_arm64_20G_alibase_20220819.vhd

2022-08-19

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.112-11.2.al8.aarch64

aliyun_3_x64_20G_alibase_20220815.vhd

2022-08-15

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.112-11.2.al8.x86_64

Alibaba Cloud Linux 3.4.1

aliyun_3_x64_20G_alibase_20220728.vhd

2022-07-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核版本更新至5.10.112-11.1.al8.x86_64

aliyun_3_arm64_20G_alibase_20220728.vhd

2022-07-28

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核版本更新至5.10.112-11.1.al8.aarch64

Alibaba Cloud Linux 3.4

aliyun_3_2104_x64_20G_dengbao_alibase_20220601.vhd

2022-06-01

  • 新增Alibaba Cloud Linux 3.2104 LTS 64位 等保2.0三级版镜像

  • 该镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,您使用本镜像无需额外配置即可满足以下等保合规要求:

    • 身份鉴别

    • 访问控制

    • 安全审计

    • 入侵防范

    • 恶意代码防范

    更多信息,请参见Alibaba Cloud Linux等保2.0三级版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220527.vhd版本制作

  • 内核版本更新至5.10.112-11.al8.x86_64uname -r命令回显结果)

  • 适用地域:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港

aliyun_3_x64_20G_alibase_20220527.vhd

2022-05-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.112-11.al8.x86_64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

    • 支持以下阿里云自研技术:

      • 内核代码多副本特性

      • 内核代码大页功能增强

      • Kfence增加内存越界、UAF等问题定位能力

    • 支持Hygon CSV2 机密虚拟机特性

    • Guest OS最大支持256 CPU

    • SMC多场景下吞吐、时延性能提升,建联速度提升,多个稳定性、兼容问题修复

    • Intel SPR支持AMX、vAMX、IPI虚拟化、UINTER、Intel_idle、TDX等特性

    • AMD支持ptdma、CPU frequency、k10temp、EDAC等特性

    • 阿里倚天710支持特性:DDR PMU、PCIe PMU驱动支持、CMN-700、RAS

    • 支持coresight特性

    • ARM架构支持ARM SPE perf memory profiling/c2c特性

    • virtiofs支持文件级DAX

    • 支持smmu event polling特性

aliyun_3_x64_20G_qboot_alibase_20220527.vhd

2022-05-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220527.vhd版本制作

aliyun_3_x64_20G_uefi_alibase_20220527.vhd

2022-05-27

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220527.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

aliyun_3_arm64_20G_alibase_20220526.vhd

2022-05-26

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.112-11.al8.aarch64

    • 修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)

    • 支持以下阿里云自研技术:

      • 内核代码多副本特性

      • 内核代码大页功能增强

      • Kfence增加内存越界、UAF等问题定位能力

    • 支持Hygon CSV2机密虚拟机特性

    • Guest OS最大支持256 CPU

    • SMC多场景下吞吐、时延性能提升,建联速度提升,多个稳定性、兼容问题修复

    • Intel SPR支持AMX、vAMX、IPI虚拟化、UINTER、Intel_idle、TDX等特性

    • AMD支持ptdma、CPU frequency、k10temp、EDAC等特性

    • 阿里倚天710支持特性:DDR PMU、PCIe PMU驱动支持、CMN-700、RAS

    • 支持coresight特性

    • ARM架构支持ARM SPE perf memory profiling/c2c特性

    • virtiofs支持文件级DAX

    • 支持smmu event polling特性

Alibaba Cloud Linux 3.3.4

aliyun_3_x64_20G_alibase_20220413.vhd

2022-04-13

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.84-10.4.al8.x86_64

    • 修复重要安全漏洞CVE-2022-1016、CVE-2022-27666

aliyun_3_arm64_20G_alibase_20220413.vhd

2022-04-13

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 内核更新:

    • 版本更新至5.10.84-10.4.al8.aarch64

    • 修复重要安全漏洞CVE-2022-1016、CVE-2022-27666

Alibaba Cloud Linux 3.3.3

aliyun_3_x64_20G_alibase_20220315.vhd

2022-03-15

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本

  • 修复软件包安全漏洞

  • 内核更新:

    • 版本更新至5.10.84-10.3.al8.x86_64

    • 修复CVE-2022-0435、CVE-2022-0847漏洞

aliyun_3_arm64_20G_alibase_20220315.vhd

2022-03-15

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 ARM版基础镜像到最新的软件版本

  • 修复软件包安全漏洞

  • 内核更新:

    • 版本更新至5.10.84-10.3.al8.aarch64

    • 修复CVE-2022-0435、CVE-2022-0847漏洞

Alibaba Cloud Linux 3.3.2

aliyun_3_x64_20G_alibase_20220225.vhd

2022-02-25

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位基础镜像到最新的软件版本,修复软件包安全漏洞

  • RTC(Real Time Clock)时钟使用UTC时间标准。更多信息,请参见Linux时间和时区说明

  • 内核更新:

    • 版本更新至5.10.84-10.2.al8.x86_64

    • 修复CVE-2022-0492、CVE-2021-4197、CVE-2022-0330、CVE-2022-22942、CVE-2022-0185漏洞

    • 支持阿里云自研特性:

      • 内核代码多副本特性

      • 内核代码大页特性

      • RDMA/SMC-R特性

    • Intel SPR支持AMX/RAS/RCEC/Bus lock detect & Ratelimit support/uncore新特性

    • Intel IceLake处理器增加MCA-R特性

    • 使能Intel DSA功能

    • virtio-net支持XDP socket特性

    • 支持内核KTLS商密

    • 支持内存越界、UAF等问题定位工具Kfence

    • 优化内核SM4算法的avx/avx2指令集

    • 支持Hygon CSV vm attestation功能

    • 支持ARM SPE的perf c2c特性

    • 支持i10nm_edac特性

    • unevictable_pid功能移植

    • 支持内存水位线调整

    • 支持IO_Uring:adaptive sqpoll mode

    • 支持huge vmalloc mappings

aliyun_3_x64_20G_qboot_alibase_20220225.vhd

2022-02-25

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220225.vhd版本制作

  • RTC(Real Time Clock)时钟使用UTC时间标准。更多信息,请参见Linux时间和时区说明

aliyun_3_x64_20G_scc_alibase_20220225.vhd

2022-02-25

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 SCC版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220225.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

  • RTC(Real Time Clock)时钟使用UTC时间标准。更多信息,请参见Linux时间和时区说明

aliyun_3_arm64_20G_alibase_20220225.vhd

2022-02-25

  • RTC(Real Time Clock)时钟使用UTC时间标准。更多信息,请参见Linux时间和时区说明

  • 内核更新:

    • 版本更新至5.10.84-10.2.al8.aarch64

    • 修复CVE-2022-0492、CVE-2021-4197、CVE-2022-0330、CVE-2022-22942、CVE-2022-0185漏洞

    • 支持阿里云自研特性:

      • 内核代码多副本特性

      • 内核代码大页特性

      • RDMA/SMC-R特性

    • Intel SPR支持AMX/RAS/RCEC/Bus lock detect & Ratelimit support/uncore新特性

    • Intel IceLake处理器增加MCA-R特性

    • 使能Intel DSA功能

    • virtio-net支持XDP socket特性

    • 支持内核KTLS商密

    • 支持内存越界、UAF等问题定位工具Kfence

    • 优化内核SM4算法的avx/avx2指令集

    • 支持Hygon CSV vm attestation功能

    • 支持ARM SPE的perf c2c特性

    • 支持i10nm_edac特性

    • unevictable_pid功能移植

    • 支持内存水位线调整

    • 支持IO_Uring:adaptive sqpoll mode

    • 支持huge vmalloc mappings

aliyun_3_x64_20G_uefi_alibase_20220225.vhd

2022-02-25

  • 更新Alibaba Cloud Linux 3.2104 LTS 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 LTS 64位基础镜像的aliyun_3_x64_20G_alibase_20220225.vhd版本制作

  • RTC(Real Time Clock)时钟使用UTC时间标准。更多信息,请参见Linux时间和时区说明

2021年

版本号

镜像ID

发布时间

发布内容

Alibaba Cloud Linux 3.2

aliyun_3_x64_20G_qboot_alibase_20211214.vhd

2021-12-14

  • 新增Alibaba Cloud Linux 3.2104 64位 快速启动版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210910.vhd版本制作

aliyun_3_x64_20G_scc_alibase_20211018.vhd

2021-10-18

  • 更新Alibaba Cloud Linux 3.2104 64位 SCC版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210910.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

aliyun_3_x64_20G_alibase_20210910.vhd

2021-09-10

  • 更新Alibaba Cloud Linux 3.2104 64位基础镜像到最新的软件版本,修复软件包安全漏洞

  • 新增并默认开启update-motd服务

  • 默认开启Kdump服务

  • 默认开启atd服务

  • 内核更新:

    • 内核升级为主线稳定版5.10.60,当前内核版本为5.10.60-9.al8.x86_64

    • 修复内核缺陷及重要安全漏洞

    • 提供以下阿里云自研技术的支持:

      • eRDMA以及基于eRDMA的SMC-R技术

      • 资源隔离技术OOM优先级控制

      • Memory KIDLED技术

      • 资源隔离技术memcg zombie reaper

      • 富容器技术rich container

      • 资源隔离技术CPU Group Identity

      • UKFEF技术

    • 支持Intel SPR CPU

    • 支持AMD Milan cpupower

    • ARM 64架构支持基于SEDI的NMI watchdog

    • ARM 64架构支持MPAM

    • ARM 64架构支持Memory hotplug

    • 增强内核的快速启动技术

    • 支持X86 SGX2

    • virtio-net性能优化

    • eBPF LSM技术支持

    • KVM虚拟化的软硬件协同化(支持PV-qspinlock)

aliyun_3_arm64_20G_alibase_20210910.vhd

2021-09-10

  • 更新Alibaba Cloud Linux 3.2104 64位 ARM版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210910.vhd版本制作

aliyun_3_x64_20G_uefi_alibase_20210910.vhd

2021-09-10

  • 更新Alibaba Cloud Linux 3.2104 64位 UEFI版镜像到最新的软件版本

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210910.vhd版本制作

  • 适用地域:华东1(杭州)、华东2(上海)、华北2(北京)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、新加坡

Alibaba Cloud Linux 3.1

aliyun_3_arm64_20G_alibase_20210709.vhd

2021-07-09

  • 新增Alibaba Cloud Linux 3.2104 64位 ARM版镜像

  • 支持接入云安全中心

  • 适用地域:华东1(杭州)

aliyun_3_x64_20G_scc_alibase_20210806.vhd

2021-08-06

  • 新增Alibaba Cloud Linux 3.2104 64位 SCC版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210425.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

  • 适用地域:华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)

aliyun_3_x64_20G_alibase_20210425.vhd

2021-04-25

  • 更新Alibaba Cloud Linux 3.2104 64位基础镜像

  • 内核更新:版本更新至5.10.23-5.al8.x86_64

aliyun_3_x64_20G_uefi_alibase_20210425.vhd

2021-04-25

  • 新增Alibaba Cloud Linux 3.2104 64位 UEFI版镜像

  • 该镜像基于Alibaba Cloud Linux 3.2104 64位基础镜像的aliyun_3_x64_20G_alibase_20210425.vhd版本制作

  • 启动切换为UEFI模式,而且仅支持该模式

  • 适用地域:华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)

Alibaba Cloud Linux 3.0

aliyun_3_x64_20G_alibase_20210415.vhd

2021-04-15

  • Alibaba Cloud Linux 3.2104 64位基础镜像发布上线

  • 内核说明:

    • 基于Linux社区主线长期支持的5.10内核版本,初次采用的内核版本为5.10.23-4.al8.x86_64

    • ARM64架构支持PV-Panic、PV-Unhalt、PV-Preempt特性

    • ARM64架构支持内核热补丁

    • 支持TCP-RT功能

    • 支持Memcg后台异步回收

    • cgroup v1接口支持memcg QoS及PSI功能

    • 支持cgroup writeback功能

    • 增强Block IO限流监控统计能力

    • 优化ext4的JBD2的接口

    • 优化阿里巴巴开源内核并修复缺陷,包括调度器、内存、文件系统与块层等多个子系统

    • 增加CPU Burst支持。更多信息,请参见在cgroup v1接口开启CPU Burst功能

  • 镜像说明:

    • 兼容CentOS 8、RHEL 8软件生态,修复软件包安全漏洞

    • 支持GCC 10.2.1、glibc 2.32

    • 支持Python 3.6、Python 2.7

    • 支持Appstream新机制

  • 适用地域:华东1(杭州)

相关文档