阿里云定期发布Alibaba Cloud Linux 3镜像的更新版本,以确保用户可以获取到最新的操作系统特性、功能和安全补丁。您可以通过本文查看Alibaba Cloud Linux 3镜像最新的可用版本及更新内容。
背景信息
如无特殊声明,更新内容适用于云服务器ECS所有可用地域。
Alibaba Cloud Linux 3镜像适用于大多数实例规格族,但存在一部分镜像仅适用于部分实例规格族。这些实例规格族只能选用指定的公共镜像,详情如下:
SCC镜像(镜像ID携带_scc_)仅适用的实例规格族:sccg7、sccc7
ARM镜像(镜像ID携带_arm64_)适用于阿里云上全系ARM实例
2025年
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3 AI Extension Edition 0.5.2 | aliyun_3_0_x64_20G_alibase_aiext_0.5.2_20250714.vhd | 2025-07-14 |
|
内容更新
重要更新
使用Alibaba Cloud Linux 3 AI Extension Edition 0.5.2,结合社区标准openclip/bevformer AI容器镜像(AC2),对比ubuntu 22.04上训练推理性能都有所提升:
bevformer_base训练,FP32精度平均每步吞吐提高13%,FP6精度平均每步吞吐提高12%-18%。
openclip(RN50)训练平均每步吞吐提高26%,推理平均吞吐提高26%。
在此基础上,将社区的openclip/bevformer AI容器镜像替换成阿里云调优的openclip/bevformer AI容器镜像,最终性能提升数据:
bevformer_base训练,FP32精度平均每步吞吐提高22%,FP16精度平均每步吞吐提高17%-20%。
openclip(RN50)训练平均每步吞吐提高46%,推理平均吞吐提高26%。
内核
内核升级至5.10.134-19.101.al8.x86_64版本。
调度
回合cluster调度特性。
支持为根组的不可移动线程配置bvt。
core sched支持对每个
cookie独立配置特殊属性。可与不带
cookie的普通任务共享core。防止负载均衡自动聚拢相同
cookie的任务,呈现打散在不同core的效果。
内存
mmap()支持THP对齐地址空间分配。virtio-mem支持memmap_on_memory特性,帮助容器内存快速扩缩容。新增临时文件优化特性,预期对模型训练场景有性能收益。
新增
pagecache limit平滑回收特性,提高内存使用效率,预期对模型训练场景有性能收益。新增页表页回收特性(需要通过
cmdline添加reclaim_pt开启),提高内存使用效率,预期对模型训练场景有性能收益。增加开关控制延时释放shmem文件页。
各项问题修复:
kfence修复稳定性问题,代码大页THP计数问题修复等。
网络
smc各项问题修复:修复
link group和link use-after-free问题,修复容器场景smc-r设备查找失败问题等。
存储
erofs:
回合了若干主线的erofs文件系统的修复。
新增文件备份挂载和48位布局支持。
添加压缩文件的sub-page块支持。
ext4、block、blk-mq、io_uring等组件的主线stable分支补丁回合。
新增
virtio-blk passthrough特性,为virtio-blk设备添加直通能力支持。
驱动
NVMe驱动支持批量处理完成的polled IO命令。
支持云盘和本地盘对NVMe驱动相关参数差异化配置。
合并PCIe驱动bugfix补丁,修复空间大小计算错误、root bus分配等问题。
BPF
合并stable社区bugfix及CVE修复补丁。
软件包
提供并默认安装
python3.12-3.12.7-1.al8.x86_64,并设置为默认Python 3版本。通过
keentuned-3.2.4-2.al8.x86_64提供AI场景智能调优。
已知问题
ecs.ebmgn8t.32xlarge实例启动过程中NetworkManager-wait-online服务启动失败。
实例包含usb网络设备,延长了NetworkManager服务启动时间,导致NetworkManager-wait-online服务等待超时,启动失败。如果不使用usb网络设备,可设置NetworkManager不管理usb0。设置方法如下,编辑文件
/etc/NetworkManager/conf.d/99-unmanaged-device.conf,添加如下内容:[device-usb0-unmanaged] match-device=interface-name:usb0 managed=0编辑完成后,重启NetworkManager服务可立即生效,NetworkManager不再管理usb0设备。重启系统查看NetworkManager-wait-online服务可正常启动。
使用
vhost-net会概率触发cpu打满,网络不可用的问题。通过安装以下hotfix解决:yum install kernel-hotfix-22577883-5.10.134-19.101 -yNVMe遇到硬件异常后,执行reboot会踩空指针的问题。通过安装以下hotfix解决:
yum install kernel-hotfix-22584571-5.10.134-19.101 -y
Alibaba Cloud Linux 3.2104 U12
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U12 | aliyun_3_x64_20G_alibase_20250629.vhd | 2025-06-29 |
|
aliyun_3_x64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_x64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250629.vhd | 2025-06-29 |
| |
aliyun_3_arm64_20G_container_optimized_alibase_20250629.vhd | 2025-06-29 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 更新后版本 |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
libtiff | CVE-2023-52356 | libtiff-4.4.0-12.0.2.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
python3.11 | CVE-2024-6232 | python3.11-3.11.10-1.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
podman | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | podman-4.9.4-15.0.1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
gstreamer1-plugins-good | CVE-2024-47537 CVE-2024-47539 CVE-2024-47540 CVE-2024-47606 CVE-2024-47613 | gstreamer1-plugins-good-1.16.1-5.al8 |
gstreamer1-plugins-base | CVE-2024-47538 CVE-2024-47607 CVE-2024-47615 | gstreamer1-plugins-base-1.22.1-3.0.1.al8 |
libsndfile | CVE-2024-50612 | libsndfile-1.0.28-16.0.1.al8 |
tuned | CVE-2024-52337 | tuned-2.22.1-5.0.1.1.al8 |
edk2 | CVE-2024-38796 | edk2-20220126gitbb1bba3d77-13.0.1.al8.4 |
bluez | CVE-2023-45866 | bluez-5.63-3.0.1.al8 |
fontforge | CVE-2024-25081 CVE-2024-25082 | fontforge-20200314-6.0.1.al8 |
mpg123 | CVE-2024-10573 | mpg123-1.32.9-1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-4558 | webkit2gtk3-2.46.3-2.0.1.al8 |
python-requests | CVE-2024-35195 | python-requests-2.20.0-5.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.2.al8 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.2.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.1.al8 |
webkit2gtk3 | CVE-2024-23271 CVE-2024-27820 CVE-2024-27838 CVE-2024-27851 CVE-2024-40779 CVE-2024-40780 CVE-2024-40782 CVE-2024-40789 CVE-2024-40866 CVE-2024-44185 CVE-2024-44187 CVE-2024-44244 CVE-2024-44296 CVE-2024-44309 CVE-2024-4558 | webkit2gtk3-2.46.5-1.0.1.al8 |
dpdk | CVE-2024-11614 | dpdk-23.11-2.al8 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.1.al8 |
iperf3 | CVE-2024-53580 | iperf3-3.9-13.al8.1 |
cups | CVE-2024-47175 | cups-2.2.6-62.0.2.al8 |
NetworkManager | CVE-2024-3661 | NetworkManager-1.40.16-18.0.1.al8 |
raptor2 | CVE-2024-57823 | raptor2-2.0.15-17.0.1.al8 |
rsync | CVE-2024-12085 | rsync-3.1.3-20.0.1.al8 |
fence-agents | CVE-2024-56201 CVE-2024-56326 | fence-agents-4.10.0-76.0.1.al8.4 |
glibc | CVE-2022-23218 CVE-2022-23219 | glibc-2.32-1.19.al8 |
glibc | CVE-2024-33602 CVE-2024-33601 CVE-2024-33600 CVE-2024-33599 | glibc-2.32-1.20.al8 |
grafana | CVE-2025-21613 CVE-2025-21614 | grafana-9.2.10-21.0.1.al8 |
redis | CVE-2022-24834 CVE-2022-35977 CVE-2022-36021 CVE-2023-22458 CVE-2023-25155 CVE-2023-28856 CVE-2023-45145 CVE-2024-31228 CVE-2024-31449 CVE-2024-46981 | redis-6.2.17-1.0.1.1.al8 |
python-jinja2 | CVE-2024-56326 | python-jinja2-2.10.1-3.0.4.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-28.al8 |
libsoup | CVE-2024-52531 | libsoup-2.62.3-7.0.1.al8 |
git-lfs | CVE-2024-53263 | git-lfs-3.4.1-4.0.1.al8 |
keepalived | CVE-2024-41184 | keepalived-2.2.8-4.al8 |
unbound | CVE-2024-1488 CVE-2024-8508 | unbound-1.16.2-8.al8 |
java-17-openjdk | CVE-2025-21502 | java-17-openjdk-17.0.14.0.7-3.0.1.1.al8 |
galera | CVE-2023-22084 CVE-2024-21096 | galera-26.4.20-1.al8 |
mariadb | CVE-2023-22084 CVE-2024-21096 | mariadb-10.5.27-1.0.1.al8 |
doxygen | CVE-2020-11023 | doxygen-1.8.14-13.al8 |
tbb | CVE-2020-11023 | tbb-2018.2-10.al8.1 |
gcc-toolset-13-gcc | CVE-2020-11023 | gcc-toolset-13-gcc-13.3.1-2.2.0.1.1.al8 |
nodejs | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-20.18.2-1.1.al8 |
nodejs-packaging | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-packaging-2021.06-4.al8 |
nodejs-nodemon | CVE-2025-22150 CVE-2025-23083 CVE-2025-23085 | nodejs-nodemon-3.0.1-1.al8 |
podman | CVE-2024-11218 | podman-4.9.4-19.0.1.al8 |
buildah | CVE-2024-11218 | buildah-1.33.12-1.al8 |
libcap | CVE-2025-1390 | libcap-2.48-6.0.2.al8 |
libxml2 | CVE-2022-49043 | libxml2-2.9.7-18.0.4.1.al8 |
bind | CVE-2024-11187 | bind-9.11.36-16.0.1.al8.4 |
postgresql | CVE-2025-1094 | postgresql-13.20-1.0.1.al8 |
libpq | CVE-2025-1094 | libpq-13.20-1.0.1.al8 |
mecab-ipadic | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mecab-ipadic-2.7.0.20070801-17.0.1.al8 |
mysql | CVE-2024-11053 CVE-2024-21193 CVE-2024-21194 CVE-2024-21196 CVE-2024-21197 CVE-2024-21198 CVE-2024-21199 CVE-2024-21201 CVE-2024-21203 CVE-2024-21212 CVE-2024-21213 CVE-2024-21218 CVE-2024-21219 CVE-2024-21230 CVE-2024-21231 CVE-2024-21236 CVE-2024-21237 CVE-2024-21238 CVE-2024-21239 CVE-2024-21241 CVE-2024-21247 CVE-2024-37371 CVE-2024-5535 CVE-2024-7264 CVE-2025-21490 CVE-2025-21491 CVE-2025-21494 CVE-2025-21497 CVE-2025-21500 CVE-2025-21501 CVE-2025-21503 CVE-2025-21504 CVE-2025-21505 CVE-2025-21518 CVE-2025-21519 CVE-2025-21520 CVE-2025-21521 CVE-2025-21522 CVE-2025-21523 CVE-2025-21525 CVE-2025-21529 CVE-2025-21531 CVE-2025-21534 CVE-2025-21536 CVE-2025-21540 CVE-2025-21543 CVE-2025-21546 CVE-2025-21555 CVE-2025-21559 | mysql-8.0.41-1.0.1.1.al8 |
emacs | CVE-2025-1244 | emacs-27.2-11.0.1.al8.1 |
webkit2gtk3 | CVE-2024-54543 CVE-2025-24143 CVE-2025-24150 CVE-2025-24158 CVE-2025-24162 | webkit2gtk3-2.46.6-1.0.1.al8 |
tigervnc | CVE-2025-26594 CVE-2025-26595 CVE-2025-26596 CVE-2025-26597 CVE-2025-26598 CVE-2025-26599 CVE-2025-26600 CVE-2025-26601 | tigervnc-1.13.1-15.al8 |
rsync | CVE-2024-12087 CVE-2024-12088 CVE-2024-12747 | rsync-3.1.3-21.0.1.al8 |
libxml2 | CVE-2024-56171 CVE-2025-24928 | libxml2-2.9.7-19.0.1.1.al8 |
krb5 | CVE-2025-24528 | krb5-1.18.2-31.0.1.al8 |
pcs | CVE-2024-52804 | pcs-0.10.18-2.0.1.1.al8.4 |
webkit2gtk3 | CVE-2025-24201 | webkit2gtk3-2.46.6-2.0.1.al8 |
fence-agents | CVE-2025-27516 | fence-agents-4.10.0-76.0.1.al8.6 |
podman | CVE-2025-22869 | podman-4.9.4-20.0.1.al8 |
runc | CVE-2025-22869 | runc-1.1.12-6.0.1.al8 |
grub2 | CVE-2025-0624 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
libreoffice | CVE-2025-1080 | libreoffice-7.1.8.1-15.0.1.1.al8.1 |
freetype | CVE-2025-27363 | freetype-2.10.4-10.al8 |
python-jinja2 | CVE-2025-27516 | python-jinja2-2.10.1-7.0.1.al8 |
libxslt | CVE-2024-55549 CVE-2025-24855 | libxslt-1.1.32-6.1.0.1.al8 |
tomcat | CVE-2024-50379 CVE-2025-24813 | tomcat-9.0.87-1.al8.3 |
expat | CVE-2024-8176 | expat-2.2.5-17.al8 |
mod_auth_openidc | CVE-2025-31492 | mod_auth_openidc-2.4.9.4-7.al8 |
xmlrpc-c | CVE-2024-8176 | xmlrpc-c-1.51.0-11.0.1.al8 |
libtasn1 | CVE-2024-12133 | libtasn1-4.13-5.0.1.al8 |
bluez | CVE-2023-27349 CVE-2023-51589 | bluez-5.63-5.0.1.al8 |
软件包更新
新增特性
新增Confidential AI,为AI模型训练与推理等场景提供基于机密计算的增强数据安全能力。
通过
ras-tools支持PCle错误注入。新增26个外部设备驱动,以满足对硬件支持的需求。其状态默认为未安装。
kmod-ast-5.10.134~19-1.14.4~1.al8.src.rpmkmod-bnxt-5.10.134~19-1.10.3_231.0.162.0~2.al8.src.rpmkmod-fic2-5.10.134~19-1.2.6~1.al8.src.rpmkmod-hinic-5.10.134~19-1.0~1.al8.src.rpmkmod-hns3-5.10.134~19-1.0~1.al8.src.rpmkmod-i40e-5.10.134~19-2.23.17~1.al8.src.rpmkmod-iavf-5.10.134~19-4.9.4~1.al8.src.rpmkmod-ice-5.10.134~19-1.12.13.4~2.al8.src.rpmkmod-igb-5.10.134~19-5.14.16~1.al8.src.rpmkmod-intel-QAT20-5.10.134~19-L.0.9.4__00004~1.al8.src.rpmkmod-irdma-5.10.134~19-1.13.43~1.al8.src.rpmkmod-ixgbe-5.10.134~19-5.19.6~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-ixgbevf-5.10.134~19-4.18.7~1.al8.src.rpmkmod-kvdo-6.2.8.7-94.0.1.al8.src.rpmkmod-lpfc-5.10.134~19-14.2.673.37~1.al8.src.rpmkmod-mellanox-5.10.134~19-23.10~2.al8.src.rpmkmod-mpi3mr-5.10.134~19-8.11.1.0.0~1.al8.src.rpmkmod-mpt3sas-5.10.134~19-47.00.00.00~1.al8.src.rpmkmod-ngbevf-5.10.134~19-1.2.2~2.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-ps3stor-5.10.134~19-2.3.1.24~1.al8.src.rpmkmod-qla2xxx-5.10.134~19-10.02.09.00_k~1.al8.src.rpmkmod-sfc-5.10.134~19-5.3.16.1004~2.al8.src.rpmkmod-smartpqi-5.10.134~19-2.1.22_040~1.al8.src.rpmkmod-sxe-5.10.134~19-1.3.1.1~1.al8.src.rpmkmod-txgbevf-5.10.134~19-1.3.1~2.al8.src.rpmkmod-xscale-5.10.134~19-1.2.0_367~2.al8.src.rpm
重要更新
内核
内核升级至kernel-5.10.134-19.1.al8版本。
调度
合并cluster调度特性。
支持为根组的不可移动线程配置bvt。
core sched支持对每个cookie独立配置特殊属性。
可与不带cookie的普通任务共享core。
防止负载均衡自动聚拢相同cookie的任务,呈现打散在不同core的效果。
内存
kfence稳定性问题修复。代码大页THP计数问题修复。
mmap()支持THP对齐地址空间分配。virtio-mem支持memmap_on_memory特性,帮助容器内存快速扩缩容。其它一些内存CVE补丁合入。
网络
修复
link group和link use-after-free问题。修复容器场景
smc-r设备查找失败问题。
存储
erofs
合并了若干主线的erofs文件系统的修复。
新增文件备份挂载和48位布局支持。
添加压缩文件的sub-page块支持。
ext4、block、blk-mq和io_uring等组件的主线稳定分支补丁合并。
新增了
virtio-blk passthrough特性,以支持virtio-blk设备的直通能力。为每个virtio-blk块设备新增一个通用字符设备,命名为
/dev/vdXc0,允许用户使用io_uring框架提供的uring_cmd方式,直接向virtio-blk驱动层发送读写命令。基于上述能力,新增了virtio-blk设备的双向命令支持。在同一个sector基址的基础上,可在向量类读写操作中,指定写缓冲区和读缓冲区的数量,从而实现一条I/O指令同时完成读写操作(目前仅支持先写后读)。
基于virtio-blk,提出了一种名为ring_pair的virtio_ring扩展。在这种情况下,每个virtio-blk的请求硬件队列实际对应两个virtio_ring队列,分别为请求队列(SQ)和完成队列(CQ)。请求下发后,驱动可以主动回收已下发I/O命令所占用的slot,以便继续下发其他请求。在I/O完成时,由后端填充CQ,而驱动端负责响应收割。该特性要求后端支持ring_pair的运行方式,目前仅支持
vring split_queue+Indirect descriptor模式。
驱动
NVMe驱动支持批量处理完成的polled IO命令。
修复SCSI海思SAS驱动及libsas中的众多问题。
合并PCIe驱动Bugfix补丁,修复空间大小计算错误和root bus分配等问题。
BPF
合并stable社区Bugfix及CVE修复补丁。
体系结构
x86架构的CVE相关修复。
修复问题
更新
alinux-base-setup至alinux-base-setup-3.2-8.al8版本,修复了Kdump无法生成以及ARM架构下grubby参数不生效的问题。更新
gdm至gdm-40.0-27.0.1.1.al8版本,修复了锁屏后桌面无法唤起的问题。更新
alinux-release至alinux-release-3.2104.12-1.al8版本,更新Alibaba Cloud Linux的EULA文件。更新
dump至dump-0.4-0.36.b46.3.al8版本,修复了dump增量备份后restore报错的问题。更新
maven至maven-3.6.2-9.1.al8版本,修复了Alibaba Cloud Linux 3上mvn命令无法安装即用的问题。更新
grub2至grub2-2.02-165.0.2.al8版本,修复了Alibaba Cloud Linux 3中tdx场景下出现的grub2报错问题。
已知问题
由于virtio-blk passthrough为virito-blk设备引入了通用字符设备,可能会导致用户组件在设备检测上出现异常。
对于/dev/vda这样的设备,其分区是从1开始计数的。因此,/dev/vdac0代表的是/dev/vda的字符设备,与/dev/vdac并无关联。此外,/dev/vdac0的文件类型为字符设备,而非块设备,这一点也可以作为区分条件。如果对该字符通道没有明确需求,可以升级内核至kernel-5.10.134-19.1.al8版本,从而不再对virtio-blk云盘暴露该接口。
Alibaba Cloud Linux 3.2104 U11.1
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U11.1 | aliyun_3_x64_20G_alibase_20250117.vhd | 2025-01-17 |
|
aliyun_3_x64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20250117.vhd | 2025-01-17 |
| |
aliyun_3_x64_20G_container_optimized_20250117.vhd | 2025-01-17 |
|
内容更新
安全更新
软件包名称 | CVE编号 |
python-requests | CVE-2024-35195 |
cups | CVE-2024-47175 |
NetworkManager | CVE-2024-3661 |
镜像
默认启用
loadmodules服务。默认启用
timedatex服务。
2024年
Alibaba Cloud Linux 3.2104 U11
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U11 | aliyun_3_x64_20G_alibase_20241218.vhd | 2024-12-18 |
|
aliyun_3_x64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241218.vhd | 2024-12-18 |
| |
aliyun_3_x64_20G_container_optimized_20241226.vhd | 2024-12-26 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 版本 |
grafana | CVE-2024-47875 CVE-2024-9355 | grafana-9.2.10-20.0.1.al8 |
java-11-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-11-openjdk-11.0.25.0.9-2.0.1.1.al8 |
java-1.8.0-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-1.8.0-openjdk-1.8.0.432.b06-2.0.2.1.al8 |
java-17-openjdk | CVE-2023-48161 CVE-2024-21208 CVE-2024-21210 CVE-2024-21217 CVE-2024-21235 | java-17-openjdk-17.0.13.0.11-3.0.2.1.al8 |
NetworkManager-libreswan | CVE-2024-9050 | NetworkManager-libreswan-1.2.10-7.0.1.al8 |
ansible-core | CVE-2024-0690 | ansible-core-2.16.3-2.0.1.al8 |
krb5 | CVE-2024-3596 | krb5-1.18.2-30.0.1.al8 |
xorg-x11-server | CVE-2024-9632 | xorg-x11-server-1.20.11-25.0.1.al8 |
xmlrpc-c | CVE-2024-45491 | xmlrpc-c-1.51.0-10.0.1.al8 |
bzip2 | CVE-2019-12900 | bzip2-1.0.6-27.al8 |
bcc | CVE-2024-2314 | bcc-0.25.0-9.0.1.al8 |
buildah | CVE-2024-9341 CVE-2024-9407 CVE-2024-9675 | buildah-1.33.10-1.al8 |
libtiff | CVE-2024-7006 | libtiff-4.4.0-12.0.3.al8 |
libsoup | CVE-2024-52530 CVE-2024-52532 | libsoup-2.62.3-6.0.1.al8 |
gtk3 | CVE-2024-6655 | gtk3-3.24.31-5.0.2.1.al8 |
tigervnc | CVE-2024-9632 | tigervnc-1.13.1-14.al8 |
emacs | CVE-2024-30203 CVE-2024-30204 CVE-2024-30205 | emacs-27.2-10.0.1.al8 |
squid | CVE-2024-23638 CVE-2024-45802 | squid-4.15-13.al8.3 |
gnome-shell-extensions | CVE-2024-36472 | gnome-shell-extensions-40.7-19.0.1.al8 |
gnome-shell | CVE-2024-36472 | gnome-shell-40.10-21.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-118-2.0.1.al8 |
expat | CVE-2024-50602 | expat-2.2.5-16.al8 |
iperf3 | CVE-2023-7250 CVE-2024-26306 | iperf3-3.9-13.al8 |
lldpd | CVE-2020-27827 CVE-2021-43612 CVE-2023-41910 | lldpd-1.0.18-4.0.1.al8 |
xorg-x11-server-Xwayland | CVE-2024-31080 CVE-2024-31081 CVE-2024-31083 | xorg-x11-server-Xwayland-23.2.7-1.al8 |
bpftrace | CVE-2024-2313 | bpftrace-0.16.0-8.al8 |
perl-Convert-ASN1 | CVE-2013-7488 | perl-Convert-ASN1-0.27-17.1.0.1.al8 |
podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | podman-4.9.4-18.0.1.al8 |
grafana-pcp | CVE-2024-9355 | grafana-pcp-5.1.1-9.0.1.al8 |
buildah | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | buildah-1.33.11-1.al8 |
python-podman | CVE-2021-33198 CVE-2021-4024 CVE-2024-9676 | python-podman-4.9.0-3.al8 |
golang | CVE-2024-24790 | golang-1.22.7-1.0.2.al8 |
delve | CVE-2024-24790 | delve-1.22.1-1.0.2.al8 |
go-toolset | CVE-2024-24790 | go-toolset-1.22.7-1.al8 |
pam | CVE-2024-10041 CVE-2024-10963 | pam-1.3.1-36.al8 |
perl-App-cpanminus | CVE-2024-45321 | perl-App-cpanminus-1.7044-6.al8 |
postgresql | CVE-2024-10976 CVE-2024-10978 CVE-2024-10979 | postgresql-13.18-1.0.1.al8 |
python3 | CVE-2024-11168 CVE-2024-9287 | python3-3.6.8-69.0.1.1.al8 |
python3.11-cryptography | CVE-2023-49083 | python3.11-cryptography-37.0.2-6.0.1.al8 |
python3.11-setuptools | CVE-2024-6345 | python3.11-setuptools-65.5.1-3.al8 |
python3.11-pip | CVE-2007-4559 | python3.11-pip-22.3.1-5.al8 |
python3.11 | CVE-2024-9287 | python3.11-3.11.11-1.0.1.al8 |
php | CVE-2023-0567 CVE-2023-0568 CVE-2023-3247 CVE-2023-3823 CVE-2023-3824 CVE-2024-2756 CVE-2024-3096 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 | php-7.4.33-2.0.1.al8 |
pcs | CVE-2024-21510 | pcs-0.10.18-2.0.1.1.al8.3 |
软件包更新
新增特性
支持AMD GPU和NVIDIA GPU机密计算特性。
通过
util-linux-2.32.1-46.0.3.al8,优化了lscpu命令在超大规模pcie设备下的执行能力。通过
erofs-utils-1.8.2-1.al8实现容器储存。更新
java-11-alibaba-dragonwell-11.0.24.21.21-1.1.al8,优化BigDecimal类以提升在大数据场景下的性能。更新
java-21-alibaba-dragonwell-21.0.4.0.4-1.1.al8,提高Java的性能。新增
system-rpm-config-129-1.0.2.1.al8的组件,提供系统宏变量的配置。
重要更新
内核
内核升级到5.10.134-18.al8版本。
新硬件开启支持
正式支持Intel GNR平台
正式支持AMD Turin平台
调度
在
cgroup v2上支持了cpu sli,包含了容器粒度的cpuusage,loadavg等数据。内存
修复了多个内存相关问题,回合多个
kernel-5.10 stable分支的内存bugfixes补丁。pgtable_share特性缺省设置为关闭。代码段大页支持
direct collapse模式,直接在page fault时快速整合成大页。回合
percpu chunk释放优化补丁集,避免percpu碎片化导致chunk无法释放。
网络
优化了
virtio_net的RSS逻辑,使RSS配置与设备一致,并能随队列数正确更新。为bond 3ad模式新增了200 G和400 G速率支持。
存储
io_uring
修复并发创建
percpu sqthread的race。检查使能
percpu sqthread配置的CPU合法性。回合社区
stable分支补丁,加固代码质量。
fuse/virtio-fs
支持
resend pending请求。支持多队列,优化
fuse性能。读写分离优化,避免大量写请求阻塞读请求。
支持
failover特性,该特性允许fuse daemon在异常恢复后,通过attach操作重新连接到原fuse connection,并重发请求等操作以完成故障恢复。支持4 MB写对齐以优化性能。
修复
virtio-fs加载超过4 MB模块发生IO hang的问题。virtio-fs增加tag和queue mapping sysfs接口。回合社区
stable分支补丁,加固代码质量。
erofs
修复
erofs_statfs()中UUID问题,并优化DEFLATE stream分配逻辑。回合社区
stable分支补丁,加固代码质量。
ext4
优化EXT4_GROUP_INFO_WAS_TRIMMED_BIT清理逻辑。
回合社区
stable分支补丁,加固代码质量。
xfs
优化
xfs_log_force()可能存在的数十毫秒阻塞带来的reflink性能抖动。修复因关闭CONFIG_FS_DAX而导致的编译错误。
启用原子写特性时正确检查
i_blocks。
block
修复
mq-deadline调度器在多硬件队列设备上发生的IO hang。修复更新
block限流配置时,可能因计算bps限流时出现负值导致限流不符合预期问题。移除
blk-mq "running from the wrong CPU"告警。回合社区
stable分支补丁,加固代码质量。
misc
回合
vfs,quota,overlayfs,nfs,cifs,ceph,dm/md,null_blk,nbd,loop,virtio-blk等模块社区stable分支补丁,加固代码质量。
驱动
回合
kernel-5.10 LTS的watchdog驱动相关修复补丁,增强稳定性。NVMe驱动支持最新的阿里云云盘激活方案。
回合
kernel-5.10 LTS的NVMe驱动相关修复补丁,增强稳定性。回合
kernel-5.10 LTS的SCSI相关修复补丁,增强稳定性。回合
kernel-5.10 LTS的ATA相关修复补丁,增强稳定性。引入
sig_enforce_subsys参数,以支持在block、net及GPU领域的模块签名进行强制校验。网迅网卡驱动合入大量修复
txgbe、txgbevf的补丁,以增强代码质量和稳定性。
Perf
修复因回合
stable分支补丁引发的perf工具指针内存泄露问题,从而解决coredump故障。BPF
支持BPF(Berkeley Packet Filter)程序使用原子操作。
回合社区
stable及bugfix补丁。
体系结构 x86
支持intel GNR平台C-state。
支持EMR&GNR平台pstate。
更新
intel-speed-select至v1.20版本,用于支持新平台。支持PEBS功能透传到虚拟机。
将ACPI,APIC,功耗,PMU等
x86的bugfix应用于其他架构或系统中。升级
turbostate到2023.11.07版本支持更多功能。支持SPR&EMR CXL PMON。
新增对AMD c2c的支持。
新增对AMD HSMP的支持。
新增AMD IBRS增强。
新增对AMD ABMC的支持。
修复问题
软件包
通过
systemd-239-82.0.3.4.al8.2修复了POD异常退出及在Delegate=yes情况下,非device cgroup子组20秒内被systemd回收,导致部署失败的问题。通过
ledmon-0.97-1.0.2.al8修复了内存泄漏的问题。通过
tuned-2.22.1-5.0.1.1.al8提升在倚天平台上数据访问效率。修复了
mirror上若干组件安装失败的问题。
镜像
修改
x86镜像的crashkernel值,解决vmcore无法生成的问题。将
/sys/kernel/mm/transparent_hugepage/defrag中的默认参数更改为defer,以提升在透明大页场景下的内存回收速度。
Alibaba Cloud Linux 3.2104 U10.1
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U10.1 | aliyun_3_x64_20G_alibase_20241103.vhd | 2024-11-03 |
|
aliyun_3_x64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_alibase_20241103.vhd | 2024-11-03 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20241103.vhd | 2024-11-03 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 版本 |
buildah | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | buildah-1.33.8-4.al8 |
containernetworking-plugins | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containernetworking-plugins-1.4.0-5.0.1.al8 |
containers-common | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | containers-common-1-82.0.1.al8 |
podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | podman-4.9.4-12.0.1.al8 |
python-podman | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | python-podman-4.9.0-2.al8 |
runc | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | runc-1.1.12-4.0.1.al8 |
skopeo | CVE-2023-45290 CVE-2024-1394 CVE-2024-3727 CVE-2024-6104 CVE-2024-24783 CVE-2024-24784 CVE-2024-24789 CVE-2024-37298 | skopeo-1.14.5-3.0.1.al8 |
httpd | CVE-2023-27522 | httpd-2.4.37-65.0.1.al8.2 |
git-lfs | CVE-2023-45288 CVE-2023-45289 CVE-2023-45290 CVE-2024-24783 | git-lfs-3.4.1-2.0.1.al8 |
bind | CVE-2024-1975 CVE-2024-1737 | bind-9.11.36-16.0.1.al8 |
python-setuptools | CVE-2024-6345 | python-setuptools-39.2.0-8.al8.1 |
less | CVE-2022-48624 CVE-2024-32487 | less-530-3.0.1.al8 |
java-17-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-17-openjdk-17.0.12.0.7-2.0.2.1.al8 |
java-11-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-11-openjdk-11.0.24.0.8-3.0.2.1.al8 |
postgresql | CVE-2024-7348 | postgresql-13.16-1.0.1.al8 |
flatpak | CVE-2024-42472 | flatpak-1.12.9-3.al8 |
bubblewrap | CVE-2024-42472 | bubblewrap-0.4.0-2.2.al8 |
java-1.8.0-openjdk | CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 | java-1.8.0-openjdk-1.8.0.422.b05-2.0.2.1.al8 |
fence-agents | CVE-2024-6345 | fence-agents-4.10.0-62.0.2.al8.4 |
pcp | CVE-2024-45769 CVE-2024-45770 | pcp-5.3.7-22.0.1.al8 |
delve | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | delve-1.21.2-4.0.1.al8 |
golang | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | golang-1.21.13-2.0.1.al8 |
go-toolset | CVE-2024-24791 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | go-toolset-1.21.13-1.al8 |
edk2 | CVE-2023-45236 CVE-2023-45237 CVE-2024-1298 | edk2-20220126gitbb1bba3d77-13.0.1.al8.2 |
curl | CVE-2024-2398 | curl-7.61.1-35.0.2.al8 |
libvpx | CVE-2023-6349 CVE-2024-5197 | libvpx-1.7.0-11.0.1.al8 |
resource-agents | CVE-2024-37891 CVE-2024-6345 | resource-agents-4.9.0-54.al8.4 |
389-ds-base | CVE-2024-5953 | 389-ds-base-1.4.3.39-8.0.1.al8 |
python-urllib3 | CVE-2024-37891 | python-urllib3-1.24.2-8.al8 |
pcs | CVE-2024-41123 CVE-2024-41946 CVE-2024-43398 | pcs-0.10.18-2.0.1.1.al8.2 |
grafana | CVE-2024-24788 CVE-2024-24789 CVE-2024-24790 | grafana-9.2.10-17.0.1.al8 |
libuv | CVE-2024-24806 | libuv-1.42.0-2.al8 |
c-ares | CVE-2024-25629 | c-ares-1.13.0-11.al8 |
xmlrpc-c | CVE-2023-52425 | xmlrpc-c-1.51.0-9.0.1.al8 |
yajl | CVE-2022-24795 CVE-2023-33460 | yajl-2.1.0-13.0.1.al8 |
wpa_supplicant | CVE-2023-52160 | wpa_supplicant-2.10-2.al8 |
cups | CVE-2024-35235 | cups-2.2.6-60.0.1.al8 |
linux-firmware | CVE-2023-31346 | linux-firmware-20240610-122.git90df68d2.al8 |
wget | CVE-2024-38428 | wget-1.19.5-12.0.1.al8 |
poppler | CVE-2024-6239 | poppler-20.11.0-12.0.1.al8 |
krb5 | CVE-2024-37370 CVE-2024-37371 | krb5-1.18.2-29.0.1.al8 |
git-lfs | CVE-2024-34156 | git-lfs-3.4.1-3.0.1.al8 |
libreoffice | CVE-2024-3044 CVE-2024-6472 | libreoffice-7.1.8.1-12.0.2.1.al8.1 |
orc | CVE-2024-40897 | orc-0.4.28-4.al8 |
jose | CVE-2023-50967 CVE-2024-28176 | jose-10-2.3.al8.3 |
openssh | CVE-2020-15778 CVE-2023-48795 CVE-2023-51385 | openssh-8.0p1-25.0.1.1.al8 |
libnbd | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libnbd-1.6.0-6.0.1.al8 |
qemu-kvm | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | qemu-kvm-6.2.0-53.0.1.al8 |
libvirt | CVE-2024-3446 CVE-2024-7383 CVE-2024-7409 | libvirt-8.0.0-23.2.0.2.al8 |
osbuild-composer | CVE-2024-34156 | osbuild-composer-101-2.0.1.al8 |
libreswan | CVE-2024-3652 | libreswan-4.12-2.0.2.al8.4 |
mod_auth_openidc | CVE-2024-24814 | mod_auth_openidc-2.4.9.4-6.al8 |
podman | CVE-2023-45290 CVE-2024-24783 CVE-2024-24784 CVE-2024-24788 CVE-2024-24791 | podman-4.9.4-13.0.1.al8 |
ghostscript | CVE-2024-29510 CVE-2024-33869 CVE-2024-33870 | ghostscript-9.54.0-18.al8 |
emacs | CVE-2024-39331 | emacs-27.2-9.0.3.al8 |
dovecot | CVE-2024-23184 CVE-2024-23185 | dovecot-2.3.16-5.0.1.al8 |
expat | CVE-2024-45490 CVE-2024-45491 CVE-2024-45492 | expat-2.2.5-13.0.1.al8 |
glib2 | CVE-2024-34397 | glib2-2.68.4-14.0.2.al8 |
python-idna | CVE-2024-3651 | python-idna-2.5-7.al8 |
openldap | CVE-2023-2953 | openldap-2.4.46-19.al8 |
python-pillow | CVE-2024-28219 | python-pillow-5.1.1-21.al8 |
nghttp2 | CVE-2024-28182 | nghttp2-1.33.0-6.0.1.al8.1 |
python-jinja2 | CVE-2024-34064 | python-jinja2-2.10.1-3.0.3.al8 |
opencryptoki | CVE-2024-0914 | opencryptoki-3.22.0-3.al8 |
gdk-pixbuf2 | CVE-2021-44648 CVE-2021-46829 CVE-2022-48622 | gdk-pixbuf2-2.42.6-4.0.1.al8 |
rear | CVE-2024-23301 | rear-2.6-13.0.1.al8 |
grub2 | CVE-2023-4692 CVE-2023-4693 CVE-2024-1048 | grub2-2.02-150.0.2.al8 |
nss | CVE-2023-5388 CVE-2023-6135 | nss-3.101.0-7.0.1.al8 |
gnutls | CVE-2024-0553 CVE-2024-28834 | gnutls-3.6.16-8.0.1.al8.3 |
python3 | CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 | python3-3.6.8-67.0.1.2.al8 |
grafana | CVE-2024-24791 | grafana-9.2.10-18.0.1.al8 |
cups-filters | CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47850 | cups-filters-1.20.0-35.0.1.al8 |
linux-firmware | CVE-2023-20584 CVE-2023-31315 CVE-2023-31356 | linux-firmware-20240827-124.git3cff7109.al8 |
golang | CVE-2024-9355 | golang-1.21.13-3.0.1.al8 |
openssl | CVE-2024-5535 | openssl-1.1.1k-14.0.1.al8 |
nano | CVE-2024-5742 | nano-2.9.8-2.0.1.al8 |
runc | CVE-2023-45290 CVE-2024-34155 CVE-2024-34156 CVE-2024-34158 | runc-1.1.12-5.0.1.al8 |
OpenIPMI | CVE-2024-42934 | OpenIPMI-2.0.32-5.0.1.al8 |
软件包更新
新增特性
新增
libyang2组件。keentuned和keentune-target更新到3.1.1的版本。新增了修改网卡队列数的调优项。
新增了修改优先级控制的调优项。
移除
file-max,scheduler调优项。移除不安全命令的执行操作。
新增
keentuned的四个API组件:keentune-bench、keentune-brain、keentune-ui、keenopt。tcprt更新到1.1.0版本,增强tcp的监控能力。Node.js更新到20.16,给ACR制品中心提供20版本的基线能力。erofs-utils升级到1.8.2,修复了一些问题,提供更优的EROFS。
重要更新
内核
内核升级到5.10.134-17.3.al8版本。
龙蜥自研特性
SMC
引入
AutoSplit特性,优化大包传输时延。允许SMC Link Group中的连接独占RDMA QP。
引入共享内存水位控制。
引入SMC层数据
dump。
swiotlb
引入
swiotlb=any cmdline用于支持在整片内存空间中预留swiotlb。
社区特性
回合SMC Limited Handshake相关
sysctl。回合SMC LGR与net namespace维度共享内存使用统计。
TDX
引入TDX Guest RTMR更新接口,您可以添加自定义度量值以进行远程证明。
引入ECDSA算法模块。
修复问题
通过
util-linux-2.32.1-46.0.3.al8修复了搜索集群pci设备多导致lscpu耗时长的问题。通过
tzdata-2024a-1.0.1.6.al8修复迁移过程中某些时区文件不存在的问题。修复SMC模块中的除零错误,内存泄漏等问题。
修复多个安全软件共存时,
ftrace子系统缺陷可能导致系统宕机的问题。修复在使用
uprobe时可能导致的内存越界问题。
Alibaba Cloud Linux 3.2104 U10
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U10 | aliyun_3_x64_20G_alibase_20240819.vhd | 2024-08-19 |
|
aliyun_3_x64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_alibase_20240819.vhd | 2024-08-19 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20240819.vhd | 2024-08-19 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 版本 |
adwaita-qt |
| 1.4.2-1.al8 |
apr | CVE-2022-24963 | 1.7.0-12.al8 |
avahi |
| 0.7-21.0.1.al8.1 |
bind |
| 9.11.36-14.0.1.al8 |
c-ares |
| 1.13.0-9.al8.1 |
cockpit | CVE-2024-2947 | 310.4-1.al8 |
cups |
| 2.2.6-54.0.1.al8 |
cups-filters | CVE-2023-24805 | 1.20.0-32.0.1.al8 |
curl | CVE-2023-38546 | 7.61.1-34.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-39.0.2.al8 |
dhcp |
| 4.3.6-50.0.1.al8 |
dnsmasq |
| 2.79-32.0.1.al8 |
edk2 |
| 20220126gitbb1bba3d77-13.0.1.al8 |
expat | CVE-2023-52425 | 2.2.5-13.al8 |
evolution-mapi |
| 3.40.1-6.al8 |
flatpak |
| 1.12.9-1.al8 |
frr |
| 7.5.1-16.0.4.al8 |
fwupd | CVE-2022-3287 | 1.7.8-2.0.1.al8 |
ghostscript | CVE-2024-33871 | 9.54.0-16.al8 |
git |
| 2.43.5-1.0.1.al8 |
glib2 |
| 2.68.4-11.al8 |
gmp | CVE-2021-43618 | 6.2.0-13.0.1.al8 |
gnutls | CVE-2023-5981 | 3.6.16-8.0.2.al8 |
grafana |
| 9.2.10-16.0.1.al8 |
grafana-pcp | CVE-2024-1394 | 5.1.1-2.0.1.al8 |
gstreamer1-plugins-bad-free |
| 1.22.1-4.0.1.al8 |
gstreamer1-plugins-base | CVE-2023-37328 | 1.22.1-2.0.1.al8 |
gstreamer1-plugins-good | CVE-2023-37327 | 1.16.1-4.al8 |
harfbuzz | CVE-2023-25193 | 2.7.4-10.0.1.al8 |
httpd |
| 2.4.37-64.0.1.al8 |
mod_http2 |
| 1.15.7-10.al8 |
java-1.8.0-openjdk |
| 1.8.0.412.b08-2.0.1.1.al8 |
java-11-openjdk |
| 11.0.23.0.9-3.0.1.1.al8 |
libfastjson | CVE-2020-12762 | 0.99.9-5.al8 |
libjpeg-turbo | CVE-2021-29390 | 2.0.90-7.0.1.al8 |
liblouis |
| 3.16.1-5.al8 |
libmicrohttpd | CVE-2023-27371 | 0.9.59-3.al8 |
libpq | CVE-2022-41862 | 13.11-1.0.1.al8 |
librabbitmq | CVE-2023-35789 | 0.11.0-7.0.1.al8 |
libreoffice |
| 7.1.8.1-12.0.1.1.al8.1 |
libreswan |
| 4.12-2.0.2.al8 |
libsndfile | CVE-2022-33065 | 1.0.28-13.0.2.al8 |
libssh |
| 0.9.6-12.al8 |
libtiff |
| 4.4.0-12.0.1.al8 |
libvirt |
| 8.0.0-23.1.0.1.al8 |
qemu-kvm |
| 6.2.0-49.0.1.al8 |
libX11 |
| 1.7.0-9.al8 |
libxml2 |
| 2.9.7-18.0.3.al8 |
libXpm |
| 3.5.13-10.0.1.al8 |
linux-firmware |
| 20240111-121.gitb3132c18.al8 |
motif |
| 2.3.4-20.al8 |
openchange |
| 2.3-32.0.1.al8 |
opensc |
| 0.20.0-7.0.1.al8 |
openssh | CVE-2023-51385 | 8.0p1-20.0.1.al8 |
openssl |
| 1.1.1k-12.0.1.al8 |
pam | CVE-2024-22365 | 1.3.1-28.al8 |
pcp | CVE-2024-3019 | 5.3.7-20.0.1.al8 |
perl-HTTP-Tiny | CVE-2023-31486 | 0.074-2.0.1.al8.1 |
pixman | CVE-2022-44638 | 0.40.0-6.al8 |
pmix | CVE-2023-41915 | 3.2.3-5.al8 |
poppler | CVE-2020-36024 | 20.11.0-10.0.2.al8 |
postgresql-jdbc | CVE-2024-1597 | 42.2.14-3.al8 |
procps-ng | CVE-2023-4016 | 3.3.15-14.0.1.al8 |
protobuf-c | CVE-2022-48468 | 1.3.0-7.al8 |
python-cryptography | CVE-2023-23931 | 3.2.1-7.al8 |
python-dns | CVE-2023-29483 | 1.15.0-12.al8 |
python-pillow |
| 5.1.1-20.al8 |
python-pip | CVE-2007-4559 | 9.0.3-23.0.1.al8.1 |
python3 |
| 3.6.8-62.0.1.2.al8 |
qt5-qtbase |
| 5.15.3-5.0.3.al8 |
qt5-qtsvg | CVE-2023-32573 | 5.15.3-2.al8 |
rpm |
| 4.14.3-27.0.5.2.al8 |
samba |
| 4.18.6-3.0.1.1.al8 |
shadow-utils | CVE-2023-4641 | 4.6-19.0.1.al8 |
shim |
| 15.8-2.0.1.1.al8 |
sqlite | CVE-2023-7104 | 3.26.0-19.al8 |
squashfs-tools |
| 4.3-20.1.0.3.al8 |
sssd | CVE-2023-3758 | 2.9.4-3.al8 |
sudo |
| 1.9.5p2-1.0.1.al8 |
sysstat | CVE-2023-33204 | 11.7.3-11.0.1.al8 |
tang | CVE-2023-1672 | 7-8.al8 |
tcpdump | CVE-2021-41043 | 4.9.3-4.0.1.al8 |
tigervnc |
| 1.13.1-10.0.1.al8 |
tpm2-tss | CVE-2023-22745 | 2.3.2-5.0.2.al8 |
traceroute | CVE-2023-46316 | 2.1.0-6.2.0.3.al8 |
unbound | CVE-2024-1488 | 1.16.2-7.al8 |
util-linux | CVE-2024-28085 | 2.32.1-45.0.1.1.al8.1 |
webkit2gtk3 |
| 2.42.5-1.0.1.al8 |
wireshark |
| 2.6.2-17.al8 |
xorg-x11-server |
| 1.20.11-16.0.4.al8 |
xorg-x11-server-Xwayland |
| 22.1.9-5.al8 |
yajl | CVE-2023-33460 | 2.1.0-12.0.1.al8 |
zziplib | CVE-2020-18770 | 0.13.71-11.al8 |
buildah |
| 1.33.7-2.al8 |
cockpit-podman |
| 84.1-1.al8 |
conmon |
| 2.1.10-1.al8 |
container-selinux |
| 2.229.0-2.al8 |
containernetworking-plugins |
| 1.4.0-2.0.1.al8 |
containers-common |
| 1-81.0.1.al8 |
criu |
| 3.18-5.0.1.al8 |
fuse-overlayfs |
| 1.13-1.0.1.al8 |
podman |
| 4.9.4-3.0.1.al8 |
runc |
| 1.1.12-1.0.1.al8 |
slirp4netns |
| 1.2.3-1.al8 |
libslirp |
| 4.4.0-2.al8 |
软件包更新
新增特性
rdma-core开启erdma特性。
rasdaemon支持内存CE错误隔离。
nginx使用OpenSSL 3。
aliyun-cli升级到3.0.210。
重要更新
内核
内核升级到5.10.134-17.2.al8版本。
新增特性
fuse failover支持,提供内核原生的fuse故障恢复能力,保障用户文件访问服务不中断。
支持动态内核抢占特性,回合上游社区的动态内核抢占设计,允许用户通过cmdline或sysfs切换抢占模型:none或voluntary(full模式暂不支持)。
perf功能增强支持CMN和DDR PMU的perf metric功能。
bpf新特性
新增bpf helper。
bpf_for_each_map_elem:遍历bpf map的helper。
bpf_snprintf:字符串格式化helper。
bpf_timer:定时器,可以在指定时间后触发回调函数。
bpf_loop:摆脱常量有限循环的限制,可以自由编写循环。
bpf_strncmp:字符串比较的helper。
bpf_ktime_get_tai_ns:获取CLOCK_TAI类型的时间。
bpf_skb_load_bytes:raw_tp类型支持,可以在raw_tp类型程序中读取skb数据,包括非线性区数据。
arm64架构支持包括fentry、fexit、fmod_ret以及bpf_lsm等trampoline相关特性的attach,从而提供更强大的跟踪诊断和安全功能。
bpf_trampoline支持与livepatch共存。
virtio-net相关特性支持。
支持virtio-net设备统计:实现内核对设备统计数据的获取,提升故障定位和问题诊断能力。
引入队列重置功能:该功能允许调整虚拟机队列的尺寸,从而减少数据包丢失并优化延迟性能。
动态中断调节(netdim):支持根据实时流量智能调整中断聚合参数,优化数据接收性能。
优化virtio校验和:修复了virtio网卡在特定特性控制下进行校验和验证的问题;在使用XDP应用场景时,无需在guest操作系统中重新验证校验和,从而显著减少CPU使用率。
erofs按需加载模式支持failover。
ext4修复O_DIRECT + O_SYNC语义问题。该问题自iomap框架引入以来一直存在,其原因在于generic_write_sync()是在iomap框架内调用的,而i_disksize的更新则发生在iomap_dio_rw()之后。这导致在追加写入的场景中,文件落盘的长度未能及时更新,因此在异常掉电的情况下,无法读取已写入的数据。
XFS文件系统支持延迟inode失效特性。该特性将回收操作转移至后台的kworker进程中执行,从而降低前台应用因删除操作而导致的卡顿现象。
fuse相关支持。
支持在cache=none模式下进行共享内存映射(shared mmap)。
支持strict limit特性动态开关。fuse模块会设置strict limit,在特定场景下可能导致回写非常慢甚至发生卡顿,通过引入该sysfs旋钮可以动态解决此类问题。
优化kernfs全局锁的竞争,以降低由于监控程序并发访问所导致的loadD升高的影响。
GroupIdentity相关特性。
提供Group Identity2.0细粒度优先级特性。
在SMC-R + eRDMA的应用场景中,支持smc_pnet功能。
优化SMC + eRDMA场景下的可达性检查,修复低概率的内核crash问题。
GroupIdentity 2.0 CPU share比例校准。
增加Group Identity 2.0 force idled time指标。
Group Identity优化,增强不同优先级任务的负载控制。
提供Group Balancer基础功能。
支持rafsv6模式下传入zero-length iovec。
在rafsv6模式下,允许回收dax mapping,以避免pin住可能带来的OOM和fuse hang等问题。
通过kconfig限制rafsv6仅在安全容器场景使用。
SMC相关优化及支持。
virtio支持control vq的超时机制,以防止因设备无响应而导致虚拟机CPU持续高负荷轮询。默认超时时间为7天。
新增对OOT模块使用的slab内存进行隔离的特性,以便OOT模块踩内存后问题定界。
新增快速OOM特性避免在多核大内存环境中因内存紧张而导致的长时间机器无响应情况。该特性能够协助业务提升内存部署密度,并提高水位运行时在线业务性能的稳定性。
erofs相关支持及优化。
xfs支持fsdax reflink和dedupe,并针对Tair PMEM实例进行了针对性优化,包括快照源文件的连续性、脏页回写效率的提升,以及去除reverse map btree 的依赖以优化page fault时延等。
支持cgroup writeback,以修复开启lazytime场景下,memory cgroup长期不释放的问题。该问题可能导致容器化部署环境中memory cgroup数量长时间维持在高位,从而占用内存,并引发遍历cgroup时sys过高等问题。
提供cgroup v2 IO SLI增加blkio cgroup v2的IO SLI,包括wait time,service time,complete time,io queued和bytes queued等。
在极端情况下,支持2 M IO时,每个bio_vec仅包含一个4k页面。因此,在当前5.10内核下,最多仅能支持1 M IO,而额外的处理拆分逻辑在某些场景下可能会影响性能。
修复在设置blk-iocost qos过程中因race导致的ABBA死锁问题。
tcmu_loop设备支持参数可配置,包括can_queue、nr_hw_queues、cmd_per_lun、sg_tablesize等。当后端设备的能力足够强大时,适当调高这些参数可以显著提升性能。
镜像更新
操作系统镜像
增加spec_rstack_overflow=off启动参数。
增加kfence.sample_interval=100 kfence.booting_max=0-2G:0,2G-32G:2M,32G-:32M启动参数。
修改net.ipv4.tcp_retries2为8。
修改net.ipv4.tcp_syn_retries为4。
移除经典网络的ntp服务器配置。
容器镜像
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.2104U10
修复问题
内核
修复由于smc内核模块中credits_announce_work工作元素错误调度而导致的链表污染问题。
修复perf_cgroup_switch race问题。
修复Group Identity 2.0 Queue other time统计可能为负数的问题。
修复cfs_rq runtime统计问题。
修复cfs_rq->core可能为NULL的问题。
启用声卡相关驱动(CONFIG_SND)。
修复在开启cgroup kmem统计计数时,kfence导致内核宕机的问题。
龙芯架构相关修复。
erofs压缩模式稳定性修复。
erofs over fscache的稳定性修复。
SMC相关稳定性修复。
修复BDI使用STRICTLIMIT特性且BDI份额为0时导致的回写性能下降问题。
修复seccomp内存泄露问题。
修复用户操作可能导致ZERO_PAGE引用计数不正确的问题。
修复TCMU潜在的内存递归回收问题。
修复ioasids子系统迁移内核线程时导致内核crash的问题。
修复在不配置限流规则的情况下IO重复统计问题。
修复Phytium S2500和某些BMC芯片在短时间内频繁通信时,出现非预期的硬件信号hang死的问题。
修复Group Identity和core scheduling同时开启时导致内核panic的问题。
将CFS带宽控制的限流机制由同步模式改为异步模式,以优化在CPU数量较大场景下的带宽控制效率。
修复关闭core sched总开关时潜在的race condition。
修复在中断请求(IRQ)高负载情况下,SIB Idle统计不准确的问题。
回合高版本NVMe over RDMA的修复补丁,以提升系统的稳定性。
修复nvme_reset与nvme_rescan并发执行出现死锁hang住的问题。
修复由PCIe驱动ASPM引发的UAF问题所导致的内核crash。
修复飞腾S5000C在AST2600显卡设备上显示器花屏问题。
修复异步unthrottle引起的warning,避免因该warning引起的调度死锁。
CVE-2023-52445
CVE-2023-6817
CVE-2024-0646
CVE-2023-20569
CVE-2023-51042
CVE-2023-6915
CVE-2023-6546
CVE-2022-38096
CVE-2024-0565
CVE-2024-26589
CVE-2024-23307
CVE-2024-22099
CVE-2024-24860
CVE-2024-1086
CVE-2023-51779
CVE-2024-26597
CVE-2024-24855
CVE-2023-52438
CVE-2023-4622
CVE-2023-6932
CVE-2023-20588
CVE-2023-5717
CVE-2023-6931
CVE-2023-28464
CVE-2023-39192
CVE-2023-6176
CVE-2023-45863
CVE-2023-5178
CVE-2023-45871
CVE-2023-4155
CVE-2023-20593
CVE-2023-3567
CVE-2023-3358
CVE-2023-0615
CVE-2023-31083
CVE-2023-4015
CVE-2023-42753
CVE-2023-4623
CVE-2023-4921
CVE-2023-2860
CVE-2023-1206
CVE-2023-3772
CVE-2023-42755
CVE-2023-3863
CVE-2022-3114
CVE-2023-31085
CVE-2023-4132
CVE-2022-3424
CVE-2022-3903
CVE-2022-45887
CVE-2023-3006
CVE-2023-42754
CVE-2023-0160
镜像
统一了debuginfo仓库名称,用户现在可以直接使用命令
dnf debuginfo-install <软件包名>来安装相应的debuginfo。dnf-makecache服务的活动间隔已从1小时延长至1天,以减少该服务对磁盘和网络的影响。
virtio_blk在内核中处于in-tree状态,因此从initramfs中移除了virtio_blk模块的相关配置。
软件包
修复了dnf-plugin-releasever-adapter可能造成dnf命令无法正常使用的缺陷。
Alibaba Cloud Linux 3.2104 U9.1
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U9.1 | aliyun_3_x64_20G_alibase_20240528.vhd | 2024-05-28 |
|
aliyun_3_arm64_20G_alibase_20240528.vhd | 2024-05-28 |
| |
aliyun_3_x64_20G_dengbao_alibase_20240528.vhd | 2024-05-28 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20240528.vhd | 2024-05-28 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 软件包版本 |
kernel |
| 5.10.134-16.3.al8 |
bind | CVE-2022-3094 | 9.11.36-11.0.1.al8 |
buildah |
| 1.31.3-1.al8 |
dnsmasq | CVE-2023-28450 | 2.79-31.0.1.al8 |
edk2-20220126gitbb1bba3d77 | CVE-2019-14560 | 6.0.2.al8 |
frr |
| 7.5.1-16.0.2.al8 |
grafana |
| 9.2.10-7.0.1.al8 |
grafana | CVE-2024-1394 | 9.2.10-7.0.1.al8 |
grafana-pcp | 5.1.1-1.0.1.al8 | |
gstreamer1-plugins-bad-free | CVE-2023-44429 | 1.22.1-2.0.1.al8 |
tigervnc | CVE-2023-44446 | 1.13.1-2.al8 |
unbound |
| 1.16.2-6.al8 |
webkit2gtk3 | CVE-2023-42917 | 2.40.5-1.0.2.al8.1 |
glibc | CVE-2024-2961 | 2.32-1.16.al8 |
python2-setuptools | CVE-2022-40897 | 39.0.1-13.1.module+al8+9+77049424 |
软件包更新
软件包名称 | 发布版本 |
cloud-init | 23.2.2 |
container-selinux | 2.229.0 |
ethtool | 6.6 |
iproute | 6.2.0 |
iptables | 1.8.5 |
keentuned | 2.4.0 |
keentune-target | 2.4.0 |
rng-tools | 6.16 |
sssd | 2.9.1 |
sudo | 1.9.5p2 |
sysak | 2.4.0 |
重要更新
内核更新
内核升级到5.10.134-16.3.al8。
在SMC-R + eRDMA场景支持smc_pnet功能。
支持基于RDT的动态内存带宽控制技术HWDRC,能够更精确地调控内存带宽、Cache等资源。
Group Identity优化,增强不同优先级任务的负载控制。
软件包新增特性
aliyun-cli升级到3.0.204,并且现在可以通过yum或dnf命令安装和更新aliyun-cli。
cloud-init升级到23.2.2,支持加固模式访问实例元数据。
ethtool升级到6.6,支持CMIS协议。
sysak升级到2.4.0,优化诊断功能,提供节点监控功能,适配sysom可观测功能在节点侧的支持,修复部分bug。
keentune升级到2.4.0。
镜像更新
容器镜像
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9.1
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
说明新版本发布后,将无法再使用latest获取3.9.1版本的镜像。
虚拟机镜像
镜像切换到UEFI-Preferred类型,现在支持UEFI+Legacy双启动模式。
修复问题
内核
erofs压缩模式稳定性修复。
erofs over fscache的稳定性修复。
SMC相关稳定性修复。
修复BDI使用STRICTLIMIT特性且BDI份额为0时导致的回写性能下降问题。
修复seccomp内存泄露问题。
修复用户操作可能导致ZERO_PAGE引用计数不正确的问题。
修复TCMU潜在的内存递归回收问题。
修复ioasids子系统迁移内核线程时导致内核crash的问题。
修复在不配置限流规则的情况下IO重复统计问题。
修复Phytium S2500和某些BMC芯片在短时间内频繁通信时,出现非预期的硬件信号Hang死的问题。
修复Group Identity和core scheduling同时使能时导致内核panic的问题。
将CFS带宽控制解除限流从同步改为异步,优化CPU数量较大场景下的带宽控制效率。
修复关闭core sched总开关时潜在的race condition。
修复irq高的场景下sibidle统计不准的问题。
镜像
修复安装其他版本内核重启后不生效问题。
2023年
Alibaba Cloud Linux 3.2104 U9
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U9 | aliyun_3_9_x64_20G_alibase_20231219.vhd | 2023-12-19 |
|
aliyun_3_9_arm64_20G_alibase_20231219.vhd | 2023-12-19 |
| |
aliyun_3_9_x64_20G_dengbao_alibase_20231219.vhd | 2023-12-19 |
| |
aliyun_3_9_arm64_20G_dengbao_alibase_20231219.vhd | 2023-12-19 |
| |
aliyun_3_9_x64_20G_uefi_alibase_20231219.vhd | 2023-12-19 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 软件包版本 |
kernel |
| 5.10.134-16.1.al8 |
java-1.8.0-openjdk |
| 1.8.0.392.b08-4.0.3.al8 |
java-11-openjdk | CVE-2023-22081 | 11.0.21.0.9-2.0.3.al8 |
mariadb |
| 10.5.22-1.0.1.al8 |
open-vm-tools |
| 12.2.5-3.al8.1 |
bind | CVE-2023-3341 | 9.11.36-8.al8.2 |
dmidecode-doc | CVE-2023-30630 | 3.3-5.0.2.al8 |
frr | CVE-2023-38802 | 7.5.1-8.0.1.al8 |
ghostscript |
| 9.54.0-14.al8 |
glibc | CVE-2023-4911 | 2.32-1.12.al8 |
grafana |
| 7.5.15-5.0.1 |
libvpx |
| 1.7.0-10.0.1.al8 |
linux-firmware | CVE-2023-20593 | 20230404-117.git2e92a49f.al8 |
ncurses | CVE-2023-29491 | 6.1-10.20180224.0.1.al8 |
nghttp2 | CVE-2023-44487 | 1.33.0-4.0.1.al8.1 |
|
|
|
tracker-miners | CVE-2023-5557 | 3.1.2-4.0.1.al8 |
软件包更新
软件包名称 | 发布版本 |
ca-certificates | 2023.2.60_v7.0.306 |
firewalld | 0.9.11 |
java-1.8.0-openjdk | 1.8.0.392.b08 |
java-11-openjdk | 11.0.21.0.9 |
libbpf | 0.6.0 |
lz4 | 1.9.4 |
mariadb | 10.5.22 |
nmstate | 2.2.15 |
nspr | 4.35.0 |
nss | 3.90.0 |
open-vm-tools | 12.2.5 |
openscap | 1.3.8 |
scap-security-guide | 0.1.69 |
sos | 4.6.0 |
xz | 5.4.4 |
重要更新
内核
新增特性
支持core scheduling
回合上游社区的core scheduling安全特性,限制只有受信任的同组进程才能同时运行在同一个物理核的超线程上。该特性与group identity存在不兼容,请勿同时启用。该功能默认关闭,如果要开启,请执行
sysctl -w kernel.sched_core=1命令。在Arm64中支持eBPF trampoline特性
在Arm64上回合eBPF trampoline特性,以支持bpf struct ops特性。注意,由于Arm64 ftrace相关特性未回合,bpf fentry系列特性仍不可用。
支持mglru特性
支持了改进内存页回收能力的mglru,能够在大数据场景改善内存回收的速率和准确性,提升e2e性能。
支持batch TLB flushing
Batch migration特性实现了在内存页面迁移过程中的批量TLB flushing和页面拷贝操作,从而提升内核页面迁移操作的性能。
该版本基于上游代码对之前内核中原有batch migration特性进行了重构和优化。重构后的主要变化包括:移除cmdline参数batch_migrate,移除
/sys/kernel/mm/migrate/batch_migrate_enabled接口,batch migration变为页面迁移时的默认采用的配置。增加/sys/kernel/mm/migrate/dma_migration_min_pages接口,默认值为32。该接口仅针对开启DMA page copy特性的场景,当且仅当
/sys/kernel/mm/migrate/dma_migrate_enabled开启且migrate pages数目达到/sys/kernel/mm/migrate/dma_migration_min_pages的设置才会使用DMA page copy特性。回合cachestat特性
在内核中引入了cachestat系统调用,通过该系统调用可查看指定文件的详细page cache统计数据。
Arm64内核态触发RAS事件增强
新增在不同场景下遇到RAS问题时的错误恢复能力,例如copy_{from/to}_user、{get/put}_user、Copy On Write (COW) 、pagecache reading等。
支持SMC-D loopback特性(自研)
引入SMC-D loopback特性,加速本地进程间TCP通信和容器间TCP通信。
支持页表绑核,提供页表跨die的统计(自研)
页表绑核的能力可以在内存紧张时,将QoS敏感型业务的页表尽力分配到当前NUMA节点,减少了内存访问延迟,实现了更快速、更有效的内存访问。
代码多副本增强(自研)
通过异步任务的方式对进程启动时代码多副本未生效的情况再做一次尝试。增加内核接口memory.duptext_nodes,用于限制duptext的内存分配节点。
kfence增强(自研)
Arm64架构新增自研的kfence增强功能,能够灵活动态开关kfence,全量捕获内存污染问题,从而兼顾线上探测和线下调试。
新增捕获到内存问题时立即宕机的特性,以帮助开发者更好地在调试环境中分析问题。通过设置
boot cmdline "kfence.fault=panic"或echo panic > /sys/module/kfence/parameters/fault打开(该项默认值为report,仅输出日志不宕机)。
提供memcg THP控制接口(自研)
提供memcg THP控制接口,用于禁止指定memcg的THP的申请。
支持ACPU(Assess CPU)(自研)
ACPU可统计任务运行时HT对端空闲的时间,并提供per-cgroup统计,可以用于评估任务运行时共享CPU核心的硬件资源竞争情况。
支持HT-aware-quota特性(自研)
基于cfs带宽控制和core scheduling的算力稳定方案,在混合部署场景下,通过感知ht对端是否空闲来校准quota,使任务在每个调度周期内都能够得到相对稳定的算力,适用于计算密集型任务。
支持group identity 2.0(自研)
引入cgroup级别的SCHED_IDLE特性,可通过设置目标cgroup的cpu.idle属性来使得该cgroup的调度策略成为SCHED_IDLE。适用于批量管理离线任务。
行为改变
模块签名
增加对内核模块的签名,以方便开发者识别和拒绝未签名的内核模块。
Arm64默认关闭Spectre-BHB与Variant 4漏洞修复
经过分析,Spectre-BHB和Variant 4漏洞已通过修复Spectre v2安全漏洞、禁用unprivileged eBPF、Site-Isolation技术、禁用SharedArrayBuffer等手段解决,无需额外进行Spectre-BHB与Variant4修复,因此Arm64默认cmdline添加nospectre_bhb ssbd=force-off参数,在保证安全的前提下减少不必要的开销以提升性能。
使能TDX guest相关配置,支持TDX机密虚拟机场景
软件包新增特性
通过软件仓库erofs-utils-1.7.1
erofs-utils是创建、检查、压缩EROFS的工具,支持LZ4、LZMA、DEFLATE等压缩算法,支持tar转erofs格式。
通过软件仓库提供stress-ng-0.15.00
通过软件仓库提供alibaba-cloud-compiler-13.0.1.4
Alibaba Cloud Compiler是阿里云打造的C/C++ 编译器,基于Clang/LLVM-13社区开源版本开发,继承开源版本支持的所有选项、参数。另外Alibaba Cloud Compiler在开源版本基础之上,结合阿里云基础设施进行深度优化,提供特有的特性和优化,能让阿里云用户获得体验更好的C/C++编译器。
glibc添加支持GB18030-2022编码的补丁
dragonwell17更新到17.0.9.0.10.9:JIT compiler 提升inline的性能表现,去除根据绝对调用次数进行inline的判断逻辑
dragonwell8更新到8.15.16.372:支持多个coroutine等待同一socket的读写事件,修复了okhttp场景下的bug
通过软件仓库提供plugsched-1.3
plugsched是调度器热升级的sdk,面向内核调度器开发者,用户可通过安装该工具进行调度器模块的开发。
sysak更新到2.2.0:增加应用观测功能,支持MySQL和Java应用的指标观测及诊断;增加容器监控及集群监控相关的监控指标;增加本地监控功能;
keentune更新到2.3.0:更新x264/265相关脚本,支持最新ffmpeg;解决XPS、RPS的绑核错误问题;更新profile中eRDMA的默认设置
intel qat/dlb/iaa加速器软件链更新:qat驱动bugfix,dlb驱动升级,qat与iaa用户态bugfix,以及新增跨架构加速器用户态DMA内存统一管理方案
smc-tools更新:增加smc-ebpf指令,支持基于端口粒度来控制 smc_run 的生效范围,控制模式支持黑白名单模式以及智能调度。
修复问题
修复了由于更新内核时未自动安装kernel-modules-extra、kernel-modules-internal等rpm包导致netfilter相关功能不可用的问题。
修复了由于group identity在cgroup创建/删除时引用计数不正确,导致
/proc/sys/kernel/sched_group_identity_enabled接口有时无法关闭的问题。
镜像更新
容器镜像
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.9
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
说明新版本发布后,将无法再使用latest获取3.9版本的镜像。
虚拟机镜像
rpmdb默认切换为sqlite格式
keentune服务默认安装但不使能
nfs-server服务默认不开启
已知问题
kdump服务在ecs.g6r.large实例上可能会因为内存大小原因无法正常工作,调整crash参数如0M-2G:0M,2G-128G:256M,128G-:384M可以避免此类问题。
nfsv3文件系统下,对文件增加S权限,在特殊情况下,修改文件的拥有者后,属组的S权限丢失。
该问题的修复补丁为2d8ae8c417("db nfsd: use vfs setgid helper"),但修复需要用到的辅助函数与5.10内核版本的代码变动较大,作为已知问题暂缓修复。
在使用SMC替换TCP后,netperf测试有概率提前退出。
由于SMC使用固定大小的环形缓冲区,发送过程中可能会遇到缓冲区剩余空间小于send()指定的发送数据量的情况。此时SMC会返回可发送的字节数,一般小于send()中用户指定的发送量。在netperf中这一行为会被判断为异常而退出。上游maintainer强烈建议保持现有设计,以此避免connection stalled的问题,因此该问题不做修复。
Alibaba Cloud Linux 3.2104 U8
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U8 | aliyun_3_arm64_20G_alibase_20230731.vhd | 2023-07-31 |
|
aliyun_3_x64_20G_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_qboot_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_x64_20G_dengbao_alibase_20230727.vhd | 2023-07-27 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20230727.vhd | 2023-07-27 |
|
内容更新
安全更新
软件包名称 | CVE编号 | 软件包版本 |
ctags | CVE-2022-4515 | 5.8-23.0.1.al8 |
gssntlmssp |
| 1.2.0-1.0.1.al8 |
libtar |
| 1.2.20-17.0.1.al8 |
device-mapper-multipath | CVE-2022-41973 | 0.8.4-37.0.1.al8 |
postgresql-jdbc | CVE-2022-41946 | 42.2.14-2.al8 |
freerdp |
| 2.2.0-10.0.1.al8 |
tigervnc |
| 1.12.0-15.al8 |
xorg-x11-server |
| 1.20.11-15.0.1.al8 |
poppler | CVE-2022-38784 | 20.11.0-6.0.1.al8 |
wayland | CVE-2021-3782 | 1.21.0-1.al8 |
net-snmp |
| 5.8-27.0.1.al8 |
dhcp |
| 4.3.6-49.0.1.al8 |
python-mako | CVE-2022-40023 | 1.0.6-14.al8 |
curl | CVE-2023-27535 | 7.61.1-30.0.2.al8.2 |
|
|
|
dnsmasq | CVE-2023-28450 | 2.79-27.al8 |
qt5 | CVE-2022-25255 | 5.15.3-1.0.1.al8 |
autotrace | CVE-2022-32323 | 0.31.1-55.al8 |
bind | CVE-2023-2828 | 9.11.36-8.al8.1 |
|
|
|
mysql |
| 8.0.32-1.0.2.al8 |
ruby |
| 2.7.8-139.0.1.al8 |
kernel |
| 5.10.134-15.al8 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.5 |
libssh |
| 0.9.6-7.al8 |
open-vm-tools | CVE-2023-20867 | 12.1.5-2.al8 |
grafana |
| 7.5.15-4.0.2.al8 |
grafana-pcp | CVE-2022-27664 | 3.2.0-3.0.1.al8 |
frr | CVE-2022-37032 | 7.5.1-7.0.1.al8 |
sqlite | CVE-2020-24736 | 3.26.0-18.al8 |
git-lfs |
| 3.2.0-2.0.1.al8 |
sysstat | CVE-2022-39377 | 11.7.3-9.0.1.al8 |
python3 | CVE-2023-24329 | 3.6.8-51.0.1.al8.1 |
c-ares | CVE-2023-32067 | 1.13.0-6.al8.2 |
cups-filters | CVE-2023-24805 | 1.20.0-29.0.1.al8.2 |
webkit2gtk3 |
| 2.38.5-1.0.1.al8.4 |
delve go-toolset golang | CVE-2023-24540 | delve-1.9.1-1.0.1.al8 go-toolset-1.19.9-1.al8 golang-1.19.9-1.0.1.al8 |
kernel |
| 5.10.134-14.1.al8 |
git |
| 2.39.3-1.1.al8 |
apr-util | CVE-2022-25147 | 1.6.1-6.2.al8.1 |
webkit2gtk3 | CVE-2023-2203 | 2.38.5-1.0.1.al8.3 |
edk2 |
| 20220126gitbb1bba3d77-4.al8 |
mingw-expat | CVE-2022-40674 | 2.4.8-2.al8 |
软件包更新
软件包名称 | 发布版本 |
at | at-3.1.20-12.0.1.al8 |
audit | audit-3.0.7-2.0.1.al8.2 |
authselect | authselect-1.2.6-1.al8 |
bind | bind-9.11.36-8.al8.1 |
checkpolicy | checkpolicy-2.9-1.2.al8 |
cloud-utils-growpart | cloud-utils-growpart-0.33-0.0.1.al8 |
container-selinux | container-selinux-2.189.0-1.al8 |
coreutils | coreutils-8.30-13.al8 |
crypto-policies | crypto-policies-20221215-1.gitece0092.al8 |
cups | cups-2.2.6-51.0.1.al8 |
dbus | dbus-1.12.8-24.0.1.al8 |
ding-libs | ding-libs-0.6.1-40.al8 |
dnf | dnf-4.7.0-16.0.1.al8 |
dnf-plugins-core | dnf-plugins-core-4.0.21-14.1.al8 |
dracut | dracut-049-223.git20230119.al8 |
elfutils | elfutils-0.188-3.0.1.al8 |
emacs | emacs-27.2-8.0.3.al8.1 |
expat | expat-2.2.5-11.al8 |
file | file-5.33-24.al8 |
freetype | freetype-2.10.4-9.al8 |
fuse | fuse-2.9.7-16.al8 |
gmp | gmp-6.2.0-10.0.1.al8 |
gnupg2 | gnupg2-2.2.20-3.al8 |
graphite2 | graphite2-1.3.10-10.2.al8 |
grub2 | grub2-2.02-148.0.1.al8 |
harfbuzz | harfbuzz-1.7.5-3.2.al8 |
hwdata | hwdata-0.314-8.16.al8 |
iproute | iproute-5.18.0-1.al8 |
iptables | iptables-1.8.4-24.0.1.al8 |
kernel | kernel-5.10.134-15.al8 |
kernel-hotfix-13383560-5.10.134-15 | kernel-hotfix-13383560-5.10.134-15-1.0-20230724161633.al8 |
kexec-tools | kexec-tools-2.0.25-5.0.1.al8 |
kmod | kmod-25-19.0.2.al8 |
kpatch | kpatch-0.9.7-2.0.1.al8 |
libarchive | libarchive-3.5.3-4.al8 |
libffi | libffi-3.1-24.0.1.al8 |
libteam | libteam-1.31-4.0.1.al8 |
libuser | libuser-0.62-25.0.1.al8 |
libxml2 | libxml2-2.9.7-16.0.1.al8 |
linux-firmware | linux-firmware-20230404-114.git2e92a49f.al8 |
logrotate | logrotate-3.14.0-6.0.1.al8 |
NetworkManager | NetworkManager-1.40.16-1.0.1.al8 |
nfs-utils | nfs-utils-2.3.3-59.0.2.al8 |
nftables | nftables-0.9.3-26.al8 |
oddjob | oddjob-0.34.7-3.0.1.al8 |
openssh | openssh-8.0p1-17.0.2.al8 |
openssl-pkcs11 | openssl-pkcs11-0.4.10-3.0.1.al8 |
pam | pam-1.3.1-25.0.1.al8 |
pciutils | pciutils-3.7.0-3.0.1.al8 |
python-linux-procfs | python-linux-procfs-0.7.1-1.al8 |
python-rpm-generators | python-rpm-generators-5-8.al8 |
python-slip | python-slip-0.6.4-13.al8 |
rng-tools | rng-tools-6.15-3.0.1.al8 |
rpcbind | rpcbind-1.2.5-10.0.1.al8 |
rpm | rpm-4.14.3-26.0.1.al8 |
rsyslog | rsyslog-8.2102.0-13.al8 |
selinux-policy | selinux-policy-3.14.3-117.0.1.al8 |
setools | setools-4.3.0-3.al8 |
setup | setup-2.12.2-9.0.1.al8 |
sg3_utils | sg3_utils-1.44-6.0.1.al8 |
shared-mime-info | shared-mime-info-2.1-5.0.1.al8 |
sssd | sssd-2.8.2-2.0.1.al8 |
tpm2-tss | tpm2-tss-2.3.2-4.0.2.al8 |
unbound | unbound-1.16.2-5.al8 |
util-linux | util-linux-2.32.1-42.0.1.al8 |
virt-what | virt-what-1.25-3.al8 |
wget | wget-1.19.5-11.0.1.al8 |
which | which-2.21-18.0.1.al8 |
xfsprogs | xfsprogs-5.0.0-10.0.6.al8 |
重要更新
内核更新
社区跟踪
devlink支持对subfunction的管理。
subfunction是一个轻量级的function,subfunction相比于PCIe virtual function更为轻量,不同于virtual function,subfunction并不是一个独立的PCI设备,而是共享其父PCI设备的资源。但subfunction用有所有网卡通信相关的资源,即一般有发送队列、接收队列、完成队列等。一个subfunction在Linux系统中呈现一个完整的网卡设备。本次更新支持了通过devlink来管理网卡上的subfunction,通过和驱动的配合,可以实现在支持subfunction的网卡上创建、销毁、查询subfunction等功能。
io_uring支持NVMe passthrough功能。
在存储设备访问过程中,复杂的存储栈开销对延迟、IOPS产生较大影响,随着存储设备自身速度越快,这种软件栈的开销占比越来越大。对于NVMe磁盘的访问,需要经过filesystem、block layer、nvme driver等多层抽象,才能最终到达目标设备。本次更新回合了社区主线在v5.19新增的io_uring uring_cmd功能,将实际执行的文件操作,通过io_uring传递给内核,该操作不会在io_uring层做解析,而是直接递交给NVMe 驱动层处理,实现了绕过filesystem和block层。此外,为了支撑这一特性,引入 io_uring支持CQE32数据结构,支持创建NVMe字符设备等功能。
支持细粒度的NVMe/SCSI的Persistent Reservation权限控制。
之前执行Persistent Reservation操作的进程必须具有CAP_SYS_ADMIN 权限,使得某些非特权场景(如容器)无法使用。该特性支持非特权进程(不具有 CAP_SYS_ADMIN 权限),只要拥有块设备的写权限,都可以执行Persistent Reservation操作,扩展了使用场景。
优化大块IO的IOPS限流功能。
当前5.10内核的IOPS限流能力,在大块IO场景下(如1 M)不能很好地工作,其主要原因为大块IO可能存在拆分,而block throttle的IOPS限流逻辑没能较好地处理。这个现象在buffer IO场景尤为明显,因为buffer IO是先写入page cache,过一段时间后再回写,而这个过程通常会合并成大块IO。社区主线针对这个问题在v5.18有过重构优化。本次更新通过回合社区主线的补丁优化了大块IO的IOPS限流功能,并同步修复了 BPS重复统计的BUG。
bpf回合社区lookup_and_delete_elem对hashmap的支持以及bloom filter特性。
之前bpf lookup_and_delete_elem(查找并删除)操作只支持queue和stack类型的map,现在扩展支持hash类型的map。
新增map类型bloom filter,是一个高效的集合查找工具。
支持作为QEMU Arm64的虚拟机Guest OS的CPU和内存热插功能。
支持通过virsh setvcpus命令来热升级Guest OS中的vcpus数量。
通过默认使能CONFIG_MEMORY_HOTPLUG_DEFAULT_ONLINE配置,避免“memhp_default_online_type”处于离线状态。这样通过热插拔插入内存时,可以自动使用该部分内存,避免出现为新插入内存创建对应Page描述符导致内存不足的内存热插拔失败问题。
为所有Intel芯片使能Intel HWP boost。
HWP IO boost技术可以提升IO性能,但是之前内核只针对部分Skylake平台以及企业服务器打开了该特性,这个patch删除了CPU类型检查,默认为所有CPU打开HWP boost。
回合社区HVO特性。
HVO是HugeTLB Vmemmap Optimization的简称,可以降低大页内存所对应的vmemmap内存占用。其原理是把一个大页在vmemmap中所有struct page的虚拟地址都映射到同一个物理地址,以此释放struct page所占用的物理内存。
回合memcg lru lock锁优化特性。
该特性将内核中需要操作全局lru lock大锁的场景优化为操作页所在memcg的锁,这些场景包括页移动、memcg移动和swapin和swapout。该特性可以大幅度降低了全局lru lock引入的竞争。在多个memcg测试的场景,性能提升约50%。
Intel TDX guest内核支持
支持在Intel tdx guest中跑linux内核,为guest提供了内存加密、内存完整性保护、cpu寄存器保护及可信任环境远程验证等功能。
EMR平台适配。
为PMU驱动增加EMR的CPU ID,使能EMR平台的PMU能力。
使能IFS Array BIST能力。IFS用于捕捉ECC难以校验出的CPU错误,可以在运行中检查每个core。
自研特性
支持使用内核网络协议栈SMC透明加速TCP的能力。
SMC是IBM贡献到Linux上游的高性能内核网络协议栈,可以配合各类共享内存操作技术(如RDMA),具备透明加速TCP的能力。ANCK在上游的基础上,修复了大量稳定性问题,支持默认使用SMCv2,支持SMCv2.1协议协商,支持 max_link/max_conn/Alibaba vendor ID特性,优化link连接数量,支持RQ流控、支持RDMA Write With Immediate操作,增加各类诊断信息,支持通过PF_INET协议族使用SMC协议栈,支持通过BPF透明替换等多个关键特性。
增强fuse的缓存一致性模型,并增加统计接口。
在sysfs下增加调试接口,输出打印特定fuse文件系统下所有已经发送给用户态daemon等待处理的请求。
在sysfs下增加数据统计接口,统计输出特定fuse文件系统下各类型请求的数量以及处理耗时。
增强cache (cache=always|auto)模式下的缓存一致性,以适用于依赖强一致性的分布式文件系统后端,例如NFS。
用户态daemon可以通知fuse client使一个目录下的所有目录项无效 (invalidate all direct dentry)。
实现CTO(Close-To-Open)缓存一致性模型,包括数据和元数据的 flush-on-close和invalidate-on-open语义。
增强fuse故障恢复(failover)模式下的缓存一致性模型。
EROFS支持直接挂载tar文件,在arm64平台16k/64k页配置下使用4k块大小的EROFS 非压缩镜像。
支持在arm64平台16k/64k页面的配置下,可挂载4k块大小的EROFS非压缩镜像。
支持可以直接把tar文件作为数据源,采用EROFS元数据来挂载和访问tar的数据。
支持跨namespace传递fuse挂载点。
支持将非特权sidecar容器中的fuse挂载点传播到app容器内,从而提供一种基于fuse 的远端存储在云原生场景下的解决方案。
解决因透明大页THP带来的内存膨胀问题。
THP在带来性能提升的同时,也可能产生内存膨胀问题。内存膨胀可能引发OOM。例如,一个应用程序实际需要使用2个小页面,即8 KiB内存,但是内核分配了1个透明大页。此时,除去应用程序实际需要的内存(2个小页面),透明大页剩下的内存(510个小页面)大小均为0。最终可能会因RSS内存用量增加而导致OOM。
THP ZSR就是为了解决内存膨胀问题。在内核回收内存时,该功能会把透明大页拆分为小页面,并将其中的全零页面(zero subpage)回收,从而避免内存的快速膨胀引发OOM。
系统配置更新
tcp_max_tw_buckets值修改为5000。
修改vfat文件系统默认挂载的字符集为iso8859-1。
软件包功能更新
默认集成aliyun_cli
默认集成container-selinux
新增anolis-epao-release包,允许Alibaba Cloud Linux 3使用Anolis OS的epao源以安装AI等应用。
修复问题
修复Alibaba Cloud Linux 3 arm64镜像rngd.service启动失败的问题。
回合社区主线cgroup在进程fork失败时产生泄漏的bugfix。
修复overlayfs的权限问题。当所有upperdir与lowerdir处于同一文件系统且访问的文件/目录没有读权限,因之前优化overlayfs性能时存在逻辑判断错误,ovl_override_creds() 没有正确执行,从而实际执行权限没有提升到挂载者的权限,最终导致copy up需要读权限时报权限不足。
回合社区主线多个fuse的bugfix,进一步增强fuse的稳定性。
回合社区ext4开启bigalloc特性下多个bugfix,并极大优化该场景下在线扩容的耗时。
回合社区CONT-PTE/PMD导致的潜在数据一致性问题。
修复AMD机型无法正常使用resctrl的问题。
修复IAX硬件压缩解压缩加速器的稳定性问题。
修复IAX硬件压缩解压缩加速器CRC校验失败的问题。
修复了swapoff-swapon多并发的情况下由于swap_info_struct lock锁使用不当导致的踩内存问题。该问题bugfix已经合入社区。
修复了自研特性zombie memcg reaper在one-shot模式下不生效的问题。
修复倚天710 MPAM内存带宽监控特性潜在的稳定性问题。
镜像更新
容器镜像
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:3.8
alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
说明新版本发布后,将无法再使用latest获取3.8版本的镜像。
已知问题
由于ANCK 5.10-015将一处调度唤醒的优化同步为上游社区的实现,导致在个别极端场景下性能可能产生回退。该场景仅在负载压力极大的benchmark中出现,对于通常用户场景不会有影响。
Alibaba Cloud Linux 3.2104 U7
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U7 | aliyun_3_x64_20G_alibase_20230516.vhd | 2023-05-16 |
|
aliyun_3_arm64_20G_alibase_20230515.vhd | 2023-05-15 |
|
内容更新
修复内核缺陷(Bugfix)以及重要安全漏洞(CVE)
支持multi-pcp功能,绕开buddy系统大锁,提升网络收包能力
multi-pcp支持在per-core中保留order大于0的内存页,避免在分配高order的内存页时通过zone buddy system进行分配,绕开buddy系统大锁,提升网络收包能力。
使能Intel IAA加速器驱动,提升加解压性能
IAA(In-Memory Analytics Accelerator)是一个结合了基本的数据分析功能,并且提供高吞吐量压缩/解压缩的硬件加速器。驱动代码来源于Intel代码仓库,并针对ANCK内核进行适配以及bugfix。
修复shmem/hugetlb文件系统由于page cache truncate导致的数据静默丢失
出现故障的shmem和hugetlb页面,会从页缓存中移除,因此对文件中故障页偏移量的后续访问会导致分配一个新的零页,导致数据静默丢失。该特性修复在shmem/tmpfs和hugetlb文件系统中,由于页面故障导致的静默数据丢失问题。
增加coresight ETE驱动和tools/perf工具支持
在ARM 64平台下,KVM模块信号处理机制增强,修复在RAS等场景下带来的宕机问题
CPU在进入Guest模式之前,如果未处理TIF_NOTIFY_RESUME标志,导致RAS事件频繁触发异常后宕机。因此,在ARM 64平台上支持完整的通用条目基础结构,以正确处理待处理的任务工作。
同步Linux社区CMN/DRW驱动,增加debugfs支持,修复相关缺陷
在5.10-014版本之前的CMN/DRW驱动与Linux社区偏离,为降低后续维护成本,5.10-014版本同步了Linux社区的CMN/DRW驱动,并兼容了倚天710的CMN700。同时,添加了debugfs支持与修复,在用户态可以查看CMN的拓扑结构。
支持X86内核态Copy On Write触发MCE错误恢复
如果在内核执行写时复制(COW)触发不可纠正错误,由于没有针对内核消费不可纠正错误的恢复处理程序,将导致系统崩溃。本特性通过向应用程序发送SIGBUS来添加对恢复处理程序的支持,以避免系统崩溃。
支持以perf metric的形式对性能问题进行topdown分析,提升CPU PMU的易用性
在5.10-014版本之前不支持perf metric的功能,同时不具备topdown性能分析工具。为提升CPU PMU的易用性,方便用户定位CPU性能瓶颈问题,5.10-014版本添加了perf metric功能,同时支持了倚天710、鲲鹏、x86等平台的topdown metric。
virtio-net支持uso offloading
相比于ufo offloading,可提升复杂网络环境下收包性能和转发组件的转发性能。virtio-net自5.10-014 开始支持udp segment offloading(USO)。相比于 udp fragment offloading(UFO),USO可以在网络条件不稳定、incast,突发明显等业务场景中有效减少分片重组造成的丢包率,减少接收侧分片重组的开销。同时,丢包和乱序会造成转发组件的分片重组,导致转发组件工作效率下降,而USO可以有效缓解该问题。
修复在aarch64架构下由于pci_iounmap未实现导致的虚拟地址空间耗尽的问题
在5.10-014版本之前,由于pci_iounmap未配置CONFIG_GENERIC_IOMAP,导致pci_iounmap函数的实现为空,无法正常释放映射的内存,造成虚拟地址空间耗尽。5.10-014版本修复了此问题,正常实现了pci_iounmap函数。
支持高性能ublk
ublk是基于io_uring passthrough机制实现的高性能用户态块设备,可应用于分布式存储的agent高效接入。
支持以下阿里云自研技术:
支持整机/memcg粒度的代码段锁定功能
当内存水位线处于低水位时,会触发内存回收,在内存释放过程中,可能导致核心业务程序的代码段所属内存被回收。随着业务程序的运行,这部分内存又会从磁盘读取,加载到内存,频繁的io操作,导致核心业务响应延迟,造成性能抖动。此功能通过选定需要锁住代码段内存的核心业务程序所在的cgroup,让其不能被回收,可以防止代码段所属内存被频繁换入换出的问题。此外该功能还增加了配额限定,可以按照百分比方式,设定锁定代码段内存的比例大小。
提供page cache使用限制的功能,解决page cache的回收速度慢于生产速度而导致的OOM问题
对于容器类场景,容器可用内存都是有限的。当pagecache占用内存较多,触发内存回收时,一旦pagecache回收速度慢于业务逐增的内存需求,就容易出现OOM的问题,严重影响业务性能。针对该类问题,ANCK引入该功能,通过限定容器pagecache的使用大小,对超出限定的pagecache进行提前内存回收,以解决内存吃紧,出现OOM的问题。该方案支持cgroup粒度以及全局内pagecache使用限制,此外还支持同步和异步回收两种方法,灵活度高。
支持动态隔离CPU
CPU隔离可以将不同的CPU核心或CPU集合分配给不同的任务,以避免不同的任务在CPU资源上相互竞争的情况,从而提高整体系统性能和稳定性。CPU隔离技术可以把一部分CPU隔离出来,分配给关键任务使用,非关键任务共享不被隔离的CPU,从而保证关键任务的运行不受影响。然而,系统中的关键任务数量在运行过程中并不固定,隔离过多的CPU会导致CPU资源的浪费,导致资源成本上升。因此需要对CPU资源动态隔离,随时修改CPU隔离范围,以更好地利用CPU资源,节约成本并提升整体业务性能表现。
在cgroup v2上支持CPU Burst和内存最低水位线分级功能
为推广cgroup v2的使用,需补齐ANCK各种自研技术在cgroup v2版本上的接口,包括CPU Burst和内存最低水位线分级功能。
xdp socket支持为queue分配虚拟内存,避免内存碎片化导致的xdp socket分配失败问题
默认情况下xdp socket使用__get_free_pages() 分配连续的物理内存使用。如果机器内存碎片化较为严重,很容易出现申请失败的情况,导致xdp socket创建失败。该特性使用vmalloc()分配内存,减少了xdp socket创建失败的可能性。
Alibaba Cloud Linux 3.2104 U6.1
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U6.1 | aliyun_3_x64_20G_alibase_20230424.vhd | 2023-04-24 |
|
aliyun_3_arm64_20G_alibase_20230424.vhd | 2023-04-24 |
| |
aliyun_3_x64_20G_alibase_20230327.vhd | 2023-03-27 |
| |
aliyun_3_arm64_20G_alibase_20230327.vhd | 2023-03-27 |
|
Alibaba Cloud Linux 3.2104 U6
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2104 U6 | aliyun_3_x64_20G_qboot_alibase_20230214.vhd | 2023-02-14 |
|
aliyun_3_x64_20G_dengbao_alibase_20230214.vhd | 2023-02-14 |
| |
aliyun_3_arm64_20G_dengbao_alibase_20230214.vhd | 2023-02-14 |
| |
aliyun_3_x64_20G_uefi_alibase_20230214.vhd | 2023-02-14 |
| |
aliyun_3_x64_20G_alibase_20230110.vhd | 2023-01-10 |
| |
aliyun_3_arm64_20G_alibase_20230110.vhd | 2023-01-10 |
|
2022年
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.5.2 | aliyun_3_x64_20G_alibase_20221118.vhd | 2022-11-18 | 更新 |
aliyun_3_arm64_20G_alibase_20221118.vhd | 2022-11-18 | 更新 | |
aliyun_3_x64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
aliyun_3_arm64_20G_alibase_20221102.vhd | 2022-11-02 |
| |
Alibaba Cloud Linux 3.5 | aliyun_3_x64_20G_alibase_20220907.vhd | 2022-09-07 |
|
aliyun_3_arm64_20G_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_dengbao_alibase_20220914.vhd | 2022-09-14 |
| |
aliyun_3_x64_20G_qboot_alibase_20220907.vhd | 2022-09-07 |
| |
aliyun_3_x64_20G_uefi_alibase_20220907.vhd | 2022-09-07 |
| |
Alibaba Cloud Linux 3.4.2 | aliyun_3_arm64_20G_alibase_20220819.vhd | 2022-08-19 |
|
aliyun_3_x64_20G_alibase_20220815.vhd | 2022-08-15 |
| |
Alibaba Cloud Linux 3.4.1 | aliyun_3_x64_20G_alibase_20220728.vhd | 2022-07-28 |
|
aliyun_3_arm64_20G_alibase_20220728.vhd | 2022-07-28 |
| |
Alibaba Cloud Linux 3.4 | aliyun_3_2104_x64_20G_dengbao_alibase_20220601.vhd | 2022-06-01 |
|
aliyun_3_x64_20G_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_x64_20G_qboot_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_x64_20G_uefi_alibase_20220527.vhd | 2022-05-27 |
| |
aliyun_3_arm64_20G_alibase_20220526.vhd | 2022-05-26 |
| |
Alibaba Cloud Linux 3.3.4 | aliyun_3_x64_20G_alibase_20220413.vhd | 2022-04-13 |
|
aliyun_3_arm64_20G_alibase_20220413.vhd | 2022-04-13 |
| |
Alibaba Cloud Linux 3.3.3 | aliyun_3_x64_20G_alibase_20220315.vhd | 2022-03-15 |
|
aliyun_3_arm64_20G_alibase_20220315.vhd | 2022-03-15 |
| |
Alibaba Cloud Linux 3.3.2 | aliyun_3_x64_20G_alibase_20220225.vhd | 2022-02-25 |
|
aliyun_3_x64_20G_qboot_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_x64_20G_scc_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_arm64_20G_alibase_20220225.vhd | 2022-02-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20220225.vhd | 2022-02-25 |
|
2021年
版本号 | 镜像ID | 发布时间 | 发布内容 |
Alibaba Cloud Linux 3.2 | aliyun_3_x64_20G_qboot_alibase_20211214.vhd | 2021-12-14 |
|
aliyun_3_x64_20G_scc_alibase_20211018.vhd | 2021-10-18 |
| |
aliyun_3_x64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_arm64_20G_alibase_20210910.vhd | 2021-09-10 |
| |
aliyun_3_x64_20G_uefi_alibase_20210910.vhd | 2021-09-10 |
| |
Alibaba Cloud Linux 3.1 | aliyun_3_arm64_20G_alibase_20210709.vhd | 2021-07-09 |
|
aliyun_3_x64_20G_scc_alibase_20210806.vhd | 2021-08-06 |
| |
aliyun_3_x64_20G_alibase_20210425.vhd | 2021-04-25 |
| |
aliyun_3_x64_20G_uefi_alibase_20210425.vhd | 2021-04-25 |
| |
Alibaba Cloud Linux 3.0 | aliyun_3_x64_20G_alibase_20210415.vhd | 2021-04-15 |
|