CLOUD技术笔记CentOS 7.8(1903)相比 7.6(1810)在安全补丁和内核版本上的主要提升如下:
1. 内核版本升级
- CentOS 7.6:内核版本默认为 3.10.0-957(基于 RHEL 7.6)。
- CentOS 7.8:内核版本升级至 3.10.0-1127(基于 RHEL 7.8)。
- 包含大量安全修复、硬件支持更新和性能优化。
- 修复了 Spectre/Meltdown 等硬件漏洞的更多变种。
- 改进了文件系统、网络和虚拟化组件的稳定性。
2. 关键安全补丁(7.6 → 7.8 累积更新)
从 7.6 到 7.8 的更新包含了 2019 年至 2020 年中期的重要安全修复,例如:
A. 硬件漏洞缓解
- Spectre V2(CVE-2017-5715):增强 Retpoline 缓解机制。
- L1TF(CVE-2018-3620/CVE-2018-3646):虚拟化环境补丁。
- MDS(CVE-2018-12126/CVE-2018-12130 等):微架构数据采样漏洞修复。
- TSX Async Abort(CVE-2019-11135):Intel TSX 漏洞补丁。
B. 内核安全修复
- 特权提升漏洞:如 CVE-2019-8956(SCTP 漏洞)、CVE-2019-17052(EXT4 漏洞)。
- 拒绝服务漏洞:如 CVE-2019-15291(USB 驱动)、CVE-2020-10757(KVM 漏洞)。
- 网络栈安全:修复 TCP SACK(CVE-2019-11477/11478/11479)漏洞(“SACK Panic”)。
C. 核心组件更新
- OpenSSL 1.0.2k → 1.0.2k-fips(后续更新至 1.0.2k 的安全补丁)。
- Systemd、GNOME、Python 等工具链的安全更新。
3. 其他重要更新
- SELinux 策略优化:增强容器和系统服务隔离。
- Firewalld 与 NetworkManager:安全规则管理改进。
- 容器支持:更新
containerd和runc以修复容器逃逸漏洞(如 CVE-2019-5736 后续修复)。
4. 升级建议
- 安全角度:7.8 修复了 7.6 之后暴露的数百个 CVE 漏洞,建议升级以降低风险。
- 兼容性:7.8 保持与 7.6 的二进制兼容,但需测试应用兼容性。
- 后续支持:CentOS 7 全系列已于 2024 年 6 月结束维护,建议迁移至 CentOS Stream 或 RHEL 替代版本。
如何查看具体更新?
- 通过 CentOS 官方公告查看 7.8 更新内容:
# 查看系统当前内核 uname -r # 查看已安装的安全更新 yum list-sec - 查阅 RHEL 7.8 发行说明(CentOS 同步其安全更新):
- RHEL 7.8 Release Notes
如果需要更具体的 CVE 列表或升级步骤,请告知!
