本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
YUM(Yellowdog Updater Modified)是一個強大的包管理工具,可以用來安裝、更新、刪除軟件包,以及管理軟件包倉庫,進行安全更新操作對于保持系統安全至關重要。Alibaba Cloud Linux發行版為保障系統的安全性,會緊密跟進業界與社區發現的軟件問題及安全漏洞(CVE),及時更新包括內核在內的軟件包、修復軟件缺陷、修補安全漏洞以及增強安全功能。本文主要介紹如何使用yum查詢、檢查以及安裝Alibaba Cloud Linux操作系統的安全更新。
前提條件
已創建了操作系統為Alibaba Cloud Linux的ECS實例。具體操作,請參見實例創建方式介紹。
背景信息
關于Alibaba Cloud Linux安全更新記錄,請參見Alibaba Cloud Linux 3安全公告和Alibaba Cloud Linux 2安全公告。
Alibaba Cloud Linux安全更新根據CVE的通用漏洞評估方法(CVSS3)的評分,將安全更新分為以下四個等級:
Critical:高風險,必須更新
Important:較高風險,強烈建議更新
Moderate:中等風險,推薦更新
Low:低風險,可選更新
查詢安全更新
查詢安全更新的yum命令格式如下。
yum updateinfo <command> [option]
yum updateinfo
命令用于顯示與軟件包更新相關的信息。包括哪些更新是安全更新、哪些是缺陷修復更新、哪些是增強功能更新。此命令通常用于獲取可用更新的詳細信息,包括描述更新的類型、相關的CVE標識、以及可能影響的軟件包。
命令內參數的取值說明如下。
變量名稱 | 取值 |
<command> |
|
[option] |
|
yum updateinfo
命令相關的使用示例如下。
運行以下命令,獲取命令的幫助信息。
yum updateinfo --help
運行以下命令,查詢當前全部可用的安全更新信息。
yum updateinfo
查詢結果示例如下所示:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:06:42 ago on Wed 02 Jun 2021 03:05:30 AM EDT. Updates Information Summary: available 3 Security notice(s) 2 Important Security notice(s) 1 Moderate Security notice(s)
Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Determining fastest mirrors base | 3.1 kB 00:00:00 extras | 2.5 kB 00:00:00 plus | 2.5 kB 00:00:00 updates | 2.9 kB 00:00:00 (1/6): extras/2.1903/x86_64/primary_db | 149 kB 00:00:00 (2/6): base/2.1903/x86_64/group_gz | 101 kB 00:00:00 (3/6): updates/2.1903/x86_64/updateinfo | 81 kB 00:00:00 (4/6): plus/2.1903/x86_64/primary_db | 1.5 MB 00:00:00 (5/6): base/2.1903/x86_64/primary_db | 4.9 MB 00:00:00 (6/6): updates/2.1903/x86_64/primary_db | 6.1 MB 00:00:00 Updates Information Summary: updates 17 Security notice(s) 7 Important Security notice(s) 6 Moderate Security notice(s) 4 Low Security notice(s) updateinfo summary done
運行以下命令,查詢當前可用的安全更新列表。
yum updateinfo list
查詢結果示例如下所示:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:09:05 ago on Wed 02 Jun 2021 03:05:30 AM EDT. ALINUX3-SA-2021:0008 Moderate/Sec. gnutls-3.6.14-7.1.al8.x86_64 ALINUX3-SA-2021:0029 Important/Sec. gnutls-3.6.14-8.1.al8.x86_64 ALINUX3-SA-2021:0028 Important/Sec. libldb-2.1.3-3.1.al8.x86_64 ALINUX3-SA-2021:0029 Important/Sec. nettle-3.4.1-4.1.al8.x86_64
Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ALINUX2-SA-2019:0055 Moderate/Sec. binutils-2.27-41.base.1.al7.x86_64 ALINUX2-SA-2019:0058 Low/Sec. curl-7.29.0-54.1.al7.x86_64 ALINUX2-SA-2019:0059 Low/Sec. elfutils-default-yama-scope-0.176-2.1.al7.n ...
運行以下命令,查詢指定安全更新的內容。
yum updateinfo info <update_id>
使用示例如下:
Alibaba Cloud Linux 3
例如,<update_id>的取值為
ALINUX3-SA-2021:0008
,則需要運行以下命令。yum updateinfo info ALINUX3-SA-2021:0008
查詢結果示例如下所示:
Last metadata expiration check: 0:11:58 ago on Wed 02 Jun 2021 03:05:30 AM EDT. =============================================================================== ALINUX3-SA-2021:0008: gnutls security and bug fix update (Moderate) =============================================================================== Update ID: ALINUX3-SA-2021:0008 Type: security Updated: 1969-12-31 19:00:00 CVEs: CVE-2020-24659 Description: Package updates are available for Alibaba Cloud Linux 3 that fix the following vulnerabilities: : : CVE-2020-24659: : An issue was discovered in GnuTLS before 3.6.15. A server can trigger a NULL pointer dereference in a TLS 1.3 client if a no_renegotiation alert is sent with unexpected timing, and then an invalid second handshake occurs. The crash happens in the application's error handling path, where the gnutls_deinit function is called after detecting a handshake failure. : Severity: Moderate
Alibaba Cloud Linux 2
例如,<update_id>的取值為
ALINUX2-SA-2020:0005
,則需要運行以下命令。yum updateinfo info ALINUX2-SA-2020:0005
查詢結果示例如下所示:
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile =============================================================================== ALINUX2-SA-2020:0005: nss, nss-softokn, nss-util security update (Important) =============================================================================== Update ID : ALINUX2-SA-2020:0005 Release : Alibaba Cloud Linux 2.1903 Type : security Status : stable Issued : 2020-01-03 CVEs : CVE-2019-11729 : CVE-2019-11745 Description : Package updates are available for Alibaba Cloud Linux 2.1903 that fix : the following vulnerabilities: : : CVE-2019-11729: : Empty or malformed p256-ECDH public keys may : trigger a segmentation fault due values being : improperly sanitized before being copied into : memory and used. This vulnerability affects : Firefox ESR < 60.8, Firefox < 68, and Thunderbird : < 60.8. : : CVE-2019-11745: : When encrypting with a block cipher, if a call to : NSC_EncryptUpdate was made with data smaller than : the block size, a small out of bounds write could : occur. This could have caused heap corruption and : a potentially exploitable crash. This : vulnerability affects Thunderbird < 68.3, Firefox : ESR < 68.3, and Firefox < 71. : Severity : Important updateinfo info done
運行以下命令,指定安全更新級別進行查詢。
yum updateinfo list --sec-severity=Moderate
查詢結果示例如下所示:
Last metadata expiration check: 0:05:25 ago on Mon 07 Jun 2021 09:08:25 AM EDT. ALINUX3-SA-2021:0008 Moderate/Sec. gnutls-3.6.14-7.1.al8.x86_64
檢查安全更新
Alibaba Cloud Linux操作系統中默認安裝并開啟了update-motd
服務,當系統檢測有可用的安全更新時,會在您登錄ECS實例時顯示安全更新的提醒。關于update-motd
服務的管理操作,請參見管理update-motd服務。
您也可以通過yum check-update --security
命令檢查系統當前可用的安全更新信息。可以在命令后追加參數--sec-severity=<SEVS>
來檢查指定級別的安全更新,參數<SEVS>為指定的安全更新級別。
您可以指定多個安全更新的級別,以半角逗號(,)分隔,區分大小寫。
檢查安全更新的使用示例如下。
Alibaba Cloud Linux 3
示例一:運行以下命令,檢查所有安全更新信息。
yum check-update --security
查詢結果示例如下所示:
Last metadata expiration check: 0:08:41 ago on Wed 02 Jun 2021 05:24:55 PM CST. nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updates
示例二:運行以下命令,檢查高風險和較高風險的安全更新信息。
yum check-update --security --sec-severity={Critical,Important}
查詢結果示例如下所示:
Last metadata expiration check: 0:10:23 ago on Wed 02 Jun 2021 05:24:55 PM CST. gnutls.x86_64 3.6.14-8.2.al8 alinux3-updates nss.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn.x86_64 3.53.1-17.1.al8 alinux3-updates nss-softokn-freebl.x86_64 3.53.1-17.1.al8 alinux3-updates nss-sysinit.x86_64 3.53.1-17.1.al8 alinux3-updates nss-util.x86_64 3.53.1-17.1.al8 alinux3-updates perl-Errno.x86_64 1.28-417.2.al8 alinux3-updates perl-IO.x86_64 1.38-417.2.al8 alinux3-updates
Alibaba Cloud Linux 2
示例一:運行以下命令,檢查狀態為
available
的所有安全更新信息。yum check-update --security |grep available
查詢結果示例如下所示:
49 package(s) needed for security, out of 183 available
示例二:運行以下命令,檢查狀態為
available
的高風險和較高風險的安全更新信息。yum check-update --security --secseverity=Critical,Important |grep available
查詢結果示例如下所示:
30 package(s) needed for security, out of 183 available
安裝安全更新
檢查系統中有安全更新時,您可以通過yum upgrade
命令指定安全更新級別或者CVE ID,安裝安全更新。
通過命令yum upgrade
進行安裝安全更新會強制刪除過時的軟件包(內核包除外),可能造成您的實例停止工作,導致業務中斷,建議您在非業務高峰期時執行該操作。
命令
yum upgrade --security
可以安裝安全更新,可在該命令后追加參數--sec-severity=<SEVS>
來安裝指定級別的安全更新,<SEVS>為指定的安全更新級別。說明您可以指定多個安全更新的級別,以半角逗號(,)分隔,區分大小寫。
使用示例如下:
運行以下命令,安裝高風險和較高風險的安全更新。
sudo yum upgrade --security --sec-severity={Critical,Important}
安裝過程中的回顯信息示例如下所示:
Alibaba Cloud Linux 3
Last metadata expiration check: 0:06:43 ago on Wed 02 Jun 2021 03:51:48 AM EDT. Dependencies resolved. ================================================================================ Package Arch Version Repository Size ================================================================================ Upgrading: ... Transaction Summary ================================================================================ Upgrade 12 Packages Total download size: 3.9 M Is this ok [y/N]:
Alibaba Cloud Linux 2
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ... [snipped] ... Transaction Summary ============================================================================================================================================================================= Upgrade 30 Packages (+1 Dependent package) Total download size: 91 M Is this ok [y/d/N]:
命令
yum upgrade -cve=<CVE ID>
可以安裝指定CVE的安全更新,參數-cve=<CVE ID>
為指定的CVE ID。說明您可以指定多個CVE ID,以半角逗號(,)分隔,區分大小寫。
使用示例如下:
Alibaba Cloud Linux 3
運行以下命令,安裝
CVE-2020-24659
安全更新。sudo yum upgrade --cve=CVE-2020-24659
安裝過程中的回顯信息示例如下所示:
Last metadata expiration check: 0:02:44 ago on Wed 02 Jun 2021 04:17:27 AM EDT. Dependencies resolved. ===================================================================================== Package Architecture Version Repository Size ===================================================================================== Upgrading: ... Transaction Summary ===================================================================================== Upgrade 1 Package Total download size: 1.0 M Is this ok [y/N]
Alibaba Cloud Linux 2
運行以下命令,安裝
CVE-2019-11729
和CVE-2019-11745
安全更新。sudo yum upgrade --cve=CVE-2019-11729,CVE-2019-11745
安裝過程中的回顯信息示例如下所示:
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile ... [snipped] ... Dependencies Resolved ============================================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================================= Updating: nss x86_64 3.44.0-7.1.al7 updates 854 k nss-softokn x86_64 3.44.0-8.1.al7 updates 330 k nss-softokn-freebl x86_64 3.44.0-8.1.al7 updates 225 k nss-sysinit x86_64 3.44.0-7.1.al7 updates 65 k nss-tools x86_64 3.44.0-7.1.al7 updates 528 k nss-util x86_64 3.44.0-4.1.al7 updates 79 k Updating for dependencies: nspr x86_64 4.21.0-1.1.al7 updates 127 k Transaction Summary ============================================================================================================================================================================= Upgrade 6 Packages (+1 Dependent package) Total download size: 2.2 M Is this ok [y/d/N]:
說明通過命令
man yum
可知,sudo yum upgrade
命令等同于sudo yum update --obsoletes
。因配置文件/etc/yum.conf中默認開啟了obsoletes
,所以sudo yum upgrade
也等同于sudo yum update
。
管理update-motd
服務
您可以通過systemctl
命令管理update-motd
服務。具體說明如下:
啟動
update-motd
服務。sudo systemctl start update-motd
停止
update-motd
服務。sudo systemctl stop update-motd
重啟
update-motd
服務。sudo systemctl restart update-motd
查看
update-motd
服務狀態。systemctl status update-motd