Documentation sur Oracle Cloud Infrastructure

Nouvelles fonctionnalités et changements dans UEK 8U1

Les nouvelles fonctionnalités, améliorations et changements notables suivants sont introduits dans UEK 8U1.

Version du noyau

UEK 8U1 est initialement sorti avec la version 6.12.0-100.28.2 du noyau.

Renforcement du dmesg pour les privilèges d'administrateur

UEK 8U1 est créé avec l'indicateur SECURITY_DMESG_RESTRICT activé. Les privilèges d'administrateur sont maintenant requis pour exécuter la commande dmesg lorsqu'un système exécute UEK 8U1.

Cette mise à jour empêche le système d'accéder sans restriction aux informations sensibles sur le système. Utilisez la commande sudo pour obtenir les privilèges d'administrateur lors de l'exécution de dmesg.

Si vous devez désactiver cette restriction de toute urgence, vous pouvez exécuter sudo sysctl kernel.dmesg_restrict=0 pour désactiver temporairement la restriction. Vous pouvez également ajouter l'entrée de configuration dans un fichier de configuration du système dans le répertoire /etc/sysctl.d/ :

echo "kernel.dmesg_restrict = 0" | sudo tee /etc/sysctl.d/dmesg-restrict
sudo sysctl --system

Considérez le risque de sécurité lié à la désactivation de cette restriction avant de le faire, et évaluez s'il serait préférable de résoudre cette exigence d'une autre manière.

Inducteurs mis à jour

Les pilotes de périphériques inclus dans UEK 8U1 sont alignés avec les pilotes du noyau en amont Linux 6.12. Quelques mises à jour notables sont incluses dans lesquelles les pilotes incluent des fonctionnalités ou des correctifs disponibles dans des versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle travaille avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8U1 avec le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Alignement de l'inducteur
Module de pilote Description du conducteur Version du noyau alignée Mises à jour notables

megaraid_sas

Pilote Broadcom MegaRAID SAS

6,15

Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 07.734.00.00-rc1

mgag200

Pilote HPE MGA G200 SE

6,12

 Mise à jour fournie par le partenaire pour les nouveaux appareils iLO7 sur les serveurs HPE Gen12.

mpi3mr

Pilote de périphérique de contrôleur de stockage Broadcom MPI3

6,15

Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 8.13.0.5.50

mpt3sas

Broadcom LSI MPT Fusion SAS 3.0 Pilote de périphérique

6,15

Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 52.100.00.00

Fonctions obsolètes et supprimées

Les fonctions suivantes sont obsolètes, supprimées ou ne sont plus prises en charge dans UEK 8U1 :

Fonctions obsolètes

  • Algorithme SHA-1

    L'algorithme SHA-1 est obsolète dans UEK 8U1 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version UEK. L'algorithme SHA-1 a été retiré par le National Institute of Standard and Technology (NIST) parce que l'algorithme de hachage SHA-1 n'est plus considéré comme sécurisé. Voir les notes de version d'Oracle Linux pour plus de détails sur l'utilisation et l'abandon de SHA-1.

  • Les modules de noyau déplacés vers l'ensemble kernel-uek-modules-deprecated sont maintenant obsolètes.

    Ces modules pourraient être supprimés dans une prochaine version d'UEK.

    Pour obtenir une liste détaillée, voir Abandon du module UEK 8 (x86_64) et Abandon du module UEK 8 (aarch64).

  • cgroupsv1 est obsolète

    cgroupsv1 est obsolète dans Oracle Linux 9 et est supprimé dans Oracle Linux 10.

  • XFS_SUPPORT_V4 est obsolète

    Le format du système de fichiers V4 contient des faiblesses connues dans le format sur disque. Par conséquent, l'option est obsolète dans UEK 8U1 et sera supprimée dans une future version UEK.

    Vous pouvez vérifier si le système de fichiers est formaté pour utiliser V4, en exécutant la commande <device> xfs_db -r -c version.

    Si la fonction est activée, vous devez sauvegarder les données, reformater l'appareil et restaurer les données.

  • XFS_SUPPORT_ASCII_CI est obsolète

    La fonction de nom non sensible à la casse XFS ASCII est obsolète dans UEK 8U1 et sera supprimée dans une prochaine version UEK. La fonction a fourni une option pour formater un système de fichiers XFS avec l'option ascii-ci activée pour désactiver la sensibilité à la casse.

    Vous pouvez vérifier si la fonction est activée à l'aide de la commande xfs_info.

    Si la fonction est activée, vous devez sauvegarder les données, reformater l'appareil avec l'option désactivée et restaurer les données.

  • Les options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS sont désactivées

    L'option de désactivation de SELinux à l'exécution à l'aide de l'interface sysfs est supprimée dans cette version UEK.

    La méthode privilégiée pour désactiver SELinux consiste à utiliser le paramètre d'initialisation selinux=0

Fonctions supprimées

  • L'accès illimité au tampon de la bague du noyau est supprimé.

    L'accès sans privilèges à la mémoire tampon de l'anneau du noyau au moyen de la sortie de commande dmesg est supprimé dans cette version. Utilisez la commande sudo pour escalader vers les privilèges d'administrateur lors de l'exécution de la commande dmesg. Voir Dmesg Hardening for Administrator Privileges.

  • L'option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement GSS 3DES/DES3 RPCSEC est désactivée

    Les types de chiffrement GSS RPCSEC DES et Triple-DES (3DES/DES3) sont supprimés dans cette version UEK.

    Ces types de chiffrement étaient obsolètes par les RFC 6649 et 8429, car ils sont connus pour être non sécurisés.

  • Les options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2 sont désactivées

    La prise en charge des clients NFSv2 et des serveurs NFSv2 est supprimée dans cette version UEK.

    NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.

  • L'option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP est activée

    La prise en charge de NFS version 3 sur le protocole réseau UDP est supprimée dans cette version UEK.

    Les mises en œuvre modernes de NFS/RPC sur TCP et RDMA offrent de meilleures performances qu'UDP, et fournissent une livraison fiable et commandée des données combinée au contrôle de la congestion.

    Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.

  • L'option CONFIG_STAGING est désactivée

    L'option de configuration du noyau CONFIG_STAGING est désactivée dans UEK 8U1. L'option noyau a mis à disposition des pilotes qui ne répondent pas nécessairement au niveau de qualité du noyau le plus élevé et qui étaient disponibles pour une utilisation test. L'option était obsolète dans UEK R7 et est supprimée dans UEK 8U1.

  • L'option CONFIG_IXGB est désactivée

    Le CONFIG_IXGB pour le matériel Intel PRO/10GbE est supprimé dans cette version UEK.

  • crashkernel=supprimé automatiquement

    L'option crashkernel=auto était obsolète dans UEK R7 et n'était pas prise en charge pour Oracle Linux 9. L'option noyau est supprimée dans UEK 8U1. Pour plus d'informations sur la configuration du paramètre crashkernel sur Oracle Linux, voir Gestion des noyaux et démarrage du système sur Oracle Linux.

  • L'option CONFIG_IP_NF_TARGET_CLUSTERIP est désactivée

    L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des grappes d'équilibrage de charge de serveurs réseau sans routeur ou commutateur dédié d'équilibrage de charge est supprimée au profit de la fonctionnalité déjà en correspondance de grappe Netfilter.

  • Option CONFIG_EFI_VARS désactivée

    L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée de cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus de renseignements, consultez la page https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Pilote Firewire supprimé

    L'option CONFIG_FIREWIRE est désactivée dans cette version UEK.

  • Plusieurs modules du programmateur de réseau supprimés

    Les modules de programmateur de réseau suivants étaient obsolètes dans UEK R7 et sont maintenant supprimés dans UEK 8U1 :

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Module resilient_rdmaip supprimé

    Le module resilient_rdmaip était obsolète dans UEK R7 et est maintenant supprimé.

  • Module de noyau oracleasm supprimé

    Le module de noyau oracleasm est supprimé dans UEK 8U1. Notez que ce module continue d'être pris en charge dans les versions UEK R5 et UEK R6.

    Oracle ASMLib continue d'être pris en charge à l'aide des interfaces io_uring. Pour plus d'informations, voir Oracle Linux : Installation et configuration d'Oracle ASMLIB v3.

  • Module de noyau sundance supprimé

    Le pilote DLink Sundance (ST201), sundance, est supprimé dans UEK 8U1. Le module a été supprimé dans le noyau amont car il n'était pas mis à jour.

  • Module de noyau cpu5_wdt supprimé

    Le pilote Watchdog cpu5_wdt est supprimé dans UEK 8U1. Le module a été supprimé dans le noyau en amont car il présentait plusieurs problèmes qui n'étaient pas résolus et manquaient de maintenance.

  • Modules de noyau i2c-amd756-s4882 et i2c-nforce2-s4985 supprimés

    Les pilotes muxing hérités i2c-amd756-s4882 et i2c-nforce2-s4985 sont supprimés dans UEK 8U1. Le module a été supprimé dans le noyau amont car il est vieux et contient du code techniquement inexact.

  • Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

    Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement de flux synchrone sont supprimés dans UEK 8U1, pour s'aligner avec les modifications en amont.