Nouvelles fonctionnalités et modifications dans UEK 8U1

Les nouvelles fonctionnalités, améliorations et modifications notables suivantes ont été introduites dans UEK 8U1.

Version du noyau

UEK 8U1 est initialement publié avec la version 6.12.0-100.28.2 du noyau.

Renforcement de dmesg pour les privilèges administrateur

UEK 8U1 est paramétré avec l'indicateur SECURITY_DMESG_RESTRICT activé. Les privilèges d'administrateur sont désormais requis pour exécuter la commande dmesg lorsqu'un système exécute UEK 8U1.

Cette mise à jour empêche le système d'accéder sans restriction aux informations sensibles sur le système. Utilisez la commande sudo pour obtenir des privilèges administrateur lors de l'exécution de dmesg.

Si vous devez désactiver cette restriction de toute urgence, vous pouvez exécuter sudo sysctl kernel.dmesg_restrict=0 pour désactiver temporairement la restriction. Vous pouvez également ajouter l'entrée de configuration dans un fichier de configuration système du répertoire /etc/sysctl.d/ :

echo "kernel.dmesg_restrict = 0" | sudo tee /etc/sysctl.d/dmesg-restrict
sudo sysctl --system

Considérez le risque de sécurité de désactiver cette restriction avant de le faire, et évaluez s'il pourrait être préférable de résoudre cette exigence d'une autre manière.

Pilotes mis à jour

Les pilotes de périphérique inclus dans UEK 8U1 sont alignés sur les pilotes du noyau Linux 6.12 de la ligne principale en amont. Quelques mises à jour notables sont incluses où les pilotes incluent des fonctionnalités ou des correctifs disponibles dans les versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle collabore avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8U1 sur le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Alignement du conducteur
Module de pilote	Description du pilote	Version du noyau alignée	Mises à jour importantes
`megaraid_sas`	Pilote SAS Broadcom MegaRAID	6,15	Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 07.734.00.00-rc1
`mgag200`	Pilote HPE MGA G200 SE	6,12	Mise à jour fournie par le partenaire pour les nouveaux appareils iLO7 sur les serveurs HPE Gen12.
`mpi3mr`	Pilote de périphérique de contrôleur de stockage Broadcom MPI3	6,15	Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 8.13.0.5.50
`mpt3sas`	Pilote de périphérique Broadcom LSI MPT Fusion SAS 3.0	6,15	Plusieurs correctifs et améliorations de la version 6.15 ont été rétroportés dans cette version. Notez que ce pilote inclut une chaîne de version : 52.100.00.00

Fonctionnalités obsolètes et supprimées

Les fonctionnalités suivantes sont en phase d'abandon, supprimées ou ne sont plus prises en charge dans UEK 8U1 :

Fonctionnalités en phase d'abandon

Alg. SHA-1

L'algorithme SHA-1 est obsolète dans UEK 8U1 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version d'UEK. L'algorithme SHA-1 a été retiré par le National Institute of Standard and Technology (NIST) parce que l'algorithme de hachage SHA-1 n'est plus considéré comme sécurisé. Pour plus de détails sur l'utilisation et l'abandon de SHA-1, reportez-vous aux notes de version d'Oracle Linux.
Les modules de noyau déplacés vers le package kernel-uek-modules-deprecated sont désormais en phase d'abandon.

Ces modules pourraient être supprimés dans une prochaine version d'UEK.

Pour obtenir une liste détaillée, reportez-vous aux sections UEK 8 Module Deprecations (x86_64) et UEK 8 Module Deprecations (aarch64).
cgroupsv1 est en phase d'abandon

cgroupsv1 est en phase d'abandon dans Oracle Linux 9 et est enlevé dans Oracle Linux 10.
XFS_SUPPORT_V4 est en phase d'abandon

Le format du système de fichiers V4 contient des faiblesses connues dans le format sur disque. Par conséquent, l'option est obsolète dans UEK 8U1 et sera supprimée dans une prochaine version d'UEK.

Vous pouvez vérifier si le système de fichiers est formaté pour utiliser V4, en exécutant la commande xfs_db -r -c version <device>.

Si la fonctionnalité est activée, vous devez sauvegarder les données, reformater le périphérique et restaurer les données.
XFS_SUPPORT_ASCII_CI est en phase d'abandon

La fonctionnalité de nom non sensible à la casse XFS ASCII est obsolète dans UEK 8U1 et sera supprimée dans une prochaine version d'UEK. La fonctionnalité a fourni une option permettant de formater un système de fichiers XFS avec l'option ascii-ci activée pour désactiver la sensibilité à la casse.

Vous pouvez vérifier si la fonctionnalité est activée à l'aide de la commande xfs_info.

Si la fonctionnalité est activée, vous devez sauvegarder les données, reformater le périphérique avec l'option désactivée et restaurer les données.
Les options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS sont désactivées

L'option permettant de désactiver SELinux lors de l'exécution à l'aide de l'interface sysfs est supprimée dans cette version UEK.

La méthode préférée de désactivation de SELinux est l'utilisation du paramètre d'initialisation selinux=0

Fonctionnalités supprimées

L'accès illimité au tampon d'anneau du noyau est supprimé.

Dans cette version, l'accès sans privilège au tampon d'anneau du noyau via la sortie de la commande dmesg est supprimé. Utilisez la commande sudo pour escalader les privilèges d'administrateur lors de l'exécution de la commande dmesg. Reportez-vous à dmesg Hardening for Administrator Privileges.
L'option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement 3DES/DES3 RPCSEC GSS est désactivée

Les types de chiffrement RPCSEC GSS DES et Triple-DES (3DES/DES3) sont supprimés dans cette version UEK.

Ces types de chiffrement sont obsolètes par les RFC 6649 et 8429, car ils ne sont pas sécurisés.
Les options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2 sont désactivées
La prise en charge des clients NFSv2 et des serveurs NFSv2 est supprimée dans cette version UEK.

NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.
L'option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP est activée
La prise en charge de NFS version 3 via le protocole réseau UDP est supprimée dans cette version UEK.
Les implémentations NFS/RPC modernes sur TCP et RDMA offrent de meilleures performances qu'UDP et fournissent une livraison commandée fiable des données combinées au contrôle de congestion.
Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.
L'option CONFIG_STAGING est désactivée

L'option de configuration du noyau CONFIG_STAGING est désactivée dans UEK 8U1. L'option de noyau a rendu disponibles des pilotes qui ne répondent pas nécessairement au niveau de qualité de noyau le plus élevé et qui étaient disponibles pour une utilisation test. L'option est en phase d'abandon dans UEK R7 et supprimée dans UEK 8U1.
L'option CONFIG_IXGB est désactivée
Le matériel CONFIG_IXGB pour Intel PRO/10GbE est supprimé dans cette version UEK.
crashkernel=auto supprimé

L'option crashkernel=auto est obsolète dans UEK R7 et n'est pas prise en charge pour Oracle Linux 9. L'option de noyau est supprimée dans UEK 8U1. Pour plus d'informations sur la configuration du paramètre crashkernel sur Oracle Linux, reportez-vous à la section Managing Kernels and System Boot on Oracle Linux.
L'option CONFIG_IP_NF_TARGET_CLUSTERIP est désactivée
L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des clusters d'équilibrage de charge de serveurs réseau sans routeur ou commutateur d'équilibrage de charge dédié est supprimée au profit de fonctionnalités déjà présentes dans la correspondance de cluster Netfilter.
Option CONFIG_EFI_VARS désactivée
L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée de cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus d'informations, reportez-vous à https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.
Pilote Firewire retiré

L'option CONFIG_FIREWIRE est désactivée dans cette version UEK.
Plusieurs modules de planificateur réseau supprimés

Les modules d'ordonnanceur réseau suivants sont en phase d'abandon dans UEK R7 et sont maintenant supprimés dans UEK 8U1 :
- cls_tcindex
- cls_rsvp
- sch_dsmark
- sch_atm
- sch_cbq
Module resilient_rdmaip supprimé

Le module resilient_rdmaip est en phase d'abandon dans UEK R7 et est maintenant supprimé.
oracleasm Module de noyau supprimé

Le module de noyau oracleasm est supprimé dans UEK 8U1. Notez que ce module continue d'être pris en charge dans les versions UEK R5 et UEK R6.

Oracle ASMLib est toujours pris en charge à l'aide des interfaces io_uring. Pour plus d'informations, reportez-vous à Oracle Linux : installation et configuration d'Oracle ASMLIB v3.
sundance Module de noyau supprimé

Le pilote DLink Sundance (ST201), sundance, est supprimé dans UEK 8U1. Le module a été supprimé dans le noyau en amont car il n'était pas géré.
cpu5_wdt Module de noyau supprimé

Le pilote du chien de garde cpu5_wdt est supprimé dans UEK 8U1. Le module a été supprimé dans le noyau en amont car il présentait plusieurs problèmes qui n'étaient pas résolus et manquaient de maintenance.
Modules de noyau i2c-amd756-s4882 et i2c-nforce2-s4985 supprimés

Les pilotes de fusion hérités i2c-amd756-s4882 et i2c-nforce2-s4985 sont supprimés dans UEK 8U1. Le module a été supprimé dans le noyau en amont car il est ancien et contient un code techniquement inexact.
Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement par flux synchrone sont supprimés dans UEK 8U1, afin de s'aligner sur les changements en amont.