Linux ááŒáá·áºáá»á®áá±áž Bottlerocket 1.3.0 ááᯠááœá²áá¯ááºáá¬ážáá±á¬ ááœááºááááºáá¬áá»á¬ážááᯠáááá±á¬ááºááŒá®áž áá¯á¶ááŒá¯á¶á áœá¬ ááœáŸáá·áºáááºáááºá¡ááœáẠAmazon á áá°ážáá±á«ááºážáá«áááºááŸá¯ááŒáá·áº áá¯ááºáá±ááá¯ááºáá«áááºá ááŒáá·áºááŒá°ážááŸá¯á áááááá¬áá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááŸá¯ á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠRust ááŒáá·áº áá±ážáá¬ážáá¬ážááŒá®áž MIT ááŸáá·áº Apache 2.0 ááá¯ááºá ááºáá»á¬ážá¡á±á¬ááºááœáẠááŒáá·áºáá±áá¬ážáááºá áááºážááẠAmazon ECSá VMware ááŸáá·áº AWS EKS Kubernetes á¡á á¯á¡áá±ážáá»á¬ážáá±á«áºááœáẠBottlerocket ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž ááœááºááááºáá¬áá»á¬ážá¡ááœáẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ áá®ážááŸá¯ááºááŒááºážááŸáá·áº runtime áá°ážááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá±ážááá·áº á áááºááŒáá¯ááºáááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áááºážááŒááºááŸá¯áá»á¬ážááᯠáááºáá®ážáá±ážáááºá
ááŒáá·áºááŒá°ážááŸá¯ááẠááœááºááááºáá¬áá»á¬ážáááºáááºááẠááá¯á¡ááºáá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬áž á¡áá«á¡ááẠLinux kernel ááŸáá·áº á¡áááºážáááºáá»áŸáá±á¬ á áá áºáááºáááºážáá»áẠáá«áááºáá±á¬ á¡ááºáááºááŸáá·áº á¡ááá¯á¡áá»á±á¬áẠááœááºážáá¶áá¬ážáá±á¬ ááœá²ááŒá¬ážááá¯ááºáá±á¬ á áá áºáá¯á¶áá áºáá¯á¶ááᯠáá¶á·ááá¯ážáá±ážáá«áááºá áááºáááºážáá»ááºááœáẠsystemd á áá áºáááºáá±áá»á¬á Glibc á á¬ááŒáá·áºááá¯ááºá Buildroot áááºáá±á¬ááºáá±ážáááááá¬á GRUB boot loaderá ááá¯ážááœááºážáá±á¬ network configuratorá áá®ážááŒá¬ážááœááºááááºáá¬áá»á¬ážá¡ááœáẠcontainerd runtimeá Kubernetes container orchestration platformá aws-iam-authenticator ááŸáá·áº Amazon ECS á¡á±ážáá»áá·áºá
Container orchestration tools áá»á¬ážááẠAPI ááŸáá·áº AWS SSM Agent ááŸáááá·áº default á¡áá±ááŒáá·áº ááœáá·áºáá¬ážááá·áº áá®ážááŒá¬ážá á®áá¶ááá·áºááœá²ááŸá¯ ááœááºááááºáá¬ááœáẠáá¬áá«áááºá á¡ááŒá±áá¶áá¯á¶ááœáẠcommand shellá SSH áá¬áá¬ááŸáá·áº áá¬áá¬ááŒááºáá¬ážáá±á¬ áá¬áá¬á áá¬ážáá»á¬áž áááŸááá« (á¥ááá¬á Python ááá¯á·ááá¯áẠPerl ááá«) - á á®áá¶ááá·áºááœá²áá±ážáááááá¬áá»á¬ážááŸáá·áº á¡ááŸá¬ážááŸá¬ááŒááºááá·áºáááááá¬áá»á¬ážááᯠáá°áááºážá¡ááá¯ááºáž ááááºáá¬ážááá·áº áá®ážááŒá¬ážáááºáá±á¬ááºááŸá¯ááœááºááááºáá¬ááœáẠáá¬ážááŸááá¬ážáááºá
Fedora CoreOSá CentOS/Red Hat Atomic Host áá²á·ááá¯á·áá±á¬ á¡áá¬ážáá° ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážá០á¡ááá ááœá¬ááŒá¬ážáá»ááºááŸá¬ ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážá០á áá áºáá¬ááœááºááŸá¯ááᯠá¡á¬ážáá±á¬ááºážá á±ááá·áº á¡ááŒá±á¡áá±ááœáẠá¡ááŒáá·áºáá¯á¶ážáá¯á¶ááŒá¯á¶áá±ážááᯠáá±ážáá±á¬ááºááẠá¡ááá á¡á¬áá¯á¶á áá¯ááºáá¬ážááŒá®áž OS á¡á áááºá¡ááá¯ááºážáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»áááºááŸáá·áº ááœááºááááºáᬠáá®ážááŒá¬ážááœá²áá¬ážááŸá¯ááᯠááá¯ážááŒáŸáá·áºááẠááá¯ááá¯áááºáá²á á±áááºá . ááœááºááááºáá¬áá»á¬ážááᯠáá¯á¶ááŸáẠLinux kernel ááá¹ááá¬ážáá»á¬áž - cgroupsá namespaces ááŸáá·áº seccomp ááá¯á·ááᯠá¡áá¯á¶ážááŒá¯á áááºáá®ážáá¬ážáááºá áá±á¬ááºááẠáá®ážááŒá¬ážááœá²ááœááºááŒááºážá¡ááœááºá ááŒáá·áºááŒá°ážááŸá¯ááẠ"ááá¯ááºáá¬ááŸá¯" áá¯ááºááœáẠSELinux ááᯠá¡áá¯á¶ážááŒá¯áááºá
root partition ááᯠread-only ááœááºáááºáááºáá¬ážááŒá®áž /etc settings partition ááᯠtmpfs ááœááºáááºáááºáá¬ážááŒá®áž ááŒááºáááºá áááºááŒá®ážáá±á¬áẠáááºážááá°áá¡ááŒá±á¡áá±ááá¯á· ááŒááºáááºáá±á¬ááºááŸáááœá¬ážáá«áááºá /etc/resolv.conf ááŸáá·áº /etc/containerd/config.toml áá²á·ááá¯á·áá±á¬ /etc directory ááŸá ááá¯ááºáá»á¬ážá ááá¯ááºááá¯ááºááœááºážáá¶ááŸá¯ááᯠáá¶á·ááá¯ážááá¬ážáá«á - áááºáááºáá»á¬ážááᯠá¡ááŒá®ážááá¯ááºááááºážáááºážáááºá áááºááẠAPI ááᯠá¡áá¯á¶ážááŒá¯áááẠááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá®ážááŒá¬áž ááœááºááááºáá¬áá»á¬ážááá¯á· ááœáŸá±á·ááá«áááºá dm-verity module ááᯠroot partition á ááŸááºáááºááŸá¯ááᯠáá¯ááºááŸááºáá¬ážááẠá¡áá¯á¶ážááŒá¯ááŒá®áž ááááºááá¯á·ááá·áº á ááºáá á¹á ááºážá¡ááá·áºááœáẠá¡áá»ááºá¡áááºááœááºážáá¶ááẠááŒáá¯ážáááºážááŸá¯á¡á¬áž ááœá±á·ááŸááá«áá á áá áºááẠááŒááºáááºá áááºáááºááŒá áºáááºá
á áá áºá¡á áááºá¡ááá¯ááºážá¡áá»á¬ážá á¯ááᯠRust ááœááºáá±ážáá¬ážáá«áááºá áááºážááẠá¡ááá²á·ááŸááºáá¬ááºáááºáá±á¬ááºááŸá¯áá»á¬ážá null pointer dereferences ááŸáá·áº buffer overruns áá»á¬ážááŒá±á¬áá·áºááŒá áºáááá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážááá¯ááŸá±á¬ááºááŸá¬ážááẠmemory-safe á¡ááºá¹áá«áááºáá»á¬ážááá¯áá±ážáá±á¬ááºáááºá áá¯á¶áá±ááŒáá·áºáááºáá±á¬ááºááá·áºá¡áá«á á á¯á ááºážááŸá¯áá¯áẠ"-enable-default-pie" ááŸáá·áº "-enable-default-ssp" ááᯠexecutable file address space (PIE) á áá»áááºážááŒá¯áá¯ááºááŒááºážááá¯ááœáá·áºáááºááŸáá·áº canary á¡á á¬ážááá¯ážááŒááºážááŒáá·áº stack overflows ááá¯áá¬ááœááºáááºá¡ááœááºá¡áá¯á¶ážááŒá¯áá«áááºá C/C++ ááŒáá·áº áá±ážáá¬ážáá¬ážáá±á¬ áááºáá±á·áá»áºáá»á¬ážá¡ááœááºá â-Wallâá â-Werror=format-securityâá â-Wpá-D_FORTIFY_SOURCE=2âá â-Wpá-D_GLIBCXX_ASSERTIONSâ ááŸáá·áº â-fstack-clashâ á¡áá¶áá»á¬ážá¡ááŒááºá enabled -protection"á
áá¯ááºáá±ááŸá¯á¡áá áºááœááº-
- docker ááŸáá·áº runtime containerd áááááá¬áá»á¬áž (CVE-2021-41089á CVE-2021-41091á CVE-2021-41092á CVE-2021-41103) ááœáẠááŒá¯ááŒááºáá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬áž (CVE-XNUMX-XNUMXá CVE-XNUMX-XNUMXá CVE-XNUMX-XNUMXá CVE-XNUMX-XNUMX) ááœáẠá¡ááœáá·áºáá°ážáá¶áááŸááá±á¬á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá¡ááŒá±áá¶ááá¯áá»á±á¬áºááœááºááœá¬ážá á±ááẠáááºážááœáŸááºááŸáá·áº ááŒááºááááá¯ááááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«á
- IPv6 áá¶á·ááá¯ážááŸá¯ááᯠkubelet ááŸáá·áº ááá°ááá¯ááá¯á· áá±á«ááºážááá·áºáá¬ážáááºá
- áááºážááááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááŒá®ážáá±á¬áẠááœááºááááºáá¬ááᯠááŒááºáááºá áááºááẠááŒá áºááá¯ááºáááºá
- Amazon EC2 M6i ááŒá áºáááºáá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯á¡á¬áž eni-max-pods áááºáá±á·áá»áºááœáẠááá·áºááœááºážáá¬ážáááºá
- Open-vm-tools ááẠCilium áááááá¬á¡á á¯á¶ááᯠá¡ááŒá±áá¶á á ááºáá á¹á ááºážá á áºáá¯ááºááŒááºážá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºáá±á¬ááºážáá±ážáá¬ážáááºá
- x86_64 ááááºáá±á¬ááºážá¡ááœááºá hybrid boot mode ááᯠ(EFI ááŸáá·áº BIOS á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááŒáá·áº) á¡áá±á¬ááºá¡áááºáá±á¬áºáá¬ážáááºá
- Rust áá¬áá¬á áá¬ážá¡ááœáẠáááºáá±á·áá»áºáá¬ážááŸááºážáá»á¬ážááŸáá·áº ááŸá®ááá¯ááŸá¯áá»á¬ážááᯠá¡ááºááááºáá¯ááºáá¬ážáááºá
- Kubernetes 8 ááá¯á¡ááŒá±áá¶á ááŒáá·áºááŒá°ážááŸá¯áá»áá¯ážááœá² aws-k1.17s-1.17 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáááºááá¯ááºážááá¯ááºáá«ááŒá®á Kubernetes 8 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááŒáá·áº aws-k1.21s-1.21 áá¬ážááŸááºážááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá k8s áá»áá¯ážááœá²áá»á¬ážááẠcgroup runtime.slice ááŸáá·áº system.slice áááºáááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá
source: opennet.ru