OpenShift 上的 RHEL Atomic Image:安装安全更新
RHEL Atomic Image on OpenShift: Installing security updates
我正在努力修复我们的应用程序的安全漏洞,该应用程序部署在我们客户的 OpenShift 集群上。
具体来说,我们需要安装这些更新:
RHSA-2018:1062: kernel security, bug fix, and enhancement update (Important)
RHSA-2018:1967: kernel-alt security and bug fix update (Important)
RHSA-2017:0372: kernel-aarch64 security and bug fix update (Important)
RHSA-2018:0180: kernel-alt security and bug fix update (Important)
RHSA-2018:0654: kernel-alt security, bug fix, and enhancement update (Important)
RHSA-2018:1374: kernel-alt security and bug fix update (Important)
RHSA-2018:2181: gnupg2 security update (Important)
RHSA-2018:0502: kernel-alt security and bug fix update (Important)
我们正在尝试将 RHEL 7 Atomic (registry.access.redhat.com/rhel7-atomic:latest) 作为新的基础映像,但我仍然找不到正确的命令和配置来应用更新。
以下是构建应用程序时的示例命令结果 Docker 图片:
microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms update
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
Nothing to do.
另一次尝试:
microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms \
install kernel kernel-alt kernel-aarch64
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
[91merror: No package matches 'kernel-alt'
有人可以建议下一步去哪里吗?
谢谢!
此致,
查克里特 W.
容器内的应用程序通常不需要内核更新,因为内核未安装在容器中。 kernel-headers 包可能是个例外,但它仅用于构建软件,而不是 运行 它,除了一些非常特殊的例外。
kernel-alt 内核不适用于 x86-64 架构,您列出的 channels/RPM 存储库不包含此内核。
对于gnupg2 security update RHSA-2018:2181, see Graham Dumpleton的解释。它已经安装在当前版本的基础映像中:
# docker run registry.access.redhat.com/rhel7-atomic:latest \
> rpm -q gnupg2 --changelog | head
* Thu Jun 21 2018 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-5
- fix CVE-2018-12020 - missing sanitization of original filename
* Thu Mar 24 2016 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-4
- allow import of RSA-E and RSA-S keys (patch by Marcel Kolaja) (#1233182)
- do not abort when missing hash algorithm in FIPS mode (#1078962)
* Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 2.0.22-3
- Mass rebuild 2014-01-24
我正在努力修复我们的应用程序的安全漏洞,该应用程序部署在我们客户的 OpenShift 集群上。
具体来说,我们需要安装这些更新:
RHSA-2018:1062: kernel security, bug fix, and enhancement update (Important)
RHSA-2018:1967: kernel-alt security and bug fix update (Important)
RHSA-2017:0372: kernel-aarch64 security and bug fix update (Important)
RHSA-2018:0180: kernel-alt security and bug fix update (Important)
RHSA-2018:0654: kernel-alt security, bug fix, and enhancement update (Important)
RHSA-2018:1374: kernel-alt security and bug fix update (Important)
RHSA-2018:2181: gnupg2 security update (Important)
RHSA-2018:0502: kernel-alt security and bug fix update (Important)
我们正在尝试将 RHEL 7 Atomic (registry.access.redhat.com/rhel7-atomic:latest) 作为新的基础映像,但我仍然找不到正确的命令和配置来应用更新。
以下是构建应用程序时的示例命令结果 Docker 图片:
microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms update
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
Nothing to do.
另一次尝试:
microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms \
install kernel kernel-alt kernel-aarch64
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
[91merror: No package matches 'kernel-alt'
有人可以建议下一步去哪里吗? 谢谢!
此致, 查克里特 W.
容器内的应用程序通常不需要内核更新,因为内核未安装在容器中。 kernel-headers 包可能是个例外,但它仅用于构建软件,而不是 运行 它,除了一些非常特殊的例外。
kernel-alt 内核不适用于 x86-64 架构,您列出的 channels/RPM 存储库不包含此内核。
对于gnupg2 security update RHSA-2018:2181, see Graham Dumpleton的解释。它已经安装在当前版本的基础映像中:
# docker run registry.access.redhat.com/rhel7-atomic:latest \
> rpm -q gnupg2 --changelog | head
* Thu Jun 21 2018 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-5
- fix CVE-2018-12020 - missing sanitization of original filename
* Thu Mar 24 2016 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-4
- allow import of RSA-E and RSA-S keys (patch by Marcel Kolaja) (#1233182)
- do not abort when missing hash algorithm in FIPS mode (#1078962)
* Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 2.0.22-3
- Mass rebuild 2014-01-24