RHEL Atomic Image в OpenShift: установка обновлений безопасности

Question

RHEL Atomic Image в OpenShift: установка обновлений безопасности

Я работаю над устранением уязвимости в безопасности нашего приложения, которое развернуто в кластере OpenShift нашего клиента.

Чтобы быть конкретным, нам нужно установить эти обновления:

RHSA-2018:1062: kernel security, bug fix, and enhancement update (Important)
RHSA-2018:1967: kernel-alt security and bug fix update (Important)
RHSA-2017:0372: kernel-aarch64 security and bug fix update (Important)
RHSA-2018:0180: kernel-alt security and bug fix update (Important)
RHSA-2018:0654: kernel-alt security, bug fix, and enhancement update (Important)
RHSA-2018:1374: kernel-alt security and bug fix update (Important)
RHSA-2018:2181: gnupg2 security update (Important)
RHSA-2018:0502: kernel-alt security and bug fix update (Important)

Мы пытаемся RHEL 7 Atomic (registry.access.redhat.com/rhel7-atomic:latest) как новый базовый образ для этого, но я все еще не мог найти правильные команды и конфигурации для применения обновлений.

Вот пример результатов команды при создании образа приложения Docker:

microdnf --enablerepo=rhel-7-server-rpms \ 
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms update
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
Nothing to do.

Еще одна попытка:

microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms \
install kernel kernel-alt kernel-aarch64
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
[91merror: No package matches 'kernel-alt'

Кто-нибудь может подсказать, где искать дальше? Спасибо!

С наилучшими пожеланиями, Чакрит В.

0

openshift redhat atomic rhel errata

Источник

user4119686 20 июл '18 в 05:30

1 ответ

Решение

Другие вопросы по тегам openshift redhat atomic rhel errata

user8316315 20 июл '18 в 08:25 2018-07-20 08:25 · Accepted Answer · 2018-07-20 08:25

Приложение внутри контейнера обычно не нуждается в обновлениях ядра, потому что ядро не установлено в контейнере. kernel-headers Пакет может быть исключением, но он используется только для сборки программного обеспечения, а не для его запуска, за некоторыми исключениями.

kernel-alt Ядро недоступно для архитектуры x86-64, и перечисленные вами репозитории channel /RPM не содержат это ядро.

Для gnupg2 обновление безопасности RHSA-2018: 2181, см. объяснение Graham Dumpleton. Он уже установлен в текущей версии базового образа:

# docker run registry.access.redhat.com/rhel7-atomic:latest \
> rpm -q  gnupg2 --changelog | head
* Thu Jun 21 2018 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-5
- fix CVE-2018-12020 - missing sanitization of original filename

* Thu Mar 24 2016 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-4
- allow import of RSA-E and RSA-S keys (patch by Marcel Kolaja) (#1233182)
- do not abort when missing hash algorithm in FIPS mode (#1078962)

* Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 2.0.22-3
- Mass rebuild 2014-01-24