0

我正在努力修复我们的应用程序的安全漏洞,该应用程序部署在我们客户的 OpenShift 集群上。

具体来说,我们需要安装这些更新:

RHSA-2018:1062: kernel security, bug fix, and enhancement update (Important)
RHSA-2018:1967: kernel-alt security and bug fix update (Important)
RHSA-2017:0372: kernel-aarch64 security and bug fix update (Important)
RHSA-2018:0180: kernel-alt security and bug fix update (Important)
RHSA-2018:0654: kernel-alt security, bug fix, and enhancement update (Important)
RHSA-2018:1374: kernel-alt security and bug fix update (Important)
RHSA-2018:2181: gnupg2 security update (Important)
RHSA-2018:0502: kernel-alt security and bug fix update (Important)

我们正在尝试将 RHEL 7 Atomic ( registry.access.redhat.com/rhel7-atomic:latest) 作为新的基础映像,但我仍然找不到正确的命令和配置来应用更新。

以下是构建应用程序 Docker 映像时的示例命令结果:

microdnf --enablerepo=rhel-7-server-rpms \ 
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms update
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
Nothing to do.

另一种尝试:

microdnf --enablerepo=rhel-7-server-rpms \
--enablerepo=rhel-server-rhscl-7-rpms \
--enablerepo=rhel-7-server-extras-rpms \
--enablerepo=rhel-7-server-optional-rpms \
install kernel kernel-alt kernel-aarch64
Downloading metadata...
Downloading metadata...
Downloading metadata...
Downloading metadata...
[91merror: No package matches 'kernel-alt'

有人可以建议下一步在哪里看吗?谢谢!

最好的问候, Chakrit W.

4

1 回答 1

0

容器内的应用程序通常不需要内核更新,因为内核没有安装在容器中。该kernel-headers软件包可能是一个例外,但它仅用于构建软件,而不是运行它,有一些非常特殊的例外。

kernel-alt内核不适用于 x86-64 架构,并且您列出的通道/RPM 存储库不包含此内核。

有关gnupg2安全更新 RHSA-2018:2181,请参阅Graham Dumpleton的说明。它已经安装在当前版本的基础镜像中:

# docker run registry.access.redhat.com/rhel7-atomic:latest \
> rpm -q  gnupg2 --changelog | head
* Thu Jun 21 2018 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-5
- fix CVE-2018-12020 - missing sanitization of original filename

* Thu Mar 24 2016 Tomáš Mráz <tmraz@redhat.com> - 2.0.22-4
- allow import of RSA-E and RSA-S keys (patch by Marcel Kolaja) (#1233182)
- do not abort when missing hash algorithm in FIPS mode (#1078962)

* Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 2.0.22-3
- Mass rebuild 2014-01-24
于 2018-07-20T08:25:23.923 回答