云小栈CentOS 7.9(发布于2020年12月)相较于 CentOS 7.8(发布于2020年4月),主要是一个以安全更新和稳定性修复为核心的版本升级。它并不引入新功能,而是对系统组件、内核以及关键软件包进行了累积性的安全补丁和错误修复。以下是 CentOS 7.9 在安全补丁方面相较于 7.8 的主要增强点:
1. 内核安全更新
- Linux 内核版本升级:
CentOS 7.9 使用的内核版本为3.10.0-1160.el7,而 7.8 是3.10.0-1127.el7。 - 包含多个重要的安全漏洞修复,例如:
- CVE-2020-14351:AF_PACKET 接口中的释放后使用(Use-After-Free)漏洞,可能导致本地提权。
- CVE-2020-14386:IPv4 堆栈中 ICMP 错误消息处理的缓冲区溢出,可能被远程利用。
- CVE-2019-14897:XFRM 子系统中的信息泄露问题。
- 多个针对 Spectre/Meltdown 变种的缓解措施更新。
这些内核补丁显著增强了系统的底层安全性,特别是防止本地提权和远程攻击。
2. OpenSSL 安全更新
- 升级至 OpenSSL 1.0.2 更高版本(如
openssl-1.0.2k-21.el7_9),修复了多个 TLS 相关漏洞:- CVE-2020-1971:X.509 证书解析时的堆溢出漏洞(影响证书验证过程)。
- 其他多个与证书验证、密钥协商相关的安全缺陷。
这对依赖 SSL/TLS 的服务(如 Apache、Nginx、OpenSSH)至关重要。
3. Glibc 安全修复
- 更新 glibc 至包含多个安全补丁的版本:
- CVE-2020-1751 和 CVE-2020-1752:涉及
readelf和malloc的内存越界访问问题。 - 提升了动态链接器和 C 库的整体安全性。
- CVE-2020-1751 和 CVE-2020-1752:涉及
4. systemd 安全改进
- systemd 更新到更稳定的版本,修复了以下问题:
- CVE-2020-13776:网络命名空间配置中的权限提升风险。
- 改进了服务沙箱化机制,限制服务对系统资源的访问。
5. SELinux 策略增强
- 更新 SELinux 策略包(
selinux-policy),包含更多最小权限规则和对常见服务(如 httpd、mysqld)的更严格上下文控制。 - 修复了某些场景下 SELinux 策略绕过或标签错误的问题。
6. 关键工具链与库的安全更新
- glibc、nss、libssh、libxml2 等基础库均获得安全补丁,减少潜在攻击面。
- 例如:
- libssh CVE-2020-1730:身份验证绕过漏洞。
- libxml2 CVE-2019-20388:XML 实体扩展导致的拒绝服务。
7. 防火墙与网络安全组件更新
- firewalld 和 iptables 更新,修复策略应用不一致等问题。
- NetworkManager 修复了 DHCP 客户端处理恶意响应可能导致崩溃的问题。
8. 审计与日志安全增强
- auditd 工具链更新,提升了对系统调用监控的准确性和性能。
- 加强了对特权操作的日志记录能力,有助于安全审计和入侵检测。
9. 第三方仓库兼容性与 EPEL 安全同步
- 虽然不属于 CentOS 本身,但 7.9 发布时,EPEL 等仓库也同步更新了大量软件包的安全补丁,整体生态更安全。
总结:安全增强重点
| 类别 | 主要安全增强 |
|---|---|
| 内核 | 多个本地提权、远程执行漏洞修复(CVE-2020-14351, CVE-2020-14386) |
| OpenSSL | 修复 X.509 解析漏洞(CVE-2020-1971) |
| Glibc | 内存安全问题修复 |
| SELinux | 策略更严格,减少权限滥用风险 |
| Systemd | 沙箱机制改进,防止服务逃逸 |
| 基础库 | libssh、libxml2 等关键库漏洞修复 |
建议
对于生产环境,建议尽快从 CentOS 7.8 升级到 7.9(或更高小版本),以获取最新的安全补丁。尽管 CentOS Linux 7 已于 2024 年 6 月 30 日停止维护,但在停服前,7.9 是最安全的 7.x 版本之一。
⚠️ 注意:CentOS 7 已进入 EOL(End of Life),建议迁移到 RHEL、CentOS Stream、AlmaLinux 或 Rocky Linux 等替代发行版以继续获得安全支持。
如需查看具体补丁列表,可参考 Red Hat 官方发布的 RHEL 7.9 Release Notes 和 CentOS Changelog。
