OpenCloudOS 8.10 发布：全面兼容企业级 Linux 生态 ，引入更多新 module

2024 年 8 月，OpenCloudOS 社区年度新版本 OpenCloudOS 8.10 正式发布。全面兼容 RHEL 8.10 用户态包，引入 Python 3.12 软件包，更新 GCC Toolset 13、LLVM Toolset 17，Rust Toolset 1.75.0，Go Toolset 1.21.0 等编译器和开发工具。

OpenCloudOS 8.10 采用 Kernel 5.4 LTS 版本（内核小版本 0009.32）， 版本新增支持飞腾平台新的 CPU，新增支持 wangxun 10GB 网卡，PCI/MSI 支持 32 位与 64 位访问，修复 CVE：CVE-2021-3760 和 CVE-2024-1086 安全漏洞。

OpenCloudOS 8.10 在修复上游漏洞的同时也提高了编译性能，引入新模块流Ruby 3.3、PHP 8.2、Nginx 1.24、MariaDB 10.11、PostgreSQL 16 等，为用户提供更加稳定、丰富的生态体验。以下为本次 OpenCloudOS 8.10 全部更新内容。

一、安全性

1、SCAP 安全指南 rebase 到 0.1.72

SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.72。此版本提供了bug 修正和各种改进，最重要的是：

• CIS 配置文件已被更新为与最新的基准一致。
• PCI DSS 配置文件与 PCI DSS 策略版本 4.0 一致。
• STIG 配置文件与最新的 DISA STIG 策略一致。

2、OpenSSL 现在包含针对类似 Bleichenbacher 的攻击的保护

这个 OpenSSL TLS 工具包发行版本引入了类似对 RSA PKCS #1 v1.5 解密过程的 Bleichenbacher 攻击的保护。如果 RSA 解密在 PKCS #1 v1.5 解密过程中检测到一个错误，则它现在返回一个随机生成的确定性消息，而不是一个错误。这个变化提供了对漏洞的通用保护。

您可以通过对 RSA 解密上下文调用 EVP_PKEY_CTX_ctrl_str （ctx, “rsa_pkcs1_implicit_rejection”.“0”） 函数来禁用这个保护，但这会使您的系统更易受攻击。

3、librdkafka rebase 到 1.6.1

Apache Kafka 协议的 librdkafka 实现已 rebase 到上游版本 1.6.1。这是 OC 8 的第一个主功能发行版本。rebase 提供了很多重要的改进和 bug 修复。对于所有相关更改，请参阅 librdkafka 软件包中提供的 CHANGELOG.md 文档。

4、libkcapi rebase 到 1.4.0

提供对 Linux 内核加密 API 访问的 libkcapi 库已 rebase 到上游版本 1.4.0。更新包括各种改进和 bug 修复，最重要的是：

• 添加了 sm3sum 和 sm3hmac 工具。、
• 添加了 kcapi_md_sm3 和 kcapi_md_hmac_sm3 API。
• 添加了 SM4 方便功能。
• 修复了对链接时间优化(LTO)的支持。
• 修复了 LTO 回归测试。
• 修复了对任意大小的 kcapi-enc 的 AEAD 加密的支持。

5、stunnel rebase 到 5.71

stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。此更新更改了 FIPS 模式下 OpenSSL 1.1 及更新版本的行为。如果 OpenSSL 在 FIPS 模式下，且 stunnel 默认 FIPS 配置被设置为 no，则 stunnel 适应 OpenSSL ，且 FIPS 模式被启用。

其他新功能包括：

• 添加了对现代 PostgreSQL 客户端的支持。
• 您可以使用 protocolHeader 服务级选项来插入自定义的 connect 协议协商标头。
• 您可以使用 protocolHost 选项控制客户端 SMTP 协议协商 HELO/EHLO 值。
• 添加了对客户端 protocol = ldap 的客户端支持。
• 现在，您可以使用服务级 sessionResume 选项配置会话恢复。
• 添加了服务器模式下使用 CApath 请求客户端证书的支持（以前，只支持使用 CAfile ）。
• 改进了文件读和日志记录性能。
• 添加了对 retry 选项的可配置延迟的支持。
• 在客户端模式下，当设置了 verifyChain 时，请求和验证 OCSP 装订。
• 在服务器模式下，始终提供 OCSP 装订。
• 不确定的 OCSP 验证会破坏 TLS 协商。您可以通过设置 OCSPrequire = no 来禁用它。

6、OpenSSH 限制身份验证中的人工延迟

登录失败后 OpenSSH 的响应被人工延迟，以防止用户枚举攻击。此更新引入了一个上限，以便在远程身份验证用时很长（例如在特权访问管理(PAM)处理中）时，这种人工延迟不会过长。

7、libkcapi 现在提供了一个用于在哈希-和计算中指定目标文件名的选项*

这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T，用于在哈希-和计算中指定目标文件名。此选项的值覆盖处理后的 HMAC 文件中指定的文件名。您只能通过 -c 选项使用这个选项，例如：

$ sha256hmac -c  -T 

8、audit rebase 到 3.1.2

Linux Audit 系统已更新至版本 3.1.2，与之前发布的版本 3.0.7 相比，它提供了 bug 修复、功能增强和性能改进。主要改进包括：

• auparse 库现在解释未命名的和匿名的套接字。
• 您可以在 ausearch 和 aureport 工具的 start 和 end 选项中使用新关键字 this-hour。
• 在 auditctl 程序中添加了用于信号的用户友好的关键字。
• 改进了对 auparse 中损坏的日志的处理。
• 现在，ProtectControlGroups 选项在 auditd 服务中默认被禁用。
• 对 exclude 过滤器的规则检查已修复。
• OPENAT2 字段的解释已改进。
• audispd af_unix 插件已移到独立的程序。
• Python 绑定已被修改，以防止从 Python API 设置审计规则。这个更改是由于 Simplified Wrapper 和 Interface Generator (SWIG)中的一个 bug 而做的。

二、Shell 和命令行工具

1、openCryptoki rebase 到版本 3.22.0

opencryptoki 软件包已更新至版本 3.22.0。主要变更包括：

• 使用 CPACF 保护的密钥添加了对 AES-XTS 密钥类型的支持。
• 添加了对管理证书对象的支持。
• 添加了对使用 no-login 选项的公共会话的支持。
• 添加了对以 Security Officer (SO)身份登录的支持。
• 添加了对导入和导出 Edwards 和 Montgomery 密钥的支持。
• 添加了对导入 RSA-PSS 密钥和证书的支持。
• 为安全起见，AES-XTS 密钥的两个密钥部分不应相同。此更新增加了对密钥生成和导入过程的检查，以确保这一点。
• 实施了各种 bug 修复。

三、基础架构服务

1、chrony rebase 到版本 4.5

chrony 套件已更新至版本 4.5。主要变更包括：

• 添加了由 hostname 指定的网络时间协议(NTP)源的定期刷新。默认间隔为两周，可以通过向 chrony.conf 文件中添加 refresh 0 来禁用它。
• 改进了自动替换无法访问的 NTP 源。
• 改进了 chronyc 工具所做的重要更改的日志记录。
• 改进了源选择失败和 falsetickers 的日志记录。
• 添加了 hwts