ALASLIVEPATCH という ALAS のリリース
4/29(水)頃、下記のような ALAS がリリースされました。
https://alas.aws.amazon.com/AL2/ALASLIVEPATCH-2020-002.html
| ALAS | カーネルバージョン | 影響度 | リリース日時 | 対象 CVE |
|---|---|---|---|---|
| ALASLIVEPATCH-2020-002 | kernel-livepatch-4.14.165-133.209 | important | 2020-04-29 03:37(日本時間) | CVE-2019-15918, CVE-2019-20096 |
通常の ALAS のタイトルは、 ALAS-XXXX-XXX のような形式なのですが、
リンクにもある通り、この日から突然 ALASLIVEPATCH という文字列になりました。
livepatch とは
再起動せずにカーネルにパッチを適用する方法のことです。
Amazon Linux における livepatch
下記公式ページにて、 livepatch についての説明が書いてあります。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html
カーネルバージョン 4.14.165-131.185 以降の Amazon Linux 2 で livepatch の利用が可能とのことで、
上記ページの通り、カーネルライブパッチ用の yum プラグインをインストール、有効にしておけば、自動的にカーネルの更新を再起動なしに実施してくれるようです。
また、カーネルのライブパッチには、ALASLIVEPATCH というプレフィックスが付くとのことで、ALASLIVEPATCH-2020-002 は、livepatch によるカーネル更新であるということのようです。
ただ、さらに上記公式ページの下記文章によると、3 ヶ月間は livepatch による再起動なしの自動更新ができるが、3 ヶ月に一回は再起動をして新しいカーネルバージョンにする必要があるようです。
An Amazon Linux 2 kernel receives kernel live patches for a period of three months. After the three month period has lapsed, no new kernel live patches are released for that kernel version. To continue to receive kernel live patches after the three-month period, you must reboot the instance to move to the new kernel version, which will then continue receiving kernel live patches for the next three months. To check the support window for your kernel version, run yum kernel-livepatch supported.
3ヶ月間は再起動なしに運用できるとすると、サーバの運用が楽になりそうです。