Следом за выпуском Red Hat Enterprise Linux 9.3 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.9, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков).

Как и в случае с веткой RHEL 9 исходные тексты rpm-пакетов RHEL 8 теперь не распространяются публично через Git-репозиторий CentOS, но остаются доступны клиентам компании через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных. Исходные тексты можно найти в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE объединили усилия и теперь воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA. AlmaLinux перешёл на использование репозитория CentOS Stream и допускает наличие незначительных расхождений в поведении (может отличаться на уровне отдельных патчей), но сохраняет бинарную совместимость на уровне ABI.

Подготовка новых выпусков Red Hat Enterprise Linux 8.x осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.

Ключевые изменения:

• В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, Node.js 20, Valgrind 3.21, SystemTap 4.9, elfutils 0.189, java-21-openjdk (также продолжают поставляться java-17-openjdk, java-11-openjdk и java-1.8.0-openjdk).
• Обновлены серверные и системные пакеты: samba 4.18.4, 389-ds-base 1.4.3.35, OpenSCAP 1.3.8, Grafana 9.2.10, opencryptoki 3.21.0, iproute 6.2.0, libnftnl 1.2.2, makedumpfile 1.7.2, Podman 4.6.
• В AMI-образы для облачных окружений AWS EC2 добавлена поддержка загрузки в режиме UEFI.
• В установочные сборки добавлен параметр "inst.wait_for_disks", задающий время ожидания загрузки kickstart-файла или готовности драйверов в процессе загрузки.
• В kickstart-файлы в команду network добавлены новые опции "--ipv4-dns-search" и "--ipv6-dns-search" для задания базовых доменов для директивы "search" в /etc/resolv.conf, а также опции "--ipv4-ignore-auto-dns" и "--ipv6-ignore-auto-dns" для игнорирования получения настроек DNS через DHCP.
• В сервис fapolicyd для упрощения отладки проблем добавлена передача номеров правил для отклонённых обращений к API fanotify.
• Профили безопасности ANSSI-BP-028 (French National Agency for the Security of Information Systems) обновлены до версии 2.0.
• В средства аудита добавлена поддержка событий FANOTIFY и реализовано сохранение в логе полей fan_type (тип события), fan_info (связанная информация), sub_trust и obj_trust (уровни доверия для субъекта и объекта события).
• В Postfix реализована возможность проверки DNS-записей SRV для определения хоста и порта почтового сервера, который будет использован для передачи сообщений. Предложенную возможность можно использовать в инфраструктурах, в которых для доставки почтовых сообщению используются сервисы с динамически выделяемыми номерами сетевых портов.
• В FTP-сервере vsftpd реализована возможность использования протокола TLS 1.3.
• В пакет cups-filters добавлен драйвер LF-to-CRLF, который можно использовать для преобразования символов "\n" (перевод строки) в "\r\n" (возврат каретки и перевод строки) для принтеров, поддерживающих только обработку файлов с концом строки "\r\n".
• Усилена защищённость предлагаемых по умолчанию настроек сервиса nftables. В состав набора правил /etc/sysconfig/nftables/nat.nft включена новая цепочка do_masquerade, проверяющая уровень рандомизации исходных номеров портов для снижения риска осуществления атаки Port Shadows (CVE-2021-3773).
• В NetworkManager добавлена поддержка опции "no-aaaa" в resolv.conf, отключающей отправку DNS-запросов записей AAAA (определение адреса IPv6 по имени хоста). В утилиту nm-cloud-setup добавлена поддержка настройки AWS Red Hat Enterprise Linux EC2 при помощи токенов IMDSv2 (Instance Metadata Service Version 2).
• Для защиты от атак Spectre v2, связанных со спекулятивным выполнением инструкций, добавлен режим AutoIBRS (Automatic Indirect Branch Restricted Speculation), поддерживаемый в CPU AMD, начиная с семейства EPYC 9004 Genoa.
• Из ядра Linux 6.2 перенесён драйвер Intel QAT с поддержкой устройств Intel Quick Assist Technology 401xx/402xx.
• Добавлена возможность указания UUID при создании ФС GFS2 (в утилиту mkfs.gfs2 добавлена команда "-U").
• В FUSE3 добавлена возможность аннулирования элемента каталога без автоматического отмонтирования точек монтирования, связанных с этим элементом.
• Расширены возможности для кластеров и отказоустойчивых систем: В агенты ресурсов кластера IPaddr2 и IPsrcaddr добавлена поддержка policy routing. В агент ocf:heartbeat:Filesystem добавлена поддержка ФС EFS (Amazon Elastic File System). В агент alert_snmp.sh.sample добавлена поддержка протокола SNMPv3.
• В Glibc добавлены изменения с оптимизациями для повышения производительности на системах с CPU Intel Xeon v5.
• Обеспечена полная поддержка дискретных видеокарт Intel Arc A-Series (Alchemist или DG2).
• Добавлена системная роль для управления юнитами systemd и их установки. Добавлена системная роль для установки, настройки, управления и запуска СУБД PostgreSQL. Добавлена системная роль для инструментария keylime, упрощающая настройку регистратора и верификатора Keylime, применяемого для подтверждения подлинности и непрерывного отслеживания целостности внешней системы. В системную роль firewall добавлена поддержка определения, изменения и удаления ipset-ов. Расширены системные роли для Podman, Kdump, Storage и Microsoft SQL Server.
• В cloud-init добавлена поддержка файлов с ключами, используемыми в NetworkManager.
• В Podman добавлена поддержка контейнеров, сжатых с использованием алгоритма zstd. Добавлена возможность использования Quadlets для автоматической генерации сервисов systemd из описаний контейнеров. Добавлена оболочка podmansh, которую можно использовать вместо /usr/bin/bash для запуска сеанса пользователя в контейнере. Обновлены версии Podman, Buildah, Skopeo, crun и runc.
• Добавлены новые параметры командной строки ядра: gather_data_sampling для управления режимом защиты от атак GDS (Gather Data Sampling или Downfall и rdrand для скрытия поддержки инструкции RDRAND.
• Расширена поддержка оборудования. Добавлены драйверы для сетевых устройств Thunderbolt/USB4 (thunderbolt_net) и беспроводных адаптеров Broadcom 802.11 (brcmfmac), поставляемых для систем ARM64. Добавлены драйверы для Bluetooth-устройств MediaTek, Microsoft Azure Network Adapter IB (mana_ib), Linux USB Video Class driver (uvc), AMD SoundWire (soundwire-amd), DisplayPort Alternate Mode (typec_displayport), Virtio-mem (virtio_mem). Улучшена поддержка процессоров Intel на базе микроархитектуры Meteor Lake.
• Стабилизирована поддержка клиентов для компонентов криптографической верификации sigstore: Rekor (лог для хранения метаданных, заверенных цифровыми подписями) и Fulcio (система удостоверяющих центров (root CA), выдающих короткоживущие сертификаты).
• Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.