Under Construction

Arbeiten mit AIX > Fortgeschrittene Administration > Interim Fixes > Automatisches Entfernen eines Ifixes

Besitzt ein zu installierender Ifix die Eigenschaft automatisch entfernt werden zu können?

Bevor wir die 3 bereitgestellten Ifixes auf unserem System installieren, stellen wir uns die Frage, ob diese Ifixes bei einem Update auch automatisch entfernt werden.

Bei Software von IBM (AIX, PowerHA und andere) ist einem APAR ein zugehöriger Ifix zugeordnet. Umgekehrt enthält ein solcher Ifix aber auch eine Zuordnung (Referenz) auf den zugehörigen APAR (oder mehrere). Es gibt verschiedene Möglichkeiten sich diese Referenz auf einen APAR anzuzeigen. Hier zunächst die Variante mit dem Kommando emgr für den OpenSSH Ifix:

# emgr -d -e 81112ma.240224.epkg.Z -v 3

+-----------------------------------------------------------------------------+
Displaying Configuration File "APARREF"
+-----------------------------------------------------------------------------+
none

#

Hinweis: Es muss der Wert 3 bei der Option „-v“ angegeben werden, ansonsten werden weniger Informationen ausgegeben und die Referenz auf einen APAR wird nicht angezeigt.

Relevant ist der Abschnitt zu APARREF. Für diesen Ifix gibt es keine Referenz auf einen APAR (Wert ist hier „none“). Dieser Ifix kann damit bei einem Update nicht automatisch entfernt werden!

Wir listen den zweiten Ifix (IJ50424s7a.240315.epkg.Z) auf die gleiche Art und Weise auf:

# emgr -d -e IJ50424s7a.240315.epkg.Z -v 3

+-----------------------------------------------------------------------------+
Displaying Configuration File "APARREF"
+-----------------------------------------------------------------------------+
37086|:|IJ50424|:|sendmail security vulnerability CVE-2023-51765

#

Dieses Mal wird eine Referenzen auf den APAR IJ50424 aufgelistet. Enthält ein zu installierender Update den offiziellen Fix für APAR IJ50424, dann würde der Ifix automatisch beim Update entfernt werden. (Siehe später).

Schauen wir uns noch den dritten Ifix (IJ52366s7a.241113.epkg.Z) an:

# emgr -d -e IJ52366s7a.241113.epkg.Z -v 3

+-----------------------------------------------------------------------------+
Displaying Configuration File "APARREF"
+-----------------------------------------------------------------------------+
37747|:|IJ52366|:|a potential security issue exists

#

Auch hier sind Referenzen auf APARs enthalten. Damit lässt sich auch dieser Ifix bei einem Update automatisch entfernen, vorausgesetzt der Update enthält den entsprechenden APAR (IJ52366).

Eine Ifix Datei ist letztlich einfach nur eine tar-Datei, die mit dem Kommando compress komprimiert wurde. Die tar-Datei enthält die Referenzen auf APARs in der Datei aparref. Man kann sich die APAR-Referenzen daher auch wie folgt anzeigen lassen:

# zcat IJ52366s7a.241113.epkg.Z | tar xvf - ./aparref
x ./aparref, 52 bytes, 1 tape blocks
# cat aparref
37747|:|IJ52366|:|a potential security issue exists
#

Man extrahiert einfach die aparref-Datei und listet deren Inhalt anschließend auf. Das geht etwas schneller als mit „emgr -d“.

Es ist also sehr leicht erkennbar ob ein Ifix bei einem Update automatisch entfernt werden kann, oder nicht.