El núcleo de Amazon Linux - Amazon Linux 2023
ciclo de vida del núcleoActualizaciones del kernelLas versiones del núcleo se superponen entre distribucionesManejo de CVE¿Qué debe hacer

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El núcleo de Amazon Linux

Amazon Linux 2023 (AL2023) publica un nuevo kernel de Long-Term Support (LTS) en el primer trimestre de cada año, basado en el kernel LTS anual de la comunidad Linux upstream. Cada nuevo núcleo LTS incorpora las últimas correcciones de seguridad, mejoras de rendimiento, soporte de hardware y funciones del núcleo original de Linux.

ciclo de vida del núcleo

Cada núcleo AL2023 LTS recibe soporte durante cuatro años en dos fases:

  1. Soporte completo (1 a 2 años): el núcleo recibe correcciones para todos los problemas de gravedad de la CVE mediante rebases periódicas en el núcleo LTS original. Esta fase se alinea con el período de soporte para el LTS de la comunidad originaria de Linux. Si upstream amplía la ventana de soporte de LTS, Amazon Linux hará lo mismo.

  2. Soporte de mantenimiento (3 a 4 años): una vez finalizado el período de soporte inicial de LTS, el equipo de Amazon Linux sigue respaldando principalmente las correcciones de las vulnerabilidades críticas e importantes CVEs (puntuación CVSS de 7.0 o superior), así como las vulnerabilidades explotadas conocidas. Durante esta fase, no se admiten casos de gravedad CVEs baja o media.

Al cabo de cuatro años, el núcleo llega al final de su vida útil y ya no recibe actualizaciones de seguridad. Los núcleos más antiguos permanecen disponibles en los repositorios y puede seguir utilizándolos. No debe esperar más parches o correcciones. Recomendamos actualizar a un núcleo compatible antes de esta fecha. Los núcleos específicos ya no se AMIs actualizarán después de la fecha de finalización del soporte de un núcleo.

En el siguiente gráfico se muestra el cronograma de soporte para los actuales kernels de Amazon Linux LTS:

Actualizaciones del kernel

A partir de junio de 2026, AL2023 actualizará el núcleo predeterminado una vez al año. El al2023-ami-kernel-defaultconjunto de se AMIs actualizará a la versión más reciente del núcleo LTS, de modo que las instancias recién lanzadas incorporarán la nueva versión del núcleo.

Las instancias en ejecución no se actualizan automáticamente a un nuevo núcleo. Para actualizar el núcleo en una instancia existente, debe instalar de forma explícita el nuevo paquete del núcleo y reiniciarlo. Para obtener más información, consulte Actualización del núcleo de Linux en AL2023.

Recomendamos encarecidamente adoptar nuevos núcleos cuanto antes para beneficiarse de las últimas mejoras de seguridad y rendimiento. Los núcleos más antiguos reciben menos correcciones de seguridad y son más lentas con el paso del tiempo. Incorpore las actualizaciones del núcleo a sus procesos de pruebas e implementación existentes para validar la compatibilidad antes de lanzarlas a producción.

Las versiones del núcleo se superponen entre distribuciones

Para simplificar las migraciones entre las distribuciones de Amazon Linux, estará disponible al menos una versión del núcleo tanto en la distribución actual como en la siguiente de Amazon Linux. Esto le permitirá actualizar primero a un nuevo núcleo en su distribución actual, validar sus cargas de trabajo y, a continuación, migrar a la nueva distribución con la confianza de que allí estará disponible la misma versión del núcleo.

Manejo de CVE

AL2023 aborda el núcleo de CVEs la siguiente manera:

  • Las vulnerabilidades críticas e importantes CVEs (CVSS 7.0 y versiones posteriores) y las que se explotan conocidas se transfieren a todos los núcleos compatibles.

  • Los valores bajos y medios CVEs (CVSS por debajo de 7.0) se abordan mediante rebases periódicas de LTS ascendentes durante la fase de soporte completo. Durante la fase de soporte de mantenimiento, no se respaldan CVEs . Si un CVE bajo o medio no se resuelve mediante una rebase de LTS ascendente en un plazo de 60 días, se marcará como «No se ha planificado ninguna solución» en el Centro de seguridad de Amazon Linux.

La mejor manera de obtener las actualizaciones más recientes de seguridad, rendimiento y funcionalidad es ejecutar el kernel más reciente disponible.

¿Qué debe hacer

  1. Implemente la integración continua (CI) para sus aplicaciones: antes de realizar cualquier cambio en la configuración de producción, asegúrese de que esté debidamente validada en la fase de prueba. Incluya las actualizaciones del núcleo en su validación.

  2. Utilice el núcleo más reciente: adopte cada nuevo núcleo LTS anual tan pronto como esté disponible. Los núcleos más nuevos reciben las correcciones de seguridad con mayor rapidez. Consume la al2023-ami-kernel-defaultserie de AMIs para estar automáticamente en la versión del kernel recomendada por el equipo de Amazon Linux.

  3. Automatice las actualizaciones: utilice herramientas como AWS Systems Manager para gestionar las actualizaciones del núcleo en toda su flota.

  4. Planifique los reinicios: todas las actualizaciones del núcleo requieren un reinicio. Incluya ventanas de reinicio en sus programas de mantenimiento.