Le noyau Amazon Linux - Amazon Linux 2023
Cycle de vie du noyaumises à jour du noyauChevauchement des versions du noyau entre les distributionsGestion des CVECe que vous devez faire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le noyau Amazon Linux

Amazon Linux 2023 (AL2023) publie un nouveau noyau LTS (Long-Term Support) au premier trimestre de chaque année, basé sur le noyau LTS annuel de la communauté Linux en amont. Chaque nouveau noyau LTS apporte les derniers correctifs de sécurité, les améliorations de performances, le support matériel et les fonctionnalités du noyau Linux en amont.

Cycle de vie du noyau

Chaque noyau AL2023 LTS est pris en charge pendant quatre ans en deux phases :

  1. Support complet (années 1 à 2) — Le noyau reçoit des correctifs pour toutes les sévérités CVE grâce à des rebases régulières sur le noyau LTS en amont. Cette phase correspond à la fenêtre de support LTS de la communauté Linux en amont. Si l'amont étend la fenêtre de support du LTS, Amazon Linux emboîtera le pas.

  2. Support de maintenance (années 3 à 4) — Après la fin de la période de support LTS en amont, l'équipe Amazon Linux continue de rétroporter principalement les correctifs pour les vulnérabilités critiques et importantes CVEs (score CVSS 7.0 et supérieur), ainsi que pour les vulnérabilités exploitées connues. Les niveaux de gravité faible et moyen ne CVEs sont pas rétroportés au cours de cette phase.

Au bout de quatre ans, le noyau arrive en fin de vie et ne reçoit plus de mises à jour de sécurité. Les anciens noyaux restent disponibles via des référentiels et vous pouvez continuer à les utiliser. Vous ne devez pas vous attendre à d'autres correctifs ou correctifs. Nous vous recommandons d'effectuer une mise à niveau vers un noyau compatible avant cette date. Les informations spécifiques au noyau ne AMIs seront plus mises à jour après la date de fin de support d'un noyau.

Le tableau suivant indique le calendrier de prise en charge des noyaux Amazon Linux LTS actuels :

mises à jour du noyau

À partir de juin 2026, le noyau par défaut AL2023 sera mis à jour chaque année. L'al2023-ami-kernel-defaultensemble de AMIs sera mis à jour avec le dernier noyau LTS, de sorte que les instances nouvellement lancées proposeront la nouvelle version du noyau.

Les instances en cours d'exécution ne sont pas automatiquement mises à jour vers un nouveau noyau. Pour mettre à niveau le noyau sur une instance existante, vous devez explicitement installer le nouveau package de noyau et redémarrer. Pour en savoir plus, consultez Mettre à jour le noyau Linux sur AL2023.

Nous vous recommandons vivement d'adopter rapidement de nouveaux noyaux afin de bénéficier des dernières améliorations en matière de sécurité et de performances. Les anciens noyaux reçoivent des correctifs de sécurité de moins en moins nombreux et plus lents au fil du temps. Intégrez les mises à jour du noyau dans vos pipelines de test et de déploiement existants pour valider la compatibilité avant le déploiement en production.

Chevauchement des versions du noyau entre les distributions

Pour simplifier les migrations entre les distributions Amazon Linux, au moins une version du noyau sera disponible sur la distribution Amazon Linux actuelle et sur la prochaine. Cela vous permet d'abord d'effectuer une mise à niveau vers un nouveau noyau sur votre distribution existante, de valider vos charges de travail, puis de migrer vers la nouvelle distribution avec la certitude que la même version du noyau y est disponible.

Gestion des CVE

AL2023 adresse le noyau CVEs comme suit :

  • Les vulnérabilités exploitées critiques et importantes CVEs (CVSS 7.0 et versions ultérieures) et connues sont rétroportées vers tous les noyaux pris en charge.

  • Les niveaux faible et moyen CVEs (CVSS inférieur à 7.0) sont traités par des rebases LTS régulières en amont pendant la phase de support complet. Pendant la phase de support de maintenance, CVEs ils ne sont pas rétroportés. Si un CVE faible ou moyen n'est pas résolu par une rebase LTS en amont dans les 60 jours, il sera marqué comme « Aucun correctif prévu » dans le Amazon Linux Security Center.

L'exécution du dernier noyau disponible est le meilleur moyen d'obtenir des mises à jour récentes en matière de sécurité, de performance et de fonctionnalité.

Ce que vous devez faire

  1. Mettez en œuvre l'intégration continue (CI) pour vos applications : avant d'apporter des modifications à votre configuration de production, assurez-vous qu'elle est correctement validée lors d'une phase de test. Incluez les mises à jour du noyau dans votre validation.

  2. Restez sur le noyau le plus récent : adoptez chaque nouveau noyau LTS annuel dès qu'il est disponible. Les nouveaux noyaux reçoivent les correctifs de sécurité plus rapidement. Utilisez la al2023-ami-kernel-defaultsérie de AMIs pour accéder automatiquement à la version du noyau recommandée par l'équipe Amazon Linux.

  3. Automatisez les mises à jour : utilisez des outils tels que AWS Systems Manager pour gérer les mises à jour du noyau au sein de votre flotte.

  4. Planifiez les redémarrages : chaque mise à jour du noyau nécessite un redémarrage. Intégrez des fenêtres de redémarrage dans vos programmes de maintenance.