Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Avvisi di sicurezza di Amazon Linux per il 2023 AL2
Anche se ci impegniamo a fondo per rendere sicuro Amazon Linux, talvolta si verificheranno problemi di sicurezza che devono essere risolti. Quando è disponibile una correzione, viene emesso un avviso. La sede principale in cui pubblichiamo gli avvisi è Amazon Linux Security Center (ALAS). Per ulteriori informazioni, consulta la pagina Amazon Linux Security Center
Importante
Se desideri segnalare una vulnerabilità o hai un problema di sicurezza relativo ai servizi AWS cloud o ai progetti open source, contatta AWS Security utilizzando la pagina Vulnerability
Le informazioni sui problemi e gli aggiornamenti pertinenti che riguardano AL2 023 sono pubblicate dal team di Amazon Linux in diverse località. È comune che gli strumenti di sicurezza recuperino informazioni da queste fonti principali e ti presentino i risultati. Pertanto, potresti non interagire direttamente con le fonti primarie pubblicate da Amazon Linux, ma con l'interfaccia fornita dai tuoi strumenti preferiti, come Amazon Inspector.
Annunci sull'Amazon Linux Security Center
Gli annunci di Amazon Linux vengono forniti per articoli che non rientrano in un avviso. Questa sezione contiene annunci che lo riguardano, oltre ALAS a informazioni che non rientrano in un avviso. Per ulteriori informazioni, consulta gli annunci di Amazon Linux Security Center (ALAS)
Ad esempio, l'annuncio 2021-001 - Amazon Linux Hotpatch per Apache Log4j rientra in un annuncio
Anche Amazon Linux Security Center CVE Explorer
Domande frequenti su Amazon Linux Security Center
Per le risposte ad alcune domande frequenti su Amazon Linux ALAS e sulle modalità di valutazioneCVEs, consulta Amazon Linux Security Center (ALAS) Domande frequenti (FAQs)
ALASAvvertenze
Un Amazon Linux Advisory contiene informazioni importanti relative agli utenti di Amazon Linux, in genere informazioni sugli aggiornamenti di sicurezza. L'Amazon Linux Security Center
Avvisi e archivi RPM
Un repository di pacchetti Amazon Linux 2023 può contenere metadati che descrivono zero o più aggiornamenti. Il dnf updateinfo
comando prende il nome dal nome del file di metadati del repository che contiene queste informazioni,. updateinfo.xml
Sebbene il comando abbia un nome updateinfo
e il file di metadati faccia riferimento a unupdate
, tutti si riferiscono agli aggiornamenti dei pacchetti che fanno parte di un avviso.
Gli avvisi di Amazon Linux sono pubblicati sul sito Web di Amazon Linux Security Centerdnf
pacchetti. I metadati del sito Web e del repository alla fine sono coerenti e potrebbero esserci incongruenze nelle informazioni sul sito Web e nei metadati del repository. Ciò si verifica in genere quando è in corso il rilascio di una nuova versione della AL2 023, poiché è stato effettuato un aggiornamento di un avviso dopo la versione 023 più recente. AL2
Sebbene sia normale che venga emesso un nuovo avviso insieme all'aggiornamento del pacchetto che risolve il problema, non è sempre così. È possibile creare un avviso per un nuovo problema risolto in pacchetti già rilasciati. Un avviso esistente può anche essere aggiornato con nuovi CVEs che vengono risolti dall'aggiornamento esistente.
La Aggiornamenti deterministici tramite repository con versioni su 023 AL2 funzionalità di Amazon Linux 2023 significa che l'RPMarchivio per una particolare versione AL2 023 contiene un'istantanea dei metadati del RPM repository a partire da quella versione. Ciò include i metadati che descrivono gli aggiornamenti di sicurezza. Il RPM repository per una particolare versione AL2 023 non viene aggiornato dopo il rilascio. Gli avvisi di sicurezza nuovi o aggiornati non saranno visibili quando si esamina una versione precedente degli AL2 archivi 023. RPM Fate riferimento alla Elenco degli avvisi applicabili sezione su come usare il gestore di dnf
pacchetti per esaminare la versione del latest
repository o una versione 023 specifica. AL2
Avviso IDs
Ogni avviso è indicato da un. id
Attualmente è una stranezza di Amazon Location Service in cui il sito Web di Amazon Linux Security Centerdnf
pacchetti elencherà tale avviso come avente l'ID 023-2024-581. ALAS2 Quando è necessario utilizzare l'ID del gestore di pacchetti se si fa riferimento a un Applicazione degli aggiornamenti di sicurezza in loco avviso specifico.
Per Amazon Location Service, ogni versione principale del sistema operativo ha il proprio namespace di Advisory. IDs Non si devono fare ipotesi sul formato di Amazon Linux AdvisoryIDs. Storicamente, Amazon Linux Advisory IDs ha seguito lo schema di. NAMESPACE-YEAR-NUMBER
L'intera gamma di valori possibili per non NAMESPACE
è definita, ma includeALAS
,,ALASCORRETTO8
, ALAS2023
ALAS2
ALASPYTHON3.8
, e. ALASUNBOUND-1.17
YEAR
È stato l'anno in cui è stato creato l'avviso ed è NUMBER
stato un numero intero univoco all'interno del namespace.
Sebbene Advisory IDs sia in genere sequenziale e nell'ordine in cui vengono rilasciati gli aggiornamenti, ci sono molte ragioni per cui ciò non è possibile, quindi non si deve dare per scontato.
Considera l'Advisory ID come una stringa opaca che è unica per ogni versione principale di Amazon Linux.
In Amazon Linux 2, ogni Extra si trovava in un RPM repository separato e i metadati di Advisory sono contenuti solo all'interno del repository a cui sono pertinenti. Un avviso per un repository non è applicabile a un altro repository. Sul sito Web di Amazon Linux Security Center
Poiché AL2 023 non utilizza il meccanismo Extras per impacchettare versioni alternative dei pacchetti, attualmente esistono solo due RPM repository, ognuno dei quali contiene avvisi, il repository e il repository. core
livepatch
Il repository è per. livepatch
Kernel Live Patching su 023 AL2
Timestamp di creazione e aggiornamento degli avvisi
Il timestamp di creazione per Amazon Linux Advisories sarà in genere vicino a quando l'Advisory è stato pubblicato, ma questo non è universalmente vero. Il timestamp di aggiornamento è simile e gli archivi dei pacchetti e il sito Web Amazon Linux Security Center
Un caso (relativamente) comune in cui i timestamp degli avvisi potrebbero non corrispondere esattamente al momento della pubblicazione dell'avviso è quello in cui si è verificato un intervallo più lungo tra gli avvisi e il contenuto del RPM repository in fase di preparazione e quando sono stati resi disponibili.
Non si devono fare ipotesi tra il numero di versione AL2 023 (ad esempio 2023.6.20241031) e i timestamp di creazione/aggiornamento degli avvisi pubblicati insieme a tale versione.
Tipi di avvisi
I metadati del RPM repository supportano avvisi di diversi tipi. Sebbene Amazon Linux abbia emesso quasi universalmente solo avvisi che sono aggiornamenti di sicurezza, ciò non deve essere dato per scontato. È possibile che vengano emessi avvisi relativi a eventi quali correzioni di bug, miglioramenti e nuovi pacchetti e che l'Avviso venga contrassegnato come contenente quel tipo di aggiornamento.
Severità consultive
Ogni avviso ha la propria gravità in quanto ogni problema viene valutato separatamente. È CVEs possibile affrontare più problemi in un unico avviso e ciascuno CVE può avere una valutazione diversa, ma l'avviso stesso ha una gravità. Possono esserci più avvisi che si riferiscono a un singolo aggiornamento del pacchetto, quindi possono esserci più livelli di severità per un particolare aggiornamento del pacchetto (uno per avviso).
In ordine decrescente di gravità, Amazon Linux ha utilizzato Critical, Important, Moderate e Low per indicare la gravità di un avviso. Gli avvisi di Amazon Linux possono anche non avere una severità, sebbene ciò sia estremamente raro.
Amazon Linux è una delle distribuzioni RPM basate su Linux che utilizza il termine Moderate, mentre altre distribuzioni Linux RPM basate utilizzano il termine equivalente Medium. Il gestore di pacchetti Amazon Linux considera entrambi i termini come equivalenti e gli archivi di pacchetti di terze parti possono utilizzare il termine Medium.
Gli avvisi di Amazon Linux possono cambiare la gravità nel tempo man mano che si apprendono ulteriori informazioni sui problemi pertinenti affrontati nell'Advisory.
La severità di un avviso in genere tiene traccia del CVSS punteggio più alto valutato da Amazon Linux per l'avviso a CVEs cui fa riferimento. Potrebbero esserci casi in cui questo non è il caso. Un esempio potrebbe essere il caso in cui esiste un problema risolto per il quale non è stato CVE assegnato un nome.
ALASFAQ
Avvisi e pacchetti
Possono esserci molti avvisi per un singolo pacchetto e non tutti i pacchetti avranno mai un avviso pubblicato per essi. È possibile fare riferimento a una particolare versione del pacchetto in più avvisi, ciascuno con la propria gravità e. CVEs
È possibile che più avvisi per lo stesso aggiornamento del pacchetto vengano emessi contemporaneamente in una nuova versione AL2 023 o in rapida successione.
Come altre distribuzioni Linux, possono esserci uno o più pacchetti binari diversi creati dallo stesso pacchetto sorgente. Ad esempio, ALAS-2024-698mariadb105
Questo è il nome del pacchetto sorgente e l'Advisory stesso fa riferimento ai pacchetti binari insieme al pacchetto sorgente. In questo caso, più di una dozzina di pacchetti binari vengono creati a partire da un unico pacchetto mariadb105
sorgente. Sebbene sia estremamente comune che esista un pacchetto binario con lo stesso nome del pacchetto sorgente, questo non è universale.
Sebbene Amazon Linux Advisories abbia in genere elencato tutti i pacchetti binari creati a partire dal pacchetto sorgente aggiornato, ciò non deve essere dato per scontato. Il formato dei metadati del gestore di pacchetti e del RPM repository consente la creazione di avvisi che elencano un sottoinsieme dei pacchetti binari aggiornati.
Un particolare avviso può anche applicarsi solo a una particolare architettura. CPU Possono esserci pacchetti che non sono stati creati per tutte le architetture o problemi che non riguardano tutte le architetture. Nel caso in cui un pacchetto sia disponibile su tutte le architetture ma un problema si riferisca solo a una, Amazon Linux in genere non ha emesso un avviso che si riferisca solo all'architettura interessata, sebbene ciò non sia da presumere.
A causa della natura delle dipendenze dei pacchetti, è comune che un avviso faccia riferimento a un pacchetto, ma l'installazione di tale aggiornamento richiederà altri aggiornamenti del pacchetto, inclusi i pacchetti non elencati nell'avviso. Il gestore dei dnf
pacchetti gestirà l'installazione delle dipendenze richieste.
Avvisi e CVEs
Un avviso può riguardare zero o più CVEs avvisi e possono esserci più avvisi che fanno riferimento allo stesso. CVE
Un esempio di quando un Advisory può fare riferimento a zero CVEs è quando a non CVE è ancora (o mai) assegnato al problema.
Un esempio di quando più avvisi possono fare riferimento allo stesso CVE quando (ad esempio) CVE è applicabile a più pacchetti. Ad esempio, CVE-2024-21208 si applica
Un particolare CVE può essere valutato in modo diverso per pacchetti diversi. Ad esempio, se in un avviso CVE si fa riferimento a un particolare con un livello di gravità importante, è possibile che venga emesso un altro avviso che fa riferimento allo stesso CVE con una gravità diversa.
I metadati del RPM repository consentono di creare un elenco di riferimenti per ogni avviso. Sebbene Amazon Linux in genere utilizzi solo riferimentiCVEs, il formato dei metadati consente altri tipi di riferimento.
I metadati RPM del repository dei pacchetti faranno riferimento solo se è disponibile una correzioneCVEs. La sezione Esplora del sito Web Amazon Linux Security Center
L'elenco delle persone CVEs a cui fa riferimento un avviso può cambiare dopo la pubblicazione iniziale di tale avviso.
Testo consultivo
Un avviso conterrà anche un testo che descrive il problema o i problemi che hanno portato alla creazione dell'avviso. È normale che questo testo sia il testo non modificato. CVE Questo testo può fare riferimento a numeri di versione upstream in cui è disponibile una correzione che sono diversi dalla versione del pacchetto a cui Amazon Linux ha applicato una correzione. È normale che Amazon Linux esegua il backport delle correzioni delle versioni upstream più recenti. Nel caso in cui il testo dell'Advisory menzioni una versione upstream diversa dalla versione fornita in una versione Amazon Linux, le versioni del pacchetto Amazon Linux nell'Advisory saranno corrette per Amazon Linux.
È possibile che il testo dell'avviso nei metadati del RPM repository sia testo segnaposto semplicemente facendo riferimento al sito Web di Amazon Linux Security Center
Avvisi su Kernel Live Patch
Gli avvisi per le patch live sono unici in quanto si riferiscono a un pacchetto diverso (il kernel Linux) rispetto al pacchetto a cui si riferisce l'Advisory (ad esempio). kernel-livepatch-6.1.15-28.43
Un avviso per un Kernel Live Patch farà riferimento ai problemi (ad esempioCVEs) che il particolare pacchetto Live Patch può risolvere per la versione specifica del kernel a cui si applica il pacchetto live patch.
Ogni patch live è per una versione specifica del kernel. Per applicare una patch live per aCVE, è necessario installare il pacchetto live patch giusto per la versione del kernel e applicare la patch live.
Ad esempio, CVE-2023-61116.1.56-82.125
6.1.59-84.139
6.1.61-85.141
È CVE stata inoltre rilasciata una nuova versione del kernel con una correzione per questo problema e contiene un avviso separato.
Quando sono disponibili nuove patch live per una versione specifica del kernel che ha già una patch live disponibile, viene rilasciata una nuova versione del pacchetto. kernel-livepatch-KERNEL_VERSION
Ad esempio, le ricette ALASLIVEPATCH-2023-003kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023
pacchetto che conteneva tre patch live per il kernel6.1.15-28.43
. CVEs Più tardi, il ALASLIVEPATCH-2023-009kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023
pacchetto è stato rilasciato un avviso; un aggiornamento al precedente pacchetto live patch per il 6.1.15-28.43
kernel contenente patch live per altri tre. CVEs C'erano anche altri problemi relativi agli avvisi di live patch per altre versioni del kernel, con pacchetti contenenti patch live per quelle versioni specifiche del kernel.
Per ulteriori informazioni sul kernel live patching, vedere. Kernel Live Patching su 023 AL2
Per chiunque sviluppi strumenti relativi agli avvisi di sicurezza, si consiglia inoltre di consultare la sezione per ulteriori informazioni.
XMLSchema per gli avvisi e updateinfo.xml
Il updateinfo.xml
file fa parte del formato del repository dei pacchetti. Sono i metadati che il gestore di dnf
pacchetti analizza per implementare funzionalità come e. Elenco degli avvisi applicabili Applicazione degli aggiornamenti di sicurezza in loco
Si consiglia di utilizzare il gestore API di dnf
pacchetti anziché scrivere codice personalizzato per analizzare i formati dei metadati del repository. La versione di dnf
in AL2 023 può analizzare sia il formato AL2 023 che quello del AL2 repository, e quindi API può essere utilizzata per esaminare le informazioni di avviso per entrambe le versioni del sistema operativo.
Il progetto RPMSoftware Management
Per coloro che sviluppano strumenti per analizzare direttamente i updateinfo.xml
metadati, si consiglia vivamente di prestare molta attenzione alla documentazione di rpm-metadata.
Nel caso in cui qualcosa non sia chiaro nella documentazione, puoi aprire un problema sul GitHub progetto in modo che possiamo rispondere alla domanda e aggiornare la documentazione in modo appropriato. Come progetti Open Source, sono benvenute anche le pull request di aggiornamento della documentazione.