Avvisi di sicurezza di Amazon Linux per il 2023 AL2 - Amazon Linux 2023

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avvisi di sicurezza di Amazon Linux per il 2023 AL2

Anche se ci impegniamo a fondo per rendere sicuro Amazon Linux, talvolta si verificheranno problemi di sicurezza che devono essere risolti. Quando è disponibile una correzione, viene emesso un avviso. La sede principale in cui pubblichiamo gli avvisi è Amazon Linux Security Center (ALAS). Per ulteriori informazioni, consulta la pagina Amazon Linux Security Center.

Importante

Se desideri segnalare una vulnerabilità o hai un problema di sicurezza relativo ai servizi AWS cloud o ai progetti open source, contatta AWS Security utilizzando la pagina Vulnerability Reporting

Le informazioni sui problemi e gli aggiornamenti pertinenti che riguardano AL2 023 sono pubblicate dal team di Amazon Linux in diverse località. È comune che gli strumenti di sicurezza recuperino informazioni da queste fonti principali e ti presentino i risultati. Pertanto, potresti non interagire direttamente con le fonti primarie pubblicate da Amazon Linux, ma con l'interfaccia fornita dai tuoi strumenti preferiti, come Amazon Inspector.

Annunci sull'Amazon Linux Security Center

Gli annunci di Amazon Linux vengono forniti per articoli che non rientrano in un avviso. Questa sezione contiene annunci che lo riguardano, oltre ALAS a informazioni che non rientrano in un avviso. Per ulteriori informazioni, consulta gli annunci di Amazon Linux Security Center (ALAS).

Ad esempio, l'annuncio 2021-001 - Amazon Linux Hotpatch per Apache Log4j rientra in un annuncio piuttosto che in un avviso. In questo annuncio, Amazon Linux ha aggiunto un pacchetto per aiutare i clienti a mitigare un problema di sicurezza in software che non faceva parte di Amazon Linux.

Anche Amazon Linux Security Center CVE Explorer è stato annunciato in occasione di ALAS annunci. Per ulteriori informazioni, consulta Nuovo sito web per. CVEs

Domande frequenti su Amazon Linux Security Center

Per le risposte ad alcune domande frequenti su Amazon Linux ALAS e sulle modalità di valutazioneCVEs, consulta Amazon Linux Security Center (ALAS) Domande frequenti (FAQs).

ALASAvvertenze

Un Amazon Linux Advisory contiene informazioni importanti relative agli utenti di Amazon Linux, in genere informazioni sugli aggiornamenti di sicurezza. L'Amazon Linux Security Center è il luogo in cui gli avvisi sono visibili sul Web. Le informazioni consultive fanno anche parte dei metadati del repository dei RPM pacchetti.

Avvisi e archivi RPM

Un repository di pacchetti Amazon Linux 2023 può contenere metadati che descrivono zero o più aggiornamenti. Il dnf updateinfo comando prende il nome dal nome del file di metadati del repository che contiene queste informazioni,. updateinfo.xml Sebbene il comando abbia un nome updateinfo e il file di metadati faccia riferimento a unupdate, tutti si riferiscono agli aggiornamenti dei pacchetti che fanno parte di un avviso.

Gli avvisi di Amazon Linux sono pubblicati sul sito Web di Amazon Linux Security Center, insieme alle informazioni presenti nei metadati del RPM repository a cui fa riferimento il gestore di dnf pacchetti. I metadati del sito Web e del repository alla fine sono coerenti e potrebbero esserci incongruenze nelle informazioni sul sito Web e nei metadati del repository. Ciò si verifica in genere quando è in corso il rilascio di una nuova versione della AL2 023, poiché è stato effettuato un aggiornamento di un avviso dopo la versione 023 più recente. AL2

Sebbene sia normale che venga emesso un nuovo avviso insieme all'aggiornamento del pacchetto che risolve il problema, non è sempre così. È possibile creare un avviso per un nuovo problema risolto in pacchetti già rilasciati. Un avviso esistente può anche essere aggiornato con nuovi CVEs che vengono risolti dall'aggiornamento esistente.

La Aggiornamenti deterministici tramite repository con versioni su 023 AL2 funzionalità di Amazon Linux 2023 significa che l'RPMarchivio per una particolare versione AL2 023 contiene un'istantanea dei metadati del RPM repository a partire da quella versione. Ciò include i metadati che descrivono gli aggiornamenti di sicurezza. Il RPM repository per una particolare versione AL2 023 non viene aggiornato dopo il rilascio. Gli avvisi di sicurezza nuovi o aggiornati non saranno visibili quando si esamina una versione precedente degli AL2 archivi 023. RPM Fate riferimento alla Elenco degli avvisi applicabili sezione su come usare il gestore di dnf pacchetti per esaminare la versione del latest repository o una versione 023 specifica. AL2

Avviso IDs

Ogni avviso è indicato da un. id Attualmente è una stranezza di Amazon Location Service in cui il sito Web di Amazon Linux Security Center elenca un avviso come ALAS-2024-581, mentre il gestore di dnf pacchetti elencherà tale avviso come avente l'ID 023-2024-581. ALAS2 Quando è necessario utilizzare l'ID del gestore di pacchetti se si fa riferimento a un Applicazione degli aggiornamenti di sicurezza in loco avviso specifico.

Per Amazon Location Service, ogni versione principale del sistema operativo ha il proprio namespace di Advisory. IDs Non si devono fare ipotesi sul formato di Amazon Linux AdvisoryIDs. Storicamente, Amazon Linux Advisory IDs ha seguito lo schema di. NAMESPACE-YEAR-NUMBER L'intera gamma di valori possibili per non NAMESPACE è definita, ma includeALAS,,ALASCORRETTO8, ALAS2023 ALAS2ALASPYTHON3.8, e. ALASUNBOUND-1.17 YEARÈ stato l'anno in cui è stato creato l'avviso ed è NUMBER stato un numero intero univoco all'interno del namespace.

Sebbene Advisory IDs sia in genere sequenziale e nell'ordine in cui vengono rilasciati gli aggiornamenti, ci sono molte ragioni per cui ciò non è possibile, quindi non si deve dare per scontato.

Considera l'Advisory ID come una stringa opaca che è unica per ogni versione principale di Amazon Linux.

In Amazon Linux 2, ogni Extra si trovava in un RPM repository separato e i metadati di Advisory sono contenuti solo all'interno del repository a cui sono pertinenti. Un avviso per un repository non è applicabile a un altro repository. Sul sito Web di Amazon Linux Security Center, esiste attualmente un elenco di avvisi per ogni versione principale di Amazon Linux e non è suddiviso in elenchi per repository.

Poiché AL2 023 non utilizza il meccanismo Extras per impacchettare versioni alternative dei pacchetti, attualmente esistono solo due RPM repository, ognuno dei quali contiene avvisi, il repository e il repository. core livepatch Il repository è per. livepatch Kernel Live Patching su 023 AL2

Timestamp di creazione e aggiornamento degli avvisi

Il timestamp di creazione per Amazon Linux Advisories sarà in genere vicino a quando l'Advisory è stato pubblicato, ma questo non è universalmente vero. Il timestamp di aggiornamento è simile e gli archivi dei pacchetti e il sito Web Amazon Linux Security Center potrebbero non essere aggiornati contemporaneamente non appena sono disponibili nuove informazioni.

Un caso (relativamente) comune in cui i timestamp degli avvisi potrebbero non corrispondere esattamente al momento della pubblicazione dell'avviso è quello in cui si è verificato un intervallo più lungo tra gli avvisi e il contenuto del RPM repository in fase di preparazione e quando sono stati resi disponibili.

Non si devono fare ipotesi tra il numero di versione AL2 023 (ad esempio 2023.6.20241031) e i timestamp di creazione/aggiornamento degli avvisi pubblicati insieme a tale versione.

Tipi di avvisi

I metadati del RPM repository supportano avvisi di diversi tipi. Sebbene Amazon Linux abbia emesso quasi universalmente solo avvisi che sono aggiornamenti di sicurezza, ciò non deve essere dato per scontato. È possibile che vengano emessi avvisi relativi a eventi quali correzioni di bug, miglioramenti e nuovi pacchetti e che l'Avviso venga contrassegnato come contenente quel tipo di aggiornamento.

Severità consultive

Ogni avviso ha la propria gravità in quanto ogni problema viene valutato separatamente. È CVEs possibile affrontare più problemi in un unico avviso e ciascuno CVE può avere una valutazione diversa, ma l'avviso stesso ha una gravità. Possono esserci più avvisi che si riferiscono a un singolo aggiornamento del pacchetto, quindi possono esserci più livelli di severità per un particolare aggiornamento del pacchetto (uno per avviso).

In ordine decrescente di gravità, Amazon Linux ha utilizzato Critical, Important, Moderate e Low per indicare la gravità di un avviso. Gli avvisi di Amazon Linux possono anche non avere una severità, sebbene ciò sia estremamente raro.

Amazon Linux è una delle distribuzioni RPM basate su Linux che utilizza il termine Moderate, mentre altre distribuzioni Linux RPM basate utilizzano il termine equivalente Medium. Il gestore di pacchetti Amazon Linux considera entrambi i termini come equivalenti e gli archivi di pacchetti di terze parti possono utilizzare il termine Medium.

Gli avvisi di Amazon Linux possono cambiare la gravità nel tempo man mano che si apprendono ulteriori informazioni sui problemi pertinenti affrontati nell'Advisory.

La severità di un avviso in genere tiene traccia del CVSS punteggio più alto valutato da Amazon Linux per l'avviso a CVEs cui fa riferimento. Potrebbero esserci casi in cui questo non è il caso. Un esempio potrebbe essere il caso in cui esiste un problema risolto per il quale non è stato CVE assegnato un nome.

ALASFAQPer ulteriori informazioni su come Amazon Linux utilizza le classificazioni di gravità di Advisory.

Avvisi e pacchetti

Possono esserci molti avvisi per un singolo pacchetto e non tutti i pacchetti avranno mai un avviso pubblicato per essi. È possibile fare riferimento a una particolare versione del pacchetto in più avvisi, ciascuno con la propria gravità e. CVEs

È possibile che più avvisi per lo stesso aggiornamento del pacchetto vengano emessi contemporaneamente in una nuova versione AL2 023 o in rapida successione.

Come altre distribuzioni Linux, possono esserci uno o più pacchetti binari diversi creati dallo stesso pacchetto sorgente. Ad esempio, ALAS-2024-698 è un avviso elencato nella sezione AL2 023 del sito Web Amazon Linux Security Center come applicabile al pacchetto. mariadb105 Questo è il nome del pacchetto sorgente e l'Advisory stesso fa riferimento ai pacchetti binari insieme al pacchetto sorgente. In questo caso, più di una dozzina di pacchetti binari vengono creati a partire da un unico pacchetto mariadb105 sorgente. Sebbene sia estremamente comune che esista un pacchetto binario con lo stesso nome del pacchetto sorgente, questo non è universale.

Sebbene Amazon Linux Advisories abbia in genere elencato tutti i pacchetti binari creati a partire dal pacchetto sorgente aggiornato, ciò non deve essere dato per scontato. Il formato dei metadati del gestore di pacchetti e del RPM repository consente la creazione di avvisi che elencano un sottoinsieme dei pacchetti binari aggiornati.

Un particolare avviso può anche applicarsi solo a una particolare architettura. CPU Possono esserci pacchetti che non sono stati creati per tutte le architetture o problemi che non riguardano tutte le architetture. Nel caso in cui un pacchetto sia disponibile su tutte le architetture ma un problema si riferisca solo a una, Amazon Linux in genere non ha emesso un avviso che si riferisca solo all'architettura interessata, sebbene ciò non sia da presumere.

A causa della natura delle dipendenze dei pacchetti, è comune che un avviso faccia riferimento a un pacchetto, ma l'installazione di tale aggiornamento richiederà altri aggiornamenti del pacchetto, inclusi i pacchetti non elencati nell'avviso. Il gestore dei dnf pacchetti gestirà l'installazione delle dipendenze richieste.

Avvisi e CVEs

Un avviso può riguardare zero o più CVEs avvisi e possono esserci più avvisi che fanno riferimento allo stesso. CVE

Un esempio di quando un Advisory può fare riferimento a zero CVEs è quando a non CVE è ancora (o mai) assegnato al problema.

Un esempio di quando più avvisi possono fare riferimento allo stesso CVE quando (ad esempio) CVE è applicabile a più pacchetti. Ad esempio, CVE-2024-21208 si applica a Corretto 8, 11, 17 e 21. Ognuna di queste versioni di Corretto è un pacchetto separato in AL2 023 e c'è un avviso per ognuno di questi pacchetti: ALAS-2024-754 per Corretto 8, ALAS -2024-753per Corretto 11ALAS, -2024-752 per Corretto 17 e -2024-752 per Corretto 21. ALAS Sebbene queste versioni di Corretto abbiano tutte lo stesso elenco diCVEs, ciò non dovrebbe essere dato per scontato.

Un particolare CVE può essere valutato in modo diverso per pacchetti diversi. Ad esempio, se in un avviso CVE si fa riferimento a un particolare con un livello di gravità importante, è possibile che venga emesso un altro avviso che fa riferimento allo stesso CVE con una gravità diversa.

I metadati del RPM repository consentono di creare un elenco di riferimenti per ogni avviso. Sebbene Amazon Linux in genere utilizzi solo riferimentiCVEs, il formato dei metadati consente altri tipi di riferimento.

I metadati RPM del repository dei pacchetti faranno riferimento solo se è disponibile una correzioneCVEs. La sezione Esplora del sito Web Amazon Linux Security Center contiene informazioni su CVEs ciò che Amazon Linux ha valutato. Questa valutazione può determinare il punteggio di CVSS base, la gravità e lo stato per varie versioni e pacchetti di Amazon Linux. Lo stato di una versione o CVE di un pacchetto Amazon Linux particolare può essere Not Affected, Pending Fix o No Fix Planned. Lo stato e la valutazione di CVEs possono cambiare molte volte e in qualsiasi modo prima della pubblicazione di un avviso. Ciò include la rivalutazione dell'applicabilità di a ad CVE Amazon Linux.

L'elenco delle persone CVEs a cui fa riferimento un avviso può cambiare dopo la pubblicazione iniziale di tale avviso.

Testo consultivo

Un avviso conterrà anche un testo che descrive il problema o i problemi che hanno portato alla creazione dell'avviso. È normale che questo testo sia il testo non modificato. CVE Questo testo può fare riferimento a numeri di versione upstream in cui è disponibile una correzione che sono diversi dalla versione del pacchetto a cui Amazon Linux ha applicato una correzione. È normale che Amazon Linux esegua il backport delle correzioni delle versioni upstream più recenti. Nel caso in cui il testo dell'Advisory menzioni una versione upstream diversa dalla versione fornita in una versione Amazon Linux, le versioni del pacchetto Amazon Linux nell'Advisory saranno corrette per Amazon Linux.

È possibile che il testo dell'avviso nei metadati del RPM repository sia testo segnaposto semplicemente facendo riferimento al sito Web di Amazon Linux Security Center per i dettagli.

Avvisi su Kernel Live Patch

Gli avvisi per le patch live sono unici in quanto si riferiscono a un pacchetto diverso (il kernel Linux) rispetto al pacchetto a cui si riferisce l'Advisory (ad esempio). kernel-livepatch-6.1.15-28.43

Un avviso per un Kernel Live Patch farà riferimento ai problemi (ad esempioCVEs) che il particolare pacchetto Live Patch può risolvere per la versione specifica del kernel a cui si applica il pacchetto live patch.

Ogni patch live è per una versione specifica del kernel. Per applicare una patch live per aCVE, è necessario installare il pacchetto live patch giusto per la versione del kernel e applicare la patch live.

Ad esempio, CVE-2023-6111 può essere patchato live per le versioni del kernel AL2 023 e. 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 È CVE stata inoltre rilasciata una nuova versione del kernel con una correzione per questo problema e contiene un avviso separato. Affinché CVE-2023-6111 venga indirizzato alla versione AL2 023, è necessario che sia in esecuzione una versione del kernel uguale o successiva a quella specificata da ALAS2023-2023-461 oppure una delle versioni del kernel con una patch live corrispondente deve essere in esecuzione con la livepatch applicabile applicata. CVE

Quando sono disponibili nuove patch live per una versione specifica del kernel che ha già una patch live disponibile, viene rilasciata una nuova versione del pacchetto. kernel-livepatch-KERNEL_VERSION Ad esempio, le ricette ALASLIVEPATCH-2023-003L'avviso è stato rilasciato con il kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 pacchetto che conteneva tre patch live per il kernel6.1.15-28.43. CVEs Più tardi, il ALASLIVEPATCH-2023-009Con il kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 pacchetto è stato rilasciato un avviso; un aggiornamento al precedente pacchetto live patch per il 6.1.15-28.43 kernel contenente patch live per altri tre. CVEs C'erano anche altri problemi relativi agli avvisi di live patch per altre versioni del kernel, con pacchetti contenenti patch live per quelle versioni specifiche del kernel.

Per ulteriori informazioni sul kernel live patching, vedere. Kernel Live Patching su 023 AL2

Per chiunque sviluppi strumenti relativi agli avvisi di sicurezza, si consiglia inoltre di consultare la sezione per ulteriori informazioni.

XMLSchema per gli avvisi e updateinfo.xml

Il updateinfo.xml file fa parte del formato del repository dei pacchetti. Sono i metadati che il gestore di dnf pacchetti analizza per implementare funzionalità come e. Elenco degli avvisi applicabili Applicazione degli aggiornamenti di sicurezza in loco

Si consiglia di utilizzare il gestore API di dnf pacchetti anziché scrivere codice personalizzato per analizzare i formati dei metadati del repository. La versione di dnf in AL2 023 può analizzare sia il formato AL2 023 che quello del AL2 repository, e quindi API può essere utilizzata per esaminare le informazioni di avviso per entrambe le versioni del sistema operativo.

Il progetto RPMSoftware Management documenta i formati di RPM metadati nel repository rpm-metadata su. GitHub

Per coloro che sviluppano strumenti per analizzare direttamente i updateinfo.xml metadati, si consiglia vivamente di prestare molta attenzione alla documentazione di rpm-metadata. La documentazione copre ciò che è stato visto in giro, il che include molte eccezioni a ciò che si può ragionevolmente interpretare come regola per il formato dei metadati.

C'è anche una serie crescente di esempi di updateinfo.xml file reali nel repository -examples on. raw-historical-rpm-repository GitHub

Nel caso in cui qualcosa non sia chiaro nella documentazione, puoi aprire un problema sul GitHub progetto in modo che possiamo rispondere alla domanda e aggiornare la documentazione in modo appropriato. Come progetti Open Source, sono benvenute anche le pull request di aggiornamento della documentazione.