기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AL2023에 대한 Amazon Linux 보안 권고 사항
Amazon Linux의 보안을 유지하기 위해 최선을 다하고 있지만 때로는 해결이 필요한 보안 문제가 있을 수 있습니다. 수정 사항을 사용할 수 있을 때 주의가 발행됩니다. 공지를 게시하는 주요 위치는 Amazon Linux Security Center(ALAS)입니다. 자세한 정보는 Amazon Linux 보안 센터
중요
취약성을 보고하거나 AWS 클라우드 서비스 또는 오픈 소스 프로젝트와 관련하여 보안 문제가 있는 경우 취약성 보고 페이지를
AL2023에 영향을 미치는 문제 및 관련 업데이트에 대한 정보는 Amazon Linux 팀이 여러 위치에 게시합니다. 보안 도구가 이러한 기본 소스에서 정보를 가져와 결과를 제공합니다. 따라서 Amazon Linux가 게시하는 기본 소스와 직접 상호 작용하지 않고 Amazon Amazon Inspector와 같은 기본 도구에서 제공하는 인터페이스와 직접 상호 작용할 수 있습니다.
Amazon Linux Security Center 공지
Amazon Linux 공지는 권고 사항에 맞지 않는 항목에 대해 제공됩니다. 이 섹션에는 ALAS 자체에 대한 공지와 권고 사항에 맞지 않는 정보가 포함되어 있습니다. 자세한 내용은 Amazon Linux Security Center(ALAS) 공지를 참조하세요
예를 들어 2021년 10월 1일 - Amazon Linux Hotpatch Apache Log4j용 공지
Amazon Linux Security Center CVE Explorer
Amazon Linux Security Center 자주 묻는 질문
ALAS 및 Amazon Linux가 CVEs를 평가하는 방법에 대한 몇 가지 자주 묻는 질문에 대한 답변은 Amazon Linux Security Center(ALAS) 자주 묻는 질문(FAQs)을 참조하세요
ALAS 권장 사항
Amazon Linux Advisory에는 Amazon Linux 사용자와 관련된 중요한 정보, 일반적으로 보안 업데이트에 대한 정보가 포함되어 있습니다. Amazon Linux 보안 센터에서
자문 및 RPM 리포지토리
Amazon Linux 2023 패키지 리포지토리에는 0개 이상의 업데이트를 설명하는 메타데이터가 포함될 수 있습니다. dnf updateinfo
명령의 이름은이 정보가 포함된 리포지토리 메타데이터 파일 이름인의 이름을 따서 지정됩니다updateinfo.xml
. 명령의 이름은 updateinfo
이고 메타데이터 파일은를 참조하지만update
, 모두 알림의 일부인 패키지 업데이트를 참조합니다.
Amazon Linux Advisories는 dnf
패키지 관리자가 참조하는 RPM 리포지토리 메타데이터에 있는 정보와 함께 Amazon Linux Security Center
문제를 해결하는 패키지 업데이트와 함께 새 알림이 발행되는 것이 일반적이지만 항상 그렇지는 않습니다. 이미 릴리스된 패키지에서 해결되는 새 문제에 대한 공지를 생성할 수 있습니다. 기존 알림은 기존 업데이트에서 다루는 새 CVEs로 업데이트될 수도 있습니다.
Amazon Linux 2023의 023 버전별 리포지토리를 통한 결정적 업그레이드 AL2 기능은 특정 RPM023 버전의 AL2 리포지토리에 해당 버전의 RPM 리포지토리 메타데이터 스냅샷이 포함되어 있음을 의미합니다. 여기에는 보안 업데이트를 설명하는 메타데이터가 포함됩니다. 릴리스 후에는 특정 RPM023 버전의 AL2 리포지토리가 업데이트되지 않습니다. 이전 버전의 AL2023 RPM 리포지토리를 볼 때는 새롭거나 업데이트된 보안 권고가 표시되지 않습니다. dnf
패키지 관리자를 사용하여 latest
리포지토리 버전 또는 특정 AL2023 릴리스를 확인하는 방법은 해당 권고 사항 목록 섹션을 참조하세요.
자문IDs
각 알림은에서 참조합니다id
. 현재 Amazon Location Service의 쿼크입니다. Amazon Linux Security Centerdnf
관리자는 해당 권고를 ALAS2023-2024-581의 ID를 가진 것으로 나열합니다. 특정 공지보안 업데이트 내부 적용를 참조할 때 패키지 관리자 ID를 사용해야 하는 경우.
Amazon Location Service의 경우 OS의 각 메이저 버전에는 자체 네임스페이스인 Advisory IDs가 있습니다. Amazon Linux Advisory IDs 형식에 대한 가정은 없어야 합니다. 과거에 Amazon Linux Advisory IDs는 패턴을 따랐습니다NAMESPACE-YEAR-NUMBER
. 에 대한 가능한 값의 전체 범위는 정의NAMESPACE
되지 않았지만 ALAS
, , ALASCORRETTO8
, ALAS2023
, ALASPYTHON3.8
, ALAS2
를 포함합니다ALASUNBOUND-1.17
. YEAR
는 권고가 생성된 해이며 네임스페이스 내의 고유 정수NUMBER
입니다.
Advisory IDs는 일반적으로 순차적이며 업데이트가 릴리스되는 순서대로 제공되지만, 이러한 경우가 발생할 수 없는 여러 가지 이유가 있으므로 이를 가정해서는 안 됩니다.
Advisory ID를 Amazon Linux의 각 메이저 버전에 고유한 불투명 문자열로 취급합니다.
Amazon Linux 2에서는 각 추가 항목이 별도의 RPM 리포지토리에 있었으며, Advisory 메타데이터는 관련된 리포지토리 내에만 포함됩니다. 한 리포지토리에 대한 주의는 다른 리포지토리에 적용할 수 없습니다. Amazon Linux Security Center
AL2023은 추가 메커니즘을 사용하여 대체 버전의 패키지를 패키징하지 않으므로 현재는 2개의 RPM 리포지토리만 있으며, 각 리포지토리에는 Advisories, core
리포지토리 및 리포지livepatch
토리가 있습니다. livepatch
리포지토리는 용입니다023 커널 라이브 패치 AL2.
알림 생성 및 업데이트 타임스탬프
Amazon Linux Advisories의 생성 타임스탬프는 일반적으로 Advisory가 게시될 때에 가까워지지만 일반적으로 그렇지는 않습니다. 업데이트 타임스탬프는 비슷하며 새 정보를 사용할 수 있으므로 패키지 리포지토리와 Amazon Linux Security Center
자문이 발행될 때 자문 타임스탬프가 정확히 일치하지 않을 수 있는 (상대적) 일반적인 사례로, 준비 중인 자문과 RPM 리포지토리 콘텐츠 간에 간격이 더 길고 라이브 상태가 된 경우입니다.
AL2023 버전 번호(예: 2023.6.20241031)와 해당 릴리스와 함께 게시된 Advisories의 생성/업데이트 타임스탬프 사이에는 어떠한 가정도 없어야 합니다.
알림 유형
RPM 리포지토리 메타데이터는 다양한 유형의 권고를 지원합니다. Amazon Linux에는 보안 업데이트인 거의 보편적으로만 발급된 공지가 있지만, 이를 가정해서는 안 됩니다. 버그 수정, 개선 사항 및 새 패키지와 같은 이벤트에 대한 공지가 발행될 수 있으며 공지는 해당 유형의 업데이트가 포함된 것으로 표시됩니다.
자문 심각도
각 문제는 별도로 평가되므로 각 알림에는 자체 심각도가 있습니다. 여러 CVEs를 단일 알림에서 처리할 수 있으며, 각 CVE는 다른 평가를 받을 수 있지만 알림 자체에는 하나의 심각도가 있습니다. 단일 패키지 업데이트를 참조하는 여러 권고 사항이 있을 수 있으므로 특정 패키지 업데이트에 대해 여러 심각도가 있을 수 있습니다(권고 사항당 하나).
심각도를 낮추기 위해 Amazon Linux는 중요, 중요, 중간 및 낮음을 사용하여 권고의 심각도를 표시했습니다. 매우 드물지만 Amazon Linux Advisories에도 심각도가 없을 수 있습니다.
Amazon Linux는 보통이라는 용어를 사용하는 RPM 기반 Linux 배포 중 하나이며, 일부 다른 RPM 기반 Linux 배포에서는 동등한 용어를 중간으로 사용합니다. Amazon Linux 패키지 관리자는 두 용어를 동등하게 취급하며 타사 패키지 리포지토리에서는 Medium이라는 용어를 사용할 수 있습니다.
Amazon Linux Advisories는 알림에서 해결된 관련 문제에 대해 더 많이 알게 되면 시간이 지남에 따라 심각도를 변경할 수 있습니다.
자문의 심각도는 일반적으로 자문에서 참조한 CVSS에 대해 가장 높은 Amazon Linux 평가 CVEs 점수를 추적합니다. 그렇지 않은 경우가 있을 수 있습니다. 한 가지 예는 CVE가 할당되지 않은 문제가 해결되는 경우입니다.
Amazon Linux가 자문 심각도 등급을 사용하는 방법에 대한 자세한 내용은 FAQALAS
공지 및 패키지
단일 패키지에는 많은 공지가 있을 수 있으며, 모든 패키지에 공지가 게시되지는 않습니다. 특정 패키지 버전은 각각 자체 심각도 및 CVEs가 있는 여러 Advisories에서 참조할 수 있습니다.
동일한 패키지 업데이트에 대한 여러 Advisories가 하나의 새로운 AL2023 릴리스에서 동시에 또는 빠르게 연속으로 발행될 수 있습니다.
다른 Linux 배포와 마찬가지로 동일한 소스 패키지로 구축된 1~다양한 바이너리 패키지가 있을 수 있습니다. 예를 들어 ALAS-2024-698mariadb105
패키지에 적용되는 것으로 나열된 공지 사항입니다. 소스 패키지 이름이며, 알림 자체는 소스 패키지와 함께 바이너리 패키지를 참조합니다. 이 경우 12개 이상의 바이너리 패키지가 하나의 mariadb105
소스 패키지에서 구축됩니다. 소스 패키지와 이름이 같은 바이너리 패키지가 있는 것은 매우 흔하지만 범용은 아닙니다.
Amazon Linux Advisories는 일반적으로 업데이트된 소스 패키지에서 구축된 모든 바이너리 패키지를 나열했지만 이를 가정해서는 안 됩니다. 패키지 관리자 및 RPM 리포지토리 메타데이터 형식을 사용하면 업데이트된 바이너리 패키지의 하위 집합을 나열하는 Advisories를 사용할 수 있습니다.
특정 알림은 특정 CPU 아키텍처에만 적용될 수 있습니다. 모든 아키텍처에 대해 구축되지 않은 패키지 또는 모든 아키텍처에 영향을 주지 않는 문제가 있을 수 있습니다. 모든 아키텍처에서 패키지를 사용할 수 있지만 문제가 하나에만 적용되는 경우 Amazon Linux는 일반적으로 영향을 받는 아키텍처만 참조하는 자문만 발행하지는 않았지만, 이를 가정해서는 안 됩니다.
패키지 종속성의 특성으로 인해 Advisory는 하나의 패키지를 참조하는 것이 일반적이지만, 해당 업데이트를 설치하려면 Advisory에 나열되지 않은 패키지를 포함하여 다른 패키지 업데이트가 필요합니다. dnf
패키지 관리자가 필요한 종속성 설치를 처리합니다.
조언 및 CVEs
자문은 0개 이상의 CVEs를 처리할 수 있으며 동일한 CVE를 참조하는 여러 자문이 있을 수 있습니다.
Advisory가 0 CVEs를 참조할 수 있는 예로는 CVE가 아직(또는 그 어느 때보다) 문제에 할당되지 않은 경우가 있습니다.
Word를 여러 패키지에 적용할 CVE 때 여러 Advisories가 동일한 CVE를 참조할 수 있는 예제입니다(예:). 예를 들어 CVE-2024-21208
특정 CVE는 패키지마다 다르게 평가할 수 있습니다. 예를 들어 특정 CVE가 중요 심각도의 자문에서 참조되는 경우 심각도가 다른 동일한 CVE를 참조하는 다른 자문이 발행될 수 있습니다.
RPM 리포지토리 메타데이터는 각 주의 사항에 대한 참조 목록을 허용합니다. Amazon Linux는 일반적으로 CVEs만 참조하지만 메타데이터 형식은 다른 참조 유형을 허용합니다.
RPM 패키지 리포지토리 메타데이터는 사용 가능한 수정 사항이 있는 CVEs만 참조합니다. Amazon Linux Security Center 웹 사이트의 탐색 섹션에
공지에서 참조하는 CVEs 목록은 해당 공지를 처음 게시한 후 변경될 수 있습니다.
권고 텍스트
또한 자문에는 자문 생성 사유인 문제 또는 이슈를 설명하는 텍스트가 포함됩니다. 이 텍스트는 수정되지 않은 CVE 텍스트인 것이 일반적입니다. 이 텍스트는 Amazon Linux가 수정 사항을 적용한 패키지 버전과 다른 수정 사항을 사용할 수 있는 업스트림 버전 번호를 참조할 수 있습니다. Amazon Linux는 최신 업스트림 릴리스의 수정 사항을 백포트하는 것이 일반적입니다. Advisory 텍스트에서 Amazon Linux 버전에 제공된 버전과 다른 업스트림 릴리스를 언급하는 경우, Advisory의 Amazon Linux 패키지 버전은 Amazon Linux에 대해 정확합니다.
RPM 리포지토리 메타데이터의 알림 텍스트는 단순히 Amazon Linux Security Center
커널 라이브 패치 권장 사항
라이브 패치에 대한 권장 사항은 Advisory가 반대하는 패키지(예: )와 다른 패키지(Linux 커널)를 참조한다는 점에서 고유합니다. kernel-livepatch-6.1.15-28.43
커널 라이브 패치에 대한 알림은 라이브 패치 패키지가 적용되는 특정 커널 버전에 대해 특정 라이브 패치 패키지가 해결할 수 있는 문제(예: CVEs)를 참조합니다.
각 라이브 패치는 특정 커널 버전용입니다. CVE에 라이브 패치를 적용하려면 커널 버전에 적합한 라이브 패치 패키지를 설치하고 라이브 패치를 적용해야 합니다.
예를 들어 CVE023 커널 버전 , 및에 대해 Word-2023-61116.1.61-85.141
. AL2 6.1.56-82.125
6.1.59-84.139
이 CVE에 대한 수정 사항이 있는 새 커널 버전도 릴리스되었으며 별도의 공지가
이미 사용 가능한 라이브 패치가 있는 특정 커널 버전에 사용할 수 있는 새 라이브 패치가 있으면 kernel-livepatch-KERNEL_VERSION
패키지의 새 버전이 릴리스됩니다. 예를 들어 ALASLIVEPATCH-2023-0036.1.15-28.43
커널에 대한 라이브 패치가 포함된 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023
패키지에 대한 공지가 발행되었습니다. 나중에 ALASLIVEPATCH-2023-009kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023
패키지에 대한 공지가 발행되었습니다. 또 다른 6.1.15-28.43
3 CVEs에 대한 라이브 패치가 포함된 커널에 대한 이전 라이브 패치 패키지 업데이트입니다. 또한 다른 커널 버전에 대한 라이브 패치가 포함된 패키지와 함께 다른 커널 버전에 대한 라이브 패치 권장 사항 문제도 있었습니다.
커널 라이브 패치에 대한 자세한 내용은 섹션을 참조하세요023 커널 라이브 패치 AL2.
보안 권고와 관련된 도구를 개발하는 모든 사람의 경우 자세한 내용은 섹션을 참조하는 것이 좋습니다.
WordXML Schema for Advisories 및 updateinfo.xml
updateinfo.xml
파일은 패키지 리포지토리 형식의 일부입니다. dnf
패키지 관리자가 해당 권고 사항 목록 및와 같은 기능을 구현하기 위해 구문 분석하는 메타데이터입니다보안 업데이트 내부 적용.
리포지토리 메타데이터 형식을 구문 분석하기 위해 사용자 지정 코드를 작성하는 대신 dnf
패키지 관리자의 API를 사용하는 것이 좋습니다. AL2023dnf
의 버전은 AL2023 및 AL2 리포지토리 형식을 구문 분석할 수 있으므로 API를 사용하여 두 OS 버전의 권고 정보를 검사할 수 있습니다.
RPM Software Management
updateinfo.xml
메타데이터를 직접 구문 분석하는 도구를 개발하는 경우 rpm-메타데이터 설명서에
또한 raw-historical-rpm-repository-examplesupdateinfo.xml
파일 예제가 있습니다.
설명서에 불분명한 부분이 있는 경우 질문에 답변하고 문서를 적절하게 업데이트할 수 있도록 GitHub 프로젝트에서 문제를 열 수 있습니다. 오픈 소스 프로젝트로서 풀 요청 업데이트 설명서도 환영합니다.