Amazon Linux-Sicherheitsempfehlungen für AL2023 - Amazon Linux 2023
ALAS AnnouncementsLEIDER FAQsALAS-EmpfehlungenHinweise und RPM-RepositorienHinweis IDsVeröffentlichungsdatum der Empfehlung und Aktualisierungsdatum der EmpfehlungArten von HinweisenSchweregrade der EmpfehlungEmpfehlungen und PaketeRatschläge und CVEsText der EmpfehlungKernel Live Patch Advisoriesupdateinfo.xml-Schema

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Linux-Sicherheitsempfehlungen für AL2023

Wir arbeiten kontinuierlich an der Sicherheit von Amazon Linux, dennoch werden von Zeit zu Zeit Sicherheitsprobleme auftauchen, die behoben werden müssen. Ein Hinweis wird herausgegeben, wenn ein Fix verfügbar ist. Der Hauptort, an dem wir unsere Empfehlungen veröffentlichen, ist das Amazon Linux Security Center (ALAS). Weitere Informationen erhalten Sie im Amazon-Linux-Sicherheitszentrum.

Wichtig

Wenn Sie eine Sicherheitslücke melden möchten oder Sicherheitsbedenken in Bezug auf AWS Cloud-Dienste oder Open-Source-Projekte haben, wenden Sie sich über die Seite zur Meldung von AWS Sicherheitslücken an die Sicherheitsabteilung

Informationen zu Problemen und den relevanten Updates, die sich darauf auswirken, AL2023 werden vom Amazon Linux-Team an verschiedenen Orten veröffentlicht. Normalerweise rufen Sicherheitstools Informationen aus diesen Primärquellen ab und präsentieren Ihnen die Ergebnisse. Daher interagieren Sie möglicherweise nicht direkt mit den primären Quellen, die Amazon Linux veröffentlicht, sondern mit der Schnittstelle, die von Ihren bevorzugten Tools wie Amazon Inspector bereitgestellt wird.

Ankündigungen des Amazon Linux Security Center

Ankündigungen von Amazon Linux beziehen sich auf Artikel, die nicht in eine Empfehlung passen. Dieser Abschnitt enthält Ankündigungen über ALAS selbst sowie Informationen, die nicht in eine Empfehlung passen. Weitere Informationen finden Sie unter Ankündigungen des Amazon Linux Security Center (ALAS).

Zum Beispiel passt die Amazon Linux Hotpatch-Ankündigung 2021-001 für Apache Log4j eher in eine Ankündigung als in eine Empfehlung. In dieser Ankündigung hat Amazon Linux ein Paket hinzugefügt, das Kunden dabei unterstützt, ein Sicherheitsproblem in Software zu beheben, die nicht Teil von Amazon Linux war.

Der Amazon Linux Security Center CVE Explorer wurde ebenfalls in den ALAS-Ankündigungen angekündigt. Weitere Informationen finden Sie unter Neue Website für CVEs.

Häufig gestellte Fragen zum Amazon Linux Security Center

Antworten auf einige häufig gestellte Fragen zu ALAS und zur Bewertung CVEs von Amazon Linux finden Sie unter Häufig gestellte Fragen zum Amazon Linux Security Center (ALAS) (FAQs).

ALAS-Empfehlungen

Ein Amazon Linux-Advisory enthält wichtige Informationen, die für Amazon Linux-Benutzer relevant sind, in der Regel Informationen zu Sicherheitsupdates. Im Amazon Linux Security Center sind die Advisories im Internet sichtbar. Hinweisinformationen sind auch Teil der Metadaten des RPM-Paket-Repositorys.

Hinweise und RPM-Repositorien

Ein Amazon Linux 2023-Paket-Repository kann Metadaten enthalten, die keine oder mehr Updates beschreiben. Der dnf updateinfo Befehl ist nach dem Dateinamen der Repository-Metadaten benannt, der diese Informationen enthältupdateinfo.xml. Der Befehl ist zwar benannt updateinfo und die Metadatendatei bezieht sich auf eineupdate, aber alle beziehen sich auf Paket-Updates, die Teil eines Advisory sind.

Amazon Linux-Advisories werden auf der Amazon Linux Security Center-Website zusammen mit Informationen in den RPM-Repository-Metadaten veröffentlicht, auf die sich der dnf Paketmanager bezieht. Die Website- und Repository-Metadaten sind letztendlich konsistent, und es kann zu Inkonsistenzen bei den Informationen auf der Website und in den Repository-Metadaten kommen. Dies AL2023 ist in der Regel der Fall, wenn eine neue Version von gerade veröffentlicht wird und ein Advisory nach der letzten AL2023 Version aktualisiert wurde.

Es ist zwar üblich, dass zusammen mit dem Paket-Update, das das Problem behebt, ein neues Advisory veröffentlicht wird, aber das ist nicht immer der Fall. Ein Hinweis kann für ein neues Problem erstellt werden, das in bereits veröffentlichten Paketen behoben ist. Eine bestehende Empfehlung kann auch mit neuen aktualisiert werden CVEs , die durch das bestehende Update behoben werden.

Die Deterministische Upgrades durch versionierte Repositorys auf AL2023 Funktion von Amazon Linux 2023 bedeutet, dass das RPM-Repository für eine bestimmte AL2023 Version einen Snapshot der RPM-Repository-Metadaten für diese Version enthält. Dazu gehören die Metadaten, die Sicherheitsupdates beschreiben. Das RPM-Repository für eine bestimmte AL2023 Version wird nach der Veröffentlichung nicht aktualisiert. Neue oder aktualisierte Sicherheitshinweise werden nicht angezeigt, wenn Sie sich eine ältere Version der AL2023 RPM-Repositorys ansehen. Liste der zutreffenden HinweiseIn diesem Abschnitt erfahren Sie, wie Sie den dnf Paketmanager verwenden können, um sich entweder die latest Repository-Version oder eine bestimmte AL2023 Version anzusehen.

Hinweis IDs

Auf jedes Advisory wird mit einem verwiesenid. Derzeit ist es eine Eigenart von Amazon Linux, dass auf der Amazon Linux Security Center-Website eine Empfehlung als ALAS-2024-581 aufgeführt wird, während der dnf Paketmanager diese Empfehlung mit der ID -2024-581 auflistet. ALAS2023 Wenn Direktes Anwenden von Sicherheitsupdates die Paketmanager-ID verwendet werden muss, wenn auf ein bestimmtes Advisory verwiesen wird.

Für Amazon Linux hat jede Hauptversion des Betriebssystems ihren eigenen IDs Advisory-Namespace. Es sollten keine Annahmen über das Format von Amazon Linux Advisory getroffen IDs werden. In der Vergangenheit folgte Amazon Linux Advisory IDs dem Muster vonNAMESPACE-YEAR-NUMBER. Der gesamte Bereich möglicher Werte für NAMESPACE ist nicht definiert, umfasst aberALAS,ALASCORRETTO8, ALAS2023ALAS2,ALASPYTHON3.8, undALASUNBOUND-1.17. Dabei handelt es YEAR sich um das Jahr, in dem das Advisory erstellt wurde. Dabei handelt NUMBER es sich um eine eindeutige Ganzzahl innerhalb des Namespace.

Obwohl die Empfehlung IDs normalerweise sequentiell und in der Reihenfolge erfolgt, in der die Updates veröffentlicht werden, gibt es viele Gründe, warum dies nicht der Fall sein könnte. Daher sollte nicht davon ausgegangen werden.

Behandeln Sie die Advisory-ID als undurchsichtige Zeichenfolge, die für jede Hauptversion von Amazon Linux eindeutig ist.

In Amazon Linux 2 befand sich jedes Extra in einem separaten RPM-Repository, und die Advisory-Metadaten sind nur in dem Repository enthalten, für das sie relevant sind. Eine Empfehlung für ein Repository gilt nicht für ein anderes Repository. Auf der Amazon Linux Security Center-Website gibt es derzeit eine Liste mit Hinweisen für jede Hauptversion von Amazon Linux, die nicht in Listen pro Repository unterteilt ist.

Da der Extras-Mechanismus AL2023 nicht verwendet wird, um alternative Versionen von Paketen zu verpacken, gibt es derzeit nur zwei RPM-Repositorys, von denen jedes über Advisories verfügt: das Repository und das core Repository. livepatch Das livepatch Repository ist für. Kernel Live Patching auf 023 AL2

Veröffentlichungsdatum der Empfehlung und Aktualisierungsdatum der Empfehlung

Das Veröffentlichungsdatum der Empfehlung für Amazon Linux Advisories gibt an, wann das Sicherheitsupdate zum ersten Mal im RPM-Repository öffentlich verfügbar gemacht wurde. Advisories werden auf der Amazon Linux Security Center-Website veröffentlicht, unmittelbar nachdem Fixes über das RPM-Repository zur Installation zur Verfügung gestellt wurden.

Das Aktualisierungsdatum der Empfehlung gibt an, wann neue Informationen zu einer Empfehlung hinzugefügt wurden, nachdem sie zuvor veröffentlicht wurde.

Zwischen der AL2023 Versionsnummer (z. B. 2023.6.20241031) und dem Veröffentlichungsdatum der zusammen mit dieser Pressemitteilung veröffentlichten Advisories sollten keine Annahmen getroffen werden.

Arten von Hinweisen

Die Metadaten des RPM-Repositorys unterstützen Advisories verschiedener Typen. Amazon Linux hat zwar fast überall nur Advisories herausgegeben, bei denen es sich um Sicherheitsupdates handelt, aber davon sollte nicht ausgegangen werden. Es ist möglich, dass Ankündigungen für Ereignisse wie Bugfixes, Verbesserungen und neue Pakete herausgegeben werden und dass die Empfehlung so gekennzeichnet ist, dass sie diese Art von Update enthält.

Schweregrade der Empfehlung

Jede Empfehlung hat ihren eigenen Schweregrad, da jedes Problem separat bewertet wird. In einem einzigen Advisory CVEs können mehrere behandelt werden, und jeder CVE kann eine andere Bewertung haben, aber das Advisory selbst hat einen Schweregrad. Es kann mehrere Advisories geben, die sich auf ein einzelnes Paket-Update beziehen, sodass es für ein bestimmtes Paket-Update mehrere Schweregrade geben kann (einer pro Advisory).

In der Reihenfolge des abnehmenden Schweregrads hat Amazon Linux Kritisch, Wichtig, Moderat und Niedrig verwendet, um den Schweregrad einer Empfehlung anzugeben. Amazon Linux Advisories haben möglicherweise auch keinen Schweregrad, obwohl dieser äußerst selten vorkommt.

Amazon Linux ist eine der RPM-basierten Linux-Distributionen, die den Begriff Moderat verwendet, während einige andere RPM-basierte Linux-Distributionen den entsprechenden Begriff Medium verwenden. Der Amazon Linux-Paketmanager behandelt beide Begriffe als gleichwertig, und Paket-Repositorys von Drittanbietern können den Begriff Medium verwenden.

Amazon Linux-Advisories können den Schweregrad im Laufe der Zeit ändern, wenn mehr über die in der Empfehlung behandelten relevanten Probleme bekannt ist.

Der Schweregrad einer Empfehlung entspricht in der Regel dem höchsten von Amazon Linux bewerteten CVSS-Score für das, CVEs auf das die Empfehlung verweist. Es kann Fälle geben, in denen dies nicht der Fall ist. Ein Beispiel wäre, wenn ein Problem behoben wird, für das kein CVE zugewiesen wurde.

Weitere Informationen darüber, wie Amazon Linux die Schweregrade von Advisory verwendet, finden Sie in den häufig gestellten Fragen zu ALAS.

Empfehlungen und Pakete

Für ein einzelnes Paket kann es viele Advisories geben, und nicht für alle Pakete wird jemals ein Advisory veröffentlicht. Auf eine bestimmte Paketversion kann in mehreren Advisories verwiesen werden, von denen jedes seinen eigenen Schweregrad und hat. CVEs

Es ist möglich, dass mehrere Advisories für dasselbe Paket-Update gleichzeitig in einer neuen AL2023 Version oder schnell hintereinander veröffentlicht werden.

Wie bei anderen Linux-Distributionen kann es ein bis viele verschiedene Binärpakete geben, die aus demselben Quellpaket erstellt wurden. Beispielsweise ist ALAS-2024-698 eine Empfehlung, die im AL2023 Abschnitt der Amazon Linux Security Center-Website als für das Paket relevant aufgeführt ist. mariadb105 Dies ist der Name des Quellpakets, und das Advisory selbst bezieht sich neben dem Quellpaket auch auf die Binärpakete. In diesem Fall werden über ein Dutzend Binärpakete aus einem mariadb105 Quellpaket erstellt. Es ist zwar sehr üblich, dass es ein Binärpaket mit demselben Namen wie das Quellpaket gibt, aber das ist nicht universal.

Obwohl Amazon Linux Advisories in der Regel alle Binärpakete aufgelistet haben, die aus dem aktualisierten Quellpaket erstellt wurden, sollte davon nicht ausgegangen werden. Der Paketmanager und das RPM-Repository-Metadatenformat ermöglichen Advisories, die eine Teilmenge der aktualisierten Binärpakete auflisten.

Ein bestimmter Hinweis kann auch nur für eine bestimmte CPU-Architektur gelten. Es kann Pakete geben, die nicht für alle Architekturen erstellt wurden, oder Probleme, die nicht alle Architekturen betreffen. Für den Fall, dass ein Paket auf allen Architekturen verfügbar ist, ein Problem aber nur für eine auftritt, hat Amazon Linux in der Regel kein Advisory herausgegeben, das nur auf die betroffene Architektur verweist, obwohl davon nicht ausgegangen werden sollte.

Aufgrund der Art der Paketabhängigkeiten ist es üblich, dass ein Advisory auf ein Paket verweist, aber die Installation dieses Updates erfordert andere Paket-Updates, einschließlich Pakete, die nicht in der Empfehlung aufgeführt sind. Der dnf Paketmanager kümmert sich um die Installation der erforderlichen Abhängigkeiten.

Ratschläge und CVEs

Ein Advisory kann keine oder mehrere Adressen enthalten CVEs, und es kann mehrere Advisories geben, die sich auf dasselbe CVE beziehen.

Ein Beispiel dafür, wann ein Advisory auf Null verweisen kann, CVEs ist, wenn dem Problem noch kein CVE (oder noch nie) zugewiesen wurde.

Ein Beispiel dafür, dass mehrere Advisories auf denselben CVE verweisen können, wenn der CVE (zum Beispiel) für mehrere Pakete gilt. Beispielsweise gilt CVE-2024-21208 für Corretto 8, 11, 17 und 21. Jede dieser Corretto-Versionen ist ein separates Paket AL2023, und für jedes dieser Pakete gibt es ein Advisory: ALAS-2024-754 für Corretto 8, ALAS-2024-753 für Corretto 11, ALAS-2024-752für Corretto 17 und ALAS-2024-752 für Corretto 21. Diese Corretto-Versionen haben zwar alle dieselbe Liste von CVEs, dies sollte jedoch nicht davon ausgegangen werden.

Ein bestimmter CVE kann für verschiedene Pakete unterschiedlich bewertet werden. Wenn beispielsweise in einem Advisory mit dem Schweregrad Wichtig auf ein bestimmtes CVE verwiesen wird, ist es möglich, dass ein anderes Advisory herausgegeben wird, das sich auf denselben CVE mit einem anderen Schweregrad bezieht.

Die Metadaten des RPM-Repositorys ermöglichen eine Referenzliste für jedes Advisory. Während Amazon Linux in der Regel nur referenziert hat CVEs, ermöglicht das Metadatenformat andere Referenztypen.

Auf die Metadaten des RPM-Paket-Repositorys wird nur verwiesen, CVEs wenn ein Fix verfügbar ist. Der Abschnitt Erkunden der Amazon Linux Security Center-Website enthält Informationen zu den Informationen CVEs , die Amazon Linux bewertet hat. Diese Bewertung kann zu einer CVSS-Basisbewertung, einem Schweregrad und einem Status für verschiedene Amazon Linux-Versionen und -Pakete führen. Der Status eines CVE für eine bestimmte Amazon Linux-Version oder ein bestimmtes Paket kann „Nicht betroffen“, „Ausstehende Korrektur“ oder „Kein Fix geplant“ lauten. Der Status und die Bewertung von CVEs können sich vor der Veröffentlichung einer Empfehlung mehrfach und in beliebiger Weise ändern. Dies beinhaltet eine Neubewertung der Anwendbarkeit eines CVE auf Amazon Linux.

Die Liste der Personen, auf die in einer Empfehlung CVEs verwiesen wird, kann sich nach der ersten Veröffentlichung dieser Empfehlung ändern.

Text der Empfehlung

Ein Hinweis wird auch einen Text enthalten, der das Problem oder die Probleme beschreibt, die der Grund für die Erstellung des Ratgebers waren. Es ist üblich, dass es sich bei diesem Text um den unveränderten CVE-Text handelt. Dieser Text kann sich auf Upstream-Versionsnummern beziehen, für die ein Fix verfügbar ist, die sich von der Paketversion unterscheiden, auf die Amazon Linux einen Fix angewendet hat. Es ist üblich, dass Amazon Linux Fixes aus neueren Upstream-Versionen zurückportiert. Falls im Text der Ankündigung eine Upstream-Version erwähnt wird, die sich von der Version unterscheidet, die in einer Amazon Linux-Version ausgeliefert wurde, gelten die Amazon Linux-Paketversionen in der Empfehlung für Amazon Linux.

Es ist möglich, dass der Hinweistext in den Metadaten des RPM-Repositorys Platzhaltertext ist, der lediglich auf die Amazon Linux Security Center-Website verweist, um weitere Informationen zu erhalten.

Kernel Live Patch Advisories

Ankündigungen für Live-Patches sind insofern einzigartig, als sie sich auf ein anderes Paket (den Linux-Kernel) beziehen als das Paket, gegen das sich die Ankündigung richtet (z. B.kernel-livepatch-6.1.15-28.43).

Eine Empfehlung für einen Kernel-Live-Patch bezieht sich auf die Probleme (z. B. CVEs), die das jeweilige Live-Patch-Paket für die spezifische Kernel-Version, für die das Live-Patch-Paket gilt, beheben kann.

Jeder Live-Patch bezieht sich auf eine bestimmte Kernel-Version. Um einen Live-Patch für eine CVE anzuwenden, muss das richtige Live-Patch-Paket für Ihre Kernel-Version installiert und der Live-Patch angewendet werden.

Zum Beispiel kann CVE-2023-6111 für die Kernel-Versionen,, und live gepatcht werden. AL2023 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Eine neue Kernel-Version mit einem Fix für diesen CVE wurde ebenfalls veröffentlicht, für die es eine separate Empfehlung gibt. Damit CVE-2023-6111 AL2023 entweder auf einer Kernel-Version behoben werden kann, die der Angabe von ALAS2023-2023-461 entspricht oder später ist, muss entweder eine der Kernelversionen mit einem Live-Patch für diese CVE ausgeführt werden, auf der der entsprechende Livepatch angewendet wurde.

Wenn neue Live-Patches für eine bestimmte Kernel-Version verfügbar sind, für die bereits ein Live-Patch verfügbar ist, wird eine neue Version des Pakets veröffentlicht. kernel-livepatch-KERNEL_VERSION Zum Beispiel wurde das ALASLIVEPATCH-2023-003Advisory zusammen mit dem kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 Paket veröffentlicht, das Live-Patches für den 6.1.15-28.43 Kernel enthielt, die drei Patches abdeckten CVEs. Später wurde das ALASLIVEPATCH-2023-009Advisory zusammen mit dem kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 Paket veröffentlicht; es war ein Update des vorherigen Live-Patch-Pakets für den 6.1.15-28.43 Kernel, das Live-Patches für drei weitere enthält CVEs. Es gab auch andere Probleme mit Live-Patch-Advisories für andere Kernel-Versionen, wobei Pakete Live-Patches für diese spezifischen Kernel-Versionen enthielten.

Weitere Informationen zum Live-Patchen des Kernels finden Sie unter. Kernel Live Patching auf 023 AL2

Allen, die Tools rund um Sicherheitsempfehlungen entwickeln, wird außerdem empfohlen, diesen XML-Schema für Sicherheitshinweise und updateinfo.xml Abschnitt für weitere Informationen zu lesen.

XML-Schema für Sicherheitshinweise und updateinfo.xml

Die updateinfo.xml Datei ist Teil des Paket-Repository-Formats. Es sind die Metadaten, die der dnf Paketmanager analysiert, um Funktionen wie Liste der zutreffenden Hinweise und Direktes Anwenden von Sicherheitsupdates zu implementieren.

Wir haben empfohlen, die API des dnf Paketmanagers zu verwenden, anstatt benutzerdefinierten Code zu schreiben, um die Metadatenformate des Repositorys zu analysieren. Die Version von dnf in AL2023 kann sowohl das Repository-Format als auch das AL2023 AL2 Repository-Format analysieren, sodass die API verwendet werden kann, um die Beratungsinformationen für beide Betriebssystemversionen zu überprüfen.

Das RPM-Softwaremanagement-Projekt dokumentiert die RPM-Metadatenformate im RPM-Metadaten-Repository unter. GitHub

Denjenigen, die Tools zur direkten Analyse der updateinfo.xml Metadaten entwickeln, wird dringend empfohlen, die RPM-Metadaten-Dokumentation sorgfältig zu lesen. Die Dokumentation behandelt, was in freier Wildbahn beobachtet wurde, und enthält viele Ausnahmen von dem, was Sie vernünftigerweise als Regel für das Metadatenformat interpretieren könnten.

Es gibt auch eine wachsende Anzahl von Beispielen aus der realen Welt für updateinfo.xml Dateien im raw-historical-rpm-repository-examples-Repository unter. GitHub

Falls in der Dokumentation etwas unklar ist, können Sie ein Problem im GitHub Projekt eröffnen, damit wir die Frage beantworten und die Dokumentation entsprechend aktualisieren können. Da es sich um Open-Source-Projekte handelt, sind auch Pull-Requests zur Aktualisierung der Dokumentation willkommen.