Avisos de seguridad de Amazon Linux para AL2023 - Amazon Linux 2023
Anuncios en ALASPOR DESGRACIA FAQsAvisos de ALASAvisos y repositorios de RPMAsesoramiento IDsFecha de publicación del aviso y fecha de actualización del avisoTipos de avisosGravedad de los avisosAvisos y paquetesAvisos y CVEsTexto de avisoAvisos de parches activos del kernelEsquema updateinfo.xml

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Avisos de seguridad de Amazon Linux para AL2023

Aunque nos esforzamos por garantizar la seguridad de Amazon Linux, en ocasiones aparecerán problemas de seguridad que deberán solucionarse. Se emite un aviso cuando hay una solución disponible. El lugar principal donde publicamos los avisos es el Centro de seguridad de Amazon Linux (ALAS). Para obtener más información, consulte Centro de seguridad de Amazon Linux.

importante

Si desea informar sobre una vulnerabilidad o tiene algún problema de seguridad relacionado con los servicios en la AWS nube o los proyectos de código abierto, póngase en contacto con el departamento de AWS seguridad a través de la página de informes de vulnerabilidades

El equipo de Amazon Linux publica información sobre AL2023 los problemas y las actualizaciones relevantes que los afectan en varios lugares. Es habitual que las herramientas de seguridad obtengan información de estos orígenes principales y le presenten los resultados. Por lo tanto, es posible que usted no interactúe directamente con los orígenes principales que publica Amazon Linux, sino con la interfaz proporcionada por su herramienta preferida, como Amazon Inspector.

Anuncios en el Centro de seguridad de Amazon Linux

Los anuncios de Amazon Linux se refieren a elementos que no se pueden incluir en un aviso. Esta sección contiene anuncios sobre el propio ALAS, junto con información que no se puede incluir en un aviso. Para obtener más información, consulte Anuncios del Centro de seguridad de Amazon Linux (ALAS).

Por ejemplo, el anuncio del hotpatch de Amazon Linux para Apache Log4j - 2021-001 se ajustaba más a un anuncio que a un aviso. En este anuncio, Amazon Linux añadió un paquete para ayudar a los clientes a mitigar un problema de seguridad en un software que no formaba parte de Amazon Linux.

El Explorador de CVE del Centro de seguridad de Amazon Linux también se anunció en los anuncios del ALAS. Para obtener más información, consulte el nuevo sitio web de CVEs.

Preguntas frecuentes sobre el Centro de seguridad de Amazon Linux

Para obtener respuestas a algunas preguntas frecuentes sobre ALAS y sobre cómo evalúa Amazon Linux CVEs, consulte las Preguntas frecuentes sobre Amazon Linux Security Center (ALAS) (FAQs).

Avisos de ALAS

Un aviso de Amazon Linux contiene información importante relevante para los usuarios de Amazon Linux, normalmente información sobre actualizaciones de seguridad. El Centro de seguridad de Amazon Linux es el lugar donde se pueden ver los avisos en la web. La información de los avisos también forma parte de los metadatos del repositorio de paquetes RPM.

Avisos y repositorios de RPM

Un repositorio de paquetes de Amazon Linux 2023 puede contener metadatos que describan cero o más actualizaciones. El comando dnf updateinfo recibe su nombre del nombre del archivo de metadatos del repositorio que contiene esta información, updateinfo.xml. Aunque el comando se llama updateinfo y el archivo de metadatos hace referencia a un update, todos ellos se refieren a actualizaciones de paquetes que forman parte de un aviso.

Los avisos de Amazon Linux se publican en el sitio web del Centro de seguridad de Amazon Linux, junto con la información que se encuentra en los metadatos del repositorio de RPM a los que hace referencia el administrador de paquetes dnf. Con el tiempo, los metadatos del sitio web y del repositorio son consistentes, y es posible que haya inconsistencias en la información del sitio web y en los metadatos del repositorio. Esto suele ocurrir cuando se AL2023 está publicando una nueva versión de, si se ha producido una actualización de un aviso después de la AL2023 publicación más reciente.

Aunque lo habitual es que se publique un nuevo aviso junto con la actualización del paquete que soluciona el problema, no siempre es así. Se puede crear un aviso para un nuevo problema que se aborda en paquetes ya publicados. Un aviso existente también puede actualizarse con otros nuevos CVEs que se aborden en la actualización existente.

La Actualizaciones deterministas mediante repositorios versionados en AL2023 función de Amazon Linux 2023 significa que el repositorio RPM de una AL2023 versión concreta contiene una instantánea de los metadatos del repositorio RPM de esa versión. Esto incluye los metadatos que describen las actualizaciones de seguridad. El repositorio RPM de una AL2023 versión determinada no se actualiza después de la publicación. Los avisos de seguridad nuevos o actualizados no estarán visibles al consultar una versión anterior de los repositorios AL2023 RPM. Consulta la Lista de avisos aplicables sección sobre cómo usar el administrador de dnf paquetes para ver la versión del latest repositorio o una versión específica AL2023 .

Asesoramiento IDs

Cada aviso tiene su propio id. Actualmente, es una peculiaridad de Amazon Linux, donde el sitio web del Amazon Linux Security Center incluirá un aviso como ALAS-2024-581, mientras que el administrador de dnf paquetes incluirá ese aviso con el identificador -2024-581. ALAS2023 Cuando ocurre Aplicación de actualizaciones de seguridad in situ, es necesario usar el ID del administrador de paquetes si se refiere a un aviso específico.

En Amazon Linux, cada versión principal del sistema operativo tiene su propio espacio de nombres, Advisory. IDs No se deben hacer suposiciones en cuanto al formato del aviso de Amazon Linux IDs. Históricamente, Amazon Linux Advisory IDs ha seguido el patrón deNAMESPACE-YEAR-NUMBER. El rango completo de valores posibles para NAMESPACE no está definido, pero incluye ALAS, ALASCORRETTO8, ALAS2023, ALAS2, ALASPYTHON3.8 y ALASUNBOUND-1.17. YEAR ha sido el año en que se creó el aviso y NUMBER es un entero único dentro del espacio de nombres.

Si bien las IDs recomendaciones suelen ser secuenciales y se muestran en el orden en que se publican las actualizaciones, hay muchas razones por las que no puede ser así, por lo que no se debe dar por sentado.

Trate el ID de aviso como una cadena opaca que es única para cada versión principal de Amazon Linux.

En Amazon Linux 2, cada Extra estaba en un repositorio de RPM independiente y los metadatos de los avisos se encuentran únicamente en el repositorio para el que son relevantes. Un aviso de un repositorio no se aplica a otro repositorio. En el sitio web del Centro de seguridad de Amazon Linux, actualmente hay una lista de avisos para cada versión principal de Amazon Linux y no está separada en listas por repositorio.

Como AL2023 no utiliza el mecanismo Extras para empaquetar versiones alternativas de paquetes, actualmente solo hay dos repositorios RPM, cada uno de los cuales tiene Advisories: el core repositorio y el repositorio. livepatch El repositorio livepatch es para Aplicación de parches activos del kernel en AL2023.

Fecha de publicación del aviso y fecha de actualización del aviso

La fecha de publicación de los avisos de Amazon Linux indica cuándo se publicó por primera vez la actualización de seguridad en el repositorio de RPM. Los avisos se publican en el sitio web del Centro de seguridad de Amazon Linux inmediatamente después de que las correcciones estén disponibles para su instalación a través del repositorio de RPM.

La fecha de actualización del aviso indica cuándo se ha añadido nueva información a un aviso después de su publicación previa.

No se debe hacer ninguna suposición entre el número de AL2023 versión (p. ej., 2023.6.20241031) y la fecha de publicación del aviso de publicación de los avisos publicados junto con esa versión.

Tipos de avisos

Los metadatos del repositorio de RPM admiten avisos de diferentes tipos. Aunque Amazon Linux casi siempre ha publicado únicamente avisos que son actualizaciones de seguridad, no se debe dar esto por sentado. Es posible que se publiquen avisos sobre eventos tales como correcciones de errores, mejoras y nuevos paquetes, y que el aviso se marque como contenedor de ese tipo de actualización.

Gravedad de los avisos

Cada aviso tiene su propia gravedad, ya que cada problema se evalúa por separado. Se CVEs pueden abordar varias en una sola advertencia y cada CVE puede tener una evaluación diferente, pero la propia advertencia tiene un nivel de gravedad único. Puede haber varios avisos que hagan referencia a una única actualización de paquete, por lo que puede haber varias gravedades para una actualización de paquete concreta (una por cada aviso).

Por orden decreciente de gravedad, Amazon Linux ha utilizado los niveles “Crítica”, “Importante”, “Moderada” y “Baja” para indicar la gravedad de un aviso. Es posible que los avisos de Amazon Linux tampoco tengan un nivel de gravedad, aunque esto es muy poco frecuente.

Amazon Linux es una de las distribuciones de Linux basadas en RPM que utiliza el término “Moderada”, mientras que otras distribuciones de Linux basadas en RPM utilizan el término equivalente “Media”. El administrador de paquetes de Amazon Linux trata ambos términos como equivalentes y los repositorios de paquetes de terceros pueden usar el término “Media”.

Los avisos de Amazon Linux pueden cambiar de gravedad con el tiempo a medida que se obtenga más información sobre los problemas relevantes abordados en el aviso.

Por lo general, la gravedad de un aviso registrará la puntuación CVSS más alta evaluada por Amazon Linux para la puntuación a la que CVEs hace referencia el aviso. Puede haber casos en los que esto no sea así. Un ejemplo sería cuando se aborda un problema al que no se le ha asignado un CVE.

Consulte las preguntas frecuentes de ALAS para obtener más información sobre cómo Amazon Linux utiliza los índices de gravedad de los avisos.

Avisos y paquetes

Puede haber muchos avisos para un solo paquete, y no todos los paquetes tendrán un aviso publicado. Se puede hacer referencia a una versión de paquete concreta en varios avisos, cada uno con su propia gravedad y. CVEs

Es posible que se publiquen varios avisos para la misma actualización de paquete simultáneamente en una nueva AL2023 versión o en rápida sucesión.

Al igual que otras distribuciones de Linux, puede haber uno o varios paquetes binarios diferentes compilados a partir del mismo paquete de origen. Por ejemplo, ALAS-2024-698 es un aviso que aparece en la sección AL2023 del sitio web de Amazon Linux Security Center como aplicable al paquete. mariadb105 Este es el nombre del paquete de origen, y el propio aviso hace referencia a los paquetes binarios que aparecen junto con el paquete fuente. En este caso, se crean más de una docena de paquetes binarios a partir de un único paquete mariadb105 de origen. Aunque es muy habitual que haya un paquete binario con el mismo nombre que el paquete de origen, esto no es universal.

Aunque las advertencias de Amazon Linux suelen incluir todos los paquetes binarios creados a partir del paquete de origen actualizado, no se debe dar esto por sentado. El formato de metadatos del administrador de paquetes y del repositorio de RPM permite incluir avisos que enumeran un subconjunto de los paquetes binarios actualizados.

Una advertencia concreta también puede aplicarse únicamente a una arquitectura de CPU concreta. Puede haber paquetes que no estén compilados para todas las arquitecturas, o problemas que no afecten a todas las arquitecturas. En el caso de que un paquete esté disponible en todas las arquitecturas, pero un problema solo afecte a una de ellas, Amazon Linux no suele publicar un aviso en el que solo se haga referencia a la arquitectura afectada, aunque esto no debe darse por sentado.

Debido a la naturaleza de las dependencias entre paquetes, es habitual que una notificación haga referencia a un paquete, pero la instalación de esa actualización requiera otras actualizaciones de paquetes, incluidos paquetes que no figuran en la notificación. El administrador de paquetes dnf se encargará de instalar las dependencias necesarias.

Avisos y CVEs

Un aviso puede abordar cero o más CVEs, y puede haber varios avisos que hagan referencia al mismo CVE.

Un ejemplo en el que un aviso puede hacer referencia a cero CVEs es cuando un CVE aún no está asignado (o nunca) a la emisión.

Un ejemplo en el que varios avisos pueden hacer referencia al mismo CVE cuando (por ejemplo) el CVE es aplicable a varios paquetes. Por ejemplo, CVE-2024-21208 se aplica a Corretto 8, 11, 17 y 21. Cada una de estas versiones de Corretto viene en un paquete independiente y hay un aviso para cada uno de estos paquetes: ALAS-2024-754 para el Corretto 8 AL2023, ALAS-2024-753para el Corretto 11, ALAS-2024-752 para el Corretto 17 y ALAS-2024-752 para el Corretto 21. Si bien todos estos lanzamientos de Corretto tienen la misma lista de CVEs, esto no debe asumirse.

Un CVE concreto puede evaluarse de forma diferente para distintos paquetes. Por ejemplo, si se hace referencia a un CVE concreto en un aviso con un nivel de gravedad “Importante”, es posible que se publique otro aviso que haga referencia al mismo CVE con un nivel de gravedad diferente.

Los metadatos del repositorio de RPM permiten obtener una lista de referencias para cada aviso. Si bien Amazon Linux normalmente solo hace referencia CVEs, el formato de metadatos permite otros tipos de referencia.

Solo se hará referencia a los metadatos del repositorio de paquetes RPM CVEs cuando haya una corrección disponible. La sección Explore del sitio web de Amazon Linux Security Center contiene información sobre CVEs lo que Amazon Linux ha evaluado. Esta evaluación puede dar como resultado una puntuación base CVSS, un nivel de gravedad y un estado para varias versiones y paquetes de Amazon Linux. El estado de un CVE para una versión o paquete concreto de Amazon Linux puede ser “No afectado”, “Pendiente de corrección” o “Sin corrección prevista”. El estado y la evaluación de CVEs pueden cambiar muchas veces y de cualquier manera antes de que se emita un aviso. Esto incluye la reevaluación de la aplicabilidad de un CVE a Amazon Linux.

La lista de CVEs referencias de una Asesoría puede cambiar después de la publicación inicial de esa Asesoría.

Texto de aviso

Un aviso también contendrá un texto que describa el problema o los problemas que motivaron su creación. Es habitual que este texto sea el texto del CVE sin modificaciones. Este texto puede hacer referencia a los números de versión anteriores en los que hay una corrección disponible y que son diferentes de la versión del paquete a la que Amazon Linux ha aplicado una corrección. Es habitual que Amazon Linux transfiera las correcciones de las versiones anteriores más recientes. En el caso de que el texto del aviso mencione una versión anterior diferente a la versión incluida en una versión de Amazon Linux, las versiones del paquete de Amazon Linux del aviso serán las correctas para Amazon Linux.

Es posible que el texto de advertencia en los metadatos del repositorio RPM sea un texto de marcador de posición que simplemente remita al sitio web del Centro de seguridad de Amazon Linux para obtener más detalles.

Avisos de parches activos del kernel

Los avisos de los parches activos son únicos en el sentido de que se refieren a un paquete diferente (el kernel de Linux) del paquete en el que se basa el aviso (por ejemplo, kernel-livepatch-6.1.15-28.43).

Un aviso para un parche activo del núcleo hará referencia a los problemas (por ejemplo CVEs) que el paquete de parches activos concreto puede solucionar en relación con la versión específica del núcleo a la que se aplica el paquete de parches activos.

Cada parche activo es para una versión específica del kernel. Para aplicar un parche activo a un CVE, es necesario instalar el paquete de parches activos adecuado para la versión del kernel y aplicar el parche activo.

Por ejemplo, el CVE-2023-6111 puede ser parcheado en tiempo real para AL2023 las versiones del núcleo, y. 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 También se ha lanzado una nueva versión del kernel con una corrección para este CVE, que cuenta con un aviso independiente. Para corregir el error CVE-2023-6111, se debe ejecutar una versión del núcleo igual o posterior a la especificada por ALAS2023-2023-461, o AL2023 bien una de las versiones del núcleo con un parche activo para este CVE debe estar ejecutándose con el parche activo correspondiente.

Cuando hay nuevos parches activos disponibles para una versión específica del kernel que ya tiene un parche activo disponible, se publica una nueva versión del paquete kernel-livepatch-KERNEL_VERSION. Por ejemplo, el ALASLIVEPATCH-2023-003aviso se publicó con un kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 paquete que contenía tres parches activos para el núcleo. 6.1.15-28.43 CVEs Más tarde, se publicó el ALASLIVEPATCH-2023-009aviso junto con el kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 paquete, una actualización del anterior paquete de parches activos para el 6.1.15-28.43 núcleo, que contenía parches activos para otros tres CVEs. También hubo otros problemas con los avisos de parches activos para otras versiones del kernel, con paquetes que contenían parches activos para esas versiones específicas del kernel.

Para obtener más información sobre la aplicación de parches activos, consulte Aplicación de parches activos del kernel en AL2023.

Para cualquier persona que esté desarrollando herramientas en torno a los avisos de seguridad, también se recomienda consultar la sección Esquema XML para avisos y updateinfo.xml para obtener más información.

Esquema XML para avisos y updateinfo.xml

El archivo updateinfo.xml forma parte del formato del repositorio de paquetes. Son los metadatos que el administrador de paquetes dnf analiza para implementar funciones como Lista de avisos aplicables y Aplicación de actualizaciones de seguridad in situ.

Recomendamos utilizar la API del administrador de paquetes dnf en lugar de escribir código personalizado para analizar los formatos de metadatos del repositorio. La versión de dnf in AL2023 puede analizar tanto el formato como el del AL2 repositorio AL2023 y, por lo tanto, la API se puede utilizar para examinar la información de asesoramiento de cualquier versión del sistema operativo.

El proyecto RPM Software Management documenta los formatos de metadatos RPM del repositorio rpm-metadata en. GitHub

Para aquellos que están desarrollando herramientas para analizar directamente los metadatos de updateinfo.xml, se recomienda encarecidamente prestar mucha atención a la documentación sobre los metadatos de RPM. La documentación cubre lo que se ha observado en la práctica, lo que incluye muchas excepciones a lo que se podría interpretar razonablemente como una regla para el formato de metadatos.

También hay un conjunto cada vez mayor de ejemplos de updateinfo.xml archivos del mundo real en el repositorio raw-historical-rpm-repository-examples on. GitHub

En caso de que algo no quede claro en la documentación, puedes abrir una edición en el GitHub proyecto para que podamos responder a la pregunta y actualizar la documentación adecuadamente. Al tratarse de proyectos de código abierto, también se aceptan solicitudes de incorporación de cambios para actualizar la documentación.