Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Penasihat Keamanan Amazon Linux untuk AL2023
Meskipun kami bekerja keras untuk membuat Amazon Linux aman, kadang-kadang akan ada masalah keamanan yang perlu diperbaiki. *Penasihat* dikeluarkan ketika perbaikan tersedia. Lokasi utama tempat kami mempublikasikan saran adalah Amazon Linux Security Center (ALAS). Untuk informasi selengkapnya, lihat [Pusat Keamanan Amazon Linux](https://alas.aws.amazon.com/alas2023.html).
**penting**
Jika Anda ingin melaporkan kerentanan atau memiliki masalah keamanan terkait layanan AWS cloud atau proyek sumber terbuka, hubungi AWS Keamanan menggunakan halaman Pelaporan [Kerentanan](https://aws.amazon.com/security/vulnerability-reporting/)
Informasi tentang masalah dan pembaruan relevan AL2023 yang memengaruhi diterbitkan oleh tim Amazon Linux di beberapa lokasi. Ini umum untuk alat keamanan untuk mengambil informasi dari sumber-sumber utama ini dan menyajikan hasilnya kepada Anda. Dengan demikian, Anda mungkin tidak berinteraksi langsung dengan sumber utama yang dipublikasikan Amazon Linux, melainkan antarmuka yang disediakan oleh perkakas pilihan Anda, seperti Amazon [Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html).
## Pengumuman Pusat Keamanan Amazon Linux
*Pengumuman* Amazon Linux disediakan untuk item yang tidak sesuai dengan penasihat. Bagian ini berisi pengumuman tentang ALAS itu sendiri, bersama dengan informasi yang tidak sesuai dengan penasehat. Untuk informasi selengkapnya, lihat [Pengumuman Amazon Linux Security Center (ALAS)](https://alas.aws.amazon.com/announcements.html).
Misalnya, [2021-001 - Pengumuman Hotpatch Amazon Linux untuk Apache Log4j cocok dengan pengumuman](https://alas.aws.amazon.com/announcements/2021-001.html) daripada penasihat. Dalam pengumuman ini, Amazon Linux menambahkan paket untuk membantu pelanggan mengurangi masalah keamanan dalam perangkat lunak yang bukan bagian dari Amazon Linux.
[Pusat Keamanan Amazon Linux CVE Explorer](https://explore.alas.aws.amazon.com/) juga diumumkan pada pengumuman ALAS. Untuk informasi lebih lanjut, lihat [Situs web baru untuk CVEs](https://alas.aws.amazon.com/announcements/2023-001.html).
## Pusat Keamanan Amazon Linux Pertanyaan yang Sering Diajukan
Untuk jawaban atas beberapa pertanyaan umum tentang ALAS dan bagaimana Amazon Linux mengevaluasi CVEs, lihat Pertanyaan yang [Sering Diajukan Pusat Keamanan Amazon Linux (ALAS) (FAQs)](https://alas.aws.amazon.com/faqs.html).
## Penasihat ALAS
Amazon Linux Advisory berisi informasi penting yang relevan dengan pengguna Amazon Linux, biasanya informasi tentang pembaruan keamanan. [Pusat Keamanan Amazon Linux](https://alas.aws.amazon.com/alas2023.html) adalah tempat Penasihat terlihat di web. Informasi penasehat juga merupakan bagian dari metadata repositori paket RPM.
## Saran dan repositori RPM
Repositori paket Amazon Linux 2023 mungkin berisi metadata yang menjelaskan nol atau lebih pembaruan. `dnf updateinfo`Perintah ini dinamai nama file metadata repositori yang berisi informasi ini,. `updateinfo.xml` Sementara perintah diberi nama`updateinfo`, dan file metadata mengacu pada`update`, ini semua mengacu pada pembaruan paket yang merupakan bagian dari Penasihat.
Amazon Linux Advisories dipublikasikan di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html), bersama dengan informasi yang ada dalam metadata repositori RPM yang dirujuk oleh manajer paket. `dnf` Situs web dan metadata repositori pada akhirnya konsisten, dan mungkin ada inkonsistensi dalam informasi di situs web dan dalam metadata repositori. Ini biasanya akan terjadi ketika rilis baru AL2023 sedang dalam proses dirilis, telah ada pembaruan untuk Penasihat setelah AL2023 rilis terbaru.
Meskipun biasanya Penasihat baru dikeluarkan bersamaan dengan pembaruan paket yang membahas masalah ini, hal ini tidak selalu terjadi. Advisory dapat dibuat untuk masalah baru yang dibahas dalam paket yang sudah dirilis. Advisory yang ada juga dapat diperbarui dengan CVEs yang baru yang ditangani oleh pembaruan yang ada.
[Peningkatan deterministik melalui repositori berversi pada AL2023](deterministic-upgrades.md)Fitur Amazon Linux 2023 berarti bahwa repositori RPM untuk AL2023 versi tertentu berisi snapshot metadata repositori RPM pada versi tersebut. Ini *termasuk* metadata yang menjelaskan pembaruan keamanan. Repositori RPM untuk AL2023 versi tertentu *tidak diperbarui setelah rilis*. Penasihat keamanan baru atau yang diperbarui *tidak akan terlihat saat melihat versi repositori AL2023 RPM yang lebih lama*. Lihat [Daftar Saran yang berlaku](listing-applicable-advisories.md) bagian untuk cara menggunakan manajer `dnf` paket untuk melihat versi `latest` repositori, atau rilis tertentu AL2023 .
## Penasehat IDs
Setiap Penasehat dirujuk oleh sebuah`id`. Saat ini merupakan kekhasan Amazon Linux di mana situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) akan mencantumkan Penasihat sebagai [ALAS-2024-581, sedangkan manajer `dnf` paket akan [mencantumkan](listing-applicable-advisories.md) penasihat itu sebagai memiliki ID -2024-581](https://alas.aws.amazon.com/AL2023/ALAS-2024-581.html). ALAS2023 Ketika [Menerapkan pembaruan keamanan di tempat](security-inplace-update.md) ID manajer paket perlu digunakan jika mengacu pada Penasihat tertentu.
Untuk Amazon Linux, setiap versi utama OS memiliki namespace Advisory sendiri. IDs Seharusnya tidak ada asumsi yang dibuat mengenai format Amazon Linux IDs Advisory. Secara historis, Amazon Linux Advisory IDs telah mengikuti pola. `NAMESPACE-YEAR-NUMBER` Rentang lengkap nilai yang mungkin untuk tidak `NAMESPACE` didefinisikan, tetapi telah mencakup`ALAS`,`ALASCORRETTO8`,`ALAS2023`,`ALAS2`,`ALASPYTHON3.8`, dan`ALASUNBOUND-1.17`. `YEAR`Telah menjadi tahun di mana penasehat dibuat, dan `NUMBER` menjadi bilangan bulat unik dalam namespace.
Sementara Advisory *biasanya IDs * akan berurutan dan dalam urutan pembaruan dirilis, ada banyak alasan mengapa hal ini tidak dapat terjadi, jadi ini tidak boleh diasumsikan.
Perlakukan ID Penasihat sebagai string buram yang unik untuk setiap versi utama Amazon Linux.
Di Amazon Linux 2, setiap Ekstra berada dalam repositori RPM terpisah, dan metadata Penasihat hanya terkandung dalam repositori yang relevan. Penasihat untuk satu repositori *tidak berlaku* untuk repositori lain. Di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2.html), saat ini ada satu daftar Penasihat untuk setiap versi Amazon Linux utama, dan tidak dipisahkan ke dalam daftar per-repositori.
Karena AL2023 tidak menggunakan mekanisme Ekstra untuk mengemas versi paket alternatif, saat ini hanya ada dua repositori RPM, yang masing-masing memiliki Advisories, repositori dan `core` repositori. `livepatch` `livepatch`Repositori adalah untuk. [Kernel Live Patching pada 023 AL2](live-patching.md)
## Tanggal Rilis Penasihat dan Tanggal Diperbarui Penasihat
Tanggal Rilis Penasihat untuk Amazon Linux Advisories menunjukkan kapan pembaruan keamanan pertama kali tersedia untuk umum di repositori RPM. Penasihat diposting di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) segera setelah perbaikan dibuat tersedia untuk instalasi melalui repositori RPM.
Tanggal Diperbarui Penasihat menunjukkan kapan informasi baru ditambahkan ke penasihat setelah diterbitkan sebelumnya.
Seharusnya tidak ada asumsi yang dibuat antara nomor AL2023 versi (misalnya 2023.6.20241031) dan Tanggal Rilis Penasihat Penasihat yang diterbitkan bersamaan dengan rilis tersebut.
## Jenis Penasihat
Metadata repositori RPM mendukung Advisories dari berbagai jenis. Sementara Amazon Linux hampir secara universal hanya mengeluarkan Advisories yang merupakan pembaruan keamanan, ini tidak boleh diasumsikan. Ada kemungkinan bahwa Penasihat untuk acara seperti perbaikan bug, penyempurnaan, dan paket baru dapat dikeluarkan, dan Penasihat ditandai sebagai berisi jenis pembaruan tersebut.
## Tingkat Penasehat
Setiap Penasihat memiliki Tingkat Keparahannya sendiri karena setiap masalah dievaluasi secara terpisah. Beberapa CVEs dapat ditangani dalam satu Penasihat, dan setiap CVE mungkin memiliki evaluasi yang berbeda, tetapi Penasihat itu sendiri memiliki satu Keparahan. Mungkin ada beberapa Penasihat yang mengacu pada pembaruan paket tunggal, sehingga dapat ada beberapa Severities untuk pembaruan paket tertentu (satu per Penasihat).
Untuk mengurangi Keparahan, Amazon Linux telah menggunakan Kritis, Penting, Sedang, dan Rendah untuk menunjukkan Tingkat Keparahan Penasihat. Amazon Linux Advisories mungkin juga *tidak memiliki Keparahan*, meskipun ini sangat jarang.
Amazon Linux adalah salah satu distribusi Linux berbasis RPM yang menggunakan istilah Moderate, sementara beberapa distribusi Linux berbasis RPM lainnya menggunakan istilah yang setara Medium. Manajer paket Amazon Linux memperlakukan kedua istilah tersebut sebagai setara, dan repositori paket pihak ketiga dapat menggunakan istilah Medium.
Amazon Linux Advisories dapat *mengubah Keparahan* dari waktu ke waktu karena lebih banyak yang dipelajari tentang masalah relevan yang dibahas dalam Penasihat.
The Severity of a Advisory *biasanya* akan melacak skor CVSS Amazon Linux yang dievaluasi tertinggi untuk yang CVEs direferensikan oleh Advisory. Mungkin ada kasus di mana ini tidak terjadi. Salah satu contohnya adalah di mana ada masalah yang ditangani yang tidak ada CVE yang ditetapkan.
Lihat [FAQ ALAS](https://alas.aws.amazon.com/faqs.html) untuk informasi selengkapnya tentang cara Amazon Linux menggunakan peringkat keparahan Advisory.
## Saran dan Paket
Mungkin ada banyak Penasihat untuk satu paket, dan tidak semua paket akan memiliki Penasihat yang diterbitkan untuk mereka. Versi paket tertentu dapat direferensikan dalam beberapa Penasihat, masing-masing dengan Keparahan dan. CVEs
Ada kemungkinan beberapa Penasihat untuk pembaruan paket yang sama dikeluarkan secara bersamaan dalam satu AL2023 rilis baru, atau secara berurutan.
Seperti distribusi Linux lainnya, mungkin ada satu hingga banyak paket biner berbeda yang dibangun dari paket sumber yang sama. Misalnya, [ALAS-2024-698](https://alas.aws.amazon.com/AL2023/ALAS-2024-698.html) adalah Penasihat yang terdaftar di bagian [AL2023 situs web Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) yang berlaku untuk paket. `mariadb105` Ini adalah nama paket *sumber*, dan Advisory itu sendiri mengacu pada paket *biner* di samping paket sumber. Dalam hal ini, lebih dari selusin paket biner dibangun dari satu paket `mariadb105` sumber. Meskipun sangat umum untuk ada paket biner dengan nama yang sama dengan paket sumber, ini tidak universal.
Meskipun Amazon Linux Advisories biasanya mencantumkan semua paket biner yang dibangun dari paket sumber yang diperbarui, ini tidak boleh diasumsikan. Manajer paket dan format metadata repositori RPM memungkinkan Advisories yang mencantumkan subset dari paket biner yang diperbarui.
Penasihat tertentu mungkin juga hanya berlaku untuk Arsitektur CPU tertentu. Mungkin ada paket yang tidak dibangun untuk semua arsitektur, atau masalah yang tidak memengaruhi semua arsitektur. Dalam kasus di mana paket tersedia di semua arsitektur tetapi masalah hanya berlaku untuk satu, Amazon Linux biasanya tidak mengeluarkan Penasihat hanya merujuk hanya arsitektur yang terpengaruh, meskipun ini tidak boleh diasumsikan.
Karena sifat dependensi paket, adalah umum bahwa Advisory mereferensikan satu paket, tetapi menginstal pembaruan itu akan memerlukan pembaruan paket lainnya, termasuk paket yang tidak tercantum dalam Penasihat. Manajer `dnf` paket akan menangani penginstalan dependensi yang diperlukan.
## Penasihat dan CVEs
Penasihat dapat membahas nol atau lebih CVEs, dan mungkin ada beberapa Penasihat yang mereferensikan CVE yang sama.
Contoh kapan Penasihat dapat merujuk nol CVEs adalah ketika CVE belum (atau pernah) ditugaskan untuk masalah tersebut.
Contoh di mana beberapa Penasihat dapat mereferensikan CVE yang sama ketika (misalnya) CVE berlaku untuk beberapa paket. Misalnya, [CVE-2024-21208 berlaku untuk Corretto 8](https://alas.aws.amazon.com/cve/html/CVE-2024-21208.html), 11, 17, dan 21. [https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html](https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html) Meskipun rilis Corretto ini semuanya memiliki daftar CVEs yang sama, ini tidak boleh diasumsikan.
CVE tertentu dapat dievaluasi secara berbeda untuk paket yang berbeda. Misalnya, jika CVE tertentu direferensikan dalam Penasihat dengan Keparahan Penting, ada kemungkinan bahwa Penasihat lain dikeluarkan dengan merujuk CVE yang sama dengan Tingkat Keparahan yang berbeda.
Metadata repositori RPM memungkinkan daftar Referensi untuk setiap Penasihat. Meskipun Amazon Linux biasanya hanya direferensikan CVEs, format metadata memungkinkan untuk jenis referensi lainnya.
Metadata repositori paket RPM hanya akan merujuk pada perbaikan CVEs yang tersedia. [Bagian Explore dari situs web Amazon Linux Security Center](https://explore.alas.aws.amazon.com) berisi informasi tentang Amazon Linux CVEs yang telah dievaluasi. Evaluasi ini dapat menghasilkan skor dasar CVSS, Keparahan, dan status untuk berbagai rilis dan paket Amazon Linux. Status CVE untuk rilis atau paket Amazon Linux tertentu mungkin Tidak Terkena, Perbaikan Tertunda, atau Tidak Ada Perbaikan yang Direncanakan. Status dan evaluasi CVEs dapat berubah berkali-kali dan *dengan cara apa pun* sebelum Penasihat dikeluarkan. Ini termasuk evaluasi ulang penerapan CVE ke Amazon Linux.
Daftar yang CVEs direferensikan oleh Penasihat dapat berubah setelah publikasi awal Penasihat tersebut.
## Teks Penasehat
Penasihat juga akan berisi teks yang menjelaskan masalah atau masalah yang menjadi alasan untuk membuat Penasihat. Adalah umum bahwa teks ini akan menjadi teks CVE yang tidak dimodifikasi. Teks ini dapat merujuk ke nomor versi upstream di mana perbaikan tersedia yang berbeda dari versi paket yang Amazon Linux telah menerapkan perbaikan untuk. Adalah umum bahwa Amazon Linux akan melakukan back-port perbaikan dari rilis upstream yang lebih baru. Dalam kasus di mana teks Advisory menyebutkan rilis upstream yang berbeda dari versi yang dikirimkan dalam versi Amazon Linux, versi paket Amazon Linux di Advisory akan akurat untuk Amazon Linux.
Dimungkinkan untuk teks Penasihat dalam metadata repositori RPM menjadi teks placeholder hanya merujuk ke situs web [Amazon Linux](https://alas.aws.amazon.com/alas2023.html) Security Center untuk detailnya.
## Penasihat Patch Kernel Live
Penasihat untuk tambalan langsung unik karena merujuk ke paket yang berbeda (kernel Linux) dari paket yang ditentang oleh Advisory (mis.). `kernel-livepatch-6.1.15-28.43`
Penasihat untuk [Kernel Live Patch](live-patching.md) akan mereferensikan masalah (seperti CVEs) yang dapat ditangani oleh paket Live Patch *tertentu untuk versi kernel tertentu* yang diterapkan paket patch langsung.
Setiap patch langsung adalah untuk versi kernel *tertentu*. Untuk menerapkan tambalan langsung untuk CVE, paket patch langsung yang tepat untuk versi kernel Anda perlu diinstal, dan tambalan langsung diterapkan.
Misalnya, [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) dapat ditambal langsung untuk versi kernel,, dan. AL2023 `6.1.56-82.125` `6.1.59-84.139` `6.1.61-85.141` Versi kernel baru dengan perbaikan untuk CVE ini juga dirilis, dan memiliki [penasihat terpisah](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html). Agar [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) ditangani pada versi kernel yang AL2023 sama dengan atau lebih lambat dari yang ditentukan [ALAS2023-2023-461](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html) perlu *dijalankan, atau salah satu versi kernel dengan tambalan langsung untuk CVE ini harus berjalan* dengan livepatch yang berlaku diterapkan.
Ketika ada tambalan langsung baru yang tersedia untuk versi kernel tertentu yang sudah memiliki tambalan langsung yang tersedia, versi baru dari `kernel-livepatch-KERNEL_VERSION` paket tersebut dirilis. Misalnya, [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html)Advisory dikeluarkan dengan `kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023` paket yang berisi tambalan langsung untuk `6.1.15-28.43` kernel yang mencakup tiga. CVEs Kemudian, [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html)Advisory dikeluarkan dengan `kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023` paket; pembaruan ke paket patch langsung sebelumnya untuk `6.1.15-28.43` kernel yang berisi tambalan langsung untuk tiga lainnya. CVEs Ada juga masalah Penasihat patch langsung lainnya untuk versi kernel lainnya, dengan paket yang berisi tambalan langsung untuk versi kernel tertentu tersebut.
Untuk informasi lebih lanjut tentang kernel live patching, lihat[Kernel Live Patching pada 023 AL2](live-patching.md).
Bagi siapa pun yang mengembangkan alat seputar penasihat keamanan, disarankan juga untuk melihat [Skema XHTML untuk Penasihat dan `updateinfo.xml`](#advisory-schema) bagian ini untuk informasi lebih lanjut.
## Skema XHTML untuk Penasihat dan `updateinfo.xml`
`updateinfo.xml`File adalah bagian dari format repositori paket. Ini adalah metadata yang diurai manajer `dnf` paket untuk mengimplementasikan fungsionalitas seperti dan. [Daftar Saran yang berlaku](listing-applicable-advisories.md) [Menerapkan pembaruan keamanan di tempat](security-inplace-update.md)
Kami merekomendasikan agar API manajer `dnf` paket digunakan daripada menulis kode khusus untuk mengurai format metadata repositori. Versi `dnf` in AL2023 dapat mengurai format AL2023 dan AL2 repositori, dan dengan demikian API dapat digunakan untuk memeriksa informasi penasihat untuk salah satu versi OS.
Proyek [Manajemen Perangkat Lunak RPM](https://github.com/rpm-software-management/) mendokumentasikan format metadata RPM dalam repositori [rpm-metadata](https://github.com/rpm-software-management/rpm-metadata) pada. GitHub
Bagi mereka yang mengembangkan alat untuk mengurai `updateinfo.xml` metadata secara langsung, sangat disarankan untuk memperhatikan dokumentasi [rpm-metadata](https://github.com/rpm-software-management/rpm-metadata). Dokumentasi mencakup apa yang telah dilihat di alam liar, yang mencakup banyak pengecualian untuk apa yang dapat Anda tafsirkan secara wajar sebagai aturan untuk format metadata.
Ada juga serangkaian contoh `updateinfo.xml` file dunia nyata yang berkembang di repositori [raw-historical-rpm-repository-examples](https://github.com/rpm-software-management/raw-historical-rpm-repository-examples) di. GitHub
Jika ada yang tidak jelas dalam dokumentasi, Anda dapat membuka masalah pada GitHub proyek sehingga kami dapat menjawab pertanyaan dan memperbarui dokumentasi dengan tepat. Sebagai proyek Open Source, permintaan tarik memperbarui dokumentasi juga diterima.