Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avvisi di sicurezza di Amazon Linux per AL2023

Anche se ci impegniamo a fondo per rendere sicuro Amazon Linux, talvolta si verificheranno problemi di sicurezza che devono essere risolti. Quando è disponibile una correzione, viene emesso un avviso. La sede principale in cui pubblichiamo gli avvisi è Amazon Linux Security Center (ALAS). Per ulteriori informazioni, consulta la pagina Amazon Linux Security Center.

Le informazioni sui problemi e sugli aggiornamenti pertinenti AL2023 sono pubblicate dal team di Amazon Linux in diverse località. È comune che gli strumenti di sicurezza recuperino informazioni da queste fonti principali e ti presentino i risultati. Pertanto, potresti non interagire direttamente con le fonti primarie pubblicate da Amazon Linux, ma con l'interfaccia fornita dai tuoi strumenti preferiti, come Amazon Inspector.

Annunci sull'Amazon Linux Security Center

Gli annunci di Amazon Linux vengono forniti per articoli che non rientrano in un avviso. Questa sezione contiene annunci riguardanti ALAS stesso, oltre a informazioni che non rientrano in un avviso. Per ulteriori informazioni, consulta gli annunci di Amazon Linux Security Center (ALAS).

Ad esempio, l'annuncio 2021-001 - Amazon Linux Hotpatch per Apache Log4j rientra in un annuncio piuttosto che in un avviso. In questo annuncio, Amazon Linux ha aggiunto un pacchetto per aiutare i clienti a mitigare un problema di sicurezza in software che non faceva parte di Amazon Linux.

L'Amazon Linux Security Center CVE Explorer è stato annunciato anche negli annunci ALAS. Per ulteriori informazioni, consulta Nuovo sito web per. CVEs

Domande frequenti su Amazon Linux Security Center

Per le risposte ad alcune domande frequenti su ALAS e sulle modalità di valutazione di Amazon Linux CVEs, consulta Domande frequenti su Amazon Linux Security Center (ALAS) (). FAQs

Avvisi ALAS

Un Amazon Linux Advisory contiene informazioni importanti relative agli utenti di Amazon Linux, in genere informazioni sugli aggiornamenti di sicurezza. L'Amazon Linux Security Center è il luogo in cui gli avvisi sono visibili sul Web. Le informazioni di avviso fanno anche parte dei metadati del repository dei pacchetti RPM.

Avvisi e archivi RPM

Un repository di pacchetti Amazon Linux 2023 può contenere metadati che descrivono zero o più aggiornamenti. Il dnf updateinfo comando prende il nome dal nome del file di metadati del repository che contiene queste informazioni,. updateinfo.xml Sebbene il comando abbia un nome updateinfo e il file di metadati faccia riferimento a unupdate, tutti si riferiscono agli aggiornamenti dei pacchetti che fanno parte di un avviso.

Gli avvisi di Amazon Linux sono pubblicati sul sito Web di Amazon Linux Security Center, insieme alle informazioni presenti nei metadati del repository RPM a cui fa riferimento il gestore di dnf pacchetti. I metadati del sito Web e del repository alla fine sono coerenti e potrebbero esserci incongruenze nelle informazioni sul sito Web e nei metadati del repository. Ciò si verifica in genere quando AL2023 è in corso il rilascio di una nuova versione di o è stato aggiornato un avviso dopo la versione più recente. AL2023

Sebbene sia normale che venga emesso un nuovo avviso insieme all'aggiornamento del pacchetto che risolve il problema, non è sempre così. È possibile creare un avviso per un nuovo problema risolto in pacchetti già rilasciati. Un avviso esistente può anche essere aggiornato con nuovi CVEs che vengono risolti dall'aggiornamento esistente.

La Aggiornamenti deterministici tramite repository con versioni su AL2023 funzionalità di Amazon Linux 2023 significa che l'archivio RPM per una particolare AL2023 versione contiene un'istantanea dei metadati del repository RPM a partire da quella versione. Ciò include i metadati che descrivono gli aggiornamenti di sicurezza. L'archivio RPM per una particolare AL2023 versione non viene aggiornato dopo il rilascio. Gli avvisi di sicurezza nuovi o aggiornati non saranno visibili quando si consulta una versione precedente degli AL2023 archivi RPM. Fate riferimento alla Elenco degli avvisi applicabili sezione su come usare il gestore di dnf pacchetti per esaminare la versione del latest repository o una versione specifica. AL2023

Avviso IDs

Ogni avviso è indicato da un. id Attualmente è una stranezza di Amazon Linux dove il sito Web di Amazon Linux Security Center elenca un avviso come ALAS-2024-581, mentre il gestore di dnf pacchetti elenca tale avviso come avente l'ID -2024-581. ALAS2023 Quando è necessario utilizzare l'ID del gestore di pacchetti per fare riferimento a un Applicazione degli aggiornamenti di sicurezza in loco avviso specifico.

Per Amazon Linux, ogni versione principale del sistema operativo ha il proprio namespace di Advisory. IDs Non si devono fare ipotesi sul formato di Amazon Linux Advisory IDs. Storicamente, Amazon Linux Advisory IDs ha seguito lo schema di. NAMESPACE-YEAR-NUMBER L'intera gamma di valori possibili per non NAMESPACE è definita, ma includeALAS,,ALASCORRETTO8, ALAS2023 ALAS2ALASPYTHON3.8, e. ALASUNBOUND-1.17 YEARÈ stato l'anno in cui è stato creato l'avviso ed è NUMBER stato un numero intero univoco all'interno del namespace.

Sebbene Advisory IDs sia in genere sequenziale e nell'ordine in cui vengono rilasciati gli aggiornamenti, ci sono molte ragioni per cui ciò non è possibile, quindi non si deve dare per scontato.

Considera l'Advisory ID come una stringa opaca che è unica per ogni versione principale di Amazon Linux.

In Amazon Linux 2, ogni Extra si trovava in un repository RPM separato e i metadati di Advisory sono contenuti solo all'interno del repository a cui sono pertinenti. Un avviso per un repository non è applicabile a un altro repository. Sul sito Web di Amazon Linux Security Center, esiste attualmente un elenco di avvisi per ogni versione principale di Amazon Linux e non è suddiviso in elenchi per repository.

Poiché AL2023 non utilizza il meccanismo Extras per impacchettare versioni alternative dei pacchetti, attualmente esistono solo due repository RPM, ognuno dei quali contiene avvisi, il repository e il repository. core livepatch Kernel Live Patching su 023 AL2Il repository è per. livepatch

Data di rilascio dell'avviso e data di aggiornamento dell'avviso

La data di rilascio dell'avviso per Amazon Linux Advisories indica quando l'aggiornamento di sicurezza è stato reso disponibile pubblicamente per la prima volta nell'archivio RPM. Gli avvisi vengono pubblicati sul sito Web di Amazon Linux Security Center subito dopo che le correzioni sono state rese disponibili per l'installazione tramite l'archivio RPM.

La data di aggiornamento dell'avviso indica quando sono state aggiunte nuove informazioni a un avviso dopo la sua pubblicazione precedente.

Non si devono fare supposizioni tra il numero di AL2023 versione (ad esempio 2023.6.20241031) e la data di pubblicazione degli avvisi consultivi pubblicati insieme a tale versione.

Tipi di avvisi

I metadati del repository RPM supportano avvisi di diversi tipi. Sebbene Amazon Linux abbia emesso quasi universalmente solo avvisi che sono aggiornamenti di sicurezza, ciò non deve essere dato per scontato. È possibile che vengano emessi avvisi relativi a eventi quali correzioni di bug, miglioramenti e nuovi pacchetti e che l'Avviso venga contrassegnato come contenente quel tipo di aggiornamento.

Severità consultive

Ogni avviso ha la propria gravità in quanto ogni problema viene valutato separatamente. È CVEs possibile affrontare più problemi in un unico avviso e ogni CVE può avere una valutazione diversa, ma l'avviso stesso ha una gravità. Possono esserci più avvisi che si riferiscono a un singolo aggiornamento del pacchetto, quindi possono esserci più livelli di severità per un particolare aggiornamento del pacchetto (uno per avviso).

In ordine decrescente di gravità, Amazon Linux ha utilizzato Critical, Important, Moderate e Low per indicare la gravità di un avviso. Gli avvisi di Amazon Linux possono anche non avere una severità, sebbene ciò sia estremamente raro.

Amazon Linux è una delle distribuzioni Linux basate su RPM che utilizza il termine Moderate, mentre altre distribuzioni Linux basate su RPM utilizzano il termine equivalente Medium. Il gestore di pacchetti Amazon Linux considera entrambi i termini come equivalenti e gli archivi di pacchetti di terze parti possono utilizzare il termine Medium.

Gli avvisi di Amazon Linux possono cambiare la gravità nel tempo man mano che si apprendono ulteriori informazioni sui problemi pertinenti affrontati nell'Advisory.

La severità di un avviso in genere tiene traccia del punteggio CVSS più alto valutato da Amazon Linux per il punteggio a CVEs cui fa riferimento l'avviso. Potrebbero esserci casi in cui questo non è il caso. Un esempio potrebbe essere il caso di un problema risolto per il quale non è stato assegnato un CVE.

Consulta le domande frequenti su ALAS per ulteriori informazioni su come Amazon Linux utilizza le classificazioni di gravità di Advisory.

Avvisi e pacchetti

Possono esserci molti avvisi per un singolo pacchetto e non tutti i pacchetti avranno mai un avviso pubblicato per essi. È possibile fare riferimento a una particolare versione del pacchetto in più avvisi, ciascuno con la propria gravità e. CVEs

È possibile che più avvisi per lo stesso aggiornamento del pacchetto vengano emessi contemporaneamente in una nuova AL2023 versione o in rapida successione.

Come altre distribuzioni Linux, possono esserci uno o più pacchetti binari diversi creati dallo stesso pacchetto sorgente. Ad esempio, ALAS-2024-698 è un avviso elencato nella sezione del sito Web AL2023 di Amazon Linux Security Center come applicabile al pacchetto. mariadb105 Questo è il nome del pacchetto sorgente e l'Advisory stesso fa riferimento ai pacchetti binari insieme al pacchetto sorgente. In questo caso, più di una dozzina di pacchetti binari vengono creati a partire da un unico pacchetto mariadb105 sorgente. Sebbene sia estremamente comune che esista un pacchetto binario con lo stesso nome del pacchetto sorgente, questo non è universale.

Sebbene Amazon Linux Advisories abbia in genere elencato tutti i pacchetti binari creati a partire dal pacchetto sorgente aggiornato, ciò non deve essere dato per scontato. Il formato di metadati del gestore di pacchetti e del repository RPM consente la creazione di avvisi che elencano un sottoinsieme dei pacchetti binari aggiornati.

Un avviso particolare può essere applicato anche solo a una particolare architettura di CPU. Possono esserci pacchetti che non sono stati creati per tutte le architetture o problemi che non riguardano tutte le architetture. Nel caso in cui un pacchetto sia disponibile su tutte le architetture ma un problema si riferisca solo a una, Amazon Linux in genere non ha emesso un avviso che si riferisca solo all'architettura interessata, sebbene ciò non sia da presumere.

A causa della natura delle dipendenze dei pacchetti, è comune che un avviso faccia riferimento a un pacchetto, ma l'installazione di tale aggiornamento richiederà altri aggiornamenti del pacchetto, inclusi i pacchetti non elencati nell'avviso. Il gestore dei dnf pacchetti gestirà l'installazione delle dipendenze richieste.

Avvisi e CVEs

Un avviso può riguardare zero o più CVEs avvisi e possono esserci più avvisi che fanno riferimento allo stesso CVE.

Un esempio di quando un Advisory può fare riferimento a zero CVEs è quando un CVE non è ancora (o mai) assegnato al problema.

Un esempio di quando più Advisory possono fare riferimento allo stesso CVE quando (ad esempio) il CVE è applicabile a più pacchetti. Ad esempio, CVE-2024-21208 si applica a Corretto 8, 11, 17 e 21. Ciascuna di queste versioni di Corretto è un pacchetto separato e per ognuno di questi pacchetti è presente un avviso: ALAS-2024-754 per Corretto 8 AL2023, ALAS-2024-753per Corretto 11, ALAS-2024-752 per Corretto 17 e ALAS-2024-752 per Corretto 21. Sebbene queste versioni di Corretto abbiano tutte lo stesso elenco di CVEs, ciò non dovrebbe essere dato per scontato.

Un particolare CVE può essere valutato in modo diverso per pacchetti diversi. Ad esempio, se in un avviso si fa riferimento a un particolare CVE con un livello di severità importante, è possibile che venga emesso un altro avviso che faccia riferimento allo stesso CVE con una severità diversa.

I metadati del repository RPM consentono di creare un elenco di riferimenti per ogni avviso. Sebbene Amazon Linux in genere utilizzi solo riferimenti CVEs, il formato dei metadati consente altri tipi di riferimento.

I metadati del repository dei pacchetti RPM faranno riferimento solo se è disponibile una correzione. CVEs La sezione Esplora del sito Web Amazon Linux Security Center contiene informazioni su CVEs ciò che Amazon Linux ha valutato. Questa valutazione può generare un punteggio di base, una severità e uno status CVSS per varie versioni e pacchetti di Amazon Linux. Lo stato di un CVE per una particolare versione o pacchetto di Amazon Linux può essere Not Affected, Pending Fix o No Fix Planned. Lo stato e la valutazione di CVEs possono cambiare molte volte e in qualsiasi modo prima della pubblicazione di un avviso. Ciò include la rivalutazione dell'applicabilità di un CVE ad Amazon Linux.

L'elenco delle persone a CVEs cui fa riferimento un avviso può cambiare dopo la pubblicazione iniziale di tale avviso.

Testo consultivo

Un avviso conterrà anche un testo che descrive il problema o i problemi che hanno portato alla creazione dell'avviso. È normale che questo testo sia il testo CVE non modificato. Questo testo può fare riferimento a numeri di versione upstream in cui è disponibile una correzione che sono diversi dalla versione del pacchetto a cui Amazon Linux ha applicato una correzione. È normale che Amazon Linux esegua il backport delle correzioni delle versioni upstream più recenti. Nel caso in cui il testo dell'Advisory menzioni una versione upstream diversa dalla versione fornita in una versione Amazon Linux, le versioni del pacchetto Amazon Linux nell'Advisory saranno corrette per Amazon Linux.

È possibile che il testo dell'avviso nei metadati del repository RPM sia testo segnaposto semplicemente facendo riferimento al sito Web di Amazon Linux Security Center per i dettagli.

Avvisi su Kernel Live Patch

Gli avvisi per le patch live sono unici in quanto si riferiscono a un pacchetto diverso (il kernel Linux) rispetto al pacchetto a cui si riferisce l'Advisory (ad esempio). kernel-livepatch-6.1.15-28.43

Un avviso per un Kernel Live Patch farà riferimento ai problemi (ad esempio CVEs) che il particolare pacchetto Live Patch può risolvere per la versione specifica del kernel a cui si applica il pacchetto live patch.

Ogni patch live è per una versione specifica del kernel. Per applicare una patch live per un CVE, è necessario installare il pacchetto live patch giusto per la versione del kernel e applicare la patch live.

Ad esempio, è possibile applicare una patch live a CVE-2023-6111 per le versioni del kernel e. AL2023 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 È stata inoltre rilasciata una nuova versione del kernel con una correzione per questo CVE e contiene un avviso separato. Affinché CVE-2023-6111 possa essere risolto su AL2023 una versione del kernel uguale o successiva a quella specificata da ALAS2023-2023-461 deve essere in esecuzione, oppure una delle versioni del kernel con una patch live per questo CVE deve essere in esecuzione con la livepatch applicabile applicata.

Quando sono disponibili nuove patch live per una versione specifica del kernel che ha già una patch live disponibile, viene rilasciata una nuova versione del pacchetto. kernel-livepatch-KERNEL_VERSION Ad esempio, l'ALASLIVEPATCH-2023-003Advisory è stato rilasciato con il kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 pacchetto che conteneva tre patch live per il 6.1.15-28.43 kernel. CVEs Successivamente, insieme al kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 pacchetto è stato rilasciato l'ALASLIVEPATCH-2023-009Advisory, un aggiornamento del precedente pacchetto live patch per il 6.1.15-28.43 kernel contenente patch live per altri tre. CVEs C'erano anche altri problemi relativi agli avvisi di live patch per altre versioni del kernel, con pacchetti contenenti patch live per quelle versioni specifiche del kernel.

Per ulteriori informazioni sul kernel live patching, vedere. Kernel Live Patching su 023 AL2

Per chiunque sviluppi strumenti relativi agli avvisi di sicurezza, si consiglia inoltre di consultare la Schema XML per avvisi e updateinfo.xml sezione per ulteriori informazioni.

Schema XML per avvisi e updateinfo.xml

Il updateinfo.xml file fa parte del formato del repository dei pacchetti. Sono i metadati che il gestore di dnf pacchetti analizza per implementare funzionalità come e. Elenco degli avvisi applicabili Applicazione degli aggiornamenti di sicurezza in loco

Si consiglia di utilizzare l'API del gestore di dnf pacchetti anziché scrivere codice personalizzato per analizzare i formati dei metadati del repository. La versione di dnf in AL2023 può analizzare sia i formati del repository che quelli del AL2 repository, AL2023 e quindi l'API può essere utilizzata per esaminare le informazioni di avviso per entrambe le versioni del sistema operativo.

Il progetto RPM Software Management documenta i formati di metadati RPM nel repository rpm-metadata su. GitHub

Per coloro che sviluppano strumenti per analizzare direttamente i metadati, si consiglia vivamente di prestare particolare attenzione alla documentazione di updateinfo.xml rpm-metadata. La documentazione copre ciò che è stato visto in giro, il che include molte eccezioni a ciò che si può ragionevolmente interpretare come regola per il formato dei metadati.

C'è anche una serie crescente di esempi di updateinfo.xml file reali nel repository -examples on. raw-historical-rpm-repository GitHub

Nel caso in cui qualcosa non sia chiaro nella documentazione, puoi aprire un problema sul GitHub progetto in modo che possiamo rispondere alla domanda e aggiornare la documentazione in modo appropriato. Come progetti Open Source, sono benvenute anche le pull request di aggiornamento della documentazione.