翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AL2023 に関する Amazon Linux セキュリティアドバイザリ

Amazon Linux の安全性を保つため、懸命に取り組んでいますが、修正が必要なセキュリティ上の問題が発生することがあります。アドバイザリは、修正が入手可能になると公開されます。アドバイザリが公開される主な場所は、Amazon Linux Security Center (ALAS) のウェブサイトです。詳細については「Amazon Linux Security Center」を参照してください。

AL2023 に影響する問題や関連する更新に関する情報は、Amazon Linux チームが複数の場所で公開します。セキュリティツールでは、これらの主要な情報源から情報を取得し、その結果をユーザーに提示するのが一般的です。このため、Amazon Linux が公開するプライマリソースに直接触れずに、Amazon Inspector などの希望するツールが提供するインターフェイスで確認することになる可能性があります。

Amazon Linux Security Center の発表

Amazon Linux の発表は、アドバイザリには該当しない事項に関して提供されます。このセクションでは、ALAS 自体に関する発表と、アドバイザリに当てはまらない情報について説明します。詳細については「Amazon Linux Security Center (ALAS) Announcements」を参照してください。

例えば、「2021-001 - Amazon Linux Hotpatch Announcement for Apache Log4j」は、アドバイザリではなく発表に該当します。ここでは、Amazon Linux に、Amazon Linux に含まれていないソフトウェアのセキュリティ問題の軽減に役立つパッケージが追加されたことを発表しています。

Amazon Linux Security Center CVE Explorer も、ALAS の発表で公開されました。詳細については、「New website for CVEs」を参照してください。

Amazon Linux Security Center のよくある質問

ALAS および Amazon Linux による CVE の評価方法に関するよくある質問への回答については、Amazon Linux Security Center (ALAS) Frequently Asked Questions (FAQs)」を参照してください。

ALAS アドバイザリ

Amazon Linux Advisory は、Amazon Linux ユーザーに関連する重要な情報、特にセキュリティ更新に関する情報を提供します。Amazon Linux Security Center は、アドバイザリがウェブ上で公開される場所です。アドバイザリ情報は、RPM パッケージリポジトリのメタデータの一部としても提供されます。

アドバイザリと RPM リポジトリ

Amazon Linux 2023 パッケージリポジトリには、0 件以上の更新を記述するメタデータが含まれている場合があります。dnf updateinfo コマンドの名前は、この情報を含むリポジトリメタデータファイル名 updateinfo.xml にちなんで命名されています。コマンドの名前は updateinfo で、メタデータファイルは update を指しますが、これらはすべてアドバイザリの一部であるパッケージの更新を参照しています。

Amazon Linux Advisories は、dnf パッケージマネージャーが参照する RPM リポジトリのメタデータに存在する情報とともに、Amazon Linux Security Center のウェブサイトで公開されます。ウェブサイトとリポジトリのメタデータは最終的に一貫性が維持されますが、ウェブサイト上の情報とリポジトリのメタデータが一致しない場合もあります。これは通常、AL2023 の新しいリリースがリリース途上で、最新の AL2023 リリース後にアドバイザリが更新される場合に発生します。

通常、問題に対処するパッケージ更新と同時に新しいアドバイザリが発表されますが、必ずしもそうであるとは限りません。アドバイザリは、リリース済みのパッケージで対処されている新しい問題に関して作成される場合もあります。既存のアドバイザリが、既存の更新で対処された新しい CVE で更新される場合もあります。

Amazon Linux 2023 の「AL2023 でのバージョン管理されたリポジトリを介した確定的なアップグレード」機能は、特定の AL2023 バージョンの RPM レポジトリに、このバージョンの時点での RPM レポジトリのメタデータスナップショットが含まれていることを意味します。これには、セキュリティ更新を記述するメタデータが含まれます。特定の AL2023 バージョンの RPM リポジトリは、リリース後には更新されません。AL2023 RPM リポジトリの古いバージョンを参照する場合、新規または更新されたセキュリティアドバイザリは表示されません。dnf パッケージマネージャーを使用してlatestリポジトリバージョンまたは特定の AL2023 リリースを確認する方法については、「適用可能なアドバイザリの一覧表示」セクションを参照してください。

Advisory ID

各アドバイザリは id で参照されます。現時点での Amazon Linux の傾向として、Amazon Linux Security Center ウェブサイトでは、アドバイザリを「ALAS-2024-581」として表示し、dnf パッケージマネージャーは、同じアドバイザリを「ALAS2023-2024-581」の ID を持つものとして表示するという点があります。セキュリティ更新プログラムのインプレースでの適用場合、特定のアドバイザリを参照するには、パッケージマネージャー ID を使用する必要があります。

Amazon Linux では、OS のメジャーバージョンごとに独自の Advisory ID の名前空間が存在します。Amazon Linux Advisory ID の形式については特定の想定をすべきではありません。これまで、Amazon Linux Advisory ID は、NAMESPACE-YEAR-NUMBER というパターンに従っていました。NAMESPACE に指定可能な値の全範囲は定義されていませんが、ALAS、ALASCORRETTO8、ALAS2023、ALAS2、ALASPYTHON3.8、ALASUNBOUND-1.17 などがあります。YEAR はアドバイザリが作成された年、NUMBER は名前空間内での一意の整数です。

Advisory ID は通常、更新のリリース順での連番ですが、そうならない理由も数多くあり、必ずしも連番になるとは限らないため、連番であると想定すべきではありません。

Advisory ID は、Amazon Linux の各メジャーバージョンに固有の、非透過的な文字列として扱います。

Amazon Linux 2 では、各 Extra は個別の RPM リポジトリに格納され、アドバイザリのメタデータは関連するリポジトリ内にのみ格納されています。あるリポジトリのアドバイザリが、別のリポジトリに適用されることはありません。現時点では、Amazon Linux Security Center ウェブサイトでは、主要な Amazon Linux バージョンごとにアドバイザリリストが 1 つずつ提供されており、リポジトリごとのリストには分割されていません。

AL2023 は、パッケージの代替バージョンのパッケージ化に Extras メカニズムを使用していないため、現時点では、core リポジトリと livepatch リポジトリの 2 つの RPM リポジトリしかなく、それぞれにアドバイザリが含まれています。livepatch レポジトリは、AL2023 のカーネルライブパッチ用です。

アドバイザリのリリース日とアドバイザリの更新日

Amazon Linux Advisories のアドバイザリリリース日は、セキュリティ更新が RPM リポジトリで最初に公開された日時を示します。アドバイザリは、RPM リポジトリを介して修正プログラムがインストール可能になった直後に、Amazon Linux Security Center ウェブサイトに掲載されます。

アドバイザリの更新日は、以前に公開されたアドバイザリに新しい情報が追加された日付を示します。

AL2023 のバージョン番号 (2023.6.20241031 など) と、そのリリースと同時に公開されたアドバイザリのアドバイザリリリース日の間には、なんらの関連性をも想定すべきではありません。

アドバイザリのタイプ

RPM リポジトリのメタデータは、さまざまなタイプのアドバイザリをサポートしています。Amazon Linux はほぼ例外なく、セキュリティ更新に関するアドバイザリのみを発表していますが、これに限ると想定すべきではありません。バグ修正、機能強化、新しいパッケージなどのイベントに関するアドバイザリが発表され、アドバイザリにそのようなタイプの更新が含まれているとマークされる可能性があります。

アドバイザリの重大度

各アドバイザリでは、各問題は個別に評価されるため、独自の重大度が指定されます。単一のアドバイザリで複数の CVE について対応する場合もあり、各 CVE の評価はさまざまでも、アドバイザリ自体の重大度は 1 つです。単一のパッケージ更新についてのアドバイザリが複数存在する場合もあります。このため、特定のパッケージ更新に、複数の重大度 (アドバイザリごとに 1 つ) が存在する場合があります。

Amazon Linux では、アドバイザリの重大度を示すのに、重大度の高い順に、Critical (重大)、Important (重要)、Moderate (中)、Low (低) を使用しています。Amazon Linux アドバイザリには重大度が指定されていない場合もありますが、これは非常にまれです。

Amazon Linux は、Moderate (中) という用語を使用する RPM ベースの Linux ディストリビューションの 1 つであり、他の RPM ベースの Linux ディストリビューションでは、同等の用語である Medium (中) を使用しています。Amazon Linux パッケージマネージャーは両方の用語を同義として扱いますが、サードパーティーのパッケージリポジトリでは Medium の用語を使用する場合もあります。

Amazon Linux Advisories では、対処されている関連する問題について経時的に新たな知見が得られるにつれ、随時重大度が変更される可能性があります。

通常、アドバイザリの重大度は、アドバイザリで参照される CVE について、Amazon Linux で評価された CVSS スコアの最大値に基づいて産出されます。ただし、必ずしもそうとは限りません。例えば、CVE が割り当てられていない問題に対処している場合などがこれにあたります。

Amazon Linux がアドバイザリの重大度評価を使用する方法の詳細については、「ALAS FAQ」を参照してください。

アドバイザリとパッケージ

単一のパッケージに対して複数のアドバイザリが発表される場合がありますが、すべてのパッケージに対してアドバイザリが発表されるとは限りません。特定のパッケージのバージョンは、複数のアドバイザリで参照される可能性があり、各アドバイザリに独自の重大度と CVE が指定されます。

同じパッケージ更新に対して複数のアドバイザリが 1 つの新しい AL2023 リリースで同時に発表される場合も、立て続けに発表される場合もあります。

他の Linux ディストリビューションと同様に、同じソースパッケージから単一または多数の異なるバイナリパッケージが構築される場合があります。例えば、ALAS-2024-698 は、mariadb105 パッケージに適用されるものとして、Amazon Linux Security Center ウェブサイトの AL2023 セクションに掲載されているアドバイザリです。これはソースパッケージ名であり、アドバイザリ自体はソースパッケージとともにバイナリパッケージも参照しています。この場合、1 つの mariadb105 ソースパッケージから 12 を超えるバイナリパッケージが構築されています。ソースパッケージと同じ名前のバイナリパッケージが存在することは非常によくあることですが、必ずしもそうであるとは限りません。

Amazon Linux Advisories は通常、更新されたソースパッケージから構築されたすべてのバイナリパッケージを一覧表示していますが、必ずそうであると想定すべきではありません。パッケージマネージャーと RPM リポジトリのメタデータ形式により、更新されたバイナリパッケージのサブセットを一覧表示するアドバイザリが出される場合もあります。

特定のアドバイザリが、特定の CPU アーキテクチャにのみ適用される場合もあります。すべてのアーキテクチャ用に構築されていないパッケージや、すべてのアーキテクチャに影響を与えない問題がある場合もあります。パッケージがすべてのアーキテクチャで利用可能であるのに、問題が 1 つのアーキテクチャにのみ適用される場合、Amazon Linux は通常、影響を受けるアーキテクチャのみを参照するアドバイザリが発表されることはありませんが、その可能性を排除すべきではありません。

パッケージの依存関係の特質上、アドバイザリが 1 つのパッケージを参照していても、その更新をインストールするには、アドバイザリに記載されていないパッケージを含むその他のパッケージの更新が必要になる場合がよくあります。dnf パッケージマネージャーは、必要な依存関係のインストールを処理します。

アドバイザリと CVE

アドバイザリは、0 以上の CVE に対応している場合があり、同じ CVE を参照するアドバイザリが複数ある場合もあります。

アドバイザリが 0 件の CVE を参照する例には、問題に CVE がまだ割り当てられていない場合 (またはまったく割り当てられない場合) があります。

複数のアドバイザリが同じ CVE を参照する例には、CVE が複数のパッケージに適用される場合などがあります。例えば、CVE-2024-21208 は、Corretto 8、11、17、21 に適用されます。これらの Corretto バージョンは、それぞれ AL2023 の個別のパッケージであり、以下のとおり、各パッケージに対してアドバイザリが出されています。Corretto 8 には ALAS-2024-754、Corretto 11 には ALAS-2024-753、Corretto 17 には ALAS-2024-752、Corretto 21 には ALAS-2024-752 です。これらの Corretto リリースはすべて同じ CVE のリストがありますが、必ずしもそうであるとは限らないことに注意が必要です。

特定の CVE が、パッケージごとに異なる評価を受ける場合があります。例えば、重要度が重要であるアドバイザリで特定の CVE が参照されている場合に、同じ CVE について異なる重大度で参照する別のアドバイザリが出されている場合もあります。

RPM リポジトリメタデータでは、各アドバイザリのリファレンスを一覧表示できます。Amazon Linux では通常、CVE のみが参照されますが、メタデータ形式では他のリファレンスタイプも使用できます。

RPM パッケージリポジトリのメタデータは、修正可能な CVE のみを参照します。Amazon Linux Security Center ウェブサイトの 「Explore」セクションには、Amazon Linux が評価した CVE に関する情報が掲載されています。この評価により、さまざまな Amazon Linux リリースおよびパッケージの CVSS ベーススコア、重大度、ステータスが算出される可能性があります。特定の Amazon Linux リリースまたはパッケージの CVE のステータスは、Not Affected (影響なし)、Pending Fix (修正保留中)、または No Fix Planned (修正予定なし) のいずれかになります。CVE のステータスと評価は、アドバイザリが発表される前に何度も任意の方法で変更される可能性があります。これには、Amazon Linux への CVE の適用可能性が再評価された場合などがあります。

アドバイザリで参照される CVE のリストは、そのアドバイザリの最初の公開後に変更される可能性があります。

アドバイザリのテキスト

アドバイザリには、アドバイザリが作成される理由となった問題を説明するテキストも含まれます。通常、このテキストは、未修正の CVE のテキストです。このテキストでは、Amazon Linux が修正を適用したパッケージバージョンとは異なる、修正が利用可能なアップストリームバージョン番号を参照している場合があります。新しいアップストリームリリースから、Amazon Linux が修正をバックポートすることはよくあります。アドバイザリのテキストに、Amazon Linux バージョンで出荷されたバージョンとは異なるアップストリームリリースが記載されている場合でも、アドバイザリ内の Amazon Linux パッケージのバージョンは正確です。

RPM リポジトリメタデータ内のアドバイザリテキストは、詳細についてはシンプルに Amazon Linux Security Center ウェブサイトを参照するプレースホルダーテキストである場合もあります。

カーネルライブパッチのアドバイザリ

ライブパッチに関するアドバイザリは、アドバイザリの対象となるパッケージ (kernel-livepatch-6.1.15-28.43 など) とは異なるパッケージ (Linux カーネル) を参照するという点で独特です。

カーネルライブパッチに関するアドバイザリでは、ライブパッチパッケージが適用される特定のカーネルバージョンについて、そのライブパッチパッケージが対処できる問題 (CVE など) が参照されます。

各ライブパッチは、特定のカーネルバージョンを対象としています。CVE にライブパッチを適用するには、使用するカーネルバージョンに適したライブパッチパッケージをインストールし、ライブパッチを適用する必要があります。

例えば、CVE-2023-6111 は、AL2023 カーネルバージョン 6.1.56-82.125、6.1.59-84.139、6.1.61-85.141 に対してライブパッチを適用できます。この CVE を修正した新しいカーネルバージョンもリリースされており、別のアドバイザリが出されています。AL2023 で CVE-2023-6111 に対処するには、ALAS2023-2023-461 で指定されているバージョン移行のカーネルバージョンを実行するか、この CVE に対するライブパッチが適用されたカーネルバージョンのいずれかを実行する必要があります。

既にライブパッチが利用可能な特定のカーネルバージョンに新しいライブパッチが利用可能になった場合、kernel-livepatch-KERNEL_VERSION パッケージの新しいバージョンがリリースされます。例えば、ALASLIVEPATCH-2023-003 アドバイザリは、3 つの CVE に対応する 6.1.15-28.43 カーネルのライブパッチを含む kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 パッケージで公開されました。その後、ALASLIVEPATCH-2023-009 アドバイザリが kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 パッケージとともに公開されました。これは、別の CVE に対するライブパッチを含む、6.1.15-28.43 カーネルの以前のライブパッチパッケージの更新でした。他のカーネルバージョンにもライブパッチアドバイザリの問題があり、パッケージにはそれらの特定のカーネルバージョンを対象とするライブパッチも含まれていました。

カーネルライブパッチの詳細については、「AL2023 のカーネルライブパッチ」を参照してください。

セキュリティアドバイザリに関連するツールを開発している場合は、「アドバイザリと updateinfo.xml の XML スキーマ」セクションを参照して詳細を確認することをお勧めします。

アドバイザリと updateinfo.xml の XML スキーマ

updateinfo.xml ファイルは、パッケージリポジトリ形式の一部です。これは、適用可能なアドバイザリの一覧表示やセキュリティ更新プログラムのインプレースでの適用などの機能を実装するために dnf パッケージマネージャーが解析するメタデータです。

リポジトリのメタデータ形式を解析するためにカスタムコードを作成するのではなく、dnf パッケージマネージャーの API を使用することをお勧めします。AL2023 の dnf バージョンは、AL2023 リポジトリ形式と AL2 リポジトリ形式の両方を解析できるため、どちらの OS バージョンのアドバイザリ情報も、API を使用して調べることができます。

RPM Software Management プロジェクトは、GitHub の rpm-metadata リポジトリに RPM メタデータ形式をドキュメント化しています。

updateinfo.xml メタデータを直接解析するツールを開発している場合は、rpm-metadata ドキュメントをよく読むことを強くお勧めします。このドキュメントでは、実際に使用されている事例を取り上げており、メタデータ形式のルールとして合理的に解釈できるものに対する多くの例外が網羅されています。

GitHub の raw-historical-rpm-repository-examples リポジトリには、updateinfo.xml ファイルの実際の例が数多く掲載されており、現在も増え続けています。

ドキュメントで不明な点がある場合は、GitHub プロジェクトで Issue を開いてお問い合わせくだされば、回答してドキュメントを適切に更新します。これはオープンソースプロジェクトであるため、ドキュメントの更新に関するプルリクエストも歓迎いたします。