AL2023용 Amazon Linux 보안 권고 - Amazon Linux 2023
ALAS 공지ALAS FAQALAS 권고권고 사항 및 RPM 리포지토리권고 ID권고 릴리스 날짜 및 권고 업데이트 날짜권고 유형권고 심각도권고 및 패키지권고 및 CVE권고 텍스트커널 라이브 패치 권고 사항updateinfo.xml 스키마

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AL2023용 Amazon Linux 보안 권고

Amazon Linux의 보안을 유지하기 위해 최선을 다하고 있지만 때로는 해결이 필요한 보안 문제가 있을 수 있습니다. 수정이 있을 때 권고 사항이 발행됩니다. Amazon Linux 보안 센터(ALAS)에 권고 사항이 게시되는 기본 위치입니다. 자세한 정보는 Amazon Linux 보안 센터를 참조하세요.

중요

취약성을 보고하거나 AWS 클라우드 서비스 또는 오픈 소스 프로젝트와 관련된 보안 문제가 있는 경우 취약성 보고 페이지를 사용하여 AWS Security에 문의하세요.

Amazon Linux 팀은 AL2023에 영향을 미치는 문제와 관련 업데이트에 대한 정보를 여러 곳에 게시합니다. 보안 도구가 이러한 기본 소스에서 정보를 가져와 결과를 제공합니다. 따라서 Amazon Linux에서 게시하는 기본 소스와 직접 상호 작용하는 것이 아니라 Amazon Inspector 같이 선호하는 도구가 제공하는 인터페이스와 상호 작용합니다.

Amazon Linux 보안 센터 공지

Amazon Linux 공지는 권고에 맞지 않는 항목에 대해 제공됩니다. 이 섹션에는 권고에 맞지 않는 정보와 함께 ALAS 자체에 대한 공지가 포함되어 있습니다. 자세한 정보는 Amazon Linux 보안 센터(ALAS) 섹션을 참조하세요.

예를 들어 2021-001 - Apache Log4j용 Amazon Linux 핫패치 공지는 권고가 아닌 공지에 적합합니다. 이번 공고에서 Amazon Linux는 고객이 Amazon Linux에 속하지 않은 소프트웨어의 보안 문제를 완화하는 데 도움이 되는 패키지를 추가했습니다.

Amazon Linux 보안 센터 CVE 탐색기도 ALAS 공지 사항에서 게시되었습니다. 자세한 내용은 CVE에 관한 새 웹사이트 섹션을 참조하세요.

Amazon Linux 보안 센터 자주 묻는 질문

Amazon Linux 보안 센터(ALAS) 자주 묻는 질문(FAQ)에는 ALAS와 Amazon Linux가 CVE를 평가하는 방법에 대한 자주 묻는 질문의 답변이 있습니다.

ALAS 권고

Amazon Linux 권고에는 Amazon Linux 사용자와 관련된 중요한 정보, 일반적으로 보안 업데이트에 대한 정보가 포함되어 있습니다. Amazon Linux 보안 센터에서는 웹에 권고 사항이 표시됩니다. 권고 정보도 RPM 패키지 리포지토리 메타데이터의 일부입니다.

권고 사항 및 RPM 리포지토리

Amazon Linux 2023 패키지 리포지토리에는 0개 이상의 업데이트를 설명하는 메타데이터가 포함될 수 있습니다. dnf updateinfo 명령은 이 정보가 포함된 리포지토리 메타데이터 파일 이름의 이름을 따서 updateinfo.xml로 명명됩니다. 명령의 이름은 updateinfo이고 메타데이터 파일은 update를 참조하지만, 모두 권고의 일부인 패키지 업데이트를 참조합니다.

Amazon Linux 권고는 dnf 패키지 관리자가 참조하는 RPM 리포지토리 메타데이터에 있는 정보와 함께 Amazon Linux 보안 센터 웹사이트에 게시됩니다. 웹사이트 및 리포지토리 메타데이터는 최종적으로 일관되며 웹사이트 및 리포지토리 메타데이터의 정보에 불일치가 있을 수 있습니다. 이는 일반적으로 AL2023의 새 릴리스가 릴리스되는 동안 최신 AL2023 릴리스 이후 권고가 업데이트되었을 때 발생합니다.

문제를 해결하는 패키지 업데이트와 함께 새 권고를 발행하는 것이 일반적이지만 항상 그렇지는 않습니다. 이미 릴리스된 패키지에서 해결되는 새 문제에 대해 권고를 생성할 수 있습니다. 기존 업데이트에서 다루는 새 CVEs로 기존 권고를 업데이트할 수도 있습니다.

Amazon Linux 2023의 AL2023에서 버전 관리 리포지토리를 통한 결정적 업그레이드 기능은 특정 AL2023 버전의 RPM 리포지토리에 해당 버전의 RPM 리포지토리 메타데이터 스냅샷이 포함되어 있음을 의미합니다. 여기에는 보안 업데이트를 설명하는 메타데이터가 포함됩니다. 특정 AL2023 버전의 RPM 리포지토리는 릴리스 후 업데이트되지 않습니다. 이전 버전의 AL2023 RPM 리포지토리를 볼 때는 새 보안 권고 또는 업데이트된 보안 권고가 표시되지 않습니다. dnf 패키지 관리자를 사용하여 latest 리포지토리 버전 또는 특정 AL2023 릴리스를 확인하는 방법은 적용 가능한 권고 사항 나열 섹션을 참조하세요.

권고 ID

각 권고는 id에서 참조합니다. 현재는 Amazon Linux 보안 센터 웹사이트에서 권고를 ALAS-2024-581로 나열하고 dnf 패키지 관리자는 해당 권고를 ALAS2023-2024-581의 ID를 가진 것으로 나열하는 Amazon Linux 쿼크입니다. 현재 위치에서 보안 업데이트 적용의 경우 특정 권고를 참조할 때 패키지 관리자 ID를 사용해야 합니다.

Amazon Linux의 경우 OS의 각 메이저 버전에는 자체 네임스페이스인 권고 ID가 있습니다. Amazon Linux 권고 ID의 형식에 대해 어떠한 가정도 해서는 안 됩니다. 과거에 Amazon Linux 권고 ID는 NAMESPACE-YEAR-NUMBER 패턴을 따랐습니다. NAMESPACE에 사용할 수 있는 값의 전체 범위는 정의되지 않았지만 ALAS, ALASCORRETTO8, ALAS2023, ALAS2, ALASPYTHON3.8ALASUNBOUND-1.17이 포함되어 있습니다. YEAR는 권고가 생성된 연도이며 NUMBER는 네임스페이스 내의 고유 정수입니다.

권고 ID는 일반적으로 순차적이며 업데이트가 릴리스되는 순서대로 제공되지만, 그럴 수 없는 이유는 많으므로 이를 가정해서는 안 됩니다.

권고 ID를 Amazon Linux의 각 메이저 버전에 고유한 불투명 문자열로 취급합니다.

Amazon Linux 2에서는 각 Extra가 별도의 RPM 리포지토리에 있었으며, 권고 메타데이터는 관련 리포지토리 내에만 포함되어 있습니다. 한 리포지토리에 대한 권고는 다른 리포지토리에 적용할 수 없습니다. Amazon Linux 보안 센터 웹사이트에는 현재 각 주요 Amazon Linux 버전에 대한 권고 목록이 하나 있으며, 이는 리포지토리별 목록으로 구분되지 않습니다.

AL2023은 Extras 메커니즘을 사용하여 대체 버전의 패키지를 패키징하지 않으므로 현재 RPM 리포지토리가 두 개뿐이며, 각 리포지토리에는 core 리포지토리와 livepatch 리포지토리가 있습니다. livepatch 리포지토리는 AL2023의 커널 라이브 패치에 대한 것입니다.

권고 릴리스 날짜 및 권고 업데이트 날짜

Amazon Linux 권고의 권고 릴리스 날짜는 RPM 리포지토리에서 보안 업데이트가 처음 공개된 시기를 나타냅니다. 권고 사항은 수정 사항을 RPM 리포지토리를 통해 설치할 수 있게 된 직후 Amazon Linux 보안 센터 웹사이트에 게시됩니다.

권고 업데이트 날짜는 새 정보가 이전에 게시된 후 권고에 추가된 시기를 나타냅니다.

AL2023 버전 번호(예: 2023.6.20241031)와 해당 릴리스와 함께 게시된 권고 릴리스일 사이에는 어떠한 가정도 해서는 안 됩니다.

권고 유형

RPM 리포지토리 메타데이터는 다양한 유형의 권고를 지원합니다. Amazon Linux에는 보안 업데이트인 거의 보편적으로만 발급된 권고가 있지만 이를 가정해서는 안 됩니다. 버그 수정, 개선 사항 및 새 패키지와 같은 이벤트에 대한 권고가 발행되고 권고가 해당 유형의 업데이트가 포함된 것으로 표시될 수 있습니다.

권고 심각도

각 문제는 별도로 평가되므로 각 권고에는 고유한 심각도가 있습니다. 여러 CVE가 단일 권고에서 처리될 수 있으며 각 CVE는 다른 평가를 가질 수 있지만 권고 자체에는 하나의 심각도가 있습니다. 단일 패키지 업데이트를 참조하는 여러 권고 사항이 있을 수 있으므로 특정 패키지 업데이트의 심각도가 상이할 수 있습니다(권고 사항당 하나).

심각도를 낮추기 위해 Amazon Linux는 심각, 중요, 중간 및 낮음을 사용하여 권고의 심각도를 표시했습니다. 매우 드물긴 하지만 Amazon Linux 권고에 심각도가 없을 수도 있습니다.

Amazon Linux는 보통(Moderate)이라는 용어를 사용하는 RPM 기반 Linux 배포판 중 하나이며, 일부 다른 RPM 기반 Linux 배포판은 동등한 용어로 보통(Medium)을 사용합니다. Amazon Linux 패키지 관리자는 두 용어를 동등한 것으로 취급하며, 타사 패키지 리포지토리는 보통(Medium)이라는 용어를 사용할 수 있습니다.

Amazon Linux 권고는 권고에서 해결된 관련 문제에 대해 더 많이 알게 되면 시간이 지남에 따라 심각도를 변경할 수 있습니다.

권고의 심각도는 일반적으로 권고에서 참조하는 CVE에 대해 가장 높은 Amazon Linux 평가 CVSS 점수를 추적합니다. 그렇지 않은 경우가 있을 수 있습니다. CVE가 할당되지 않은 문제가 해결되는 경우를 예로 들 수 있습니다.

Amazon Linux에서 권고 심각도 등급을 사용하는 방법에 대한 자세한 내용은 ALAS FAQ 섹션을 참조하세요.

권고 및 패키지

단일 패키지에 대해 많은 권고가 있을 수 있으며 모든 패키지에 권고가 게시되는 것은 아닙니다. 특정 패키지 버전은 여러 권고에서 참조될 수 있으며, 각 권고는 고유한 심각도 및 CVE를 가집니다.

동일한 패키지 업데이트에 대한 여러 권고가 하나의 새로운 AL2023 릴리스에서 동시에 또는 빠르게 연속적으로 발행될 수 있습니다.

다른 Linux 배포판과 마찬가지로 동일한 소스 패키지에서 빌드된 하나 이상의 다양한 바이너리 패키지가 있을 수 있습니다. 예를 들어 ALAS-2024-698Amazon Linux 보안 센터 웹사이트의 AL2023 섹션mariadb105 패키지에 적용되는 것으로 나열된 권고 사항입니다. 이는 소스 패키지 이름이며, 권고 자체는 소스 패키지와 함께 바이너리 패키지를 참조합니다. 이 경우 12개 이상의 바이너리 패키지가 하나의 mariadb105 소스 패키지에서 빌드됩니다. 소스 패키지와 이름이 같은 바이너리 패키지가 있는 것은 매우 일반적이지만 범용은 아닙니다.

Amazon Linux 권고는 일반적으로 업데이트된 소스 패키지에서 빌드된 모든 바이너리 패키지를 나열하지만 이를 가정해서는 안 됩니다. 패키지 관리자 및 RPM 리포지토리 메타데이터 형식을 사용하면 업데이트된 바이너리 패키지의 하위 집합을 나열하는 권고를 사용할 수 있습니다.

특정 권고 사항은 특정 CPU 아키텍처에만 적용될 수 있습니다. 모든 아키텍처에 대해 빌드되지 않은 패키지 또는 모든 아키텍처에 영향을 미치지 않는 문제가 있을 수 있습니다. 모든 아키텍처에서 패키지를 사용할 수 있지만 문제가 하나에만 적용되는 경우 Amazon Linux는 일반적으로 영향을 받는 아키텍처만 참조하는 권고를 발행하지는 않았지만 이를 가정해서는 안 됩니다.

패키지 종속성의 특성으로 인해 권고에서 하나의 패키지를 참조하는 것이 일반적이지만, 해당 업데이트를 설치하려면 권고에 나열되지 않은 패키지를 포함한 다른 패키지 업데이트가 필요합니다. dnf 패키지 관리자가 필수 종속성 설치를 처리합니다.

권고 및 CVE

권고는 0개 이상의 CVE를 처리할 수 있으며 동일한 CVE를 참조하는 여러 권고가 있을 수 있습니다.

권고가 CVE를 참조할 수 있는 경우는 CVE가 아직(또는 어쩌다) 문제에 할당되지 않은 경우를 예로 들 수 있습니다.

CVE가 여러 패키지에 적용될 때 여러 권고가 동일한 CVE를 참조할 수 있는 예제입니다. 예를 들어 CVE-2024-21208은 Corretto 8, 11, 17 및 21에 적용됩니다. 이러한 각 Corretto 버전은 AL2023에서 별도의 패키지이며, 다음과 같이 각 패키지에 대한 권고가 있습니다. 즉 Corretto 8의 경우 ALAS-2024-754, Corretto 11의 경우 ALAS-2024-753, Corretto 17의 경우 ALAS-2024-752, Corretto 21의 경우 ALAS-2024-752입니다. 이러한 Corretto 릴리스에는 모두 동일한 CVE 목록이 있지만 이를 가정해서는 안 됩니다.

패키지마다 특정 CVE를 다르게 평가할 수 있습니다. 예를 들어 특정 CVE가 심각도가 중요인 권고에서 참조되는 경우 심각도가 다른 동일한 CVE를 참조하는 다른 권고가 발행될 수 있습니다.

RPM 리포지토리 메타데이터는 각 권고에 대한 참조 목록을 허용합니다. Amazon Linux는 일반적으로 CVE만 참조하지만 메타데이터 형식은 다른 참조 유형을 허용합니다.

RPM 패키지 리포지토리 메타데이터는 사용 가능한 수정 사항이 있는 CVE만 참조합니다. Amazon Linux 보안 센터 웹사이트의 탐색 섹션에는 Amazon Linux가 평가한 CVE에 대한 정보가 포함되어 있습니다. 이 평가를 수행하면 다양한 Amazon Linux 릴리스 및 패키지에 대한 CVSS 기본 점수, 심각도 및 상태가 발생할 수 있습니다. 특정 Amazon Linux 릴리스 또는 패키지의 CVE 상태는 영향을 받지 않음, 수정 보류 중 또는 계획된 수정 없음일 수 있습니다. CVE의 상태 및 평가는 권고가 발표되기 전에 여러 번 어떤 식으로든 변경될 수 있습니다. 여기에는 Amazon Linux에 대한 CVE의 적용 가능성 재평가가 포함됩니다.

권고에서 참조하는 CVE 목록은 해당 권고를 처음 게시한 후 변경될 수 있습니다.

권고 텍스트

권고에는 권고를 생성한 이유인 문제 또는 문제를 설명하는 텍스트도 포함됩니다. 일반적으로 이 텍스트는 수정되지 않은 CVE 텍스트입니다. 이 텍스트는 Amazon Linux가 수정 사항을 적용한 패키지 버전과 다른 수정 사항을 사용할 수 있는 업스트림 버전 번호를 참조할 수 있습니다. 일반적으로 Amazon Linux는 최신 업스트림 릴리스의 수정 사항을 백포트합니다. 권고 텍스트에서 Amazon Linux 버전으로 제공되는 버전과 다른 업스트림 릴리스를 언급하는 경우 권고의 Amazon Linux 패키지 버전은 Amazon Linux에 대해 정확합니다.

RPM 리포지토리 메타데이터의 권고 텍스트는 단순히 Amazon Linux 보안 센터 웹사이트에서 참조하는 자리 표시자 텍스트일 수 있습니다.

커널 라이브 패치 권고 사항

라이브 패치에 대한 권고는 권고가 적용되는 패키지(예: kernel-livepatch-6.1.15-28.43)와 다른 패키지(Linux 커널)를 참조한다는 점에서 고유합니다.

커널 라이브 패치에 대한 권고는 라이브 패치 패키지가 적용되는 특정 커널 버전에 대해 특정 라이브 패치 패키지가 해결할 수 있는 문제(예: CVE)를 참조합니다.

각 라이브 패치는 특정 커널 버전용입니다. CVE에 라이브 패치를 적용하려면 커널 버전에 적합한 라이브 패치 패키지를 설치하고 라이브 패치를 적용해야 합니다.

예를 들어 AL2023 커널 버전 6.1.56-82.125, 6.1.59-84.1396.1.61-85.141에 대해 CVE-2023-6111을 라이브 패치할 수 있습니다. 이 CVE에 대한 수정 사항이 있는 새 커널 버전도 릴리스되었으며 별도의 권고 사항이 있습니다. AL2023에서 CVE-2023-6111을 처리하려면 ALAS2023-2023-461에서 지정한 커널 버전을 실행해야 하거나 이 CVE에 대한 라이브 패치가 있는 커널 버전 중 하나를 적용 가능한 라이브 패치가 적용된 상태로 실행해야 합니다.

이미 사용 가능한 라이브 패치가 있는 특정 커널 버전에 사용할 수 있는 새 라이브 패치가 있으면 kernel-livepatch-KERNEL_VERSION 패키지의 새 버전이 릴리스됩니다. 예를 들어, ALASLIVEPATCH-2023-003 권고는 세 개의 CVE를 포함하는 6.1.15-28.43 커널에 대한 라이브 패치가 포함된 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 패키지와 함께 발행되었습니다. 나중에 ALASLIVEPATCH-2023-009 권고가 kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 패키지와 함께 발행되었습니다. 이는 다른 3개의 CVE에 대한 라이브 패치를 포함하는 6.1.15-28.43 커널용 이전 라이브 패치 패키지에 대한 업데이트였습니다. 또한 해당 특정 커널 버전에 대한 라이브 패치가 포함된 패키지와 함께 다른 커널 버전에 대한 다른 라이브 패치 권고 문제가 있었습니다.

커널 라이브 패치에 대한 자세한 정보는 AL2023의 커널 라이브 패치 섹션을 참조하세요.

보안 권고와 관련된 도구를 개발하는 사람은 권고 및 updateinfo.xml에 대한 XML 스키마 섹션에서 자세한 내용을 살펴보는 것이 좋습니다.

권고 및 updateinfo.xml에 대한 XML 스키마

updateinfo.xml 파일은 패키지 리포지토리 형식의 일부입니다. dnf 패키지 관리자가 적용 가능한 권고 사항 나열현재 위치에서 보안 업데이트 적용 같은 기능을 구현하기 위해 구문 분석하는 메타데이터입니다.

리포지토리 메타데이터 형식을 구문 분석하기 위해 사용자 지정 코드를 작성하는 대신 dnf 패키지 관리자의 API를 사용하는 것이 좋습니다. AL2023의 dnf 버전은 AL2023 및 AL2 리포지토리 형식을 모두 구문 분석할 수 있으므로 API를 사용하여 OS 버전 중 하나에 대한 권고 정보를 검사할 수 있습니다.

RPM 소프트웨어 관리 프로젝트는 GitHub의 rpm-metadata 리포지토리에 RPM 메타데이터 형식을 문서화합니다.

updateinfo.xml 메타데이터를 직접 구문 분석하는 도구를 개발하는 경우 rpm-metadata 설명서에 주의하는 것이 좋습니다. 이 설명서에서는 메타데이터 형식의 규칙으로 합리적으로 해석할 수 있는 항목에 대한 많은 예외를 포함하여 와일드에서 관찰된 내용을 다룹니다.

GitHub의 raw-historical-rpm-repository-examples 리포지토리에는 점점 더 많은 실제 updateinfo.xml 파일 예제가 있습니다.

설명서에서 명확하지 않은 점이 있는 경우 GitHub 프로젝트에서 문제를 열어 질문에 답변하고 설명서를 적절하게 업데이트할 수 있습니다. 오픈 소스 프로젝트로서 풀 요청 업데이트 설명서도 환영합니다.