As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Consultorias de segurança do Amazon Linux para AL2023

Embora trabalhemos duro para tornar o Amazon Linux seguro, às vezes haverá problemas de segurança que precisam ser corrigidos. Uma recomendação é emitida quando uma correção está disponível. O principal local onde publicamos recomendações é o Amazon Linux Security Center (ALAS). Para obter informações, consulte o Amazon Linux Security Center.

As informações sobre os problemas e as atualizações relevantes que afetam AL2023 são publicadas pela equipe do Amazon Linux em vários locais. É comum que as ferramentas de segurança busquem informações dessas fontes primárias e apresentem os resultados para você. Dessa forma, talvez você não interaja diretamente com as fontes primárias que o Amazon Linux publica, mas sim com a interface fornecida pelas suas ferramentas preferidas, como o Amazon Inspector.

Anúncios do Amazon Linux Security Center

Os anúncios do Amazon Linux são fornecidos para itens que não se enquadram em uma recomendação. Esta seção contém anúncios sobre o próprio ALAS, junto com informações que não se enquadram em uma recomendação. Para saber mais, consulte Amazon Linux Security Center (ALAS) Announcements.

Por exemplo, o item 2021-001 - Amazon Linux Hotpatch Announcement for Apache Log4j se encaixa em um anúncio, e não em uma recomendação. Nesse anúncio, o Amazon Linux adicionou um pacote para ajudar os clientes a mitigar um problema de segurança em software que não fazia parte do Amazon Linux.

O Amazon Linux Security Center CVE Explorer também foi anunciado nos anúncios do ALAS. Para obter mais informações, consulte Novo site para CVEs.

Perguntas frequentes do Amazon Linux Security Center

Para obter respostas a algumas perguntas frequentes sobre o ALAS e como o Amazon Linux avalia CVEs, consulte Perguntas frequentes do Amazon Linux Security Center (ALAS) (). FAQs

Recomendações do ALAS

Uma recomendação do Amazon Linux contém informações importantes e relevantes para os usuários do Amazon Linux, geralmente informações sobre atualizações de segurança. O Amazon Linux Security Center é onde os avisos podem ser vistos na web. As informações de recomendações também fazem parte dos metadados do repositório de pacotes RPM.

Recomendações e repositórios RPM

Um repositório de pacotes do Amazon Linux 2023 pode conter metadados que descrevem zero ou mais atualizações. O comando dnf updateinfo tem o nome do arquivo de metadados do repositório que contém essas informações, updateinfo.xml. Embora o comando tenha o nome updateinfo e o arquivo de metadados se refira a uma update, todos eles se referem a atualizações de pacotes que fazem parte de uma recomendação.

As recomendações do Amazon Linux são publicadas no site do Amazon Linux Security Center, junto com as informações presentes nos metadados do repositório RPM aos quais o gerenciador de pacotes dnf se refere. O site e os metadados do repositório são eventualmente consistentes, e pode haver inconsistências nas informações do site e nos metadados do repositório. Isso normalmente ocorre quando uma nova versão do AL2023 está em processo de lançamento. Há uma atualização de um Aviso após a AL2023 versão mais recente.

Embora seja comum que uma nova recomendação seja emitida junto com a atualização do pacote que resolve o problema, esse nem sempre é o caso. Uma recomendação pode ser criada para um novo problema que é tratado em pacotes já lançados. Um Aviso existente também pode ser atualizado com novos CVEs , que são abordados pela atualização existente.

O Atualizações determinísticas por meio de repositórios versionados em AL2023 recurso do Amazon Linux 2023 significa que o repositório RPM de uma AL2023 versão específica contém um instantâneo dos metadados do repositório RPM a partir dessa versão. Isso inclui os metadados que descrevem as atualizações de segurança. O repositório RPM de uma AL2023 versão específica não é atualizado após o lançamento. Avisos de segurança novos ou atualizados não estarão visíveis ao examinar uma versão mais antiga dos repositórios AL2023 RPM. Consulte a Listar recomendações aplicáveis seção para saber como usar o gerenciador de dnf pacotes para examinar a versão do latest repositório ou uma AL2023 versão específica.

Consultivo IDs

Cada recomendação é identificada por um id. Atualmente, é uma peculiaridade do Amazon Linux, onde o site do Amazon Linux Security Center listará um aviso como ALAS-2024-581, enquanto o gerenciador de dnf pacotes listará esse aviso como tendo o ID de -2024-581. ALAS2023 Ao Aplicar atualizações de segurança no local, o ID do gerenciador de pacotes precisa ser usado para se referir a uma recomendação específica.

Para o Amazon Linux, cada versão principal do sistema operacional tem seu próprio namespace de Advisory. IDs Não se deve fazer suposições quanto ao formato do Amazon Linux Advisory. IDs Historicamente, a Amazon Linux Advisory IDs seguiu o padrão deNAMESPACE-YEAR-NUMBER. O intervalo completo de valores possíveis para NAMESPACE não está definido, mas inclui ALAS, ALASCORRETTO8, ALAS2023, ALAS2, ALASPYTHON3.8 e ALASUNBOUND-1.17. YEAR foi o ano em que a recomendação foi criada e NUMBER é um número inteiro exclusivo no namespace.

Embora o Advisory normalmente IDs seja sequencial e na ordem em que as atualizações sejam lançadas, há muitos motivos pelos quais esse não pode ser o caso, portanto, isso não deve ser assumido.

Trate o ID da recomendação como uma string opaca que é exclusiva para cada versão principal do Amazon Linux.

No Amazon Linux 2, cada Extra fica em um repositório RPM separado, e os metadados da recomendação ficam contidos somente no repositório ao qual são relevantes. Uma recomendação para um repositório não se aplica a outro repositório. No site do Amazon Linux Security Center, há uma lista de recomendações para cada versão principal do Amazon Linux, e ela não está separada em listas por repositório.

Como AL2023 não usa o mecanismo Extras para empacotar versões alternativas de pacotes, atualmente existem apenas dois repositórios RPM, cada um com recomendações, o repositório e o core repositório. livepatch O repositório livepatch é para Aplicação de patches do kernel em tempo real no AL2023.

Data de lançamento da recomendação e data de atualização da recomendação

A data de lançamento de recomendações do Amazon Linux indica quando a atualização de segurança foi disponibilizada ao público pela primeira vez no repositório RPM. As recomendações são publicadas no site do Amazon Linux Security Center assim que as correções são disponibilizadas para instalação por meio do repositório RPM.

A data de atualização da recomendação indica quando novas informações foram adicionadas a uma recomendação após sua última publicação.

Não deve haver nenhuma suposição entre o número da AL2023 versão (por exemplo, 2023.6.20241031) e a data de lançamento do comunicado dos avisos publicados junto com esse lançamento.

Tipos de recomendação

Os metadados do repositório RPM oferecem suporte a recomendações de diferentes tipos. Embora o Amazon Linux tenha emitido quase universalmente apenas recomendações que são atualizações de segurança, não se deve presumir que esse seja sempre o caso. É possível que sejam emitidas recomendações para eventos como correções de bugs, aprimoramentos e novos pacotes, e a recomendação seja marcada como contendo esse tipo de atualização.

Gravidades de recomendações

Cada recomendação tem sua própria gravidade, pois cada problema é avaliado separadamente. Várias CVEs podem ser tratadas em uma única Consultoria, e cada CVE pode ter uma avaliação diferente, mas a Consultoria em si tem uma Severidade. Pode haver várias recomendações referentes a uma única atualização de pacote. Portanto, pode haver várias gravidades para uma atualização de pacote específica (uma por recomendação).

Em ordem decrescente de gravidade, o Amazon Linux usa Crítica, Importante, Moderada e Baixa para indicar a gravidade de uma recomendação. As recomendações do Amazon Linux também podem não ter uma gravidade, embora isso seja extremamente raro.

O Amazon Linux é uma das distribuições do Linux baseadas em RPM que usa o termo Moderada, enquanto outras distribuições do Linux baseadas em RPM usam o termo equivalente Média. O gerenciador de pacotes do Amazon Linux trata ambos os termos como equivalentes, e repositórios de pacotes de terceiros podem usar o termo Média.

As recomendações do Amazon Linux podem mudar de gravidade ao longo do tempo, à medida que se aprende mais sobre as questões relevantes abordadas na recomendação.

A severidade de um aviso normalmente rastreia a pontuação CVSS mais alta avaliada pelo Amazon Linux para aqueles CVEs referenciados pelo aviso. Pode haver casos em que isso não acontece. Um exemplo é quando há um problema resolvido para o qual não há uma CVE atribuída.

Consulte as perguntas frequentes do ALAS para obter mais informações sobre como o Amazon Linux usa as classificações de gravidade das recomendações.

Recomendações e pacotes

Pode haver muitas recomendações para um único pacote, e nem todos os pacotes terão uma recomendação publicada para eles. Uma versão específica do pacote pode ser referenciada em vários avisos, cada um com sua própria severidade e. CVEs

É possível que vários avisos para a mesma atualização de pacote sejam emitidos simultaneamente em uma nova AL2023 versão ou em rápida sucessão.

Como em outras distribuições do Linux, pode haver um ou vários pacotes binários diferentes criados com base no mesmo pacote de origem. Por exemplo, o ALAS-2024-698 é um aviso listado na seção AL2023 do site do Amazon Linux Security Center como aplicável ao pacote. mariadb105 Esse é o nome do pacote de origem, e a recomendação em si se refere aos pacotes binários junto com o pacote de origem. Nesse caso, mais de uma dúzia de pacotes binários são criados com base em um único pacote de origem do mariadb105. Embora seja extremamente comum haver um pacote binário com o mesmo nome do pacote do origem, isso nem sempre acontece.

Embora as recomendações do Amazon Linux normalmente listem todos os pacotes binários criados com base no pacote de origem atualizado, não se deve presumir que esse seja sempre o caso. O gerenciador de pacotes e o formato de metadados do repositório RPM permitem recomendações que listam um subconjunto dos pacotes binários atualizados.

Uma recomendação específica também pode se aplicar somente a uma arquitetura de CPU específica. Pode haver pacotes que não foram criados para todas as arquiteturas ou problemas que não afetam todas as arquiteturas. No caso em que um pacote está disponível em todas as arquiteturas, mas um problema se aplica somente a uma, o Amazon Linux normalmente não emite uma recomendação que faz referência a apenas a arquitetura afetada, embora não se deva presumir que esse seja sempre o caso.

Devido à natureza das dependências do pacote, é comum que uma recomendação faça referência a um pacote, mas a instalação dessa atualização exija outras atualizações de pacotes, incluindo pacotes não listados na recomendação. O gerenciador de pacotes dnf cuidará da instalação das dependências necessárias.

Avisos e CVEs

Um Aviso pode abordar zero ou mais CVEs, e pode haver vários Avisos referenciando o mesmo CVE.

Um exemplo de quando uma Consultoria pode fazer referência a zero CVEs é quando um CVE ainda não foi (ou nunca) foi atribuído ao problema.

Um exemplo de onde várias recomendações podem fazer referência à mesma CVE é quando a CVE se aplica a vários pacotes. Por exemplo, a CVE-2024-21208 se aplica ao Corretto 8, 11, 17 e 21. Cada uma dessas versões do Corretto é um pacote separado e há um aviso para cada um desses pacotes: ALAS-2024-754 para o Corretto 8 AL2023, ALAS-2024-753 para o Corretto 11, ALAS-2024-752 para o Corretto 17 e ALAS-2024-752 para o Corretto 21. Embora todos esses lançamentos do Corretto tenham a mesma lista de CVEs, isso não deve ser assumido.

Uma CVE específica pode ser avaliada de forma diferente para pacotes diferentes. Por exemplo, se uma CVE específica é referenciada em uma recomendação com uma gravidade Importante, é possível que outra recomendação seja emitida referenciando a mesma CVE com uma gravidade diferente.

Os metadados do repositório RPM permitem uma lista de referências para cada recomendação. Embora o Amazon Linux normalmente só faça referências CVEs, o formato de metadados permite outros tipos de referência.

Os metadados do repositório de pacotes RPM só se referirão CVEs com uma correção disponível. A seção Explore do site do Amazon Linux Security Center contém informações sobre o CVEs que o Amazon Linux avaliou. Essa avaliação pode resultar em uma pontuação básica, gravidade e status do CVSS para várias versões e pacotes do Amazon Linux. O status de uma CVE para uma versão ou um pacote específico do Amazon Linux pode ser Não afetado, Correção pendente ou Nenhuma correção planejada. O status e a avaliação do CVEs podem mudar várias vezes e de qualquer forma antes da emissão de um Aviso. Isso inclui a reavaliação da aplicabilidade de uma CVE ao Amazon Linux.

A lista de CVEs pessoas referenciadas por um Aviso pode mudar após a publicação inicial desse Aviso.

Texto da recomendação

Uma recomendação também conterá um texto descritivo dos problemas que foram o motivo da criação da recomendação. É comum que esse texto seja o texto não modificado da CVE. Esse texto pode se referir aos números de versão upstream em que uma correção está disponível e que são diferentes da versão do pacote à qual o Amazon Linux aplicou uma correção. É comum que o Amazon Linux faça a portabilidade retroativa das correções de versões upstream mais recentes. Caso o texto da recomendação mencione uma versão upstream diferente da versão distribuída em uma versão do Amazon Linux, as versões de pacote do Amazon Linux na recomendação serão precisas para o Amazon Linux.

É possível que o texto da recomendação nos metadados do repositório RPM seja um texto de espaço reservado que apenas faz referência ao site do Amazon Linux Security Center para mais detalhes.

Recomendações de patch ao vivo do kernel

As recomendações para patches ao vivo são exclusivas, pois se referem a um pacote diferente (o kernel do Linux) do pacote ao qual a recomendação se refere (por exemplo, kernel-livepatch-6.1.15-28.43).

Um aviso para um Kernel Live Patch fará referência aos problemas (como CVEs) que o pacote específico do Live Patch pode resolver para a versão específica do kernel à qual o pacote de patch ativo se aplica.

Cada patch ao vivo é destinado a uma versão específica do kernel. Para aplicar um patch ao vivo a uma CVE, o pacote de patch ao vivo correto para a versão do kernel precisa ser instalado e o patch ao vivo aplicado.

Por exemplo, o CVE-2023-6111 pode ser corrigido ao vivo para as versões do kernel e. AL2023 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Uma nova versão do kernel com uma correção para essa CVE também foi lançada e tem uma recomendação separada. Para que o CVE-2023-6111 seja endereçado em AL2023 uma versão do kernel igual ou posterior à especificada por ALAS2023-2023-461, precisa estar em execução, ou uma das versões do kernel com um patch ativo para esse CVE precisa estar em execução com o livepatch aplicável aplicado.

Quando há novos patches ao vivo disponíveis para uma versão específica do kernel que já tem um patch ao vivo disponível, uma nova versão do pacote kernel-livepatch-KERNEL_VERSION é lançada. Por exemplo, o ALASLIVEPATCH-2023-003Aviso foi emitido com o kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 pacote que continha patches ativos para o 6.1.15-28.43 kernel, abrangendo três CVEs. Posteriormente, o ALASLIVEPATCH-2023-009Aviso foi lançado com o kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 pacote; uma atualização do pacote de patch ativo anterior para o 6.1.15-28.43 kernel contendo patches ativos para outros três CVEs. Também havia outros problemas de recomendações com patch ao vivo para outras versões do kernel, com pacotes contendo patches ao vivo para essas versões específicas do kernel.

Para saber mais sobre a aplicação de patches ao vivo do kernel, consulte Aplicação de patches do kernel em tempo real no AL2023.

Para todos que desenvolvem ferramentas relacionadas a recomendações de segurança, também é recomendável consultar a seção Esquema XML para recomendações e updateinfo.xml para obter mais informações.

Esquema XML para recomendações e updateinfo.xml

O arquivo updateinfo.xml faz parte do formato do repositório de pacotes. São os metadados que o gerenciador de pacotes dnf analisa para implementar funcionalidades, como Listar recomendações aplicáveis e Aplicar atualizações de segurança no local.

Recomendamos o uso da API do gerenciador de pacotes dnf em vez de escrever código personalizado para analisar os formatos de metadados do repositório. A versão do dnf in AL2023 pode analisar os formatos e o do AL2 repositório AL2023 e, portanto, a API pode ser usada para examinar informações consultivas para qualquer versão do sistema operacional.

O projeto RPM Software Management documenta os formatos de metadados RPM no repositório rpm-metadata em. GitHub

Para todos que desenvolvem ferramentas para análise direta dos metadados de updateinfo.xml, é altamente recomendável prestar muita atenção à documentação de rpm-metadata. A documentação aborda o que já foi visto no mundo real, o que inclui muitas exceções ao que você pode razoavelmente interpretar como uma regra para o formato de metadados.

Também há um conjunto crescente de exemplos reais de updateinfo.xml arquivos no repositório raw-historical-rpm-repository-examples em. GitHub

Caso algo não esteja claro na documentação, você pode abrir um problema no GitHub projeto para que possamos responder à pergunta e atualizar a documentação adequadamente. Como se tratam de projetos de código aberto, solicitações pull para atualizar a documentação também são bem-vindas.