As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações de segurança do Amazon Linux para o AL2023

Embora trabalhemos duro para tornar o Amazon Linux seguro, às vezes haverá problemas de segurança que precisam ser corrigidos. Uma recomendação é emitida quando uma correção está disponível. O principal local onde publicamos recomendações é o Amazon Linux Security Center (ALAS). Para obter informações, consulte o Amazon Linux Security Center.

As informações sobre problemas e as atualizações relevantes que afetam o AL2023 são publicadas pela equipe do Amazon Linux em vários locais. É comum que as ferramentas de segurança busquem informações dessas fontes primárias e apresentem os resultados para você. Dessa forma, talvez você não interaja diretamente com as fontes primárias que o Amazon Linux publica, mas sim com a interface fornecida pelas suas ferramentas preferidas, como o Amazon Inspector.

Anúncios do Amazon Linux Security Center

Os anúncios do Amazon Linux são fornecidos para itens que não se enquadram em uma recomendação. Esta seção contém anúncios sobre o próprio ALAS, junto com informações que não se enquadram em uma recomendação. Para obter mais informações, consulte Amazon Linux Security Center (ALAS) Announcements.

Por exemplo, o item 2021-001 - Amazon Linux Hotpatch Announcement for Apache Log4j se encaixa em um anúncio, e não em uma recomendação. Nesse anúncio, o Amazon Linux adicionou um pacote para ajudar os clientes a mitigar um problema de segurança em software que não fazia parte do Amazon Linux.

O Amazon Linux Security Center CVE Explorer também foi anunciado nos anúncios do ALAS. Para obter mais informações, consulte New website for CVEs.

Perguntas frequentes do Amazon Linux Security Center

Para obter respostas a algumas perguntas frequentes sobre o ALAS e como o Amazon Linux avalia CVEs, consulte Amazon Linux Security Center (ALAS) Frequently Asked Questions (FAQs).

Recomendações do ALAS

Uma recomendação do Amazon Linux contém informações importantes e relevantes para os usuários do Amazon Linux, geralmente informações sobre atualizações de segurança. O Amazon Linux Security Center é onde os avisos podem ser vistos na web. As informações de recomendações também fazem parte dos metadados do repositório de pacotes RPM.

Recomendações e repositórios RPM

Um repositório de pacotes do Amazon Linux 2023 pode conter metadados que descrevem zero ou mais atualizações. O comando dnf updateinfo tem o nome do arquivo de metadados do repositório que contém essas informações, updateinfo.xml. Embora o comando tenha o nome updateinfo e o arquivo de metadados se refira a uma update, todos eles se referem a atualizações de pacotes que fazem parte de uma recomendação.

As recomendações do Amazon Linux são publicadas no site do Amazon Linux Security Center, junto com as informações presentes nos metadados do repositório RPM aos quais o gerenciador de pacotes dnf se refere. O site e os metadados do repositório são eventualmente consistentes, e pode haver inconsistências nas informações do site e nos metadados do repositório. Isso geralmente ocorre quando uma nova versão do AL2023 está em processo de lançamento, ou quando houve uma atualização em uma recomendação após o lançamento mais recente do AL2023.

Embora seja comum que uma nova recomendação seja emitida junto com a atualização do pacote que resolve o problema, esse nem sempre é o caso. Uma recomendação pode ser criada para um novo problema que é tratado em pacotes já lançados. Uma recomendação existente também pode ser atualizada com novas CVEs que são abordadas pela atualização existente.

O recurso Atualizações determinísticas por meio de repositórios com versionamento no AL2023 do Amazon Linux 2023 significa que o repositório RPM de uma versão específica do AL2023 contém um snapshot dos metadados do repositório RPM dessa versão. Isso inclui os metadados que descrevem as atualizações de segurança. O repositório RPM para uma versão específica do AL2023 não é atualizado após o lançamento. Recomendações de segurança novas ou atualizadas não estarão visíveis ao examinar uma versão mais antiga dos repositórios RPM do AL2023. Consulte a seção Listar recomendações aplicáveis para saber como usar o gerenciador de pacotes dnf para ver a versão latest do repositório ou um lançamento específico do AL2023.

IDs de recomendações

Cada recomendação é identificada por um id. Uma peculiaridade atual do Amazon Linux é que o site do Amazon Linux Security Center listará uma recomendação como ALAS-2024-581, enquanto o gerenciador de pacotes dnf listará essa recomendação como tendo o ID de ALAS2023-2024-581. Ao Aplicar atualizações de segurança no local, o ID do gerenciador de pacotes precisa ser usado para se referir a uma recomendação específica.

Para o Amazon Linux, cada versão principal do sistema operacional tem seu próprio namespace de IDs de recomendações. Não se deve fazer suposições quanto ao formato dos IDs de recomendações do Amazon Linux. Historicamente, os IDs de recomendações do Amazon Linux seguiram o padrão de NAMESPACE-YEAR-NUMBER. O intervalo completo de valores possíveis para NAMESPACE não está definido, mas inclui ALAS, ALASCORRETTO8, ALAS2023, ALAS2, ALASPYTHON3.8 e ALASUNBOUND-1.17. YEAR foi o ano em que a recomendação foi criada e NUMBER é um número inteiro exclusivo no namespace.

Embora os IDs de recomendações normalmente sejam sequenciais e na ordem em que as atualizações são lançadas, há muitos motivos pelos quais isso pode não acontecer, portanto, não se deve assumir que esse seja sempre o caso.

Trate o ID da recomendação como uma string opaca que é exclusiva para cada versão principal do Amazon Linux.

No Amazon Linux 2, cada Extra fica em um repositório RPM separado, e os metadados da recomendação ficam contidos somente no repositório ao qual são relevantes. Uma recomendação para um repositório não se aplica a outro repositório. No site do Amazon Linux Security Center, há uma lista de recomendações para cada versão principal do Amazon Linux, e ela não está separada em listas por repositório.

Como o AL2023 não usa o mecanismo de Extras para empacotar versões alternativas de pacotes, atualmente existem apenas dois repositórios RPM, cada um com recomendações: o repositório core e o repositório livepatch. O repositório livepatch é para Aplicação de patches do kernel em tempo real no AL2023.

Data de lançamento da recomendação e data de atualização da recomendação

A data de lançamento de recomendações do Amazon Linux indica quando a atualização de segurança foi disponibilizada ao público pela primeira vez no repositório RPM. As recomendações são publicadas no site do Amazon Linux Security Center assim que as correções são disponibilizadas para instalação por meio do repositório RPM.

A data de atualização da recomendação indica quando novas informações foram adicionadas a uma recomendação após sua última publicação.

Não deve haver nenhuma suposição entre o número da versão do AL2023 (por exemplo, 2023.6.20241031) e a data de lançamento da recomendação publicada junto com esse lançamento.

Tipos de recomendação

Os metadados do repositório RPM oferecem suporte a recomendações de diferentes tipos. Embora o Amazon Linux tenha emitido quase universalmente apenas recomendações que são atualizações de segurança, não se deve assumir que esse seja sempre o caso. É possível que sejam emitidas recomendações para eventos como correções de bugs, aprimoramentos e novos pacotes, e a recomendação seja marcada como contendo esse tipo de atualização.

Gravidades de recomendações

Cada recomendação tem sua própria gravidade, pois cada problema é avaliado separadamente. Várias CVEs podem ser tratadas em uma única recomendação, e cada CVE pode ter uma avaliação diferente, mas a recomendação em si tem uma gravidade. Pode haver várias recomendações referentes a uma única atualização de pacote, portanto, pode haver várias gravidades para uma atualização de pacote específica (uma por recomendação).

Em ordem decrescente de gravidade, o Amazon Linux usa Crítica, Importante, Moderada e Baixa para indicar a gravidade de uma recomendação. As recomendações do Amazon Linux também podem não ter uma gravidade, embora isso seja extremamente raro.

O Amazon Linux é uma das distribuições do Linux baseadas em RPM que usa o termo Moderada, enquanto outras distribuições do Linux baseadas em RPM usam o termo equivalente Média. O gerenciador de pacotes do Amazon Linux trata ambos os termos como equivalentes, e repositórios de pacotes de terceiros podem usar o termo Média.

As recomendações do Amazon Linux podem mudar de gravidade ao longo do tempo, à medida que se aprende mais sobre as questões relevantes abordadas na recomendação.

A gravidade de uma recomendação normalmente rastreia a maior pontuação do CVSS avaliada pelo Amazon Linux para as CVEs referenciadas pela recomendação. Pode haver casos em que isso não acontece. Um exemplo é quando há um problema resolvido para o qual não há uma CVE atribuída.

Consulte as perguntas frequentes do ALAS para obter mais informações sobre como o Amazon Linux usa as classificações de gravidade das recomendações.

Recomendações e pacotes

Pode haver muitas recomendações para um único pacote, e nem todos os pacotes terão uma recomendação publicada para eles. Uma versão de pacote específica pode ser referenciada em várias recomendações, cada uma com sua própria gravidade e CVEs.

É possível que várias recomendações para a mesma atualização de pacote sejam emitidas simultaneamente em uma nova versão do AL2023 ou em rápida sucessão.

Como outras distribuições do Linux, pode haver um ou vários pacotes binários diferentes criados com base no mesmo pacote de origem. Por exemplo, o ALAS-2024-698 é uma recomendação listada na seção do AL2023 do site do Amazon Linux Security Center como aplicável ao pacote mariadb105. Esse é o nome do pacote de origem, e a recomendação em si se refere aos pacotes binários junto com o pacote de origem. Nesse caso, mais de uma dúzia de pacotes binários são criados com base em um único pacote de origem do mariadb105. Embora seja extremamente comum haver um pacote binário com o mesmo nome do pacote do origem, isso nem sempre acontece.

Embora as recomendações do Amazon Linux normalmente listem todos os pacotes binários criados com base no pacote de origem atualizado, não se deve assumir que esse seja sempre o caso. O gerenciador de pacotes e o formato de metadados do repositório RPM permitem recomendações que listam um subconjunto dos pacotes binários atualizados.

Uma recomendação específica também pode se aplicar somente a uma arquitetura de CPU específica. Pode haver pacotes que não foram criados para todas as arquiteturas ou problemas que não afetam todas as arquiteturas. No caso em que um pacote está disponível em todas as arquiteturas, mas um problema se aplica somente a uma, o Amazon Linux normalmente não emite uma recomendação que faz referência a apenas a arquitetura afetada, embora não se deva assumir que esse seja sempre o caso.

Devido à natureza das dependências do pacote, é comum que uma recomendação faça referência a um pacote, mas a instalação dessa atualização exija outras atualizações de pacotes, incluindo pacotes que não estão listados na recomendação. O gerenciador de pacotes dnf cuidará da instalação das dependências necessárias.

Recomendações e CVEs

Uma recomendação pode abordar zero ou mais CVEs, e pode haver várias recomendações que fazem referência à mesma CVE.

Um exemplo de quando uma recomendação pode fazer referência a nenhuma CVE é quando uma CVE ainda não foi (ou nunca será) atribuída ao problema.

Um exemplo de onde várias recomendações podem fazer referência à mesma CVE é quando a CVE se aplica a vários pacotes. Por exemplo, a CVE-2024-21208 se aplica ao Corretto 8, 11, 17 e 21. Cada uma dessas versões do Corretto é um pacote separado no AL2023, e há uma recomendação para cada um desses pacotes: ALAS-2024-754 para o Corretto 8, ALAS-2024-753 para o Corretto 11, ALAS-2024-752 para o Corretto 17 e ALAS-2024-752 para o Corretto 21. Embora todas essas versões do Corretto tenham a mesma lista de CVEs, não se deve assumir que esse seja sempre o caso.

Uma CVE específica pode ser avaliada de forma diferente para pacotes diferentes. Por exemplo, se uma CVE específica é referenciada em uma recomendação com uma gravidade Importante, é possível que outra recomendação seja emitida referenciando a mesma CVE com uma gravidade diferente.

Os metadados do repositório RPM permitem uma lista de referências para cada recomendação. Embora o Amazon Linux normalmente só faça referência a CVEs, o formato de metadados permite outros tipos de referência.

Os metadados do repositório de pacotes RPM se referirão somente às CVEs com uma correção disponível. A seção Explore do site do Amazon Linux Security Center contém informações sobre as CVEs que o Amazon Linux avaliou. Essa avaliação pode resultar em uma pontuação básica, gravidade e status do CVSS para várias versões e pacotes do Amazon Linux. O status de uma CVE para uma versão ou um pacote específico do Amazon Linux pode ser Não afetado, Correção pendente ou Nenhuma correção planejada. O status e a avaliação das CVEs podem mudar muitas vezes e de várias formas antes da emissão de uma recomendação. Isso inclui a reavaliação da aplicabilidade de uma CVE ao Amazon Linux.

A lista de CVEs referenciadas por uma recomendação pode mudar após a publicação inicial dessa recomendação.

Texto da recomendação

Uma recomendação também conterá um texto descritivo dos problemas que foram o motivo da criação da recomendação. É comum que esse texto seja o texto não modificado da CVE. Esse texto pode se referir aos números de versão upstream em que uma correção está disponível e que são diferentes da versão do pacote à qual o Amazon Linux aplicou uma correção. É comum que o Amazon Linux faça a portabilidade retroativa das correções de versões upstream mais recentes. Caso o texto da recomendação mencione uma versão upstream diferente da versão distribuída em uma versão do Amazon Linux, as versões de pacote do Amazon Linux na recomendação serão precisas para o Amazon Linux.

É possível que o texto da recomendação nos metadados do repositório RPM seja um texto de espaço reservado que apenas faz referência ao site do Amazon Linux Security Center para mais detalhes.

Recomendações de patch ao vivo do kernel

As recomendações para patches ao vivo são exclusivas, pois se referem a um pacote diferente (o kernel do Linux) do pacote ao qual a recomendação se refere (por exemplo, kernel-livepatch-6.1.15-28.43).

Uma recomendação para um patch ao vivo do kernel fará referência aos problemas (como CVEs) que o pacote de patch ao vivo específico pode resolver para a versão específica do kernel à qual o pacote de patch ao vivo se aplica.

Cada patch ao vivo é destinado a uma versão específica do kernel. Para aplicar um patch ao vivo a uma CVE, o pacote de patch ao vivo correto para a versão do kernel precisa ser instalado e o patch ao vivo aplicado.

Por exemplo, a CVE-2023-6111 pode receber patch ao vivo para as versões de kernel 6.1.56-82.125, 6.1.59-84.139 e 6.1.61-85.141 do AL2023. Uma nova versão do kernel com uma correção para essa CVE também foi lançada e tem uma recomendação separada. Para que a CVE-2023-6111 seja abordada no AL2023, uma versão do kernel igual ou posterior à especificada por ALAS2023-2023-461 precisa estar em execução ou uma das versões do kernel com um patch ao vivo para essa CVE precisa estar em execução com o respectivo patch ao vivo aplicado.

Quando há novos patches ao vivo disponíveis para uma versão específica do kernel que já tem um patch ao vivo disponível, uma nova versão do pacote kernel-livepatch-KERNEL_VERSION é lançada. Por exemplo, a recomendação ALASLIVEPATCH-2023-003 foi emitida com o pacote kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 que continha patches ao vivo para o kernel 6.1.15-28.43, cobrindo três CVEs. Posteriormente, a recomendação ALASLIVEPATCH-2023-009 foi lançada com o pacote kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023: uma atualização do pacote de patch ao vivo anterior para o kernel 6.1.15-28.43 contendo patches ao vivo para outras três CVEs. Também havia outros problemas de recomendações com patch ao vivo para outras versões do kernel, com pacotes contendo patches ao vivo para essas versões específicas do kernel.

Para obter mais informações sobre a aplicação de patches ao vivo do kernel, consulte Aplicação de patches do kernel em tempo real no AL2023.

Para todos que desenvolvem ferramentas relacionadas a recomendações de segurança, também é recomendável consultar a seção Esquema XML para recomendações e updateinfo.xml para obter mais informações.

Esquema XML para recomendações e updateinfo.xml

O arquivo updateinfo.xml faz parte do formato do repositório de pacotes. São os metadados que o gerenciador de pacotes dnf analisa para implementar funcionalidades, como Listar recomendações aplicáveis e Aplicar atualizações de segurança no local.

Recomendamos o uso da API do gerenciador de pacotes dnf em vez de escrever código personalizado para analisar os formatos de metadados do repositório. A versão de dnf em AL2023 pode analisar os formatos de repositório do AL2023 e do AL2, portanto, a API pode ser usada para examinar informações de recomendações para qualquer versão do sistema operacional.

O projeto RPM Software Management documenta os formatos de metadados RPM no repositório rpm-metadata no GitHub.

Para todos que desenvolvem ferramentas para análise direta dos metadados de updateinfo.xml, é altamente recomendável prestar muita atenção à documentação de rpm-metadata. A documentação aborda o que já foi visto no mundo real, o que inclui muitas exceções ao que você pode razoavelmente interpretar como uma regra para o formato de metadados.

Também há um conjunto crescente de exemplos reais de arquivos updateinfo.xml no repositório raw-historical-rpm-repository-examples no GitHub.

Caso algo não esteja claro na documentação, você pode criar um issue no projeto do GitHub para que possamos responder à pergunta e atualizar a documentação adequadamente. Como se tratam de projetos de código aberto, solicitações pull para atualizar a documentação também são bem-vindas.