AL2023 的 Amazon Linux 安全建議 - Amazon Linux 2023

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AL2023 的 Amazon Linux 安全建議

儘管我們努力確保 Amazon Linux 的安全,但有時會出現需要修正的安全問題。當修正可用時,會發出諮詢。我們發佈建議的主要位置是 Amazon Linux 安全中心 (ALAS)。如需詳細資訊,請參閱 Amazon Linux 安全中心

重要

如果您想要報告漏洞或對 AWS 雲端服務或開放原始碼專案有安全疑慮,請使用漏洞報告頁面聯絡 AWS 安全部門

Amazon Linux 團隊會在數個位置發佈問題的相關資訊,以及影響 AL2023 的相關更新。安全工具通常會從這些主要來源擷取資訊並將結果呈現給您。因此,您可能不會直接與 Amazon Linux 發佈的主要來源互動,而是與您偏好工具提供的界面互動,例如 Amazon Inspector

Amazon Linux 安全中心公告

Amazon Linux 公告會針對不符合建議的項目提供。本節包含有關 ALAS 本身的公告,以及不適合諮詢的資訊。如需詳細資訊,請參閱 Amazon Linux 安全中心 (ALAS) 公告

例如,適用於 Apache Log4j 的 2021-001 - Amazon Linux Hotpatch 公告會納入公告,而非諮詢。在此公告中,Amazon Linux 新增了套件,協助客戶緩解軟體中不屬於 Amazon Linux 的安全問題。

Amazon Linux 安全中心 CVE Explorer 也在 ALAS 公告中宣布。如需詳細資訊,請參閱 CVEs 的新網站

Amazon Linux 安全中心常見問答集

如需有關 ALAS 和 Amazon Linux 如何評估 CVEs 的一些常見問題解答,請參閱 Amazon Linux 安全中心 (ALAS) 常見問答集 FAQs)

ALAS Advisories

Amazon Linux 諮詢包含與 Amazon Linux 使用者相關的重要資訊,通常是有關安全性更新的資訊。Amazon Linux 安全中心是顯示在 Web 上的 Advisories。諮詢資訊也是 RPM 套件儲存庫中繼資料的一部分。

建議和 RPM 儲存庫

Amazon Linux 2023 套件儲存庫可能包含描述零個或多個更新的中繼資料。dnf updateinfo 命令是以包含此資訊的儲存庫中繼資料檔案名稱 命名updateinfo.xml。雖然命令名為 updateinfo,且中繼資料檔案參考 update,但這些都參考屬於諮詢一部分的套件更新。

Amazon Linux Advisories 會在 Amazon Linux 安全中心網站上發佈,以及dnf套件管理員參考的 RPM 儲存庫中繼資料中存在的資訊。網站和儲存庫中繼資料最終一致,並且網站和儲存庫中繼資料中的資訊可能存在不一致。當新的 AL2023 版本正在進行發行時,通常會發生這種情況,在最新的 AL2023 版本之後,諮詢已更新。

雖然解決此問題的套件更新通常會同時發出新的諮詢,但情況並非總是如此。您可以針對已在發行的套件中解決的新問題建立諮詢。現有的諮詢也可能會使用現有更新所解決的新 CVEs 進行更新。

Amazon Linux 2023 透過 AL2023 上的版本控制儲存庫進行確定性升級的功能表示特定 AL2023 版本的 RPM 儲存庫包含該版本 RPM 儲存庫中繼資料的快照。這包括描述安全性更新的中繼資料。特定 AL2023 版本的 RPM 儲存庫在發行後不會更新查看舊版 AL2023 RPM 儲存庫時,不會顯示新的或更新的安全性建議。如需如何使用dnf套件管理員查看latest儲存庫版本或特定 AL2023 版本,請參閱列出適用的建議一節。

諮詢 IDs

每個諮詢都由 參考id。目前,Amazon Linux 安全中心網站會將諮詢列為 ALAS-2024-581,而dnf套件管理員會將該建議列為 ID 為 ALAS2023-2024-581。如果參考特定諮詢,則需要使用就地套用安全性更新套件管理員 ID。

對於 Amazon Linux,每個作業系統的主要版本都有自己的諮詢 IDs 命名空間。不應對 Amazon Linux Advisory IDs的格式做出任何假設。過去,Amazon Linux 諮詢 IDs遵循 的模式NAMESPACE-YEAR-NUMBERNAMESPACE 未定義 的完整可能值範圍,但包含 ALASALASCORRETTO8ALAS2023ALASPYTHON3.8ALAS2ALASUNBOUND-1.17YEAR 是建立諮詢的年份,NUMBER也是命名空間內的唯一整數。

雖然諮詢 IDs通常是循序的,並依照更新發佈的順序,但發生這種情況的原因有很多,因此不應假設。

將諮詢 ID 視為不透明字串,對於每個 Amazon Linux 主要版本都是唯一的。

在 Amazon Linux 2 中,每個 Extra 都位於單獨的 RPM 儲存庫中,而 Advisory 中繼資料僅包含在與其相關的儲存庫中。一個儲存庫的諮詢不適用於另一個儲存庫。在 Amazon Linux Security Center 網站上,目前每個主要 Amazon Linux 版本都有一個 Advisories 清單,而且不會區分為每個儲存庫清單。

由於 AL2023 不使用 Extras 機制來封裝套件的替代版本,因此目前只有兩個 RPM 儲存庫,每個儲存庫都有 Advisories、儲存core庫和livepatch儲存庫。livepatch 儲存庫適用於 AL2023 上的核心即時修補

諮詢發佈日期和諮詢更新日期

Amazon Linux Advisories 的諮詢發佈日期指出第一次在 RPM 儲存庫中公開提供安全性更新的時間。修正可透過 RPM 儲存庫進行安裝後,建議會立即張貼在 Amazon Linux 安全中心網站上。

建議更新日期指出在先前發佈後,何時將新資訊新增至建議。

AL2023 版本編號 (例如 2023.6.20241031) 與該版本一起發佈的諮詢發佈日期之間不應進行任何假設。

諮詢類型

RPM 儲存庫中繼資料支援不同類型的 Advisories。雖然 Amazon Linux 幾乎只有幾乎通用發行的 Advisories 是安全性更新,但不應擔任此角色。可能會發出錯誤修正、增強功能和新套件等事件的 Advisories,並將 Advisory 標記為包含該類型的更新。

諮詢嚴重性

每個諮詢都有自己的嚴重性,因為每個問題都會分別評估。單一諮詢中可以處理多個 CVEs,每個 CVE 的評估可能不同,但諮詢本身具有一個嚴重性。可以有多個 Advisories 參考單一套件更新,因此特定套件更新可以有多個嚴重性 (每個 Advisor 一個)。

為了降低嚴重性,Amazon Linux 已使用「重要」、「重要」、「中等」和「低」來表示諮詢的嚴重性。Amazon Linux Advisories 也可能沒有嚴重性,但這種情況非常罕見。

Amazon Linux 是使用「中等」一詞的 RPM 型 Linux 發行版本之一,而其他一些 RPM 型 Linux 發行版本則使用「中等」一詞。Amazon Linux 套件管理員會將這兩個術語視為同等術語,而第三方套件儲存庫可能會使用中一詞。

隨著時間的推移,Amazon Linux Advisories 可以變更嚴重性,因為有更多人了解諮詢中解決的相關問題。

諮詢的嚴重性通常會追蹤諮詢所參考 CVEs 的最高 Amazon Linux 評估 CVSS 分數。在某些情況下,這可能不是這種情況。其中一個範例是發生未指派 CVE 的已解決問題。

如需 Amazon Linux 如何使用諮詢嚴重性評分的詳細資訊,請參閱 ALAS 常見問答集

建議和套件

單一套件可以有許多公告,而且並非所有套件都會發佈公告公告。您可以在多個 Advisories 中參考特定套件版本,每個版本都有自己的嚴重性和 CVEs。

您可以在一個新的 AL2023 版本中或快速連續地同時發出相同套件更新的多個 Advisories。

如同其他 Linux 發行版本,可以有一到多個不同的二進位套件從相同的來源套件建置。例如,ALAS-2024-698Amazon Linux 安全中心網站 AL2023 區段上列為套用至mariadb105套件的諮詢。這是來源套件名稱,諮詢本身是指來源套件旁的二進位套件。在此情況下,會從一個mariadb105來源套件建置十幾個以上的二進位套件。雖然存在與來源套件同名的二進位套件非常常見,但這不是通用的。

雖然 Amazon Linux Advisories 通常會列出從更新後的來源套件建置的所有二進位套件,但不應假設。套件管理員和 RPM 儲存庫中繼資料格式允許 Advisories 列出更新二進位套件的子集。

特定諮詢也可能僅適用於特定 CPU 架構。可能有些套件並非針對所有架構建置,或問題不會影響所有架構。如果套件可在所有架構上使用,但問題僅適用於架構,則 Amazon Linux 通常不會發出僅參考受影響架構的諮詢,但不應假設。

由於套件相依性的性質,諮詢通常會參考一個套件,但安裝該更新將需要其他套件更新,包括未列在諮詢中的套件。dnf 套件管理員將負責安裝所需的相依性。

建議和 CVEs

諮詢可以解決零個或多個 CVEs,並且可能有多個參考相同 CVE 的諮詢。

諮詢可能參考零 CVEs的範例是 CVE 尚未 (或曾經) 指派給問題。

當 (例如) CVE 適用於多個套件時,多個 Advisories 可能參考相同 CVE 的範例。例如,CVE-2024-21208 適用於 Corretto 8、11、17 和 21。每個 Corretto 版本都是 AL2023 中的個別套件,且每個套件都有一個諮詢:適用於 Corretto 8 的 ALAS-2024-754、適用於 Corretto 11 的 ALAS-2024-753、適用於 Corretto 17 的 ALAS-2024-752,以及適用於 Corretto 21 的 ALAS-2024-752。雖然這些 Corretto 版本都有相同的 CVEs 清單,但不應假設。

特定 CVE 可以針對不同的套件進行不同的評估。例如,如果在具有重要嚴重性的諮詢中參考特定 CVE,則可能會發出另一個諮詢,參考具有不同嚴重性的相同 CVE。

RPM 儲存庫中繼資料允許每個諮詢的參考清單。雖然 Amazon Linux 通常只參考 CVEs,但中繼資料格式允許其他參考類型。

RPM 套件儲存庫中繼資料只會參考具有可用修正的 CVEs。Amazon Linux 安全中心網站的探索區段包含 Amazon Linux 已評估CVEs 相關資訊。此評估可能會導致各種 Amazon Linux 版本和套件的 CVSS 基本分數、嚴重性和狀態。特定 Amazon Linux 版本或套件的 CVE 狀態可能未受影響、擱置中修正或未規劃修正。在發出諮詢之前,CVEs 的狀態和評估可能會多次變更。這包括重新評估 CVE 對 Amazon Linux 的適用性。

諮詢參考的 CVEs 清單可能會在該諮詢的初始發佈之後變更。

諮詢文字

諮詢也會包含說明問題的文字,或是建立諮詢的原因。此文字通常是未修改的 CVE 文字。此文字可能是指上游版本編號,其中提供與 Amazon Linux 已套用修正的套件版本不同的修正。Amazon Linux 通常會從較新的上游版本恢復連接埠修正。如果諮詢文字提及的上游版本與 Amazon Linux 版本中隨附的版本不同,則諮詢中的 Amazon Linux 套件版本對於 Amazon Linux 而言將準確。

RPM 儲存庫中繼資料中的諮詢文字可能是預留位置文字,只要參考 Amazon Linux 安全中心網站以取得詳細資訊即可。

核心即時修補程式建議

即時修補程式的建議在 中是唯一的,其參考的套件 (Linux 核心) 與諮詢所針對的套件 (例如 kernel-livepatch-6.1.15-28.43) 不同。

核心即時修補程式的諮詢將參考特定即時修補程式套件可針對套用即時修補程式套件的特定核心版本解決的問題 (例如 CVEs)。

每個即時修補程式適用於特定的核心版本。為了套用 CVE 的即時修補程式,需要安裝核心版本的正確即時修補程式套件,並套用即時修補程式。

例如,CVE-2023-6111 可以即時修補 AL2023 核心版本 6.1.56-82.1256.1.59-84.1396.1.61-85.141。也發行了具有此 CVE 修正程式的新核心版本,並具有單獨的諮詢。為了在 AL20232023 上解決 CVE-2023-6111,核心版本等於或晚於 ALAS2023-2023-461 指定的需要執行,或者具有此 CVE 即時修補程式的其中一個核心版本需要執行並套用適用的即時修補程式。

當已有可用的即時修補程式的特定核心版本有新的即時修補程式時,就會發行新版本的kernel-livepatch-KERNEL_VERSION套件。例如,ALASLIVEPATCH-2023-003諮詢是使用 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023套件發行的,其中包含涵蓋三個 CVEs 6.1.15-28.43 的核心即時修補程式。稍後,使用 kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 套件發出ALASLIVEPATCH-2023-009諮詢;針對包含其他三個 CVEs 6.1.15-28.43 即時修補程式的核心,更新先前的即時修補程式套件。其他核心版本也有其他即時修補程式 Advisories 問題,其中包含這些特定核心版本的即時修補程式套件。

如需核心即時修補的詳細資訊,請參閱 AL2023 上的核心即時修補

對於任何開發安全建議相關工具的人,也建議您查看 適用於 Advisories 和 的 XML 結構描述 updateinfo.xml一節以取得更多資訊。

適用於 Advisories 和 的 XML 結構描述 updateinfo.xml

updateinfo.xml 檔案是套件儲存庫格式的一部分。這是dnf套件管理員剖析的中繼資料,以實作 列出適用的建議和 等功能就地套用安全性更新

我們建議使用dnf套件管理員的 API,而不是編寫自訂程式碼來剖析儲存庫中繼資料格式。AL2023 dnf中的 版本可以剖析 AL2023 和 AL2 儲存庫格式,因此 API 可用來檢查任一作業系統版本的諮詢資訊。

RPM 軟體管理專案會在 GitHub 的 rpm 中繼資料儲存庫中記錄 RPM 中繼資料格式。

對於開發工具以直接剖析updateinfo.xml中繼資料的人員,強烈建議注意 rpm 中繼資料文件。文件涵蓋了在萬用字元中看到的內容,其中包括許多您可能合理解釋為中繼資料格式規則的例外狀況。

在 GitHub 的 raw-historical-rpm-repository-examples 儲存庫中,還有一組不斷成長的真實世界updateinfo.xml檔案範例。 raw-historical-rpm-repository-examples

如果文件中有任何不清楚的地方,您可以在 GitHub 專案上開啟問題,以便我們可以回答問題並適當地更新文件。作為開放原始碼專案,也歡迎提取請求更新文件。