Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Linux-Sicherheitsempfehlungen für 023 AL2

Wir arbeiten kontinuierlich an der Sicherheit von Amazon Linux, dennoch werden von Zeit zu Zeit Sicherheitsprobleme auftauchen, die behoben werden müssen. Ein Hinweis wird herausgegeben, wenn ein Fix verfügbar ist. Der Hauptort, an dem wir unsere Empfehlungen veröffentlichen, ist das Amazon Linux Security Center (ALAS). Weitere Informationen erhalten Sie im Amazon-Linux-Sicherheitszentrum.

Informationen zu Problemen und den relevanten Updates, die AL2 023 betreffen, werden vom Amazon Linux-Team an verschiedenen Orten veröffentlicht. Normalerweise rufen Sicherheitstools Informationen aus diesen Primärquellen ab und präsentieren Ihnen die Ergebnisse. Daher interagieren Sie möglicherweise nicht direkt mit den primären Quellen, die Amazon Linux veröffentlicht, sondern mit der Schnittstelle, die von Ihren bevorzugten Tools wie Amazon Inspector bereitgestellt wird.

Ankündigungen des Amazon Linux Security Center

Ankündigungen von Amazon Linux beziehen sich auf Artikel, die nicht in eine Empfehlung passen. Dieser Abschnitt enthält Ankündigungen über ALAS selbst sowie Informationen, die nicht in eine Empfehlung passen. Weitere Informationen finden Sie unter Ankündigungen des Amazon Linux Security Center (ALAS).

Zum Beispiel passt die Amazon Linux Hotpatch-Ankündigung 2021-001 für Apache Log4j eher in eine Ankündigung als in eine Empfehlung. In dieser Ankündigung hat Amazon Linux ein Paket hinzugefügt, das Kunden dabei unterstützt, ein Sicherheitsproblem in Software zu beheben, die nicht Teil von Amazon Linux war.

Der Amazon Linux Security Center CVE Explorer wurde ebenfalls in den ALAS-Ankündigungen angekündigt. Weitere Informationen finden Sie unter Neue Website für CVEs.

Häufig gestellte Fragen zum Amazon Linux Security Center

Antworten auf einige häufig gestellte Fragen zu ALAS und zur Bewertung CVEs von Amazon Linux finden Sie unter Häufig gestellte Fragen zum Amazon Linux Security Center (ALAS) (FAQs).

ALAS-Empfehlungen

Ein Amazon Linux-Advisory enthält wichtige Informationen, die für Amazon Linux-Benutzer relevant sind, in der Regel Informationen zu Sicherheitsupdates. Im Amazon Linux Security Center sind die Advisories im Internet sichtbar. Hinweisinformationen sind auch Teil der Metadaten des RPM-Paket-Repositorys.

Hinweise und RPM-Repositorys

Ein Amazon Linux 2023-Paket-Repository kann Metadaten enthalten, die keine oder mehr Updates beschreiben. Der dnf updateinfo Befehl ist nach dem Dateinamen der Repository-Metadaten benannt, der diese Informationen enthältupdateinfo.xml. Der Befehl ist zwar benannt updateinfo und die Metadatendatei bezieht sich auf eineupdate, aber alle beziehen sich auf Paket-Updates, die Teil eines Advisory sind.

Amazon Linux-Advisories werden auf der Amazon Linux Security Center-Website zusammen mit Informationen in den RPM-Repository-Metadaten veröffentlicht, auf die sich der dnf Paketmanager bezieht. Die Website- und Repository-Metadaten sind letztendlich konsistent, und es kann zu Inkonsistenzen zwischen den Informationen auf der Website und den Repository-Metadaten kommen. Dies tritt in der Regel auf, wenn eine neue Version von AL2 023 gerade veröffentlicht wird und ein Advisory nach der letzten AL2 Version von 023 aktualisiert wurde.

Es ist zwar üblich, dass zusammen mit dem Paket-Update, das das Problem behebt, auch ein neues Advisory veröffentlicht wird, aber das ist nicht immer der Fall. Ein Hinweis kann für ein neues Problem erstellt werden, das in bereits veröffentlichten Paketen behoben ist. Eine bestehende Empfehlung kann auch mit neuen aktualisiert werden CVEs , die durch das bestehende Update behoben werden.

Die Deterministische Upgrades durch versionierte Repositorys auf 023 AL2 Funktion von Amazon Linux 2023 bedeutet, dass das RPM-Repository für eine bestimmte Version AL2 023 einen Snapshot der RPM-Repository-Metadaten ab dieser Version enthält. Dazu gehören die Metadaten, die Sicherheitsupdates beschreiben. Das RPM-Repository für eine bestimmte Version AL2 023 wird nach der Veröffentlichung nicht aktualisiert. Neue oder aktualisierte Sicherheitshinweise sind nicht sichtbar, wenn Sie sich eine ältere Version der AL2 023 RPM-Repositorys ansehen. Liste der zutreffenden HinweiseIn diesem Abschnitt erfahren Sie, wie Sie mit dem dnf Paketmanager entweder die latest Repository-Version oder eine bestimmte AL2 Version 023 einsehen können.

Hinweis IDs

Auf jedes Advisory wird mit einem verwiesenid. Derzeit ist es eine Eigenart von Amazon Linux, dass auf der Amazon Linux Security Center-Website eine Empfehlung als ALAS-2024-581 aufgeführt wird, während der dnf Paketmanager diese Empfehlung mit der ID 023-2024-581 auflistet. ALAS2 Wenn Direktes Anwenden von Sicherheitsupdates die Paketmanager-ID verwendet werden muss, wenn auf ein bestimmtes Advisory verwiesen wird.

Für Amazon Linux hat jede Hauptversion des Betriebssystems ihren eigenen IDs Advisory-Namespace. Es sollten keine Annahmen über das Format von Amazon Linux Advisory getroffen IDs werden. In der Vergangenheit folgte Amazon Linux Advisory IDs dem Muster vonNAMESPACE-YEAR-NUMBER. Der gesamte Bereich möglicher Werte für NAMESPACE ist nicht definiert, umfasst aberALAS,ALASCORRETTO8, ALAS2023ALAS2,ALASPYTHON3.8, undALASUNBOUND-1.17. Dabei handelt es YEAR sich um das Jahr, in dem das Advisory erstellt wurde. Dabei handelt NUMBER es sich um eine eindeutige Ganzzahl innerhalb des Namespace.

Obwohl die Empfehlung IDs normalerweise sequentiell und in der Reihenfolge erfolgt, in der die Updates veröffentlicht werden, gibt es viele Gründe, warum dies nicht der Fall sein könnte. Daher sollte nicht davon ausgegangen werden.

Behandeln Sie die Advisory-ID als undurchsichtige Zeichenfolge, die für jede Hauptversion von Amazon Linux eindeutig ist.

In Amazon Linux 2 befand sich jedes Extra in einem separaten RPM-Repository, und die Advisory-Metadaten sind nur in dem Repository enthalten, für das sie relevant sind. Eine Empfehlung für ein Repository gilt nicht für ein anderes Repository. Auf der Amazon Linux Security Center-Website gibt es derzeit eine Liste mit Hinweisen für jede Hauptversion von Amazon Linux, die nicht in Listen pro Repository unterteilt ist.

Da AL2 023 den Extras-Mechanismus nicht verwendet, um alternative Versionen von Paketen zu verpacken, gibt es derzeit nur zwei RPM-Repositorys, von denen jedes über Advisories verfügt: das Repository und das core Repository. livepatch Das livepatch Repository ist für. Kernel Live Patching auf 023 AL2

Zeitstempel für Erstellung und Aktualisierung der Empfehlung

Der Erstellungszeitstempel für Amazon Linux-Advisories liegt in der Regel in der Nähe des Veröffentlichungszeitpunkts des Advisories, aber das ist nicht überall der Fall. Der Aktualisierungszeitstempel ist ähnlich, und die Paket-Repositorys und die Amazon Linux Security Center-Website werden möglicherweise nicht synchron aktualisiert, da neue Informationen verfügbar sind.

Ein (relativ) häufiger Fall, in dem die Zeitstempel von Advisories möglicherweise nicht exakt mit dem Zeitpunkt übereinstimmen, zu dem das Advisory veröffentlicht wurde, ist der Fall, dass zwischen den Inhalten der Advisories und dem RPM-Repository, die gerade erstellt wurden, und dem Zeitpunkt, zu dem sie veröffentlicht wurden, eine längere Lücke bestand.

Es sollten keine Annahmen zwischen der Versionsnummer AL2 023 (z. B. 2023.6.20241031) und den Zeitstempeln für die Erstellung/Aktualisierung der zusammen mit dieser Version veröffentlichten Advisories getroffen werden.

Arten von Ratschlägen

Die Metadaten des RPM-Repositorys unterstützen Advisories verschiedener Typen. Amazon Linux hat zwar fast überall nur Advisories herausgegeben, bei denen es sich um Sicherheitsupdates handelt, aber davon sollte nicht ausgegangen werden. Es ist möglich, dass Ankündigungen für Ereignisse wie Bugfixes, Verbesserungen und neue Pakete herausgegeben werden und dass die Empfehlung so gekennzeichnet ist, dass sie diese Art von Update enthält.

Schweregrade der Empfehlung

Jede Empfehlung hat ihren eigenen Schweregrad, da jedes Problem separat bewertet wird. In einem einzigen Advisory CVEs können mehrere behandelt werden, und jeder CVE kann eine andere Bewertung haben, aber das Advisory selbst hat einen Schweregrad. Es kann mehrere Advisories geben, die sich auf ein einzelnes Paket-Update beziehen, sodass es für ein bestimmtes Paket-Update mehrere Schweregrade geben kann (einer pro Advisory).

In der Reihenfolge des abnehmenden Schweregrads hat Amazon Linux Kritisch, Wichtig, Moderat und Niedrig verwendet, um den Schweregrad einer Empfehlung anzugeben. Amazon Linux Advisories haben möglicherweise auch keinen Schweregrad, obwohl dieser äußerst selten vorkommt.

Amazon Linux ist eine der RPM-basierten Linux-Distributionen, die den Begriff Moderat verwendet, während einige andere RPM-basierte Linux-Distributionen den entsprechenden Begriff Medium verwenden. Der Amazon Linux-Paketmanager behandelt beide Begriffe als gleichwertig, und Paket-Repositorys von Drittanbietern können den Begriff Medium verwenden.

Amazon Linux-Advisories können den Schweregrad im Laufe der Zeit ändern, wenn mehr über die relevanten Probleme, die in der Empfehlung behandelt wurden, bekannt ist.

Der Schweregrad einer Empfehlung entspricht in der Regel dem höchsten von Amazon Linux bewerteten CVSS-Score für das, CVEs auf das die Empfehlung verweist. Es kann Fälle geben, in denen dies nicht der Fall ist. Ein Beispiel wäre, wenn ein Problem behoben wird, für das kein CVE zugewiesen wurde.

Weitere Informationen darüber, wie Amazon Linux die Schweregrade von Advisory verwendet, finden Sie in den häufig gestellten Fragen zu ALAS.

Ratgeber und Pakete

Für ein einzelnes Paket kann es viele Advisories geben, und nicht für alle Pakete wird jemals ein Advisory veröffentlicht. Auf eine bestimmte Paketversion kann in mehreren Advisories verwiesen werden, von denen jedes seinen eigenen Schweregrad und hat. CVEs

Es ist möglich, dass mehrere Advisories für dasselbe Paket-Update gleichzeitig in einer neuen Version AL2 023 oder schnell hintereinander veröffentlicht werden.

Wie bei anderen Linux-Distributionen kann es ein bis viele verschiedene Binärpakete geben, die aus demselben Quellpaket erstellt wurden. Beispielsweise ist ALAS-2024-698 eine Empfehlung, die im Abschnitt AL2 023 der Amazon Linux Security Center-Website als für das Paket relevant aufgeführt ist. mariadb105 Dies ist der Name des Quellpakets, und das Advisory selbst bezieht sich neben dem Quellpaket auch auf die Binärpakete. In diesem Fall werden über ein Dutzend Binärpakete aus einem mariadb105 Quellpaket erstellt. Es ist zwar sehr üblich, dass es ein Binärpaket mit demselben Namen wie das Quellpaket gibt, aber das ist nicht universal.

Obwohl Amazon Linux Advisories in der Regel alle Binärpakete aufgelistet haben, die aus dem aktualisierten Quellpaket erstellt wurden, sollte davon nicht ausgegangen werden. Der Paketmanager und das RPM-Repository-Metadatenformat ermöglichen Advisories, die eine Teilmenge der aktualisierten Binärpakete auflisten.

Ein bestimmter Hinweis kann auch nur für eine bestimmte CPU-Architektur gelten. Es kann Pakete geben, die nicht für alle Architekturen erstellt wurden, oder Probleme, die nicht alle Architekturen betreffen. Für den Fall, dass ein Paket auf allen Architekturen verfügbar ist, ein Problem aber nur für eine auftritt, hat Amazon Linux in der Regel kein Advisory herausgegeben, das nur auf die betroffene Architektur verweist, obwohl davon nicht ausgegangen werden sollte.

Aufgrund der Art der Paketabhängigkeiten ist es üblich, dass ein Advisory auf ein Paket verweist, aber die Installation dieses Updates erfordert andere Paket-Updates, einschließlich Pakete, die nicht in der Empfehlung aufgeführt sind. Der dnf Paketmanager kümmert sich um die Installation der erforderlichen Abhängigkeiten.

Ratschläge und CVEs

Ein Advisory kann keine oder mehrere Advisories adressieren CVEs, und es kann mehrere Advisories geben, die sich auf dasselbe CVE beziehen.

Ein Beispiel dafür, wann ein Advisory auf Null verweisen kann, CVEs ist, wenn dem Problem noch kein CVE (oder noch nie) zugewiesen wurde.

Ein Beispiel dafür, dass mehrere Advisories auf denselben CVE verweisen können, wenn der CVE (zum Beispiel) für mehrere Pakete gilt. Beispielsweise gilt CVE-2024-21208 für Corretto 8, 11, 17 und 21. Jede dieser Corretto-Versionen ist ein separates Paket in AL2 023, und für jedes dieser Pakete gibt es ein Advisory: ALAS-2024-754 für Corretto 8, ALAS-2024-753 für Corretto 11, ALAS-2024-752für Corretto 17 und ALAS-2024-752 für Corretto 21. Diese Corretto-Versionen haben zwar alle dieselbe Liste von CVEs, dies sollte jedoch nicht davon ausgegangen werden.

Ein bestimmter CVE kann für verschiedene Pakete unterschiedlich bewertet werden. Wenn beispielsweise in einem Advisory mit dem Schweregrad Wichtig auf ein bestimmtes CVE verwiesen wird, ist es möglich, dass ein anderes Advisory herausgegeben wird, das sich auf denselben CVE mit einem anderen Schweregrad bezieht.

Die Metadaten des RPM-Repositorys ermöglichen eine Referenzliste für jedes Advisory. Während Amazon Linux in der Regel nur referenziert hat CVEs, ermöglicht das Metadatenformat auch andere Referenztypen.

Auf die Metadaten des RPM-Paket-Repositorys wird nur verwiesen, CVEs wenn ein Fix verfügbar ist. Der Abschnitt Erkunden der Amazon Linux Security Center-Website enthält Informationen zu den Informationen CVEs , die Amazon Linux bewertet hat. Diese Bewertung kann zu einer CVSS-Basisbewertung, einem Schweregrad und einem Status für verschiedene Amazon Linux-Versionen und -Pakete führen. Der Status eines CVE für eine bestimmte Amazon Linux-Version oder ein bestimmtes Paket kann „Nicht betroffen“, „Ausstehende Korrektur“ oder „Kein Fix geplant“ lauten. Der Status und die Bewertung von CVEs können sich vor der Veröffentlichung einer Empfehlung mehrfach und in beliebiger Weise ändern. Dies beinhaltet eine Neubewertung der Anwendbarkeit eines CVE auf Amazon Linux.

Die Liste der Personen, auf die in einer Empfehlung CVEs verwiesen wird, kann sich nach der ersten Veröffentlichung dieser Empfehlung ändern.

Text des Hinweises

Ein Hinweis wird auch einen Text enthalten, der das Problem oder die Probleme beschreibt, die der Grund für die Erstellung des Ratgebers waren. Es ist üblich, dass es sich bei diesem Text um den unveränderten CVE-Text handelt. Dieser Text kann sich auf Upstream-Versionsnummern beziehen, für die ein Fix verfügbar ist, die sich von der Paketversion unterscheiden, auf die Amazon Linux einen Fix angewendet hat. Es ist üblich, dass Amazon Linux Fixes aus neueren Upstream-Versionen zurückportiert. Falls im Text der Ankündigung eine Upstream-Version erwähnt wird, die sich von der Version unterscheidet, die in einer Amazon Linux-Version ausgeliefert wurde, gelten die Amazon Linux-Paketversionen in der Empfehlung für Amazon Linux.

Es ist möglich, dass der Hinweistext in den Metadaten des RPM-Repositorys Platzhaltertext ist, der lediglich auf die Amazon Linux Security Center-Website verweist, um weitere Informationen zu erhalten.

Kernel Live Patch Advisories

Ankündigungen für Live-Patches sind insofern einzigartig, als sie sich auf ein anderes Paket (den Linux-Kernel) beziehen als das Paket, gegen das sich die Ankündigung richtet (z. B.kernel-livepatch-6.1.15-28.43).

Eine Empfehlung für einen Kernel-Live-Patch bezieht sich auf die Probleme (z. B. CVEs), die das jeweilige Live-Patch-Paket für die spezifische Kernel-Version, für die das Live-Patch-Paket gilt, beheben kann.

Jeder Live-Patch bezieht sich auf eine bestimmte Kernel-Version. Um einen Live-Patch für eine CVE anzuwenden, muss das richtige Live-Patch-Paket für Ihre Kernel-Version installiert und der Live-Patch angewendet werden.

Zum Beispiel kann CVE-2023-6111 für 023-Kernelversionen,, und live gepatcht werden. AL2 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Eine neue Kernelversion mit einem Fix für dieses CVE wurde ebenfalls veröffentlicht, für die es eine separate Empfehlung gibt. Damit CVE-2023-6111 auf AL2 023 adressiert werden kann, muss entweder eine Kernelversion ausgeführt werden, die der Angabe von ALAS2023-2023-461 entspricht oder später ist, oder es muss eine der Kernelversionen mit einem Live-Patch für dieses CVE ausgeführt werden, wobei der entsprechende Livepatch angewendet wurde.

Wenn neue Live-Patches für eine bestimmte Kernel-Version verfügbar sind, für die bereits ein Live-Patch verfügbar ist, wird eine neue Version des Pakets veröffentlicht. kernel-livepatch-KERNEL_VERSION Zum Beispiel, das ALASLIVEPATCH-2023-003Eine Empfehlung wurde zusammen mit dem kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 Paket herausgegeben, das Live-Patches für den 6.1.15-28.43 Kernel enthielt, die drei Patches abdeckten CVEs. Später, der ALASLIVEPATCH-2023-009Zusammen mit dem kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 Paket wurde eine Empfehlung herausgegeben; ein Update des vorherigen Live-Patch-Pakets für den 6.1.15-28.43 Kernel, das Live-Patches für drei weitere enthält CVEs. Es gab auch andere Probleme mit Live-Patch-Advisories für andere Kernel-Versionen, wobei Pakete Live-Patches für diese spezifischen Kernel-Versionen enthielten.

Weitere Informationen zum Live-Patchen des Kernels finden Sie unter. Kernel Live Patching auf 023 AL2

Allen, die Tools rund um Sicherheitsempfehlungen entwickeln, wird außerdem empfohlen, diesen XML-Schema für Sicherheitshinweise und updateinfo.xml Abschnitt für weitere Informationen zu lesen.

XML-Schema für Sicherheitshinweise und updateinfo.xml

Die updateinfo.xml Datei ist Teil des Paket-Repository-Formats. Es sind die Metadaten, die der dnf Paketmanager analysiert, um Funktionen wie Liste der zutreffenden Hinweise und Direktes Anwenden von Sicherheitsupdates zu implementieren.

Wir haben empfohlen, die API des dnf Paketmanagers zu verwenden, anstatt benutzerdefinierten Code zu schreiben, um die Metadatenformate des Repositorys zu analysieren. Die Version von dnf in AL2 023 kann sowohl das AL2 023- als auch das AL2 Repository-Format analysieren, sodass die API verwendet werden kann, um Beratungsinformationen für beide Betriebssystemversionen zu überprüfen.

Das RPM-Softwaremanagement-Projekt dokumentiert die RPM-Metadatenformate im RPM-Metadaten-Repository unter. GitHub

Denjenigen, die Tools zur direkten Analyse der updateinfo.xml Metadaten entwickeln, wird dringend empfohlen, die RPM-Metadaten-Dokumentation sorgfältig zu lesen. Die Dokumentation behandelt, was in freier Wildbahn beobachtet wurde, und enthält viele Ausnahmen von dem, was Sie vernünftigerweise als Regel für das Metadatenformat interpretieren könnten.

Es gibt auch eine wachsende Anzahl von Beispielen aus der realen Welt für updateinfo.xml Dateien im raw-historical-rpm-repository-examples-Repository unter. GitHub

Falls in der Dokumentation etwas unklar ist, können Sie ein Problem im GitHub Projekt eröffnen, damit wir die Frage beantworten und die Dokumentation entsprechend aktualisieren können. Da es sich um Open-Source-Projekte handelt, sind auch Pull-Requests zur Aktualisierung der Dokumentation willkommen.