Avisos de seguridad de Amazon Linux para 2013 AL2 - Amazon Linux 2023
Anuncios en ALAS¡ALAS FAQsAvisos de ALASAvisos y repositorios de RPMAsesoramiento IDsMarcas horarias de creación y actualización de avisosTipos de asesoramientoGravedades del avisoAvisos y paquetesAvisos y CVEsTexto consultivoAvisos de parches de Kernel Liveesquema updateinfo.xml

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Avisos de seguridad de Amazon Linux para 2013 AL2

Aunque nos esforzamos por garantizar la seguridad de Amazon Linux, en ocasiones aparecerán problemas de seguridad que deberán solucionarse. Se emite un aviso cuando hay una solución disponible. La ubicación principal en la que publicamos los avisos es el Amazon Linux Security Center (ALAS). Para obtener más información, consulte Centro de seguridad de Amazon Linux.

importante

Si desea informar sobre una vulnerabilidad o tiene algún problema de seguridad relacionado con los servicios en la AWS nube o los proyectos de código abierto, póngase en contacto con el departamento de AWS seguridad a través de la página de informes de vulnerabilidades

El equipo de Amazon Linux publica información sobre los problemas y las actualizaciones relevantes que afectan a AL2 023 en varios lugares. Es habitual que las herramientas de seguridad obtengan información de estos orígenes principales y le presenten los resultados. Por lo tanto, es posible que no interactúe directamente con las fuentes principales que publica Amazon Linux, sino con la interfaz proporcionada por su herramienta preferida, como Amazon Inspector.

Anuncios sobre Amazon Linux Security Center

Los anuncios de Amazon Linux se proporcionan para artículos que no caben en un aviso. Esta sección contiene anuncios sobre el propio ALAS, junto con información que no cabe en un aviso. Para obtener más información, consulte Anuncios de Amazon Linux Security Center (ALAS).

Por ejemplo, el anuncio del hotpatch de Amazon Linux para Apache Log4j en 2021-001 cabía más como un anuncio que como un aviso. En este anuncio, Amazon Linux agregó un paquete para ayudar a los clientes a mitigar un problema de seguridad en el software que no formaba parte de Amazon Linux.

El explorador CVE de Amazon Linux Security Center también se anunció en los anuncios de ALAS. Para obtener más información, consulte el nuevo sitio web de CVEs.

Preguntas frecuentes sobre Amazon Linux Security Center

Para obtener respuestas a algunas preguntas frecuentes sobre ALAS y sobre cómo evalúa Amazon Linux CVEs, consulte las Preguntas frecuentes sobre Amazon Linux Security Center (ALAS) (FAQs).

Avisos de ALAS

Un aviso de Amazon Linux contiene información importante relevante para los usuarios de Amazon Linux, normalmente información sobre actualizaciones de seguridad. El Centro de seguridad de Amazon Linux es el lugar donde están visibles los avisos en la web. La información de asesoramiento también forma parte de los metadatos del repositorio de paquetes RPM.

Avisos y repositorios de RPM

Un repositorio de paquetes de Amazon Linux 2023 puede contener metadatos que describan cero o más actualizaciones. El dnf updateinfo comando recibe el nombre del nombre del archivo de metadatos del repositorio que contiene esta informaciónupdateinfo.xml. Si bien el comando tiene un nombre updateinfo y el archivo de metadatos hace referencia a unupdate, todos se refieren a las actualizaciones de paquetes que forman parte de un aviso.

Los avisos de Amazon Linux se publican en el sitio web de Amazon Linux Security Center, junto con la información que se encuentra en los metadatos del repositorio RPM a los que hace referencia el administrador de dnf paquetes. Con el tiempo, los metadatos del sitio web y del repositorio son consistentes, y es posible que haya inconsistencias en la información del sitio web y en los metadatos del repositorio. Esto suele ocurrir cuando se está publicando una nueva versión de AL2 023. Se ha producido una actualización de un aviso después de la última AL2 versión de 023.

Si bien es habitual que se publique un nuevo aviso junto con la actualización del paquete para solucionar el problema, no siempre es así. Se puede crear un aviso para un problema nuevo que se aborde en paquetes ya publicados. Un aviso existente también puede actualizarse con otros nuevos CVEs que se aborden en la actualización existente.

La Actualizaciones deterministas a través de repositorios versionados en 023 AL2 función de Amazon Linux 2023 significa que el repositorio RPM de una versión AL2 023 concreta contiene una instantánea de los metadatos del repositorio RPM de esa versión. Esto incluye los metadatos que describen las actualizaciones de seguridad. El repositorio RPM de una versión AL2 023 concreta no se actualiza después de la publicación. Los avisos de seguridad nuevos o actualizados no estarán visibles al consultar una versión anterior de los repositorios RPM de la AL2 023. Consulte la Listado de avisos aplicables sección sobre cómo usar el administrador de dnf paquetes para ver la versión del latest repositorio o una versión 023 específica AL2.

Asesoramiento IDs

Cada aviso se denominaid. Actualmente, es una peculiaridad de Amazon Location Service, donde el sitio web del Amazon Linux Security Center incluye un aviso como ALAS-2024-581, mientras que el administrador de dnf paquetes indica que ese aviso tiene el identificador 023-2024-581. ALAS2 Cuándo es necesario usar Aplicación de actualizaciones de seguridad in situ el ID del administrador de paquetes si se hace referencia a un aviso específico.

En el caso de Amazon Location Service, cada versión principal del sistema operativo tiene su propio espacio de nombres, Advisory. IDs No se deben hacer suposiciones en cuanto al formato del aviso de Amazon Linux IDs. Históricamente, Amazon Linux Advisory IDs ha seguido el patrón deNAMESPACE-YEAR-NUMBER. El rango completo de valores posibles para no NAMESPACE está definido, pero incluye ALASALASCORRETTO8, ALAS2023ALAS2,ALASPYTHON3.8, yALASUNBOUND-1.17. YEARHa sido el año en que se creó el aviso y NUMBER se trata de un entero único dentro del espacio de nombres.

Si bien el aviso IDs suele ser secuencial y en el orden en que se publican las actualizaciones, hay muchas razones por las que no puede ser así, por lo que no se debe dar por sentado.

Trate el Advisory ID como una cadena opaca que es exclusiva de cada versión principal de Amazon Linux.

En Amazon Linux 2, cada Extra estaba en un repositorio RPM independiente y los metadatos de Advisory se encuentran únicamente en el repositorio para el que son relevantes. Un aviso para un repositorio no se aplica a otro repositorio. En el sitio web de Amazon Linux Security Center, actualmente hay una lista de avisos para cada versión principal de Amazon Linux y no está separada en listas por repositorio.

Como AL2 023 no utiliza el mecanismo Extras para empaquetar versiones alternativas de paquetes, actualmente solo hay dos repositorios RPM, cada uno de los cuales tiene asesorías: el repositorio y el core repositorio. livepatch El livepatch repositorio es para. Parcheo en vivo del kernel en 023 AL2

Marcas horarias de creación y actualización de avisos

La fecha de creación de las asesorías de Amazon Linux suele ser cercana a la fecha en que se publicó la asesoría, pero este no es el caso de manera universal. La fecha y hora de la actualización es similar y es posible que los repositorios de paquetes y el sitio web de Amazon Linux Security Center no se actualicen de forma sincronizada a medida que haya nueva información disponible.

Un caso (relativamente) común en el que las marcas horarias de los avisos pueden no coincidir exactamente con el momento en que se publicó el aviso es cuando hubo un intervalo mayor entre los avisos y el contenido del repositorio RPM que se estaban preparando y el momento en que se publicaron.

No se debe hacer ninguna suposición entre el número de la versión AL2 023 (por ejemplo, la 2023.6.20241031) y las fechas de creación o actualización de los avisos publicados junto con esa versión.

Tipos de asesoramiento

Los metadatos del repositorio RPM admiten avisos de diferentes tipos. Si bien Amazon Linux ha publicado casi universalmente solo avisos que son actualizaciones de seguridad, no se debe dar por sentado esto. Es posible que se publiquen avisos sobre eventos tales como correcciones de errores, mejoras y paquetes nuevos, y que se marque que el aviso contiene ese tipo de actualización.

Gravedades del aviso

Cada aviso tiene su propia gravedad, ya que cada problema se evalúa por separado. Se CVEs pueden abordar varios casos en un solo aviso y cada CVE puede tener una evaluación diferente, pero el aviso en sí tiene una gravedad única. Puede haber varios avisos que se refieran a una única actualización de paquete, por lo que puede haber varios niveles de gravedad para una actualización de paquete concreta (uno por aviso).

En orden de gravedad decreciente, Amazon Linux ha utilizado Crítico, Importante, Moderado y Bajo para indicar la gravedad de un aviso. Es posible que los avisos de Amazon Linux tampoco tengan un nivel de gravedad, aunque esto es muy poco frecuente.

Amazon Linux es una de las distribuciones de Linux basadas en RPM que utiliza el término Moderado, mientras que otras distribuciones de Linux basadas en RPM utilizan el término equivalente Medium. El administrador de paquetes de Amazon Linux trata ambos términos como equivalentes y los repositorios de paquetes de terceros pueden usar el término Medium.

Los avisos de Amazon Linux pueden cambiar de gravedad con el tiempo a medida que se obtenga más información sobre los problemas relevantes abordados en el aviso.

Por lo general, la gravedad de un aviso registrará la puntuación CVSS más alta evaluada por Amazon Linux para la puntuación a la que CVEs hace referencia el aviso. Puede haber casos en los que no sea así. Un ejemplo sería cuando se aborde un problema para el que no se haya asignado un CVE.

Consulte las preguntas frecuentes de ALAS para obtener más información sobre cómo Amazon Linux utiliza los índices de gravedad de los avisos.

Avisos y paquetes

Puede haber muchos avisos para un solo paquete y no todos los paquetes tendrán nunca un aviso publicado para ellos. Se puede hacer referencia a una versión de paquete concreta en varios avisos, cada uno con su propia gravedad y. CVEs

Es posible que se publiquen varios avisos para la misma actualización de paquete de forma simultánea en una nueva versión de la versión AL2 0.23 o de forma sucesiva.

Al igual que otras distribuciones de Linux, puede haber uno o varios paquetes binarios diferentes creados a partir del mismo paquete fuente. Por ejemplo, ALAS-2024-698 es un aviso que aparece en la AL2sección 023 del sitio web de Amazon Linux Security Center como aplicable al paquete. mariadb105 Este es el nombre del paquete fuente, y el propio aviso hace referencia a los paquetes binarios que aparecen junto con el paquete fuente. En este caso, se crean más de una docena de paquetes binarios a partir de un único paquete mariadb105 fuente. Si bien es muy común que haya un paquete binario con el mismo nombre que el paquete fuente, esto no es universal.

Si bien los avisos de Amazon Linux suelen incluir todos los paquetes binarios creados a partir del paquete fuente actualizado, no se debe dar por sentado esto. El formato de metadatos del gestor de paquetes y del repositorio RPM permite que los avisos incluyan un subconjunto de los paquetes binarios actualizados.

Un aviso concreto también puede aplicarse únicamente a una arquitectura de CPU concreta. Puede haber paquetes que no estén diseñados para todas las arquitecturas o problemas que no afecten a todas las arquitecturas. En el caso de que un paquete esté disponible en todas las arquitecturas, pero el problema se aplique solo a una, Amazon Linux no suele emitir un aviso que haga referencia únicamente a la arquitectura afectada, aunque esto no debe suponerse.

Debido a la naturaleza de las dependencias de los paquetes, es común que un aviso haga referencia a un paquete, pero la instalación de esa actualización requerirá otras actualizaciones del paquete, incluidos los paquetes que no figuran en el aviso. El administrador de dnf paquetes se encargará de instalar las dependencias necesarias.

Avisos y CVEs

Un aviso puede abordar cero o más CVEs, y puede haber varios avisos que hagan referencia al mismo CVE.

Un ejemplo en el que un aviso puede hacer referencia a cero CVEs es cuando un CVE aún no está asignado (o nunca) a la emisión.

Un ejemplo en el que varios avisos pueden hacer referencia al mismo CVE cuando (por ejemplo) el CVE se aplica a varios paquetes. Por ejemplo, el CVE-2024-21208 se aplica a Corretto 8, 11, 17 y 21. Cada una de estas versiones de Corretto es un paquete independiente en el AL2 023 y hay un aviso para cada uno de estos paquetes: ALAS-2024-754 para el Corretto 8, ALAS-2024-753 para el Corretto 11, ALAS-2024-752 para el Corretto 17 y ALAS-2024-752 para el Corretto 21. Si bien todos estos lanzamientos de Corretto tienen la misma lista de CVEs, esto no debe asumirse.

Un CVE en particular se puede evaluar de manera diferente para diferentes paquetes. Por ejemplo, si en un aviso se hace referencia a un CVE concreto con una gravedad de importante, es posible que se emita otro aviso en el que se haga referencia al mismo CVE con una gravedad diferente.

Los metadatos del repositorio RPM permiten obtener una lista de referencias para cada aviso. Si bien Amazon Linux normalmente solo hace referencia CVEs, el formato de metadatos permite otros tipos de referencia.

Solo se hará referencia a los metadatos del repositorio de paquetes RPM CVEs cuando haya una corrección disponible. La sección Explore del sitio web del Centro de seguridad de Amazon Linux contiene información sobre CVEs lo que Amazon Linux ha evaluado. Esta evaluación puede dar como resultado una puntuación base CVSS, una gravedad y un estado para varias versiones y paquetes de Amazon Linux. El estado de un CVE para una versión o paquete de Amazon Linux en particular puede ser No afectado, Pendiente de corrección o Sin corrección planificada. El estado y la evaluación de CVEs pueden cambiar muchas veces y de cualquier forma antes de que se emita un aviso. Esto incluye la reevaluación de la aplicabilidad de un CVE a Amazon Linux.

La lista de CVEs referencias de un aviso puede cambiar después de la publicación inicial de ese aviso.

Texto consultivo

Un aviso también contendrá un texto que describa el problema o los problemas que motivaron su creación. Es habitual que este texto sea el texto del CVE sin modificaciones. Este texto puede hacer referencia a los números de versión anteriores en los que hay una corrección disponible y que son diferentes de la versión del paquete a la que Amazon Linux ha aplicado una corrección. Es habitual que Amazon Linux transfiera las correcciones de las versiones anteriores más recientes. En el caso de que el texto del aviso mencione una versión anterior diferente a la versión incluida en una versión de Amazon Linux, las versiones del paquete de Amazon Linux del aviso serán las correctas para Amazon Linux.

Es posible que el texto de asesoramiento de los metadatos del repositorio de RPM sea un texto de marcador de posición, simplemente consultando el sitio web de Amazon Linux Security Center para obtener más información.

Avisos de parches de Kernel Live

Los avisos de los parches activos son únicos en el sentido de que se refieren a un paquete diferente (el núcleo de Linux) del paquete en el que se basa el aviso (por ejemplokernel-livepatch-6.1.15-28.43).

Un aviso para un parche activo del núcleo hará referencia a los problemas (por ejemplo CVEs) que el paquete de parches activos en concreto puede solucionar con respecto a la versión específica del núcleo a la que se aplica el paquete de parches activos.

Cada parche activo es para una versión específica del núcleo. Para aplicar un parche activo a un CVE, es necesario instalar el paquete de parches activos adecuado para la versión del núcleo y aplicar el parche activo.

Por ejemplo, el CVE-2023-6111 puede ser parcheado en tiempo real para AL2 las versiones 023 del núcleo, y. 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 También se publicó una nueva versión del núcleo con una corrección para este CVE y tiene un aviso aparte. Para que el CVE-2023-6111 aparezca en la versión AL2 023, se debe ejecutar una versión del núcleo igual o posterior a la especificada en el ALAS2023-2023-461, o bien una de las versiones del núcleo con un parche activo para este CVE debe estar ejecutándose con el parche activo correspondiente.

Cuando hay nuevos parches activos disponibles para una versión específica del núcleo que ya tiene un parche activo disponible, se publica una nueva versión del paquete. kernel-livepatch-KERNEL_VERSION Por ejemplo, el ALASLIVEPATCH-2023-003Se publicó un aviso con el kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 paquete que contenía tres parches activos para el 6.1.15-28.43 núcleo CVEs. Más tarde, el ALASLIVEPATCH-2023-009Se publicó un aviso con el kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 paquete: una actualización del paquete de parches activos anterior para el 6.1.15-28.43 núcleo que contenía parches activos para otros tres CVEs. También había otros problemas con los avisos de parches activos para otras versiones del núcleo, con paquetes que contenían parches activos para esas versiones específicas del núcleo.

Para obtener más información sobre la aplicación de parches en tiempo real al núcleo, consulte. Parcheo en vivo del kernel en 023 AL2

Para cualquier persona que esté desarrollando herramientas en torno a los avisos de seguridad, también se recomienda consultar la Esquema XML para avisos y updateinfo.xml sección para obtener más información.

Esquema XML para avisos y updateinfo.xml

El updateinfo.xml archivo forma parte del formato del repositorio de paquetes. Son los metadatos que el administrador de dnf paquetes analiza para implementar funciones como Listado de avisos aplicables yAplicación de actualizaciones de seguridad in situ.

Recomendamos utilizar la API del administrador de dnf paquetes en lugar de escribir código personalizado para analizar los formatos de metadatos del repositorio. La versión AL2 023 puede analizar tanto el formato 023 como el AL2 de AL2 repositorio y, por lo tanto, la API se puede utilizar para examinar la información de asesoramiento de cualquier versión del sistema operativo. dnf

El proyecto RPM Software Management documenta los formatos de metadatos RPM del repositorio rpm-metadata en. GitHub

Para que los desarrolladores de herramientas puedan analizar directamente los updateinfo.xml metadatos, se recomienda encarecidamente prestar mucha atención a la documentación sobre los metadatos de los rpm-metadata. La documentación trata sobre lo que se ha visto de forma habitual, e incluye muchas excepciones a lo que se podría interpretar razonablemente como una norma relativa al formato de los metadatos.

También hay un conjunto cada vez mayor de ejemplos de updateinfo.xml archivos del mundo real en el repositorio raw-historical-rpm-repository-examples on. GitHub

En caso de que algo no quede claro en la documentación, puedes abrir una edición en el GitHub proyecto para que podamos responder a la pregunta y actualizar la documentación adecuadamente. Como proyectos de código abierto, también son bienvenidas las solicitudes de incorporación de información para actualizar la documentación.