Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Malgré nos efforts constants pour sécuriser Amazon Linux, des problèmes de sécurité exigeront parfois l'application d'un correctif. Un avis est émis lorsqu'un correctif est disponible. Le principal site où nous publions les avis est le Amazon Linux Security Center (ALAS). Pour plus d'informations, consultez Centre de sécurité Amazon Linux
Important
Si vous souhaitez signaler une vulnérabilité ou si vous avez un problème de sécurité concernant les services AWS cloud ou les projets open source, contactez le service de AWS sécurité via la page de signalement des vulnérabilités
Les informations sur les problèmes et les mises à jour pertinentes qui affectent la AL2 version 023 sont publiées par l'équipe Amazon Linux à plusieurs endroits. Souvent, les outils de sécurité récupèrent ces informations à partir de ces sources principales et vous présentent les résultats. Il se peut donc que vous n'interagissiez pas directement avec les sources principales publiées par Amazon Linux, mais plutôt avec l'interface fournie par votre outil préféré, tel qu'Amazon Inspector.
Annonces relatives au centre de sécurité Amazon Linux
Les annonces Amazon Linux sont fournies pour les articles qui ne rentrent pas dans un avis. Cette section contient des annonces concernant ALAS elle-même, ainsi que des informations qui ne rentrent pas dans un avis. Pour plus d'informations, consultez les annonces du Amazon Linux Security Center (ALAS)
Par exemple, l'annonce 2021-001 - Amazon Linux Hotpatch pour Apache Log4j
L'explorateur CVE du centre de sécurité Amazon Linux
Questions fréquemment posées sur le centre de sécurité Amazon Linux
Pour obtenir des réponses aux questions fréquemment posées sur ALAS et sur la manière dont Amazon Linux l'évalue CVEs, consultez les questions fréquemment posées sur Amazon Linux Security Center (ALAS) (FAQs)
Avis ALAS
Un avis Amazon Linux contient des informations importantes concernant les utilisateurs d'Amazon Linux, généralement des informations sur les mises à jour de sécurité. Le centre de sécurité Amazon Linux
Avis et référentiels RPM
Un référentiel de packages Amazon Linux 2023 peut contenir des métadonnées décrivant zéro ou plusieurs mises à jour. La dnf updateinfo commande est nommée d'après le nom du fichier des métadonnées du référentiel qui contient ces informations,updateinfo.xml. Bien que la commande soit nommée updateinfo et que le fichier de métadonnées fasse référence à unupdate, elles font toutes référence à des mises à jour de package qui font partie d'un avis.
Les avis Amazon Linux sont publiés sur le site Web Amazon Linux Security Centerdnf packages fait référence. Les métadonnées du site Web et du référentiel sont finalement cohérentes, et il peut y avoir des incohérences dans les informations sur le site Web et dans les métadonnées du référentiel. Cela se produit généralement lorsqu'une nouvelle version de AL2 023 est en cours de publication, un avis a été mis à jour après la dernière version AL2 023.
Bien qu'un nouvel avis soit généralement publié parallèlement à la mise à jour du package pour résoudre le problème, ce n'est pas toujours le cas. Un avis peut être créé pour un nouveau problème qui est résolu dans des packages déjà publiés. Un avis existant peut également être mis à jour avec de nouveaux avis CVEs qui sont traités par la mise à jour existante.
La Mises à niveau déterministes via des référentiels versionnés en version 2023 AL2 fonctionnalité d'Amazon Linux 2023 signifie que le référentiel RPM d'une version AL2 023 particulière contient un instantané des métadonnées du référentiel RPM à partir de cette version. Cela inclut les métadonnées décrivant les mises à jour de sécurité. Le référentiel RPM pour une version AL2 023 particulière n'est pas mis à jour après la publication. Les avis de sécurité nouveaux ou mis à jour ne seront pas visibles lors de l'examen d'une ancienne version des référentiels AL2 023 tr/min. Reportez-vous à la Liste des avis applicables section expliquant comment utiliser le gestionnaire de dnf packages pour examiner la version du latest référentiel ou une version AL2 023 spécifique.
consultatif IDs
Chaque avis est désigné par unid. C'est actuellement une bizarrerie d'Amazon Linux : le site Web d'Amazon Linux Security Center affichednf packages indique que cet avis porte l'ID 023-2024-581. ALAS2 Lorsque Appliquer les mises à jour de sécurité sur place l'ID du gestionnaire de packages doit être utilisé pour faire référence à un avis spécifique.
Pour Amazon Linux, chaque version majeure du système d'exploitation possède son propre espace de noms Advisory IDs. Aucune hypothèse ne doit être émise quant au format d'Amazon Linux Advisory IDs. Historiquement, Amazon Linux Advisory IDs a suivi le modèle deNAMESPACE-YEAR-NUMBER. La gamme complète des valeurs possibles pour n'NAMESPACEest pas définie, mais inclut ALASALASCORRETTO8,ALAS2023,ALAS2,ALASPYTHON3.8, etALASUNBOUND-1.17. YEARIl s'agit de l'année de création de l'avis et du fait qu'il s'NUMBERagit d'un entier unique dans l'espace de noms.
Bien qu'Advisory IDs soit généralement séquentiel et dans l'ordre dans lequel les mises à jour sont publiées, il existe de nombreuses raisons pour lesquelles cela ne pourrait pas être le cas. Il ne faut donc pas le supposer.
Traitez l'ID d'avis comme une chaîne opaque propre à chaque version majeure d'Amazon Linux.
Dans Amazon Linux 2, chaque Extra se trouvait dans un référentiel RPM distinct, et les métadonnées Advisory sont contenues uniquement dans le référentiel auquel elles sont pertinentes. Un avis relatif à un dépôt ne s'applique pas à un autre dépôt. Sur le site Web d'Amazon Linux Security Center
Comme AL2 023 n'utilise pas le mécanisme Extras pour empaqueter des versions alternatives de packages, il n'existe actuellement que deux référentiels RPM, chacun contenant des Advisories, le core référentiel et le référentiel. livepatch Le livepatch référentiel est destiné àKernel Live Patching en 2023 AL2.
Horodatages de création et de mise à jour des conseils
L'horodatage de création d'Amazon Linux Advisories est généralement proche de la date de publication de l'avis, mais ce n'est pas toujours le cas. L'horodatage des mises à jour est similaire, et il est possible que les référentiels de packages et le site Web d'Amazon Linux Security Center
Un cas (relativement) courant où les horodatages de l'avis peuvent ne pas correspondre exactement à la date de publication de l'avis est celui où l'intervalle entre les avis et le contenu du référentiel RPM en cours de préparation et le moment où ils ont été mis en ligne est plus long.
Aucune hypothèse ne doit être faite entre le numéro de version AL2 023 (par exemple 2023.6.20241031) et les horodatages de création/mise à jour des avis publiés parallèlement à cette version.
Types de conseils
Les métadonnées du référentiel RPM prennent en charge différents types d'avis. Bien qu'Amazon Linux n'ait presque universellement publié que des avis qui sont des mises à jour de sécurité, cela ne doit pas être supposé. Il est possible que des avis concernant des événements tels que des corrections de bogues, des améliorations et de nouveaux packages soient publiés, et que l'avis soit marqué comme contenant ce type de mise à jour.
Sévérité des conseils
Chaque avis a sa propre gravité, car chaque problème est évalué séparément. Plusieurs CVEs points peuvent être traités dans un seul avis, et chaque CVE peut faire l'objet d'une évaluation différente, mais l'avis lui-même a une gravité. Plusieurs avis peuvent faire référence à une seule mise à jour de package. Il peut donc y avoir plusieurs niveaux de sévérité pour une mise à jour de package donnée (un par avis).
Par ordre de gravité décroissant, Amazon Linux a utilisé Critique, Important, Modéré et Faible pour indiquer le niveau de gravité d'un avis. Les avis Amazon Linux peuvent également ne pas avoir de niveau de gravité, bien que cela soit extrêmement rare.
Amazon Linux est l'une des distributions Linux basées sur RPM qui utilise le terme Moderate, tandis que d'autres distributions Linux basées sur RPM utilisent le terme équivalent Medium. Le gestionnaire de packages Amazon Linux traite les deux termes comme équivalents, et les référentiels de packages tiers peuvent utiliser le terme Medium.
La gravité des avis Amazon Linux peut changer au fil du temps au fur et à mesure que nous en apprendrons davantage sur les problèmes pertinents abordés dans l'avis.
La sévérité d'un avis correspond généralement au score CVSS le plus élevé évalué par Amazon Linux pour le CVEs niveau référencé par l'avis. Il se peut que ce ne soit pas le cas dans certains cas. Un exemple serait lorsqu'un problème est résolu pour lequel aucun CVE n'est attribué.
Consultez la FAQ ALAS
Conseils et forfaits
Il peut y avoir de nombreux avis pour un seul package, et un avis ne sera jamais publié pour tous les packages. Une version de package particulière peut être référencée dans plusieurs avis, chacun ayant ses propres niveaux de gravité et CVEs.
Il est possible que plusieurs avis relatifs à la même mise à jour de package soient publiés simultanément dans une nouvelle version AL2 023, ou en succession rapide.
Comme les autres distributions Linux, il peut y avoir un ou plusieurs paquets binaires différents créés à partir du même paquet source. Par exemple, l'ALAS-2024-698mariadb105 Il s'agit du nom du paquet source, et l'avis lui-même fait référence aux paquets binaires associés au paquet source. Dans ce cas, plus d'une douzaine de paquets binaires sont créés à partir d'un seul paquet mariadb105 source. Bien qu'il soit extrêmement courant qu'un paquet binaire porte le même nom que le package source, cela n'est pas universel.
Bien qu'Amazon Linux Advisories répertorie généralement tous les packages binaires créés à partir du package source mis à jour, cela ne doit pas être supposé. Le gestionnaire de packages et le format de métadonnées du référentiel RPM autorisent les avis qui répertorient un sous-ensemble des packages binaires mis à jour.
Un avis spécifique peut également s'appliquer uniquement à une architecture de processeur particulière. Il peut y avoir des packages qui ne sont pas conçus pour toutes les architectures ou des problèmes qui n'affectent pas toutes les architectures. Dans le cas où un package est disponible sur toutes les architectures mais qu'un problème ne concerne qu'une seule, Amazon Linux n'a généralement pas publié d'avis faisant uniquement référence à l'architecture affectée, bien que cela ne doive pas être supposé.
En raison de la nature des dépendances entre les packages, il est courant qu'un avis fasse référence à un package, mais l'installation de cette mise à jour nécessitera d'autres mises à jour de package, y compris des packages qui ne sont pas répertoriés dans l'avis. Le gestionnaire de dnf packages s'occupera de l'installation des dépendances requises.
Avis et CVEs
Un avis peut porter sur zéro ou plus CVEs, et plusieurs avis peuvent faire référence au même CVE.
Par exemple, un avis peut faire référence à zéro CVEs lorsqu'aucun CVE n'est encore (ou jamais) attribué au problème.
Exemple de cas où plusieurs avis peuvent faire référence au même CVE lorsque (par exemple) le CVE s'applique à plusieurs packages. Par exemple, CVE-2024-21208
Un CVE particulier peut être évalué différemment selon les packages. Par exemple, si une CVE particulière est référencée dans un avis avec une gravité d'importance, il est possible qu'un autre avis soit émis faisant référence à la même CVE avec une gravité différente.
Les métadonnées du référentiel RPM permettent d'obtenir une liste de références pour chaque avis. Bien qu'Amazon Linux n'utilise généralement que des références CVEs, le format des métadonnées autorise d'autres types de référence.
Les métadonnées du référentiel de packages RPM ne seront CVEs référencées que si un correctif est disponible. La section Explore du site Web Amazon Linux Security Center
La liste des personnes CVEs référencées par un avis peut changer après la publication initiale de cet avis.
Texte consultatif
Un avis contiendra également un texte décrivant le ou les problèmes à l'origine de la création de l'avis. Il est courant que ce texte soit le texte CVE non modifié. Ce texte peut faire référence à des numéros de version en amont où un correctif est disponible, différents de la version du package à laquelle Amazon Linux a appliqué un correctif. Il est courant qu'Amazon Linux réoriente les correctifs à partir des nouvelles versions en amont. Dans le cas où le texte de l'avis mentionne une version en amont différente de la version fournie dans une version Amazon Linux, les versions du package Amazon Linux indiquées dans l'avis seront exactes pour Amazon Linux.
Il est possible que le texte d'avertissement figurant dans les métadonnées du référentiel RPM soit un texte d'espace réservé, en se référant simplement au site Web d'Amazon Linux Security Center
Avis relatifs aux correctifs Kernel Live
Les avis relatifs aux correctifs actifs sont uniques en ce sens qu'ils font référence à un package différent (le noyau Linux) de celui visé par l'avis (par exemplekernel-livepatch-6.1.15-28.43).
Un avis pour un correctif dynamique du noyau fera référence aux problèmes (tels que CVEs) que le package Live Patch en question peut résoudre pour la version du noyau à laquelle s'applique le package Live Patch.
Chaque patch actif est destiné à une version spécifique du noyau. Pour appliquer un correctif dynamique à un CVE, il faut installer le package de correctif dynamique adapté à la version de votre noyau et appliquer le correctif dynamique.
Par exemple, CVE-2023-61116.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Une nouvelle version du noyau contenant un correctif pour ce CVE a également été publiée et comporte un avis distinct
Lorsque de nouveaux patchs dynamiques sont disponibles pour une version spécifique du noyau pour laquelle un correctif actif est déjà disponible, une nouvelle version du kernel-livepatch-KERNEL_VERSION package est publiée. Par exemple, les recettes ALASLIVEPATCH-2023-003kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 package qui contenait des correctifs actifs pour le 6.1.15-28.43 noyau, couvrant trois d'entre eux CVEs. Plus tard, le ALASLIVEPATCH-2023-009kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 package ; il s'agit d'une mise à jour du package Live Patch précédent pour le 6.1.15-28.43 noyau contenant des Live Patch pour trois autres CVEs. D'autres problèmes liés aux alertes de mise à jour en direct se sont également produits pour d'autres versions du noyau, avec des packages contenant des correctifs dynamiques pour ces versions spécifiques du noyau.
Pour plus d'informations sur la mise à jour dynamique du noyau, consultezKernel Live Patching en 2023 AL2.
Pour toute personne développant des outils autour des avis de sécurité, il est également recommandé de consulter la Schéma XML pour les avis et updateinfo.xml section pour plus d'informations.
Schéma XML pour les avis et updateinfo.xml
Le updateinfo.xml fichier fait partie du format du référentiel de packages. Il s'agit des métadonnées que le gestionnaire de dnf packages analyse pour implémenter des fonctionnalités telles que Liste des avis applicables etAppliquer les mises à jour de sécurité sur place.
Nous avons recommandé d'utiliser l'API du gestionnaire de dnf packages plutôt que d'écrire du code personnalisé pour analyser les formats de métadonnées du référentiel. La version de dnf in AL2 023 peut analyser à la fois le format AL2 023 et le format de AL2 référentiel, et l'API peut donc être utilisée pour examiner les informations consultatives pour l'une ou l'autre version du système d'exploitation.
Le projet RPM Software Management
Pour ceux qui développent des outils pour analyser directement les updateinfo.xml métadonnées, il est fortement conseillé de porter une attention particulière à la documentation des métadonnées du fichier rpm-metadata
Il existe également un nombre croissant d'exemples concrets de updateinfo.xml fichiers dans le référentiel raw-historical-rpm-repository-examples
Si quelque chose n'est pas clair dans la documentation, vous pouvez ouvrir un problème sur le GitHub projet afin que nous puissions répondre à la question et mettre à jour la documentation de manière appropriée. En tant que projets Open Source, les pull requests mettant à jour la documentation sont également les bienvenues.
