Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penasihat Keamanan Amazon Linux untuk 023 AL2

Meskipun kami bekerja keras untuk membuat Amazon Linux aman, kadang-kadang akan ada masalah keamanan yang perlu diperbaiki. Penasihat dikeluarkan ketika perbaikan tersedia. Lokasi utama tempat kami mempublikasikan saran adalah Amazon Linux Security Center (ALAS). Untuk informasi selengkapnya, lihat Pusat Keamanan Amazon Linux.

Informasi tentang masalah dan pembaruan relevan yang memengaruhi AL2 023 diterbitkan oleh tim Amazon Linux di beberapa lokasi. Ini umum untuk alat keamanan untuk mengambil informasi dari sumber-sumber utama ini dan menyajikan hasilnya kepada Anda. Dengan demikian, Anda mungkin tidak berinteraksi langsung dengan sumber utama yang dipublikasikan Amazon Linux, melainkan antarmuka yang disediakan oleh perkakas pilihan Anda, seperti Amazon Inspector.

Pengumuman Pusat Keamanan Amazon Linux

Pengumuman Amazon Linux disediakan untuk item yang tidak sesuai dengan penasihat. Bagian ini berisi pengumuman tentang ALAS itu sendiri, bersama dengan informasi yang tidak sesuai dengan penasehat. Untuk informasi selengkapnya, lihat Pengumuman Amazon Linux Security Center (ALAS).

Misalnya, 2021-001 - Pengumuman Hotpatch Amazon Linux untuk Apache Log4j cocok dengan pengumuman daripada penasihat. Dalam pengumuman ini, Amazon Linux menambahkan paket untuk membantu pelanggan mengurangi masalah keamanan dalam perangkat lunak yang bukan bagian dari Amazon Linux.

Pusat Keamanan Amazon Linux CVE Explorer juga diumumkan pada pengumuman ALAS. Untuk informasi lebih lanjut, lihat Situs web baru untuk CVEs.

Pusat Keamanan Amazon Linux Pertanyaan yang Sering Diajukan

Untuk jawaban atas beberapa pertanyaan umum tentang ALAS dan bagaimana Amazon Linux mengevaluasi CVEs, lihat Pertanyaan yang Sering Diajukan Pusat Keamanan Amazon Linux (ALAS) (FAQs).

Penasihat ALAS

Amazon Linux Advisory berisi informasi penting yang relevan dengan pengguna Amazon Linux, biasanya informasi tentang pembaruan keamanan. Pusat Keamanan Amazon Linux adalah tempat Penasihat terlihat di web. Informasi penasehat juga merupakan bagian dari metadata repositori paket RPM.

Saran dan repositori RPM

Repositori paket Amazon Linux 2023 mungkin berisi metadata yang menjelaskan nol atau lebih pembaruan. dnf updateinfoPerintah ini dinamai nama file metadata repositori yang berisi informasi ini,. updateinfo.xml Sementara perintah diberi namaupdateinfo, dan file metadata mengacu padaupdate, ini semua mengacu pada pembaruan paket yang merupakan bagian dari Penasihat.

Amazon Linux Advisories dipublikasikan di situs web Amazon Linux Security Center, bersama dengan informasi yang ada dalam metadata repositori RPM yang dirujuk oleh manajer paket. dnf Situs web dan metadata repositori pada akhirnya konsisten, dan mungkin ada inkonsistensi dalam informasi di situs web dan dalam metadata repositori. Ini biasanya akan terjadi ketika rilis baru AL2 023 sedang dalam proses dirilis, telah ada pembaruan untuk Advisory setelah rilis AL2 023 terbaru.

Meskipun biasanya Penasihat baru dikeluarkan bersamaan dengan pembaruan paket yang membahas masalah ini, hal ini tidak selalu terjadi. Advisory dapat dibuat untuk masalah baru yang dibahas dalam paket yang sudah dirilis. Advisory yang ada juga dapat diperbarui dengan CVEs yang baru yang ditangani oleh pembaruan yang ada.

Peningkatan deterministik melalui repositori berversi pada 023 AL2Fitur Amazon Linux 2023 berarti bahwa repositori RPM untuk versi AL2 023 tertentu berisi snapshot metadata repositori RPM pada versi itu. Ini termasuk metadata yang menjelaskan pembaruan keamanan. Repositori RPM untuk versi AL2 023 tertentu tidak diperbarui setelah rilis. Penasihat keamanan baru atau yang diperbarui tidak akan terlihat saat melihat versi lama dari repositori AL2 023 RPM. Lihat Daftar Saran yang berlaku bagian untuk cara menggunakan manajer dnf paket untuk melihat versi latest repositori, atau rilis AL2 023 tertentu.

Penasehat IDs

Setiap Penasehat dirujuk oleh sebuahid. Saat ini merupakan kekhasan Amazon Linux di mana situs web Amazon Linux Security Center akan mencantumkan Penasihat sebagai ALAS-2024-581, sedangkan manajer dnf paket akan mencantumkan penasihat itu sebagai memiliki ID 023-2024-581. ALAS2 Ketika Menerapkan pembaruan keamanan di tempat ID manajer paket perlu digunakan jika mengacu pada Penasihat tertentu.

Untuk Amazon Linux, setiap versi utama OS memiliki namespace Advisory sendiri. IDs Seharusnya tidak ada asumsi yang dibuat mengenai format Amazon Linux IDs Advisory. Secara historis, Amazon Linux Advisory IDs telah mengikuti pola. NAMESPACE-YEAR-NUMBER Rentang lengkap nilai yang mungkin untuk tidak NAMESPACE didefinisikan, tetapi telah mencakupALAS,ALASCORRETTO8,ALAS2023,ALAS2,ALASPYTHON3.8, danALASUNBOUND-1.17. YEARTelah menjadi tahun di mana penasehat dibuat, dan NUMBER menjadi bilangan bulat unik dalam namespace.

Sementara Advisory biasanya IDs akan berurutan dan dalam urutan pembaruan dirilis, ada banyak alasan mengapa hal ini tidak dapat terjadi, jadi ini tidak boleh diasumsikan.

Perlakukan ID Penasihat sebagai string buram yang unik untuk setiap versi utama Amazon Linux.

Di Amazon Linux 2, setiap Ekstra berada dalam repositori RPM terpisah, dan metadata Penasihat hanya terkandung dalam repositori yang relevan. Penasihat untuk satu repositori tidak berlaku untuk repositori lain. Di situs web Amazon Linux Security Center, saat ini ada satu daftar Penasihat untuk setiap versi Amazon Linux utama, dan tidak dipisahkan ke dalam daftar per-repositori.

Karena AL2 023 tidak menggunakan mekanisme Ekstra untuk mengemas versi paket alternatif, saat ini hanya ada dua repositori RPM, yang masing-masing memiliki Advisories, repositori dan repositori. core livepatch livepatchRepositori adalah untuk. Kernel Live Patching pada 023 AL2

Stempel waktu Pembuatan dan Perbarui Penasihat

Stempel waktu pembuatan untuk Amazon Linux Advisories biasanya akan mendekati saat Advisory diterbitkan, tetapi ini tidak secara universal terjadi. Stempel waktu pembaruan serupa, dan repositori paket dan situs web Amazon Linux Security Center mungkin tidak diperbarui secara sinkron karena informasi baru tersedia.

Kasus (relatif) umum di mana stempel waktu Penasihat mungkin tidak sama persis ketika Penasihat dikeluarkan adalah di mana ada kesenjangan yang lebih panjang antara Konten Repositori Penasihat dan RPM yang sedang disiapkan dan ketika mereka dibuat langsung.

Seharusnya tidak ada asumsi yang dibuat antara nomor versi AL2 023 (misalnya 2023.6.20241031) dan stempel waktu pembuatan/pembaruan Penasihat yang diterbitkan bersamaan dengan rilis tersebut.

Jenis Penasihat

Metadata repositori RPM mendukung Advisories dari berbagai jenis. Sementara Amazon Linux hampir secara universal hanya mengeluarkan Advisories yang merupakan pembaruan keamanan, ini tidak boleh diasumsikan. Ada kemungkinan bahwa Penasihat untuk acara seperti perbaikan bug, penyempurnaan, dan paket baru dapat dikeluarkan, dan Penasihat ditandai sebagai berisi jenis pembaruan tersebut.

Tingkat Penasehat

Setiap Penasihat memiliki Tingkat Keparahannya sendiri karena setiap masalah dievaluasi secara terpisah. Beberapa CVEs dapat ditangani dalam satu Penasihat, dan setiap CVE mungkin memiliki evaluasi yang berbeda, tetapi Penasihat itu sendiri memiliki satu Tingkat Keparahan. Mungkin ada beberapa Penasihat yang mengacu pada pembaruan paket tunggal, sehingga dapat ada beberapa Severities untuk pembaruan paket tertentu (satu per Penasihat).

Untuk mengurangi Keparahan, Amazon Linux telah menggunakan Kritis, Penting, Sedang, dan Rendah untuk menunjukkan Tingkat Keparahan Penasihat. Amazon Linux Advisories mungkin juga tidak memiliki Keparahan, meskipun ini sangat jarang.

Amazon Linux adalah salah satu distribusi Linux berbasis RPM yang menggunakan istilah Moderate, sementara beberapa distribusi Linux berbasis RPM lainnya menggunakan istilah yang setara Medium. Manajer paket Amazon Linux memperlakukan kedua istilah tersebut sebagai setara, dan repositori paket pihak ketiga dapat menggunakan istilah Medium.

Amazon Linux Advisories dapat mengubah Keparahan dari waktu ke waktu karena lebih banyak yang dipelajari tentang masalah relevan yang dibahas dalam Penasihat.

The Severity of a Advisory biasanya akan melacak skor CVSS Amazon Linux yang dievaluasi tertinggi untuk yang CVEs direferensikan oleh Advisory. Mungkin ada kasus di mana ini tidak terjadi. Salah satu contohnya adalah di mana ada masalah yang ditangani yang tidak ada CVE yang ditetapkan.

Lihat FAQ ALAS untuk informasi selengkapnya tentang cara Amazon Linux menggunakan peringkat keparahan Advisory.

Saran dan Paket

Mungkin ada banyak Penasihat untuk satu paket, dan tidak semua paket akan pernah memiliki Penasihat yang diterbitkan untuk mereka. Versi paket tertentu dapat direferensikan dalam beberapa Penasihat, masing-masing dengan Tingkat Keparahannya sendiri dan. CVEs

Ada kemungkinan beberapa Penasihat untuk pembaruan paket yang sama dikeluarkan secara bersamaan dalam satu rilis AL2 023 baru, atau secara berurutan.

Seperti distribusi Linux lainnya, mungkin ada satu hingga banyak paket biner berbeda yang dibangun dari paket sumber yang sama. Misalnya, ALAS-2024-698 adalah Advisory yang terdaftar di AL2bagian 023 dari situs web Amazon Linux Security Center yang berlaku untuk paket. mariadb105 Ini adalah nama paket sumber, dan Advisory itu sendiri mengacu pada paket biner di samping paket sumber. Dalam hal ini, lebih dari selusin paket biner dibangun dari satu paket mariadb105 sumber. Meskipun sangat umum untuk ada paket biner dengan nama yang sama dengan paket sumber, ini tidak universal.

Meskipun Amazon Linux Advisories biasanya mencantumkan semua paket biner yang dibangun dari paket sumber yang diperbarui, ini tidak boleh diasumsikan. Manajer paket dan format metadata repositori RPM memungkinkan Advisories yang mencantumkan subset dari paket biner yang diperbarui.

Penasihat tertentu mungkin juga hanya berlaku untuk Arsitektur CPU tertentu. Mungkin ada paket yang tidak dibangun untuk semua arsitektur, atau masalah yang tidak memengaruhi semua arsitektur. Dalam kasus di mana paket tersedia di semua arsitektur tetapi masalah hanya berlaku untuk satu, Amazon Linux biasanya tidak mengeluarkan Penasihat hanya merujuk hanya arsitektur yang terpengaruh, meskipun ini tidak boleh diasumsikan.

Karena sifat dependensi paket, adalah umum bahwa Advisory mereferensikan satu paket, tetapi menginstal pembaruan itu akan memerlukan pembaruan paket lainnya, termasuk paket yang tidak tercantum dalam Penasihat. Manajer dnf paket akan menangani penginstalan dependensi yang diperlukan.

Penasihat dan CVEs

Penasihat dapat membahas nol atau lebih CVEs, dan mungkin ada beberapa Penasihat yang mereferensikan CVE yang sama.

Contoh kapan Penasihat dapat merujuk nol CVEs adalah ketika CVE belum (atau pernah) ditugaskan untuk masalah tersebut.

Contoh di mana beberapa Penasihat dapat mereferensikan CVE yang sama ketika (misalnya) CVE berlaku untuk beberapa paket. Misalnya, CVE-2024-21208 berlaku untuk Corretto 8, 11, 17, dan 21. Masing-masing versi Corretto ini adalah paket terpisah AL2 di 023, dan ada Penasihat untuk masing-masing paket ini: ALAS-2024-754 untuk Corretto 8, ALAS-2024-753 untuk Corretto 11, ALAS-2024-752 untuk Corretto 17, dan ALAS-2024-752 untuk Corretto 21. Meskipun rilis Corretto ini semuanya memiliki daftar CVEs yang sama, ini tidak boleh diasumsikan.

CVE tertentu dapat dievaluasi secara berbeda untuk paket yang berbeda. Misalnya, jika CVE tertentu direferensikan dalam Penasihat dengan Keparahan Penting, ada kemungkinan bahwa Penasihat lain dikeluarkan dengan merujuk CVE yang sama dengan Tingkat Keparahan yang berbeda.

Metadata repositori RPM memungkinkan daftar Referensi untuk setiap Penasihat. Meskipun Amazon Linux biasanya hanya direferensikan CVEs, format metadata memungkinkan untuk jenis referensi lainnya.

Metadata repositori paket RPM hanya akan merujuk pada perbaikan CVEs yang tersedia. Bagian Explore dari situs web Amazon Linux Security Center berisi informasi tentang Amazon Linux CVEs yang telah dievaluasi. Evaluasi ini dapat menghasilkan skor dasar CVSS, Keparahan, dan status untuk berbagai rilis dan paket Amazon Linux. Status CVE untuk rilis atau paket Amazon Linux tertentu mungkin Tidak Terkena, Perbaikan Tertunda, atau Tidak Ada Perbaikan yang Direncanakan. Status dan evaluasi CVEs dapat berubah berkali-kali dan dengan cara apa pun sebelum Penasihat dikeluarkan. Ini termasuk evaluasi ulang penerapan CVE ke Amazon Linux.

Daftar yang CVEs direferensikan oleh Penasihat dapat berubah setelah publikasi awal Penasihat tersebut.

Teks Penasehat

Penasihat juga akan berisi teks yang menjelaskan masalah atau masalah yang menjadi alasan untuk membuat Penasihat. Adalah umum bahwa teks ini akan menjadi teks CVE yang tidak dimodifikasi. Teks ini dapat merujuk ke nomor versi upstream di mana perbaikan tersedia yang berbeda dari versi paket yang Amazon Linux telah menerapkan perbaikan untuk. Adalah umum bahwa Amazon Linux akan melakukan back-port perbaikan dari rilis upstream yang lebih baru. Dalam kasus di mana teks Advisory menyebutkan rilis upstream yang berbeda dari versi yang dikirimkan dalam versi Amazon Linux, versi paket Amazon Linux di Advisory akan akurat untuk Amazon Linux.

Dimungkinkan untuk teks Penasihat dalam metadata repositori RPM menjadi teks placeholder hanya merujuk ke situs web Amazon Linux Security Center untuk detailnya.

Penasihat Patch Kernel Live

Penasihat untuk tambalan langsung unik karena merujuk ke paket yang berbeda (kernel Linux) dari paket yang ditentang oleh Advisory (mis.). kernel-livepatch-6.1.15-28.43

Penasihat untuk Kernel Live Patch akan mereferensikan masalah (seperti CVEs) yang dapat ditangani oleh paket Live Patch tertentu untuk versi kernel tertentu yang diterapkan paket patch langsung.

Setiap patch langsung adalah untuk versi kernel tertentu. Untuk menerapkan tambalan langsung untuk CVE, paket patch langsung yang tepat untuk versi kernel Anda perlu diinstal, dan tambalan langsung diterapkan.

Misalnya, CVE-2023-6111 dapat ditambal langsung untuk AL2 023 versi kernel,, dan. 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Versi kernel baru dengan perbaikan untuk CVE ini juga dirilis, dan memiliki penasihat terpisah. Agar CVE-2023-6111 ditangani pada AL2 023 baik versi kernel yang sama dengan atau lebih lambat dari yang ditentukan ALAS2023-2023-461 perlu dijalankan, atau salah satu versi kernel dengan tambalan langsung untuk CVE ini perlu dijalankan dengan livepatch yang berlaku diterapkan.

Ketika ada tambalan langsung baru yang tersedia untuk versi kernel tertentu yang sudah memiliki tambalan langsung yang tersedia, versi baru dari kernel-livepatch-KERNEL_VERSION paket tersebut dirilis. Sebagai contoh, ALASLIVEPATCH-2023-003Advisory dikeluarkan dengan kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 paket yang berisi tambalan langsung untuk 6.1.15-28.43 kernel yang mencakup tiga. CVEs Kemudian, ALASLIVEPATCH-2023-009Advisory dikeluarkan dengan kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 paket; pembaruan ke paket patch langsung sebelumnya untuk 6.1.15-28.43 kernel yang berisi tambalan langsung untuk tiga lainnya. CVEs Ada juga masalah Penasihat patch langsung lainnya untuk versi kernel lainnya, dengan paket yang berisi tambalan langsung untuk versi kernel tertentu tersebut.

Untuk informasi lebih lanjut tentang kernel live patching, lihatKernel Live Patching pada 023 AL2.

Bagi siapa pun yang mengembangkan alat seputar penasihat keamanan, disarankan juga untuk melihat Skema XHTML untuk Penasihat dan updateinfo.xml bagian ini untuk informasi lebih lanjut.

Skema XHTML untuk Penasihat dan updateinfo.xml

updateinfo.xmlFile adalah bagian dari format repositori paket. Ini adalah metadata yang diurai manajer dnf paket untuk mengimplementasikan fungsionalitas seperti dan. Daftar Saran yang berlaku Menerapkan pembaruan keamanan di tempat

Kami merekomendasikan agar API manajer dnf paket digunakan daripada menulis kode khusus untuk mengurai format metadata repositori. Versi dnf dalam AL2 023 dapat mengurai format AL2 023 dan AL2 repositori, dan dengan demikian API dapat digunakan untuk memeriksa informasi penasihat untuk salah satu versi OS.

Proyek Manajemen Perangkat Lunak RPM mendokumentasikan format metadata RPM dalam repositori rpm-metadata pada. GitHub

Bagi mereka yang mengembangkan alat untuk mengurai updateinfo.xml metadata secara langsung, sangat disarankan untuk memperhatikan dokumentasi rpm-metadata. Dokumentasi mencakup apa yang telah dilihat di alam liar, yang mencakup banyak pengecualian untuk apa yang dapat Anda tafsirkan secara wajar sebagai aturan untuk format metadata.

Ada juga serangkaian contoh updateinfo.xml file dunia nyata yang berkembang di repositori raw-historical-rpm-repository-examples di. GitHub

Jika ada yang tidak jelas dalam dokumentasi, Anda dapat membuka masalah pada GitHub proyek sehingga kami dapat menjawab pertanyaan dan memperbarui dokumentasi dengan tepat. Sebagai proyek Open Source, permintaan tarik memperbarui dokumentasi juga diterima.