翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AL2023 の Amazon Linux セキュリティアドバイザリ
Amazon Linux の安全性を保つため、懸命に取り組んでいますが、修正が必要なセキュリティ上の問題が発生することがあります。修正が利用可能になると、アドバイザリが発行されます。アドバイザーを公開する主な場所は、Amazon Linux セキュリティセンター (ALAS) です。詳細については「Amazon Linux Security Center
重要
AWS クラウドサービスまたはオープンソースプロジェクトに関する脆弱性を報告したり、セキュリティ上の懸念がある場合は、脆弱性レポートページ
AL2023 に影響する問題および関連する更新に関する情報は、Amazon Linux チームが複数の場所で公開しています。セキュリティツールでは、これらの主要な情報源から情報を取得し、その結果をユーザーに提示するのが一般的です。そのため、Amazon Linux が公開するプライマリソースと直接やり取りするのではなく、Amazon Inspector などの任意のツールによって提供されるインターフェイスとやり取りする可能性があります。
Amazon Linux セキュリティセンターの発表
Amazon Linux の発表は、アドバイザリに当てはまらないアイテムに対して提供されます。このセクションには、ALAS 自体に関する発表と、アドバイザリに当てはまらない情報が含まれています。詳細については、「Amazon Linux セキュリティセンター (ALAS) のお知らせ
例えば、2021 年 001 月 - Amazon Linux Hotpatch Announcement for Apache Log4j
Amazon Linux セキュリティセンターの CVE Explorer
Amazon Linux セキュリティセンターのよくある質問
ALAS に関するよくある質問と Amazon Linux による CVEs、「Amazon Linux セキュリティセンター (ALAS) に関するよくある質問 (FAQs
ALAS アドバイザリ
Amazon Linux アドバイザリには、Amazon Linux ユーザーに関連する重要な情報、通常はセキュリティ更新に関する情報が含まれています。Amazon Linux セキュリティセンター
アドバイザリと RPM リポジトリ
Amazon Linux 2023 パッケージリポジトリには、ゼロ個以上の更新を記述するメタデータが含まれている場合があります。dnf updateinfo コマンドの名前は、この情報を含むリポジトリメタデータファイル名 にちなんで付けられますupdateinfo.xml。コマンドの名前は でupdateinfo、メタデータファイルは を指しますがupdate、これらはすべてアドバイザリの一部であるパッケージの更新を指します。
Amazon Linux Advisories は、dnfパッケージマネージャーが参照する RPM リポジトリメタデータに存在する情報とともに、Amazon Linux Security Center
この問題に対応するパッケージの更新とともに新しいアドバイザリが発行されるのは一般的ですが、必ずしもそうとは限りません。アドバイザリは、既にリリースされているパッケージで対処された新しい問題に対して作成できます。既存のアドバイザリは、既存の更新によって対処された新しい CVEs で更新される場合もあります。
Amazon Linux 2023 AL2023 のバージョニングされたリポジトリによる確定的なアップグレードの機能では、特定の AL2023 バージョンの RPM リポジトリに、そのバージョンの RPM リポジトリメタデータのスナップショットが含まれていることを意味します。これには、セキュリティ更新を記述するメタデータが含まれます。特定の AL2023 バージョンの RPM リポジトリは、リリース後に更新されません。AL2023 RPM リポジトリの古いバージョンを確認すると、新規または更新されたセキュリティアドバイザリは表示されません。dnf パッケージマネージャーを使用してlatestリポジトリバージョンまたは特定の AL2023 リリースを確認する方法については、該当するアドバイザリの一覧表示「」セクションを参照してください。
アドバイザリ IDs
各アドバイザリは、 によって参照されますid。現在、Amazon Location Service のクォークであり、Amazon Linux セキュリティセンターdnfパッケージマネージャーはそのアドバイザリを ALAS2023-2024-581 の ID を持つものとしてリストします。特定のアドバイザリを参照する場合にセキュリティ更新プログラムをインプレースで適用するパッケージマネージャー ID を使用する必要がある場合。
Amazon Location Service の場合、OS の各メジャーバージョンには、アドバイザリ IDs。Amazon Linux アドバイザリ IDs の形式について仮定しないでください。これまで、Amazon Linux アドバイザリ IDsは のパターンに従っていましたNAMESPACE-YEAR-NUMBER。の可能な値の全範囲NAMESPACEは定義されていませんが、 には ALAS、、ALASCORRETTO8ALAS2023、ALAS2、ALASPYTHON3.8、および が含まれていますALASUNBOUND-1.17。YEAR は、アドバイザリが作成された年であり、名前空間内の一意の整数NUMBERです。
通常、アドバイザリ IDs はシーケンシャルであり、更新がリリースされる順序で行われますが、これができない理由は多数あるため、これを引き受けるべきではありません。
アドバイザリ ID は、Amazon Linux の各メジャーバージョンに固有の不透明な文字列として扱います。
Amazon Linux 2 では、各 Extra は個別の RPM リポジトリにあり、アドバイザリメタデータは関連するリポジトリ内のみに含まれます。あるリポジトリのアドバイザリは、別のリポジトリには適用されません。Amazon Linux Security Center
AL2023 は Extras メカニズムを使用してパッケージの代替バージョンをパッケージ化しないため、現在 Advisories、 リポジトリ、 livepatchリポジトリのそれぞれの RPM coreリポジトリは 2 つしかありません。livepatch リポジトリは 用ですAL2023 でのカーネルライブパッチ。
アドバイザリの作成と更新のタイムスタンプ
Amazon Linux Advisories の作成タイムスタンプは、通常、Advisory が公開された時点に近いですが、一般的ではありません。更新タイムスタンプは似ており、パッケージリポジトリと Amazon Linux Security Center
アドバイザリが発行されたときにアドバイザリのタイムスタンプが完全に一致しない可能性がある (比較的) 一般的なケースは、アドバイザリと準備中の RPM リポジトリコンテンツと、それらがライブになった日時の間に長いギャップがあったケースです。
AL2023 バージョン番号 (2023.6.20241031 など) と、そのリリースとともに公開される Advisories の作成/更新タイムスタンプの間には、仮定があってはなりません。
アドバイザリタイプ
RPM リポジトリメタデータは、さまざまなタイプの Advisories をサポートしています。Amazon Linux は、セキュリティ更新プログラムである Advisories をほぼ一般的にのみ発行していますが、これを引き受けるべきではありません。バグ修正、機能強化、新しいパッケージなどのイベントのアドバイザリが発行され、アドバイザリにそのタイプの更新が含まれているとマークされる可能性があります。
アドバイザリの重要度
各アドバイザリには、各問題が個別に評価されるため、独自の重要度があります。1 つのアドバイザリで複数の CVEs に対処でき、各 CVE の評価は異なる場合がありますが、アドバイザリ自体には 1 つの重要度があります。1 つのパッケージ更新を参照する複数の Advisories が存在する可能性があるため、特定のパッケージ更新に対して複数の重要度 (アドバイザリごとに 1 つ) が存在する可能性があります。
重要度を減らすために、Amazon Linux は「重要」、「重要」、「中」、「低」を使用して、アドバイザリの重要度を示します。Amazon Linux Advisories には重要度がない場合もありますが、これは非常にまれです。
Amazon Linux は、RPM ベースの Linux ディストリビューションの 1 つで、Mode という用語を使用していますが、他の RPM ベースの Linux ディストリビューションでは、同等の用語 Medium を使用しています。Amazon Linux パッケージマネージャーは両方の用語を同等に扱い、サードパーティーのパッケージリポジトリは Medium という用語を使用する場合があります。
Amazon Linux Advisories は、アドバイザリで対処された関連する問題についてより多くの知識が得られるため、時間の経過とともに重要度を変化させることができます。
通常、アドバイザリの重要度は、アドバイザリが参照する CVEs の Amazon Linux 評価 CVSS スコアの最大値を追跡します。そうでない場合もあります。1 つの例として、CVE が割り当てられていない問題に対処できる問題があります。
Amazon Linux がアドバイザリ重要度評価を使用する方法の詳細については、ALAS のよくある質問
アドバイザリとパッケージ
1 つのパッケージには多数の Advisories があり、すべてのパッケージに Advisories が公開されるわけではありません。特定のパッケージバージョンは複数の Advisories で参照でき、それぞれに独自の重要度と CVEs があります。
同じパッケージ更新の複数の Advisories を 1 つの新しい AL2023 リリースで同時に発行することも、迅速に連続して発行することもできます。
他の Linux ディストリビューションと同様に、同じソースパッケージから 1 つから多数の異なるバイナリパッケージを構築できます。例えば、ALAS-2024-698mariadb105パッケージに適用されています。これはソースパッケージ名であり、アドバイザリ自体はソースパッケージと一緒にバイナリパッケージを参照します。この場合、1 つのmariadb105ソースパッケージから数十を超えるバイナリパッケージが構築されます。ソースパッケージと同じ名前のバイナリパッケージが存在することは非常に一般的ですが、一般的ではありません。
Amazon Linux Advisories は通常、更新されたソースパッケージから構築されたすべてのバイナリパッケージを一覧表示していますが、これは想定しないでください。パッケージマネージャーと RPM リポジトリメタデータ形式により、更新されたバイナリパッケージのサブセットを一覧表示する Advisories が可能になります。
特定のアドバイザリは、特定の CPU アーキテクチャにのみ適用されます。すべてのアーキテクチャ用に構築されていないパッケージや、すべてのアーキテクチャに影響を与えない問題がある可能性があります。パッケージがすべてのアーキテクチャで使用可能で、問題が 1 つだけに適用される場合、Amazon Linux は通常、影響を受けるアーキテクチャのみを参照するアドバイザリを発行していませんが、これを引き受けるべきではありません。
パッケージの依存関係の性質上、アドバイザリが 1 つのパッケージを参照することは一般的ですが、その更新をインストールするには、アドバイザリにリストされていないパッケージを含む他のパッケージの更新が必要になります。dnf パッケージマネージャーは、必要な依存関係のインストールを処理します。
アドバイザリと CVEs
アドバイザリは 0 個以上の CVEs に対処し、同じ CVE を参照する複数のアドバイザリが存在する場合があります。
アドバイザリがゼロ CVEs を参照する場合の例は、CVE がまだ (またはまったく) 問題に割り当てられていない場合です。
CVE が複数のパッケージに適用できる場合 (例えば)、複数の Advisories が同じ CVE を参照する場合がある の例。例えば、CVE-2024-21208
特定の CVE は、パッケージごとに異なる方法で評価できます。例えば、重要度が重要であるアドバイザリで特定の CVE が参照されている場合、重要度が異なる同じ CVE を参照する別のアドバイザリが発行される可能性があります。
RPM リポジトリメタデータを使用すると、各アドバイザリのリファレンスのリストを取得できます。Amazon Linux は通常 CVEs のみを参照しますが、メタデータ形式では他の参照タイプを使用できます。
RPM パッケージリポジトリメタデータは、修正が利用可能な CVEs のみを参照します。Amazon Linux セキュリティセンターウェブサイトの Explore セクション
アドバイザリによって参照される CVEs のリストは、そのアドバイザリの初回発行後に変更される可能性があります。
アドバイザリテキスト
アドバイザリには、アドバイザリの作成理由となった問題を説明するテキストも含まれます。このテキストは、変更されていない CVE テキストになるのが一般的です。このテキストは、Amazon Linux が修正を適用したパッケージバージョンとは異なる修正が利用可能なアップストリームバージョン番号を参照する場合があります。Amazon Linux が新しいアップストリームリリースから修正をバックポートすることが一般的です。アドバイザリのテキストに、Amazon Linux バージョンに同梱されているバージョンとは異なるアップストリームリリースが記載されている場合、アドバイザリの Amazon Linux パッケージバージョンは Amazon Linux に対して正確です。
RPM リポジトリメタデータのアドバイザリテキストは、Amazon Linux セキュリティセンター
カーネルライブパッチアドバイザリ
ライブパッチのアドバイザリは、アドバイザリが反対するパッケージ (例: ) とは異なるパッケージ (Linux カーネルkernel-livepatch-6.1.15-28.43) を参照するという点で一意です。
カーネルライブパッチのアドバイザリは、ライブパッチパッケージが適用される特定のカーネルバージョンについて、特定のライブパッチパッケージが対処できる問題 (CVEs など) を参照します。
各ライブパッチは、特定のカーネルバージョン用です。CVE にライブパッチを適用するには、カーネルバージョンに適したライブパッチパッケージをインストールし、ライブパッチを適用する必要があります。
例えば、CVE-2023-61116.1.56-82.125、6.1.59-84.139、および に対してライブパッチを適用できます6.1.61-85.141。この CVE の修正を含む新しいカーネルバージョンもリリースされ、別のアドバイザリ
ライブパッチが既に利用可能な特定のカーネルバージョンで利用可能な新しいライブパッチがある場合、kernel-livepatch-KERNEL_VERSIONパッケージの新しいバージョンがリリースされます。例えば、アALASLIVEPATCH-2023-0036.1.15-28.43 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023パッケージで発行されました。 CVEs 後で、アALASLIVEPATCH-2023-009kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023パッケージで発行されました。別の 3 つの CVE 6.1.15-28.43 のライブパッチを含むカーネルの以前のライブパッチパッケージの更新です。 CVEs また、他のカーネルバージョンにもライブパッチアドバイザリの問題があり、それらの特定のカーネルバージョンのライブパッチを含むパッケージがありました。
カーネルライブパッチの詳細については、「」を参照してくださいAL2023 でのカーネルライブパッチ。
セキュリティアドバイザリに関するツールを開発している方には、アドバイザリと の XML スキーマ updateinfo.xml「」セクションで詳細を確認することをお勧めします。
アドバイザリと の XML スキーマ updateinfo.xml
updateinfo.xml ファイルはパッケージリポジトリ形式の一部です。これは、dnfパッケージマネージャーが 該当するアドバイザリの一覧表示や などの機能を実装するために解析するメタデータですセキュリティ更新プログラムをインプレースで適用する。
リポジトリメタデータ形式を解析するためのカスタムコードを記述するのではなく、dnfパッケージマネージャーの API を使用することをお勧めします。AL2023 dnfの バージョンでは、AL2023 リポジトリ形式と AL2 リポジトリ形式の両方を解析できるため、 API を使用して、いずれかの OS バージョンのアドバイザリ情報を調べることができます。
RPM Software Management
updateinfo.xml メタデータを直接解析するツールを開発している場合は、rpm-metadata ドキュメント
また、GitHub の raw-historical-rpm-repository-examplesupdateinfo.xmlファイルの実際の例が増えています。
ドキュメントに不明な点がある場合は、GitHub プロジェクトで問題を開いて、質問に答えてドキュメントを適切に更新できます。オープンソースプロジェクトとして、ドキュメントを更新するプルリクエストも歓迎します。
