AL2023 の Amazon Linux セキュリティアドバイザリ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Linux の安全性を保つため、懸命に取り組んでいますが、修正が必要なセキュリティ上の問題が発生することがあります。修正が利用可能になると、アドバイザリが発行されます。アドバイザーを発行する主な場所は、Amazon Linux セキュリティセンター (ALAS) です。詳細については「Amazon Linux Security Center」を参照してください。

AL2023 に影響する問題および関連する更新に関する情報は、Amazon Linux チームが複数の場所で公開しています。セキュリティツールでは、これらの主要な情報源から情報を取得し、その結果をユーザーに提示するのが一般的です。そのため、Amazon Linux が公開するプライマリソースとは直接やり取りせず、Amazon Inspector などの任意のツールによって提供されるインターフェイスとやり取りする場合があります。

Amazon Linux セキュリティセンターの発表

Amazon Linux の発表は、 アドバイザリに当てはまらないアイテムに対して提供されます。このセクションでは、ALAS 自体に関する発表と、アドバイザリに当てはまらない情報について説明します。詳細については、「Amazon Linux セキュリティセンター (ALAS) のお知らせ」を参照してください。

例えば、2021-001 - Amazon Linux Hotpatch Announcement for Apache Log4j は、アドバイザリではなく、発表に該当します。この発表で、Amazon Linux は、Amazon Linux に含まれていないソフトウェアのセキュリティ問題を軽減するのに役立つパッケージを追加しました。

Amazon Linux Security Center CVE Explorer も ALAS の発表で発表されました。詳細については、CVEs」を参照してください。

Amazon Linux セキュリティセンターに関するよくある質問

ALAS および Amazon Linux が CVEs「Amazon Linux セキュリティセンター (ALAS) のよくある質問 (FAQs」を参照してください。

ALAS アドバイザリ

Amazon Linux アドバイザリには、Amazon Linux ユーザーに関連する重要な情報、通常はセキュリティ更新に関する情報が含まれています。Amazon Linux セキュリティセンターは、ウェブ上に Advisories が表示される場所です。アドバイザリ情報は、RPM パッケージリポジトリメタデータの一部でもあります。

アドバイザリと RPM リポジトリ

Amazon Linux 2023 パッケージリポジトリには、ゼロ以上の更新を記述するメタデータが含まれている場合があります。dnf updateinfo コマンドの名前は、この情報を含むリポジトリメタデータファイル名 にちなんで付けられますupdateinfo.xml。コマンドの名前は でupdateinfo、メタデータファイルは を参照しますがupdate、これらはすべてアドバイザリの一部であるパッケージの更新を指します。

Amazon Linux Advisories は、dnfパッケージマネージャーが参照する RPM リポジトリメタデータに存在する情報とともに、Amazon Linux Security Center ウェブサイトで公開されます。ウェブサイトとリポジトリのメタデータは結果整合性があり、ウェブサイトとリポジトリメタデータの情報に不整合がある可能性があります。これは通常、AL2023 の新しいリリースがリリース中で、最新の AL2023 リリース後にアドバイザリが更新された場合に発生します。

この問題に対処するパッケージの更新とともに新しいアドバイザリが発行されるのは一般的ですが、必ずしもそうとは限りません。アドバイザリは、既にリリースされているパッケージで対処された新しい問題に対して作成できます。既存のアドバイザリは、既存の更新によって対処される新しい CVEs で更新される場合もあります。

Amazon Linux 2023 AL2023 のバージョニングされたリポジトリによる確定的なアップグレードの機能では、特定の AL2023 バージョンの RPM リポジトリに、そのバージョンの RPM リポジトリメタデータのスナップショットが含まれていることを意味します。これには、セキュリティ更新を記述するメタデータが含まれます。特定の AL2023 バージョンの RPM リポジトリは、リリース後に更新されません。AL2023 RPM リポジトリの古いバージョンを見ると、新規または更新されたセキュリティアドバイザリは表示されません。dnf パッケージマネージャーを使用してlatestリポジトリバージョンまたは特定の AL2023 リリースを確認する方法については、該当する Advisories の一覧表示「」セクションを参照してください。

アドバイザリ IDs

各アドバイザリは によって参照されますid。現在、Amazon Linux の口コミであり、Amazon Linux セキュリティセンターのウェブサイトにはアドバイザリが ALAS-2024-581 としてリストされ、dnfパッケージマネージャーはそのアドバイザリが ALAS2023-2024-581 の ID を持つものとしてリストされます。特定のアドバイザリを参照する場合にセキュリティ更新プログラムをインプレースで適用するパッケージマネージャー ID を使用する必要がある場合。

Amazon Linux の場合、OS の各メジャーバージョンには独自のアドバイザリ IDs。Amazon Linux アドバイザリ IDs の形式について仮定しないでください。これまで、Amazon Linux アドバイザリ IDsは のパターンに従っていましたNAMESPACE-YEAR-NUMBER。の可能な値の全範囲NAMESPACEは定義されていませんが、 には ALAS、、ALASCORRETTO8ALAS2023、ALASPYTHON3.8、ALAS2、 が含まれていますALASUNBOUND-1.17。YEAR は、アドバイザリが作成された年であり、名前空間内の一意の整数NUMBERです。

アドバイザリ IDs は通常、シーケンシャルで、更新がリリースされる順序ですが、これができない理由は多数あります。したがって、これを引き受けるべきではありません。

アドバイザリ ID は、Amazon Linux の各メジャーバージョンに固有の不透明な文字列として扱います。

Amazon Linux 2 では、各 Extra は個別の RPM リポジトリにあり、アドバイザリメタデータは関連するリポジトリ内のみに含まれます。あるリポジトリのアドバイザリは、別のリポジトリには適用されません。Amazon Linux Security Center ウェブサイトでは、現在、主要な Amazon Linux バージョンごとに Advisories のリストが 1 つあり、リポジトリごとのリストに分割されていません。

AL2023 は Extras メカニズムを使用してパッケージの代替バージョンをパッケージ化しないため、現在は 2 つの RPM リポジトリしか存在せず、それぞれに Advisories、 core リポジトリ、 livepatchリポジトリがあります。livepatch リポジトリは 用ですAL2023 でのカーネルライブパッチ適用。

アドバイザリの作成と更新のタイムスタンプ

Amazon Linux Advisories の作成タイムスタンプは通常、Advisory が公開された時点に近いですが、これは一般的には当てはまりません。更新タイムスタンプは似ており、パッケージリポジトリと Amazon Linux Security Center ウェブサイトは、新しい情報が入手できるので同期して更新されない場合があります。

アドバイザリが発行されたときにアドバイザリのタイムスタンプが完全に一致しない可能性がある (比較的) 一般的なケースは、アドバイザリと RPM リポジトリのコンテンツが準備されてからライブにされるまでの間にギャップが長かった場合です。

AL2023 バージョン番号 (例: 2023.6.20241031) と、そのリリースと共に公開された Advisories の作成/更新タイムスタンプの間には、仮定があってはなりません。

アドバイザリタイプ

RPM リポジトリメタデータは、さまざまなタイプの Advisories をサポートしています。Amazon Linux は、セキュリティ更新プログラムである Advisories をほぼ普遍的にのみ発行していますが、これは想定すべきではありません。バグ修正、機能強化、新しいパッケージなどのイベントのアドバイザリが発行され、アドバイザリにそのタイプの更新が含まれているとマークされる可能性があります。

アドバイザリ重要度

各問題は個別に評価されるため、各アドバイザリには独自の重要度があります。1 つのアドバイザリで複数の CVEs に対処でき、各 CVE は異なる評価を持つことができますが、アドバイザリ自体には 1 つの重要度があります。1 つのパッケージ更新を参照する複数の Advisories が存在する可能性があるため、特定のパッケージ更新に複数の重要度 (Advisory ごとに 1 つ) が存在する可能性があります。

重要度を減らすために、Amazon Linux はアドバイザリの重要度を示すために、Critical、重要、Moderate、Low を使用しています。Amazon Linux Advisories には重要度がない場合もありますが、これは非常にまれです。

Amazon Linux は、Mode という用語を使用する RPM ベースの Linux ディストリビューションの 1 つであり、他の RPM ベースの Linux ディストリビューションは同等の用語 Medium を使用します。Amazon Linux パッケージマネージャーは両方の用語を同等として扱い、サードパーティーのパッケージリポジトリは Medium という用語を使用する場合があります。

Amazon Linux Advisories は、アドバイザリで対処された関連する問題についてより多くの知識が得られるため、時間の経過とともに重要度を変化させることができます。

アドバイザリの重要度は通常、アドバイザリによって参照される CVEs の Amazon Linux 評価 CVSS スコアの最大値を追跡します。そうでない場合があるかもしれません。1 つの例として、CVE が割り当てられていない問題に対処する問題があります。

Amazon Linux がアドバイザリ重要度評価を使用する方法の詳細については、ALAS FAQ を参照してください。

アドバイザリとパッケージ

1 つのパッケージには多くの Advisories があり、すべてのパッケージに Advisories が公開されるわけではありません。特定のパッケージバージョンは複数の Advisories で参照でき、それぞれに独自の重要度と CVEs があります。

1 つの新しい AL2023 リリースで、または迅速に連続して、同じパッケージ更新の複数の Advisories を同時に発行できます。

他の Linux ディストリビューションと同様に、同じソースパッケージから構築されたバイナリパッケージが 1 つから複数存在する可能性があります。例えば、ALAS-2024-698 は、Amazon Linux Security Center ウェブサイトの AL2023 セクションに記載されているアドバイザリで、mariadb105パッケージに適用されています。これはソースパッケージ名であり、アドバイザリ自体はソースパッケージとともにバイナリパッケージを参照します。この場合、1 つのmariadb105ソースパッケージから 12 を超えるバイナリパッケージが構築されます。ソースパッケージと同じ名前のバイナリパッケージが存在することは非常に一般的ですが、これは一般的ではありません。

Amazon Linux Advisories は通常、更新されたソースパッケージから構築されたすべてのバイナリパッケージを一覧表示していますが、これは想定しないでください。パッケージマネージャーと RPM リポジトリのメタデータ形式により、更新されたバイナリパッケージのサブセットを一覧表示する Advisories が可能になります。

特定のアドバイザリは、特定の CPU アーキテクチャにのみ適用されます。すべてのアーキテクチャ用に構築されていないパッケージや、すべてのアーキテクチャに影響を与えない問題がある可能性があります。パッケージがすべてのアーキテクチャで使用可能で、問題が 1 つだけに適用される場合、Amazon Linux は通常、影響を受けるアーキテクチャのみを参照するアドバイザリを発行していませんが、これは想定しないでください。

パッケージの依存関係の性質上、アドバイザリが 1 つのパッケージを参照することが一般的ですが、その更新をインストールするには、アドバイザリにリストされていないパッケージを含む他のパッケージの更新が必要になります。dnf パッケージマネージャーは、必要な依存関係のインストールを処理します。

アドバイザリと CVEs

アドバイザリは 0 個以上の CVEs に対処し、同じ CVE を参照する複数のアドバイザリが存在する場合があります。

アドバイザリがゼロ CVEs を参照する場合の例は、CVE がまだ (またはまったく) 問題に割り当てられていない場合です。

CVE が複数のパッケージに適用できる場合 (たとえば）、複数の Advisories が同じ CVE を参照する場合がある例。例えば、CVE-2024-21208 は Corretto 8、11、17、21 に適用されます。これらの Corretto バージョンはそれぞれ AL2023 の個別のパッケージであり、これらのパッケージごとにアドバイザリがあります。Corretto 8 用の ALAS-2024-754、Corretto 11 用の ALAS-2024-753、Corretto 17 用の ALAS-2024-752、Corretto 21 用の ALAS-2024-752。これらの Corretto リリースはすべて同じ CVEs のリストを持っていますが、これは想定しないでください。

特定の CVE は、パッケージごとに異なる方法で評価できます。例えば、重要度が重要なアドバイザリで特定の CVE が参照されている場合、重要度が異なる同じ CVE を参照する別のアドバイザリが発行される可能性があります。

RPM リポジトリメタデータでは、各アドバイザリのリファレンスのリストを使用できます。Amazon Linux では通常 CVEs のみが参照されますが、メタデータ形式では他の参照タイプを使用できます。

RPM パッケージリポジトリメタデータは、修正が利用可能な CVEs のみを参照します。Amazon Linux セキュリティセンターウェブサイトの Explore セクションには、Amazon Linux が評価した CVEs に関する情報が含まれています。この評価により、さまざまな Amazon Linux リリースとパッケージの CVSS ベーススコア、重要度、ステータスが発生する可能性があります。特定の Amazon Linux リリースまたはパッケージの CVE のステータスは、影響を受けない、修正保留中、または計画された修正なしの可能性があります。CVEs のステータスと評価は、アドバイザリが発行される前に、何度でも変更される可能性があります。これには、Amazon Linux への CVE の適用性の再評価が含まれます。

アドバイザリによって参照される CVEs のリストは、そのアドバイザリの初回発行後に変更される可能性があります。

アドバイザリテキスト

アドバイザリには、アドバイザリを作成する理由であった問題を説明するテキストも含まれます。このテキストは、変更されていない CVE テキストであることが一般的です。このテキストは、Amazon Linux が修正を適用したパッケージバージョンとは異なる修正が利用可能なアップストリームバージョン番号を参照する場合があります。Amazon Linux が新しいアップストリームリリースから修正をバックポートすることが一般的です。アドバイザリのテキストに、Amazon Linux バージョンに同梱されているバージョンとは異なるアップストリームリリースが記載されている場合、アドバイザリの Amazon Linux パッケージバージョンは Amazon Linux に対して正確です。

RPM リポジトリメタデータのアドバイザリテキストは、Amazon Linux セキュリティセンターのウェブサイトを参照するだけのプレースホルダーテキストにすることができます。

カーネルライブパッチアドバイザリ

ライブパッチのアドバイザリは、アドバイザリが反対するパッケージ (例: ) とは異なるパッケージ (Linux カーネルkernel-livepatch-6.1.15-28.43) を参照するという点で一意です。

カーネルライブパッチのアドバイザリは、ライブパッチパッケージが適用される特定のカーネルバージョンについて、特定のライブパッチパッケージが対処できる問題 (CVEs など) を参照します。

各ライブパッチは、特定のカーネルバージョン用です。CVE にライブパッチを適用するには、カーネルバージョンに適したライブパッチパッケージをインストールし、ライブパッチを適用する必要があります。

たとえば、CVE-2023-6111 は、AL2023 カーネルバージョン 6.1.56-82.125、6.1.59-84.139、および に対してライブパッチを適用できます6.1.61-85.141。この CVE を修正した新しいカーネルバージョンもリリースされ、別のアドバイザリがあります。AL2023 で CVE-2023-6111 に対処するには、ALAS2023-2023-461 で指定されているカーネルバージョンと同じかそれ以降のカーネルバージョンを実行するか、この CVE のライブパッチを持つカーネルバージョンのいずれかを実行し、該当するライブパッチを適用する必要があります。 AL2023

ライブパッチが既に利用可能な特定のカーネルバージョンで新しいライブパッチが利用可能になると、kernel-livepatch-KERNEL_VERSIONパッケージの新しいバージョンがリリースされます。たとえば、アALASLIVEPATCH-2023-003ドバイザリは、3 つの CVE をカバーするカーネルのライブパッチを含む 6.1.15-28.43 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023パッケージで発行されました。 CVEs 後で、アALASLIVEPATCH-2023-009ドバイザリが kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023パッケージで発行されました。別の 3 つの CVE 6.1.15-28.43 のライブパッチを含むカーネルの以前のライブパッチパッケージの更新です。 CVEs また、他のカーネルバージョンにもライブパッチ Advisories の問題があり、パッケージにはそれらの特定のカーネルバージョンのライブパッチが含まれています。

カーネルライブパッチの詳細については、「」を参照してくださいAL2023 でのカーネルライブパッチ適用。

セキュリティアドバイザリに関するツールを開発している場合は、 Advisories および の XML スキーマ updateinfo.xmlセクションで詳細を確認することをお勧めします。

Advisories および の XML スキーマ updateinfo.xml

updateinfo.xml ファイルはパッケージリポジトリ形式の一部です。これは、dnfパッケージマネージャーが 該当する Advisories の一覧表示や などの機能を実装するために解析するメタデータですセキュリティ更新プログラムをインプレースで適用する。

リポジトリメタデータ形式を解析するためのカスタムコードを記述するのではなく、dnfパッケージマネージャーの API を使用することをお勧めします。AL2023 dnfの バージョンは AL2023 リポジトリ形式と AL2 リポジトリ形式の両方を解析できるため、API を使用していずれかの OS バージョンのアドバイザリ情報を調べることができます。

RPM Software Management プロジェクトは、GitHub の rpm-metadata リポジトリに RPM メタデータ形式を文書化します。

updateinfo.xml メタデータを直接解析するツールを開発している場合は、rpm-metadata ドキュメントに細心の注意を払ってください。このドキュメントでは、 で見られた内容について説明しています。これには、メタデータ形式のルールとして合理的に解釈できる内容に対する多くの例外が含まれます。

また、GitHub の raw-historical-rpm-repository-examples リポジトリにはupdateinfo.xml、ファイルの実際の例も増えています。

ドキュメントで不明な点がある場合は、GitHub プロジェクトで問題を開いて、質問に回答し、ドキュメントを適切に更新できます。オープンソースプロジェクトでは、プルリクエストの更新ドキュメントも歓迎されます。