기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Linux의 보안을 유지하기 위해 최선을 다하고 있지만 때로는 해결이 필요한 보안 문제가 있을 수 있습니다. 수정 사항을 사용할 수 있을 때 권고가 발행됩니다. 공지를 게시하는 기본 위치는 Amazon Linux 보안 센터(ALAS)입니다. 자세한 정보는 Amazon Linux 보안 센터
중요
취약성을 보고하거나 AWS 클라우드 서비스 또는 오픈 소스 프로젝트와 관련된 보안 문제가 있는 경우 취약성 보고 페이지를
AL2023에 영향을 미치는 문제 및 관련 업데이트에 대한 정보는 Amazon Linux 팀이 여러 위치에 게시합니다. 보안 도구가 이러한 기본 소스에서 정보를 가져와 결과를 제공합니다. 따라서 Amazon Linux가 게시하는 기본 소스와 직접 상호 작용하지 않고 대신 Amazon Inspector와 같은 기본 도구에서 제공하는 인터페이스와 직접 상호 작용할 수 있습니다.
Amazon Linux 보안 센터 발표
Amazon Linux 공지는 권고에 맞지 않는 항목에 대해 제공됩니다. 이 섹션에는 권고에 맞지 않는 정보와 함께 ALAS 자체에 대한 공지가 포함되어 있습니다. 자세한 내용은 Amazon Linux 보안 센터(ALAS) 공지를 참조하세요
예를 들어 2021-001 - Amazon Linux Hotpatch Announcement for Apache Log4j
Amazon Linux 보안 센터 CVE Explorer
Amazon Linux 보안 센터 자주 묻는 질문
ALAS 및 Amazon Linux가 CVEs를 평가하는 방법에 대해 자주 묻는 몇 가지 질문에 대한 답변은 Amazon Linux 보안 센터(ALAS) 자주 묻는 질문(FAQs
ALAS 권장 사항
Amazon Linux 권고에는 Amazon Linux 사용자와 관련된 중요한 정보, 일반적으로 보안 업데이트에 대한 정보가 포함되어 있습니다. Amazon Linux 보안 센터에서
권장 사항 및 RPM 리포지토리
Amazon Linux 2023 패키지 리포지토리에는 0개 이상의 업데이트를 설명하는 메타데이터가 포함될 수 있습니다. dnf updateinfo 명령의 이름은이 정보가 포함된 리포지토리 메타데이터 파일 이름인의 이름을 따서 지정됩니다updateinfo.xml. 명령의 이름은 이고 updateinfo메타데이터 파일은를 참조하지만update, 모두 권고의 일부인 패키지 업데이트를 참조합니다.
Amazon Linux Advisories는 dnf 패키지 관리자가 참조하는 RPM 리포지토리 메타데이터에 있는 정보와 함께 Amazon Linux 보안 센터
문제를 해결하는 패키지 업데이트와 함께 새 권고를 발행하는 것이 일반적이지만 항상 그렇지는 않습니다. 이미 릴리스된 패키지에서 해결되는 새 문제에 대해 권고를 생성할 수 있습니다. 기존 업데이트에서 다루는 새 CVEs로 기존 권고를 업데이트할 수도 있습니다.
Amazon Linux 2023의 AL2023의 버전 관리형 리포지토리를 통한 결정적 업그레이드 기능은 특정 AL2023 버전의 RPM 리포지토리에 해당 버전의 RPM 리포지토리 메타데이터 스냅샷이 포함되어 있음을 의미합니다. 여기에는 보안 업데이트를 설명하는 메타데이터가 포함됩니다. 특정 AL2023 버전의 RPM 리포지토리는 릴리스 후 업데이트되지 않습니다. 이전 버전의 AL2023 RPM 리포지토리를 볼 때는 신규 또는 업데이트된 보안 권고가 표시되지 않습니다. dnf 패키지 관리자를 사용하여 latest리포지토리 버전 또는 특정 AL2023 릴리스를 확인하는 방법은 적용 가능한 권장 사항 나열 섹션을 참조하세요.
권고 IDs
각 권고는에서 참조합니다id. 현재는 Amazon Linux 보안 센터 웹 사이트에서 권고를 ALAS-2024-581로 나열하는 Amazon Linuxdnf 패키지 관리자는 해당 권고를 ALAS2023-2024-581의 ID를 가진 것으로 나열합니다. ALAS-2024-581
Amazon Linux의 경우 OS의 각 메이저 버전에는 자체 네임스페이스인 권고 IDs. Amazon Linux 권고 IDs. 과거에 Amazon Linux 권고 IDsNAMESPACE-YEAR-NUMBER. 에 사용할 수 있는 값의 전체 범위는 정의NAMESPACE되지 않았지만 , ALAS, ALASCORRETTO8, ALAS2023ALAS2, ALASPYTHON3.8, 및가 포함되어 있습니다ALASUNBOUND-1.17. YEAR는 권고가 생성된 연도이며 네임스페이스 내의 고유 정수NUMBER입니다.
권고 IDs는 일반적으로 순차적이며 업데이트가 릴리스되는 순서대로 제공되지만, 이러한 경우가 발생할 수 없는 여러 가지 이유가 있으므로 이를 가정해서는 안 됩니다.
권고 ID를 Amazon Linux의 각 메이저 버전에 고유한 불투명 문자열로 취급합니다.
Amazon Linux 2에서는 각 Extra가 별도의 RPM 리포지토리에 있었으며, 권고 메타데이터는 관련 리포지토리 내에만 포함되어 있습니다. 한 리포지토리에 대한 권고는 다른 리포지토리에 적용할 수 없습니다. Amazon Linux Security Center
AL2023은 Extras 메커니즘을 사용하여 대체 버전의 패키지를 패키징하지 않으므로 현재 RPM 리포지토리가 두 개뿐이며, 각 리포지토리에는 리포지core토리와 리포지livepatch토리가 있습니다. livepatch 리포지토리는 용입니다AL2023의 커널 라이브 패치.
권고 사항 생성 및 업데이트 타임스탬프
Amazon Linux Advisories의 생성 타임스탬프는 일반적으로 권고가 게시된 시기와 가깝지만 일반적으로 그렇지는 않습니다. 업데이트 타임스탬프는 비슷하며, 새 정보를 사용할 수 있으므로 패키지 리포지토리와 Amazon Linux 보안 센터
권고가 발행될 때 권고 타임스탬프가 정확히 일치하지 않을 수 있는 (상대적) 일반적인 경우는 준비 중인 권고와 RPM 리포지토리 콘텐츠 간에 간격이 더 긴 경우와 언제 라이브 상태가 되었는지입니다.
AL2023 버전 번호(예: 2023.6.20241031.6)와 해당 릴리스와 함께 게시된 권고 사항의 생성/업데이트 타임스탬프 사이에는 어떠한 가정도 해서는 안 됩니다.
권고 유형
RPM 리포지토리 메타데이터는 다양한 유형의 권고를 지원합니다. Amazon Linux에는 보안 업데이트인 거의 보편적으로만 발행된 권고가 있지만 이를 가정해서는 안 됩니다. 버그 수정, 개선 사항 및 새 패키지와 같은 이벤트에 대한 권고가 발행될 수 있으며 권고에는 해당 유형의 업데이트가 포함된 것으로 표시됩니다.
권고 심각도
각 문제는 별도로 평가되므로 각 권고에는 고유한 심각도가 있습니다. 여러 CVEs 단일 권고에서 처리될 수 있으며 각 CVE는 다른 평가를 가질 수 있지만 권고 자체에는 하나의 심각도가 있습니다. 단일 패키지 업데이트를 참조하는 여러 권고 사항이 있을 수 있으므로 특정 패키지 업데이트에 대해 여러 심각도가 있을 수 있습니다(권고 사항당 하나).
심각도를 낮추기 위해 Amazon Linux는 심각, 중요, 중간 및 낮음을 사용하여 권고의 심각도를 표시했습니다. 매우 드물지만 Amazon Linux 권장 사항에 심각도가 없을 수도 있습니다.
Amazon Linux는 보통이라는 용어를 사용하는 RPM 기반 Linux 배포판 중 하나이며, 일부 다른 RPM 기반 Linux 배포판은 동등한 용어 중간을 사용합니다. Amazon Linux 패키지 관리자는 두 용어를 동등한 것으로 취급하며, 타사 패키지 리포지토리는 Medium이라는 용어를 사용할 수 있습니다.
Amazon Linux 권고는 권고에서 해결된 관련 문제에 대해 더 많이 알게 되면 시간이 지남에 따라 심각도를 변경할 수 있습니다.
권고의 심각도는 일반적으로 권고에서 참조하는 CVEs에 대해 가장 높은 Amazon Linux 평가 CVSS 점수를 추적합니다. 그렇지 않은 경우가 있을 수 있습니다. 한 가지 예로 CVE가 할당되지 않은 문제가 해결되는 경우를 들 수 있습니다.
Amazon Linux에서 권고 심각도 등급을 사용하는 방법에 대한 자세한 내용은 ALAS FAQ
권장 사항 및 패키지
단일 패키지에 대해 많은 권고가 있을 수 있으며 모든 패키지에 권고가 게시되지는 않습니다. 특정 패키지 버전은 각각 자체 심각도 및 CVEs.
동일한 패키지 업데이트에 대한 여러 권고가 하나의 새로운 AL2023 릴리스에서 동시에 또는 빠르게 연속으로 발행될 수 있습니다.
다른 Linux 배포판과 마찬가지로 동일한 소스 패키지로 빌드된 하나 이상의 다양한 바이너리 패키지가 있을 수 있습니다. 예를 들어 ALAS-2024-698mariadb105 Amazon Linux 보안 센터 웹 사이트의 AL2023 섹션에mariadb105 소스 패키지에서 빌드됩니다. 소스 패키지와 이름이 같은 바이너리 패키지가 있는 것은 매우 일반적이지만 범용은 아닙니다.
Amazon Linux Advisories는 일반적으로 업데이트된 소스 패키지에서 빌드된 모든 바이너리 패키지를 나열했지만 이를 가정해서는 안 됩니다. 패키지 관리자 및 RPM 리포지토리 메타데이터 형식을 사용하면 업데이트된 바이너리 패키지의 하위 집합을 나열하는 권고를 사용할 수 있습니다.
특정 권고 사항은 특정 CPU 아키텍처에만 적용될 수 있습니다. 모든 아키텍처에 대해 빌드되지 않은 패키지 또는 모든 아키텍처에 영향을 미치지 않는 문제가 있을 수 있습니다. 모든 아키텍처에서 패키지를 사용할 수 있지만 문제가 하나에만 적용되는 경우 Amazon Linux는 일반적으로 영향을 받는 아키텍처만 참조하는 권고를 발행하지는 않았지만, 이를 가정해서는 안 됩니다.
패키지 종속성의 특성으로 인해 Advisory는 하나의 패키지를 참조하는 것이 일반적이지만, 해당 업데이트를 설치하려면 Advisory에 나열되지 않은 패키지를 포함한 다른 패키지 업데이트가 필요합니다. dnf 패키지 관리자는 필요한 종속성 설치를 처리합니다.
권장 사항 및 CVEs
권고는 0개 이상의 CVEs 처리할 수 있으며 동일한 CVE를 참조하는 여러 권고가 있을 수 있습니다.
권고가 0CVEs를 참조할 수 있는 예로는 CVE가 아직(또는 그 어느 때보다) 문제에 할당되지 않은 경우를 들 수 있습니다.
CVE를 여러 패키지에 적용할 때(예:) 여러 권고가 동일한 CVE를 참조할 수 있는 예제입니다. 예를 들어 CVE-2024-21208
특정 CVE는 패키지마다 다르게 평가할 수 있습니다. 예를 들어 특정 CVE가 심각도가 중요인 권고에서 참조되는 경우 심각도가 다른 동일한 CVE를 참조하는 다른 권고가 발행될 수 있습니다.
RPM 리포지토리 메타데이터는 각 권고 사항에 대한 참조 목록을 허용합니다. Amazon Linux는 일반적으로 CVEs만 참조하지만 메타데이터 형식은 다른 참조 유형을 허용합니다.
RPM 패키지 리포지토리 메타데이터는 사용 가능한 수정 사항이 있는 CVEs만 참조합니다. Amazon Linux 보안 센터 웹 사이트의 탐색 섹션에
권고에서 참조하는 CVEs 목록은 해당 권고를 처음 게시한 후 변경될 수 있습니다.
권고 텍스트
또한 권고에는 권고를 생성한 이유인 문제 또는 문제를 설명하는 텍스트가 포함됩니다. 일반적으로이 텍스트는 수정되지 않은 CVE 텍스트입니다. 이 텍스트는 Amazon Linux가 수정 사항을 적용한 패키지 버전과 다른 수정 사항을 사용할 수 있는 업스트림 버전 번호를 참조할 수 있습니다. Amazon Linux가 최신 업스트림 릴리스의 수정 사항을 백포트하는 것이 일반적입니다. 권고 텍스트에 Amazon Linux 버전으로 제공되는 버전과 다른 업스트림 릴리스가 언급되는 경우, 권고의 Amazon Linux 패키지 버전은 Amazon Linux에 대해 정확합니다.
RPM 리포지토리 메타데이터의 권고 텍스트는 단순히 Amazon Linux 보안 센터
커널 라이브 패치 권장 사항
라이브 패치에 대한 권고는 권고가 적용되는 패키지(예: )와 다른 패키지(Linux 커널)를 참조한다는 점에서 고유합니다. kernel-livepatch-6.1.15-28.43
커널 라이브 패치에 대한 권고는 라이브 패치 패키지가 적용되는 특정 커널 버전에 대해 특정 라이브 패치 패키지가 해결할 수 있는 문제(예: CVEs)를 참조합니다.
각 라이브 패치는 특정 커널 버전용입니다. CVE에 라이브 패치를 적용하려면 커널 버전에 적합한 라이브 패치 패키지를 설치하고 라이브 패치를 적용해야 합니다.
예를 들어 AL20232023 커널 버전 , 및에 대해 CVE-2023-61116.1.61-85.141. 6.1.56-82.125 6.1.59-84.139 이 CVE에 대한 수정 사항이 있는 새 커널 버전도 릴리스되었으며 별도의 권고 사항이 있습니다
특정 커널 버전에 사용할 수 있는 새 라이브 패치가 이미 사용 가능한 라이브 패치가 있는 경우 kernel-livepatch-KERNEL_VERSION 패키지의 새 버전이 릴리스됩니다. 예를 들어, ALASLIVEPATCH-2023-0036.1.15-28.43 세 개의 CVEs를 포함하는 커널에 대한 라이브 패치가 포함된 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 패키지와 함께 발행되었습니다. 나중에 패키지와 함께 ALASLIVEPATCH-2023-009kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 패키지는 또 다른 3개의 CVE에 대한 라이브 패치가 포함된 6.1.15-28.43 커널에 대한 이전 라이브 패치 패키지에 대한 업데이트입니다. CVEs 또한 다른 커널 버전에 대한 다른 라이브 패치 권장 사항 문제가 있었으며, 패키지에는 해당 특정 커널 버전에 대한 라이브 패치가 포함되어 있습니다.
커널 라이브 패치에 대한 자세한 내용은 섹션을 참조하세요AL2023의 커널 라이브 패치.
보안 권고와 관련된 도구를 개발하는 모든 사람에게는 권장 사항 및에 대한 XML 스키마 updateinfo.xml 단원에서 자세한 내용을 살펴보는 것이 좋습니다.
권장 사항 및에 대한 XML 스키마 updateinfo.xml
updateinfo.xml 파일은 패키지 리포지토리 형식의 일부입니다. dnf 패키지 관리자가 적용 가능한 권장 사항 나열 및와 같은 기능을 구현하기 위해 구문 분석하는 메타데이터입니다현재 위치의 보안 업데이트 적용.
리포지토리 메타데이터 형식을 구문 분석하기 위해 사용자 지정 코드를 작성하는 대신 dnf 패키지 관리자의 API를 사용하는 것이 좋습니다. AL2023dnf의 버전은 AL2023 및 AL2 리포지토리 형식을 모두 구문 분석할 수 있으므로 API를 사용하여 두 OS 버전 중 하나에 대한 자문 정보를 검사할 수 있습니다.
RPM 소프트웨어 관리
개발 도구에서 updateinfo.xml 메타데이터를 직접 구문 분석하려면 rpm-메타데이터 설명서에
또한 GitHub의 raw-historical-rpm-repository-examplesupdateinfo.xml 파일의 실제 예제 세트가 점점 증가하고 있습니다.
설명서에서 명확하지 않은 점이 있는 경우 GitHub 프로젝트에서 문제를 열어 질문에 답변하고 설명서를 적절하게 업데이트할 수 있습니다. 오픈 소스 프로젝트로서 풀 요청 업데이트 설명서도 환영합니다.
