As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Consultorias de segurança do Amazon Linux para 2013 AL2

Embora trabalhemos duro para tornar o Amazon Linux seguro, às vezes haverá problemas de segurança que precisam ser corrigidos. Um aviso é emitido quando uma correção está disponível. O principal local onde publicamos recomendações é o Amazon Linux Security Center (ALAS). Para obter informações, consulte o Amazon Linux Security Center.

As informações sobre problemas e as atualizações relevantes que afetam o AL2 023 são publicadas pela equipe do Amazon Linux em vários locais. É comum que as ferramentas de segurança busquem informações dessas fontes primárias e apresentem os resultados para você. Dessa forma, você pode não interagir diretamente com as fontes primárias que o Amazon Linux publica, mas sim com a interface fornecida pelas suas ferramentas preferidas, como o Amazon Inspector.

Anúncios do Amazon Linux Security Center

Os anúncios do Amazon Linux são fornecidos para itens que não se encaixam em um aviso. Esta seção contém anúncios sobre o próprio ALAS, junto com informações que não cabem em um comunicado. Para obter mais informações, consulte Anúncios do Amazon Linux Security Center (ALAS).

Por exemplo, o anúncio 2021-001 - Amazon Linux Hotpatch para Apache Log4j se encaixa em um anúncio em vez de em um aviso. Neste anúncio, a Amazon Linux adicionou um pacote para ajudar os clientes a mitigar um problema de segurança em software que não fazia parte do Amazon Linux.

O Amazon Linux Security Center CVE Explorer também foi anunciado nos anúncios do ALAS. Para obter mais informações, consulte Novo site para CVEs.

Perguntas frequentes sobre o Amazon Linux Security Center

Para obter respostas a algumas perguntas frequentes sobre o ALAS e como o Amazon Linux avalia CVEs, consulte Perguntas frequentes do Amazon Linux Security Center (ALAS) (). FAQs

Avisos da ALAS

Um Amazon Linux Advisory contém informações importantes relevantes para os usuários do Amazon Linux, geralmente informações sobre atualizações de segurança. O Amazon Linux Security Center é onde os avisos são visíveis na web. As informações consultivas também fazem parte dos metadados do repositório de pacotes RPM.

Consultorias e repositórios RPM

Um repositório de pacotes do Amazon Linux 2023 pode conter metadados descrevendo zero ou mais atualizações. O dnf updateinfo comando tem o nome do nome do arquivo de metadados do repositório que contém essas informações,. updateinfo.xml Embora o comando tenha um nome updateinfo e o arquivo de metadados se refira a umupdate, todos eles se referem a atualizações de pacotes que fazem parte de um Aviso.

Os Amazon Linux Advisories são publicados no site do Amazon Linux Security Center, junto com as informações presentes nos metadados do repositório RPM aos quais o gerenciador de dnf pacotes se refere. Eventualmente, os metadados do site e do repositório são consistentes e pode haver inconsistências nas informações do site e nos metadados do repositório. Isso normalmente ocorre quando uma nova versão do AL2 023 está em processo de lançamento. Há uma atualização para um Aviso após a versão mais recente do AL2 023.

Embora seja comum que um novo aviso seja emitido junto com a atualização do pacote que resolve o problema, esse nem sempre é o caso. Um aviso pode ser criado para um novo problema que é tratado em pacotes já lançados. Um Aviso existente também pode ser atualizado com novos CVEs , que são abordados pela atualização existente.

O Atualizações determinísticas por meio de repositórios versionados em 023 AL2 recurso do Amazon Linux 2023 significa que o repositório RPM de uma determinada versão AL2 023 contém um instantâneo dos metadados do repositório RPM a partir dessa versão. Isso inclui os metadados que descrevem as atualizações de segurança. O repositório RPM para uma determinada versão AL2 023 não é atualizado após o lançamento. Avisos de segurança novos ou atualizados não estarão visíveis ao examinar uma versão mais antiga dos repositórios AL2 023 RPM. Consulte a Listando os avisos aplicáveis seção para saber como usar o gerenciador de dnf pacotes para examinar a versão do latest repositório ou uma versão AL2 023 específica.

Consultivo IDs

Cada Consultoria é referida por umid. Atualmente, é uma peculiaridade do Amazon Linux, onde o site do Amazon Linux Security Center listará um aviso como ALAS-2024-581, enquanto o gerenciador de dnf pacotes listará esse aviso como tendo o ID 023-2024-581. ALAS2 Quando Aplicando atualizações de segurança no local o ID do gerenciador de pacotes precisa ser usado para se referir a um aviso específico.

Para o Amazon Linux, cada versão principal do sistema operacional tem seu próprio namespace de Advisory. IDs Não se deve fazer suposições quanto ao formato do Amazon Linux Advisory. IDs Historicamente, a Amazon Linux Advisory IDs seguiu o padrão deNAMESPACE-YEAR-NUMBER. O intervalo completo de valores possíveis para não NAMESPACE está definido, mas inclui ALASALASCORRETTO8, ALAS2023ALAS2,ALASPYTHON3.8,, ALASUNBOUND-1.17 e. YEARFoi o ano em que a consultoria foi criada e NUMBER é um número inteiro exclusivo no namespace.

Embora o Advisory normalmente IDs seja sequencial e na ordem em que as atualizações sejam lançadas, há muitos motivos pelos quais esse não pode ser o caso, portanto, isso não deve ser assumido.

Trate o Advisory ID como uma string opaca que é exclusiva para cada versão principal do Amazon Linux.

No Amazon Linux 2, cada Extra estava em um repositório RPM separado, e os metadados do Advisory estão contidos somente no repositório ao qual são relevantes. Um aviso para um repositório não é aplicável a outro repositório. No site do Amazon Linux Security Center, há atualmente uma lista de recomendações para cada versão principal do Amazon Linux, e ela não está separada em listas por repositório.

Como o AL2 023 não usa o mecanismo Extras para empacotar versões alternativas de pacotes, atualmente existem apenas dois repositórios RPM, cada um com recomendações, o repositório e o core repositório. livepatch O livepatch repositório é paraAtualização do Kernel Live em 023 AL2.

Carimbos de data e hora de criação e atualização do Advisory

A data e hora de criação do Amazon Linux Advisories normalmente será próxima à data em que a Consultoria foi publicada, mas esse não é o caso universal. A data e hora da atualização é semelhante, e os repositórios de pacotes e o site do Amazon Linux Security Center podem não ser atualizados em sincronia à medida que novas informações estão disponíveis.

Um caso (relativamente) comum em que os timestamps do Advisory podem não corresponder exatamente ao momento em que o Advisory foi emitido é quando havia uma lacuna maior entre o conteúdo do Advisories e do repositório RPM sendo preparado e o momento em que eles foram disponibilizados.

Não deve haver nenhuma suposição entre o número da versão AL2 023 (por exemplo, 2023.6.20241031) e os registros de data e hora de criação/atualização dos avisos publicados junto com essa versão.

Tipos de consultoria

Os metadados do repositório RPM oferecem suporte a recomendações de diferentes tipos. Embora o Amazon Linux tenha emitido quase universalmente apenas avisos que são atualizações de segurança, isso não deve ser assumido. É possível que avisos para eventos como correções de bugs, aprimoramentos e novos pacotes possam ser emitidos, e o aviso seja marcado como contendo esse tipo de atualização.

Severidades consultivas

Cada Consultoria tem sua própria Gravidade, pois cada problema é avaliado separadamente. Várias CVEs podem ser tratadas em uma única Consultoria, e cada CVE pode ter uma avaliação diferente, mas a Consultoria em si tem uma Severidade. Pode haver várias recomendações referentes a uma única atualização de pacote, portanto, pode haver várias severidades para uma atualização de pacote específica (uma por recomendação).

Em ordem decrescente de severidade, o Amazon Linux usou Crítico, Importante, Moderado e Baixo para indicar a severidade de um aviso. Os Amazon Linux Advisories também podem não ter uma severidade, embora isso seja extremamente raro.

O Amazon Linux é uma das distribuições Linux baseadas em RPM que usa o termo Moderado, enquanto outras distribuições Linux baseadas em RPM usam o termo equivalente Médio. O gerenciador de pacotes Amazon Linux trata os dois termos como equivalentes, e repositórios de pacotes de terceiros podem usar o termo Médio.

As recomendações do Amazon Linux podem mudar a gravidade ao longo do tempo, à medida que se aprende mais sobre as questões relevantes abordadas na consultoria.

A severidade de um aviso normalmente rastreia a pontuação CVSS mais alta avaliada pelo Amazon Linux para aqueles CVEs referenciados pelo aviso. Pode haver casos em que esse não seja o caso. Um exemplo seria quando há um problema resolvido para o qual não há um CVE atribuído.

Consulte as perguntas frequentes do ALAS para obter mais informações sobre como o Amazon Linux usa as classificações de severidade consultivas.

Avisos e pacotes

Pode haver muitos avisos para um único pacote, e nem todos os pacotes terão um aviso publicado para eles. Uma versão específica do pacote pode ser referenciada em vários avisos, cada um com sua própria severidade e. CVEs

É possível que vários avisos para a mesma atualização de pacote sejam emitidos simultaneamente em uma nova versão AL2 023 ou em rápida sucessão.

Como outras distribuições Linux, pode haver um ou vários pacotes binários diferentes criados a partir do mesmo pacote fonte. Por exemplo, o ALAS-2024-698 é um aviso listado na seção AL2 023 do site do Amazon Linux Security Center como aplicável ao pacote. mariadb105 Esse é o nome do pacote fonte, e o próprio Aviso se refere aos pacotes binários junto com o pacote fonte. Nesse caso, mais de uma dúzia de pacotes binários são criados a partir de um único pacote mariadb105 fonte. Embora seja extremamente comum haver um pacote binário com o mesmo nome do pacote fonte, isso não é universal.

Embora o Amazon Linux Advisories normalmente liste todos os pacotes binários criados a partir do pacote fonte atualizado, isso não deve ser assumido. O gerenciador de pacotes e o formato de metadados do repositório RPM permitem recomendações que listam um subconjunto dos pacotes binários atualizados.

Um aviso específico também pode ser aplicado somente a uma arquitetura de CPU específica. Pode haver pacotes que não foram criados para todas as arquiteturas ou problemas que não afetam todas as arquiteturas. No caso em que um pacote está disponível em todas as arquiteturas, mas um problema se aplica somente a uma, o Amazon Linux normalmente não emitiu um aviso referenciando apenas a arquitetura afetada, embora isso não deva ser assumido.

Devido à natureza das dependências do pacote, é comum que um Aviso faça referência a um pacote, mas a instalação dessa atualização exigirá outras atualizações de pacotes, incluindo pacotes que não estão listados no Aviso. O gerenciador de dnf pacotes cuidará da instalação das dependências necessárias.

Avisos e CVEs

Um Aviso pode abordar zero ou mais CVEs, e pode haver vários Avisos referenciando o mesmo CVE.

Um exemplo de quando uma Consultoria pode fazer referência a zero CVEs é quando um CVE ainda não foi (ou nunca) foi atribuído ao problema.

Um exemplo de onde várias recomendações podem fazer referência ao mesmo CVE quando (por exemplo) o CVE é aplicável a vários pacotes. Por exemplo, CVE-2024-21208 se aplica ao Corretto 8, 11, 17 e 21. Cada uma dessas versões do Corretto é um pacote separado no AL2 023, e há um Aviso para cada um desses pacotes: ALAS-2024-754 para o Corretto 8, ALAS-2024-753 para o Corretto 11, ALAS-2024-752 para o Corretto 17 e ALAS-2024-752 para o Corretto 21. Embora todos esses lançamentos do Corretto tenham a mesma lista de CVEs, isso não deve ser assumido.

Um CVE específico pode ser avaliado de forma diferente para pacotes diferentes. Por exemplo, se um CVE específico for referenciado em um Aviso com uma Gravidade Importante, é possível que outro Aviso seja emitido referenciando o mesmo CVE com uma Gravidade diferente.

Os metadados do repositório RPM permitem uma lista de referências para cada Consultoria. Embora o Amazon Linux normalmente só faça referências CVEs, o formato de metadados permite outros tipos de referência.

Os metadados do repositório de pacotes RPM só se referirão CVEs com uma correção disponível. A seção Explore do site do Amazon Linux Security Center contém informações sobre o CVEs que o Amazon Linux avaliou. Essa avaliação pode resultar em uma pontuação básica, severidade e status do CVSS para várias versões e pacotes do Amazon Linux. O status de um CVE para uma versão ou pacote específico do Amazon Linux pode ser Não afetado, Correção pendente ou Nenhuma correção planejada. O status e a avaliação do CVEs podem mudar várias vezes e de qualquer forma antes da emissão de um Aviso. Isso inclui a reavaliação da aplicabilidade de um CVE ao Amazon Linux.

A lista de pessoas CVEs referenciadas por um Consultório pode mudar após a publicação inicial desse Aviso.

Texto consultivo

Um Aviso também conterá um texto descrevendo o problema ou problemas que foram o motivo da criação do Aviso. É comum que esse texto seja o texto CVE não modificado. Esse texto pode se referir aos números de versão upstream em que uma correção está disponível e que são diferentes da versão do pacote à qual o Amazon Linux aplicou uma correção. É comum que o Amazon Linux faça backport de correções de versões upstream mais recentes. Caso o texto do Aviso mencione uma versão upstream diferente da versão enviada em uma versão do Amazon Linux, as versões do pacote Amazon Linux no Aviso serão precisas para o Amazon Linux.

É possível que o texto consultivo nos metadados do repositório RPM seja um texto reservado simplesmente referindo-se ao site do Amazon Linux Security Center para obter detalhes.

Avisos sobre o Kernel Live Patch

Os avisos para patches ativos são exclusivos, pois se referem a um pacote diferente (o kernel Linux) do pacote contra o qual o Aviso se refere (por exemplo). kernel-livepatch-6.1.15-28.43

Um aviso para um Kernel Live Patch fará referência aos problemas (como CVEs) que o pacote específico do Live Patch pode resolver para a versão específica do kernel à qual o pacote de patch ativo se aplica.

Cada patch ativo é para uma versão específica do kernel. Para aplicar um patch ativo a um CVE, o pacote de patch ativo correto para sua versão do kernel precisa ser instalado e o patch ativo aplicado.

Por exemplo, o CVE-2023-6111 pode ser corrigido ao vivo para AL2 as versões 023 do kernel, e. 6.1.56-82.125 6.1.59-84.139 6.1.61-85.141 Uma nova versão do kernel com uma correção para esse CVE também foi lançada e tem um aviso separado. Para que o CVE-2023-6111 seja endereçado no AL2 023, uma versão do kernel igual ou posterior à especificada pelo ALAS2023-2023-461 precisa estar em execução ou uma das versões do kernel com um patch ativo para esse CVE precisa estar em execução com o livepatch aplicável aplicado.

Quando há novos patches ativos disponíveis para uma versão específica do kernel que já tem um patch ativo disponível, uma nova versão do kernel-livepatch-KERNEL_VERSION pacote é lançada. Por exemplo, as receitas ALASLIVEPATCH-2023-003O aviso foi emitido com o kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 pacote que continha patches ativos para o 6.1.15-28.43 kernel, abrangendo três CVEs. Mais tarde, o ALASLIVEPATCH-2023-009Foi emitido um aviso com o kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 pacote; uma atualização do pacote de patch ativo anterior para o 6.1.15-28.43 kernel contendo patches ativos para outros três CVEs. Também houve outros problemas de recomendações de patches ativos para outras versões do kernel, com pacotes contendo patches ativos para essas versões específicas do kernel.

Para obter mais informações sobre o kernel live patching, consulte. Atualização do Kernel Live em 023 AL2

Para qualquer pessoa que desenvolva ferramentas relacionadas a alertas de segurança, também é recomendável consultar a Esquema XML para recomendações e updateinfo.xml seção para obter mais informações.

Esquema XML para recomendações e updateinfo.xml

O updateinfo.xml arquivo faz parte do formato do repositório de pacotes. São os metadados que o gerenciador de dnf pacotes analisa para implementar funcionalidades como e. Listando os avisos aplicáveis Aplicando atualizações de segurança no local

Recomendamos que a API do gerenciador de dnf pacotes seja usada em vez de escrever código personalizado para analisar os formatos de metadados do repositório. A versão do dnf in AL2 023 pode analisar os formatos AL2 023 e do AL2 repositório e, portanto, a API pode ser usada para examinar informações consultivas para qualquer versão do sistema operacional.

O projeto RPM Software Management documenta os formatos de metadados RPM no repositório rpm-metadata em. GitHub

Para aqueles que desenvolvem ferramentas para analisar diretamente os updateinfo.xml metadados, é altamente recomendável prestar muita atenção à documentação do rpm-metadata. A documentação aborda o que foi visto na natureza, o que inclui muitas exceções ao que você pode interpretar razoavelmente como uma regra para o formato de metadados.

Também há um conjunto crescente de exemplos reais de updateinfo.xml arquivos no repositório raw-historical-rpm-repository-examples em. GitHub

Caso algo não esteja claro na documentação, você pode abrir um problema no GitHub projeto para que possamos responder à pergunta e atualizar a documentação adequadamente. Como projetos de código aberto, pull requests atualizando a documentação também são bem-vindos.