選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

AL2023 的 Amazon Linux 安全建議

焦點模式
AL2023 的 Amazon Linux 安全建議 - Amazon Linux 2023

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

儘管我們努力確保 Amazon Linux 的安全,但有時會出現需要修正的安全問題。修正可用時,會發出諮詢。我們發佈建議的主要位置是 Amazon Linux 安全中心 (ALAS)。如需詳細資訊,請參閱 Amazon Linux 安全中心

重要

如果您想要報告漏洞或對 AWS 雲端服務或開放原始碼專案有安全疑慮,請使用漏洞報告頁面聯絡 AWS 安全部門

Amazon Linux 團隊會在數個位置發佈問題的相關資訊和影響 AL2023 的相關更新。安全工具通常會從這些主要來源擷取資訊並將結果呈現給您。因此,您可能不會直接與 Amazon Linux 發佈的主要來源互動,而是與您偏好工具提供的界面互動,例如 Amazon Inspector

Amazon Linux 安全中心公告

Amazon Linux 公告會針對不符合 諮詢的項目提供。本節包含有關 ALAS 本身的公告,以及不適合諮詢的資訊。如需詳細資訊,請參閱 Amazon Linux 安全中心 (ALAS) 公告

例如,適用於 Apache Log4j 的 2021-001 - Amazon Linux Hotpatch 公告會納入公告中,而非諮詢。在此公告中,Amazon Linux 新增了套件,協助客戶減輕軟體中不屬於 Amazon Linux 的安全問題。

Amazon Linux 安全中心 CVE Explorer 也在 ALAS 公告中宣布。如需詳細資訊,請參閱 CVEs 的新網站

Amazon Linux 安全中心常見問答集

如需有關 ALAS 和 Amazon Linux 如何評估 CVEs 的一些常見問題解答,請參閱 Amazon Linux 安全中心 (ALAS) 常見問答集 (FAQs)

ALAS Advisories

Amazon Linux 諮詢包含與 Amazon Linux 使用者相關的重要資訊,通常是有關安全性更新的資訊。Amazon Linux 安全中心是在 Web 上顯示 Advisories 的位置。建議資訊也是 RPM 套件儲存庫中繼資料的一部分。

建議和 RPM 儲存庫

Amazon Linux 2023 套件儲存庫可能包含描述零個或多個更新的中繼資料。dnf updateinfo 命令是以包含此資訊的儲存庫中繼資料檔案名稱 命名updateinfo.xml。雖然命令名為 updateinfo,且中繼資料檔案參考的是 update,但這些都參考屬於 諮詢的套件更新。

Amazon Linux Advisories 會發佈在 Amazon Linux 安全中心網站上,以及dnf套件管理員參考的 RPM 儲存庫中繼資料中的資訊。網站和儲存庫中繼資料最終一致,並且網站和儲存庫中繼資料中的資訊可能存在不一致。這通常發生在新的 AL2023 版本正在發佈時,在最新的 AL2023 版本之後,諮詢已更新。

雖然一般情況下,新的諮詢會隨著解決此問題的套件更新發出,但情況並非總是如此。您可以針對已在發行的套件中解決的新問題建立諮詢。現有的諮詢也可能會更新為由現有更新所解決的新 CVEs。

Amazon Linux 2023 透過 AL2023 上的版本控制儲存庫進行確定性升級的功能表示特定 AL2023 版本的 RPM 儲存庫包含該版本 RPM 儲存庫中繼資料的快照。這包括描述安全性更新的中繼資料。特定 AL2023 版本的 RPM 儲存庫在發行後不會更新查看舊版 AL2023 RPM 儲存庫時,不會顯示新的或更新的安全性建議。如需如何使用dnf套件管理員查看latest儲存庫版本或特定 AL2023 版本,請參閱列出適用的建議一節。

諮詢 IDs

每個諮詢都由 參考id。目前,Amazon Linux 安全中心網站會將諮詢列為 ALAS-2024-581,而dnf套件管理員會將該諮詢列為 ID 為 ALAS2023-2024-581。參考特定諮詢時,何時需要使用就地套用安全性更新套件管理員 ID。

對於 Amazon Linux,每個作業系統的主要版本都有自己的諮詢 IDs 命名空間。不應對 Amazon Linux Advisory IDs的格式做出任何假設。過去,Amazon Linux 諮詢 IDs 遵循 的模式NAMESPACE-YEAR-NUMBERNAMESPACE 未定義 的完整可能值範圍,但包含 ALASALASCORRETTO8ALAS2023ALAS2ALASPYTHON3.8ALASUNBOUND-1.17YEAR 是建立諮詢的年份,NUMBER也是命名空間內的唯一整數。

雖然諮詢 IDs通常是循序的,並依更新發佈的順序,但有許多原因導致無法做到這一點,因此不應假設這一點。

將諮詢 ID 視為不透明字串,對於每個 Amazon Linux 主要版本都是唯一的。

在 Amazon Linux 2 中,每個 Extra 位於單獨的 RPM 儲存庫中,而 Advisory 中繼資料僅包含在與其相關的儲存庫中。一個儲存庫的諮詢不適用於另一個儲存庫。在 Amazon Linux 安全中心網站上,目前每個主要 Amazon Linux 版本都有一個 Advisories 清單,而且不會區分為每個儲存庫清單。

由於 AL2023 不使用 Extras 機制封裝套件的替代版本,因此目前只有兩個 RPM 儲存庫,每個儲存庫都有 Advisories、core儲存庫和livepatch儲存庫。livepatch 儲存庫適用於 AL2023 上的核心即時修補

建議建立和更新時間戳記

Amazon Linux Advisories 的建立時間戳記通常接近公告發佈時,但情況並非如此。更新時間戳記類似,套件儲存庫和 Amazon Linux 安全中心網站可能無法同步更新,因為有新資訊可用。

(相對地) 諮詢時間戳記在發出諮詢時可能不完全相符的常見案例,是 Advisories 和 RPM 儲存庫內容之間準備的時間和上線的時間有較長的差距。

AL2023 版本編號 (例如 2023.6.20241031) 與該版本一起發佈的 Advisories 建立/更新時間戳記之間不應有任何假設。

建議類型

RPM 儲存庫中繼資料支援不同類型的 Advisories。雖然 Amazon Linux 幾乎只有幾乎通用發行的 Advisories 是安全性更新,但不應假設。可能會發出錯誤修正、增強功能和新套件等事件的建議,並將建議標記為包含該類型的更新。

諮詢嚴重性

每個諮詢都有自己的嚴重性,因為每個問題都會分別評估。單一諮詢中可能會處理多個 CVEs,每個 CVE 的評估可能不同,但諮詢本身具有一個嚴重性。可能會有多個 Advisories 參照單一套件更新,因此特定套件更新可能會有多個嚴重性 (每個 Advisory 一個)。

為了降低嚴重性,Amazon Linux 已使用「關鍵」、「重要」、「中」和「低」來表示諮詢的嚴重性。Amazon Linux Advisories 也可能沒有嚴重性,但這非常罕見。

Amazon Linux 是使用「中等」一詞的 RPM 型 Linux 發行版本之一,而有些其他以 RPM 為基礎的 Linux 發行版本則使用「中等」一詞。Amazon Linux 套件管理員會將這兩個術語視為同等術語,而第三方套件儲存庫可以使用 Medium 一詞。

Amazon Linux Advisories 可以隨著時間變更嚴重性,因為有更多人了解諮詢中解決的相關問題。

諮詢的嚴重性通常會追蹤諮詢所參考之 CVEs 的最高 Amazon Linux 評估 CVSS 分數。在某些情況下,可能不是這種情況。其中一個範例是,有一個未指派 CVE 的已解決問題。

如需 Amazon Linux 如何使用諮詢嚴重性評分的詳細資訊,請參閱 ALAS 常見問答集

建議和套件

單一套件可能有多個公告,而且並非所有套件都會發佈公告公告。您可以在多個 Advisories 中參考特定套件版本,每個版本都有自己的嚴重性和 CVEs。

同一個套件更新的多個 Advisories 可以在一個新的 AL2023 版本中同時發行,或快速連續發行。

如同其他 Linux 發行版本,可以有一到多個不同的二進位套件從相同的來源套件建置。例如,ALAS-2024-698Amazon Linux 安全中心網站 AL2023 區段上列為套用至mariadb105套件的諮詢。這是來源套件名稱,諮詢本身是指與來源套件一起的二進位套件。在此情況下,系統會從一個mariadb105來源套件建置十幾個以上的二進位套件。雖然存在與來源套件同名的二進位套件非常常見,但這不是通用的。

雖然 Amazon Linux Advisories 通常會列出從更新後的來源套件建置的所有二進位套件,但不應假設。套件管理員和 RPM 儲存庫中繼資料格式允許 Advisories 列出更新二進位套件的子集。

特定諮詢也可能僅適用於特定 CPU 架構。可能有些套件並非針對所有架構建置,或問題不會影響所有架構。如果套件適用於所有架構,但問題僅適用於一個架構,Amazon Linux 通常不會發出僅參考受影響架構的諮詢,但不應假設。

由於套件相依性的性質,諮詢通常會參考一個套件,但安裝該更新將需要其他套件更新,包括未列在諮詢中的套件。dnf 套件管理員將處理安裝所需的相依性。

建議和 CVEs

諮詢可以解決零個或多個 CVEs,並且可能有多個參考相同 CVE 的諮詢。

諮詢可能參考零 CVEs的範例是 CVE 尚未 (或曾經) 指派給問題。

當 (例如) CVE 適用於多個套件時,多個 Advisories 可能參考相同 CVE 的範例。例如,CVE-2024-21208 適用於 Corretto 8、11、17 和 21。每個 Corretto 版本都是 AL2023 中的個別套件,且每個套件都有一個諮詢:適用於 Corretto 8 的 ALAS-2024-754、適用於 Corretto 11 的 ALAS-2024-753、適用於 Corretto 17 的 ALAS-2024-752,以及適用於 Corretto 21 的 ALAS-2024-752。雖然這些 Corretto 版本都有相同的 CVEs 清單,但不應假設。

可以針對不同的套件,以不同的方式評估特定 CVE。例如,如果在嚴重性為重要的諮詢中參考特定 CVE,則可能會發出另一個諮詢,參考嚴重性不同的相同 CVE。

RPM 儲存庫中繼資料允許每個諮詢的參考清單。雖然 Amazon Linux 通常只參考 CVEs,但中繼資料格式允許其他參考類型。

RPM 套件儲存庫中繼資料只會參考具有可用修正的 CVEs。Amazon Linux 安全中心網站的探索區段包含 Amazon Linux 已評估CVEs 相關資訊。此評估可能會導致各種 Amazon Linux 版本和套件的 CVSS 基本分數、嚴重性和狀態。特定 Amazon Linux 版本或套件的 CVE 狀態可能未受影響、待定修正或未規劃修正。在發出諮詢之前,CVEs 的狀態和評估可能會多次變更。這包括重新評估 CVE 對 Amazon Linux 的適用性。

諮詢參考的 CVEs 清單可能會在該諮詢的初始發佈之後變更。

諮詢文字

諮詢也會包含文字,說明建立諮詢的原因所引發的問題。此文字通常是未修改的 CVE 文字。此文字可能是指上游版本編號,其中有可用的修正與 Amazon Linux 已套用修正的套件版本不同。Amazon Linux 通常會從較新的上游版本回溯連接埠修正。如果諮詢文字提及的上游版本與 Amazon Linux 版本中運送的版本不同,則諮詢中的 Amazon Linux 套件版本對於 Amazon Linux 而言將是準確的。

RPM 儲存庫中繼資料中的諮詢文字可能是預留位置文字,只要參考 Amazon Linux 安全中心網站以取得詳細資訊即可。

核心即時修補程式建議

即時修補程式的建議是唯一的,因為它們參考的是與諮詢所針對的套件不同的套件 (例如 )。 kernel-livepatch-6.1.15-28.43

核心即時修補程式的諮詢將參考特定即時修補程式套件可以解決的問題 (例如 CVEs),適用於即時修補程式套件的特定核心版本。

每個即時修補程式適用於特定核心版本。為了套用 CVE 的即時修補程式,需要安裝核心版本的正確即時修補程式套件,並套用即時修補程式。

例如,CVE-2023-6111 可以針對 AL2023 核心版本 6.1.56-82.1256.1.59-84.139和 進行即時修補6.1.61-85.141。也發行了具有此 CVE 修正程式的新核心版本,並具有單獨的諮詢。為了在 AL20232023 上解決 CVE-2023-6111,核心版本等於或晚於 ALAS2023-2023-461 指定的需要執行,或者具有此 CVE 即時修補程式的其中一個核心版本需要執行並套用適用的即時修補程式。

當特定核心版本有可用的新即時修補程式時,會發行該kernel-livepatch-KERNEL_VERSION套件的新版本。例如,ALASLIVEPATCH-2023-003諮詢是由 kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023套件發行,其中包含涵蓋三個 CVEs 6.1.15-28.43 的核心即時修補程式。稍後,使用 kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023 套件發行ALASLIVEPATCH-2023-009了諮詢;針對包含其他三個 CVEs 6.1.15-28.43 的即時修補程式的核心更新了先前的即時修補程式套件。其他核心版本也有其他即時修補程式 Advisories 問題,其中包含這些特定核心版本的即時修補程式套件。

如需核心即時修補的詳細資訊,請參閱 AL2023 上的核心即時修補

對於任何開發安全建議相關工具的人員,也建議查看 適用於 Advisories 和 的 XML 結構描述 updateinfo.xml一節以取得更多資訊。

適用於 Advisories 和 的 XML 結構描述 updateinfo.xml

updateinfo.xml 檔案是套件儲存庫格式的一部分。這是dnf套件管理員剖析的中繼資料,以實作 列出適用的建議和 等功能就地套用安全性更新

我們建議使用dnf套件管理員的 API,而不是撰寫自訂程式碼來剖析儲存庫中繼資料格式。AL2023 dnf中的 版本可以同時剖析 AL2023 和 AL2 儲存庫格式,因此 API 可用來檢查任一作業系統版本的諮詢資訊。

RPM 軟體管理專案會將 RPM 中繼資料格式記錄在 GitHub 上的 rpm 中繼資料儲存庫中。

對於開發工具以直接剖析updateinfo.xml中繼資料的人員,強烈建議注意 rpm 中繼資料文件。文件涵蓋了在萬用字元中看到的內容,其中包括許多您可以合理解釋為中繼資料格式規則的例外狀況。

GitHub 上的 raw-historical-rpm-repository-examples 儲存庫中也有一組不斷成長的真實世界updateinfo.xml檔案範例。 raw-historical-rpm-repository-examples

如果文件中有任何不清楚的地方,您可以在 GitHub 專案上開啟問題,以便我們可以回答問題並適當地更新文件。作為開放原始碼專案,也歡迎提取請求更新文件。

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。