Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon Linux-Sicherheitsempfehlungen für AL2023
Wir arbeiten kontinuierlich an der Sicherheit von Amazon Linux, dennoch werden von Zeit zu Zeit Sicherheitsprobleme auftauchen, die behoben werden müssen. Ein *Hinweis* wird herausgegeben, wenn ein Fix verfügbar ist. Der Hauptort, an dem wir unsere Empfehlungen veröffentlichen, ist das Amazon Linux Security Center (ALAS). Weitere Informationen erhalten Sie im [Amazon-Linux-Sicherheitszentrum](https://alas.aws.amazon.com/alas2023.html).
**Wichtig**
Wenn Sie eine Sicherheitslücke melden möchten oder Sicherheitsbedenken in Bezug auf AWS Cloud-Dienste oder Open-Source-Projekte haben, wenden Sie sich über die Seite zur [Meldung von AWS Sicherheitslücken an die Sicherheitsabteilung](https://aws.amazon.com/security/vulnerability-reporting/)
Informationen zu Problemen und den relevanten Updates, die sich darauf auswirken, AL2023 werden vom Amazon Linux-Team an verschiedenen Orten veröffentlicht. Normalerweise rufen Sicherheitstools Informationen aus diesen Primärquellen ab und präsentieren Ihnen die Ergebnisse. Daher interagieren Sie möglicherweise nicht direkt mit den primären Quellen, die Amazon Linux veröffentlicht, sondern mit der Schnittstelle, die von Ihren bevorzugten Tools wie [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) bereitgestellt wird.
## Ankündigungen des Amazon Linux Security Center
*Ankündigungen* von Amazon Linux beziehen sich auf Artikel, die nicht in eine Empfehlung passen. Dieser Abschnitt enthält Ankündigungen über ALAS selbst sowie Informationen, die nicht in eine Empfehlung passen. Weitere Informationen finden Sie unter [Ankündigungen des Amazon Linux Security Center (ALAS)](https://alas.aws.amazon.com/announcements.html).
Zum Beispiel passt die [Amazon Linux Hotpatch-Ankündigung 2021-001 für Apache Log4j](https://alas.aws.amazon.com/announcements/2021-001.html) eher in eine Ankündigung als in eine Empfehlung. In dieser Ankündigung hat Amazon Linux ein Paket hinzugefügt, das Kunden dabei unterstützt, ein Sicherheitsproblem in Software zu beheben, die nicht Teil von Amazon Linux war.
Der [Amazon Linux Security Center CVE Explorer](https://explore.alas.aws.amazon.com/) wurde ebenfalls in den ALAS-Ankündigungen angekündigt. Weitere Informationen finden Sie unter [Neue Website für CVEs](https://alas.aws.amazon.com/announcements/2023-001.html).
## Häufig gestellte Fragen zum Amazon Linux Security Center
Antworten auf einige häufig gestellte Fragen zu ALAS und zur Bewertung CVEs von Amazon Linux finden Sie unter [Häufig gestellte Fragen zum Amazon Linux Security Center (ALAS) (FAQs)](https://alas.aws.amazon.com/faqs.html).
## ALAS-Empfehlungen
Ein Amazon Linux-Advisory enthält wichtige Informationen, die für Amazon Linux-Benutzer relevant sind, in der Regel Informationen zu Sicherheitsupdates. Im [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) sind die Advisories im Internet sichtbar. Hinweisinformationen sind auch Teil der Metadaten des RPM-Paket-Repositorys.
## Hinweise und RPM-Repositorien
Ein Amazon Linux 2023-Paket-Repository kann Metadaten enthalten, die keine oder mehr Updates beschreiben. Der `dnf updateinfo` Befehl ist nach dem Dateinamen der Repository-Metadaten benannt, der diese Informationen enthält`updateinfo.xml`. Der Befehl ist zwar benannt `updateinfo` und die Metadatendatei bezieht sich auf eine`update`, aber alle beziehen sich auf Paket-Updates, die Teil eines Advisory sind.
Amazon Linux-Advisories werden auf der [Amazon Linux Security Center-Website](https://alas.aws.amazon.com/alas2023.html) zusammen mit Informationen in den RPM-Repository-Metadaten veröffentlicht, auf die sich der `dnf` Paketmanager bezieht. Die Website- und Repository-Metadaten sind letztendlich konsistent, und es kann zu Inkonsistenzen bei den Informationen auf der Website und in den Repository-Metadaten kommen. Dies AL2023 ist in der Regel der Fall, wenn eine neue Version von gerade veröffentlicht wird und ein Advisory nach der letzten AL2023 Version aktualisiert wurde.
Es ist zwar üblich, dass zusammen mit dem Paket-Update, das das Problem behebt, ein neues Advisory veröffentlicht wird, aber das ist nicht immer der Fall. Ein Hinweis kann für ein neues Problem erstellt werden, das in bereits veröffentlichten Paketen behoben ist. Eine bestehende Empfehlung kann auch mit neuen aktualisiert werden CVEs , die durch das bestehende Update behoben werden.
Die [Deterministische Upgrades durch versionierte Repositorys auf AL2023](deterministic-upgrades.md) Funktion von Amazon Linux 2023 bedeutet, dass das RPM-Repository für eine bestimmte AL2023 Version einen Snapshot der RPM-Repository-Metadaten für diese Version enthält. Dazu *gehören* die Metadaten, die Sicherheitsupdates beschreiben. Das RPM-Repository für eine bestimmte AL2023 Version *wird nach der Veröffentlichung nicht aktualisiert*. Neue oder aktualisierte Sicherheitshinweise *werden nicht angezeigt, wenn Sie sich eine ältere Version der AL2023 RPM-Repositorys* ansehen. [Liste der zutreffenden Hinweise](listing-applicable-advisories.md)In diesem Abschnitt erfahren Sie, wie Sie den `dnf` Paketmanager verwenden können, um sich entweder die `latest` Repository-Version oder eine bestimmte AL2023 Version anzusehen.
## Hinweis IDs
Auf jedes Advisory wird mit einem verwiesen`id`. Derzeit ist es eine Eigenart von Amazon Linux, dass auf der [Amazon Linux Security Center-Website](https://alas.aws.amazon.com/alas2023.html) eine Empfehlung als [ALAS-2024-581](https://alas.aws.amazon.com/AL2023/ALAS-2024-581.html) aufgeführt wird, während der `dnf` Paketmanager diese Empfehlung mit der ID -2024-581 [auflistet](listing-applicable-advisories.md). ALAS2023 Wenn [Direktes Anwenden von Sicherheitsupdates](security-inplace-update.md) die Paketmanager-ID verwendet werden muss, wenn auf ein bestimmtes Advisory verwiesen wird.
Für Amazon Linux hat jede Hauptversion des Betriebssystems ihren eigenen IDs Advisory-Namespace. Es sollten keine Annahmen über das Format von Amazon Linux Advisory getroffen IDs werden. In der Vergangenheit folgte Amazon Linux Advisory IDs dem Muster von`NAMESPACE-YEAR-NUMBER`. Der gesamte Bereich möglicher Werte für `NAMESPACE` ist nicht definiert, umfasst aber`ALAS`,`ALASCORRETTO8`, `ALAS2023``ALAS2`,`ALASPYTHON3.8`, und`ALASUNBOUND-1.17`. Dabei handelt es `YEAR` sich um das Jahr, in dem das Advisory erstellt wurde. Dabei handelt `NUMBER` es sich um eine eindeutige Ganzzahl innerhalb des Namespace.
Obwohl die Empfehlung IDs *normalerweise* sequentiell und in der Reihenfolge erfolgt, in der die Updates veröffentlicht werden, gibt es viele Gründe, warum dies nicht der Fall sein könnte. Daher sollte nicht davon ausgegangen werden.
Behandeln Sie die Advisory-ID als undurchsichtige Zeichenfolge, die für jede Hauptversion von Amazon Linux eindeutig ist.
In Amazon Linux 2 befand sich jedes Extra in einem separaten RPM-Repository, und die Advisory-Metadaten sind nur in dem Repository enthalten, für das sie relevant sind. Eine Empfehlung für ein Repository *gilt nicht* für ein anderes Repository. Auf der [Amazon Linux Security Center-Website](https://alas.aws.amazon.com/alas2.html) gibt es derzeit eine Liste mit Hinweisen für jede Hauptversion von Amazon Linux, die nicht in Listen pro Repository unterteilt ist.
Da der Extras-Mechanismus AL2023 nicht verwendet wird, um alternative Versionen von Paketen zu verpacken, gibt es derzeit nur zwei RPM-Repositorys, von denen jedes über Advisories verfügt: das Repository und das `core` Repository. `livepatch` Das `livepatch` Repository ist für. [Kernel Live Patching auf 023 AL2](live-patching.md)
## Veröffentlichungsdatum der Empfehlung und Aktualisierungsdatum der Empfehlung
Das Veröffentlichungsdatum der Empfehlung für Amazon Linux Advisories gibt an, wann das Sicherheitsupdate zum ersten Mal im RPM-Repository öffentlich verfügbar gemacht wurde. Advisories werden auf der [Amazon Linux Security Center-Website](https://alas.aws.amazon.com/alas2023.html) veröffentlicht, unmittelbar nachdem Fixes über das RPM-Repository zur Installation zur Verfügung gestellt wurden.
Das Aktualisierungsdatum der Empfehlung gibt an, wann neue Informationen zu einer Empfehlung hinzugefügt wurden, nachdem sie zuvor veröffentlicht wurde.
Zwischen der AL2023 Versionsnummer (z. B. 2023.6.20241031) und dem Veröffentlichungsdatum der zusammen mit dieser Pressemitteilung veröffentlichten Advisories sollten keine Annahmen getroffen werden.
## Arten von Hinweisen
Die Metadaten des RPM-Repositorys unterstützen Advisories verschiedener Typen. Amazon Linux hat zwar fast überall nur Advisories herausgegeben, bei denen es sich um Sicherheitsupdates handelt, aber davon sollte nicht ausgegangen werden. Es ist möglich, dass Ankündigungen für Ereignisse wie Bugfixes, Verbesserungen und neue Pakete herausgegeben werden und dass die Empfehlung so gekennzeichnet ist, dass sie diese Art von Update enthält.
## Schweregrade der Empfehlung
Jede Empfehlung hat ihren eigenen Schweregrad, da jedes Problem separat bewertet wird. In einem einzigen Advisory CVEs können mehrere behandelt werden, und jeder CVE kann eine andere Bewertung haben, aber das Advisory selbst hat einen Schweregrad. Es kann mehrere Advisories geben, die sich auf ein einzelnes Paket-Update beziehen, sodass es für ein bestimmtes Paket-Update mehrere Schweregrade geben kann (einer pro Advisory).
In der Reihenfolge des abnehmenden Schweregrads hat Amazon Linux Kritisch, Wichtig, Moderat und Niedrig verwendet, um den Schweregrad einer Empfehlung anzugeben. Amazon Linux Advisories *haben möglicherweise auch keinen Schweregrad*, obwohl dieser äußerst selten vorkommt.
Amazon Linux ist eine der RPM-basierten Linux-Distributionen, die den Begriff Moderat verwendet, während einige andere RPM-basierte Linux-Distributionen den entsprechenden Begriff Medium verwenden. Der Amazon Linux-Paketmanager behandelt beide Begriffe als gleichwertig, und Paket-Repositorys von Drittanbietern können den Begriff Medium verwenden.
Amazon Linux-Advisories können den *Schweregrad im Laufe der Zeit ändern*, wenn mehr über die in der Empfehlung behandelten relevanten Probleme bekannt ist.
Der Schweregrad einer Empfehlung entspricht in der *Regel* dem höchsten von Amazon Linux bewerteten CVSS-Score für das, CVEs auf das die Empfehlung verweist. Es kann Fälle geben, in denen dies nicht der Fall ist. Ein Beispiel wäre, wenn ein Problem behoben wird, für das kein CVE zugewiesen wurde.
Weitere Informationen darüber, wie Amazon Linux die Schweregrade von Advisory verwendet, finden Sie in den [häufig gestellten Fragen zu ALAS](https://alas.aws.amazon.com/faqs.html).
## Empfehlungen und Pakete
Für ein einzelnes Paket kann es viele Advisories geben, und nicht für alle Pakete wird jemals ein Advisory veröffentlicht. Auf eine bestimmte Paketversion kann in mehreren Advisories verwiesen werden, von denen jedes seinen eigenen Schweregrad und hat. CVEs
Es ist möglich, dass mehrere Advisories für dasselbe Paket-Update gleichzeitig in einer neuen AL2023 Version oder schnell hintereinander veröffentlicht werden.
Wie bei anderen Linux-Distributionen kann es ein bis viele verschiedene Binärpakete geben, die aus demselben Quellpaket erstellt wurden. Beispielsweise ist [ALAS-2024-698](https://alas.aws.amazon.com/AL2023/ALAS-2024-698.html) eine Empfehlung, die im [AL2023 Abschnitt der Amazon Linux Security Center-Website als für das](https://alas.aws.amazon.com/alas2023.html) Paket relevant aufgeführt ist. `mariadb105` Dies ist der Name des *Quellpakets*, und das Advisory selbst bezieht sich neben dem Quellpaket auch auf die *Binärpakete*. In diesem Fall werden über ein Dutzend Binärpakete aus einem `mariadb105` Quellpaket erstellt. Es ist zwar sehr üblich, dass es ein Binärpaket mit demselben Namen wie das Quellpaket gibt, aber das ist nicht universal.
Obwohl Amazon Linux Advisories in der Regel alle Binärpakete aufgelistet haben, die aus dem aktualisierten Quellpaket erstellt wurden, sollte davon nicht ausgegangen werden. Der Paketmanager und das RPM-Repository-Metadatenformat ermöglichen Advisories, die eine Teilmenge der aktualisierten Binärpakete auflisten.
Ein bestimmter Hinweis kann auch nur für eine bestimmte CPU-Architektur gelten. Es kann Pakete geben, die nicht für alle Architekturen erstellt wurden, oder Probleme, die nicht alle Architekturen betreffen. Für den Fall, dass ein Paket auf allen Architekturen verfügbar ist, ein Problem aber nur für eine auftritt, hat Amazon Linux in der Regel kein Advisory herausgegeben, das nur auf die betroffene Architektur verweist, obwohl davon nicht ausgegangen werden sollte.
Aufgrund der Art der Paketabhängigkeiten ist es üblich, dass ein Advisory auf ein Paket verweist, aber die Installation dieses Updates erfordert andere Paket-Updates, einschließlich Pakete, die nicht in der Empfehlung aufgeführt sind. Der `dnf` Paketmanager kümmert sich um die Installation der erforderlichen Abhängigkeiten.
## Ratschläge und CVEs
Ein Advisory kann keine oder mehrere Adressen enthalten CVEs, und es kann mehrere Advisories geben, die sich auf dasselbe CVE beziehen.
Ein Beispiel dafür, wann ein Advisory auf Null verweisen kann, CVEs ist, wenn dem Problem noch kein CVE (oder noch nie) zugewiesen wurde.
Ein Beispiel dafür, dass mehrere Advisories auf denselben CVE verweisen können, wenn der CVE (zum Beispiel) für mehrere Pakete gilt. Beispielsweise gilt [CVE-2024-21208](https://alas.aws.amazon.com/cve/html/CVE-2024-21208.html) für Corretto 8, 11, 17 und 21. [https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html](https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html) Diese Corretto-Versionen haben zwar alle dieselbe Liste von CVEs, dies sollte jedoch nicht davon ausgegangen werden.
Ein bestimmter CVE kann für verschiedene Pakete unterschiedlich bewertet werden. Wenn beispielsweise in einem Advisory mit dem Schweregrad Wichtig auf ein bestimmtes CVE verwiesen wird, ist es möglich, dass ein anderes Advisory herausgegeben wird, das sich auf denselben CVE mit einem anderen Schweregrad bezieht.
Die Metadaten des RPM-Repositorys ermöglichen eine Referenzliste für jedes Advisory. Während Amazon Linux in der Regel nur referenziert hat CVEs, ermöglicht das Metadatenformat andere Referenztypen.
Auf die Metadaten des RPM-Paket-Repositorys wird nur verwiesen, CVEs wenn ein Fix verfügbar ist. Der [Abschnitt Erkunden der Amazon Linux Security Center-Website](https://explore.alas.aws.amazon.com) enthält Informationen zu den Informationen CVEs , die Amazon Linux bewertet hat. Diese Bewertung kann zu einer CVSS-Basisbewertung, einem Schweregrad und einem Status für verschiedene Amazon Linux-Versionen und -Pakete führen. Der Status eines CVE für eine bestimmte Amazon Linux-Version oder ein bestimmtes Paket kann „Nicht betroffen“, „Ausstehende Korrektur“ oder „Kein Fix geplant“ lauten. Der Status und die Bewertung von CVEs können sich vor der Veröffentlichung einer Empfehlung mehrfach und *in beliebiger Weise* ändern. Dies beinhaltet eine Neubewertung der Anwendbarkeit eines CVE auf Amazon Linux.
Die Liste der Personen, auf die in einer Empfehlung CVEs verwiesen wird, kann sich nach der ersten Veröffentlichung dieser Empfehlung ändern.
## Text der Empfehlung
Ein Hinweis wird auch einen Text enthalten, der das Problem oder die Probleme beschreibt, die der Grund für die Erstellung des Ratgebers waren. Es ist üblich, dass es sich bei diesem Text um den unveränderten CVE-Text handelt. Dieser Text kann sich auf Upstream-Versionsnummern beziehen, für die ein Fix verfügbar ist, die sich von der Paketversion unterscheiden, auf die Amazon Linux einen Fix angewendet hat. Es ist üblich, dass Amazon Linux Fixes aus neueren Upstream-Versionen zurückportiert. Falls im Text der Ankündigung eine Upstream-Version erwähnt wird, die sich von der Version unterscheidet, die in einer Amazon Linux-Version ausgeliefert wurde, gelten die Amazon Linux-Paketversionen in der Empfehlung für Amazon Linux.
Es ist möglich, dass der Hinweistext in den Metadaten des RPM-Repositorys Platzhaltertext ist, der lediglich auf die [Amazon Linux Security Center-Website](https://alas.aws.amazon.com/alas2023.html) verweist, um weitere Informationen zu erhalten.
## Kernel Live Patch Advisories
Ankündigungen für Live-Patches sind insofern einzigartig, als sie sich auf ein anderes Paket (den Linux-Kernel) beziehen als das Paket, gegen das sich die Ankündigung richtet (z. B.`kernel-livepatch-6.1.15-28.43`).
Eine Empfehlung für einen [Kernel-Live-Patch](live-patching.md) bezieht sich auf die Probleme (z. B. CVEs), die das jeweilige Live-Patch-Paket für die *spezifische* Kernel-Version, für die das Live-Patch-Paket gilt, beheben kann.
Jeder Live-Patch bezieht sich auf eine *bestimmte* Kernel-Version. Um einen Live-Patch für eine CVE anzuwenden, muss das richtige Live-Patch-Paket für Ihre Kernel-Version installiert und der Live-Patch angewendet werden.
Zum Beispiel kann [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) für die Kernel-Versionen,, und live gepatcht werden. AL2023 `6.1.56-82.125` `6.1.59-84.139` `6.1.61-85.141` [Eine neue Kernel-Version mit einem Fix für diesen CVE wurde ebenfalls veröffentlicht, für die es eine separate Empfehlung gibt.](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html) Damit [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) AL2023 entweder auf einer Kernel-Version behoben werden kann, die der Angabe von [ALAS2023-2023-461](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html) entspricht oder später ist, muss entweder eine der Kernelversionen mit einem Live-Patch für diese CVE *ausgeführt* werden, auf der der entsprechende Livepatch angewendet wurde.
Wenn neue Live-Patches für eine bestimmte Kernel-Version verfügbar sind, für die bereits ein Live-Patch verfügbar ist, wird eine neue Version des Pakets veröffentlicht. `kernel-livepatch-KERNEL_VERSION` Zum Beispiel wurde das [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html)Advisory zusammen mit dem `kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023` Paket veröffentlicht, das Live-Patches für den `6.1.15-28.43` Kernel enthielt, die drei Patches abdeckten CVEs. Später wurde das [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html)Advisory zusammen mit dem `kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023` Paket veröffentlicht; es war ein Update des vorherigen Live-Patch-Pakets für den `6.1.15-28.43` Kernel, das Live-Patches für drei weitere enthält CVEs. Es gab auch andere Probleme mit Live-Patch-Advisories für andere Kernel-Versionen, wobei Pakete Live-Patches für diese spezifischen Kernel-Versionen enthielten.
Weitere Informationen zum Live-Patchen des Kernels finden Sie unter. [Kernel Live Patching auf 023 AL2](live-patching.md)
Allen, die Tools rund um Sicherheitsempfehlungen entwickeln, wird außerdem empfohlen, diesen [XML-Schema für Sicherheitshinweise und `updateinfo.xml`](#advisory-schema) Abschnitt für weitere Informationen zu lesen.
## XML-Schema für Sicherheitshinweise und `updateinfo.xml`
Die `updateinfo.xml` Datei ist Teil des Paket-Repository-Formats. Es sind die Metadaten, die der `dnf` Paketmanager analysiert, um Funktionen wie [Liste der zutreffenden Hinweise](listing-applicable-advisories.md) und [Direktes Anwenden von Sicherheitsupdates](security-inplace-update.md) zu implementieren.
Wir haben empfohlen, die API des `dnf` Paketmanagers zu verwenden, anstatt benutzerdefinierten Code zu schreiben, um die Metadatenformate des Repositorys zu analysieren. Die Version von `dnf` in AL2023 kann sowohl das Repository-Format als auch das AL2023 AL2 Repository-Format analysieren, sodass die API verwendet werden kann, um die Beratungsinformationen für beide Betriebssystemversionen zu überprüfen.
Das [RPM-Softwaremanagement-Projekt](https://github.com/rpm-software-management/) dokumentiert die RPM-Metadatenformate im [RPM-Metadaten-Repository unter](https://github.com/rpm-software-management/rpm-metadata). GitHub
Denjenigen, die Tools zur direkten Analyse der `updateinfo.xml` Metadaten entwickeln, wird dringend empfohlen, die [RPM-Metadaten-Dokumentation](https://github.com/rpm-software-management/rpm-metadata) sorgfältig zu lesen. Die Dokumentation behandelt, was in freier Wildbahn beobachtet wurde, und enthält viele Ausnahmen von dem, was Sie vernünftigerweise als Regel für das Metadatenformat interpretieren könnten.
Es gibt auch eine wachsende Anzahl von Beispielen aus der realen Welt für `updateinfo.xml` Dateien im [raw-historical-rpm-repository-examples-Repository](https://github.com/rpm-software-management/raw-historical-rpm-repository-examples) unter. GitHub
Falls in der Dokumentation etwas unklar ist, können Sie ein Problem im GitHub Projekt eröffnen, damit wir die Frage beantworten und die Dokumentation entsprechend aktualisieren können. Da es sich um Open-Source-Projekte handelt, sind auch Pull-Requests zur Aktualisierung der Dokumentation willkommen.