Avisos de seguridad de Amazon Linux para AL2023

Aunque nos esforzamos por garantizar la seguridad de Amazon Linux, en ocasiones aparecerán problemas de seguridad que deberán solucionarse. Se emite un aviso cuando hay una solución disponible. El lugar principal donde publicamos los avisos es el Centro de seguridad de Amazon Linux (ALAS). Para obtener más información, consulte Centro de seguridad de Amazon Linux.

El equipo de Amazon Linux publica en varias ubicaciones información sobre los problemas que afectan a AL2023 y las actualizaciones pertinentes. Es habitual que las herramientas de seguridad obtengan información de estos orígenes principales y le presenten los resultados. Por lo tanto, es posible que usted no interactúe directamente con los orígenes principales que publica Amazon Linux, sino con la interfaz proporcionada por su herramienta preferida, como Amazon Inspector.

Anuncios en el Centro de seguridad de Amazon Linux

Los anuncios de Amazon Linux se refieren a elementos que no se pueden incluir en un aviso. Esta sección contiene anuncios sobre el propio ALAS, junto con información que no se puede incluir en un aviso. Para obtener más información, consulte Anuncios del Centro de seguridad de Amazon Linux (ALAS).

Por ejemplo, el anuncio del hotpatch de Amazon Linux para Apache Log4j - 2021-001 se ajustaba más a un anuncio que a un aviso. En este anuncio, Amazon Linux añadió un paquete para ayudar a los clientes a mitigar un problema de seguridad en un software que no formaba parte de Amazon Linux.

El Explorador de CVE del Centro de seguridad de Amazon Linux también se anunció en los anuncios del ALAS. Para obtener más información, consulte el nuevo sitio web de CVE.

Preguntas frecuentes sobre el Centro de seguridad de Amazon Linux

Para consultar las respuestas a algunas preguntas frecuentes sobre ALAS y cómo Amazon Linux evalúa los CVE, consulte Preguntas frecuentes sobre el Centro de seguridad de Amazon Linux (ALAS).

Avisos de ALAS

Un aviso de Amazon Linux contiene información importante relevante para los usuarios de Amazon Linux, normalmente información sobre actualizaciones de seguridad. El Centro de seguridad de Amazon Linux es el lugar donde se pueden ver los avisos en la web. La información de los avisos también forma parte de los metadatos del repositorio de paquetes RPM.

Avisos y repositorios de RPM

Un repositorio de paquetes de Amazon Linux 2023 puede contener metadatos que describan cero o más actualizaciones. El comando dnf updateinfo recibe su nombre del nombre del archivo de metadatos del repositorio que contiene esta información, updateinfo.xml. Aunque el comando se llama updateinfo y el archivo de metadatos hace referencia a un update, todos ellos se refieren a actualizaciones de paquetes que forman parte de un aviso.

Los avisos de Amazon Linux se publican en el sitio web del Centro de seguridad de Amazon Linux, junto con la información que se encuentra en los metadatos del repositorio de RPM a los que hace referencia el administrador de paquetes dnf. Con el tiempo, los metadatos del sitio web y del repositorio son consistentes, y es posible que haya inconsistencias en la información del sitio web y en los metadatos del repositorio. Esto suele ocurrir cuando se está lanzando una nueva versión de AL2023 y se ha actualizado un aviso después del último lanzamiento de AL2023.

Aunque lo habitual es que se publique un nuevo aviso junto con la actualización del paquete que soluciona el problema, no siempre es así. Se puede crear un aviso para un nuevo problema que se aborda en paquetes ya publicados. Un aviso existente también puede actualizarse con nuevos CVE que se abordan en la actualización existente.

La característica Actualizaciones deterministas mediante el uso de repositorios versionados en AL2023 de Amazon Linux 2023 significa que el repositorio de RPM de una versión de AL2023 concreta contiene una instantánea de los metadatos del repositorio de RPM a partir de esa versión. Esto incluye los metadatos que describen las actualizaciones de seguridad. El repositorio de RPM de una versión de AL2023 en particular no se actualiza después de su lanzamiento. Los avisos de seguridad nuevos o actualizados no se podrán ver al consultar una versión anterior de los repositorios de RPM de AL2023. Consulte la sección Lista de avisos aplicables sobre cómo usar el administrador de paquetes dnf para ver la versión del repositorio de latest o una versión de AL2023 específica.

ID de aviso

Cada aviso tiene su propio id. Actualmente, existe una peculiaridad en Amazon Linux por la que el sitio web del Centro de seguridad de Amazon Linux muestra un aviso con el número ALAS-2024-581, mientras que el administrador de paquetes dnf muestra ese aviso con el ID ALAS2023-2024-581. Cuando ocurre Aplicación de actualizaciones de seguridad in situ, es necesario usar el ID del administrador de paquetes si se refiere a un aviso específico.

En Amazon Linux, cada versión principal del sistema operativo tiene su propio espacio de nombres de ID de avisos. No se deben hacer suposiciones sobre el formato de los ID de aviso de Amazon Linux. Históricamente, los ID de avisos de Amazon Linux han seguido el patrón de NAMESPACE-YEAR-NUMBER. El rango completo de valores posibles para NAMESPACE no está definido, pero incluye ALAS, ALASCORRETTO8, ALAS2023, ALAS2, ALASPYTHON3.8 y ALASUNBOUND-1.17. YEAR ha sido el año en que se creó el aviso y NUMBER es un entero único dentro del espacio de nombres.

Aunque los ID de aviso suelen ser secuenciales y seguir el orden en que se publican las actualizaciones, hay muchas razones por las que esto podría no ser así, por lo que no debe darse por sentado.

Trate el ID de aviso como una cadena opaca que es única para cada versión principal de Amazon Linux.

En Amazon Linux 2, cada Extra estaba en un repositorio de RPM independiente y los metadatos de los avisos se encuentran únicamente en el repositorio para el que son relevantes. Un aviso de un repositorio no se aplica a otro repositorio. En el sitio web del Centro de seguridad de Amazon Linux, actualmente hay una lista de avisos para cada versión principal de Amazon Linux y no está separada en listas por repositorio.

Dado que AL2023 no utiliza el mecanismo Extras para empaquetar versiones alternativas de paquetes, actualmente solo hay dos repositorios de RPM, cada uno de los cuales tiene avisos, el repositorio core y el repositorio livepatch. El repositorio livepatch es para Aplicación de parches activos del kernel en AL2023.

Fecha de publicación del aviso y fecha de actualización del aviso

La fecha de publicación de los avisos de Amazon Linux indica cuándo se publicó por primera vez la actualización de seguridad en el repositorio de RPM. Los avisos se publican en el sitio web del Centro de seguridad de Amazon Linux inmediatamente después de que las correcciones estén disponibles para su instalación a través del repositorio de RPM.

La fecha de actualización del aviso indica cuándo se ha añadido nueva información a un aviso después de su publicación previa.

No deben hacerse suposiciones entre el número de versión de AL2023 (por ejemplo, 2023.6.20241031) y la fecha de publicación de los avisos publicados junto con esa versión.

Tipos de avisos

Los metadatos del repositorio de RPM admiten avisos de diferentes tipos. Aunque Amazon Linux casi siempre ha publicado únicamente avisos que son actualizaciones de seguridad, no se debe dar esto por sentado. Es posible que se publiquen avisos sobre eventos tales como correcciones de errores, mejoras y nuevos paquetes, y que el aviso se marque como contenedor de ese tipo de actualización.

Gravedad de los avisos

Cada aviso tiene su propia gravedad, ya que cada problema se evalúa por separado. En un único aviso se pueden tratar varios CVE, y cada CVE puede tener una evaluación diferente, pero el aviso en sí tiene una sola gravedad. Puede haber varios avisos que hagan referencia a una única actualización de paquete, por lo que puede haber varias gravedades para una actualización de paquete concreta (una por cada aviso).

Por orden decreciente de gravedad, Amazon Linux ha utilizado los niveles “Crítica”, “Importante”, “Moderada” y “Baja” para indicar la gravedad de un aviso. Es posible que los avisos de Amazon Linux tampoco tengan un nivel de gravedad, aunque esto es muy poco frecuente.

Amazon Linux es una de las distribuciones de Linux basadas en RPM que utiliza el término “Moderada”, mientras que otras distribuciones de Linux basadas en RPM utilizan el término equivalente “Media”. El administrador de paquetes de Amazon Linux trata ambos términos como equivalentes y los repositorios de paquetes de terceros pueden usar el término “Media”.

Los avisos de Amazon Linux pueden cambiar de gravedad con el tiempo a medida que se obtenga más información sobre los problemas relevantes abordados en el aviso.

La gravedad de un aviso suele seguir la puntuación CVSS más alta evaluada por Amazon Linux para los CVE a los que hace referencia el aviso. Puede haber casos en los que esto no sea así. Un ejemplo sería cuando se aborda un problema al que no se le ha asignado un CVE.

Consulte las preguntas frecuentes de ALAS para obtener más información sobre cómo Amazon Linux utiliza los índices de gravedad de los avisos.

Avisos y paquetes

Puede haber muchos avisos para un solo paquete, y no todos los paquetes tendrán un aviso publicado. Una versión concreta de un paquete puede aparecer referenciada en varias advertencias, cada una con su propia gravedad y CVE.

Es posible que se emitan varias advertencias para la misma actualización de paquete simultáneamente en una nueva versión de AL2023, o en rápida sucesión.

Al igual que otras distribuciones de Linux, puede haber uno o varios paquetes binarios diferentes compilados a partir del mismo paquete de origen. Por ejemplo, ALAS-2024-698 es un aviso que aparece en la sección AL2023 del sitio web del Centro de seguridad de Amazon Linux como aplicable al paquete mariadb105. Este es el nombre del paquete de origen, y el propio aviso hace referencia a los paquetes binarios que aparecen junto con el paquete fuente. En este caso, se crean más de una docena de paquetes binarios a partir de un único paquete mariadb105 de origen. Aunque es muy habitual que haya un paquete binario con el mismo nombre que el paquete de origen, esto no es universal.

Aunque las advertencias de Amazon Linux suelen incluir todos los paquetes binarios creados a partir del paquete de origen actualizado, no se debe dar esto por sentado. El formato de metadatos del administrador de paquetes y del repositorio de RPM permite incluir avisos que enumeran un subconjunto de los paquetes binarios actualizados.

Una advertencia concreta también puede aplicarse únicamente a una arquitectura de CPU concreta. Puede haber paquetes que no estén compilados para todas las arquitecturas, o problemas que no afecten a todas las arquitecturas. En el caso de que un paquete esté disponible en todas las arquitecturas, pero un problema solo afecte a una de ellas, Amazon Linux no suele publicar un aviso en el que solo se haga referencia a la arquitectura afectada, aunque esto no debe darse por sentado.

Debido a la naturaleza de las dependencias entre paquetes, es habitual que una notificación haga referencia a un paquete, pero la instalación de esa actualización requiera otras actualizaciones de paquetes, incluidos paquetes que no figuran en la notificación. El administrador de paquetes dnf se encargará de instalar las dependencias necesarias.

Avisos y CVE

Un aviso puede abordar cero o más CVE, y puede haber varios avisos que hagan referencia al mismo CVE.

Un ejemplo de cuándo un aviso puede hacer referencia a cero CVE es cuando aún no se ha asignado (o nunca se ha asignado) un CVE al problema.

Un ejemplo en el que varios avisos pueden hacer referencia al mismo CVE cuando (por ejemplo) el CVE es aplicable a varios paquetes. Por ejemplo, CVE-2024-21208 se aplica a Corretto 8, 11, 17 y 21. Cada una de estas versiones de Corretto es un paquete independiente en AL2023, y hay un aviso para cada uno de estos paquetes: ALAS-2024-754 para Corretto 8, ALAS-2024-753 para Corretto 11, ALAS-2024-752 para Corretto 17 y ALAS-2024-752 para Corretto 21. Aunque todas estas versiones de Corretto tienen la misma lista de CVE, no se debe dar esto por sentado.

Un CVE concreto puede evaluarse de forma diferente para distintos paquetes. Por ejemplo, si se hace referencia a un CVE concreto en un aviso con un nivel de gravedad “Importante”, es posible que se publique otro aviso que haga referencia al mismo CVE con un nivel de gravedad diferente.

Los metadatos del repositorio de RPM permiten obtener una lista de referencias para cada aviso. Si bien Amazon Linux normalmente solo hace referencia a los CVE, el formato de metadatos permite otros tipos de referencia.

Los metadatos del repositorio de paquetes RPM solo harán referencia a los CVE con una corrección disponible. La sección Explorar del sitio web del Centro de seguridad de Amazon Linux contiene información sobre los CVE que Amazon Linux ha evaluado. Esta evaluación puede dar como resultado una puntuación base CVSS, un nivel de gravedad y un estado para varias versiones y paquetes de Amazon Linux. El estado de un CVE para una versión o paquete concreto de Amazon Linux puede ser “No afectado”, “Pendiente de corrección” o “Sin corrección prevista”. El estado y la evaluación de los CVE pueden cambiar muchas veces y de cualquier forma antes de que se emita un aviso. Esto incluye la reevaluación de la aplicabilidad de un CVE a Amazon Linux.

La lista de CVE a los que hace referencia un aviso puede cambiar después de la publicación inicial de ese aviso.

Texto de aviso

Un aviso también contendrá un texto que describa el problema o los problemas que motivaron su creación. Es habitual que este texto sea el texto del CVE sin modificaciones. Este texto puede hacer referencia a los números de versión anteriores en los que hay una corrección disponible y que son diferentes de la versión del paquete a la que Amazon Linux ha aplicado una corrección. Es habitual que Amazon Linux transfiera las correcciones de las versiones anteriores más recientes. En el caso de que el texto del aviso mencione una versión anterior diferente a la versión incluida en una versión de Amazon Linux, las versiones del paquete de Amazon Linux del aviso serán las correctas para Amazon Linux.

Es posible que el texto de advertencia en los metadatos del repositorio RPM sea un texto de marcador de posición que simplemente remita al sitio web del Centro de seguridad de Amazon Linux para obtener más detalles.

Avisos de parches activos del kernel

Los avisos de los parches activos son únicos en el sentido de que se refieren a un paquete diferente (el kernel de Linux) del paquete en el que se basa el aviso (por ejemplo, kernel-livepatch-6.1.15-28.43).

Un aviso para un parche activo del kernel hará referencia a los problemas (como los CVE) que el paquete de parches activos concreto puede solucionar en relación con la versión específica del kernel a la que se aplica el paquete de parches activos.

Cada parche activo es para una versión específica del kernel. Para aplicar un parche activo a un CVE, es necesario instalar el paquete de parches activos adecuado para la versión del kernel y aplicar el parche activo.

Por ejemplo, CVE-2023-6111 se puede parchear en vivo para las versiones del kernel AL2023 6.1.56-82.125, 6.1.59-84.139 y 6.1.61-85.141. También se ha lanzado una nueva versión del kernel con una corrección para este CVE, que cuenta con un aviso independiente. Para que el CVE-2023-6111 se aborde en AL2023, se debe ejecutar una versión del kernel igual o posterior a la que especifica el ALAS2023-2023-461, o bien una de las versiones del kernel con un parche activo para este CVE debe estar ejecutándose con el parche activo correspondiente aplicado.

Cuando hay nuevos parches activos disponibles para una versión específica del kernel que ya tiene un parche activo disponible, se publica una nueva versión del paquete kernel-livepatch-KERNEL_VERSION. Por ejemplo, el aviso ALASLIVEPATCH-2023-003 se publicó con un paquete kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023 que contenía parches activos para el kernel 6.1.15-28.43 que cubrían tres CVE. Más tarde, se publicó el aviso ALASLIVEPATCH-2023-009 con el paquete kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023; una actualización del paquete de parches activos anterior para el kernel 6.1.15-28.43 que contiene parches activos para otras tres vulnerabilidades CVE. También hubo otros problemas con los avisos de parches activos para otras versiones del kernel, con paquetes que contenían parches activos para esas versiones específicas del kernel.

Para obtener más información sobre la aplicación de parches activos, consulte Aplicación de parches activos del kernel en AL2023.

Para cualquier persona que esté desarrollando herramientas en torno a los avisos de seguridad, también se recomienda consultar la sección Esquema XML para avisos y updateinfo.xml para obtener más información.

Esquema XML para avisos y updateinfo.xml

El archivo updateinfo.xml forma parte del formato del repositorio de paquetes. Son los metadatos que el administrador de paquetes dnf analiza para implementar funciones como Lista de avisos aplicables y Aplicación de actualizaciones de seguridad in situ.

Recomendamos utilizar la API del administrador de paquetes dnf en lugar de escribir código personalizado para analizar los formatos de metadatos del repositorio. La versión del paquete dnf en AL2023 puede analizar los formatos de los repositorios de AL2023 y AL2 y, por lo tanto, la API se puede utilizar para examinar la información de asesoramiento de cualquier versión del sistema operativo.

El proyecto RPM Software Management documenta los formatos de metadatos RPM en el repositorio rpm-metadata de GitHub.

Para aquellos que están desarrollando herramientas para analizar directamente los metadatos de updateinfo.xml, se recomienda encarecidamente prestar mucha atención a la documentación sobre los metadatos de RPM. La documentación cubre lo que se ha observado en la práctica, lo que incluye muchas excepciones a lo que se podría interpretar razonablemente como una regla para el formato de metadatos.

También hay un conjunto cada vez mayor de ejemplos reales de archivos updateinfo.xml en el repositorio raw-historical-rpm-repository-examples en GitHub.

Si hay algo que no está claro en la documentación, puedes abrir una incidencia en el proyecto GitHub para que podamos responder a la pregunta y actualizar la documentación como corresponda. Al tratarse de proyectos de código abierto, también se aceptan solicitudes de incorporación de cambios para actualizar la documentación.