Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Avis de sécurité Amazon Linux pour AL2023
Malgré nos efforts constants pour sécuriser Amazon Linux, des problèmes de sécurité exigeront parfois l'application d'un correctif. Un *avis* est émis lorsqu'un correctif est disponible. Le principal site où nous publions les avis est le Amazon Linux Security Center (ALAS). Pour plus d'informations, consultez [Centre de sécurité Amazon Linux](https://alas.aws.amazon.com/alas2023.html).
**Important**
Si vous souhaitez signaler une vulnérabilité ou si vous avez un problème de sécurité concernant les services AWS cloud ou les projets open source, contactez le service de AWS sécurité via la [page de signalement des vulnérabilités](https://aws.amazon.com/security/vulnerability-reporting/)
Les informations sur les problèmes et les mises à jour pertinentes qui AL2023 les concernent sont publiées par l'équipe Amazon Linux à plusieurs endroits. Souvent, les outils de sécurité récupèrent ces informations à partir de ces sources principales et vous présentent les résultats. Il se peut donc que vous n'interagissiez pas directement avec les sources principales publiées par Amazon Linux, mais plutôt avec l'interface fournie par votre outil préféré, tel qu'[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html).
## Annonces relatives au centre de sécurité Amazon Linux
Les *annonces* Amazon Linux sont fournies pour les articles qui ne rentrent pas dans un avis. Cette section contient des annonces concernant ALAS elle-même, ainsi que des informations qui ne rentrent pas dans un avis. Pour plus d'informations, consultez les [annonces du Amazon Linux Security Center (ALAS)](https://alas.aws.amazon.com/announcements.html).
Par exemple, l'[annonce 2021-001 - Amazon Linux Hotpatch pour Apache Log4j](https://alas.aws.amazon.com/announcements/2021-001.html) s'inscrit dans une annonce plutôt que dans un avis. Dans cette annonce, Amazon Linux a ajouté un package destiné à aider les clients à atténuer un problème de sécurité lié à un logiciel qui ne faisait pas partie d'Amazon Linux.
L'[explorateur CVE du centre de sécurité Amazon Linux](https://explore.alas.aws.amazon.com/) a également été annoncé dans les annonces d'ALAS. Pour plus d'informations, voir [Nouveau site Web pour CVEs](https://alas.aws.amazon.com/announcements/2023-001.html).
## Questions fréquemment posées sur Amazon Linux Security Center
Pour obtenir des réponses aux questions fréquemment posées sur ALAS et sur la façon dont Amazon Linux l'évalue CVEs, consultez les [questions fréquemment posées sur Amazon Linux Security Center (ALAS) (FAQs)](https://alas.aws.amazon.com/faqs.html).
## Avis ALAS
Un avis Amazon Linux contient des informations importantes concernant les utilisateurs d'Amazon Linux, généralement des informations sur les mises à jour de sécurité. Le [centre de sécurité Amazon Linux](https://alas.aws.amazon.com/alas2023.html) est l'endroit où les avis sont visibles sur le Web. Les informations consultatives font également partie des métadonnées du référentiel de packages RPM.
## Avis et référentiels RPM
Un référentiel de packages Amazon Linux 2023 peut contenir des métadonnées décrivant zéro ou plusieurs mises à jour. La `dnf updateinfo` commande est nommée d'après le nom du fichier des métadonnées du référentiel qui contient ces informations,`updateinfo.xml`. Bien que la commande soit nommée `updateinfo` et que le fichier de métadonnées fasse référence à un`update`, elles font toutes référence à des mises à jour de package qui font partie d'un avis.
Les avis Amazon Linux sont publiés sur le site Web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html), avec les informations présentes dans les métadonnées du référentiel RPM auxquelles le gestionnaire de `dnf` packages fait référence. Les métadonnées du site Web et du référentiel sont finalement cohérentes, et il peut y avoir des incohérences dans les informations sur le site Web et dans les métadonnées du référentiel. Cela se produit généralement lorsqu'une nouvelle version de AL2023 est en cours de publication et qu'un avis a été mis à jour après la dernière AL2023 version.
Bien qu'un nouvel avis soit généralement publié parallèlement à la mise à jour du package pour résoudre le problème, ce n'est pas toujours le cas. Un avis peut être créé pour un nouveau problème qui est résolu dans des packages déjà publiés. Un avis existant peut également être mis à jour avec de nouveaux avis CVEs qui sont traités par la mise à jour existante.
La [Mises à niveau déterministes via des référentiels versionnés sur AL2023](deterministic-upgrades.md) fonctionnalité d'Amazon Linux 2023 signifie que le référentiel RPM d'une AL2023 version donnée contient un instantané des métadonnées du référentiel RPM à partir de cette version. Cela *inclut* les métadonnées décrivant les mises à jour de sécurité. Le référentiel RPM correspondant à une AL2023 version donnée *n'est pas mis à jour* après sa publication. Les avis de sécurité nouveaux ou mis à jour *ne seront pas visibles lorsque vous consulterez une ancienne version des référentiels AL2023 RPM*. Reportez-vous à la [Liste des avis applicables](listing-applicable-advisories.md) section expliquant comment utiliser le gestionnaire de `dnf` packages pour examiner la version du `latest` référentiel ou une AL2023 version spécifique.
## consultatif IDs
Chaque avis est désigné par un`id`. C'est actuellement une bizarrerie d'Amazon Linux : le site Web d'[Amazon Linux Security Center affiche](https://alas.aws.amazon.com/alas2023.html) un avis sous la forme [ALAS-2024-581](https://alas.aws.amazon.com/AL2023/ALAS-2024-581.html), tandis que le gestionnaire de `dnf` packages indique [que cet avis porte l'identifiant -2024-581](listing-applicable-advisories.md). ALAS2023 Lorsque [Appliquer les mises à jour de sécurité sur place](security-inplace-update.md) l'ID du gestionnaire de packages doit être utilisé pour faire référence à un avis spécifique.
Pour Amazon Linux, chaque version majeure du système d'exploitation possède son propre espace de noms Advisory IDs. Aucune hypothèse ne doit être émise quant au format d'Amazon Linux Advisory IDs. Historiquement, Amazon Linux Advisory IDs a suivi le modèle de`NAMESPACE-YEAR-NUMBER`. La gamme complète des valeurs possibles pour n'`NAMESPACE`est pas définie, mais inclut `ALAS``ALASCORRETTO8`,`ALAS2023`,`ALAS2`,`ALASPYTHON3.8`, et`ALASUNBOUND-1.17`. `YEAR`Il s'agit de l'année de création de l'avis et du fait qu'il s'`NUMBER`agit d'un entier unique dans l'espace de noms.
Bien qu'Advisory IDs soit *généralement* séquentiel et dans l'ordre dans lequel les mises à jour sont publiées, il existe de nombreuses raisons pour lesquelles cela ne pourrait pas être le cas. Il ne faut donc pas le supposer.
Traitez l'ID d'avis comme une chaîne opaque propre à chaque version majeure d'Amazon Linux.
Dans Amazon Linux 2, chaque Extra se trouvait dans un référentiel RPM distinct, et les métadonnées Advisory sont contenues uniquement dans le référentiel auquel elles sont pertinentes. Un avis relatif à un dépôt *ne s'applique pas* à un autre dépôt. Sur le site Web d'[Amazon Linux Security Center](https://alas.aws.amazon.com/alas2.html), il existe actuellement une liste d'avis pour chaque version majeure d'Amazon Linux, et elle n'est pas séparée en listes par référentiel.
Comme il AL2023 n'utilise pas le mécanisme Extras pour empaqueter des versions alternatives de packages, il n'existe actuellement que deux référentiels RPM, chacun contenant des Advisories, le `core` référentiel et le `livepatch` référentiel. Le `livepatch` référentiel est destiné à[Kernel Live Patching en 2023 AL2](live-patching.md).
## Date de publication et date de mise à jour de l'avis
La date de publication des avis Amazon Linux indique la date à laquelle la mise à jour de sécurité a été rendue publique pour la première fois dans le référentiel RPM. Les avis sont publiés sur le site Web d'[Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) immédiatement après la mise à disposition des correctifs pour installation via le référentiel RPM.
La date de mise à jour de l'avis indique à quel moment de nouvelles informations ont été ajoutées à un avis après sa publication précédente.
Aucune hypothèse ne doit être faite entre le numéro de AL2023 version (par exemple 2023.6.20241031) et la date de publication des avis publiés parallèlement à cette version.
## Types de conseils
Les métadonnées du référentiel RPM prennent en charge différents types d'avis. Bien qu'Amazon Linux n'ait presque universellement publié que des avis qui sont des mises à jour de sécurité, cela ne doit pas être supposé. Il est possible que des avis concernant des événements tels que des corrections de bogues, des améliorations et de nouveaux packages soient publiés, et que l'avis soit marqué comme contenant ce type de mise à jour.
## Sévérité des conseils
Chaque avis a sa propre gravité, chaque problème étant évalué séparément. Plusieurs CVEs points peuvent être traités dans un seul avis, et chaque CVE peut faire l'objet d'une évaluation différente, mais l'avis lui-même a une gravité. Plusieurs avis peuvent faire référence à une seule mise à jour de package. Il peut donc y avoir plusieurs niveaux de sévérité pour une mise à jour de package donnée (un par avis).
Par ordre de gravité décroissant, Amazon Linux a utilisé Critique, Important, Modéré et Faible pour indiquer le niveau de gravité d'un avis. Les avis Amazon Linux peuvent également *ne pas avoir de niveau de gravité*, bien que cela soit extrêmement rare.
Amazon Linux est l'une des distributions Linux basées sur RPM qui utilise le terme Moderate, tandis que d'autres distributions Linux basées sur RPM utilisent le terme équivalent Medium. Le gestionnaire de packages Amazon Linux traite les deux termes comme équivalents, et les référentiels de packages tiers peuvent utiliser le terme Medium.
La *gravité des avis Amazon Linux peut changer* au fil du temps au fur et à mesure que nous en apprendrons davantage sur les problèmes pertinents abordés dans l'avis.
La sévérité d'un avis correspond *généralement* au score CVSS le plus élevé évalué par Amazon Linux pour le CVEs niveau référencé par l'avis. Il se peut que ce ne soit pas le cas dans certains cas. Un exemple serait lorsqu'un problème est résolu pour lequel aucun CVE n'est attribué.
Consultez la [FAQ ALAS](https://alas.aws.amazon.com/faqs.html) pour plus d'informations sur la manière dont Amazon Linux utilise les notes de gravité consultatives.
## Conseils et forfaits
Il peut y avoir de nombreux avis pour un seul package, et un avis ne sera jamais publié pour tous les packages. Une version de package particulière peut être référencée dans plusieurs avis, chacun ayant ses propres niveaux de gravité et CVEs.
Il est possible que plusieurs avis relatifs à la même mise à jour de package soient publiés simultanément dans une nouvelle AL2023 version ou en succession rapide.
Comme les autres distributions Linux, il peut y avoir un ou plusieurs paquets binaires différents créés à partir du même paquet source. Par exemple, l'[ALAS-2024-698](https://alas.aws.amazon.com/AL2023/ALAS-2024-698.html) est un avis répertorié dans la section [AL2023 du site Web Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) comme s'appliquant au package. `mariadb105` Il s'agit du nom du paquet *source*, et l'avis lui-même fait référence aux paquets *binaires* associés au paquet source. Dans ce cas, plus d'une douzaine de paquets binaires sont créés à partir d'un seul paquet `mariadb105` source. Bien qu'il soit extrêmement courant qu'un paquet binaire porte le même nom que le package source, cela n'est pas universel.
Bien qu'Amazon Linux Advisories répertorie généralement tous les packages binaires créés à partir du package source mis à jour, cela ne doit pas être supposé. Le gestionnaire de packages et le format de métadonnées du référentiel RPM autorisent les avis qui répertorient un sous-ensemble des packages binaires mis à jour.
Un avis spécifique peut également s'appliquer uniquement à une architecture de processeur particulière. Il peut y avoir des packages qui ne sont pas conçus pour toutes les architectures ou des problèmes qui n'affectent pas toutes les architectures. Dans le cas où un package est disponible sur toutes les architectures mais qu'un problème ne concerne qu'une seule, Amazon Linux n'a généralement pas publié d'avis faisant uniquement référence à l'architecture affectée, bien que cela ne doive pas être supposé.
En raison de la nature des dépendances entre les packages, il est courant qu'un avis fasse référence à un package, mais l'installation de cette mise à jour nécessitera d'autres mises à jour de package, y compris des packages qui ne sont pas répertoriés dans l'avis. Le gestionnaire de `dnf` packages s'occupera de l'installation des dépendances requises.
## Avis et CVEs
Un avis peut porter sur zéro ou plus CVEs, et plusieurs avis peuvent faire référence au même CVE.
Par exemple, un avis peut faire référence à zéro CVEs lorsqu'aucun CVE n'est encore (ou jamais) attribué au problème.
Exemple de cas où plusieurs avis peuvent faire référence au même CVE lorsque (par exemple) le CVE s'applique à plusieurs packages. Par exemple, [CVE-2024-21208](https://alas.aws.amazon.com/cve/html/CVE-2024-21208.html) s'applique aux Corretto 8, 11, 17 et 21. [https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html](https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html) Bien que ces versions de Corretto aient toutes la même liste CVEs de, cela ne doit pas être supposé.
Un CVE particulier peut être évalué différemment selon les packages. Par exemple, si une CVE particulière est référencée dans un avis dont la gravité est importante, il est possible qu'un autre avis soit émis faisant référence à la même CVE avec une gravité différente.
Les métadonnées du référentiel RPM permettent d'obtenir une liste de références pour chaque avis. Amazon Linux n'utilise généralement que des références CVEs, mais le format des métadonnées autorise d'autres types de référence.
Les métadonnées du référentiel de packages RPM ne seront CVEs référencées que si un correctif est disponible. La [section Explore du site Web Amazon Linux Security Center](https://explore.alas.aws.amazon.com) contient CVEs des informations évaluées par Amazon Linux. Cette évaluation peut aboutir à un score de base CVSS, à un niveau de gravité et à un statut pour les différentes versions et packages d'Amazon Linux. Le statut d'un CVE pour une version ou un package Amazon Linux spécifique peut être Non affecté, En attente de correction ou Aucun correctif prévu. Le statut et l'évaluation de CVEs peuvent changer à de nombreuses reprises et de *quelque manière* que ce soit avant la publication d'un avis. Cela inclut la réévaluation de l'applicabilité d'un CVE à Amazon Linux.
La liste des personnes CVEs référencées par un avis peut changer après la publication initiale de cet avis.
## Texte consultatif
Un avis contiendra également un texte décrivant le ou les problèmes à l'origine de la création de l'avis. Il est courant que ce texte soit le texte CVE non modifié. Ce texte peut faire référence à des numéros de version en amont où un correctif est disponible, différents de la version du package à laquelle Amazon Linux a appliqué un correctif. Il est courant qu'Amazon Linux réoriente les correctifs à partir des nouvelles versions en amont. Dans le cas où le texte de l'avis mentionne une version en amont différente de la version fournie dans une version Amazon Linux, les versions du package Amazon Linux indiquées dans l'avis seront exactes pour Amazon Linux.
Il est possible que le texte d'avertissement figurant dans les métadonnées du référentiel RPM soit un texte d'espace réservé, en se référant simplement au site Web d'[Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) pour plus de détails.
## Avis relatifs aux correctifs Kernel Live
Les avis relatifs aux correctifs actifs sont uniques en ce sens qu'ils font référence à un package différent (le noyau Linux) de celui visé par l'avis (par exemple`kernel-livepatch-6.1.15-28.43`).
Un avis pour un [correctif dynamique du noyau](live-patching.md) fera référence aux problèmes (tels que CVEs) que le package Live Patch en question peut résoudre pour la version *du* noyau à laquelle s'applique le package Live Patch.
Chaque patch actif est destiné à une version *spécifique* du noyau. Pour appliquer un correctif dynamique à un CVE, il faut installer le package de correctif dynamique adapté à la version de votre noyau et appliquer le correctif dynamique.
Par exemple, [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) peut être corrigé en direct pour AL2023 les versions du noyau, et. `6.1.56-82.125` `6.1.59-84.139` `6.1.61-85.141` Une nouvelle version du noyau contenant un correctif pour ce CVE a également été publiée et comporte [un avis distinct](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html). Pour que [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) soit traité AL2023 soit sur une version du noyau égale ou ultérieure à celle spécifiée par [ALAS2023-2023-461](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html), soit sur l'une des versions du noyau avec un correctif actif pour ce CVE doit être *exécutée* avec le livepatch applicable appliqué.
Lorsque de nouveaux patchs dynamiques sont disponibles pour une version spécifique du noyau pour laquelle un correctif actif est déjà disponible, une nouvelle version du `kernel-livepatch-KERNEL_VERSION` package est publiée. Par exemple, l'[https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html)avis a été publié avec le `kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023` package qui contenait des correctifs actifs pour le `6.1.15-28.43` noyau, couvrant trois d'entre eux CVEs. Plus tard, l'[https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html)avis a été publié avec le `kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023` package ; il s'agit d'une mise à jour du précédent package de correctifs actifs pour le `6.1.15-28.43` noyau contenant des correctifs dynamiques pour trois autres CVEs. D'autres problèmes liés aux alertes de mise à jour en direct se sont également produits pour d'autres versions du noyau, avec des packages contenant des correctifs dynamiques pour ces versions spécifiques du noyau.
Pour plus d'informations sur la mise à jour dynamique du noyau, consultez[Kernel Live Patching en 2023 AL2](live-patching.md).
Pour toute personne développant des outils autour des avis de sécurité, il est également recommandé de consulter la [Schéma XML pour les avis et `updateinfo.xml`](#advisory-schema) section pour plus d'informations.
## Schéma XML pour les avis et `updateinfo.xml`
Le `updateinfo.xml` fichier fait partie du format du référentiel de packages. Il s'agit des métadonnées que le gestionnaire de `dnf` packages analyse pour implémenter des fonctionnalités telles que [Liste des avis applicables](listing-applicable-advisories.md) et[Appliquer les mises à jour de sécurité sur place](security-inplace-update.md).
Nous avons recommandé d'utiliser l'API du gestionnaire de `dnf` packages plutôt que d'écrire du code personnalisé pour analyser les formats de métadonnées du référentiel. La version de `dnf` in AL2023 peut analyser à la fois le format AL2023 et le format du AL2 référentiel, et l'API peut donc être utilisée pour examiner les informations consultatives pour l'une ou l'autre version du système d'exploitation.
Le projet [RPM Software Management](https://github.com/rpm-software-management/) documente les formats de métadonnées RPM dans le référentiel de [métadonnées RPM](https://github.com/rpm-software-management/rpm-metadata) sur. GitHub
Pour ceux qui développent des outils pour analyser directement les `updateinfo.xml` métadonnées, il est fortement conseillé de porter une attention particulière à la [documentation des métadonnées du fichier rpm-metadata](https://github.com/rpm-software-management/rpm-metadata). La documentation couvre ce qui a été observé dans la nature, y compris de nombreuses exceptions à ce que vous pouvez raisonnablement interpréter comme une règle concernant le format des métadonnées.
Il existe également un nombre croissant d'exemples concrets de `updateinfo.xml` fichiers dans le référentiel [raw-historical-rpm-repository-examples](https://github.com/rpm-software-management/raw-historical-rpm-repository-examples) sur. GitHub
Si quelque chose n'est pas clair dans la documentation, vous pouvez ouvrir un problème sur le GitHub projet afin que nous puissions répondre à la question et mettre à jour la documentation de manière appropriée. En tant que projets Open Source, les pull requests mettant à jour la documentation sont également les bienvenues.