Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを更新しましたが、Amazon Inspector が以前のカーネルバージョンで共通脆弱性識別子 (CVE) を検出します。どのように解決すればよいですか?

Amazon Inspector は、Amazon EC2 インスタンスにインストールされているすべてのパッケージで脆弱性があるという結果を返します。カーネルパッケージの場合、パッケージ管理システム (apt または rpm) は通常新しいカーネルをインストールする場合、システムにインストールされた以前のカーネルをそのままにします。Amazon Inspector は、以前のカーネルが有効でなくてもそのカーネルバージョンを検出します。

Linux カーネルパッケージを更新し、前のカーネルパッケージをアンインストールしてから、Amazon Inspector を再度実行します。

Amazon Linux、RHEL、および CentOS

1.Linux カーネルパッケージを更新します

sudo yum update kernel

2.(省略可能) すべてのパッケージを更新します

sudo yum update

3.再起動して変更を適用します

sudo reboot

4.実行中のカーネルをリストします

uname -r

5.インストールされているカーネルをリストします

sudo rpm -qa kernel

6.以前のバージョンのカーネルパッケージをアンインストールします

sudo package-cleanup --oldkernels --count=1

7.インストールされているカーネルが 1 つだけであることを確認します

sudo rpm -qa kernel

Amazon Inspector を再度実行します。Amazon Inspector は、以前にインストールされていたカーネルバージョンパッケージに関連した脆弱性を返さなくなります。

Ubuntu および Debian

1.Linux カーネルおよび依存関係を最新バージョンに更新します

sudo apt update &&  sudo apt install linux-aws

2.(省略可能) カーネルを含むすべてのパッケージを更新します

sudo apt update &&  sudo apt dist-upgrade

3.再起動して変更を適用します

sudo reboot

4.以前のバージョンのパッケージをアンインストールします

sudo apt autoremove

注意: sudo apt autoremove コマンドは不要になった以前のバージョンのパッケージを削除します。以前のカーネルの削除の詳細については、RemoveOldKernelsを参照してください。

5.Amazon Inspector を再度実行します。

Amazon Inspector が引き続き、以前にインストールされていたカーネルパッケージに関連した脆弱性を検出する場合は、次のコマンドを実行してください。

1.インストールされているカーネルをリストします

sudo dpkg --get-selections|grep linux-image|grep -v deinstall

インストールされているカーネルのリストのうち最新の 2 つが実行されていることを確認します。

2.実行中のカーネルをリストします

uname -r

3.インストールされているカーネルバージョンのうち、もっとも古い 2 つを関連パッケージとともに削除します  

sudo apt remove linux-*-4.4.0-1049-*

注意: カーネルバージョンの番号を最新のインストール済みカーネル番号に置き換えます。以前にインストールされた他のカーネルパッケージがある場合は、手順を繰り返します。

Amazon Inspector を再度実行します。Amazon Inspector は、以前にインストールされていたカーネルバージョンパッケージに関連した脆弱性を返さなくなります。


このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2018-08-12