Cómo se seleccionan las revisiones de seguridad - AWS Systems Manager

Cómo se seleccionan las revisiones de seguridad

Patch Manager, una capacidad de AWS Systems Manager, se centra principalmente en instalar actualizaciones relacionadas con la seguridad de los sistemas operativos en los nodos administrados. De forma predeterminada, Patch Manager no instala todos los parches disponibles, sino un conjunto de parches más reducido centrado en la seguridad.

Para los tipos de sistemas operativos basados en Linux que informan de un nivel de gravedad de las revisiones, Patch Manager utiliza el nivel de gravedad notificado por el editor de software para el aviso de actualización o la revisión individual. Patch Manager no deriva los niveles de gravedad de orígenes de terceros, como el Sistema de puntuación de vulnerabilidades comunes (CVSS), ni de las métricas publicadas por la Base de datos nacional de vulnerabilidades (NVD).

nota

En todos los sistemas basados en Linux compatibles con Patch Manager, es posible elegir un repositorio de origen distinto configurado para el nodo administrado, normalmente para instalar actualizaciones no relacionadas con la seguridad. Para obtener más información, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux).

Elija entre las siguientes pestañas para obtener información acerca de cómo Patch Manager selecciona parches de seguridad para el sistema operativo.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

La administración de los repositorios preconfigurados en Amazon Linux 1 y Amazon Linux 2 difiere con la administración en Amazon Linux 2022 y Amazon Linux 2023.

En Amazon Linux 1 y Amazon Linux 2, el servicio de línea de base de revisiones de Systems Manager utiliza repositorios preconfigurados en los nodos administrados. Normalmente, hay dos repositorios preconfigurados (repos) en un nodo:

En Amazon Linux 1

  • ID del repositorio: amzn-main/latest

    Nombre del repositorio: amzn-main-Base

  • ID del repositorio: amzn-updates/latest

    Nombre del repositorio: amzn-updates-Base

En Amazon Linux 2

  • ID del repositorio: amzn2-core/2/architecture

    Nombre del repositorio: Amazon Linux 2 core repository

  • ID del repositorio: amzn2extra-docker/2/architecture

    Nombre del repositorio: Amazon Extras repo for docker

nota

La arquitectura puede ser x86_64 o aarch64.

Las instancias de Amazon Linux 2023 (AL2023) contienen en un principio las actualizaciones que estaban disponibles en la versión de AL2023 y la AMI elegida. De forma predeterminada, la instancia AL2023 no recibe de manera automática las actualizaciones de seguridad críticas e importantes adicionales en el momento del lanzamiento. En cambio, con la característica determinista de actualizaciones mediante repositorios de control de versiones en AL2023, que está activada de forma predeterminada, puede aplicar las actualizaciones según un cronograma que se adapte a sus necesidades específicas. Para obtener información, consulte Deterministic upgrades through versioned repositories en la Guía del usuario de Amazon Linux 2023.

En Amazon Linux 2022, los repositorios preconfigurados están vinculados a las versiones bloqueadas de las actualizaciones de paquetes. Cuando se publiquen nuevas Amazon Machine Images (AMIs) para Amazon Linux 2022, se bloquearán a una versión específica. Para las actualizaciones de revisiones, Patch Manager recupera la última versión bloqueada del repositorio de actualizaciones de revisiones y, a continuación, actualiza los paquetes en el nodo administrado en función del contenido de esa versión bloqueada.

En AL2023, el repositorio preconfigurado es el siguiente:

  • ID del repositorio: amazonlinux

    Nombre del repositorio: repositorio de Amazon Linux 2023

En Amazon Linux 2022 (versión preliminar), los repositorios preconfigurados están vinculados a las versiones bloqueadas de las actualizaciones de paquetes. Cuando se publiquen nuevas Amazon Machine Images (AMIs) para Amazon Linux 2022, se bloquearán a una versión específica. Para las actualizaciones de revisiones, Patch Manager recupera la última versión bloqueada del repositorio de actualizaciones de revisiones y, a continuación, actualiza los paquetes en el nodo administrado en función del contenido de esa versión bloqueada.

En Amazon Linux 2022, el repositorio preconfigurado es el siguiente:

  • ID del repositorio: amazonlinux

    Nombre del repositorio: repositorio de Amazon Linux 2022

nota

Todas las actualizaciones se descargan desde los repositorios remotos configurados en el nodo administrado. Por lo tanto, el nodo debe tener acceso saliente a Internet para conectarse a los repositorios y que puedan implementarse las revisiones.

Los nodos administrados de Amazon Linux 1 y Amazon Linux 2 utilizan el administrador de paquetes Yum. Amazon Linux 2022 y Amazon Linux 2023 utilizan DNF como administrador de paquetes.

Ambos administradores de paquetes utilizan el concepto de un aviso de actualización como un archivo llamado updateinfo.xml. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado. Patch Manager considera todos los paquetes que se encuentran en un aviso de actualización como paquetes de seguridad. A los paquetes individuales no se les asignan clasificaciones ni niveles de gravedad. Por este motivo, Patch Manager asigna los atributos de un aviso de actualización a los paquetes relacionados.

nota

Si selecciona la casilla de verificación Incluir actualizaciones no relacionadas con la seguridad en la página Crear una línea de base de revisiones, los paquetes que no estén clasificados en un archivo updateinfo.xml (o un paquete que contenga un archivo sin los valores de Clasificación, Gravedad y Fecha con el formato correcto) se podrán incluir en la lista de revisiones filtrada con anterioridad. Sin embargo, para poder aplicar un parche, este debe seguir cumpliendo las reglas de base de referencia de parches especificadas por el usuario.

CentOS and CentOS Stream

En CentOS y CentOS Stream, el servicio de la línea de base de revisiones de Systems Manager utiliza repositorios (repos) preconfigurados en el nodo administrado. En la siguiente lista, se muestran ejemplos para una Amazon Machine Image (AMI) de CentOS 8.2 ficticia:

  • ID del repositorio: example-centos-8.2-base

    Nombre del repositorio: Example CentOS-8.2 - Base

  • ID del repositorio: example-centos-8.2-extras

    Nombre del repositorio: Example CentOS-8.2 - Extras

  • ID del repositorio: example-centos-8.2-updates

    Nombre del repositorio: Example CentOS-8.2 - Updates

  • ID del repositorio: example-centos-8.x-examplerepo

    Nombre del repositorio: Example CentOS-8.x – Example Repo Packages

nota

Todas las actualizaciones se descargan desde los repositorios remotos configurados en el nodo administrado. Por lo tanto, el nodo debe tener acceso saliente a Internet para conectarse a los repositorios y que puedan implementarse las revisiones.

Los nodos administrados de CentOS 6 y 7 utilizan Yum como administrador de paquetes. Los nodos de CentOS 8 y CentOS Stream utilizan DNF como administrador de paquetes. Ambos administradores de paquetes utilizan el concepto de un aviso de actualización. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado.

Sin embargo, los repositorios predeterminados de CentOS y CentOS Stream no se configuran con un aviso de actualización. Esto significa que Patch Manager no detecta paquetes en repositorios de CentOS y CentOS Stream predeterminados. Para permitir que Patch Manager procese paquetes no incluidos en avisos de actualización, debe activar la marca EnableNonSecurity en las reglas de base de referencia de los parches.

nota

Los avisos de actualización de CentOS y CentOS Stream son compatibles. Los repositorios con avisos de actualización se pueden descargar tras el lanzamiento.

Servidor Debian and Raspberry Pi OS

En Debian Server y en Raspberry Pi OS (anteriormente Raspbian), el servicio de bases de referencia de revisiones de Systems Manager utiliza repositorios (repos) preconfigurados en la instancia. Estos repositorios preconfigurados se utilizan para obtener una lista actualizada de actualizaciones de paquetes disponibles. Por este motivo, Systems Manager realiza el equivalente a un comando sudo apt-get update.

A continuación, los paquetes se filtran desde los repositorios debian-security codename. Esto significa que en cada versión de Debian Server, Patch Manager solo identifica las actualizaciones que son parte del repositorio asociado para esta versión, como se muestra a continuación:

  • Debian Server 8: debian-security jessie

  • Debian Server 9: debian-security stretch

  • Debian Server 10: debian-security buster

  • Debian Server 11: debian-security bullseye

  • Debian Server 12: debian-security bookworm

nota

Solo en Debian Server 8: debido a que algunos nodos administrados de Debian Server 8.* hacen referencia a un repositorio de paquetes obsoleto (jessie-backports), Patch Manager lleva a cabo pasos adicionales para garantizar que las operaciones de aplicación de revisiones se efectúen correctamente. Para obtener más información, consulte Cómo se instalan las revisiones.

Oracle Linux

En Oracle Linux, el servicio de base de referencia de revisiones de Systems Manager utiliza repositorios (repos) preconfigurados en el nodo administrado. Normalmente, hay dos repositorios preconfigurados en un nodo.

Oracle Linux 7:

  • ID del repositorio: ol7_UEKR5/x86_64

    Nombre del repositorio: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID del repositorio: ol7_latest/x86_64

    Nombre del repositorio: Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8:

  • ID del repositorio: ol8_baseos_latest

    Nombre del repositorio: Oracle Linux 8 BaseOS Latest (x86_64)

  • ID del repositorio: ol8_appstream

    Nombre del repositorio: Oracle Linux 8 Application Stream (x86_64)

  • ID del repositorio: ol8_UEKR6

    Nombre del repositorio: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9:

  • ID del repositorio: ol9_baseos_latest

    Nombre del repositorio: Oracle Linux 9 BaseOS Latest (x86_64)

  • ID del repositorio: ol9_appstream

    Nombre del repositorio: Oracle Linux 9 Application Stream Packages(x86_64)

  • ID del repositorio: ol9_UEKR7

    Nombre del repositorio: Oracle Linux UEK Release 7 (x86_64)

nota

Todas las actualizaciones se descargan desde los repositorios remotos configurados en el nodo administrado. Por lo tanto, el nodo debe tener acceso saliente a Internet para conectarse a los repositorios y que puedan implementarse las revisiones.

Los nodos administrados de Oracle Linux utilizan Yum como administrador de paquetes y Yum utiliza el concepto de aviso de actualización como un archivo denominado updateinfo.xml. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado. A los paquetes individuales no se les asignan clasificaciones ni niveles de gravedad. Por este motivo, Patch Manager asigna los atributos de un aviso de actualización a los paquetes relacionados e instala los paquetes en función de los filtros de clasificación especificados en la base de referencia de parches.

nota

Si selecciona la casilla de verificación Incluir actualizaciones no relacionadas con la seguridad en la página Crear una línea de base de revisiones, los paquetes que no estén clasificados en un archivo updateinfo.xml (o un paquete que contenga un archivo sin los valores de Clasificación, Gravedad y Fecha con el formato correcto) se podrán incluir en la lista de revisiones filtrada con anterioridad. Sin embargo, para poder aplicar un parche, este debe seguir cumpliendo las reglas de base de referencia de parches especificadas por el usuario.

AlmaLinux, RHEL, and Rocky Linux

En AlmaLinux, Red Hat Enterprise Linux y Rocky Linux, el servicio de línea de base de revisiones de Systems Manager utiliza repositorios (repos) preconfigurados en el nodo administrado. Normalmente, hay tres repositorios preconfigurados en un nodo.

Todas las actualizaciones se descargan desde los repositorios remotos configurados en el nodo administrado. Por lo tanto, el nodo debe tener acceso saliente a Internet para conectarse a los repositorios y que puedan implementarse las revisiones.

nota

Si selecciona la casilla de verificación Incluir actualizaciones no relacionadas con la seguridad en la página Crear una línea de base de revisiones, los paquetes que no estén clasificados en un archivo updateinfo.xml (o un paquete que contenga un archivo sin los valores de Clasificación, Gravedad y Fecha con el formato correcto) se podrán incluir en la lista de revisiones filtrada con anterioridad. Sin embargo, para poder aplicar un parche, este debe seguir cumpliendo las reglas de base de referencia de parches especificadas por el usuario.

Los nodos administrados de Red Hat Enterprise Linux 7 utilizan YUM como administrador de paquetes. Los nodos administrados de AlmaLinux, Red Hat Enterprise Linux 8 y Rocky Linux utilizan DNF como gestor de paquetes. Ambos administradores de paquetes utilizan el concepto de un aviso de actualización como un archivo llamado updateinfo.xml. Un aviso de actualización es simplemente una colección de paquetes que solucionan un problema determinado. A los paquetes individuales no se les asignan clasificaciones ni niveles de gravedad. Por este motivo, Patch Manager asigna los atributos de un aviso de actualización a los paquetes relacionados e instala los paquetes en función de los filtros de clasificación especificados en la base de referencia de parches.

RHEL 7
nota

Los siguientes ID de repositorio están asociados con RHUI 2. RHUI 3 se lanzó en diciembre de 2019 y supuso la introducción de un esquema de nomenclatura diferente para los ID de repositorio de Yum. En función de la AMI RHEL-7 desde la que cree los nodos administrados, es posible que tenga que actualizar los comandos. Para obtener más información, consulte Repository IDs for RHEL 7 in AWS Have Changed en el Portal del cliente de Red Hat.

  • ID del repositorio: rhui-REGION-client-config-server-7/x86_64

    Nombre del repositorio: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID del repositorio: rhui-REGION-rhel-server-releases/7Server/x86_64

    Nombre del repositorio: Red Hat Enterprise Linux Server 7 (RPMs)

  • ID del repositorio: rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nombre del repositorio: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux 8, RHEL 8 y Rocky Linux 8

  • ID del repositorio: rhel-8-appstream-rhui-rpms

    Nombre del repositorio: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID del repositorio: rhel-8-baseos-rhui-rpms

    Nombre del repositorio: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID del repositorio: rhui-client-config-server-8

    Nombre del repositorio: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9 y Rocky Linux 9

  • ID del repositorio: rhel-9-appstream-rhui-rpms

    Nombre del repositorio: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID del repositorio: rhel-9-baseos-rhui-rpms

    Nombre del repositorio: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID del repositorio: rhui-client-config-server-9

    Nombre del repositorio: Red Hat Enterprise Linux 9 Client Configuration

SLES

En los nodos administrados de SUSE Linux Enterprise Server (SLES), la biblioteca ZYPP obtiene la lista de revisiones disponibles (una colección de paquetes) de las siguientes ubicaciones:

  • Lista de repositorios: etc/zypp/repos.d/*

  • Información de paquetes: /var/cache/zypp/raw/*

Los nodos administrados de SLES utilizan Zypper como administrador de paquetes, y Zypper utiliza el concepto de revisión. Un parche es una simple colección de paquetes que corrigen un problema concreto. Patch Manager se ocupa de todos los paquetes que se referencian en un parche como relacionados con la seguridad. Dado que a los paquetes individuales no se les asignan clasificaciones ni gravedad, Patch Manager les asigna los atributos del parche al que pertenecen.

Servidor Ubuntu

En Ubuntu Server, el servicio de base de referencia de revisiones de Systems Manager utiliza repositorios (repos) preconfigurados en el nodo administrado. Estos repositorios preconfigurados se utilizan para obtener una lista actualizada de actualizaciones de paquetes disponibles. Por este motivo, Systems Manager realiza el equivalente a un comando sudo apt-get update.

A continuación, los paquetes se filtran desde los repositorios codename-security, cuyo nombre de código es único para la versión de lanzamiento, como trusty para Ubuntu Server 14. Patch Manager identifica únicamente las actualizaciones que forman parte de estos repositorios:

  • Ubuntu Server 14.04 LTS: trusty-security

  • Ubuntu Server 16.04 LTS: xenial-security

  • Ubuntu Server 18.04 LTS: bionic-security

  • Ubuntu Server 20.04 LTS: focal-security

  • Ubuntu Server 20.10 STR: groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server 23.04 (lunar-security)

Windows Server

En los sistemas operativos Microsoft Windows, Patch Manager recupera una lista de las actualizaciones disponibles que Microsoft publica a través de los servicios de Microsoft Update y que están disponibles de manera automática para Windows Server Update Services (WSUS).

Patch Manager monitorea continuamente las nuevas actualizaciones en cada Región de AWS. La lista de las actualizaciones de Windows disponibles se actualiza en cada región al menos una vez al día. Cuando la información sobre parches de Microsoft se procesa, Patch Manager elimina las actualizaciones que se han sustituido por actualizaciones posteriores de su lista de parches. Por lo tanto, solo se muestra la última actualización y, en su caso, están disponibles para su instalación. Por ejemplo, si KB4012214 sustituye a KB3135456, solo KB4012214 estará disponible como una actualización en Patch Manager.

Patch Manager solo pone a disposición parches para versiones del sistema operativo Windows Server que son compatibles con Patch Manager. Por ejemplo, Patch Manager no se puede utilizar para aplicar parches a Windows RT.

nota

En algunos casos, Microsoft lanza parches para las aplicaciones que no especifican una hora ni una fecha de actualización. En estos casos, se suministra una fecha y hora actualizadas de 01/01/1970 de forma predeterminada.