Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux - AWS Systems Manager
Comment fonctionnent les règles de base des correctifs sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023Le fonctionnement des règles liées au référentiel de correctifs sur CentOS et CentOS StreamFonctionnement des règles de référence de correctifs sur Debian Server et Raspberry Pi OSFonctionnement des règles de référence de correctif sur macOSFonctionnement des règles de référence de correctif sur Oracle LinuxComment fonctionnent les règles de base des correctifs sur AlmaLinuxRHEL, et Rocky LinuxFonctionnement des règles de référence de correctif sur SUSE Linux Enterprise ServerFonctionnement des règles de référence de correctif sur Ubuntu Server

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux

Les règles d'un référentiel de correctif pour les distributions Linux fonctionnent différemment en fonction du type de distribution. Contrairement aux mises à jour de correctifs sur les nœuds Windows Server gérés, les règles sont évaluées sur chaque nœud afin de prendre en compte les dépôts configurés sur l'instance. Patch Manager, une fonctionnalité de AWS Systems Manager, utilise le gestionnaire de packages natif pour piloter l'installation des correctifs approuvés par la base de correctifs.

Pour les types de système d'exploitation basés sur Linux qui signalent un niveau de sévérité pour les correctifs, Patch Manager utilise le niveau de sévérité signalé par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne dérive pas les niveaux de sévérité de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ou des métriques publiées par la National Vulnerability Database (NVD).

Comment fonctionnent les règles de base des correctifs sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023

Sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM (Amazon Linux 1 et Amazon Linux 2) ou la bibliothèque DNF (Amazon Linux 2022 et Amazon Linux 2023) accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Si aucun fichier updateinfo.xml n’est trouvé, l’installation de correctifs dépend des paramètres Inclusion de mises à jour non liées à la sécurité et Approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que ALAS-2017-867. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2017-1234567). L'ID CVE peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécuritén’est pas sélectionnée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour Amazon Linux 1 et Amazon Linux 2, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Pour Amazon Linux et Amazon Linux 2, la commande yum équivalente pour ce flux de travail est :

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec-severity=Imporant --bugfix -y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Le fonctionnement des règles liées au référentiel de correctifs sur CentOS et CentOS Stream

CentOS et les référentiels CentOS Stream par défaut n'incluent aucun fichier. updateinfo.xml Toutefois, les référentiels personnalisés que vous créez ou utilisez peuvent inclure ce fichier. Dans cette rubrique, les références ne s'updateinfo.xmlappliquent qu'à ces référentiels personnalisés.

Sur CentOS et CentOS Stream, le processus de sélection des correctifs est le suivant:

  1. Sur le nœud géré, la bibliothèque YUM (sur les versions de CentOS 6.x et 7.x) ou la bibliothèque DNF (sur CentOS 8.x et CentOS Stream) updateinfo.xml accède au fichier, s'il existe dans un référentiel personnalisé, pour chaque dépôt configuré.

    Si aucun correctif n'est updateinfo.xml trouvé, ce qui inclut toujours les dépôts par défaut, l'installation des correctifs dépend des paramètres d'inclusion des mises à jour non liées à la sécurité et d'approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. S'il updateinfo.xml est présent, chaque avis de mise à jour du fichier inclut plusieurs attributs qui indiquent les propriétés des packages figurant dans l'avis, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que CVE-2019-17055. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2019-17055) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Dans tous les cas, le produit du nœud géré est déterminé parSSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécuritén’est pas sélectionnée

    Pour chaque avis de mise à jourupdateinfo.xml, s'il existe dans un référentiel personnalisé, la ligne de base de correctif est utilisée comme filtre, permettant uniquement d'inclure les packages qualifiés dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour CentOS 6 et 7 où updateinfo.xml est présent, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour CentOS 8 et CentOS Stream ses emplacements, la commande dnf équivalente pour ce flux de travail updateinfo.xml est la suivante :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    Outre l'application des mises à jour de sécurité sélectionnéesupdateinfo.xml, s'il existe dans un référentiel personnalisé, Patch Manager applique les mises à jour non liées à la sécurité qui respectent par ailleurs les règles de filtrage des correctifs.

    Pour CentOS 6 et 7 où updateinfo.xml est présent, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Pour CentOS 8 et CentOS Stream ses emplacements, la commande dnf équivalente pour ce flux de travail updateinfo.xml est la suivante :

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Pour les dépôts par défaut et les dépôts personnalisés sansupdateinfo.xml, vous devez cocher la case Inclure les mises à jour non liées à la sécurité afin de mettre à jour les packages du système d'exploitation (OS).

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Fonctionnement des règles de référence de correctifs sur Debian Server et Raspberry Pi OS

Sur Debian Server et Raspberry Pi OS (anciennement Raspbian), le service de référence de correctifs permet un filtrage sur les champs Priority (Priorité) et Section. Ces champs sont généralement présents pour tous les packages Debian Server et Raspberry Pi OS. Pour déterminer si un correctif est sélectionné par le référentiel de correctif, Patch Manager effectue les opérations suivantes :

  1. Sous les systèmes Debian Server et Raspberry Pi OS, l'équivalent de sudo apt-get update est exécuté afin d'actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

    Important

    Sur Debian Server 8 uniquement : étant donné que certains systèmes d'exploitation Debian Server 8.* font référence à un référentiel de packages obsolète (jessie-backports), Patch Manager effectue des étapes supplémentaires pour s'assurer que les opérations d'application de correctifs réussissent :

    1. Sur votre nœud géré, la référence au référentiel jessie-backports est commentée à partir de la liste des emplacements sources (/etc/apt/sources.list.d/jessie-backports). Par conséquent, aucune tentative n'est effectuée pour télécharger des correctifs à partir de cet emplacement.

    2. Une clé de signature de mise à jour de sécurité Stretch est importée. Cette clé fournit les autorisations nécessaires pour les opérations de mise à jour et d'installation sur les distributions Debian Server 8.*.

    3. L'opération apt-get est exécutée à ce moment précis pour s'assurer que la dernière version de python3-apt est installée avant le début du processus d'application des correctifs.

    4. Une fois le processus d'installation terminé, la référence au référentiel jessie-backports est restaurée et la clé de signature est supprimée du porte-clés source apt. Ainsi, la configuration du système demeure telle qu'elle était avant l'opération d'application de correctifs.

  3. Ensuite, les listes GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatches sont appliquées.

    Note

    Dans la mesure où il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Debian Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Debian Server les versions de correctifs candidates se limitent aux correctifs inclus dans les référentiels suivants :

    La dénomination de ces référentiels est la suivante :

    • Debian Server 8 : debian-security jessie

    • Debian Server et Raspberry Pi OS 9 : debian-security stretch

    • Debian Server10 : debian-security buster

    • Debian Server11 : debian-security bullseye

    • Debian Server12 : debian-security bookworm

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Note

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur les systèmes Debian Server.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur macOS

Sur les macOS, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, Patch Manager accède au contenu analysé du fichier InstallHistory.plist et identifie les noms et les versions des packages.

    Pour obtenir des détails sur le processus d'analyse, veuillez consulter l'onglet macOS dans Installation des correctifs.

  2. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  3. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécuritén’est pas sélectionnée

    Pour chaque mise à jour de package disponible, le référentiel de correctifs est utilisé en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécurité est sélectionnée

    En plus de l'application des mises à jour de sécurité qui ont été identifiées à l'aide de InstallHistory.plist , Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur Oracle Linux

Sur les Oracle Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM accède au fichier updateinfo.xml de chaque référentiel configuré.

    Note

    Le fichier updateinfo.xml peut ne pas être disponible si le référentiel n'est pas géré par Oracle. Si aucun fichier updateinfo.xml n’est trouvé, l’installation de correctifs dépend des paramètres Inclusion de mises à jour non liées à la sécurité et Approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que CVE-2019-17055. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2019-17055) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécuritén’est pas sélectionnée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Référentiels de correctifs personnalisés pour lesquels l’option Inclusion de mises à jour non liées à la sécurité est sélectionnée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante : 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs sur AlmaLinuxRHEL, et Rocky Linux

Sur AlmaLinux, Red Hat Enterprise Linux (RHEL) etRocky Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM (RHEL7) ou la bibliothèque DNF (AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9) accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Le fichier updateinfo.xml peut ne pas être disponible si le référentiel n'est pas géré par Red Hat. Si aucun fichier updateinfo.xml n'est trouvé, aucun correctif ne sera appliqué.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que RHSA-2017:0864. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2017-1000371) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour RHEL 7, la commande yum équivalente pour ce flux de travail est :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Pour RHEL 7, la commande yum équivalente pour ce flux de travail est :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur SUSE Linux Enterprise Server

Sur SLES, chaque correctif inclut les attributs suivants, qui indiquent les propriétés des packages dans le correctif :

  • Catégorie : Correspond à la valeur de l'attribut de la clé Classification du type de données PatchFilter de la référence de correctifs. Indique le type de correctif inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

  • Severity : correspond à la valeur de l'attribut de la clé Severity dans le type de données PatchFilter de la référence de correctifs. Désigne la sévérité des correctifs.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé Product du type de données PatchFilter de la référence de correctifs.

Pour chaque correctif, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

Note

Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

Fonctionnement des règles de référence de correctif sur Ubuntu Server

Sur Ubuntu Server, le service de référence de correctifs permet un filtrage sur les champs Priority (Priorité) et Section. Ces champs sont généralement présents pour tous les packages Ubuntu Server. Pour déterminer si un correctif est sélectionné par le référentiel de correctif, Patch Manager effectue les opérations suivantes :

  1. Sous les systèmes Ubuntu Server, l'équivalent de sudo apt-get update est exécuté afin d'actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

  3. Ensuite, les listes GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatches sont appliquées.

    Note

    Comme il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Ubuntu Server les versions de correctifs candidates se limitent aux correctifs inclus dans les référentiels suivants :

    • Ubuntu Server 14.04 LTS : trusty-security

    • Ubuntu Server 16.04 LTS : xenial-security

    • Ubuntu Server 18.04 LTS : bionic-security

    • Ubuntu Server 20.04 LTS : focal-security

    • Ubuntu Server 20.10 STR : groovy-security

    • Ubuntu Server 22.04 LTS (jammy-security)

    • Ubuntu Server23,04 () lunar-security

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Note

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter À propos des formats de noms de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur les systèmes Ubuntu Server 16.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Comprendre les valeurs d'état de conformité des correctifs.