Sélection des correctifs de sécurité - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sélection des correctifs de sécurité

L'objectif principal de la fonctionnalité Patch Manager d' AWS Systems Manager est d'installer les mises à jour liées à la sécurité des systèmes d'exploitation sur les nœuds gérés. Par défaut, Patch Manager n'installe pas tous les correctifs disponibles, mais plutôt un plus petit ensemble de correctifs axé sur la sécurité.

Pour les types de système d'exploitation basés sur Linux qui signalent un niveau de sévérité pour les correctifs, Patch Manager utilise le niveau de sévérité signalé par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne dérive pas les niveaux de sévérité de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ou des métriques publiées par la National Vulnerability Database (NVD).

Note

Sur tous les systèmes Linux pris en charge par Patch Manager, vous pouvez choisir un autre référentiel source configuré pour le nœud géré, généralement pour installer des mises à jour non liées à la sécurité. Pour plus d’informations, veuillez consulter Spécification d'un autre référentiel source de correctifs (Linux).

Sélectionnez parmi les onglets suivants pour en savoir plus sur la manière dont Patch Manager sélectionne les correctifs de sécurité pour votre système d'exploitation.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Les référentiels préconfigurés sont gérés différemment sur Amazon Linux 1 et Amazon Linux 2 par rapport à Amazon Linux 2022 et Amazon Linux 2023.

Sur Amazon Linux 1 et Amazon Linux 2, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :

Sur Amazon Linux 1

  • ID de référentiel : amzn-main/latest

    Nom de référentiel : amzn-main-Base

  • ID de référentiel : amzn-updates/latest

    Nom de référentiel : amzn-updates-Base

Sur Amazon Linux 2

  • ID de référentiel : amzn2-core/2/architecture

    Nom de référentiel : Amazon Linux 2 core repository

  • ID de référentiel : amzn2extra-docker/2/architecture

    Nom de référentiel : Amazon Extras repo for docker

Note

l'architecture peut être x86_64 ou aarch64.

Les instances Amazon Linux 2023 (AL2023) contiennent initialement les mises à jour disponibles dans la version d'AL2023 et l'AMI sélectionnée. Par défaut, votre instance AL2023 ne reçoit pas automatiquement de mises à jour de sécurité critiques et importantes supplémentaires au lancement. Au lieu de cela, grâce à la fonctionnalité de mises à niveau déterministes via des référentiels versionnés d'AL2023, qui est activée par défaut, vous pouvez appliquer des mises à jour selon un calendrier qui répond à vos besoins spécifiques. Pour plus d'informations, veuillez consulter la rubrique Mises à niveau déterministes via des référentiels versionnés dans le Guide de l'utilisateur Amazon Linux 2023.

Sur Amazon Linux 2022, les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Lorsque de nouvelles Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiées, elles sont verrouillées pour une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.

Sur AL2023, le référentiel préconfiguré est le suivant :

  • ID de référentiel : amazonlinux

    Nom du référentiel : référentiel Amazon Linux 2023

Sur Amazon Linux 2022 (version préliminaire), les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Lorsque de nouvelles Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiées, elles sont verrouillées pour une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.

Sur Amazon Linux 2022, le référentiel préconfiguré est le suivant :

  • ID de référentiel : amazonlinux

    Nom du référentiel : référentiel Amazon Linux 2022

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Les nœuds gérés Amazon Linux 1 et Amazon Linux 2 utilisent Yum comme gestionnaire de packages. Amazon Linux 2022 et Amazon Linux 2023 utilisent DNF comme gestionnaire de packages.

Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé updateinfo.xml. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Tous les packages qui sont inclus dans une notice de mise à jour sont considérés comme des correctifs de sécurité par Patch Manager. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. Pour cette raison, Patch Manager affecte les attributs d'une notice de mise à jour aux packages associés.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

CentOS and CentOS Stream

Sur CentOS et CentOS Stream, le service de référentiel de correctifs Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. La liste suivante fournit des exemples pour une Amazon Machine Image (AMI) CentOS 8.2 fictive :

  • ID de référentiel : example-centos-8.2-base

    Nom de référentiel : Example CentOS-8.2 - Base

  • ID de référentiel : example-centos-8.2-extras

    Nom de référentiel : Example CentOS-8.2 - Extras

  • ID de référentiel : example-centos-8.2-updates

    Nom de référentiel : Example CentOS-8.2 - Updates

  • ID de référentiel : example-centos-8.x-examplerepo

    Nom de référentiel : Example CentOS-8.x – Example Repo Packages

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Les nœuds gérés CentOS 6 et 7 utilisent Yum comme gestionnaire de package. CentOS 8 et CentOS Stream l'utilisation de DNF comme gestionnaire de package par les nœuds. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques.

Toutefois, CentOS et CentOS Stream les repos par défaut ne sont pas configurés avec un avis de mise à jour. Cela signifie que Patch Manager ne détecte pas les packages sur CentOS par défaut et CentOS Stream repos. Pour permettre au Patch Manager de traiter des packages qui ne sont pas contenus dans une notice de mise à jour, vous devez activer l'indicateur EnableNonSecurity dans les règles de référentiel de correctifs.

Note

CentOS et CentOS Stream les avis de mises à jour sont pris en charge. Les référentiels avec des notices de mise à jour peuvent être téléchargés après le lancement.

Debian Server and Raspberry Pi OS

Sous Debian Server et Raspberry Pi OS (anciennement Raspbian), le service de référentiel de correctifs Systems Manager utilise des référentiels préconfigurés sur l'instance. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande sudo apt-get update.

Les packages sont ensuite filtrés à partir du référentiel debian-security codename. Cela signifie que sur chaque version deDebian Server, identifie Patch Manager uniquement les mises à niveau qui font partie du dépôt associé à cette version, comme suit :

  • Debian Server 8 : debian-security jessie

  • Debian Server9 : debian-security stretch

  • Debian Server10 : debian-security buster

  • Debian Server11 : debian-security bullseye

  • Debian Server12 : debian-security bookworm

Note

Sous Debian Server 8 uniquement : dans la mesure où certains nœuds gérés de Debian Server 8.* font référence à un référentiel de packages obsolète (jessie-backports), Patch Manager applique des étapes supplémentaires pour s'assurer du succès des opérations d'application de correctifs. Pour plus d’informations, consultez Installation des correctifs.

Oracle Linux

Sous Oracle Linux, le service de référentiel de correctifs Systems Manager utilise des référentiels préconfigurés sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :

Oracle Linux 7 :

  • ID de référentiel : ol7_UEKR5/x86_64

    Nom de référentiel : Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID de référentiel : ol7_latest/x86_64

    Nom de référentiel : Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8 :

  • ID de référentiel : ol8_baseos_latest

    Nom de référentiel : Oracle Linux 8 BaseOS Latest (x86_64)

  • ID de référentiel : ol8_appstream

    Nom de référentiel : Oracle Linux 8 Application Stream (x86_64)

  • ID de référentiel : ol8_UEKR6

    Nom de référentiel : Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9 :

  • ID de référentiel : ol9_baseos_latest

    Nom de référentiel : Oracle Linux 9 BaseOS Latest (x86_64)

  • ID de référentiel : ol9_appstream

    Nom de référentiel : Oracle Linux 9 Application Stream Packages(x86_64)

  • ID de référentiel : ol9_UEKR7

    Nom de référentiel : Oracle Linux UEK Release 7 (x86_64)

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Les nœuds gérés Oracle Linux utilisent Yum comme gestionnaire de package, tandis que Yum utilise le concept d'avis de mise à jour sous la forme d'un fichier nommé updateinfo.xml. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. C'est la raison pour laquelle Patch Manager affecte les attributs d'une notice de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans le référentiel de correctif.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

AlmaLinux, RHEL, and Rocky Linux

Activé AlmaLinuxRed Hat Enterprise Linux, et Rocky Linux le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Un nœud comporte généralement trois référentiels préconfigurés :

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

Red Hat Enterprise Linux7 nœuds gérés utilisent Yum comme gestionnaire de packages. AlmaLinux, Red Hat Enterprise Linux 8, et les nœuds Rocky Linux gérés utilisent DNF comme gestionnaire de packages. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé updateinfo.xml. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. C'est la raison pour laquelle Patch Manager affecte les attributs d'une notice de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans le référentiel de correctif.

RHEL 7
Note

Les ID de référentiels suivants sont associés à RHUI 2. RHUI 3 a été lancé en décembre 2019 et a introduit un schéma de d'attribution de noms différent pour les ID de référentiel Yum. En fonction de l'AMI RHEL-7 à partir de laquelle vous créez vos nœuds gérés, une mise à jour de vos commandes peut être nécessaire. Pour plus d'informations, consultez la section Repository IDs for RHEL 7 dans AWS Have Changed sur le portail client Red Hat.

  • ID de référentiel : rhui-REGION-client-config-server-7/x86_64

    Nom de référentiel : Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID de référentiel : rhui-REGION-rhel-server-releases/7Server/x86_64

    Nom de référentiel : Red Hat Enterprise Linux Server 7 (RPMs)

  • ID de référentiel : rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nom de référentiel : Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8, RHEL 8 et Rocky Linux 8

  • ID de référentiel : rhel-8-appstream-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID de référentiel : rhel-8-baseos-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID de référentiel : rhui-client-config-server-8

    Nom de référentiel : Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9 et Rocky Linux 9

  • ID de référentiel : rhel-9-appstream-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID de référentiel : rhel-9-baseos-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID de référentiel : rhui-client-config-server-9

    Nom de référentiel : Red Hat Enterprise Linux 9 Client Configuration

SLES

Sur les nœuds gérés SUSE Linux Enterprise Server (SLES), la bibliothèque ZYPP obtient la liste des correctifs disponibles (un ensemble de packages) à partir des emplacements suivants :

  • Liste de référentiels : etc/zypp/repos.d/*

  • Informations sur les packages : /var/cache/zypp/raw/*

Les nœuds gérés SLES utilisent Zypper comme gestionnaire de package, tandis que Zypper utilise le concept de correctif. Un correctif est tout simplement un ensemble de packages qui corrigent un problème spécifique. Patch Manager gère tous les packages référencés dans un correctif comme étant liés à la sécurité. Étant donné que les différents packages ne sont associés à aucune classification ou sévérité, Patch Manager leur affecte les attributs du correctif auquel ils appartiennent.

Ubuntu Server

Sous Ubuntu Server, le service de référentiel de correctifs Systems Manager utilise des référentiels préconfigurés sur le nœud géré. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande sudo apt-get update.

Les packages sont ensuite filtrés à partir de référentiels codename-security, le nom de code étant unique à la version, trusty pour Ubuntu Server 14 par exemple. Patch Manager identifie uniquement les mises à niveau qui font partie de ces référentiels :

  • Ubuntu Server 14.04 LTS : trusty-security

  • Ubuntu Server 16.04 LTS : xenial-security

  • Ubuntu Server 18.04 LTS : bionic-security

  • Ubuntu Server 20.04 LTS : focal-security

  • Ubuntu Server 20.10 STR : groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server23,04 () lunar-security

Windows Server

Sur les systèmes d'exploitation Microsoft Windows, Patch Manager récupère une liste des mises à jour disponibles que Microsoft publie dans Microsoft Update et sont automatiquement disponibles pour Windows Server Update Services (WSUS).

Patch Manager surveille en permanence les nouvelles mises à jour dans chaque Région AWS. La liste des mises à jour disponibles est actualisée dans chaque région au moins une fois par jour. Lorsque les informations de correctif provenant de Microsoft sont traitées, Patch Manager supprime de la liste des correctifs les mises à jour qui ont été remplacés par des mises à jour ultérieures. Par conséquent, seule la mise à jour la plus récente est affichée et disponible pour être installée. Par exemple, si KB4012214 remplace KB3135456, seule KB4012214 est disponible en tant que mise à jour dans Patch Manager.

Patch Manager ne met à disposition que les correctifs destinés aux versions du système d'exploitation Windows Server prises en charge par Patch Manager. Par exemple, Patch Manager ne peut pas être utilisé pour appliquer un correctif à Windows RT.

Note

Dans certains cas, Microsoft publie des correctifs pour les applications qui ne spécifient pas de date et d'heure de mise à jour. La date et l'heure 01/01/1970 sont alors fournies par défaut.