Come vengono selezionate le patch di sicurezza - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come vengono selezionate le patch di sicurezza

L'obiettivo principale di Patch Manager, una funzionalità di AWS Systems Manager, è l'installazione di aggiornamenti dei sistemi operativi relativi alla sicurezza nei nodi gestiti. Per impostazione predefinita, Patch Manager non installa tutte le patch disponibili, ma solo una serie limitata di patch relative alla sicurezza.

Per i sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dal publisher del software per la notifica di aggiornamento o la singola patch. Patch Manager non ottiene i livelli di gravità da fonti di terze parti, come il CVSS (Common Vulnerability Scoring System), o dai parametri rilasciati dall'NVD (National Vulnerability Database).

Nota

In tutti i sistemi basati su Linux supportati da Patch Manager puoi scegliere un altro repository di origine configurato per il nodo gestito, in genere per l'installazione di aggiornamenti non relativi alla sicurezza. Per informazioni, consulta Come specificare un repository alternativo di origine delle patch (Linux).

Scegli una delle seguenti schede per scoprire come Patch Manager seleziona le patch di sicurezza per il tuo sistema operativo.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Gli archivi preconfigurati vengono gestiti in modo diverso su Amazon Linux 1 e Amazon Linux 2 rispetto a Amazon Linux 2022 e Amazon Linux 2023.

Su Amazon Linux 1 e Amazon Linux 2, il servizio di base delle patch di Systems Manager utilizza repository preconfigurati sul nodo gestito. In genere in un nodo sono disponibili due repository (repo) preconfigurati:

Su Amazon Linux 1

  • ID repository:amzn-main/latest

    Nome repository:amzn-main-Base

  • ID repository:amzn-updates/latest

    Nome repository:amzn-updates-Base

Su Amazon Linux 2

  • ID repository:amzn2-core/2/architecture

    Nome repository:Amazon Linux 2 core repository

  • ID repository:amzn2extra-docker/2/architecture

    Nome repository:Amazon Extras repo for docker

Nota

l'architettura può essere x86_64 o aarch64.

Le istanze di Amazon Linux 2023 (AL2023) contengono inizialmente gli aggiornamenti disponibili nella versione di AL2023 e l’AMI scelta. Per impostazione predefinita, l'istanza AL2023 non riceve automaticamente aggiornamenti di sicurezza critici e importanti aggiuntivi al momento dell’avvio. Invece, con la funzionalità degli aggiornamenti deterministici tramite repository con versioni di AL2023, attivata per impostazione predefinita, puoi applicare gli aggiornamenti in base a una pianificazione che soddisfi le tue esigenze specifiche. Per ulteriori informazioni, consulta Utilizzo di aggiornamenti deterministici tramite repository con versioni di AL2023 nella Guida per l'utente di Amazon Linux 2023.

Su Amazon Linux 2022, i repository preconfigurati sono legati a versioni bloccate degli aggiornamenti dei pacchetti. Quando vengono rilasciate nuove Amazon Machine Images (AMIs) per Amazon Linux 2022, queste vengono bloccate a una versione specifica. Per gli aggiornamenti delle patch, Patch Manager recupera l'ultima versione bloccata del repository degli aggiornamenti delle patch, quindi aggiorna i pacchetti sul nodo gestito in base al contenuto di quella versione bloccata.

Su AL 2023, il repository preconfigurato è il seguente:

  • ID repository:amazonlinux

    Nome del repository: repository Amazon Linux 2023

Su Amazon Linux 2022 (release precedente), i repository preconfigurati sono legati a versioni bloccate degli aggiornamenti dei pacchetti. Quando vengono rilasciate nuove Amazon Machine Images (AMIs) per Amazon Linux 2022, queste vengono bloccate a una versione specifica. Per gli aggiornamenti delle patch, Patch Manager recupera l'ultima versione bloccata del repository degli aggiornamenti delle patch, quindi aggiorna i pacchetti sul nodo gestito in base al contenuto di quella versione bloccata.

Su Amazon Linux 2022, il repository preconfigurato è il seguente:

  • ID repository:amazonlinux

    Nome del repository: repository Amazon Linux 2022

Nota

Tutti gli aggiornamenti vengono scaricati dai repo remoti configurati nel nodo. Pertanto, il nodo deve avere un accesso in uscita a Internet per connettersi ai repository in modo che possa essere eseguita l'applicazione di patch.

I nodi gestiti di Amazon Linux 1 e Amazon Linux 2 utilizzano Yum come gestore di pacchetti. Amazon Linux 2022 e Amazon Linux 2023 utilizzano DNF come gestore di pacchetti.

Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento come un file denominato updateinfo.xml. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Tutti i pacchetti di un avviso di aggiornamento sono considerati di sicurezza da Patch Manager. Ai singoli pacchetti non vengono assegnati classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di un avviso di aggiornamento ai pacchetti correlati.

Nota

Se si seleziona la casella di controllo Includi aggiornamenti non critici nella pagina Crea baseline delle patch, i pacchetti non classificati in un file updateinfo.xml (o in un pacchetto che contiene un file per il quale i valori relativi a classificazione, gravità e data non sono formattati in modo appropriato) possono essere inclusi nell'elenco di patch prefiltrato. Tuttavia, per poter essere applicata, una patch deve comunque soddisfare le regole della base di patch specificate dall'utente.

CentOS and CentOS Stream

In CentOS e CentOS Stream, il servizio della patch di base di Systems Manager utilizza repository pre-configurati (repo) nel nodo gestito. L'elenco seguente fornisce esempi per un fittizio CentOS 8.2Amazon Machine Image(AMI):

  • ID repository:example-centos-8.2-base

    Nome repository:Example CentOS-8.2 - Base

  • ID repository:example-centos-8.2-extras

    Nome repository:Example CentOS-8.2 - Extras

  • ID repository:example-centos-8.2-updates

    Nome repository:Example CentOS-8.2 - Updates

  • ID repository:example-centos-8.x-examplerepo

    Nome repository:Example CentOS-8.x – Example Repo Packages

Nota

Tutti gli aggiornamenti vengono scaricati dai repo remoti configurati nel nodo. Pertanto, il nodo deve avere un accesso in uscita a Internet per connettersi ai repository in modo che possa essere eseguita l'applicazione di patch.

I nodi gestiti 6 e 7 usano Yum come gestore di pacchetti. I nodi gestiti CentOS 8 e CentOS Stream utilizzano DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.

Tuttavia, i repo predefiniti di CentOS e CentOS Stream non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non è in grado di rilevare i pacchetti in un repo CentOS e CentOS Stream predefinito. Per abilitare Patch Manager all'elaborazione di pacchetti non sono contenuti in un avviso di aggiornamento, dovrai abilitare il flag EnableNonSecurity nelle regole di base di patch.

Nota

Gli avvisi di aggiornamento di CentOS e CentOS Stream sono supportati. Potrai scaricare i repo con avvisi di aggiornamento dopo l'avvio.

Debian Server and Sistema Operativo Raspberry Pi

In Debian Server e Raspberry Pi OS (ex Raspbian) il servizio della patch di base di Systems Manager utilizza repository preconfigurati (repo) nell'istanza. Questi repo preconfigurati vengono utilizzati per estrarre un elenco aggiornato degli aggiornamenti dei pacchetti disponibili. A tale scopo, Systems Manager esegue l'equivalente di un comando sudo apt-get update.

I pacchetti vengono quindi filtrati da repo debian-security codename. Ciò significa che in ogni versione diDebian Server, identifica Patch Manager solo gli aggiornamenti che fanno parte del repository associato a quella versione, come segue:

  • Debian Server 8: debian-security jessie

  • Debian Server9: debian-security stretch

  • Debian Server10: debian-security buster

  • Debian Server11: debian-security bullseye

  • Debian Server12: debian-security bookworm

Nota

Solo su Debian Server 8: poiché alcuni i nodi gestiti di Debian Server 8.* si riferiscono a un repository di pacchetti obsoleto (jessie-backports), Patch Manager esegue ulteriori fasi per garantire che le operazioni di applicazione di patch abbiano esito positivo. Per ulteriori informazioni, consulta Come vengono installate le patch.

Oracle Linux

In Oracle Linux, il servizio della patch di base di Systems Manager utilizza repository preconfigurati (repo) nel nodo gestito. In genere in un nodo sono disponibili due repo preconfigurati:

Oracle Linux 7:

  • ID repository:ol7_UEKR5/x86_64

    Nome repository:Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID repository:ol7_latest/x86_64

    Nome repository:Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8:

  • ID repository:ol8_baseos_latest

    Nome repository:Oracle Linux 8 BaseOS Latest (x86_64)

  • ID repository:ol8_appstream

    Nome repository:Oracle Linux 8 Application Stream (x86_64)

  • ID repository:ol8_UEKR6

    Nome repository:Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9:

  • ID repository:ol9_baseos_latest

    Nome repository:Oracle Linux 9 BaseOS Latest (x86_64)

  • ID repository:ol9_appstream

    Nome repository:Oracle Linux 9 Application Stream Packages(x86_64)

  • ID repository:ol9_UEKR7

    Nome repository:Oracle Linux UEK Release 7 (x86_64)

Nota

Tutti gli aggiornamenti vengono scaricati dai repo remoti configurati nel nodo. Pertanto, il nodo deve avere un accesso in uscita a Internet per connettersi ai repository in modo che possa essere eseguita l'applicazione di patch.

I nodi gestiti di Oracle Linux utilizzano Yum come programma di gestione dei pacchetti e Yum si avvale del principio dell'avviso di aggiornamento sotto forma di file denominato updateinfo.xml. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Ai singoli pacchetti non vengono assegnati classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di un avviso di aggiornamento ai pacchetti correlati e installa i pacchetti in base ai filtri di classificazione specificati nella base di patch.

Nota

Se si seleziona la casella di controllo Includi aggiornamenti non critici nella pagina Crea baseline delle patch, i pacchetti non classificati in un file updateinfo.xml (o in un pacchetto che contiene un file per il quale i valori relativi a classificazione, gravità e data non sono formattati in modo appropriato) possono essere inclusi nell'elenco di patch prefiltrato. Tuttavia, per poter essere applicata, una patch deve comunque soddisfare le regole della base di patch specificate dall'utente.

AlmaLinux, RHEL, and Rocky Linux

Sì AlmaLinuxRed Hat Enterprise Linux, e Rocky Linux il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sul nodo gestito. In genere in un nodo sono disponibili tre repo preconfigurati:

Tutti gli aggiornamenti vengono scaricati dai repo remoti configurati nel nodo. Pertanto, il nodo deve avere un accesso in uscita a Internet per connettersi ai repository in modo che possa essere eseguita l'applicazione di patch.

Nota

Se si seleziona la casella di controllo Includi aggiornamenti non critici nella pagina Crea baseline delle patch, i pacchetti non classificati in un file updateinfo.xml (o in un pacchetto che contiene un file per il quale i valori relativi a classificazione, gravità e data non sono formattati in modo appropriato) possono essere inclusi nell'elenco di patch prefiltrato. Tuttavia, per poter essere applicata, una patch deve comunque soddisfare le regole della base di patch specificate dall'utente.

Red Hat Enterprise Linux7 nodi gestiti utilizzano Yum come gestore di pacchetti. AlmaLinux, Red Hat Enterprise Linux 8, e i nodi Rocky Linux gestiti utilizzano DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento come file denominato updateinfo.xml. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Ai singoli pacchetti non vengono assegnati classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di un avviso di aggiornamento ai pacchetti correlati e installa i pacchetti in base ai filtri di classificazione specificati nella base di patch.

RHEL 7
Nota

I seguenti ID repository sono associati a RHUI 2. RHUI 3 è stato lanciato nel dicembre 2019 e ha introdotto un diverso schema di denominazione per gli ID repository Yum. A seconda dell'AMI RHEL-7 AMI da cui si creano i nodi gestiti, potrebbe essere necessario aggiornare i comandi. Per maggiori informazioni, consultate Repository ID for RHEL 7 in AWS Have Changed sul Red Hat Customer Portal.

  • ID repository:rhui-REGION-client-config-server-7/x86_64

    Nome repository:Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID repository:rhui-REGION-rhel-server-releases/7Server/x86_64

    Nome repository:Red Hat Enterprise Linux Server 7 (RPMs)

  • ID repository:rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nome repository:Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8, RHEL 8 e Rocky Linux 8

  • ID repository:rhel-8-appstream-rhui-rpms

    Nome repository:Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID repository:rhel-8-baseos-rhui-rpms

    Nome repository:Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repository:rhui-client-config-server-8

    Nome repository:Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9 e Rocky Linux 9

  • ID repository:rhel-9-appstream-rhui-rpms

    Nome repository:Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID repository:rhel-9-baseos-rhui-rpms

    Nome repository:Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repository:rhui-client-config-server-9

    Nome repository:Red Hat Enterprise Linux 9 Client Configuration

SLES

Nei nodi gestiti SUSE Linux Enterprise Server (SLES), la libreria ZYPP ottiene l'elenco delle patch disponibili (una raccolta di pacchetti) dai seguenti percorsi:

  • Elenco di repository: etc/zypp/repos.d/*

  • Informazioni sui pacchetti: /var/cache/zypp/raw/*

I nodi gestiti SLES utilizzano Zypper come programma di gestione dei pacchetti e Zypper si avvale del principio di una patch. Una patch è semplicemente una raccolta di pacchetti per la risoluzione di un problema specifico.Patch Manager gestisce tutti i pacchetti a cui fa riferimento in una patch come correlati alla sicurezza. Poiché ai singoli pacchetti non viene attribuita alcuna classificazione o gravità, Patch Manager assegna ai pacchetti gli attributi della patch a cui appartengono.

Ubuntu Server

In Ubuntu Server, il servizio della patch di base di Systems Manager utilizza repository preconfigurati (repo) nel nodo gestito. Questi repo preconfigurati vengono utilizzati per estrarre un elenco aggiornato degli aggiornamenti dei pacchetti disponibili. A tale scopo, Systems Manager esegue l'equivalente di un comando sudo apt-get update.

I pacchetti vengono quindi filtrati da repository codename-security, in cui il nome in codice è univoco per la versione di rilascio, ad esempio trusty per Ubuntu Server 14. Patch Manager identifica esclusivamente gli aggiornamenti che fanno parte di questi repository:

  • Ubuntu Server 14.04 LTS: trusty-security

  • Ubuntu Server 16.04 LTS: xenial-security

  • Ubuntu Server 18.04 LTS: bionic-security

  • Ubuntu Server 20.04 LTS: focal-security

  • Ubuntu Server 20.10 STR: groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server23.04 () lunar-security

Windows Server

Nei sistemi operativi Microsoft Windows, Patch Manager consente di recuperare l'elenco degli aggiornamenti disponibili pubblicati da Microsoft e sono automaticamente disponibili su Windows Server Update Services (WSUS).

Patch Manager effettua un monitoraggio continuo per nuovi aggiornamenti in ogni Regione AWS. L'elenco degli aggiornamenti disponibili viene aggiornato in ciascuna regione almeno una volta al giorno. Man mano che Microsoft elabora le informazioni sulle patch, Patch Manager rimuove dall'elenco gli aggiornamenti che sono stati sostituiti da quelli successivi. Pertanto, viene visualizzato e può essere installato solo l'aggiornamento più recente. Ad esempio, se KB4012214 sostituisce KB3135456, solo KB4012214 viene reso disponibile come aggiornamento in Patch Manager.

Patch Manager rende disponibili esclusivamente le patch disponibili per le versioni del sistema operativo Windows Server che sono supportate per Patch Manager. Ad esempio, Patch Manager non può essere utilizzato per applicare patch a Windows RT.

Nota

In alcuni casi, Microsoft rilascia patch per applicazioni che non specificano una data e un'ora aggiornate. In questi casi, una data e un'ora aggiornate di 01/01/1970 viene fornito per impostazione predefinita.