Como os patches de segurança são selecionados - AWS Systems Manager

Como os patches de segurança são selecionados

O foco principal do Patch Manager, um recurso do AWS Systems Manager, é instalar as atualizações relacionadas à segurança de sistemas operacionais nos nós gerenciados. Por padrão, o Patch Manager não instala todos os patches disponíveis, mas sim um conjunto menor de patches relacionados à segurança.

Para tipos de sistema operacional baseados em Linux que relatem um nível de gravidade para patches, o Patch Manager usa o nível de gravidade relatado pelo editor do software para o aviso de atualização ou patch individual. O Patch Manager não deriva níveis de gravidade de fontes de terceiros, como o Sistema comum de pontuação de vulnerabilidades (CVSS), ou a partir de métricas lançadas pelo Banco de dados nacional de vulnerabilidades (NVD).

nota

Em todos os sistemas baseados em Linux com os quais o Patch Manager é compatível, você pode escolher um outro repositório de origem configurado para o nó gerenciado, normalmente para instalar atualizações não relacionadas a segurança. Para ter mais informações, consulte Como especificar um repositório de origem de patches alternativo (Linux).

Escolha uma das guias a seguir para saber como o Patch Manager seleciona patches de segurança para o sistema operacional.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

O Amazon Linux 1 e o Amazon Linux 2 lidam com repositórios pré-configurados de modo diferente do Amazon Linux 2022 e do Amazon Linux 2023.

No Amazon Linux 1 e no Amazon Linux 2, o serviço de lista de referência de patches do Systems Manager usa repositórios pré-configurados em seu nó gerenciado. Há dois repositórios pré-configurados (repos) em um nó:

No Amazon Linux 1

  • ID do repositório: amzn-main/latest

    Nome do repositório: amzn-main-Base

  • ID do repositório: amzn-updates/latest

    Nome do repositório: amzn-updates-Base

No Amazon Linux 2

  • ID do repositório: amzn2-core/2/architecture

    Nome do repositório: Amazon Linux 2 core repository

  • ID do repositório: amzn2extra-docker/2/architecture

    Nome do repositório: Amazon Extras repo for docker

nota

arquitetura pode ser x86_64 ou aarch64.

As instâncias do Amazon Linux 2023 (AL2023) contêm inicialmente as atualizações que estavam disponíveis na versão do AL2023 e na AMI escolhida. Por padrão, a instância AL2023 não recebe automaticamente outras atualizações de segurança críticas e importantes na inicialização. Em vez disso, com o atributo de atualizações determinísticas por meio de repositórios versionados no AL2023, que está ativado por padrão, é possível aplicar atualizações com base em um agendamento que atenda às suas necessidades específicas. Para obter mais informações, consulte Deterministic upgrades through versioned repositories no Amazon Linux 2023 User Guide.

No Amazon Linux 2022, os repositórios pré-configurados estão vinculados a versões vinculadas de atualizações de pacotes. Quando novas Amazon Machine Images (AMIs) para o Amazon Linux 2022 são lançadas, elas são vinculadas a uma versão específica. Para atualizações de patches, o Patch Manager recupera a versão vinculada mais recente do repositório de atualizações de patches e, em seguida, atualiza os pacotes no nó gerenciado com base no conteúdo dessa versão vinculada.

No AL2023, o repositório pré-configurado é o seguinte:

  • ID do repositório: amazonlinux

    Nome do repositório: repositório do Amazon Linux 2023

No Amazon Linux 2022 (versão de pré-visualização), os repositórios pré-configurados estão vinculados a versões vinculadas de atualizações de pacotes. Quando novas Amazon Machine Images (AMIs) para o Amazon Linux 2022 são lançadas, elas são vinculadas a uma versão específica. Para atualizações de patches, o Patch Manager recupera a versão vinculada mais recente do repositório de atualizações de patches e, em seguida, atualiza os pacotes no nó gerenciado com base no conteúdo dessa versão vinculada.

No Amazon Linux 2022, o repositório pré-configurado é o seguinte:

  • ID do repositório: amazonlinux

    Nome do repositório: repositório do Amazon Linux 2022

nota

Todas as atualizações são obtidas por download dos repositórios remotos configurados em seu nó gerenciado. Portanto, o nó deve ter acesso de saída à Internet para se conectar aos repositórios para que a aplicação do patch seja realizada.

Os nós gerenciados do Amazon Linux 1 e do Amazon Linux 2 usam o Yum como gerenciador de pacotes. Os nós gerenciados do Amazon Linux 2022 e do Amazon Linux 2023 usam o DNF como gerenciador de pacotes.

Os gerenciadores de pacotes usam o conceito de um aviso de atualização como um arquivo denominado updateinfo.xml. Uma notificação de atualização é um conjunto de pacotes que corrige problemas específicos. Todos os pacotes que estão em um aviso de atualização são considerados de segurança pelo Patch Manager. Pacotes individuais não recebem classificações ou níveis de gravidade. Por esse motivo, o Patch Manager designa os atributos de um aviso de atualização aos pacotes relacionados.

nota

Se você marcar a caixa de seleção Incluir atualizações não relacionadas a segurança na página Criar lista de referência de patch, os pacotes não classificados em um arquivo updateinfo.xml (ou um pacote que contenha um arquivo sem valores de classificação, gravidade e data devidamente formatados) poderão ser incluídos na lista de patches pré-filtrada. No entanto, para que um patch seja aplicado, ele ainda deve atender às regras de linha de base de patch especificadas pelo usuário.

CentOS and CentOS Stream

No CentOS e CentOS Stream, o serviço de lista de referência de patches do Systems Manager usa repositórios (repos) pré-configurados em seu nó gerenciado. A lista a seguir fornece exemplos para uma Amazon Machine Image (AMI) do CentOS 8.2 fictícia:

  • ID do repositório: example-centos-8.2-base

    Nome do repositório: Example CentOS-8.2 - Base

  • ID do repositório: example-centos-8.2-extras

    Nome do repositório: Example CentOS-8.2 - Extras

  • ID do repositório: example-centos-8.2-updates

    Nome do repositório: Example CentOS-8.2 - Updates

  • ID do repositório: example-centos-8.x-examplerepo

    Nome do repositório: Example CentOS-8.x – Example Repo Packages

nota

Todas as atualizações são obtidas por download dos repositórios remotos configurados em seu nó gerenciado. Portanto, o nó deve ter acesso de saída à Internet para se conectar aos repositórios para que a aplicação do patch seja realizada.

Os nós gerenciados do CentOS 6 e 7 usam o Yum como gerenciador de pacotes. Os nós do CentOS 8 e CentOS Stream usam o DNF como gerenciador de pacotes. Ambos os gerenciadores de pacotes usam o conceito de um aviso de atualização. Uma notificação de atualização é um conjunto de pacotes que corrige problemas específicos.

No entanto, os repositórios padrão do CentOS e CentOS Stream não são configurados com um aviso de atualização. Isso significa que o Patch Manager não detecta pacotes em repositórios padrão do CentOS e CentOS Stream. Para permitir que o Patch Manager processe pacotes que não estão contidos em um aviso de atualização, você deve ativar o sinalizador EnableNonSecurity nas regras da lista de referência de patches.

nota

Há compatibilidade para as notificações de atualização do CentOS e CentOS Stream. Os repositórios com notificações de atualização podem ser obtidos por download após a inicialização.

Debian Server and Raspberry Pi OS

No Debian Server e no Raspberry Pi OS (anteriormente chamado de Raspbian), o serviço de lista de referência de patches do Systems Manager usa repositórios (repos) pré-configurados na instância. Esses repos pré-configurados são usados para obter uma lista das atualizações de pacote disponíveis. Para isso, o Systems Manager executa um comando equivalente a sudo apt-get update.

Os pacotes são então filtrados dos repositórios debian-security codename. Isso significa que, em cada versão do Debian Server, o Patch Manager identifica apenas as atualizações que fazem parte do repositório associado a essa versão, da seguinte forma:

  • Debian Server 8: debian-security jessie

  • Debian Server 9: debian-security stretch

  • Debian Server 10: debian-security buster

  • Debian Server 11: debian-security bullseye

  • Debian Server 12: debian-security bookworm

nota

Somente no Debian Server 8: como alguns nós gerenciados do Debian Server 8.* se referem a um repositório de pacotes obsoleto (jessie-backports), o Patch Manager executa etapas adicionais para garantir que as operações de patch sejam bem-sucedidas. Para ter mais informações, consulte Como os patches são instalados.

Oracle Linux

No Oracle Linux, o serviço de lista de referência de patches do Systems Manager usa repositórios (repos) pré-configurados em seu nó gerenciado. Há normalmente dois repositórios pré-configurados (repositórios) em um nó.

Oracle Linux 7:

  • ID do repositório: ol7_UEKR5/x86_64

    Nome do repositório: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID do repositório: ol7_latest/x86_64

    Nome do repositório: Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8:

  • ID do repositório: ol8_baseos_latest

    Nome do repositório: Oracle Linux 8 BaseOS Latest (x86_64)

  • ID do repositório: ol8_appstream

    Nome do repositório: Oracle Linux 8 Application Stream (x86_64)

  • ID do repositório: ol8_UEKR6

    Nome do repositório: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9:

  • ID do repositório: ol9_baseos_latest

    Nome do repositório: Oracle Linux 9 BaseOS Latest (x86_64)

  • ID do repositório: ol9_appstream

    Nome do repositório: Oracle Linux 9 Application Stream Packages(x86_64)

  • ID do repositório: ol9_UEKR7

    Nome do repositório: Oracle Linux UEK Release 7 (x86_64)

nota

Todas as atualizações são obtidas por download dos repositórios remotos configurados em seu nó gerenciado. Portanto, o nó deve ter acesso de saída à Internet para se conectar aos repositórios para que a aplicação do patch seja realizada.

Os nós gerenciados do Oracle Linux usam o Yum como gerenciador de pacotes, e o Yum usa o conceito de uma notificação de atualização como um arquivo chamado updateinfo.xml. Uma notificação de atualização é um conjunto de pacotes que corrige problemas específicos. Pacotes individuais não recebem classificações ou níveis de gravidade. Por essa razão, o Patch Manager designa os atributos de um aviso de atualização aos pacotes relacionados e instala pacotes com base nos filtros de classificação especificados na lista de referência do patch.

nota

Se você marcar a caixa de seleção Incluir atualizações não relacionadas a segurança na página Criar lista de referência de patch, os pacotes não classificados em um arquivo updateinfo.xml (ou um pacote que contenha um arquivo sem valores de classificação, gravidade e data devidamente formatados) poderão ser incluídos na lista de patches pré-filtrada. No entanto, para que um patch seja aplicado, ele ainda deve atender às regras de linha de base de patch especificadas pelo usuário.

AlmaLinux, RHEL, and Rocky Linux

No AlmaLinux, no Red Hat Enterprise Linux e no Rocky Linux, o serviço de lista de referência de patches do Systems Manager usa repositórios (repos) pré-configurados em seu nó gerenciado. Há normalmente três repositórios pré-configurados (repos) em um nó.

Todas as atualizações são obtidas por download dos repositórios remotos configurados em seu nó gerenciado. Portanto, o nó deve ter acesso de saída à Internet para se conectar aos repositórios para que a aplicação do patch seja realizada.

nota

Se você marcar a caixa de seleção Incluir atualizações não relacionadas a segurança na página Criar lista de referência de patch, os pacotes não classificados em um arquivo updateinfo.xml (ou um pacote que contenha um arquivo sem valores de classificação, gravidade e data devidamente formatados) poderão ser incluídos na lista de patches pré-filtrada. No entanto, para que um patch seja aplicado, ele ainda deve atender às regras de linha de base de patch especificadas pelo usuário.

Os nós gerenciados do Red Hat Enterprise Linux 7 usam o Yum como gerenciador de pacotes. O AlmaLinux, o Red Hat Enterprise Linux 8 e os nós gerenciados do Rocky Linux usam o DNF como o gerenciador de pacotes. Os gerenciadores de pacotes usam o conceito de um aviso de atualização como um arquivo chamado updateinfo.xml. Uma notificação de atualização é um conjunto de pacotes que corrige problemas específicos. Pacotes individuais não recebem classificações ou níveis de gravidade. Por essa razão, o Patch Manager designa os atributos de um aviso de atualização aos pacotes relacionados e instala pacotes com base nos filtros de classificação especificados na lista de referência do patch.

RHEL 7
nota

Os IDs de repo a seguir estão associados ao RHUI 2. O RHUI 3 foi lançado em dezembro de 2019 e apresentou um esquema de nomenclatura diferente para IDs do repositório Yum. Dependendo da AMI do RHEL-7 na qual você cria os nós gerenciados, talvez seja necessário atualizar os comandos. Para obter mais informações, consulte Repository IDs for RHEL 7 in AWS Have Changed no Red Hat Customer Portal.

  • ID do repositório: rhui-REGION-client-config-server-7/x86_64

    Nome do repositório: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID do repositório: rhui-REGION-rhel-server-releases/7Server/x86_64

    Nome do repositório: Red Hat Enterprise Linux Server 7 (RPMs)

  • ID do repositório: rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nome do repositório: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8 RHEL 8 e Rocky Linux 8

  • ID do repositório: rhel-8-appstream-rhui-rpms

    Nome do repositório: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID do repositório: rhel-8-baseos-rhui-rpms

    Nome do repositório: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID do repositório: rhui-client-config-server-8

    Nome do repositório: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9 e Rocky Linux 9

  • ID do repositório: rhel-9-appstream-rhui-rpms

    Nome do repositório: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID do repositório: rhel-9-baseos-rhui-rpms

    Nome do repositório: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID do repositório: rhui-client-config-server-9

    Nome do repositório: Red Hat Enterprise Linux 9 Client Configuration

SLES

Nas instâncias do SUSE Linux Enterprise Server (SLES), a biblioteca do ZYPP obtém a lista de patches disponíveis (um conjunto de pacotes) dos seguintes locais:

  • Lista de repositórios: etc/zypp/repos.d/*

  • Informações do pacote: /var/cache/zypp/raw/*

Os nós gerenciados do SLES usam o Zypper como gerenciador de pacotes, e o Zypper usa o conceito de um patch. Um patch é um conjunto de pacotes que corrige um problema específico. O Patch Manager lida com todos os pacotes referenciados em um patch como relacionados à segurança. Como pacotes individuais não recebem classificações ou níveis de gravidade, o Patch Manager atribui aos pacotes os atributos do patch ao qual eles pertencem.

Ubuntu Server

No Ubuntu Server, o serviço de lista de referência de patches do Systems Manager usa repositórios (repos) pré-configurados em seu nó gerenciado. Esses repos pré-configurados são usados para obter uma lista das atualizações de pacote disponíveis. Para isso, o Systems Manager executa um comando equivalente a sudo apt-get update.

Os pacotes são então filtrados dos repositórios codename-security, onde codename é exclusivo da versão do lançamento, como trusty para Ubuntu Server 14. O Patch Manager identifica apenas upgrades que são parte desses repositórios:

  • Ubuntu Server 14.04 LTS: trusty-security

  • Ubuntu Server 16.04 LTS: xenial-security

  • Ubuntu Server 18.04 LTS: bionic-security

  • Ubuntu Server 20.04 LTS: focal-security

  • Ubuntu Server 20.10 STR: groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server 23.04 (lunar-security)

Windows Server

Em sistemas operacionais Microsoft Windows, o Patch Manager recupera uma lista de atualizações disponíveis que a Microsoft publica no Microsoft Update e são disponibilizadas automaticamente para o Windows Server Update Services (WSUS).

O Patch Manager monitora continuamente as novas atualizações em cada Região da AWS. A lista de atualizações do disponíveis em cada região é atualizada pelo menos uma vez por dia. Quando as informações de patch da Microsoft são processadas, o Patch Manager remove da sua lista de patches as atualizações que foram substituídas por atualizações posteriores. Portanto, apenas a atualização mais recente é exibida e disponibilizada para instalação. Por exemplo, se KB4012214 substituir KB3135456, somente o KB4012214 será disponibilizado como atualização no Patch Manager.

O Patch Manager apenas disponibiliza patches para versões de sistemas operacionais Windows Server compatíveis com o Patch Manager. Por exemplo, o Patch Manager não pode ser usado para aplicar patches ao Windows RT.

nota

Em alguns casos, a Microsoft lança patches para aplicações que não especificam data e hora atualizadas. Nesses casos, uma data e hora atualizadas de 01/01/1970 são fornecidas por padrão.