Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux - AWS Systems Manager
Comment fonctionnent les règles de base des correctifs sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023Comment fonctionnent les règles de base des correctifs sur CentOS et CentOS StreamComment fonctionnent les règles de base des correctifs Debian Server and Raspberry Pi OSComment fonctionnent les règles de base des correctifs macOSComment fonctionnent les règles de base des correctifs Oracle LinuxComment fonctionnent les règles de base des correctifs AlmaLinux, RHEL, et Rocky LinuxComment fonctionnent les règles de base des correctifs SUSE Linux Enterprise ServerComment fonctionnent les règles de base des correctifs Ubuntu Server

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux

Les règles d'un référentiel de correctif pour les distributions Linux fonctionnent différemment en fonction du type de distribution. Contrairement aux mises à jour des correctifs sur Windows Server nœuds gérés, les règles sont évaluées sur chaque nœud pour prendre en compte les dépôts configurés sur l'instance. Patch Manager, une fonctionnalité de AWS Systems Manager, utilise le gestionnaire de packages natif pour piloter l'installation des correctifs approuvés par la ligne de base des correctifs.

Pour les types de systèmes d'exploitation basés sur Linux qui signalent un niveau de gravité pour les correctifs, Patch Manager utilise le niveau de gravité indiqué par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne calcule pas les niveaux de gravité à partir de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ni à partir de mesures publiées par la National Vulnerability Database (NVD).

Comment fonctionnent les règles de base des correctifs sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023

Sur Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 et Amazon Linux 2023, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la YUM bibliothèque (Amazon Linux 1 et Amazon Linux 2) ou la DNF bibliothèque (Amazon Linux 2022 et Amazon Linux 2023) accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Si aucun fichier updateinfo.xml n’est trouvé, l’installation de correctifs dépend des paramètres Inclusion de mises à jour non liées à la sécurité et Approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut clé de classification dans la ligne de base du correctif PatchFiltertype de données. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut clé de gravité dans la ligne de base du correctif PatchFiltertype de données. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'identifiant de l'avis, tel que ALAS-2017-867. L'identifiant consultatif peut être utilisé dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    references

    Contient des informations supplémentaires sur l'avis de mise à jour, telles qu'un CVE identifiant (format : CVE-2017-1234567). L'CVEidentifiant peut être utilisé dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    updated

    Correspond à ApproveAfterDaysdans la ligne de base du correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de nom de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Lignes de base de correctifs par défaut prédéfinies fournies par AWS et lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité n'est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour Amazon Linux 1 et Amazon Linux 2, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité est cochée avec une SEVERITY liste [Critical, Important] et une CLASSIFICATION liste de [Security, Bugfix]

    Outre l'application des mises à jour de sécurité sélectionnées parmiupdateinfo.xml, Patch Manager applique des mises à jour non liées à la sécurité qui respectent par ailleurs les règles de filtrage des correctifs.

    Pour Amazon Linux et Amazon Linux 2, la commande yum équivalente pour ce flux de travail est :

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2022 et Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec-severity=Important --bugfix -y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs sur CentOS et CentOS Stream

Les CentOS et CentOS Stream les référentiels par défaut n'incluent aucun updateinfo.xml fichier. Toutefois, les référentiels personnalisés que vous créez ou utilisez peuvent inclure ce fichier. Dans cette rubrique, les références ne s'updateinfo.xmlappliquent qu'à ces référentiels personnalisés.

Sur CentOS et CentOS Stream, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la YUM bibliothèque (sur les versions CentOS 6.x et 7.x) ou la bibliothèque DNF (sur CentOS 8.x et CentOS Stream) accède au updateinfo.xml fichier, s'il existe dans un référentiel personnalisé, pour chaque dépôt configuré.

    Si aucun correctif n'est updateinfo.xml trouvé, ce qui inclut toujours les dépôts par défaut, l'installation des correctifs dépend des paramètres d'inclusion des mises à jour non liées à la sécurité et d'approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. S'il updateinfo.xml est présent, chaque avis de mise à jour du fichier inclut plusieurs attributs qui indiquent les propriétés des packages figurant dans l'avis, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut clé de classification dans la ligne de base du correctif PatchFiltertype de données. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut clé de gravité dans la ligne de base du correctif PatchFiltertype de données. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'identifiant de l'avis, tel que CVE-2019-17055. L'identifiant consultatif peut être utilisé dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    references

    Contient des informations supplémentaires sur l'avis de mise à jour, telles qu'un CVE identifiant (format : CVE-2019-17055) ou un identifiant Bugzilla (format : 1463241). L'CVEidentifiant et l'identifiant Bugzilla peuvent être utilisés dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    updated

    Correspond à ApproveAfterDaysdans la ligne de base du correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de nom de package pour les listes de correctifs approuvés et rejetés.

  3. Dans tous les cas, le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Lignes de base de correctifs par défaut prédéfinies fournies par AWS et lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité n'est pas cochée

    Pour chaque avis de mise à jourupdateinfo.xml, s'il existe dans un référentiel personnalisé, la ligne de base de correctif est utilisée comme filtre, permettant uniquement d'inclure les packages qualifiés dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour CentOS 6 et 7 où updateinfo.xml est présent, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour CentOS 8 et CentOS Stream où updateinfo.xml est présent, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité est cochée avec une SEVERITY liste [Critical, Important] et une CLASSIFICATION liste de [Security, Bugfix]

    Outre l'application des mises à jour de sécurité sélectionnéesupdateinfo.xml, si elles existent dans un référentiel personnalisé, Patch Manager applique des mises à jour non liées à la sécurité qui respectent par ailleurs les règles de filtrage des correctifs.

    Pour CentOS 6 et 7 où updateinfo.xml est présent, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Pour CentOS 8 et CentOS Stream où updateinfo.xml est présent, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Pour les dépôts par défaut et les dépôts personnalisés sansupdateinfo.xml, vous devez cocher la case Inclure les mises à jour non liées à la sécurité afin de mettre à jour les packages du système d'exploitation (OS).

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs Debian Server and Raspberry Pi OS

Activé Debian Server and Raspberry Pi OS (anciennement Raspbian), le service de base de correctifs propose un filtrage sur les champs Priorité et Section. Ces champs sont généralement présents pour tous Debian Server and Raspberry Pi OS colis. Pour déterminer si un correctif est sélectionné par la ligne de base des correctifs, Patch Manager effectue les opérations suivantes :

  1. Activé Debian Server and Raspberry Pi OS systèmes, l'équivalent de sudo apt-get update est exécuté pour actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

    Important

    Activé Debian Server 8 uniquement : Parce que Debian Server 8.* les systèmes d'exploitation font référence à un référentiel de paquets obsolète (jessie-backports), Patch Manager effectue les étapes supplémentaires suivantes pour garantir le succès des opérations de correction :

    1. Sur votre nœud géré, la référence au référentiel jessie-backports est commentée à partir de la liste des emplacements sources (/etc/apt/sources.list.d/jessie-backports). Par conséquent, aucune tentative n'est effectuée pour télécharger des correctifs à partir de cet emplacement.

    2. Une clé de signature de mise à jour de sécurité Stretch est importée. Cette clé fournit les autorisations nécessaires pour les opérations de mise à jour et d'installation sur Debian Server 8.* distributions.

    3. L'opération apt-get est exécutée à ce moment précis pour s'assurer que la dernière version de python3-apt est installée avant le début du processus d'application des correctifs.

    4. Une fois le processus d'installation terminé, la référence au référentiel jessie-backports est restaurée et la clé de signature est supprimée du porte-clés source apt. Ainsi, la configuration du système demeure telle qu'elle était avant l'opération d'application de correctifs.

  3. Ensuite, le GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatchesles listes sont appliquées.

    Note

    Parce qu'il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Debian Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Debian Server, les versions candidates aux correctifs sont limitées aux correctifs inclus dans les dépôts suivants :

    La dénomination de ces référentiels est la suivante :

    • Debian Server 8 : debian-security jessie

    • Debian Server and Raspberry Pi OS 9 : debian-security stretch

    • Debian Server 10 : debian-security buster

    • Debian Server 11 : debian-security bullseye

    • Debian Server 12 : debian-security bookworm

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Note

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur Debian Server systèmes.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs macOS

Activé macOS, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, Patch Manager accède au contenu analysé du InstallHistory.plist fichier et identifie les noms et les versions des packages.

    Pour plus de détails sur le processus d'analyse, consultez le macOStabulationInstallation des correctifs.

  2. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

  3. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Lignes de base de correctifs par défaut prédéfinies fournies par AWS et lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité n'est pas cochée

    Pour chaque mise à jour de package disponible, le référentiel de correctifs est utilisé en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité est cochée

    En plus de l'application des mises à jour de sécurité qui ont été identifiées à l'aide de InstallHistory.plist , Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs Oracle Linux

Activé Oracle Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la YUM bibliothèque accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Le updateinfo.xml fichier peut ne pas être disponible si le dépôt n'est pas géré par Oracle. Si aucun correctif n'est updateinfo.xml trouvé, l'installation des correctifs dépend des paramètres d'inclusion des mises à jour non liées à la sécurité et d'approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut clé de classification dans la ligne de base du correctif PatchFiltertype de données. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut clé de gravité dans la ligne de base du correctif PatchFiltertype de données. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'identifiant de l'avis, tel que CVE-2019-17055. L'identifiant consultatif peut être utilisé dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    references

    Contient des informations supplémentaires sur l'avis de mise à jour, telles qu'un CVE identifiant (format : CVE-2019-17055) ou un identifiant Bugzilla (format : 1463241). L'CVEidentifiant et l'identifiant Bugzilla peuvent être utilisés dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    updated

    Correspond à ApproveAfterDaysdans la ligne de base du correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de nom de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Lignes de base de correctifs par défaut prédéfinies fournies par AWS et lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité n'est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité est cochée avec une SEVERITY liste [Critical, Important] et une CLASSIFICATION liste de [Security, Bugfix]

    Outre l'application des mises à jour de sécurité sélectionnées parmiupdateinfo.xml, Patch Manager applique des mises à jour non liées à la sécurité qui respectent par ailleurs les règles de filtrage des correctifs.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante : 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs AlmaLinux, RHEL, et Rocky Linux

Activé AlmaLinux, Red Hat Enterprise Linux (RHEL), et Rocky Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la YUM bibliothèque (RHEL 7) ou la DNF bibliothèque (AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9) accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Le fichier updateinfo.xml peut ne pas être disponible si le référentiel n'est pas géré par Red Hat. Si aucun fichier updateinfo.xml n'est trouvé, aucun correctif ne sera appliqué.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut clé de classification dans la ligne de base du correctif PatchFiltertype de données. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut clé de gravité dans la ligne de base du correctif PatchFiltertype de données. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'identifiant de l'avis, tel que RHSA- 2017:0864. L'identifiant consultatif peut être utilisé dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    references

    Contient des informations supplémentaires sur l'avis de mise à jour, telles qu'un CVE identifiant (format : CVE-2017-1000371) ou un identifiant Bugzilla (format : 1463241). L'CVEidentifiant et l'identifiant Bugzilla peuvent être utilisés dans ApprovedPatches ou RejectedPatchesattribut dans la ligne de base du correctif.
    updated

    Correspond à ApproveAfterDaysdans la ligne de base du correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.
    Note

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de nom de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Dans RHEL 7, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Lignes de base de correctifs personnalisées dans lesquelles la case Inclure les mises à jour non liées à la sécurité est cochée avec une SEVERITY liste [Critical, Important] et une CLASSIFICATION liste de [Security, Bugfix]

    Outre l'application des mises à jour de sécurité sélectionnées parmiupdateinfo.xml, Patch Manager applique des mises à jour non liées à la sécurité qui respectent par ailleurs les règles de filtrage des correctifs.

    Dans RHEL 7, la commande yum équivalente pour ce flux de travail est la suivante :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8 et 9, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs SUSE Linux Enterprise Server

Activé SLES, chaque correctif inclut les attributs suivants qui indiquent les propriétés des packages qu'il contient :

  • Catégorie : correspond à la valeur de l'attribut clé de classification dans la ligne de base du correctif PatchFiltertype de données. Indique le type de correctif inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

  • Sévérité : correspond à la valeur de l'attribut clé de gravité dans la ligne de base du correctif PatchFiltertype de données. Désigne la sévérité des correctifs.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'APIopérationDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut clé du produit dans la ligne de base du correctif PatchFiltertype de données.

Pour chaque correctif, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

Note

Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.

Comment fonctionnent les règles de base des correctifs Ubuntu Server

Activé Ubuntu Server, le service Patch Baseline propose un filtrage sur les champs Priorité et Section. Ces champs sont généralement présents pour tous Ubuntu Server colis. Pour déterminer si un correctif est sélectionné par la ligne de base des correctifs, Patch Manager effectue les opérations suivantes :

  1. Activé Ubuntu Server systèmes, l'équivalent de sudo apt-get update est exécuté pour actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

  3. Ensuite, le GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatchesles listes sont appliquées.

    Note

    Parce qu'il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Ubuntu Server, les versions candidates aux correctifs sont limitées aux correctifs inclus dans les dépôts suivants :

    • Ubuntu Server 14,04 : LTS trusty-security

    • Ubuntu Server 16,04 : LTS xenial-security

    • Ubuntu Server 18,04 : LTS bionic-security

    • Ubuntu Server 20,04 : LTS focal-security

    • Ubuntu Server 20,10 STR : groovy-security

    • Ubuntu Server 22,04 LTS () jammy-security

    • Ubuntu Server 23,04 () lunar-security

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Note

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur Ubuntu Server 16 systèmes.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l'état de conformité des correctifs.