Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sélection des correctifs de sécurité
L'objectif principal de Patch Manager, une fonctionnalité de AWS Systems Manager, consiste à installer des mises à jour liées à la sécurité des systèmes d'exploitation sur les nœuds gérés. Par défaut, Patch Manager n'installe pas tous les correctifs disponibles, mais un ensemble plus restreint de correctifs axés sur la sécurité.
Pour les types de systèmes d'exploitation basés sur Linux qui signalent un niveau de gravité pour les correctifs, Patch Manager utilise le niveau de gravité indiqué par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne calcule pas les niveaux de gravité à partir de sources tierces, telles que le Common Vulnerability Scoring System
Note
Sur tous les systèmes basés sur Linux pris en charge par Patch Manager, vous pouvez choisir un autre référentiel source configuré pour le nœud géré, généralement pour installer des mises à jour non liées à la sécurité. Pour plus d’informations, veuillez consulter Spécification d'un autre référentiel source de correctifs (Linux).
Choisissez l'un des onglets suivants pour savoir comment Patch Manager sélectionne les correctifs de sécurité pour votre système d'exploitation.
- Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023
-
Les référentiels préconfigurés sont gérés différemment sur Amazon Linux 1 et Amazon Linux 2 par rapport à Amazon Linux 2022 et Amazon Linux 2023.
Sur Amazon Linux 1 et Amazon Linux 2, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :
Sur Amazon Linux 1
-
ID de référentiel :
amzn-main/latest
Nom de référentiel :
amzn-main-Base
-
ID de référentiel :
amzn-updates/latest
Nom de référentiel :
amzn-updates-Base
Sur Amazon Linux 2
-
ID de référentiel :
amzn2-core/2/
architecture
Nom de référentiel :
Amazon Linux 2 core repository
-
ID de référentiel :
amzn2extra-docker/2/
architecture
Nom de référentiel :
Amazon Extras repo for docker
Note
architecture
peut être x86_64 ou aarch64.Les instances Amazon Linux 2023 (AL2023) contiennent initialement les mises à jour disponibles dans la version AL2 0.23 et la version choisie. AMI. Par défaut, votre instance AL2 023 ne reçoit pas automatiquement les mises à jour de sécurité critiques et importantes supplémentaires au lancement. Au lieu de cela, grâce à la fonctionnalité de mises à niveau déterministes via des référentiels versionnés de la version AL2 023, qui est activée par défaut, vous pouvez appliquer les mises à jour selon un calendrier qui répond à vos besoins spécifiques. Pour plus d'informations, veuillez consulter la rubrique Mises à niveau déterministes via des référentiels versionnés dans le Guide de l'utilisateur Amazon Linux 2023.
Sur Amazon Linux 2022, les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Quand c'est nouveau Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiés, ils sont verrouillés sur une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.
Le AL2 023, le référentiel préconfiguré est le suivant :
-
ID de référentiel :
amazonlinux
Nom du référentiel : référentiel Amazon Linux 2023
Sur Amazon Linux 2022 (version préliminaire), les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Quand c'est nouveau Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiés, ils sont verrouillés sur une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.
Sur Amazon Linux 2022, le référentiel préconfiguré est le suivant :
-
ID de référentiel :
amazonlinux
Nom du référentiel : référentiel Amazon Linux 2022
Note
Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.
Les nœuds gérés Amazon Linux 1 et Amazon Linux 2 utilisent Yum comme gestionnaire de packages. Amazon Linux 2022 et Amazon Linux 2023 sont utilisés DNF comme gestionnaire de packages.
Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé
updateinfo.xml
. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Tous les packages figurant dans un avis de mise à jour sont considérés comme sécurisés par Patch Manager. Aucune classification ni aucun niveau de gravité ne sont attribués aux packages individuels. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés.Note
Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier
updateinfo.xml
(ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur. -
- CentOS and CentOS Stream
-
Sur CentOS et CentOS Stream, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. La liste suivante fournit des exemples pour un CentOS 8.2 fictif Amazon Machine Image (AMI):
-
ID de référentiel :
example-centos-8.2-base
Nom de référentiel :
Example CentOS-8.2 - Base
-
ID de référentiel :
example-centos-8.2-extras
Nom de référentiel :
Example CentOS-8.2 - Extras
-
ID de référentiel :
example-centos-8.2-updates
Nom de référentiel :
Example CentOS-8.2 - Updates
-
ID de référentiel :
example-centos-8.x-examplerepo
Nom de référentiel :
Example CentOS-8.x – Example Repo Packages
Note
Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.
Les nœuds gérés CentOS 6 et 7 utilisent Yum comme gestionnaire de package. CentOS 8 et CentOS Stream les nœuds sont utilisés DNF comme gestionnaire de packages. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques.
Cependant, CentOS et CentOS Stream les dépôts par défaut ne sont pas configurés avec un avis de mise à jour. Cela signifie que Patch Manager ne détecte pas les packages sur CentOS par défaut et CentOS Stream repos. Pour autoriser Patch Manager pour traiter les packages qui ne figurent pas dans un avis de mise à jour, vous devez activer l'
EnableNonSecurity
indicateur dans les règles de base des correctifs.Note
CentOS et CentOS Stream les avis de mise à jour sont pris en charge. Les référentiels avec des notices de mise à jour peuvent être téléchargés après le lancement.
-
- Debian Server and Raspberry Pi OS
-
Activé Debian Server and Raspberry Pi OS (anciennement Raspbian), le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (dépôts) sur l'instance. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande
sudo apt-get update
.Les packages sont ensuite filtrés à partir du référentiel
debian-security
. Cela signifie que sur chaque version de Debian Server, Patch Manager identifie uniquement les mises à niveau qui font partie du dépôt associé à cette version, comme suit :codename
-
Debian Server 8 :
debian-security jessie
-
Debian Server 9 :
debian-security stretch
-
Debian Server 10 :
debian-security buster
-
Debian Server 11 :
debian-security bullseye
-
Debian Server 12 :
debian-security bookworm
Note
Activé Debian Server 8 uniquement : Parce que certains Debian Server 8.* les nœuds gérés font référence à un référentiel de packages obsolète (
jessie-backports
), Patch Manager effectue des étapes supplémentaires pour garantir le succès des opérations de correction. Pour de plus amples informations, veuillez consulter Installation des correctifs. -
- Oracle Linux
-
Activé Oracle Linux, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :
Oracle Linux 7 :
-
ID de référentiel :
ol7_UEKR5/x86_64
Nom de référentiel :
Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)
-
ID de référentiel :
ol7_latest/x86_64
Nom de référentiel :
Oracle Linux 7Server Latest (x86_64)
Oracle Linux 8 :
-
ID de référentiel :
ol8_baseos_latest
Nom de référentiel :
Oracle Linux 8 BaseOS Latest (x86_64)
-
ID de référentiel :
ol8_appstream
Nom de référentiel :
Oracle Linux 8 Application Stream (x86_64)
-
ID de référentiel :
ol8_UEKR6
Nom de référentiel :
Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)
Oracle Linux 9 :
-
ID de référentiel :
ol9_baseos_latest
Nom de référentiel :
Oracle Linux 9 BaseOS Latest (x86_64)
-
ID de référentiel :
ol9_appstream
Nom de référentiel :
Oracle Linux 9 Application Stream Packages(x86_64)
-
ID de référentiel :
ol9_UEKR7
Nom de référentiel :
Oracle Linux UEK Release 7 (x86_64)
Note
Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.
Oracle Linux les nœuds gérés utilisent Yum comme gestionnaire de packages, et Yum utilise le concept d'avis de mise à jour sous forme de nom de fichier.
updateinfo.xml
Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans la ligne de base des correctifs.Note
Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier
updateinfo.xml
(ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur. -
- AlmaLinux, RHEL, and Rocky Linux
-
Activé AlmaLinux, Red Hat Enterprise Linux, et Rocky Linux le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Un nœud comporte généralement trois référentiels préconfigurés :
Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.
Note
Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier
updateinfo.xml
(ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.Red Hat Enterprise Linux 7 nœuds gérés utilisent Yum comme gestionnaire de packages. AlmaLinux, Red Hat Enterprise Linux 8, et Rocky Linux les nœuds gérés sont utilisés DNF comme gestionnaire de packages. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé
updateinfo.xml
. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans la ligne de base des correctifs.- RHEL 7
-
Note
Le dépôt suivant est IDs associé à RHUI 2. RHUI3 a été lancé en décembre 2019 et a introduit un schéma de dénomination différent pour le référentiel IDs Yum. En fonction du RHEL -7 AMI vous créez vos nœuds gérés à partir de, vous devrez peut-être mettre à jour vos commandes. Pour plus d'informations, voir Référentiel IDs pour RHEL 7 dans AWS Have Changed
sur le portail client Red Hat. -
ID de référentiel :
rhui-REGION-client-config-server-7/x86_64
Nom de référentiel :
Red Hat Update Infrastructure 2.0 Client Configuration Server 7
-
ID de référentiel :
rhui-REGION-rhel-server-releases/7Server/x86_64
Nom de référentiel :
Red Hat Enterprise Linux Server 7 (RPMs)
-
ID de référentiel :
rhui-REGION-rhel-server-rh-common/7Server/x86_64
Nom de référentiel :
Red Hat Enterprise Linux Server 7 RH Common (RPMs)
-
- AlmaLinux, 8 RHEL 8, et Rocky Linux 8
-
-
ID de référentiel :
rhel-8-appstream-rhui-rpms
Nom de référentiel :
Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)
-
ID de référentiel :
rhel-8-baseos-rhui-rpms
Nom de référentiel :
Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)
-
ID de référentiel :
rhui-client-config-server-8
Nom de référentiel :
Red Hat Update Infrastructure 3 Client Configuration Server 8
-
- AlmaLinux 9, RHEL 9, et Rocky Linux 9
-
-
ID de référentiel :
rhel-9-appstream-rhui-rpms
Nom de référentiel :
Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)
-
ID de référentiel :
rhel-9-baseos-rhui-rpms
Nom de référentiel :
Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)
-
ID de référentiel :
rhui-client-config-server-9
Nom de référentiel :
Red Hat Enterprise Linux 9 Client Configuration
-
- SLES
-
Activé SUSE Linux Enterprise Server (SLES) nœuds gérés, la ZYPP bibliothèque obtient la liste des correctifs disponibles (un ensemble de packages) aux emplacements suivants :
-
Liste de référentiels :
etc/zypp/repos.d/*
-
Informations sur les packages :
/var/cache/zypp/raw/*
SLES les nœuds gérés utilisent Zypper comme gestionnaire de packages, et Zypper utilise le concept de correctif. Un correctif est simplement un ensemble de packages qui corrigent un problème spécifique. Patch Manager gère tous les packages référencés dans un correctif comme étant liés à la sécurité. Étant donné que les packages individuels ne sont ni classés ni sévérité, Patch Manager attribue aux packages les attributs du correctif auquel ils appartiennent.
-
- Ubuntu Server
-
Activé Ubuntu Server, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande
sudo apt-get update
.Les packages sont ensuite filtrés à partir des
dépôts, dont le nom de code est unique à la version publiée, par exemple pourcodename
-securitytrusty
Ubuntu Server 14. Patch Manager identifie uniquement les mises à niveau qui font partie de ces dépôts :-
Ubuntu Server 14,04 : LTS
trusty-security
-
Ubuntu Server 16,04 : LTS
xenial-security
-
Ubuntu Server 18,04 : LTS
bionic-security
-
Ubuntu Server 20,04 : LTS
focal-security
-
Ubuntu Server 20,10 STR :
groovy-security
-
Ubuntu Server 22,04 LTS ()
jammy-security
-
Ubuntu Server 23,04 ()
lunar-security
-
- Windows Server
-
Sur les systèmes d'exploitation Microsoft Windows, Patch Manager récupère la liste des mises à jour disponibles que Microsoft publie sur Microsoft Update et qui sont automatiquement disponibles pour Windows Server Update Services (WSUS).
Note
Patch Manager ne met à disposition que des correctifs pour Windows Server versions du système d'exploitation prises en charge pour Patch Manager. Par exemple, Patch Manager ne peut pas être utilisé pour appliquer un correctif à Windows RT.
Patch Manager surveille en permanence les nouvelles mises à jour dans chaque Région AWS. La liste des mises à jour disponibles est actualisée dans chaque région au moins une fois par jour. Lorsque les informations relatives aux correctifs provenant de Microsoft sont traitées, Patch Manager supprime de sa liste de correctifs les mises à jour remplacées par des mises à jour ultérieures. Par conséquent, seule la mise à jour la plus récente est affichée et disponible pour être installée. Par exemple, en cas
KB4012214
de remplacementKB3135456
, seule une mise à jourKB4012214
est disponible dans Patch Manager.De même, Patch Manager ne peut installer que les correctifs disponibles sur le nœud géré au moment de l'opération d'application des correctifs. Par défaut, Windows Server 2019 et Windows Server 2022 supprime les mises à jour remplacées par des mises à jour ultérieures. Par conséquent, si vous utilisez le
ApproveUntilDate
paramètre dans un Windows Server référence du correctif, mais la date sélectionnée dans leApproveUntilDate
paramètre est antérieure à la date du dernier correctif, le scénario suivant se produit :-
Le correctif remplacé est supprimé du nœud et ne peut donc pas être installé à l'aide de Patch Manager.
-
Le dernier correctif de remplacement est présent sur le nœud mais son installation n'a pas encore été approuvée à la date spécifiée pour le
ApproveUntilDate
paramètre.
Cela signifie que le nœud géré est conforme en termes de fonctionnement de Systems Manager, même si un correctif critique du mois précédent n'est peut-être pas installé. Ce même scénario peut se produire lors de l'utilisation du
ApproveAfterDays
paramètre. En raison du comportement des correctifs remplacé par Microsoft, il est possible de définir un nombre (généralement supérieur à 30 jours) afin que les correctifs pour Windows Server ne sont jamais installés si le dernier correctif disponible de Microsoft est publié avant la fin du délaiApproveAfterDays
imparti. Notez que ce comportement du système ne s'applique pas si vous avez modifié les paramètres de votre objet de stratégie de groupe Windows (GPO) pour que le correctif remplacé soit disponible sur vos nœuds gérés.Note
Dans certains cas, Microsoft publie des correctifs pour les applications qui ne spécifient pas de date et d'heure de mise à jour. La date et l'heure
01/01/1970
sont alors fournies par défaut. -