Sélection des correctifs de sécurité - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sélection des correctifs de sécurité

L'objectif principal de Patch Manager, une fonctionnalité de AWS Systems Manager, consiste à installer des mises à jour liées à la sécurité des systèmes d'exploitation sur les nœuds gérés. Par défaut, Patch Manager n'installe pas tous les correctifs disponibles, mais un ensemble plus restreint de correctifs axés sur la sécurité.

Pour les types de systèmes d'exploitation basés sur Linux qui signalent un niveau de gravité pour les correctifs, Patch Manager utilise le niveau de gravité indiqué par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne calcule pas les niveaux de gravité à partir de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ni à partir de mesures publiées par la National Vulnerability Database (NVD).

Note

Sur tous les systèmes basés sur Linux pris en charge par Patch Manager, vous pouvez choisir un autre référentiel source configuré pour le nœud géré, généralement pour installer des mises à jour non liées à la sécurité. Pour plus d’informations, veuillez consulter Spécification d'un autre référentiel source de correctifs (Linux).

Choisissez l'un des onglets suivants pour savoir comment Patch Manager sélectionne les correctifs de sécurité pour votre système d'exploitation.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Les référentiels préconfigurés sont gérés différemment sur Amazon Linux 1 et Amazon Linux 2 par rapport à Amazon Linux 2022 et Amazon Linux 2023.

Sur Amazon Linux 1 et Amazon Linux 2, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :

Sur Amazon Linux 1
  • ID de référentiel : amzn-main/latest

    Nom de référentiel : amzn-main-Base

  • ID de référentiel : amzn-updates/latest

    Nom de référentiel : amzn-updates-Base

Sur Amazon Linux 2
  • ID de référentiel : amzn2-core/2/architecture

    Nom de référentiel : Amazon Linux 2 core repository

  • ID de référentiel : amzn2extra-docker/2/architecture

    Nom de référentiel : Amazon Extras repo for docker

Note

architecture peut être x86_64 ou aarch64.

Les instances Amazon Linux 2023 (AL2023) contiennent initialement les mises à jour disponibles dans la version AL2 0.23 et la version choisie. AMI. Par défaut, votre instance AL2 023 ne reçoit pas automatiquement les mises à jour de sécurité critiques et importantes supplémentaires au lancement. Au lieu de cela, grâce à la fonctionnalité de mises à niveau déterministes via des référentiels versionnés de la version AL2 023, qui est activée par défaut, vous pouvez appliquer les mises à jour selon un calendrier qui répond à vos besoins spécifiques. Pour plus d'informations, veuillez consulter la rubrique Mises à niveau déterministes via des référentiels versionnés dans le Guide de l'utilisateur Amazon Linux 2023.

Sur Amazon Linux 2022, les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Quand c'est nouveau Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiés, ils sont verrouillés sur une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.

Le AL2 023, le référentiel préconfiguré est le suivant :

  • ID de référentiel : amazonlinux

    Nom du référentiel : référentiel Amazon Linux 2023

Sur Amazon Linux 2022 (version préliminaire), les référentiels préconfigurés sont liés à des versions verrouillées des mises à jour des packages. Quand c'est nouveau Amazon Machine Images (AMIs) pour Amazon Linux 2022 sont publiés, ils sont verrouillés sur une version spécifique. Pour les mises à jour des correctifs, Patch Manager récupère la dernière version verrouillée du référentiel de mises à jour des correctifs, puis met à jour les packages sur le nœud géré en fonction du contenu de cette version verrouillée.

Sur Amazon Linux 2022, le référentiel préconfiguré est le suivant :

  • ID de référentiel : amazonlinux

    Nom du référentiel : référentiel Amazon Linux 2022

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Les nœuds gérés Amazon Linux 1 et Amazon Linux 2 utilisent Yum comme gestionnaire de packages. Amazon Linux 2022 et Amazon Linux 2023 sont utilisés DNF comme gestionnaire de packages.

Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé updateinfo.xml. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Tous les packages figurant dans un avis de mise à jour sont considérés comme sécurisés par Patch Manager. Aucune classification ni aucun niveau de gravité ne sont attribués aux packages individuels. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

CentOS and CentOS Stream

Sur CentOS et CentOS Stream, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. La liste suivante fournit des exemples pour un CentOS 8.2 fictif Amazon Machine Image (AMI):

  • ID de référentiel : example-centos-8.2-base

    Nom de référentiel : Example CentOS-8.2 - Base

  • ID de référentiel : example-centos-8.2-extras

    Nom de référentiel : Example CentOS-8.2 - Extras

  • ID de référentiel : example-centos-8.2-updates

    Nom de référentiel : Example CentOS-8.2 - Updates

  • ID de référentiel : example-centos-8.x-examplerepo

    Nom de référentiel : Example CentOS-8.x – Example Repo Packages

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Les nœuds gérés CentOS 6 et 7 utilisent Yum comme gestionnaire de package. CentOS 8 et CentOS Stream les nœuds sont utilisés DNF comme gestionnaire de packages. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques.

Cependant, CentOS et CentOS Stream les dépôts par défaut ne sont pas configurés avec un avis de mise à jour. Cela signifie que Patch Manager ne détecte pas les packages sur CentOS par défaut et CentOS Stream repos. Pour autoriser Patch Manager pour traiter les packages qui ne figurent pas dans un avis de mise à jour, vous devez activer l'EnableNonSecurityindicateur dans les règles de base des correctifs.

Note

CentOS et CentOS Stream les avis de mise à jour sont pris en charge. Les référentiels avec des notices de mise à jour peuvent être téléchargés après le lancement.

Debian Server and Raspberry Pi OS

Activé Debian Server and Raspberry Pi OS (anciennement Raspbian), le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (dépôts) sur l'instance. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande sudo apt-get update.

Les packages sont ensuite filtrés à partir du référentiel debian-security codename. Cela signifie que sur chaque version de Debian Server, Patch Manager identifie uniquement les mises à niveau qui font partie du dépôt associé à cette version, comme suit :

  • Debian Server 8 : debian-security jessie

  • Debian Server 9 : debian-security stretch

  • Debian Server 10 : debian-security buster

  • Debian Server 11 : debian-security bullseye

  • Debian Server 12 : debian-security bookworm

Note

Activé Debian Server 8 uniquement : Parce que certains Debian Server 8.* les nœuds gérés font référence à un référentiel de packages obsolète (jessie-backports), Patch Manager effectue des étapes supplémentaires pour garantir le succès des opérations de correction. Pour de plus amples informations, veuillez consulter Installation des correctifs.

Oracle Linux

Activé Oracle Linux, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Un nœud comporte généralement deux référentiels préconfigurés :

Oracle Linux 7  :

  • ID de référentiel : ol7_UEKR5/x86_64

    Nom de référentiel : Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID de référentiel : ol7_latest/x86_64

    Nom de référentiel : Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8  :

  • ID de référentiel : ol8_baseos_latest

    Nom de référentiel : Oracle Linux 8 BaseOS Latest (x86_64)

  • ID de référentiel : ol8_appstream

    Nom de référentiel : Oracle Linux 8 Application Stream (x86_64)

  • ID de référentiel : ol8_UEKR6

    Nom de référentiel : Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9  :

  • ID de référentiel : ol9_baseos_latest

    Nom de référentiel : Oracle Linux 9 BaseOS Latest (x86_64)

  • ID de référentiel : ol9_appstream

    Nom de référentiel : Oracle Linux 9 Application Stream Packages(x86_64)

  • ID de référentiel : ol9_UEKR7

    Nom de référentiel : Oracle Linux UEK Release 7 (x86_64)

Note

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Oracle Linux les nœuds gérés utilisent Yum comme gestionnaire de packages, et Yum utilise le concept d'avis de mise à jour sous forme de nom de fichier. updateinfo.xml Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans la ligne de base des correctifs.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

AlmaLinux, RHEL, and Rocky Linux

Activé AlmaLinux, Red Hat Enterprise Linux, et Rocky Linux le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Un nœud comporte généralement trois référentiels préconfigurés :

Toutes les mises à jour sont téléchargées à partir des référentiels distants configurés sur le nœud géré. Par conséquent, le nœud doit disposer d'un accès sortant à l'internet afin de se connecter aux référentiels pour que le correctif puisse être exécuté.

Note

Si vous cochez la case Inclusion de mises à jour non liées à la sécurité sur la page Créer une référence de correctif, les packages qui ne sont pas classifiées dans un fichier updateinfo.xml (ou un package contenant un fichier sans valeurs Classification, Gravité et Date correctement formatées) peuvent être inclus dans la liste des correctifs préfiltrée. Toutefois, pour qu'un correctif soit appliqué, il doit toujours satisfaire aux règles de référence de correctif spécifiées par l'utilisateur.

Red Hat Enterprise Linux 7 nœuds gérés utilisent Yum comme gestionnaire de packages. AlmaLinux, Red Hat Enterprise Linux 8, et Rocky Linux les nœuds gérés sont utilisés DNF comme gestionnaire de packages. Les deux gestionnaires de packages utilisent le concept d'un avis de mise à jour comme fichier nommé updateinfo.xml. Une notice de mise à jour est simplement un ensemble de packages qui corrigent des problèmes spécifiques. Les packages ne se voient pas attribuer des classifications ou des niveaux de sévérité. Pour cette raison, Patch Manager attribue les attributs d'un avis de mise à jour aux packages associés et installe les packages en fonction des filtres de classification spécifiés dans la ligne de base des correctifs.

RHEL 7
Note

Le dépôt suivant est IDs associé à RHUI 2. RHUI3 a été lancé en décembre 2019 et a introduit un schéma de dénomination différent pour le référentiel IDs Yum. En fonction du RHEL -7 AMI vous créez vos nœuds gérés à partir de, vous devrez peut-être mettre à jour vos commandes. Pour plus d'informations, voir Référentiel IDs pour RHEL 7 dans AWS Have Changed sur le portail client Red Hat.

  • ID de référentiel : rhui-REGION-client-config-server-7/x86_64

    Nom de référentiel : Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID de référentiel : rhui-REGION-rhel-server-releases/7Server/x86_64

    Nom de référentiel : Red Hat Enterprise Linux Server 7 (RPMs)

  • ID de référentiel : rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nom de référentiel : Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8 RHEL 8, et Rocky Linux 8
  • ID de référentiel : rhel-8-appstream-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID de référentiel : rhel-8-baseos-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID de référentiel : rhui-client-config-server-8

    Nom de référentiel : Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9, et Rocky Linux 9
  • ID de référentiel : rhel-9-appstream-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID de référentiel : rhel-9-baseos-rhui-rpms

    Nom de référentiel : Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID de référentiel : rhui-client-config-server-9

    Nom de référentiel : Red Hat Enterprise Linux 9 Client Configuration

SLES

Activé SUSE Linux Enterprise Server (SLES) nœuds gérés, la ZYPP bibliothèque obtient la liste des correctifs disponibles (un ensemble de packages) aux emplacements suivants :

  • Liste de référentiels : etc/zypp/repos.d/*

  • Informations sur les packages : /var/cache/zypp/raw/*

SLES les nœuds gérés utilisent Zypper comme gestionnaire de packages, et Zypper utilise le concept de correctif. Un correctif est simplement un ensemble de packages qui corrigent un problème spécifique. Patch Manager gère tous les packages référencés dans un correctif comme étant liés à la sécurité. Étant donné que les packages individuels ne sont ni classés ni sévérité, Patch Manager attribue aux packages les attributs du correctif auquel ils appartiennent.

Ubuntu Server

Activé Ubuntu Server, le service de base de correctifs de Systems Manager utilise des référentiels préconfigurés (repos) sur le nœud géré. Ces référentiels préconfigurés sont utilisés pour extraire une liste mise à jour des mises à niveau de package disponibles. Pour cela, Systems Manager exécute l'équivalent d'une commande sudo apt-get update.

Les packages sont ensuite filtrés à partir des codename-security dépôts, dont le nom de code est unique à la version publiée, par exemple pour trusty Ubuntu Server 14. Patch Manager identifie uniquement les mises à niveau qui font partie de ces dépôts :

  • Ubuntu Server 14,04 : LTS trusty-security

  • Ubuntu Server 16,04 : LTS xenial-security

  • Ubuntu Server 18,04 : LTS bionic-security

  • Ubuntu Server 20,04 : LTS focal-security

  • Ubuntu Server 20,10 STR : groovy-security

  • Ubuntu Server 22,04 LTS () jammy-security

  • Ubuntu Server 23,04 () lunar-security

Windows Server

Sur les systèmes d'exploitation Microsoft Windows, Patch Manager récupère la liste des mises à jour disponibles que Microsoft publie sur Microsoft Update et qui sont automatiquement disponibles pour Windows Server Update Services (WSUS).

Note

Patch Manager ne met à disposition que des correctifs pour Windows Server versions du système d'exploitation prises en charge pour Patch Manager. Par exemple, Patch Manager ne peut pas être utilisé pour appliquer un correctif à Windows RT.

Patch Manager surveille en permanence les nouvelles mises à jour dans chaque Région AWS. La liste des mises à jour disponibles est actualisée dans chaque région au moins une fois par jour. Lorsque les informations relatives aux correctifs provenant de Microsoft sont traitées, Patch Manager supprime de sa liste de correctifs les mises à jour remplacées par des mises à jour ultérieures. Par conséquent, seule la mise à jour la plus récente est affichée et disponible pour être installée. Par exemple, en cas KB4012214 de remplacementKB3135456, seule une mise à jour KB4012214 est disponible dans Patch Manager.

De même, Patch Manager ne peut installer que les correctifs disponibles sur le nœud géré au moment de l'opération d'application des correctifs. Par défaut, Windows Server 2019 et Windows Server 2022 supprime les mises à jour remplacées par des mises à jour ultérieures. Par conséquent, si vous utilisez le ApproveUntilDate paramètre dans un Windows Server référence du correctif, mais la date sélectionnée dans le ApproveUntilDate paramètre est antérieure à la date du dernier correctif, le scénario suivant se produit :

  • Le correctif remplacé est supprimé du nœud et ne peut donc pas être installé à l'aide de Patch Manager.

  • Le dernier correctif de remplacement est présent sur le nœud mais son installation n'a pas encore été approuvée à la date spécifiée pour le ApproveUntilDate paramètre.

Cela signifie que le nœud géré est conforme en termes de fonctionnement de Systems Manager, même si un correctif critique du mois précédent n'est peut-être pas installé. Ce même scénario peut se produire lors de l'utilisation du ApproveAfterDays paramètre. En raison du comportement des correctifs remplacé par Microsoft, il est possible de définir un nombre (généralement supérieur à 30 jours) afin que les correctifs pour Windows Server ne sont jamais installés si le dernier correctif disponible de Microsoft est publié avant la fin du délai ApproveAfterDays imparti. Notez que ce comportement du système ne s'applique pas si vous avez modifié les paramètres de votre objet de stratégie de groupe Windows (GPO) pour que le correctif remplacé soit disponible sur vos nœuds gérés.

Note

Dans certains cas, Microsoft publie des correctifs pour les applications qui ne spécifient pas de date et d'heure de mise à jour. La date et l'heure 01/01/1970 sont alors fournies par défaut.