Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux - AWS Systems Manager
Fonctionnement des règles de référentiel de correctifs sur Amazon Linux 2 et Amazon Linux 2023Fonctionnement des règles de référence de correctif sur CentOS StreamFonctionnement des règles de référence de correctif sur Debian ServerFonctionnement des règles de référence de correctif sur macOSFonctionnement des règles de référence de correctif sur Oracle LinuxComment fonctionnent les règles de base des correctifs sur AlmaLinuxRHEL, et Rocky LinuxFonctionnement des règles de référence de correctif sur SUSE Linux Enterprise ServerFonctionnement des règles de référence de correctif sur Ubuntu Server

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des règles de référence de correctif sur les systèmes basés sur Linux

Les règles d'un référentiel de correctif pour les distributions Linux fonctionnent différemment en fonction du type de distribution. Contrairement aux mises à jour de correctifs sur les nœuds Windows Server gérés, les règles sont évaluées sur chaque nœud afin de prendre en compte les dépôts configurés sur l'instance. Patch Manager, un outil dans AWS Systems Manager, utilise le gestionnaire de packages natif pour piloter l'installation des correctifs approuvés par la ligne de base des correctifs.

Pour les types de système d'exploitation basés sur Linux qui signalent un niveau de sévérité pour les correctifs, Patch Manager utilise le niveau de sévérité signalé par l'éditeur du logiciel pour l'avis de mise à jour ou le correctif individuel. Patch Manager ne dérive pas les niveaux de sévérité de sources tierces, telles que le Common Vulnerability Scoring System (CVSS), ou des métriques publiées par la National Vulnerability Database (NVD).

Fonctionnement des règles de référentiel de correctifs sur Amazon Linux 2 et Amazon Linux 2023

Note

Amazon Linux 2023 (AL2023) utilise des référentiels versionnés qui peuvent être verrouillés sur une version spécifique via un ou plusieurs paramètres système. Pour toutes les opérations d'application de correctifs sur les EC2 instances AL2 023, Patch Manager utilise les dernières versions du référentiel, indépendamment de la configuration du système. Pour plus d'informations, veuillez consulter la rubrique Mises à niveau déterministes via des référentiels versionnés dans le Guide de l'utilisateur Amazon Linux 2023.

Sur Amazon Linux 2 et Amazon Linux 2023, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM (Amazon Linux 2) ou la bibliothèque DNF (Amazon Linux 2023) accèdent au fichier updateinfo.xml de chaque référentiel configuré.

    Si aucun fichier updateinfo.xml n’est trouvé, l’installation de correctifs dépend des paramètres Inclusion de mises à jour non liées à la sécurité et Approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que ALAS-2017-867. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2017-1234567). L'ID CVE peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour Amazon Linux 2, la commande yum équivalente pour ce flux de travail est

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Pour Amazon Linux 2, la commande yum équivalente pour ce flux de travail est

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Pour Amazon Linux 2023, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
    Note

    Les nouveaux packages qui remplacent les packages désormais obsolètes portant des noms différents sont installés si vous exécutez ces commandes yum ou dnf en dehors de Patch Manager. Cependant, ils ne sont pas installés par les opérations Patch Manager équivalentes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur CentOS Stream

Les référentiels par défaut de CentOS Stream n’incluent pas de fichier updateinfo.xml. Cependant, les référentiels personnalisés que vous créez ou utilisez peuvent inclure ce fichier. Dans cette rubrique, les références à updateinfo.xml s’appliquent uniquement à ces référentiels personnalisés.

Sur les CentOS Stream, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque DNF accède au fichier updateinfo.xml, s’il existe dans un référentiel personnalisé, pour chaque référentiel configuré.

    Si aucun updateinfo.xml n’est trouvé, ce qui inclut toujours les référentiels par défaut, l’installation des correctifs dépend des paramètres pour Inclure les mises à jour de non-sécurité et Auto-approbation. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Si updateinfo.xml est présent, chaque notice de mise à jour dans le fichier comprend plusieurs attributs qui dénotent les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que CVE-2019-17055. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2019-17055) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Dans tous les cas, le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, s’il existe dans un référentiel personnalisé, le référentiel de correctifs est utilisé comme un filtre, permettant uniquement aux packages qualifiés d’être inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour CentOS Stream où updateinfo.xml est présent, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade-minimal ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    Outre l’application des mises à jour de sécurité sélectionnées dans updateinfo.xml, s’il existe dans un référentiel personnalisé, Patch Manager applique les mises à jour de non-sécurité qui satisfont par ailleurs aux règles de filtrage des correctifs.

    Pour CentOS Stream où updateinfo.xml est présent, la commande dnf équivalente pour ce flux de travail est :

    sudo dnf upgrade ‐‐security ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y

    Pour les référentiels par défaut et les référentiels personnalisés sans updateinfo.xml, vous devez cocher la case Inclure les mises à jour de non-sécurité afin de mettre à jour les packages du système d’exploitation (OS).

    Note

    Les nouveaux packages qui remplacent les packages désormais obsolètes portant des noms différents sont installés si vous exécutez ces commandes yum ou dnf en dehors de Patch Manager. Cependant, ils ne sont pas installés par les opérations Patch Manager équivalentes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur Debian Server

Sur Debian Server, le service de référence de correctifs permet un filtrage sur les champs Priorité et Section. Ces champs sont généralement présents pour tous les packages Debian Server. Pour déterminer si un correctif est sélectionné par le référentiel de correctif, Patch Manager effectue les opérations suivantes :

  1. Sous les systèmes Debian Server, l'équivalent de sudo apt-get update est exécuté afin d'actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

  3. Ensuite, les listes GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatches sont appliquées.

    Note

    Dans la mesure où il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Debian Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Debian Server les versions de correctifs candidates se limitent aux correctifs inclus dans les référentiels suivants :

    La dénomination de ces référentiels est la suivante :

    • Debian Server11 : debian-security bullseye

    • Debian Server12 : debian-security bookworm

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de noms de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur les systèmes Debian Server.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur macOS

Sur les macOS, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, Patch Manager accède au contenu analysé du fichier InstallHistory.plist et identifie les noms et les versions des packages.

    Pour obtenir des détails sur le processus d'analyse, veuillez consulter l'onglet macOS dans Installation des correctifs.

  2. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  3. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque mise à jour de package disponible, le référentiel de correctifs est utilisé en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Référentiels de correctifs personnalisés dans lesquels la case Inclure les mises à jour de non-sécurité est cochée

    En plus de l'application des mises à jour de sécurité qui ont été identifiées à l'aide de InstallHistory.plist , Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur Oracle Linux

Sur les Oracle Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM accède au fichier updateinfo.xml de chaque référentiel configuré.

    Note

    Le fichier updateinfo.xml peut ne pas être disponible si le référentiel n'est pas géré par Oracle. Si aucun fichier updateinfo.xml n’est trouvé, l’installation de correctifs dépend des paramètres Inclusion de mises à jour non liées à la sécurité et Approbation automatique. Par exemple, si les mises à jour non liées à la sécurité sont autorisées, elles sont installées lorsque l'heure de l'approbation automatique arrive.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que CVE-2019-17055. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2019-17055) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Concernant les nœuds gérés de version 7, la commande YUM équivalente pour ce flux de travail est la suivante :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Concernant les nœuds gérés de version 8 et 9, la commande DNF équivalente pour ce flux de travail est la suivante : 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y
    Note

    Les nouveaux packages qui remplacent les packages désormais obsolètes portant des noms différents sont installés si vous exécutez ces commandes yum ou dnf en dehors de Patch Manager. Cependant, ils ne sont pas installés par les opérations Patch Manager équivalentes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Comment fonctionnent les règles de base des correctifs sur AlmaLinuxRHEL, et Rocky Linux

Sur AlmaLinux, Red Hat Enterprise Linux (RHEL) etRocky Linux, le processus de sélection des correctifs est le suivant :

  1. Sur le nœud géré, la bibliothèque YUM (RHEL7) ou la bibliothèque DNF (AlmaLinux 8 et 9, RHEL 8, 9 et 10, et Rocky Linux 8 et 9) accède au updateinfo.xml fichier pour chaque dépôt configuré.

    Note

    Le fichier updateinfo.xml peut ne pas être disponible si le référentiel n'est pas géré par Red Hat. Si aucun fichier updateinfo.xml n'est trouvé, aucun correctif ne sera appliqué.

  2. Chaque notice de mise à jour dans le fichier updateinfo.xml inclut plusieurs attributs indiquant les propriétés des packages de la notice, comme décrit dans le tableau suivant.

    Mettre à jour les attributs de la notice
    Attribut Description
    type

    Correspond à la valeur de l'attribut de la clé de classification du type de données PatchFilter de la référence de correctif. Indique le type de package inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    severity

    Correspond à la valeur de l'attribut de la clé de gravité du type de données PatchFilter de la référence de correctif. Indique l'importance des packages inclus dans la notice de mise à jour. En général, applicable uniquement aux notices de mise à jour de sécurité.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.
    update_id

    Indique l'ID Advisory, tels que RHSA-2017:0864. L'ID Advisory peut être utilisé dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    references

    Contient des informations supplémentaires sur la notice de mise à jour, notamment l'ID CVE (format : CVE-2017-1000371) ou un ID Bugzilla (format : 1463241). L'ID CVE et l'ID Bugzilla peuvent être utilisés dans l'attribut ApprovedPatches ou RejectedPatches, dans la référence de correctifs.
    updated

    Correspond à ApproveAfterDays dans la référence de correctif. Indique la date de publication (date de mise à jour) des packages inclus dans la notice de mise à jour. Une comparaison entre l'horodatage actuel et la valeur de cet attribut plus le ApproveAfterDays est utilisée afin de déterminer l'approbation des correctifs à des fins de déploiement.

    Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de noms de package pour les listes de correctifs approuvés et rejetés.

  3. Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé de produit du type de données PatchFilter de la référence de correctif.

  4. Les packages sont sélectionnés pour la mise à jour en suivant les consignes suivantes.

    Option de sécurité Sélection de correctifs

    Référentiels de correctifs par défaut prédéfinis fournis par AWS et référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité n’est pas cochée

    Pour chaque notice de mise à jour dans updateinfo.xml, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

    Pour RHEL 7, la commande yum équivalente pour ce flux de travail est :

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8, 9 et 10, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Référentiels de correctifs personnalisés pour lesquels la case Inclusion de mises à jour non liées à la sécurité est cochée avec une liste de GRAVITÉ [Critical, Important] et une liste de CLASSIFICATION [Security, Bugfix]

    En plus de l'application des mises à jour de sécurité qui ont été sélectionnées à partir de updateinfo.xml, Patch Manager applique les mises à jour non liées à la sécurité qui remplissent, par ailleurs, les règles de filtrage des correctifs.

    Pour RHEL 7, la commande yum équivalente pour ce flux de travail est :

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Pour AlmaLinux 8 et 9, RHEL 8, 9 et 10, et Rocky Linux 8 et 9, la commande dnf équivalente pour ce flux de travail est la suivante :

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y
    Note

    Les nouveaux packages qui remplacent les packages désormais obsolètes portant des noms différents sont installés si vous exécutez ces commandes yum ou dnf en dehors de Patch Manager. Cependant, ils ne sont pas installés par les opérations Patch Manager équivalentes.

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.

Fonctionnement des règles de référence de correctif sur SUSE Linux Enterprise Server

Sur SLES, chaque correctif inclut les attributs suivants, qui indiquent les propriétés des packages dans le correctif :

  • Catégorie : Correspond à la valeur de l'attribut de la clé Classification du type de données PatchFilter de la référence de correctifs. Indique le type de correctif inclus dans la notice de mise à jour.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

  • Severity : correspond à la valeur de l'attribut de la clé Severity dans le type de données PatchFilter de la référence de correctifs. Désigne la sévérité des correctifs.

    Vous pouvez consulter la liste des valeurs prises en charge à l'aide de la AWS CLI commande describe-patch-properties ou de l'opération APIDescribePatchProperties. Vous pouvez aussi afficher la liste dans la zone Règles d'approbation de la page Créer un référentiel de correctif ou la page Modifier le référentiel de correctif dans la console Systems Manager.

Le produit du nœud géré est déterminé par SSM Agent. Cet attribut correspond à la valeur de l'attribut de la clé Product du type de données PatchFilter de la référence de correctifs.

Pour chaque correctif, le référentiel de correctif est utilisée en guise de filtre, ce qui permet que seuls les packages qualifiés soient inclus dans la mise à jour. Si plusieurs packages sont applicables après l'application de la définition de référence de correctif, la version la plus récente est utilisée.

Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de noms de package pour les listes de correctifs approuvés et rejetés.

Fonctionnement des règles de référence de correctif sur Ubuntu Server

Sur Ubuntu Server, le service de référence de correctifs permet un filtrage sur les champs Priorité et Section. Ces champs sont généralement présents pour tous les packages Ubuntu Server. Pour déterminer si un correctif est sélectionné par le référentiel de correctif, Patch Manager effectue les opérations suivantes :

  1. Sous les systèmes Ubuntu Server, l'équivalent de sudo apt-get update est exécuté afin d'actualiser la liste des packages disponibles. Les référentiels ne sont pas configurés et les données sont extraites des référentiels configurés dans une liste de sources.

  2. Si une mise à jour est disponible pour python3-apt (une interface de bibliothèque Python pour libapt), la mise à niveau est faite à la dernière version. (Ce package non lié à la sécurité est mis à niveau même si vous n'avez pas sélectionné l'option Inclure les mises à jour non liées à la sécurité.)

  3. Ensuite, les listes GlobalFilters, ApprovalRules, ApprovedPatches et RejectedPatches sont appliquées.

    Note

    Comme il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

    Cependant, les règles d'approbation sont également assujetties au fait que la case Inclure les mises à jour non liées à la sécurité a été cochée ou non lors de la création ou de la dernière mise à jour d'un référentiel de correctif.

    Si les mises à jour non liées à la sécurité sont exclues, une règle implicite est appliquée afin de sélectionner uniquement les packages avec des mises à niveau dans les référentiels de sécurité. Pour chaque package, la version du package proposée (généralement la plus récente) doit se trouver dans un référentiel de sécurité. Dans ce cas, pour Ubuntu Server les versions de correctifs candidates se limitent aux correctifs inclus dans les référentiels suivants :

    • Ubuntu Server 16.04 LTS : xenial-security

    • Ubuntu Server 18.04 LTS : bionic-security

    • Ubuntu Server 20.04 LTS : focal-security

    • Ubuntu Server 22.04 LTS (jammy-security)

    • Ubuntu Server24,04 LTS () noble-security

    • Ubuntu Server 25.04 (plucky-security)

    Si des mises à jour non liées à la sécurité sont incluses, les correctifs provenant d'autres référentiels sont également pris en compte.

    Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de noms de package pour les listes de correctifs approuvés et rejetés.

Pour afficher le contenu des champs Priorité et Section, exécutez la commande aptitude suivante :

Note

Il se peut que vous deviez d'abord installer Aptitude sur les systèmes Ubuntu Server 16.

aptitude search -F '%p %P %s %t %V#' '~U'

Dans la réponse à cette commande, tous les packages pouvant être mis à niveau sont indiqués dans le format suivant : 

name, priority, section, archive, candidate version

Pour de plus amples informations sur les valeurs du statut de conformité des correctifs, veuillez consulter Valeurs de l’état de conformité des correctifs.