Inhaltloses Linux-Patching

Vor Version 2024.1 wurde das gesamte Linux-Patching in Security Controls inhaltbasiert durchgeführt. Die Spezialisten bei Ivanti identifizierten und kuratierten die zum Beheben einer Schwachstelle benötigten Dateien und erstellten einen inhaltbasierten Patch, der anschließend bereitgestellt werden konnte. Der wesentliche Nachteil dieser Methode besteht darin, dass sich bereits während der Erstellung des Inhaltspakets eine Verzögerung ergibt und somit nicht alle Schwachstellen behoben werden.

Mit Version 2024.1 wird eine neue, inhaltlose Methode für Linux-Patching implementiert. Bei dieser Methode fungiert das Repository für Ihre Linux-Distribution als direkte Quelle für alle Patchpakete. Sie erhalten sofortigen Zugriff auf alle Pakete, sodass Sie über einen effizienteren und umfassenderen Patchingmechanismus verfügen. Gleichzeitig profitieren Sie weiterhin von der Kontrolle und Transparenz, die Security Controls für Patching bereithält.

Video zum Thema ansehen (02:44)

Für einen Übergangszeitraum werden beide Methoden über Security Controls verfügbar sein. Wir empfehlen Ihnen jedoch, bereits jetzt die Migration zum inhaltlosen Patching zu planen und zu implementieren, da die herkömmliche inhaltbasierte Linux-Patchingmethode in einem zukünftigen Release entfallen wird.

Was hat sich geändert?

Dies sind die wesentlichen Unterschiede:

  • Das frühere Linux-Patching ist in Security Controls unter dem Namen Linux-Patch (inhaltbasiert) verfügbar und wird mit dem Symbol Symbol für inhaltbasiertes Linux-Patching dargestellt.
  • Für das neue inhaltlose Linux-Patching gibt es keine separate Patchscankonfiguration. Beim Ausführen eines Linux-Patchtasks wird immer ein Scan nach allen fehlenden Paketen und Advisories durchgeführt. Sie können dann im Rahmen des Linux-Patchtasks separat Bereitstellungsoptionen festlegen.
  • In der Computeransicht wurde eine neue Spalte zu den Rastern hinzugefügt. Für inhaltloses Linux-Patching wird darin das Quellrepository des Pakets angezeigt.
  • In V2024.2 unterstützte die Option Nach Patchgruppe bereitstellen bei der neuen Patchkonfiguration nur das Patching von Paketen, die mit einem Advisory verknüpft sind. Das Hinzufügen von Paketen zu einer Patchgruppe wurde in V2024.3 unterstützt. Nach Schweregrad bereitstellen wird in V2024.4 unterstützt.

Wie funktioniert die Migration?

Wir empfehlen Ihnen folgende Strategie, um sich mit inhaltlosem Linux-Patching vertraut zu machen und inhaltbasiertes Patching aufzugeben:

  1. Scannen Sie Ihre Linux-Testcomputer unter Verwendung eines inhaltbasierten Linux-Patchtasks, der für das Scannen nach allen Patches konfiguriert ist. Überprüfen Sie anschließend die Spalte Systemzustand der Computeransicht.
  2. Stellen Sie Patches für Ihre Testcomputer bereit, indem Sie den vorhandenen inhaltbasierten Patchtask verwenden und überprüfen Sie erneut die Spalte Systemzustand der Computeransicht.
  3. Erstellen oder aktualisieren Sie eine Agentenrichtlinie, die einen Linux-Patchtask mit deaktivierter Option Bereitstellungen beinhaltet.
    Dadurch wird ein Task vom Typ "Alle scannen" erstellt, der die neue inhaltlose Methode verwendet.
  4. Installieren Sie den Agenten mit der neuen Richtlinie auf Ihren Linux-Testcomputern.
    Nach Installation des Moduls wird automatisch ein Scan ausgeführt.
  5. Wenn der Scan abgeschlossen ist, überprüfen Sie die Spalte Systemzustand.
    Sie werden feststellen, dass neue Schwachstellen ermittelt wurden.
  6. Aktivieren Sie die Option Bereitstellungen im neuen inhaltlosen Patchtask und stellen Sie die Patches erneut bereit.
  7. Überprüfen Sie die Spalte Systemzustand erneut.
    Die Schwachstellen wurden behoben.