Parcheado sin contenido de Linux
Antes de la versión 2024.1, todos los parches de Linux de Security Controls se basaban en el contenido. Los ingenieros de Ivanti identificaron y recopilaron los archivos necesarios para corregir una vulnerabilidad, creando un parche basado en el contenido que luego pudo desplegarse. Las desventajas principales de este método son que se produce un retraso mientras se crea el paquete de contenidos y que no se abordan todas las vulnerabilidades.
A partir de la versión 2024.1, se implementará un nuevo método de aplicación de parches de Linux sin contenido. Con este método, el repositorio de distribución Linux es la fuente directa de todos los paquetes de parches. Esto significa que tiene acceso inmediato a todos los paquetes, lo que le proporciona un mecanismo de aplicación de parches más eficaz y completo, al tiempo que mantiene el control y la visibilidad de la aplicación de parches que aporta Security Controls.
Ver un vídeo relacionado (02:44)
Durante un tiempo, ambos métodos estarán disponibles a través de Security Controls, pero le recomendamos que empiece a planificar e implementar su migración a la aplicación de parches sin contenido ahora, porque el antiguo método de aplicación de parches a Linux basado en el contenido se eliminará en una futura versión.
¿Qué ha cambiado?
Las diferencias principales que notará son:
- El parcheado de Linux anterior está disponibles en Security Controls con el nombre Parcheado de Linux (basado en contenido) y el icono .
- No existe una Configuración de análisis de parches independiente para el parcheado Linux sin contenido nuevo. Cada vez que se ejecuta una tarea de parche de Linux, se lleva a cabo una búsqueda de todos los paquetes y avisos que faltan. A continuación, puede especificar por separado Opciones de despliegue como parte de la tarea de parcheado de Linux.
- Se ha agregado una nueva columna a las cuadrículas de la vista de equipo que, para Linux sin contenido, muestra el repositorio fuente del paquete.
- En la versión 2024.2, la opción Desplegar por grupo de parches de la nueva configuración de parches solo permitía parchear paquetes asociados a un aviso. La adición de paquetes a un grupo de parches se admitía en la versión 2024.3 y Implementación por gravedad en la versión 2024.4.
¿Cómo migrar?
Recomendamos la estrategia siguiente para ganar confianza en el parcheado sin contenido y alejarse así del parcheado basado en contenido para Linux:
- Escanee sus equipos Linux de prueba mediante una tarea Tarea de parcheado de Linux basado en contenido configurada para escanear Todos los parches, luego examine la columna Integridad en la vista de equipo.
- Despliegue los parches en los equipos de prueba mediante la tarea de parches basada en contenido existente y, a continuación, vuelva a examinar la columna Integridad de la vista de equipo.
- Cree o actualice una política de agente que incluya una tarea Tarea de parcheado de Linux con la opción Despliegues desactivada.
Esto crea una tarea de escaneo de todo mediante la nueva función sin contenido. - Instale el agente con la nueva política en sus equipos Linux de prueba.
Tras la instalación del motor se ejecuta automáticamente un análisis. - Una vez finalizado el análisis, compruebe la columna Integridad.
Aviso de que se han detectado vulnerabilidades nuevas. - Active la opción Despliegues en la nueva tarea de parches sin contenido y vuelva a desplegar los parches.
- Compruebe de nuevo la columna Integridad.
Se han corregido las vulnerabilidades.