Correctifs sans contenu Linux

Avant V2024.1, tous les correctifs Linux dans Security Controls reposaient sur le contenu. Les ingénieurs Ivanti identifiaient et traitaient les fichiers nécessaires pour corriger une vulnérabilité, créant un correctif basé sur le contenu que vous pouviez ensuite déployer. Les principaux inconvénients de cette méthode sont que la création du paquet de contenu retarde le traitement, et que certaines vulnérabilités ne sont pas traitées.

Depuis la version 2024.1, nous implémentons une nouvelle méthode de gestion sans contenu des correctifs Linux. Avec cette méthode, le référentiel de votre édition de Linux sert de source directe pour tous les paquets de correctifs. Cela signifie que vous avez un accès immédiat à tous les paquets, ce qui rend le mécanisme d'application des correctifs plus efficace et plus complet, tout en maintenant le contrôle et la visibilité des correctifs apportés par Security Controls.

Voir la vidéo associée (02:44)

Pendant un moment, Security Controls proposera les deux méthodes, mais nous vous recommandons de commencer à planifier et à implémenter votre migration vers les correctifs sans contenu dès maintenant, parce que l'ancienne méthode de gestion des correctifs Linux basés sur le contenu va être supprimée dans une future version.

Qu'est-ce qui change ?

Les principales différences que vous constaterez sont les suivantes :

  • L'ancienne méthode de gestion des correctifs Linux est disponible dans Security Controls sous le nom Correctif Linux (basé sur le contenu) et avec l'icône icône Linux basé sur le contenu.
  • Il n'existe pas de configuration d'analyse des correctifs distincte pour la nouvelle méthode de gestion des correctifs Linux sans contenu. Chaque fois qu'une tâche de correctif Linux s'exécute, elle lance une analyse pour rechercher tous les paquets et conseils manquants. Vous pouvez ensuite spécifier séparément des options de déploiement dans la tâche de correctif Linux.
  • Nous avons ajouté une nouvelle colonne dans les grilles de la vue Machine. Pour Linux sans contenu, elle affiche le référentiel source du paquet.
  • Dans V2024.2, l'option Déployer par groupe de correctifs de la nouvelle configuration de correctifs prenait uniquement en charge l'application de correctifs à des paquets associés à un conseil (Advisory). L'ajout de paquets à un groupe de correctifs était pris en charge dans V2024.3, et Déployer par gravité dans V2024.4.

Comment effectuer la migration ?

Nous vous recommandons la stratégie suivante pour prendre confiance dans la gestion des correctifs sans contenu et abandonner les correctifs Linux basés sur le contenu :

  1. Analysez vos machines de test Linux avec Tâche de correctif basé sur le contenu Linux, en configurant cette option sur l'analyse Tous les correctifs, puis examinez la colonne État de santé dans la vue Machine.
  2. Déployez les correctifs sur vos machines de test à l'aide de la tâche de correctif basé sur le contenu existante, puis revérifiez la colonne État de santé dans la vue Machine.
  3. Créez ou mettez à jour une stratégie d'agent incluant une tâche de correctif Linux avec l'option Déploiements désactivée.
    Cela crée une tâche Tout anlyser qui utilise la nouvelle fonction sans contenu.
  4. Installez l'agent avec la nouvelle stratégie sur vos machines Linux de test.
    Une analyse s'exécute automatiquement après l'installation du moteur.
  5. Une fois l'analyse terminée, vérifiez la colonne État de santé.
    Vous remarquez que de nouvelles vulnérabilités ont été découvertes.
  6. Activez l'option Déploiements dans la nouvelle tâche de correctif sans contenu, puis redéployez les correctifs.
  7. Vérifiez encore une fois la colonne État de santé.
    Les vulnérabilités ont été corrigées.