Applicazione patch Linux senza contenuto

Prima della V2024.1, ogni applicazione patch di Linux in Security Controls era basata sul contenuto. Gli ingegneri di Ivanti identificavano e correggevano i file necessari per risolvere una vulnerabilità, creando una patch basata sul contenuto in grado di essere distribuita. I principali svantaggi di questo metodo sono il ritardo nella creazione del pacchetto di contenuti e il fatto che non vengono affrontate tutte le vulnerabilità.

A partire dalla V2024.1, è stato implementato un nuovo metodo di applicazione patch di Linux senza contenuto. Con questo metodo, il deposito della distribuzione Linux è la fonte diretta di tutti i pacchetti di patch. Ciò significa che si ha accesso immediato a tutti i pacchetti, offrendo un meccanismo di applicazione patch più efficiente e completo, pur mantenendo il controllo e la visibilità sull'applicazione patch offerti da Security Controls.

Guarda un video correlato (02:44)

Per un po' di tempo, entrambi i metodi saranno disponibili attraverso Security Controls, ma consigliamo di iniziare subito a pianificare e implementare il passaggio all'applicazione patch senza contenuto, perché il precedente metodo di applicazione patch di Linux basato sul contenuto sarà rimosso in una release futura.

Cosa è cambiato?

Le principali differenze che l'utente noterà sono:

  • La precedente applicazione patch di Linux è disponibile in Security Controls con il nome Patch Linux (basata sul contenuto) e l'icona icona linux basata sul contenuto.
  • Non esiste una configurazione separata per l'analisi delle patch per il nuovo metodo di applicazione patch senza contenuto di Linux. Ogni volta che viene eseguita un'attività di applicazione patch Linux, viene eseguita un'analisi di tutti i pacchetti e gli avvisi mancanti. È quindi possibile specificare separatamente le opzioni Distribuisci come parte dell'attività Linux Patch.
  • È stata aggiunta una nuova colonna alle griglie sulla Visualizzazione computer che, per la versione Linux senza contenuto, mostra il deposito di origine del pacchetto.
  • Per V2024.2, l'opzione Distribuisci per gruppo di patch per la nuova configurazione delle patch supportava l'applicazione di patch sui soli pacchetti associati a un avviso. L'aggiunta di pacchetti a un gruppo di patch è stata supportata nella V2024.3, mentre Distribuisci per gravità nella V2024.4.

Come si effettua la migrazione?

Si consiglia la seguente strategia per acquisire fiducia nell'applicazione patch senza contenuto e pertanto abbandonare l'applicazione patch basata sul contenuto per Linux:

  1. Eseguire l'analisi dei computer Linux di prova utilizzando un'attività di patch Linux basata sul contenuto e configurata per l'analisi di Tutte le patch, quindi esaminare la colonna Integrità nella Vista computer.
  2. Distribuire le patch ai computer di prova utilizzando l'attività di patch basata sul contenuto esistente, quindi riesaminare la colonna Integrità nella Vista computer.
  3. Creare o aggiornare un criterio agente che includa un'attività patch Linux con l'opzione Distribuzioni disabilitata.
    In questo modo si crea un'attività di analisi di tutti gli elementi utilizzando la nuova funzionalità senza contenuto.
  4. Installare l'agente con il nuovo criterio sui computer Linux di prova.
    Un'analisi viene eseguita automaticamente dopo l'installazione dell'engine.
  5. Al termine dell'analisi, controllare la colonna Integrità.
    Si noti che sono state individuate nuove vulnerabilità.
  6. Abilitare l'opzione Distribuzioni nella nuova attività patch senza contenuto e distribuire nuovamente le patch.
  7. Controllare nuovamente la colonna Integrità.
    Le vulnerabilità sono state corrette.