Aplicação de patch sem conteúdo no Linux

Antes da V2024.1, todas as correções do Linux no Security Controls eram baseadas em conteúdo. Os engenheiros da Ivanti identificavam e selecionavam os arquivos necessários para corrigir a vulnerabilidade, criando um patch baseado em conteúdo que podia então ser implantado. As principais desvantagens desse método são que há um atraso enquanto o pacote de conteúdo está sendo criado e nem todas as vulnerabilidades são resolvidas.

A partir da V2024.1, um novo método sem conteúdo de correção do Linux está sendo implementado. Nesse método, o repositório da sua distribuição Linux é a fonte direta de todos os pacotes de patch. Isso significa que você tem acesso imediato a todos os pacotes, para usufruir de um mecanismo de patch mais eficiente e completo, enquanto mantém o controle e a visibilidade dos patches que o Security Controls traz.

Assista a um vídeo relacionado (02:44)

Por um tempo, ambos os métodos estarão disponíveis através do Security Controls, mas recomendamos que você comece já a planejar e implementar sua migração para patches sem conteúdo, pois o antigo método de aplicação de patches do Linux, baseado em conteúdo, será removido em uma versão futura.

O que mudou?

As principais diferenças que você notará são:

  • A antiga aplicação de patches do Linux é disponibilizada no Security Controls usando o nome Patch do Linux (Baseado em Conteúdo) e o ícone ícone Linux baseado em conteúdo.
  • Não há uma Configuração de Análise de Patch separada para a aplicação de patch sem conteúdo do Linux. Sempre que uma tarefa de patch do Linux é executada, ela verifica todos os pacotes e avisos ausentes. Você pode então especificar separadamente Opções de implantação como parte da tarefa de patch do Linux.
  • As grades na Exibição de Máquina receberam uma nova coluna que, para Linux sem conteúdo, mostra o repositório de origem do pacote.
  • Na V2024.2, a opção Implantar por grupo de patches da nova configuração de patch suporta somente a aplicação de patches dos pacotes associados a um aviso. A correção de pacotes não associados será adicionada em uma versão futura.

Como migrar?

Recomendamos a seguinte estratégia para ganhar confiança na aplicação de patches sem conteúdo e, assim, abandonar a aplicação de patches baseada em conteúdo para Linux:

  1. Analise suas máquinas Linux de teste usando uma Tarefa de patch baseado em conteúdo do Linux, configurada para verificar Todos os patches, depois examine a coluna Integridade na Exibição de Máquina.
  2. Implante patches em suas máquinas de teste usando a tarefa existente de patch baseado em conteúdo e, em seguida, reexamine a coluna Integridade na Exibição de Máquina.
  3. Crie ou atualize uma política de agente que inclua uma Tarefa de Patch do Linux com a opção Implantações desabilitada.
    Isso cria uma tarefa de análise completa usando a nova funcionalidade sem conteúdo.
  4. Instale o agente com a nova política nas máquinas Linux de teste.
    Uma análise é executada automaticamente após a instalação do mecanismo.
  5. Após a conclusão da análise, verifique a coluna Integridade.
    Observe que novas vulnerabilidades foram descobertas.
  6. Habilite a opção Implantações na nova tarefa de patch sem conteúdo e reimplante os patches.
  7. Verifique a coluna Integridade novamente.
    As vulnerabilidades foram corrigidas.