Aplicação de patch sem conteúdo no Linux
Antes da V2024.1, todas as correções do Linux no Security Controls eram baseadas em conteúdo. Os engenheiros da Ivanti identificavam e selecionavam os arquivos necessários para corrigir a vulnerabilidade, criando um patch baseado em conteúdo que podia então ser implantado. As principais desvantagens desse método são que há um atraso enquanto o pacote de conteúdo está sendo criado e nem todas as vulnerabilidades são resolvidas.
A partir da V2024.1, um novo método sem conteúdo de correção do Linux está sendo implementado. Nesse método, o repositório da sua distribuição Linux é a fonte direta de todos os pacotes de patch. Isso significa que você tem acesso imediato a todos os pacotes, para usufruir de um mecanismo de patch mais eficiente e completo, enquanto mantém o controle e a visibilidade dos patches que o Security Controls traz.
Assista a um vídeo relacionado (02:44)
Por um tempo, ambos os métodos estarão disponíveis através do Security Controls, mas recomendamos que você comece já a planejar e implementar sua migração para patches sem conteúdo, pois o antigo método de aplicação de patches do Linux, baseado em conteúdo, será removido em uma versão futura.
O que mudou?
As principais diferenças que você notará são:
- A antiga aplicação de patches do Linux é disponibilizada no Security Controls usando o nome Patch do Linux (Baseado em Conteúdo) e o ícone .
- Não há uma Configuração de Análise de Patch separada para a aplicação de patch sem conteúdo do Linux. Sempre que uma tarefa de patch do Linux é executada, ela verifica todos os pacotes e avisos ausentes. Você pode então especificar separadamente Opções de implantação como parte da tarefa de patch do Linux.
- As grades na Exibição de Máquina receberam uma nova coluna que, para Linux sem conteúdo, mostra o repositório de origem do pacote.
- Na V2024.2, a opção Implantar por grupo de patches da nova configuração de patch suportava somente a aplicação de patches dos pacotes associados a um aviso. A adição de pacotes a um grupo de patches era suportada na V2024.3 e Implementar por Gravidade na V2024.4.
Como migrar?
Recomendamos a seguinte estratégia para ganhar confiança na aplicação de patches sem conteúdo e, assim, abandonar a aplicação de patches baseada em conteúdo para Linux:
- Analise suas máquinas Linux de teste usando uma Tarefa de patch baseado em conteúdo do Linux, configurada para verificar Todos os patches, depois examine a coluna Integridade na Exibição de Máquina.
- Implante patches em suas máquinas de teste usando a tarefa existente de patch baseado em conteúdo e, em seguida, reexamine a coluna Integridade na Exibição de Máquina.
- Crie ou atualize uma política de agente que inclua uma Tarefa de Patch do Linux com a opção Implantações desabilitada.
Isso cria uma tarefa de análise completa usando a nova funcionalidade sem conteúdo. - Instale o agente com a nova política nas máquinas Linux de teste.
Uma análise é executada automaticamente após a instalação do mecanismo. - Após a conclusão da análise, verifique a coluna Integridade.
Observe que novas vulnerabilidades foram descobertas. - Habilite a opção Implantações na nova tarefa de patch sem conteúdo e reimplante os patches.
- Verifique a coluna Integridade novamente.
As vulnerabilidades foram corrigidas.