J'ai mis à jour mes instances Amazon Elastic Compute Cloud (Amazon EC2), mais Amazon Inspector détecte des vulnérabilités et expositions courantes (CVE) sur des versions de noyau précédentes. Comme résoudre ce problème ?

Amazon Inspector renvoie des résultats de vulnérabilité pour tous les packages installés sur les instances Amazon EC2. Pour les packages de noyau, le système de gestion des packages (apt ou rpm) laisse généralement le noyau précédent installé sur le système lors de l'installation d'un nouveau noyau. Amazon Inspector détecte la version de noyau précédente même si le noyau n'est pas actif.

Mettez à jour les packages de noyau Linux, désinstallez les packages de noyau précédents, puis exécutez à nouveau Amazon Inspector.

Amazon Linux, RHEL et CentOS

1. Mettez à jour les packages de noyau Linux :

sudo yum update kernel

2. (Facultatif) Mettez à jour tous les packages :

sudo yum update

3. Redémarrez pour appliquer les modifications :

sudo reboot

4. Listez le noyau en cours d'exécution :

uname -r

5. Listez les noyaux installés :

sudo rpm -qa kernel

6. Désinstallez les versions précédentes des packages du noyau :

sudo package-cleanup --oldkernels --count=1

7. Vérifiez qu'un seul noyau est installé :

sudo rpm -qa kernel

Exécutez à nouveau Amazon Inspector. Amazon Inspector ne doit pas renvoyer de vulnérabilités relatives aux packages de version de noyau précédemment installés.

Ubuntu et Debian

1. Mettez à jour le noyau Linux et ses dépendances à l'aide de la dernière version :

sudo apt update &&  sudo apt install linux-aws

2. (Facultatif) Mettez à jour tous les packages qui incluent le noyau :

sudo apt update &&  sudo apt dist-upgrade

3. Redémarrez pour appliquer les modifications :

sudo reboot

4. Désinstallez les versions précédentes des packages :

sudo apt autoremove

Remarque : la commande sudo apt autoremove supprime les versions précédentes des packages qui ne sont plus nécessaires. Pour plus d'informations sur la suppression des noyaux précédents, consultez RemoveOldKernels.

5. Exécutez à nouveau Amazon Inspector.

Si Amazon Inspector détecte toujours des vulnérabilités d'un package de noyau installé précédemment, exécutez les commandes suivantes.

1. Listez les noyaux installés :

sudo dpkg --get-selections|grep linux-image|grep -v deinstall

Vérifiez que vous exécutez le dernier des deux noyaux répertoriés comme encore installés.

2. Listez les noyaux en cours d'exécution :

uname -r

3. Supprimez la plus proche des deux versions de noyau installées, ainsi que les packages associés :  

sudo apt remove linux-*-4.4.0-1049-*

Remarque : remplacez le numéro de version du noyau par le numéro du dernier noyau installé. Répétez l'opétation si plusieurs packages de noyau avaient été installés précédemment.

Exécutez à nouveau Amazon Inspector. Amazon Inspector ne doit pas renvoyer de vulnérabilités relatives aux packages de version de noyau précédemment installés.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 2018-08-12