Comment résoudre les notifications de vulnérabilité Amazon Inspector pour les versions de noyau précédentes ?

Date de la dernière mise à jour : 15/06/2021

J'ai mis à jour mes instances Amazon Elastic Compute Cloud (Amazon EC2), mais Amazon Inspector détecte des vulnérabilités et expositions courantes (CVE) sur des versions de noyau précédentes. Comme résoudre cette erreur ?

Brève description

Amazon Inspector renvoie des résultats de vulnérabilités pour tous les packages installés sur les instances Amazon EC2. Pour les packages de noyau, le système de gestion des packages (apt ou rpm) laisse généralement le noyau précédent installé sur le système lors de l'installation d'un nouveau noyau. Amazon Inspector détecte la version de noyau précédente même si le noyau n'est pas actif.

Résolution

Mettez à jour les packages de noyau Linux, désinstallez les packages de noyau précédents, puis exécutez à nouveau Amazon Inspector.

Amazon Linux, RHEL et CentOS

1.    Mettez à jour les packages de noyau Linux :

sudo yum update kernel

2.    (Facultatif) Mettez à jour tous les packages :

sudo yum update

3.    Redémarrez pour appliquer les modifications :

sudo reboot

4.    Répertoriez le noyau en cours d'exécution :

uname -r

5.    Répertoriez les noyaux installés :

sudo rpm -qa kernel

6.    Désinstallez les versions précédentes des packages de noyaux :

sudo package-cleanup --oldkernels --count=1

7.    Vérifiez qu'un seul noyau est installé :

sudo rpm -qa kernel

Exécutez à nouveau Amazon Inspector. Amazon Inspector ne renvoie pas de vulnérabilités relatives aux packages de version de noyau précédemment installés.

Ubuntu et Debian

1.    Mettez à jour le noyau Linux et les dépendances vers la dernière version :

sudo apt update &&  sudo apt install linux-aws

2.    (Facultatif) Mettez à jour tous les packages qui incluent le noyau :

sudo apt update &&  sudo apt dist-upgrade

3.    Redémarrez pour appliquer les modifications :

sudo reboot

4.    Désinstallez les versions précédentes des packages :

sudo apt autoremove

Remarque : la commande sudo apt autoremove supprime les versions précédentes des packages qui ne sont plus nécessaires. Pour plus d'informations sur la suppression des noyaux précédents, voir RemoveOldKernels.

5.    Exécutez à nouveau Amazon Inspector.

Si Amazon Inspector détecte toujours des vulnérabilités d'un package de noyau installé précédemment, exécutez les commandes suivantes.

1.    Répertoriez les noyaux installés :

sudo dpkg --get-selections|grep linux-image|grep -v deinstall

Vérifiez que vous exécutez la version la plus récente des deux noyaux répertoriés comme encore installés.

2.    Répertoriez les noyaux en cours d'exécution :

uname -r

3.    Supprimez la plus récente des deux versions de noyau installées, ainsi que les packages associés :

sudo apt remove linux-*-4.4.0-1049-*

Remarque : remplacez le numéro de version du noyau par le numéro du dernier noyau installé. Répétez cette opération si d'autres packages de noyaux ont précédemment été installés.

Exécutez à nouveau Amazon Inspector. Amazon Inspector ne renvoie pas de vulnérabilités relatives aux packages de version de noyau précédemment installés.


Cet article vous a-t-il été utile ?


Besoin de support pour une question technique ou de facturation ?