Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Outil "PatchPro" pour Solaris

Date :22 Juin 2005

Publication: Article

Le service "PatchPro" de Sun permet de maintenir à jour les systèmes Solaris 2.6 à 9 vis-à-vis des correctifs système et des correctifs de sécurité. Il représente l'équivalent pour le monde Solaris des outils "Windows Update" et de mise à jour Linux.

Ce service s'appuie sur les correctifs fournis régulièrement par Sun. Tous les correctifs Sun possèdent une signature numérique (http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/spfaq) et cette signature est utilisée par "PatchPro" afin de vérifier leur authenticité.

Ce service se décompose en trois sous-services décrits par la suite:

  • un service manuel
  • un service semi-manuel
  • un service automatique

Service manuel ("PatchPro interactive") :

Ce service propose à travers un site web de Sun (via le protocole HTTP), tous les correctifs disponibles pour une plate-forme de référence.

L'administrateur sélectionne au travers de l’interface Web les correctifs qu’il désire et les télécharge sous la forme d'un seul fichier sur son système afin de les installer.

Ce service nécessite une grande interaction avec l'administrateur du système et peut s'avérer fastidieux à utiliser dans le cadre de plates-formes nécessitant des mises à jour régulières.

Par contre, il peut s'avérer intéressant lors de l'installation d'un nouveau système, car il permet la mise à jour de la plate-forme en une seule opération.

Cependant, dans tous les cas, la tâche principale restera l'installation manuelle des correctifs.

Service semi-manuel ("PatchPro Expert") :

Ce service fait appel à une applet Java signée qui est téléchargée, via un navigateur web, sur le système à mettre à jour. Cette dernière fait alors un état des lieux du système (via une connexion Internet sur la base des correctifs de Sun) et propose une liste des correctifs signalés comme manquants. L'administrateur aura alors à choisir les correctifs qu'il désire installer et l'applet permettra le téléchargement sur le système de ces correctifs (sous la forme d'un seul fichier).

Il restera à l'administrateur la phase d'installation manuelle des correctifs.

Ce service peut permettre de maintenir à jour des systèmes ayant des contraintes d'exploitation relativement importantes (en laissant les phases de choix et d'installation à l'administrateur), en proposant une liste de correctifs personnalisée en fonction de la plate-forme à mettre à jour.

Service automatique ("Patch Manager Base and PatchPro") :

Le dernier service proposé par "PatchPro" est un outil en ligne de commande qui permet de maintenir un système Solaris à jour de manière totalement transparente et automatique pour l'administrateur.

Cet outil utilise des connexions HTTPS pour interroger les bases de correctifs de Sun. Il télécharge et installe ensuite automatiquement les correctifs nécessaires.

La principale tâche de l'administrateur est de configurer correctement la politique de mise à jour à travers l'outil en ligne de commande "pprosetup". Cet outil permet de paramétrer :

  • la périodicité des mises à jour (tous les jours, mois, …),
  • le type de correctifs à télécharger (tous les correctifs, correctifs recommandés par Sun),
  • le type d'actions à réaliser avant et après l'installation des correctifs (action administrative avant l'installation, redémarrage du système après l'installation, …),
  • le type de journalisation (e-mail vers l'administrateur, journaux système, …),

Ce service permet ainsi une protection rapide et efficace des systèmes Solaris et ne demande pas, hormis la phase d'initialisation, une grande interaction avec l'administrateur du système.

Nota : Etant donné que ces services font appel à des procédures automatiques se connectant sur Internet, il est fortement conseillé, avant d’utiliser ce genre de solution, d’en étudier les risques induits au niveau de la sécurité des plates-formes.

Pour plus d'information : http://patchpro.sun.com/