============================================== CVE CHECK - Guide analyse vulnérabilité et CVE ============================================== .. contents:: :depth: 2 :local: :backlinks: top **Procédure rapide : Gestion des mises à jour de sécurité** ----------------------------------------------------------- Cette section présente des commandes rapides pour gérer les mises à jour de sécurité sur les systèmes basés sur **YUM** et **APT**. Chaque commande est d'abord présentée avec une chaîne de texte à modifier pour l'adapter à vos besoins, suivie d'un exemple concret. **YUM (CentOS/RHEL)** ~~~~~~~~~~~~~~~~~~~~~ 1. **Vérifier les mises à jour de sécurité disponibles :** .. code-block:: bash yum updateinfo info security 2. **Appliquer une mise à jour spécifique à un CVE :** .. code-block:: bash yum update --cve Exemple concret : .. code-block:: bash yum update --cve CVE-2023-20867 3. **Lister les vulnérabilités CVE :** .. code-block:: bash yum updateinfo list cves 4. **Appliquer toutes les mises à jour de sécurité :** .. code-block:: bash yum --security update -y **APT (Debian/Ubuntu)** ~~~~~~~~~~~~~~~~~~~~~~~ 1. **Afficher les changelogs des paquets pour un CVE spécifique :** .. code-block:: bash apt-get changelog | grep Exemple concret : .. code-block:: bash apt-get changelog open-vm-tools | grep CVE-2023-20867 2. **Appliquer uniquement les mises à jour de sécurité minimales :** .. code-block:: bash unattended-upgrades --minimal-only Vulnérabilités et mises à jour de sécurit ----------------------------------------- Ce guide présente les commandes clés pour vérifier et appliquer les mises à jour de sécurité, avec un exemple basé sur la vulnérabilité **CVE-2023-20867** dans le paquet `open-vm-tools`. Les commandes sont présentées avec une chaîne à remplacer, suivie d'un exemple concret. **Vérification de la vulnérabilité dans open-vm-tools** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour vérifier si le paquet `open-vm-tools` est concerné par une vulnérabilité donnée : .. code-block:: bash rpm -q --changelog | grep Exemple concret : .. code-block:: bash rpm -q --changelog open-vm-tools | grep CVE-2023-20867 **Vérification des mises à jour de sécurité disponibles** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour lister les mises à jour de sécurité disponibles : .. code-block:: bash yum updateinfo info security Exemple concret : .. code-block:: =========================================================================== Low: open-vm-tools security update =========================================================================== ID de mise à jour: ALSA-2023:3949 CVE: CVE-2023-20867 Description: Mise à jour de sécurité pour open-vm-tools. **Appliquer une mise à jour spécifique liée à un CVE** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour appliquer une mise à jour spécifique en fonction d'une vulnérabilité CVE : .. code-block:: bash yum update --cve Exemple concret : .. code-block:: bash yum update --cve CVE-2023-20867 **Lister toutes les vulnérabilités CVE connues sur le système** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour lister toutes les vulnérabilités CVE en attente de correction sur le système : .. code-block:: bash yum updateinfo list cves Exemple concret : .. code-block:: RHSA-2023:4102 Sécurité/Niveau important. bind-libs-32:9.11.36-8.el8_8.1.x86_64 CVE-2023-2828 Sécurité/Niveau important. bind-libs-32:9.11.36-8.el8_8.1.x86_64 **Appliquer toutes les mises à jour de sécurité** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour appliquer toutes les mises à jour de sécurité disponibles : .. code-block:: bash yum --security update -y Exemple concret : .. code-block:: bash yum --security update -y **Vérifier les mises à jour sur Debian** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour vérifier les changelogs des paquets concernant les CVE : .. code-block:: bash apt-get changelog | grep Exemple concret : .. code-block:: bash apt-get changelog open-vm-tools | grep CVE-2023-20867 Pour appliquer uniquement les mises à jour de sécurité minimales : .. code-block:: bash unattended-upgrades --minimal-only Exemple concret : .. code-block:: bash unattended-upgrades --minimal-only **Meta** -------------- Auteur : Cbillet Date : 03/11/2024