Apache2'yi Debian jessie'deki en son sürüme nasıl güncelleyebilirim?


16

Debian makinemde mevcut apache2 sürümü 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Apache'yi en son sürüme (en az 2.4.26) yükseltmek istiyorum: Denedim:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Ancak herhangi bir güncelleme bulamıyor. En son sürüme geçmek için ne yapabilirim?

resim açıklamasını buraya girin


Hangi Debian sürümünü kullanıyorsunuz?
Jan

1
Neden yeni sürüme geçmek istiyorsunuz?
Stephen Kitt

1
@wawanopoulos: Jessie hala desteklenmektedir, bu nedenle sürüm numarası yukarı akıştan farklı olsa bile güvenlik yamalarının veya backport'ların görünmesini beklemelisiniz.
Kevin

1
Düzeltecek bir şey yok.
Stephen Kitt

1
Debian paketinde sabitlenirler. Tenable raporu yalnızca maalesef birçok dağıtım paketiyle çalışmayan sürüm numaralarına dayanmaktadır.
Stephen Kitt

Yanıtlar:


32

Apache'yi manuel olarak yükseltmeyin.

Güvenlik için manuel yükseltme gerekli değildir ve muhtemelen zararlıdır.

Debian yazılımı nasıl serbest bırakır?

Bunun nedenini görmek için Debian'ın paketleme, sürümler ve güvenlik sorunlarıyla nasıl başa çıktığını anlamanız gerekir. Debian, değişimlere göre istikrara değer verdiğinden, ilke, kararlı bir sürümün paketlerindeki yazılım sürümlerini dondurmaktır. Bu, kararlı bir sürüm için çok az değişiklik olduğu ve işler çalıştıktan sonra uzun süre çalışmaya devam etmesi gerektiği anlamına gelir.

Ancak, Debian kararlı bir sürümünün yayınlanmasından sonra ciddi bir hata veya güvenlik sorunu tespit edilirse ne olur? Bunlar, Debian kararlı ile sağlanan yazılım sürümünde düzeltildi . Debian istikrarlı Apache ile gönderilirse 2.4.10, bir güvenlik sorunu bulunur ve giderilirse 2.4.26, Debian bu güvenlik düzeltmesini alır ve düzeltmeyi kullanıcılara uygular 2.4.10ve dağıtır 2.4.10. Bu, sürüm yükseltmelerinden kaynaklanan aksaklıkları en aza indirir, ancak Tenable gibi sürüm kokusunu anlamsız hale getirir.

Ciddi hatalar her birkaç ayda bir nokta sürümlerinde ( .9Debian'da 8.9) toplanır ve sabitlenir . Güvenlik düzeltmeleri derhal giderilir ve bir güncelleme kanalı aracılığıyla sağlanır.

Genel olarak, desteklenen bir Debian sürümünü çalıştırdığınız, Debian paketlerini stokladığınız ve güvenlik güncellemelerinden haberdar olduğunuz sürece iyi olmanız gerekir.

Kiralanabilir raporunuz

Debian istikrarının sorunlarınız için savunmasız olup olmadığını kontrol etmek için Tenable'ın "2.4.x <2.4.27 çoklu sorunu" işe yaramaz. Hangi güvenlik sorunlarından bahsettiklerini tam olarak bilmeliyiz. Neyse ki, her önemli güvenlik açığına Ortak Güvenlik Açığı ve Etkilenmeler (CVE) tanımlayıcısı atanır , böylece belirli güvenlik açıkları hakkında kolayca konuşabiliriz.

Örneğin, 101788 tarihli Tenable sorunu için bu sayfada , bu sorunun CVE-2017-9788 ve CVE-2017-9789 güvenlik açıkları ile ilgili olduğunu görebiliriz. Bu güvenlik açıklarını Debian güvenlik izleyicide arayabiliriz . Bunu yaparsak, CVE-2017-9788'in sürümde veya öncesinde "sabit" durumuna sahip olduğunu görebiliriz 2.4.10-10+deb8u11. Benzer şekilde, CVE-2017-9789 sabittir .

Savunulabilir konu 10095 hakkındadır CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 , ve CVE-2017-7679 , tüm sabit.

Yani 2.4.10-10+deb8u11sürümdeyseniz, tüm bu güvenlik açıklarından korunmalısınız! Bunu ile kontrol edebilirsiniz dpkg -l apache2(terminalinizin tam sürüm numarasını gösterecek kadar geniş olduğundan emin olun).

Güncel kalmak

Peki, bu güvenlik güncellemelerinden haberdar olmanızı nasıl sağlarsınız?

İlk olarak, güvenlik havuzunuzun sizin /etc/apt/sources.listveya /etc/apt/sources.list.d/*bunun gibi bir şeye sahip olması gerekir :

deb http://security.debian.org/ jessie/updates main

Bu, herhangi bir kurulumun normal bir parçasıdır, özel bir şey yapmanıza gerek yoktur.

Ardından, güncellenmiş paketleri yüklediğinizden emin olmalısınız. Bu sizin sorumluluğunuzdadır; otomatik olarak yapılmaz. Basit ama sıkıcı bir yol düzenli olarak oturum açmak ve çalıştırmaktır

# apt-get update
# apt-get upgrade

Debian sürümünüzü 8.8 olarak bildirdik (8.9'dayız) ve ... and 48 not upgraded.gönderinizden yola çıkarak, bunu yakında yapmak isteyebilirsiniz.

Güvenlik güncellemelerinden haberdar olmak için, Debian güvenlik duyuruları posta listesine abone olmayı önemle tavsiye ederim .

Başka bir seçenek, sunucunuzun size e-posta göndermesini ve sisteminizdeki paketlerin güncellenmesi gerektiğinde size e-posta gönderen apticron gibi bir paket yüklemektir . Temel olarak, apt-get updateparçayı düzenli olarak çalıştırır ve parçayı yapmak için sizi rahatsız eder apt-get upgrade.

Son olarak, yalnızca güncellemeleri kontrol etmekle kalmaz, aynı zamanda güncellemeleri insan müdahalesi olmadan otomatik olarak yükleyen katılımsız yükseltmeler gibi bir şey yükleyebilirsiniz . İnsan gözetimi olmadan paketleri otomatik olarak yükseltmek bazı riskler taşır, bu nedenle bunun sizin için iyi bir çözüm olup olmadığına karar vermeniz gerekir. Ben kullanıyorum ve bundan memnunum, ancak uyarı güncelleyici.

Kendinizi yükseltmek neden zararlıdır

İkinci cümlemde, en son Apache sürümüne yükseltmenin muhtemelen zararlı olduğunu söyledim .

Bunun nedeni basit: Debian'ın Apache sürümünü takip ederseniz ve güvenlik güncellemelerini yüklemeyi alışkanlık haline getirirseniz, güvenlik açısından iyi bir konumdasınız demektir. Debians güvenlik ekibi güvenlik sorunlarını belirler ve düzeltir ve bu işten en az çabayla keyif alabilirsiniz.

Bununla birlikte, Apache 2.4.27+ sürümünü yüklerseniz, örneğin Apache web sitesinden indirip kendiniz derleyerek, güvenlik sorunlarına ayak uydurma işi tamamen size aittir. Güvenlik sorunlarını izlemeniz ve her sorun bulunduğunda indirme / derleme / vb.

Bu oldukça adil bir iş olduğu ortaya çıkıyor ve çoğu insan gevşiyor. Böylece, Apache'nin kendi kendine derlenmiş sürümlerini, sorunlar bulundukça gittikçe daha savunmasız hale gelecek şekilde çalıştırıyorlar. Ve böylece Debian'ın güvenlik güncellemelerini takip etmelerinden çok daha kötü durumdalar. Yani evet, muhtemelen zararlı.

Bu, yazılımı kendiniz derlemek için bir yer olmadığı anlamına gelmez (veya Debian testinden veya kararsızdan paketleri seçerek alır), ancak genel olarak, buna karşı öneriyorum.

Güvenlik güncelleştirmelerinin süresi

Debian yayınlarını sonsuza kadar sürdürmez. Genel bir kural olarak, bir Debian sürümü daha yeni bir sürümün kullanımdan kaldırılmasından sonra bir yıl boyunca tam güvenlik desteği alır.

Çalıştırdığınız sürüm Debian 8 / jessie, eski ve kararlı bir sürümdür ( oldstableDebian terimleriyle). Mayıs 2018'e kadar tam güvenlik desteği ve Nisan 2020'ye kadar uzun vadeli destek alacak. Bu LTS desteğinin ne kadar olduğundan tam olarak emin değilim.

Mevcut Debian kararlı sürümü Debian 9 / stretch. Tüm yazılımların daha yeni sürümleri ve birkaç yıl boyunca (2020'nin ortalarına kadar) tam güvenlik desteği ile birlikte gelen Debian 9'a yükseltmeyi düşünün . Sizin için uygun bir zamanda, ancak Mayıs 2018'den önce yükseltmenizi öneririm.

Kapanış konuşması

Daha önce, Debian'ın güvenlik düzeltmelerini geri yüklediğini yazdım. Bu durum , yüksek geliştirme hızı ve yüksek güvenlik sorunları nedeniyle bazı yazılımlar için savunulamaz hale geldi . Bu paketler istisnadır ve gerçekte son bir yukarı akış sürümüne güncellenmiştir. Bunun bildiğim paketler chromium(tarayıcı) firefox, ve için geçerlidir nodejs.

Son olarak, güvenlik güncelleştirmeleriyle başa çıkmanın tüm yolu Debian'a özgü değildir; birçok dağıtım bu şekilde çalışır, özellikle yeni yazılımlara göre istikrarı destekleyen dağıtımlar.


Burada bahsettiğiniz noktaları duyuyorum ama Streç (kararlı) ile Sid (kararsız) karşılaştırılırsa çok daha dikkat çekici olurlar. Streç, dikkatlerin çoğunu yine de alır ve aynı kurallar güvenlik güncellemeleri için de geçerlidir. Öncelikle oldstable'ın nedeni, tüm bu tembel sistem yöneticileri veya yalnızca güncellenmemiş dahili yazılım bağımlılığı olan kişiler için eski destektir. Stabil ve eski ahır kullanarak güvenlik konusunda kayda değer bir fark gösterebilir misiniz?
jdwolf

@jdwolf Bildiğim kadarıyla, oldstable desteklendiği sürece, kararlı olduğu kadar güvenlik desteği alıyor. Şu anda jessie ve streç karışımı olan birkaç düzine Debian makinesini yönetiyorum ve benim için geçerli olan tüm DSA'ları okudum. Yeterince dikkat çekmeyen eski bir modelin farkına varamadım. DSA'ları daha önce okuduysanız, aynı duyuruda sabit ve eski sürüm için sabit sürümü (genellikle test ve kararsız bilgilerle birlikte) listeleme eğiliminde olduklarını görebilirsiniz.
marcelm

Anlıyorum ama yayınınız eskiden istikrarlıya güncelleme izlenimini veriyor kötü bir şey.
jdwolf

@jdwolf Bu benim niyetim değil! Aslında, eskisinin üzerinde durağanlığı öneriyorum (durumun izin verdiği varsayılarak). Bu izlenimi hangi kısımdan alıyorsunuz? Yazımı biraz düzenledim; umarım şimdi daha açıktır. Oldstable'ı stabilden daha fazla savunmuyorum.
marcelm

6

Debian Jessie hala desteklenmektedir ve daha yeni sürümlerde sağlanan güvenlik düzeltmeleri Jessie'deki pakete (2.4.10-10 + deb8u11, yani Jessie'nin piyasaya sürülmesinden bu yana 11 güncelleme olduğu) desteklenmektedir. Apache'deki bilinen tüm düzeltilebilir güvenlik açıkları Jessie paketinde giderilmiştir ; kurulumunuzu güncel tuttuğunuz sürece güvende olmalısınız. Gelecekteki güvenlik açıkları, desteklendiği sürece Jessie'de düzeltilmeye devam edecektir.

Daha yeni bir versiyonun Jessie'ye geri bildirilmesi pek olası değildir. Yukarıda belirtildiği gibi, desteklendiği sürece Jessie üzerinde kalırsanız güvende olursunuz; 2.4.10 sürümünde olmayan daha yeni özelliklere ihtiyacınız varsa Debian 9 sürümüne geçmeniz gerekir.


3

Debian'ın eski kararlı versiyonu olan Debian Jessie kullanıyorsunuz. Apache'nin Jessie'deki en son sürümü 2.4.10'dur.

Yani iki seçeneğiniz var, apt dist-upgrade komutunu çalıştırın ve Debian Stretch'e geçin ya da backport'larda kullanılabilir olmasını bekleyebilirsiniz.


Ve biz debian streç apache sürümü ne?
wawanopoulos

@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak

3

OP yorumlarda şunları söyledi:

  • Debian Jessie'de.
  • Bir güvenlik sorunuyla başa çıkmak için Apache'yi yükseltmek istiyorlar.

Debian Jessie şu anki eski sürümdür (2017-11-12 itibariyle). Debian güvenlik ekibinden düzenli olarak güvenlik güncellemeleri alması gerekir. Başına Debian Güvenlik SSS :

Güvenlik ekibi, bu yıl içinde başka bir istikrarlı dağıtımın yayınlanması haricinde, bir sonraki istikrarlı dağıtımın yayınlanmasından yaklaşık bir yıl sonra istikrarlı bir dağıtımı desteklemeye çalışır. Üç dağıtımı desteklemek mümkün değildir; ikisini aynı anda desteklemek zaten yeterince zor.

Mevcut Debian ahır, 2017-06-17'de piyasaya sürülen Streç'tir . Bu nedenle, güvenlik ekibinin 2018'in ortasına kadar Jessie'yi desteklemesini bekliyoruz. O zamandan sonra, LTS'de olacak Nisan 2020 sonuna kadar.

Sonuç olarak: OP'nin sistemi hala destek altında. OP, apache2paketi normal şekilde yükseltmeye devam edebilir . Güvenlik güncelleştirmesi henüz yoksa, desteklendiği ve yayımlandığı anda bunları alacaklardır. Sürüm numaraları eşleşmeyebilir ancak bu, sistemin güvenli olmadığı anlamına gelmez.

Bu e-postaya göre , Eylül ayında Debian, CVE-2017-9798'i Jessie'ye düzeltti . Bu OP'nin endişe duyduğu güvenlik açığıysa (ve jessie-security repo olması gerektiği gibi kendi sources.list dosyasındaysa), zaten sistemlerinde düzeltilmelidir (ve bunu çalıştırarak apt show apache2ve kontrol ederek onaylayabilirler) sürümü 2.4.10-10+deb8u11). Değilse, CVE numarasını Debian güvenliğinin izleyicisindeki arama kutusuna koymalı ve ne olduğunu görmelidir . Debian'ın çeşitli sürümlerindeki güvenlik açığının durumunu açıklayan bir sayfa üretmelidir; OP "jessie (güvenlik)" hattını arayacak.


1

Apache2 (2.4.10-10) aracılığıyla Debian deposundan yüklenen son sürümüdür aptyeni sürüm çıktığında komutu, bu aracılığıyla otomatik olarak yükseltilecektir apt.

ne yazık ki apache2jessie bacports'ta mevcut değil.

Apache wesite'ta mevcut olan en son sürümü derleyerek kurabilirsiniz :

Derleme ve Kurulum


Bu kötü bir tavsiye; OP kendi Apache'lerini derlerse, bunu keşfedilen her güvenlik sorunundan sonra yapmaları gerekir. Çalıştırdıkları dağıtımın desteklenen sürümüyle kalmak daha iyidir.
marcelm

1

Deponuzdaki uygun sürümü aşağıdakilerle görüntüleyebilirsiniz:

root@server 20:54:59:~# apt-cache policy apache2
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.