Як оновити apache2 до останньої версії на Debian jessie?


16

У моїй машині Debian поточна версія apache2 становить 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Я хотів би оновити apache до найновішої версії (принаймні 2.4.26): Я спробував:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Але оновлення не знаходить. Що я можу зробити, щоб оновити до останньої версії?

enter image description here


Яку версію Debian ви використовуєте?
січня

1
Чому ви хочете оновити?
Стівен Кітт

1
@wawanopoulos: Джессі все ще підтримується, тому слід очікувати появи патчів безпеки або опор, навіть якщо номер версії відрізняється від поточного.
Кевін

1
Нічого не можна виправити.
Стівен Кітт

1
Вони зафіксовані в пакеті Debian. Звіт Tenable заснований виключно на номерах версій, які, на жаль, не працюють з багатьма пакетами дистрибуції.
Стівен Кітт

Відповіді:


32

Не оновлюйте Apache вручну.

Оновлення вручну для безпеки не є зайвим і, ймовірно, шкідливим.

Як Debian випускає програмне забезпечення

Щоб зрозуміти, чому це, ви повинні зрозуміти, як Debian вирішує проблеми з упаковкою, версіями та безпекою. Оскільки Debian цінує стабільність щодо змін, політика полягає в тому, щоб заморозити версії програмного забезпечення в пакетах стабільного випуску. Це означає, що для стабільного випуску дуже мало змінюється, і коли речі працюватимуть, вони повинні працювати тривалий час.

Але що робити, якщо після випуску стабільної версії Debian буде виявлена ​​серйозна помилка чи проблема безпеки? Вони виправлені у версії програмного забезпечення, що надається з стабільним Debian . Отже, якщо стабільні Debian поставляються з Apache 2.4.10, проблема безпеки знайдена та виправлена 2.4.26, Debian візьме це виправлення безпеки та застосує його до 2.4.10та розповсюдить виправлене 2.4.10серед своїх користувачів. Це мінімізує перебої з оновленням версій, але робить нюхання версій, таких як Tenable, безглуздо.

Серйозні помилки збираються та фіксуються у точкових випусках ( .9у Debian 8.9) кожні кілька місяців. Виправлення безпеки виправляються негайно та надаються через канал оновлення.

Загалом, доки ви підтримуєте підтримувану версію Debian, дотримуйтесь пакетів пакунків Debian і будьте в курсі оновлень їх безпеки, ви повинні бути хорошими.

Ваш звіт про викрадення

Щоб перевірити, чи стабільна Debian вразлива для ваших проблем, "2.4.x <2.4.27 декілька питань" Tenable марно. Ми повинні точно знати, про які питання безпеки вони говорять. На щастя, кожній значній вразливості присвоюється ідентифікатор загальної вразливості та експозиції (CVE), тому ми можемо легко говорити про конкретні вразливості.

Наприклад, на цій сторінці випуску Tenable 101788 ми бачимо, що в цьому питанні йдеться про вразливості CVE-2017-9788 та CVE-2017-9789. Ми можемо шукати ці вразливості на трекері безпеки Debian . Якщо ми це зробимо, ми можемо побачити, що CVE-2017-9788 має статус "фіксований" у версії чи раніше 2.4.10-10+deb8u11. Аналогічно фіксується CVE-2017-9789 .

Випускний випуск 10095 стосується CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 та CVE-2017-7679 , все виправлено.

Тож якщо ви перебуваєте на версії 2.4.10-10+deb8u11, ви повинні бути в безпеці від усіх цих вразливих місць! Ви можете перевірити це за допомогою dpkg -l apache2(переконайтеся, що термінал достатньо широкий, щоб показати повний номер версії).

Будьте в курсі

Отже, як Ви можете бути в курсі цих оновлень безпеки?

По-перше, вам потрібно мати сховище безпеки у вашому /etc/apt/sources.listабо /etc/apt/sources.list.d/*, щось подібне:

deb http://security.debian.org/ jessie/updates main

Це нормальна частина будь-якої установки, вам не потрібно було робити нічого особливого.

Далі ви повинні переконатися, що ви встановлюєте оновлені пакети. Це ваша відповідальність; це не робиться автоматично. Простий, але виснажливий спосіб - регулярно входити в систему і працювати

# apt-get update
# apt-get upgrade

Судячи з того, що ви повідомляєте про свою версію Debian як 8,8 (ми - в 8,9), так і повідомлення ... and 48 not upgraded.від своєї публікації, можливо, ви захочете це зробити найближчим часом.

Щоб отримувати повідомлення про оновлення безпеки, я настійно рекомендую підписатися на розсилку розсилки повідомлень безпеки Debian .

Інший варіант - забезпечити, щоб ваш сервер міг надсилати вам електронні листи, а також встановити такий пакет, як apticron , який надсилатиме вам електронні листи, коли пакунки у вашій системі потребують оновлення. В основному, вона регулярно виконує apt-get updateчастину і змушує вас виконувати apt-get upgradeчастину.

Нарешті, ви можете встановити щось на зразок оновлених оновлень , яке не лише перевіряє наявність оновлень, але автоматично встановлює оновлення без втручання людини. Оновлення пакетів автоматично без нагляду людини несе певний ризик, тому вам потрібно вирішити для себе, чи це для вас хороше рішення. Я ним користуюся, і я задоволений цим, але застереження оновлення.

Чому модернізувати себе шкідливо

У своєму другому реченні я сказав, що оновлення до останньої версії Apache, ймовірно, шкідливо .

Причина цього проста: якщо ви слідуєте за версією Apache Debian і звикли встановлювати оновлення безпеки, ви знаходитесь в хорошій позиції, безпечної. Команда з безпеки Debians визначає та виправляє проблеми із безпекою, і ви можете насолоджуватися цією роботою з мінімальними зусиллями.

Якщо ви встановите Apache 2.4.27+, скажімо, завантаживши його з веб-сайту Apache і склавши його самостійно, то робота з вирішенням проблем безпеки повністю за вами. Потрібно відстежувати проблеми безпеки та проходити роботу з завантаження / компіляції / тощо щоразу, коли буде виявлена ​​проблема.

Виявляється, це досить велика робота, і більшість людей розхитуються. Таким чином вони закінчують запускати свою самостійно складену версію Apache, яка стає все більш вразливою у міру виявлення проблем. І тому вони закінчуються набагато гірше, ніж якби вони просто дотримувались оновлень безпеки Debian. Так що так, напевно, шкідливо.

Це не означає, що немає місця для самостійного складання програмного забезпечення (або вибіркового взяття пакунків з тестування Debian чи нестабільності), але взагалі я рекомендую проти цього.

Тривалість оновлень безпеки

Debian не підтримує свої випуски назавжди. Як правило, випуск Debian отримує повну підтримку безпеки протягом року після того, як він був застарілий новою версією.

Випуск, який ви працюєте, Debian 8 / jessie, є застарілим стабільним випуском ( oldstableз точки зору Debian). Він отримає повну підтримку безпеки до травня 2018 року , а довгострокову підтримку - до квітня 2020 року. Я не зовсім впевнений, якою є ця підтримка LTS.

Поточний стабільний випуск Debian - Debian 9 / stretch. Розгляньте можливість модернізації до Debian 9 , яка постачається з новішими версіями всього програмного забезпечення та повною підтримкою безпеки протягом декількох років (можливо, до середини 2020 року). Я рекомендую оновити в зручний для вас час, але задовго до травня 2018 року.

Заключними зауваженнями

Раніше я писав, що Debian підтримує виправлення безпеки. Це в кінцевому підсумку стало непереборним для деяких програмних засобів через високий темп розробки та високий рівень проблем безпеки. Ці пакети є винятком і фактично оновлені до недавньої версії. Пакети, які я знаю про це, стосуються: chromium(браузера) firefox, та nodejs.

Нарешті, весь цей спосіб роботи з оновленнями безпеки не властивий лише Debian; багато дистрибутивів працюють так, особливо ті, що сприяють стабільності щодо нового програмного забезпечення.


Я чую моменти, які ви тут робите, але вони будуть набагато помітнішими, якщо порівнювати Stretch (стабільний) з Sid (нестабільний). Stretch все одно привертає більшу увагу і ті ж правила застосовуються і до оновлень безпеки. Передусім причиною старого існування є підтримка спадщини для всіх тих лінивих систем-адмінів або лише тих, хто не має оновлених внутрішніх програмних залежностей. Чи можете ви продемонструвати помітну різницю в безпеці, використовуючи стабільний проти старого стабільного?
jdwolf

@jdwolf Наскільки я знаю, якщо підтримка oldstable підтримується, вона отримує стільки ж підтримки безпеки, скільки стабільної. Я керую декількома десятками машин Debian, в даний час це поєднання джессі та стрейч, і я читаю всі DSA, які стосуються мене. Я ніколи не помічав картини старого, що не отримує достатньої уваги. Якщо ви коли-небудь читаєте DSA, ви можете побачити, що вони, як правило, перераховують фіксовану версію як стабільної, так і старої стабільної (як правило, разом з інформацією про тестування та нестабільну) в одному оголошенні.
marcelm

Я розумію, що але ваш пост створює враження, що оновлення від старого до стабільного - це погана річ.
jdwolf

@jdwolf Це зовсім не мій намір! Насправді, я рекомендую стабільний над старим (припустимо, що ситуація це дозволяє). З якої частини ви справляєте таке враження? Я трохи відредагував свій пост; сподіваюсь, це зрозуміліше, зараз я не прихильник старого за стабільне.
marcelm

6

Debian Jessie все ще підтримується, а виправлення безпеки, що надаються в новіших версіях, було підтримано до пакету, доступного в Jessie (2.4.10-10 + deb8u11, що означає, що з моменту виходу Jessie було 11 оновлень). Усі відомі, виправлені вразливості в Apache зафіксовані в пакеті Джессі ; доки ви постійно оновлюватимете свою установку, ви повинні бути в безпеці. Майбутні вразливості будуть продовжуватись виправлятись у Джессі, поки вона залишається підтримуваною.

Навряд чи новіша версія коли-небудь буде підтримуватися Джессі. Як зазначено вище, ви безпечні, якщо будете залишатися на Джессі, якщо це підтримується; якщо вам потрібні нові функції, недоступні в версії 2.4.10, вам потрібно буде оновити до Debian 9.


3

Ви використовуєте Debian Jessie, яка є старою стабільною версією Debian. Остання версія Apache в Джессі - 2.4.10.

Отже, у вас є два варіанти, запустіть apt dist-upgrade та перейдіть на Debian Stretch або можете дочекатися, коли він буде доступний у спинах.


А що ми з апаш-версією в debian stretch?
wawanopoulos

@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak

3

В коментарях ОП зазначила:

  • Вони на Debian Jessie.
  • Вони хочуть оновити Apache для вирішення проблеми безпеки.

Debian Jessie - це поточний старий реліз (станом на 2017-11-12). Він повинен отримувати регулярні оновлення безпеки від команди безпеки Debian. Відповідно до поширених запитань щодо безпеки Debian :

Група безпеки намагається підтримувати стабільний дистрибутив приблизно протягом року після виходу наступного стабільного дистрибутива, за винятком випадків, коли протягом цього року буде випущено інший стабільний дистрибутив. Не можна підтримувати три дистрибуції; підтримати двох одночасно вже досить складно.

Нинішній стабільний Debian - це Stretch, який був випущений 2017-06-17 . Тому ми очікуємо, що група безпеки підтримає Джессі приблизно до середини 2018 року. Після закінчення цього періоду це буде в LTS до кінця квітня 2020 року.

Суть: система ОП досі підтримується. ОП може продовжувати оновлення apache2пакету як звичайне. Якщо вони вже не мають оновлення безпеки, вони отримають його, як тільки вони будуть підтримані та випущені. Номери версій можуть не збігатися, але це не означає, що система небезпечна.

Згідно з цим листом , у вересні Debian підтримав виправлення на CVE-2017-9798 в Джессі. Якщо це стосується вразливості ОП (а репортаж jessie-безпеки є у їхньому файлі source.list, як і належить), то він уже має бути виправлений у їхній системі (і вони можуть підтвердити це, запустивши apt show apache2та перевіривши, що версія є 2.4.10-10+deb8u11). Якщо ні, то вони повинні помістити номер CVE у поле пошуку на трекері безпеки Debian і подивитися, що з'являється. Він повинен створити сторінку, яка описує стан вразливості в різних версіях Debian; ОП буде шукати лінію "Джессі (безпека)".


1

Apache2 (2.4.10-10) остання версія встановлена зі сховищ в Debian з допомогою aptкоманди, коли нова версія доступна вона буде оновлена автоматично через apt.

на жаль apache2, недоступний для джессі.

Ви можете встановити останню версію, доступну на веб-сайті apache , склавши:

Складання та встановлення


Це погана порада; якщо ОП збирає власний Apache, їм це потрібно буде робити після кожного виявленого питання безпеки. Набагато краще залишатися з підтримуваною версією дистрибутива, який вони працюють.
marcelm

1

Ви можете переглянути доступну версію у вашому сховищі за допомогою:

root@server 20:54:59:~# apt-cache policy apache2
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.