Come aggiorno apache2 all'ultima versione su Debian jessie?

16

Nella mia macchina Debian, la versione corrente di apache2 è 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Vorrei aggiornare apache a una versione più recente (almeno 2.4.26): ho provato: 

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Ma non trova alcun aggiornamento. Cosa posso fare per eseguire l'aggiornamento a una versione più recente?

inserisci qui la descrizione dell'immagine

debian  apache-httpd 
wawanopoulos
fonte
Quale versione di Debian usi?
Jan
1
Perché vuoi aggiornare?
Stephen Kitt,
1
@wawanopoulos: Jessie è ancora supportata, quindi dovresti aspettarti che vengano visualizzate patch di sicurezza o backport anche se il numero di versione differisce da quello a monte.
Kevin,
1
Non c'è niente da risolvere.
Stephen Kitt,
1
Sono corretti nel pacchetto Debian. Il rapporto Tenable si basa esclusivamente sui numeri di versione, che purtroppo non funziona con molti pacchetti di distribuzione.
Stephen Kitt,

Risposte:

32

Non aggiornare manualmente Apache.

L'aggiornamento manuale per la sicurezza non è necessario e probabilmente è dannoso.

Come Debian rilascia software

Per capire perché, è necessario capire come Debian gestisce i pacchetti, le versioni e i problemi di sicurezza. Poiché Debian apprezza la stabilità rispetto alle modifiche, la politica è quella di congelare le versioni del software nei pacchetti di una versione stabile. Ciò significa che per un rilascio stabile pochissimi cambiamenti e una volta che le cose funzionano dovrebbero continuare a funzionare per molto tempo.

Ma cosa succede se viene scoperto un grave bug o un problema di sicurezza dopo il rilascio di una versione stabile di Debian? Questi sono fissi, nella versione del software fornita con Debian stable . Quindi, se la scuderia Debian viene fornita con Apache 2.4.10, viene rilevato e risolto un problema di sicurezza 2.4.26, Debian prenderà questa correzione di sicurezza, la applicherà 2.4.10e distribuirà la correzione 2.4.10ai suoi utenti. Ciò riduce al minimo le interruzioni degli aggiornamenti di versione, ma rende insensato lo sniffing di versione come Tenable.

Alcuni bug gravi vengono raccolti e corretti in rilasci puntuali ( .9in Debian 8.9) ogni pochi mesi. Le correzioni di sicurezza vengono riparate immediatamente e fornite attraverso un canale di aggiornamento.

In generale, fintanto che esegui una versione Debian supportata, mantieni i pacchetti Debian disponibili e tieniti aggiornato sui loro aggiornamenti di sicurezza, dovresti essere bravo.

La tua relazione tenibile

Per verificare se Debian stable è vulnerabile ai tuoi problemi, la "2.4.x <2.4.27 problemi multipli" di Tenable è inutile. Dobbiamo sapere esattamente di quali problemi di sicurezza stanno parlando. Fortunatamente, a ogni vulnerabilità significativa viene assegnato un identificatore di vulnerabilità ed esposizioni comuni (CVE), in modo da poter parlare facilmente di vulnerabilità specifiche.

Ad esempio, in questa pagina per il numero Tenable 101788 possiamo vedere che quel problema riguarda le vulnerabilità CVE-2017-9788 e CVE-2017-9789. Possiamo cercare queste vulnerabilità sul tracker di sicurezza Debian . Se lo facciamo, possiamo vedere che CVE-2017-9788 ha lo stato "riparato" nella versione precedente o precedente 2.4.10-10+deb8u11. Allo stesso modo, CVE-2017-9789 è stato risolto .

Il problema principale 10095 riguarda CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 e CVE-2017-7679 , tutti risolti.

Quindi, se sei in versione 2.4.10-10+deb8u11, dovresti essere al sicuro da tutte queste vulnerabilità! Puoi verificarlo con dpkg -l apache2(assicurati che il tuo terminale sia abbastanza largo da mostrare il numero di versione completo).

Rimanere aggiornati

Quindi, come ti assicuri di essere aggiornato con questi aggiornamenti di sicurezza?

Innanzitutto, devi avere il repository di sicurezza nel tuo /etc/apt/sources.listo /etc/apt/sources.list.d/*, qualcosa del genere:

deb http://security.debian.org/ jessie/updates main

Questa è una parte normale di qualsiasi installazione, non dovresti fare nulla di speciale.

Successivamente, è necessario assicurarsi di installare i pacchetti aggiornati. Questa è la tua responsabilità; non è fatto automaticamente. Un modo semplice ma noioso è quello di accedere regolarmente ed eseguire

# apt-get update
# apt-get upgrade

A giudicare dal fatto che hai segnalato la tua versione di Debian come 8.8 (siamo a 8.9) e ... and 48 not upgraded.dal tuo post, potresti volerlo fare presto.

Per essere informato degli aggiornamenti di sicurezza, consiglio vivamente di iscriversi alla mailing list degli annunci di sicurezza Debian .

Un'altra opzione è quella di garantire che il tuo server possa inviarti e-mail e di installare un pacchetto come apticron , che ti invia quando i pacchetti sul tuo sistema devono essere aggiornati. Fondamentalmente, esegue regolarmente la apt-get updateparte e ti infastidisce per fare la apt-get upgradeparte.

Infine, potresti installare qualcosa come gli aggiornamenti automatici , che non solo controlla gli aggiornamenti, ma installa automaticamente gli aggiornamenti senza intervento umano. L'aggiornamento automatico dei pacchetti senza supervisione umana comporta alcuni rischi, quindi è necessario decidere autonomamente se questa è una buona soluzione per te. Lo uso e ne sono felice, ma avvertimento.

Perché aggiornarsi è dannoso

Nella mia seconda frase, ho detto che l'aggiornamento all'ultima versione di Apache è probabilmente dannoso .

Il motivo è semplice: se segui la versione Debian di Apache e prendi l'abitudine di installare gli aggiornamenti di sicurezza, allora sei in una buona posizione, dal punto di vista della sicurezza. Il team di sicurezza di Debians identifica e risolve i problemi di sicurezza e puoi goderti quel lavoro con il minimo sforzo.

Se, tuttavia, installi Apache 2.4.27+, dì scaricandolo dal sito Web Apache e compilarlo da solo, il lavoro per tenere il passo con i problemi di sicurezza è completamente tuo. Devi tenere traccia dei problemi di sicurezza e passare attraverso il lavoro di download / compilazione / ecc ogni volta che viene riscontrato un problema.

Si scopre che si tratta di una buona dose di lavoro e la maggior parte delle persone si allenta. Quindi finiscono per eseguire la loro versione autocompilata di Apache che diventa sempre più vulnerabile quando vengono rilevati problemi. E così finiscono molto peggio che se semplicemente avessero seguito gli aggiornamenti di sicurezza di Debian. Quindi sì, probabilmente dannoso.

Questo non vuol dire che non c'è posto per compilare il software da soli (o prendere selettivamente pacchetti dai test Debian o unstable), ma in generale, lo sconsiglio.

Durata degli aggiornamenti di sicurezza

Debian non mantiene le sue versioni per sempre. Come regola generale, una versione di Debian riceve il pieno supporto di sicurezza per un anno dopo che è stata obsoleta da una versione più recente.

La versione in esecuzione, Debian 8 / jessie, è una versione stabile obsoleta ( oldstablein termini di Debian). Riceverà supporto completo per la sicurezza fino a maggio 2018 e supporto a lungo termine fino ad aprile 2020. Non sono del tutto sicuro di quale sia la portata di questo supporto LTS.

L'attuale versione stabile di Debian è Debian 9 / stretch. Prendi in considerazione l' aggiornamento a Debian 9 , che viene fornito con le versioni più recenti di tutto il software e il supporto completo per la sicurezza per diversi anni (probabilmente fino alla metà del 2020). Raccomando l'aggiornamento in un momento che è conveniente per te, ma ben prima di maggio 2018.

Commenti finali

In precedenza, ho scritto che le correzioni sulla sicurezza dei backport di Debian. Ciò è risultato insostenibile per alcuni software a causa dell'elevato ritmo di sviluppo e dell'elevato tasso di problemi di sicurezza. Questi pacchetti sono l'eccezione e in realtà aggiornati a una versione upstream recente. I pacchetti che conosco si applicano a sono chromium(il browser) firefox, e nodejs.

Infine, l'intero modo di gestire gli aggiornamenti di sicurezza non è univoco per Debian; molte distribuzioni funzionano in questo modo, specialmente quelle che favoriscono la stabilità rispetto ai nuovi software.

marcelm
fonte
Ho sentito i punti che stai facendo qui, ma sarebbero molto più salienti se si paragonassero Stretch (stabile) a Sid (instabile). Stretch attira comunque la maggior parte dell'attenzione e le stesse regole si applicano agli aggiornamenti di sicurezza. Principalmente il motivo di oldstable è il supporto legacy per tutti quegli amministratori di sistema pigri o solo quelli con dipendenze software interne che non sono state aggiornate. Potresti dimostrare una differenza apprezzabile nella sicurezza usando stable vs old stable?
jdwolf,
@jdwolf Per quanto ne so, fintanto che è supportato oldstable riceve tanto supporto di sicurezza quanto stabile. Gestisco diverse decine di macchine Debian, attualmente un mix di jessie e stretch, e leggo tutti i DSA che mi riguardano. Non ho mai notato uno schema di oldstable che non ricevesse abbastanza attenzione. Se hai mai letto i DSA, puoi vedere che tendono a elencare la versione fissa sia per stable che oldstable (di solito insieme alle informazioni sui test e unstable) nello stesso annuncio.
marzo
Capisco che, ma il tuo post dà l'impressione che l'aggiornamento da oldstable a stable sia negativo.
jdwolf,
@jdwolf Non è affatto mia intenzione! In effetti, raccomando stable over oldstable (supponendo che la situazione lo consenta). Da quale parte provi quell'impressione? Ho modificato un po 'il mio post; speriamo che sia più chiaro ora che non sostengo oldstable su stable.
marzo
6

Debian Jessie è ancora supportata e le correzioni di sicurezza fornite nelle versioni più recenti sono state riportate nel pacchetto disponibile in Jessie (2.4.10-10 + deb8u11, il che significa che finora ci sono stati 11 aggiornamenti dal rilascio di Jessie). Tutte le vulnerabilità note e risolvibili in Apache sono state risolte nel pacchetto Jessie ; fintanto che manterrai la tua installazione aggiornata dovresti essere al sicuro. Le vulnerabilità future continueranno a essere risolte in Jessie, purché rimangano supportate.

È improbabile che una versione più recente venga mai trasferita a Jessie. Come indicato sopra, sei al sicuro se rimani su Jessie, purché sia ​​supportato; se hai bisogno di nuove funzionalità non disponibili in 2.4.10, dovrai aggiornare a Debian 9.

Stephen Kitt
fonte
3

Stai usando Debian Jessie che è la vecchia versione stabile di Debian. L'ultima versione di Apache in Jessie è la 2.4.10.

Quindi hai due opzioni, esegui apt dist-upgrade e migra su Debian Stretch o puoi aspettare che sia disponibile nei backport.

jdwolf
fonte
E quale è la versione apache in debian stretch?
wawanopoulos,
@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak
3

OP ha indicato nei commenti che:

  • Sono su Debian Jessie.
  • Vogliono aggiornare Apache per affrontare un problema di sicurezza.

Debian Jessie è l'attuale versione oldstable (dal 12-11-2017). Dovrebbe ricevere regolari aggiornamenti di sicurezza dal team di sicurezza di Debian. Per le domande frequenti sulla sicurezza di Debian :

Il team di sicurezza tenta di supportare una distribuzione stabile per circa un anno dopo il rilascio della successiva distribuzione stabile, tranne quando un'altra distribuzione stabile viene rilasciata entro quest'anno. Non è possibile supportare tre distribuzioni; supportarne due contemporaneamente è già abbastanza difficile.

L'attuale scuderia Debian è Stretch, che è stato rilasciato il 17/06/2017 . Pertanto, prevediamo che il team di sicurezza supporterà Jessie fino a circa la metà del 2018. Dopo quel tempo, sarà in LTS fino alla fine di aprile 2020.

La linea di fondo: il sistema di OP è ancora supportato. OP può continuare ad aggiornare il apache2pacchetto normalmente. Se non hanno già l'aggiornamento della sicurezza, lo riceveranno non appena sarà stato eseguito il backport e il rilascio. I numeri di versione potrebbero non corrispondere, ma ciò non significa che il sistema non sia sicuro.

Secondo questa e-mail , a settembre, Debian ha effettuato il backport di una correzione a CVE-2017-9798 su Jessie. Se questa è la vulnerabilità dell'OP è preoccupato (e il repository jessie-security è nel loro file sources.list, come dovrebbe essere), allora dovrebbe già essere riparato sul loro sistema (e possono confermarlo eseguendo apt show apache2e controllando che la versione è 2.4.10-10+deb8u11). Altrimenti, dovrebbero inserire il numero CVE nella casella di ricerca sul tracker della sicurezza di Debian e vedere cosa succede. Dovrebbe produrre una pagina che descriva lo stato della vulnerabilità in varie versioni di Debian; OP cercherà la linea "jessie (sicurezza)".

Kevin
fonte
1

L'apache2 (2.4.10-10) è l'ultima versione installata dal repository Debian tramite aptil comando, in caso di nuove versioni sarà aggiornato automaticamente tramite apt.

purtroppo apache2non è disponibile sui bacport jessie.

È possibile installare la versione più recente disponibile sul sito Web di Apache compilando:

Compilazione e installazione

GAD3R
fonte
Questo è un cattivo consiglio; se l'OP compila il proprio Apache, dovrà farlo dopo ogni problema di sicurezza scoperto. È molto meglio rimanere con la versione supportata della distribuzione in esecuzione.
marzo
1

Puoi visualizzare la versione disponibile nel tuo repository con:

root@server 20:54:59:~# apt-cache policy apache2
FaxMax
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.