Wie aktualisiere ich apache2 auf die neueste Version von Debian Jessie?

16

In meinem Debian-Rechner ist die aktuelle Version von apache2 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Ich möchte Apache auf die neueste Version (mindestens 2.4.26) upgraden: Ich habe versucht:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Es wird jedoch kein Update gefunden. Was kann ich tun, um auf die neueste Version zu aktualisieren?

Bildbeschreibung hier eingeben

Wawanopoulos
quelle
Welche Debian-Version verwenden Sie?
Jan
1
Warum möchten Sie ein Upgrade durchführen?
Stephen Kitt
1
@wawanopoulos: Jessie wird weiterhin unterstützt. Sie sollten also damit rechnen, dass Sicherheitspatches oder Backports angezeigt werden, auch wenn die Versionsnummer von der des Upstreams abweicht.
Kevin
1
Es gibt nichts zu reparieren.
Stephen Kitt
1
Sie sind im Debian-Paket behoben. Der Tenable-Bericht basiert ausschließlich auf Versionsnummern, was bei vielen Distributionspaketen leider nicht funktioniert.
Stephen Kitt

Antworten:

32

Aktualisieren Sie Apache nicht manuell.

Ein manuelles Upgrade für die Sicherheit ist unnötig und möglicherweise schädlich.

Wie Debian Software veröffentlicht

Um zu verstehen, warum dies so ist, müssen Sie verstehen, wie Debian mit Paketen, Versionen und Sicherheitsproblemen umgeht. Da Debian Stabilität gegenüber Änderungen schätzt, besteht die Richtlinie darin, die Softwareversionen in den Paketen einer stabilen Version einzufrieren. Dies bedeutet, dass sich für eine stabile Version nur sehr wenige Änderungen ergeben. Wenn die Dinge einmal funktionieren, sollten sie noch lange weiterarbeiten.

Was aber, wenn nach der Veröffentlichung einer stabilen Debian-Version ein schwerwiegender Fehler oder ein Sicherheitsproblem entdeckt wird? Diese sind in der mit Debian Stable gelieferten Softwareversion behoben . Wenn Debian Stable mit Apache ausgeliefert wird 2.4.10, wird ein Sicherheitsproblem gefunden und behoben 2.4.26, und Debian wird dieses Sicherheitsupdate anwenden und es an seine Benutzer 2.4.10verteilen 2.4.10. Auf diese Weise werden Störungen durch Versions-Upgrades minimiert, Versions-Sniffing wie Tenable ist jedoch bedeutungslos.

Alle paar Monate werden schwerwiegende Fehler in Punktveröffentlichungen (die .9in Debian 8.9) gesammelt und behoben . Sicherheits-Fixes werden sofort behoben und über einen Update-Kanal bereitgestellt.

Im Allgemeinen sollten Sie gut sein, solange Sie eine unterstützte Debian-Version ausführen, sich an Debian-Pakete halten und über deren Sicherheitsupdates auf dem Laufenden bleiben.

Ihr Tenable-Bericht

Um zu überprüfen, ob Debian stable für Ihre Probleme anfällig ist, ist Tenables "2.4.x <2.4.27 multiple issues" unbrauchbar. Wir müssen genau wissen, um welche Sicherheitsprobleme es sich handelt. Glücklicherweise wird jeder signifikanten Sicherheitsanfälligkeit eine allgemeine Kennung für Sicherheitsanfälligkeiten ( Common Vulnerability and Exposures, CVE) zugewiesen , sodass wir leicht über bestimmte Sicherheitsanfälligkeiten sprechen können.

Auf dieser Seite für das Tenable-Problem 101788 können wir beispielsweise sehen, dass es sich bei diesem Problem um die Sicherheitsanfälligkeiten CVE-2017-9788 und CVE-2017-9789 handelt. Wir können im Debian-Security-Tracker nach diesen Schwachstellen suchen . Wenn wir das tun, können wir sehen, dass CVE-2017-9788 in oder vor der Version den Status "behoben" hat2.4.10-10+deb8u11 . Ebenso ist CVE-2017-9789 behoben .

Bei der Tenable-Ausgabe 10095 handelt es sich um CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 und CVE-2017-7679 , die alle behoben wurden.

Wenn Sie also auf Version sind 2.4.10-10+deb8u11, sollten Sie vor all diesen Sicherheitslücken sicher sein! Sie können dies mit überprüfen dpkg -l apache2(stellen Sie sicher, dass Ihr Terminal breit genug ist, um die vollständige Versionsnummer anzuzeigen).

Bleiben Sie auf dem Laufenden

Wie stellen Sie sicher, dass Sie mit diesen Sicherheitsupdates auf dem neuesten Stand sind?

Zuerst müssen Sie das Sicherheits-Repository in Ihrem /etc/apt/sources.listoder haben /etc/apt/sources.list.d/*, in etwa so:

deb http://security.debian.org/ jessie/updates main

Dies ist ein normaler Bestandteil jeder Installation. Sie sollten nichts Besonderes tun müssen.

Als Nächstes müssen Sie sicherstellen, dass Sie aktualisierte Pakete installieren. Dies liegt in Ihrer Verantwortung; es wird nicht automatisch gemacht. Ein einfacher, aber langwieriger Weg ist, sich regelmäßig anzumelden und zu starten

# apt-get update
# apt-get upgrade

Gemessen an der Tatsache, dass Sie Ihre Debian-Version als 8.8 (wir sind bei 8.9) und die ... and 48 not upgraded.von Ihrem Beitrag, möchten Sie dies vielleicht bald tun.

Um über Sicherheitsupdates informiert zu werden, empfehle ich dringend, die Mailingliste für Debian-Sicherheitsankündigungen zu abonnieren .

Eine andere Möglichkeit ist, sicherzustellen, dass Ihr Server Ihnen E-Mails senden kann, und ein Paket wie apticron zu installieren , das Sie per E- Mail benachrichtigt , wenn Pakete auf Ihrem System aktualisiert werden müssen. Grundsätzlich wird der apt-get updateTeil regelmäßig ausgeführt , und Sie werden belästigt, den apt-get upgradeTeil auszuführen .

Schließlich können Sie so etwas wie unbeaufsichtigte Upgrades installieren , bei denen nicht nur nach Updates gesucht wird, sondern die Updates automatisch ohne menschliches Eingreifen installiert werden . Ein automatisches Upgrade der Pakete ohne menschliche Aufsicht birgt ein gewisses Risiko, sodass Sie selbst entscheiden müssen, ob dies eine gute Lösung für Sie ist. Ich benutze es und bin zufrieden damit, aber Vorsicht Updator.

Warum ein Upgrade selbst schädlich ist

In meinem zweiten Satz sagte ich, dass ein Upgrade auf die neueste Apache-Version wahrscheinlich schädlich ist .

Der Grund dafür ist einfach: Wenn Sie Debians Version von Apache folgen und sich angewöhnen, die Sicherheitsupdates zu installieren, sind Sie in einer guten Position, was die Sicherheit anbelangt. Das Sicherheitsteam von Debian erkennt und behebt Sicherheitsprobleme, und Sie können diese Arbeit mit minimalem Aufwand genießen.

Wenn Sie jedoch Apache 2.4.27+ installieren, indem Sie es beispielsweise von der Apache-Website herunterladen und selbst kompilieren, liegt die Arbeit zur Behebung von Sicherheitsproblemen ganz bei Ihnen. Sie müssen Sicherheitsprobleme nachverfolgen und jedes Mal, wenn ein Problem festgestellt wird, das Herunterladen / Kompilieren / usw. durchführen.

Es stellt sich heraus, dass dies eine Menge Arbeit ist und die meisten Menschen nachlassen. Sie lassen also ihre selbstkompilierte Version von Apache laufen, die immer anfälliger wird, je mehr Probleme gefunden werden. Und so enden sie viel schlimmer, als wenn sie einfach die Sicherheitsupdates von Debian befolgt hätten. Also ja, wahrscheinlich schädlich.

Das heißt nicht, dass es keinen Platz gibt, Software selbst zu kompilieren (oder selektiv Pakete aus Debian-Tests oder Unstable zu nehmen), aber im Allgemeinen empfehle ich dagegen.

Dauer der Sicherheitsupdates

Debian behält seine Veröffentlichungen nicht für immer bei. In der Regel erhält eine Debian-Version ein Jahr lang volle Sicherheitsunterstützung, nachdem sie durch eine neuere Version überholt wurde.

Die Veröffentlichung, die Sie ausführen, Debian 8 / jessie, ist eine veraltete stabile Veröffentlichung ( oldstablein Debian-Begriffen). Es wird bis Mai 2018 vollständige Sicherheitsunterstützung und langfristige Unterstützung bis April 2020 erhalten. Ich bin mir nicht ganz sicher, wie weit diese LTS-Unterstützung reicht.

Die aktuelle stabile Debian-Veröffentlichung ist Debian 9 / stretch. Erwägen Sie ein Upgrade auf Debian 9 , das mit neueren Versionen der gesamten Software und einer umfassenden Sicherheitsunterstützung für mehrere Jahre (voraussichtlich bis Mitte 2020) geliefert wird. Ich empfehle ein Upgrade zu einem Zeitpunkt, der für Sie günstig ist, jedoch noch vor Mai 2018.

Schlußbemerkungen

Zuvor schrieb ich, dass Debian Sicherheits-Fixes zurückportiert. Dies ist unhaltbar für einige Software endete aufgrund der hohen Tempo der Entwicklung und hoher Rate von Sicherheitsfragen. Diese Pakete sind die Ausnahme und werden tatsächlich auf eine aktuelle Upstream-Version aktualisiert. Pakete, für die ich weiß, dass dies zutrifft, sind chromium(der Browser) firefox, und nodejs.

Schließlich ist diese gesamte Art des Umgangs mit Sicherheitsupdates nicht nur Debian vorbehalten. Viele Distributionen funktionieren so, insbesondere diejenigen, die Stabilität gegenüber neuer Software bevorzugen.

marcelm
quelle
Ich höre die Punkte, die Sie hier machen, aber sie wären viel ausgeprägter, wenn Sie Stretch (stabil) mit Sid (instabil) vergleichen. Stretch bekommt sowieso die meiste Aufmerksamkeit und die gleichen Regeln gelten für Sicherheitsupdates. In erster Linie liegt der Grund für oldstable in der Unterstützung all jener faulen Systemadministratoren oder nur solcher mit internen Softwareabhängigkeiten, die nicht aktualisiert wurden. Können Sie einen merklichen Unterschied in der Sicherheit bei der Verwendung von Stall zu altem Stall nachweisen?
JDWOLF
@jdwolf Soweit ich weiß, erhält oldstable so viel Sicherheitsunterstützung wie stable, solange es unterstützt wird. Ich verwalte mehrere Dutzend Debian-Maschinen, derzeit eine Mischung aus Jessie und Stretch, und lese alle DSAs, die für mich gelten. Ich habe nie bemerkt, dass ein Oldstable-Muster nicht genügend Beachtung findet. Wenn Sie jemals DSAs gelesen haben, können Sie feststellen, dass in derselben Ankündigung die feste Version für Stable und Oldstable (normalerweise zusammen mit Informationen zu Testing und Unstable) aufgeführt ist.
März
Ich verstehe das, aber dein Beitrag vermittelt den Eindruck, dass eine Aktualisierung von oldstable auf stable eine schlechte Sache ist.
jdwolf
@jdwolf Das ist überhaupt nicht meine Absicht! In der Tat empfehle ich Stable über Oldstable (vorausgesetzt, die Situation erlaubt es). Von welcher Stelle bekommen Sie diesen Eindruck? Ich habe meinen Beitrag ein wenig bearbeitet. hoffentlich ist es jetzt klarer, dass ich Oldstable nicht für Stall halte.
März
6

Debian Jessie wird weiterhin unterstützt und die in neueren Versionen bereitgestellten Sicherheitskorrekturen wurden in das in Jessie verfügbare Paket (2.4.10-10 + deb8u11, was bedeutet, dass es seit der Veröffentlichung von Jessie 11 Updates gab) zurückportiert. Alle bekannten, behebbaren Sicherheitslücken in Apache sind im Jessie-Paket behoben . Solange Sie Ihre Installation auf dem neuesten Stand halten, sollten Sie sicher sein. Zukünftige Schwachstellen werden weiterhin in Jessie behoben, solange dies unterstützt wird.

Es ist unwahrscheinlich, dass eine neuere Version jemals zu Jessie zurückportiert wird. Wie oben angegeben, sind Sie in Sicherheit, wenn Sie bei Jessie bleiben, sofern dies unterstützt wird. Wenn Sie neuere Funktionen benötigen, die in 2.4.10 nicht verfügbar sind, müssen Sie auf Debian 9 aktualisieren.

Stephen Kitt
quelle
3

Sie verwenden Debian Jessie, die alte stabile Version von Debian. Die neueste Version von Apache in Jessie ist 2.4.10.

Sie haben also zwei Möglichkeiten: Führen Sie apt dist-upgrade aus und migrieren Sie zu Debian Stretch, oder warten Sie, bis es in den Backports verfügbar ist.

jdwolf
quelle
Und was ist uns die Apache-Version in Debian-Stretch?
Wawanopoulos
@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak
3

OP hat in den Kommentaren angegeben, dass:

  • Sie sind auf Debian Jessie.
  • Sie möchten Apache aktualisieren, um ein Sicherheitsproblem zu lösen.

Debian Jessie ist das aktuelle Oldstable- Release (Stand 12.11.2017). Es sollte regelmäßige Sicherheitsupdates vom Debian-Sicherheitsteam erhalten. Gemäß der Debian-Sicherheits-FAQ :

Das Sicherheitsteam versucht, eine Stable-Distribution für etwa ein Jahr nach Veröffentlichung der nächsten Stable-Distribution zu unterstützen, es sei denn, innerhalb dieses Jahres wird eine andere Stable-Distribution veröffentlicht. Es ist nicht möglich, drei Distributionen zu unterstützen. zwei gleichzeitig zu unterstützen ist schon schwierig genug.

Der aktuelle Debian-Stall ist Stretch, der am 17.06.2017 veröffentlicht wurde . Wir erwarten daher, dass das Sicherheitsteam Jessie bis etwa Mitte 2018 unterstützt. Nach dieser Zeit wird es bis Ende April 2020 in LTS sein.

Fazit: Das System von OP wird weiterhin unterstützt. OP kann das apache2Paket wie gewohnt weiter upgraden . Wenn sie das Sicherheitsupdate noch nicht haben, erhalten sie es, sobald es zurückportiert und freigegeben wurde. Die Versionsnummern stimmen möglicherweise nicht überein , dies bedeutet jedoch nicht, dass das System unsicher ist.

Laut dieser E-Mail hat Debian im September einen Fix für CVE-2017-9798 in Jessie zurückportiert . Wenn dies die Sicherheitslücke ist, von der OP betroffen ist (und die jessie-security-repo-Datei sollte sich in ihrer sources.list befinden), sollte sie bereits auf ihrem System behoben sein (und sie können dies bestätigen, indem sie sie ausführen apt show apache2und überprüfen) die version ist 2.4.10-10+deb8u11). Wenn nicht, sollten sie die CVE-Nummer in das Suchfeld des Debian-Security-Trackers eingeben und sehen, was auf sie zukommt. Es sollte eine Seite erstellt werden, die den Status der Sicherheitslücke in verschiedenen Debian-Versionen beschreibt. OP wird nach der Linie "jessie (security)" suchen.

Kevin
quelle
1

Der Apache2 (2.4.10-10) ist die neueste Version, die vom Debian-Repository über den aptBefehl installiert wurde. Wenn eine neue Version verfügbar ist, wird sie automatisch über aktualisiert apt.

ist leider apache2nicht auf jessie bacports verfügbar.

Sie können die neueste auf der Apache Wesite verfügbare Version installieren, indem Sie Folgendes kompilieren:

Kompilieren und installieren

GAD3R
quelle
Das ist ein schlechter Rat. Wenn das OP seinen eigenen Apache kompiliert, müssen sie dies nach jedem entdeckten Sicherheitsproblem tun. Es ist weitaus besser, die unterstützte Version der Distribution beizubehalten, die sie ausführen.
März
1

Sie können die verfügbare Version in Ihrem Repository anzeigen mit:

root@server 20:54:59:~# apt-cache policy apache2
FaxMax
quelle