Bagaimana cara saya memperbarui apache2 ke versi terbaru di Debian jessie?

16

Di mesin Debian saya, versi apache2 saat ini adalah 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Saya ingin memutakhirkan apache ke versi terbaru (setidaknya 2.4.26): Saya mencoba:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Tetapi tidak menemukan pembaruan. Apa yang dapat saya lakukan untuk meningkatkan ke versi terbaru?

masukkan deskripsi gambar di sini

wawanopoulos
sumber
Versi Debian apa yang Anda gunakan?
Jan
1
Mengapa Anda ingin meningkatkan?
Stephen Kitt
1
@wawanopoulos: Jessie masih didukung sehingga Anda seharusnya mengharapkan patch keamanan atau backports muncul meskipun nomor versi berbeda dari hulu.
Kevin
1
Tidak ada yang diperbaiki.
Stephen Kitt
1
Mereka diperbaiki dalam paket Debian. Laporan Tenable semata-mata didasarkan pada nomor versi, yang sayangnya tidak berfungsi dengan banyak paket distribusi.
Stephen Kitt

Jawaban:

32

Jangan perbarui Apache secara manual.

Pembaruan manual untuk keamanan tidak perlu dan mungkin berbahaya.

Bagaimana Debian merilis perangkat lunak

Untuk mengetahui mengapa ini terjadi, Anda harus memahami bagaimana Debian menangani masalah pengemasan, versi, dan keamanan. Karena Debian menghargai stabilitas dari perubahan, kebijakannya adalah membekukan versi perangkat lunak dalam paket rilis yang stabil. Ini berarti bahwa untuk rilis yang stabil sangat sedikit perubahan, dan begitu semuanya berfungsi mereka harus terus bekerja untuk waktu yang lama.

Tetapi, bagaimana jika bug atau masalah keamanan serius ditemukan setelah rilis versi stabil Debian? Ini sudah diperbaiki, dalam versi perangkat lunak yang disediakan dengan Debian stable . Jadi jika Debian stable mengirim dengan Apache 2.4.10, masalah keamanan ditemukan dan diperbaiki 2.4.26, Debian akan mengambil perbaikan keamanan ini, dan menerapkannya 2.4.10, dan mendistribusikannya 2.4.10kepada penggunanya. Ini meminimalkan gangguan dari peningkatan versi, tetapi itu membuat versi mengendus seperti Tenable tidak ada artinya.

Bug serius dikumpulkan dan diperbaiki dalam rilis poin ( .9dalam bahasa Debian 8.9) setiap beberapa bulan. Perbaikan keamanan segera diperbaiki dan disediakan melalui saluran pembaruan.

Secara umum, selama Anda menjalankan versi Debian yang didukung, tetap menggunakan paket-paket Debian, dan tetap mengikuti perkembangan pembaruan keamanannya, Anda akan menjadi baik.

Laporan Tenable Anda

Untuk memeriksa apakah stabil Debian rentan untuk masalah Anda, "2.4.x <2.4.27 beberapa masalah" Tenable tidak berguna. Kita perlu tahu persis masalah keamanan apa yang sedang mereka bicarakan. Untungnya, setiap kerentanan signifikan diberi pengidentifikasi Kerentanan dan Eksposur Umum (CVE), sehingga kami dapat berbicara dengan mudah tentang kerentanan tertentu.

Misalnya, pada halaman ini untuk masalah Tenable 101788 kita dapat melihat bahwa masalah itu adalah tentang kerentanan CVE-2017-9788 dan CVE-2017-9789. Kami dapat mencari kerentanan ini di pelacak keamanan Debian . Jika kita melakukan itu, kita dapat melihat bahwa CVE-2017-9788 memiliki status "tetap" di atau sebelum versi 2.4.10-10+deb8u11. Demikian juga, CVE-2017-9789 diperbaiki .

Masalah yang dapat ditunggu 10095 adalah tentang CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 , dan CVE-2017-7679 , semuanya telah diperbaiki.

Jadi, jika Anda versi 2.4.10-10+deb8u11, Anda harus aman dari semua kerentanan ini! Anda dapat memeriksanya dengan dpkg -l apache2(pastikan terminal Anda cukup lebar untuk menampilkan nomor versi lengkap).

Tetap terkini

Jadi, bagaimana Anda memastikan Anda mendapatkan informasi terbaru tentang pembaruan keamanan ini?

Pertama, Anda perlu memiliki repositori keamanan di /etc/apt/sources.listatau /etc/apt/sources.list.d/*, sesuatu seperti ini:

deb http://security.debian.org/ jessie/updates main

Ini adalah bagian normal dari instalasi apa pun, Anda tidak harus melakukan sesuatu yang istimewa.

Selanjutnya, Anda harus memastikan bahwa Anda menginstal paket yang diperbarui. Ini adalah tanggung jawabmu; itu tidak dilakukan secara otomatis. Cara sederhana namun membosankan adalah dengan login secara teratur dan dijalankan

# apt-get update
# apt-get upgrade

Menilai dari kenyataan bahwa Anda melaporkan versi Debian Anda sebagai 8.8 (kami berada di 8.9) dan ... and 48 not upgraded.dari pos Anda, Anda mungkin ingin segera melakukannya.

Untuk diberi tahu tentang pembaruan keamanan, saya sangat menyarankan untuk berlangganan mailinglist pengumuman keamanan Debian .

Pilihan lain adalah memastikan server Anda dapat mengirimi Anda email, dan menginstal paket seperti apticron , yang mengirimi Anda email saat paket di sistem Anda perlu diperbarui. Pada dasarnya, itu menjalankan apt-get updatebagian secara teratur , dan mengganggu Anda untuk melakukan apt-get upgradebagian itu.

Akhirnya, Anda dapat menginstal sesuatu seperti peningkatan tanpa pengawasan , yang tidak hanya memeriksa pembaruan, tetapi secara otomatis menginstal pembaruan tanpa campur tangan manusia. Meningkatkan paket secara otomatis tanpa pengawasan manusia membawa risiko, jadi Anda harus memutuskan sendiri apakah itu solusi yang baik untuk Anda. Saya menggunakannya dan saya senang dengan itu, tetapi pembaru peringatan.

Mengapa meningkatkan diri sendiri itu berbahaya

Dalam kalimat kedua saya, saya mengatakan meningkatkan ke versi Apache terbaru mungkin berbahaya .

Alasannya sederhana: jika Anda mengikuti versi Debian dari Apache, dan biasakan menginstal pembaruan keamanan, maka Anda berada dalam posisi yang baik, keamanan-bijaksana. Tim keamanan Debian mengidentifikasi dan memperbaiki masalah keamanan, dan Anda dapat menikmati pekerjaan itu dengan sedikit usaha.

Namun, jika Anda menginstal Apache 2.4.27+, katakan dengan mengunduhnya dari situs web Apache dan mengompilasinya sendiri, maka pekerjaan untuk mengatasi masalah keamanan sepenuhnya menjadi milik Anda. Anda perlu melacak masalah keamanan, dan melalui pekerjaan pengunduhan / kompilasi / dll setiap kali masalah ditemukan.

Ternyata ini pekerjaan yang lumayan, dan kebanyakan orang malas. Jadi mereka akhirnya menjalankan versi kompilasi sendiri dari Apache mereka yang menjadi semakin rentan ketika masalah ditemukan. Dan jadi mereka berakhir jauh lebih buruk daripada jika mereka hanya mengikuti pembaruan keamanan Debian. Jadi ya, mungkin berbahaya.

Itu tidak berarti tidak ada tempat untuk mengkompilasi perangkat lunak sendiri (atau secara selektif mengambil paket dari pengujian Debian atau tidak stabil), tetapi secara umum, saya sarankan untuk tidak melakukannya.

Durasi pembaruan keamanan

Debian tidak mempertahankan rilisnya selamanya. Sebagai aturan umum, rilis Debian menerima dukungan keamanan penuh selama satu tahun setelah usang dengan rilis yang lebih baru.

Rilis yang Anda jalankan, Debian 8 / jessie, adalah rilis stabil yang sudah usang ( oldstabledalam istilah Debian). Ia akan menerima dukungan keamanan penuh hingga Mei 2018 , dan dukungan jangka panjang hingga April 2020. Saya tidak sepenuhnya yakin sejauh mana dukungan LTS ini.

Rilis stabil Debian saat ini adalah Debian 9 / stretch. Pertimbangkan untuk memutakhirkan ke Debian 9 , yang hadir dengan versi yang lebih baru dari semua perangkat lunak, dan dukungan keamanan penuh selama beberapa tahun (kemungkinan hingga pertengahan 2020). Saya merekomendasikan untuk meningkatkan pada waktu yang nyaman bagi Anda, tetapi jauh sebelum Mei 2018.

Kata penutup

Sebelumnya, saya menulis bahwa perbaikan keamanan backports Debian. Ini akhirnya menjadi tidak bisa digunakan untuk beberapa perangkat lunak karena laju perkembangan yang tinggi dan tingkat masalah keamanan yang tinggi. Paket-paket ini adalah pengecualian, dan benar-benar diperbarui ke versi hulu terbaru. Paket yang saya tahu ini berlaku untuk adalah chromium(browser) firefox,, dan nodejs.

Akhirnya, seluruh cara berurusan dengan pembaruan keamanan ini tidak unik untuk Debian; banyak distribusi berfungsi seperti ini, terutama yang mendukung stabilitas daripada perangkat lunak baru.

marcelm
sumber
Saya mendengar poin yang Anda buat di sini tetapi mereka akan jauh lebih menonjol jika membandingkan Peregangan (stabil) dengan Sid (tidak stabil). Peregangan tetap mendapatkan sebagian besar perhatian dan aturan yang sama berlaku untuk pembaruan keamanan. Terutama alasan untuk oldstable adalah dukungan lama untuk semua sys-admin yang malas atau hanya mereka yang memiliki ketergantungan perangkat lunak internal yang belum diperbarui. Bisakah Anda menunjukkan perbedaan yang cukup besar dalam keamanan menggunakan stabil vs stabil lama?
jdwolf
@ jdwolf Sejauh yang saya tahu, selama oldstable didukung, ia menerima dukungan keamanan sebanyak stabil. Saya mengelola beberapa lusin mesin Debian, saat ini campuran jessie dan peregangan, dan saya membaca semua DSA yang berlaku untuk saya. Saya tidak pernah memperhatikan pola oldstable yang tidak mendapatkan perhatian yang cukup. Jika Anda pernah membaca DSA, Anda dapat melihat bahwa mereka cenderung membuat daftar versi tetap untuk stabil dan oldstable (biasanya bersama dengan informasi tentang pengujian dan tidak stabil) dalam pengumuman yang sama.
marcelm
Saya mengerti itu, tetapi posting Anda memberi kesan memperbarui dari oldstable ke stable adalah hal yang buruk.
jdwolf
@ jdwolf Itu bukan maksud saya sama sekali! Bahkan, saya sarankan stabil di atas oldstable (dengan asumsi situasi mengizinkannya). Dari bagian mana Anda mendapatkan kesan itu? Saya mengedit posting saya sedikit; semoga lebih jelas sekarang saya tidak menganjurkan oldstable lebih stabil.
marcelm
6

Debian Jessie masih didukung, dan perbaikan keamanan yang disediakan dalam versi yang lebih baru telah di-backport ke paket yang tersedia di Jessie (2.4.10-10 + deb8u11, yang berarti telah ada 11 pembaruan sejauh ini sejak rilis Jessie). Semua kerentanan diketahui dan diperbaiki di Apache diperbaiki dalam paket Jessie ; selama instalasi Anda tetap up-to-date, Anda harus aman. Kerentanan masa depan akan terus diperbaiki di Jessie, asalkan tetap didukung.

Tidak mungkin bahwa versi yang lebih baru akan pernah di-backport ke Jessie. Seperti yang ditunjukkan di atas, Anda aman jika tetap menggunakan Jessie, selama didukung; jika Anda memerlukan fitur yang lebih baru tidak tersedia di 2.4.10, Anda harus meningkatkan ke Debian 9.

Stephen Kitt
sumber
3

Anda menggunakan Debian Jessie yang merupakan versi stabil lama dari Debian. Versi terbaru dari Apache di Jessie adalah 2.4.10.

Jadi Anda memiliki dua opsi, jalankan apt-upgrade dan bermigrasi ke Debian Stretch atau Anda dapat menunggu tersedia di backports.

jwwolf
sumber
Dan apa yang kita versi apache di debian stretch?
wawanopoulos
@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak
3

OP telah mengindikasikan dalam komentar bahwa:

  • Mereka ada di Debian Jessie.
  • Mereka ingin memperbarui Apache untuk menangani masalah keamanan.

Debian Jessie adalah saat oldstable rilis (pada 2017/11/12). Seharusnya menerima pembaruan keamanan reguler dari tim keamanan Debian. Per FAQ Keamanan Debian :

Tim keamanan mencoba untuk mendukung distribusi stabil selama sekitar satu tahun setelah distribusi stabil berikutnya dirilis, kecuali ketika distribusi stabil lain dirilis dalam tahun ini. Tidak mungkin mendukung tiga distribusi; mendukung dua secara bersamaan sudah cukup sulit.

Stabil Debian saat ini adalah Peregangan, yang dirilis pada 2017-06-17 . Karena itu, kami mengharapkan tim keamanan untuk mendukung Jessie hingga sekitar pertengahan 2018. Setelah itu, akan berada di LTS hingga akhir April 2020.

Intinya: Sistem OP masih di bawah dukungan. OP dapat terus memperbarui apache2paket seperti biasa. Jika mereka belum memiliki pembaruan keamanan, mereka akan menerimanya segera setelah di-backport dan dirilis. Nomor versi mungkin gagal untuk mencocokkan tetapi ini tidak berarti bahwa sistem tidak aman.

Menurut email ini , pada bulan September, Debian mendukung perbaikan untuk CVE-2017-9798 ke Jessie. Jika ini adalah kerentanan OP yang dikhawatirkan (dan repo keamanan jessie ada di file sources.list mereka, sebagaimana mestinya), maka harus sudah diperbaiki pada sistem mereka (dan mereka dapat mengonfirmasi bahwa dengan menjalankan apt show apache2dan memeriksa bahwa versinya adalah 2.4.10-10+deb8u11). Jika tidak, maka mereka harus memasukkan nomor CVE ke dalam kotak pencarian di pelacak keamanan Debian dan melihat apa yang muncul. Itu harus menghasilkan halaman yang menggambarkan status kerentanan di berbagai versi Debian; OP akan mencari jalur "jessie (keamanan)".

Kevin
sumber
1

The apache2 (2.4.10-10) adalah versi terbaru diinstal dari repositori debian melalui aptperintah, ketika sebuah versi baru tersedia itu akan ditingkatkan secara otomatis melalui apt.

sayangnya apache2tidak tersedia di bessport jessie.

Anda dapat menginstal versi terbaru yang tersedia di situs web apache dengan mengkompilasi:

Kompilasi dan Instalasi

GAD3R
sumber
Ini saran yang buruk; jika OP mengkompilasi Apache mereka sendiri, mereka harus melakukan itu setelah setiap masalah keamanan ditemukan. Jauh lebih baik untuk tetap dengan versi distribusi yang didukung yang mereka jalankan.
marcelm
1

Anda dapat melihat versi yang tersedia di repositori Anda dengan:

root@server 20:54:59:~# apt-cache policy apache2
FaxMax
sumber