it-swarm.com.de

Wie aktualisiere ich Apache2 auf die neueste Version von Debian Jessie?

Auf meinem Debian-Computer ist die aktuelle Version von Apache2 2.4.10:

[email protected]:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Ich möchte Apache auf eine neueste Version (mindestens 2.4.26) aktualisieren: Ich habe versucht:

[email protected]:/# apt-get install Apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
Apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Es wird jedoch kein Update gefunden. Was kann ich tun, um auf die neueste Version zu aktualisieren?

(enter image description here

16
wawanopoulos

Aktualisieren Sie Apache nicht manuell.

Ein manuelles Upgrade aus Sicherheitsgründen ist unnötig und wahrscheinlich schädlich.

Wie Debian Software veröffentlicht

Um zu sehen, warum dies so ist, müssen Sie verstehen, wie Debian mit Verpackungs-, Versions- und Sicherheitsproblemen umgeht. Da Debian Wert auf Stabilität gegenüber Änderungen legt, besteht die Richtlinie darin, die Softwareversionen in den Paketen einer stabilen Version einzufrieren. Dies bedeutet, dass sich für eine stabile Version nur sehr wenig ändert und sobald die Dinge funktionieren, sollten sie noch lange weiterarbeiten.

Was aber, wenn nach der Veröffentlichung einer stabilen Debian-Version ein schwerwiegender Fehler oder ein Sicherheitsproblem entdeckt wird? Diese sind behoben, in der mit Debian Stable gelieferten Softwareversion. Wenn Debian Stable mit Apache 2.4.10 Versendet wird, wird ein Sicherheitsproblem in 2.4.26 Gefunden und behoben. Debian übernimmt dieses Sicherheitskorrekturprogramm und wendet es auf 2.4.10 An und verteilt das 2.4.10 für seine Benutzer behoben. Dies minimiert Unterbrechungen durch Versions-Upgrades , macht jedoch Versions-Sniffing wie Tenable bedeutungslos.

Schwerwiegende Fehler werden alle paar Monate in Punktveröffentlichungen (.9 In Debian 8.9) Gesammelt und behoben. Sicherheitskorrekturen werden sofort behoben und über einen Update-Kanal bereitgestellt.

Im Allgemeinen sollten Sie gut sein, solange Sie eine unterstützte Debian-Version ausführen, Debian-Pakete auf Lager halten und über deren Sicherheitsupdates auf dem Laufenden bleiben.

Ihr Tenable-Bericht

Um zu überprüfen, ob Debian Stable für Ihre Probleme anfällig ist, ist Tenables "2.4.x <2.4.27 mehrere Probleme" nutzlos. Wir müssen genau wissen, über welche Sicherheitsprobleme sie sprechen. Glücklicherweise wird jeder signifikanten Sicherheitsanfälligkeit eine Common Vulnerability and Exposures (CVE) -Kennung zugewiesen, sodass wir problemlos über bestimmte Sicherheitsanfälligkeiten sprechen können.

Auf dieser Seite für Tenable-Problem 101788 können wir beispielsweise sehen, dass es sich bei diesem Problem um Schwachstellen handelt, die CVE-2017-9788 und CVE-2017-9789 betreffen. Wir können diese Sicherheitslücken auf dem Debian Security Tracker suchen. Wenn wir das tun, können wir sehen, dass CVE-2017-9788 hat den Status "behoben" in oder vor der Version 2.4.10-10+deb8u11. Ebenso CVE-2017-9789 ist behoben .

Tenable Issue 10095 handelt von CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 und CVE-2017-7679 , alle behoben.

Wenn Sie also die Version 2.4.10-10+deb8u11 Verwenden, sollten Sie vor all diesen Sicherheitslücken sicher sein! Sie können dies mit dpkg -l Apache2 Überprüfen (stellen Sie sicher, dass Ihr Terminal breit genug ist, um die vollständige Versionsnummer anzuzeigen).

Auf dem Laufenden bleiben

Wie stellen Sie sicher, dass Sie mit diesen Sicherheitsupdates auf dem neuesten Stand sind?

Zunächst müssen Sie das Sicherheits-Repository in Ihrem /etc/apt/sources.list Oder /etc/apt/sources.list.d/* Haben.

deb http://security.debian.org/ jessie/updates main

Dies ist ein normaler Bestandteil jeder Installation. Sie sollten nichts Besonderes tun müssen.

Als Nächstes müssen Sie sicherstellen, dass Sie aktualisierte Pakete installieren. Dies liegt in Ihrer Verantwortung; es wird nicht automatisch gemacht. Eine einfache, aber langwierige Möglichkeit besteht darin, sich regelmäßig anzumelden und auszuführen

# apt-get update
# apt-get upgrade

Nach der Tatsache zu urteilen, dass Sie Ihre Debian-Version als 8.8 (wir sind bei 8.9) und den ... and 48 not upgraded. Aus Ihrem Beitrag melden, möchten Sie dies möglicherweise bald tun.

Um über Sicherheitsupdates informiert zu werden, empfehle ich dringend, die Mailingliste Debian-Sicherheitsankündigungen zu abonnieren.

Eine weitere Option besteht darin, sicherzustellen, dass Ihr Server Ihnen E-Mails senden kann, und ein Paket wie apticron zu installieren, das Ihnen E-Mails sendet, wenn Pakete auf Ihrem System aktualisiert werden müssen. Grundsätzlich wird regelmäßig der Teil apt-get update Ausgeführt und Sie werden aufgefordert, den Teil apt-get upgrade Auszuführen.

Schließlich könnten Sie so etwas wie nbeaufsichtigte Upgrades installieren, das nicht nur nach Updates sucht, sondern automatisch installiert die Updates ohne menschliches Eingreifen. Ein automatisches Upgrade der Pakete ohne menschliche Aufsicht birgt ein gewisses Risiko. Sie müssen also selbst entscheiden, ob dies eine gute Lösung für Sie ist. Ich benutze es und bin zufrieden damit, aber Vorbehalt Updator.

Warum ein Upgrade schädlich ist

In meinem zweiten Satz sagte ich, ein Upgrade auf die neueste Apache-Version sei wahrscheinlich schädlich.

Der Grund dafür ist einfach: Wenn Sie Debians Version von Apache folgen und es sich zur Gewohnheit machen, die Sicherheitsupdates zu installieren, sind Sie in Bezug auf die Sicherheit in einer guten Position. Das Debians-Sicherheitsteam identifiziert und behebt Sicherheitsprobleme, und Sie können diese Arbeit mit minimalem Aufwand genießen.

Wenn Sie jedoch Apache 2.4.27+ installieren, indem Sie es beispielsweise von der Apache-Website herunterladen und selbst kompilieren, liegt es ganz bei Ihnen, mit Sicherheitsproblemen Schritt zu halten. Sie müssen Sicherheitsprobleme nachverfolgen und jedes Mal, wenn ein Problem gefunden wird, das Herunterladen/Kompilieren/usw. durchführen.

Es stellt sich heraus, dass dies eine Menge Arbeit ist und die meisten Leute nachlassen. Am Ende führen sie ihre selbst kompilierte Version von Apache aus, die mit dem Auftreten von Problemen immer anfälliger wird. Und so werden sie viel schlimmer, als wenn sie einfach Debians Sicherheitsupdates gefolgt wären. Also ja, wahrscheinlich schädlich.

Das heißt nicht, dass es keinen Platz gibt, um Software selbst zu kompilieren (oder Pakete aus Debian-Tests selektiv oder instabil zu nehmen), aber im Allgemeinen empfehle ich dagegen.

Dauer von Sicherheitsupdates

Debian behält seine Veröffentlichungen nicht für immer bei. In der Regel erhält eine Debian-Version ein Jahr lang volle Sicherheitsunterstützung, nachdem sie durch eine neuere Version überholt wurde.

Die Version, die Sie ausführen, Debian 8/jessie, ist eine veraltete stabile Version (oldstable in Debian-Begriffen). Es wird volle Sicherheitsunterstützung erhalten bis Mai 2018 und langfristige Unterstützung bis April 2020. Ich bin mir nicht ganz sicher, wie weit diese LTS-Unterstützung reicht.

Die aktuelle stabile Debian-Version ist Debian 9/stretch. Betrachten Sie pgrade auf Debian 9 , das mit neueren Versionen aller Software geliefert wird, und vollständige Sicherheitsunterstützung für mehrere Jahre (voraussichtlich bis Mitte 2020). Ich empfehle ein Upgrade zu einem für Sie geeigneten Zeitpunkt, jedoch weit vor Mai 2018.

Schlußbemerkungen

Zuvor schrieb ich, dass Debian Sicherheitskorrekturen zurückportiert. Dies war für einige Software unhaltbar aufgrund des hohen Entwicklungstempos und der hohen Rate an Sicherheitsproblemen. Diese Pakete sind die Ausnahme und werden tatsächlich auf eine aktuelle Upstream-Version aktualisiert. Pakete, von denen ich weiß, dass sie gelten, sind chromium (der Browser), firefox und nodejs.

Schließlich ist diese gesamte Art des Umgangs mit Sicherheitsupdates nicht nur Debian vorbehalten. Viele Distributionen funktionieren so, insbesondere diejenigen, die Stabilität gegenüber neuer Software bevorzugen.

33
marcelm

Debian Jessie wird weiterhin unterstützt, und die in neueren Versionen bereitgestellten Sicherheitskorrekturen wurden auf das in Jessie verfügbare Paket zurückportiert (2.4.10-10 + deb8u11, was bedeutet, dass seit der Veröffentlichung von Jessie bisher 11 Updates durchgeführt wurden). Alle bekannten, behebbaren Schwachstellen in Apache sind im Jessie-Paket behoben ; Solange Sie Ihre Installation auf dem neuesten Stand halten, sollten Sie sicher sein. Zukünftige Schwachstellen werden in Jessie weiterhin behoben, solange sie unterstützt werden.

Es ist unwahrscheinlich, dass eine neuere Version jemals an Jessie zurückportiert wird. Wie oben angegeben, sind Sie sicher, wenn Sie bei Jessie bleiben, solange dies unterstützt wird. Wenn Sie neuere Funktionen benötigen, die in 2.4.10 nicht verfügbar sind, müssen Sie auf Debian 9 aktualisieren.

6
Stephen Kitt

Sie verwenden Debian Jessie, die alte stabile Version von Debian. Die neueste Version von Apache in Jessie ist 2.4.10.

Sie haben also zwei Möglichkeiten: Führen Sie apt dist-upgrade aus und migrieren Sie zu Debian Stretch, oder Sie können warten, bis es in Backports verfügbar ist.

3
jdwolf

OP hat in den Kommentaren angegeben, dass:

  • Sie sind auf Debian Jessie.
  • Sie möchten Apache aktualisieren, um ein Sicherheitsproblem zu beheben.

Debian Jessie ist die aktuelle oldstable Veröffentlichung (Stand 2017-11-12). Es sollte regelmäßig Sicherheitsupdates vom Debian-Sicherheitsteam erhalten. Per Debian Security FAQ :

Das Sicherheitsteam versucht, eine stabile Distribution für etwa ein Jahr nach der Veröffentlichung der nächsten stabilen Distribution zu unterstützen, es sei denn, innerhalb dieses Jahres wird eine andere stabile Distribution veröffentlicht. Es ist nicht möglich, drei Distributionen zu unterstützen. zwei gleichzeitig zu unterstützen ist schon schwierig genug.

Der aktuelle Debian-Stall ist Stretch, der am 2017-06-17 veröffentlicht wurde. Wir erwarten daher, dass das Sicherheitsteam Jessie bis etwa Mitte 2018 unterstützt. Nach dieser Zeit wird es in LTS bis Ende April 2020 sein.

Fazit: Das OP-System wird noch unterstützt. OP kann das Paket Apache2 Wie gewohnt weiter aktualisieren. Wenn sie das Sicherheitsupdate noch nicht haben, erhalten sie es, sobald es zurückportiert und veröffentlicht wurde. Die Versionsnummern können nicht übereinstimmen sein, dies bedeutet jedoch nicht, dass das System unsicher ist.

Laut diese E-Mail hat Debian im September einen Fix für CVE-2017-9798 in Jessie zurückportiert. Wenn dies die Sicherheitsanfälligkeit ist, über die OP besorgt ist (und das Jessie-Security-Repo in der Datei sources.list enthalten ist, wie es sein sollte), sollte es bereits auf ihrem System behoben sein (und sie können dies bestätigen, indem sie apt show Apache2 Und überprüfen, ob die Version 2.4.10-10+deb8u11 Ist. Wenn nicht, sollten sie die CVE-Nummer in das Suchfeld auf Debian Securitys Tracker eingeben und sehen, was auf sie zukommt. Es sollte eine Seite erstellt werden, die den Status der Sicherheitsanfälligkeit in verschiedenen Versionen von Debian beschreibt. OP wird nach der Linie "jessie (security)" suchen.

3
Kevin

Der Apache2 (2.4.10-10) ist die neueste Version, die vom Debian-Repository über den Befehl apt installiert wurde. Wenn eine neue Version verfügbar ist, wird sie automatisch über apt.

leider ist Apache2 bei Jessie Bacports nicht verfügbar.

Sie können die neueste auf der Apache wesite verfügbare Version installieren, indem Sie Folgendes kompilieren:

Kompilieren und Installieren

1
GAD3R

Sie können die verfügbare Version in Ihrem Repository anzeigen mit:

[email protected] 20:54:59:~# apt-cache policy Apache2
1
FaxMax