Не обновляйте Apache вручную.
Ручное обновление для обеспечения безопасности не требуется и, вероятно, вредно.
Как Debian выпускает программное обеспечение
Чтобы понять, почему это так, вы должны понять, как Debian решает проблемы с упаковкой, версиями и безопасностью. Поскольку Debian ценит стабильность над изменениями, политика заключается в замораживании версий программного обеспечения в пакетах стабильного выпуска. Это означает, что для стабильного выпуска очень мало изменений, и как только все заработает, они должны продолжать работать в течение длительного времени.
Но что, если после выпуска стабильной версии Debian обнаружится серьезная ошибка или проблема безопасности? Они исправлены в версии программного обеспечения, поставляемой со стабильной версией Debian . Таким образом, если стабильная версия Debian поставляется с Apache 2.4.10
, проблема безопасности обнаружена и устранена 2.4.26
, Debian примет это исправление безопасности, применяет его 2.4.10
и распространяет исправленные исправления.2.4.10
среди своих пользователей. Это сводит к минимуму сбои при обновлении версий, но делает анализ версий, такой как Tenable, бессмысленным.
Серьезные ошибки собираются и исправляются в точечных выпусках ( .9
в Debian8.9
) каждые несколько месяцев. Исправления безопасности исправляются немедленно и предоставляются через канал обновления.
В общем, до тех пор, пока вы запускаете поддерживаемую версию Debian, придерживаетесь стандартных пакетов Debian и всегда будете в курсе их обновлений безопасности, у вас все будет хорошо.
Ваш надежный отчет
Чтобы проверить, уязвима ли стабильная версия Debian для ваших проблем, в Tenable «2.4.x <2.4.27 много проблем» бесполезно. Нам нужно точно знать, о каких проблемах безопасности они говорят. К счастью, каждой существенной уязвимости присвоен идентификатор Common Vulnerability and Exposures (CVE), поэтому мы можем легко говорить о конкретных уязвимостях.
Например, на этой странице для проблемы Tenable 101788 мы видим, что эта проблема связана с уязвимостями CVE-2017-9788 и CVE-2017-9789. Мы можем искать эти уязвимости в трекере безопасности Debian . Если мы это сделаем, то увидим, что CVE-2017-9788 имеет статус «исправлено» в версии или ранее 2.4.10-10+deb8u11
. Кроме того, CVE-2017-9789 исправлен .
Устойчивый выпуск 10095 касается CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 и CVE-2017-7679 , все фиксировано.
Так что, если вы используете версию 2.4.10-10+deb8u11
, вы должны быть защищены от всех этих уязвимостей! Вы можете проверить это с помощью dpkg -l apache2
(убедитесь, что ваш терминал достаточно широк, чтобы показать полный номер версии).
Будьте в курсе
Итак, как вы убедитесь, что вы в курсе этих обновлений безопасности?
Во-первых, вам нужно иметь репозиторий безопасности в вашем /etc/apt/sources.list
или /etc/apt/sources.list.d/*
что-то вроде этого:
deb http://security.debian.org/ jessie/updates main
Это нормальная часть любой установки, вам не нужно делать ничего особенного.
Далее вы должны убедиться, что устанавливаете обновленные пакеты. Это ваша ответственность; это не делается автоматически. Простой, но утомительный способ - регулярно заходить и запускать
# apt-get update
# apt-get upgrade
Судя по тому, что вы сообщаете о своей версии Debian как 8.8 (мы находимся на 8.9) и ... and 48 not upgraded.
из вашего поста, вы можете сделать это в ближайшее время.
Чтобы получать уведомления об обновлениях безопасности, я настоятельно рекомендую подписаться на список рассылки объявлений безопасности Debian .
Другим вариантом является обеспечение того, что ваш сервер может отправлять вам электронные письма, и установка пакета, такого как apticron , который отправляет вам электронное письмо , когда пакеты в вашей системе требуют обновления. В основном, он регулярно запускает apt-get update
часть, и приставает к вам, чтобы выполнить apt-get upgrade
часть.
Наконец, вы можете установить что-то вроде автоматического обновления , которое не только проверяет наличие обновлений, но и автоматически устанавливает обновления без участия человека. Обновление пакетов автоматически без участия человека несет определенный риск, поэтому вам нужно решить для себя, является ли это хорошим решением для вас. Я использую это, и я доволен этим, но будьте осторожны.
Почему обновление себя вредно
Во втором предложении я сказал, что обновление до последней версии Apache, вероятно, вредно .
Причина этого проста: если вы следуете за версией Apache Debian и установите привычку устанавливать обновления безопасности, то с точки зрения безопасности вы находитесь в хорошем положении. Команда безопасности Debian выявляет и устраняет проблемы безопасности, и вы можете наслаждаться этой работой с минимальными усилиями.
Однако, если вы устанавливаете Apache 2.4.27+, скажем, скачав его с веб-сайта Apache и скомпилировав его самостоятельно, то работа по решению проблем безопасности полностью ваша. Вам необходимо отслеживать проблемы безопасности и выполнять загрузку / компиляцию / и т.д. каждый раз, когда обнаруживается проблема.
Оказывается, это изрядная работа, и большинство людей расслабляются. Таким образом, они в конечном итоге запускают свою самостоятельно скомпилированную версию Apache, которая становится все более уязвимой при обнаружении проблем. И поэтому они оказываются намного хуже, чем если бы они просто следили за обновлениями безопасности Debian. Так что да, наверное вредно.
Это не значит, что нет места для самостоятельной компиляции программного обеспечения (или выборочного получения пакетов из тестирования Debian или нестабильной), но в целом я рекомендую против этого.
Продолжительность обновлений безопасности
Debian не поддерживает свои выпуски вечно. Как правило, выпуск Debian получает полную поддержку безопасности в течение одного года после того, как он был отменен более новым выпуском.
Выпуск, который вы запускаете, Debian 8 / jessie
, является устаревшим стабильным выпуском ( oldstable
в терминах Debian). Он получит полную поддержку безопасности до мая 2018 года и долгосрочную поддержку до апреля 2020 года. Я не совсем уверен, какова степень этой поддержки LTS.
Текущий стабильный выпуск Debian - Debian 9 / stretch
. Рассмотрите возможность обновления до Debian 9 , который поставляется с более новыми версиями всего программного обеспечения и полной поддержкой безопасности в течение нескольких лет (вероятно, до середины 2020 года). Я рекомендую обновление в удобное для вас время, но задолго до мая 2018 года.
Заключительные замечания
Ранее я писал, что исправления безопасности в Debian backports. Это оказалось несостоятельным для некоторых программ из-за высоких темпов разработки и высокого уровня проблем безопасности. Эти пакеты являются исключением и фактически обновлены до последней версии апстрима. Пакеты, которые я знаю об этом, относятся к chromium
(браузер),firefox
и nodejs
.
Наконец, весь этот способ работы с обновлениями безопасности не уникален для Debian; так работают многие дистрибутивы, особенно те, которые предпочитают стабильность по сравнению с новым программным обеспечением.