Como atualizo o apache2 para a versão mais recente do Debian jessie?

16

Na minha máquina Debian, a versão atual do apache2 é 2.4.10:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

Gostaria de atualizar o apache para uma versão mais recente (pelo menos 2.4.26): Tentei: 

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

Mas não encontra nenhuma atualização. O que posso fazer para atualizar para uma versão mais recente?

insira a descrição da imagem aqui

debian apache-httpd wawanopoulos
fonte
Qual versão do Debian você usa?
Jan
11
Por que você deseja atualizar?
Stephen Kitt
11
@wawanopoulos: Jessie ainda é suportada, então você deve esperar que os patches ou backports de segurança apareçam, mesmo que o número da versão seja diferente do upstream.
Kevin
11
Não há nada para consertar.
Stephen Kitt
11
Eles estão corrigidos no pacote Debian. O relatório Tenable é baseado exclusivamente em números de versão, que infelizmente não funcionam com muitos pacotes de distribuição.
Stephen Kitt

Respostas:

32

Não atualize manualmente o Apache.

A atualização manual para segurança é desnecessária e provavelmente prejudicial.

Como o Debian lança software

Para ver por que isso ocorre, você deve entender como o Debian lida com pacotes, versões e questões de segurança. Como o Debian valoriza a estabilidade em relação às mudanças, a política é congelar as versões do software nos pacotes de uma versão estável. Isso significa que, para uma versão estável, poucas mudanças são alteradas e, quando as coisas funcionarem, elas deverão continuar trabalhando por um longo tempo.

Mas, e se um bug sério ou problema de segurança for descoberto após o lançamento de uma versão estável do Debian? Eles foram corrigidos, na versão do software fornecida com o Debian stable . Portanto, se o Debian stable for lançado com o Apache 2.4.10, um problema de segurança for encontrado e corrigido 2.4.26, o Debian receberá esta correção de segurança, aplicará 2.4.10e distribuirá a correção 2.4.10para seus usuários. Isso minimiza as interrupções das atualizações de versão, mas faz com que o farejador de versões, como o Tenable, não faça sentido.

Erros graves são coletados e corrigidos em versões pontuais ( .9no Debian 8.9) a cada poucos meses. As correções de segurança são corrigidas imediatamente e fornecidas por um canal de atualização.

Em geral, desde que você execute uma versão suportada do Debian, mantenha os pacotes Debian em estoque e mantenha-se atualizado sobre as atualizações de segurança deles, você deve ser bom.

O seu relatório Tenable

Para verificar se o Debian stable é vulnerável a seus problemas, os "múltiplos problemas de 2.4.x <2.4.27" do Tenable são inúteis. Precisamos saber exatamente de quais problemas de segurança eles estão falando. Felizmente, a cada vulnerabilidade significativa é atribuído um identificador Common Vulnerability and Exposures (CVE), para que possamos conversar facilmente sobre vulnerabilidades específicas.

Por exemplo, nesta página para o problema Tenable 101788 , podemos ver que esse problema é sobre vulnerabilidades CVE-2017-9788 e CVE-2017-9789. Podemos procurar essas vulnerabilidades no rastreador de segurança Debian . Se fizermos isso, podemos ver que o CVE-2017-9788 tem o status "corrigido" na versão ou antes 2.4.10-10+deb8u11. Da mesma forma, o CVE-2017-9789 foi corrigido .

O problema sustentável 10095 é sobre CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 e CVE-2017-7679 , todos corrigidos.

Portanto, se você estiver na versão 2.4.10-10+deb8u11, esteja seguro de todas essas vulnerabilidades! Você pode verificar isso com dpkg -l apache2(verifique se o seu terminal é largo o suficiente para mostrar o número da versão completa).

Manter-se atualizado

Então, como você garante que está atualizado com essas atualizações de segurança?

Primeiro, você precisa ter o repositório de segurança no seu /etc/apt/sources.listou /etc/apt/sources.list.d/*, algo como isto:

deb http://security.debian.org/ jessie/updates main

Esta é uma parte normal de qualquer instalação; você não precisa fazer nada de especial.

Em seguida, você deve garantir a instalação dos pacotes atualizados. Esta é sua responsabilidade; isso não é feito automaticamente. Uma maneira simples, porém tediosa, é fazer login regularmente e executar

# apt-get update
# apt-get upgrade

A julgar pelo fato de você relatar sua versão do Debian como 8.8 (estamos na 8.9) e a ... and 48 not upgraded.partir do seu post, você pode fazer isso em breve.

Para ser notificado sobre atualizações de segurança, eu recomendo assinar a lista de discussão dos anúncios de segurança da Debian .

Outra opção é garantir que seu servidor possa lhe enviar e-mails e instalar um pacote como apticron , que envia e-mails quando os pacotes em seu sistema precisam ser atualizados. Basicamente, ele executa a apt-get updatepeça regularmente e o incomoda apt-get upgrade.

Por fim, você pode instalar algo como atualizações autônomas , que não apenas verificam atualizações, mas instalam automaticamente as atualizações sem intervenção humana. A atualização automática dos pacotes sem supervisão humana traz alguns riscos; portanto, você precisa decidir por si mesmo se essa é uma boa solução para você. Eu uso e estou feliz com isso, mas ressalva o atualizador.

Por que atualizar-se é prejudicial

Na minha segunda frase, eu disse que atualizar para a versão mais recente do Apache provavelmente é prejudicial .

A razão para isso é simples: se você segue a versão do Apache do Debian e tem o hábito de instalar as atualizações de segurança, você está em uma boa posição, em termos de segurança. A equipe de segurança do Debians identifica e corrige problemas de segurança, e você pode aproveitar esse trabalho com o mínimo esforço.

Se, no entanto, você instalar o Apache 2.4.27+, digamos, baixando-o do site do Apache e compilando você mesmo, o trabalho de acompanhar os problemas de segurança será totalmente seu. Você precisa rastrear problemas de segurança e realizar o trabalho de baixar / compilar / etc sempre que um problema for encontrado.

Acontece que essa é uma quantidade razoável de trabalho, e a maioria das pessoas se relaxa. Então eles acabam executando sua versão auto-compilada do Apache, que se torna cada vez mais vulnerável à medida que os problemas são encontrados. E assim eles acabam muito piores do que se simplesmente tivessem seguido as atualizações de segurança do Debian. Então sim, provavelmente prejudicial.

Isso não quer dizer que não há lugar para você compilar software (ou pegar seletivamente pacotes dos testes Debian ou instáveis), mas, em geral, eu recomendo isso.

Duração das atualizações de segurança

O Debian não mantém seus lançamentos para sempre. Como regra geral, um lançamento do Debian recebe suporte total à segurança por um ano após ter sido obsoleto por um lançamento mais recente.

A versão que você está executando, Debian 8 / jessie, é uma versão estável obsoleta ( oldstableem termos da Debian). Ele receberá suporte total à segurança até maio de 2018 e suporte a longo prazo até abril de 2020. Não tenho certeza de qual é a extensão desse suporte LTS.

O atual lançamento estável do Debian é o Debian 9 / stretch. Considere atualizar para o Debian 9 , que vem com versões mais recentes de todos os softwares, e suporte completo à segurança por vários anos (provavelmente até meados de 2020). Eu recomendo a atualização em um momento conveniente para você, mas bem antes de maio de 2018.

Considerações finais

Anteriormente, escrevi que o Debian suporta backports de correções de segurança. Isso acabou sendo insustentável para alguns softwares devido ao alto ritmo de desenvolvimento e à alta taxa de problemas de segurança. Esses pacotes são a exceção e, na verdade, são atualizados para uma versão upstream recente. Os pacotes que eu conheço se aplicam a são chromium(o navegador) firefox, e nodejs.

Finalmente, toda essa maneira de lidar com atualizações de segurança não é exclusiva do Debian; muitas distribuições funcionam assim, especialmente as que favorecem a estabilidade em relação a novos softwares.

marcelm
fonte
Eu ouço os argumentos que você está fazendo aqui, mas eles seriam muito mais destacados se comparar o Stretch (estável) com o Sid (instável). De qualquer maneira, a extensão atrai a atenção e as mesmas regras se aplicam às atualizações de segurança. Principalmente o motivo do oldstable é o suporte legado para todos os administradores de sistema preguiçosos ou apenas aqueles com dependências internas de software que não foram atualizadas. Você poderia demonstrar uma diferença significativa na segurança usando estável versus antigo estável?
Jdwolf #
@jdwolf Até onde eu sei, desde que o oldstable seja suportado, ele recebe tanto suporte de segurança quanto estável. Eu gerencio várias dezenas de máquinas Debian, atualmente uma mistura de jessie e stretch, e leio todos os DSAs que se aplicam a mim. Eu nunca notei um padrão de oldstable não recebendo atenção suficiente. Se você ler DSAs, poderá ver que eles tendem a listar a versão fixa para estável e antiga (geralmente juntamente com informações sobre teste e instável) no mesmo anúncio.
marcelm
Entendo isso, mas sua postagem dá a impressão de que a atualização de oldstable para stable é uma coisa ruim.
Jdwolf #
@jdwolf Essa não é minha intenção! De fato, eu recomendo o estável ao invés do antigo (assumindo que a situação permita). De que parte você recebe essa impressão? Editei um pouco minha postagem; espero que esteja mais claro agora, não defendo o oldstable sobre o stable.
marcelm
6

O Debian Jessie ainda é suportado, e as correções de segurança fornecidas nas versões mais recentes foram portadas para o pacote disponível no Jessie (2.4.10-10 + deb8u11, o que significa que houve 11 atualizações até o momento desde o lançamento do Jessie). Todas as vulnerabilidades conhecidas e corrigíveis no Apache são corrigidas no pacote Jessie ; Contanto que você mantenha sua instalação atualizada, você deve estar seguro. Futuras vulnerabilidades continuarão sendo corrigidas em Jessie, enquanto permanecerem com suporte.

É improvável que uma versão mais recente seja suportada para Jessie. Como indicado acima, você estará seguro se permanecer em Jessie, desde que seja suportado; se você precisar de recursos mais novos não disponíveis no 2.4.10, precisará atualizar para o Debian 9.

Stephen Kitt
fonte
3

Você está usando o Debian Jessie, que é a versão estável do Debian. A versão mais recente do Apache no Jessie é a 2.4.10.

Então você tem duas opções, execute apt dist-upgrade e migre para o Debian Stretch ou você pode esperar que ele esteja disponível nos backports.

jdwolf
fonte
E qual a versão apache no debian stretch?
Wawanopoulos 12/11/19
@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak (
3

O OP indicou nos comentários que:

  • Eles estão no Debian Jessie.
  • Eles querem atualizar o Apache para lidar com um problema de segurança.

O Debian Jessie é o lançamento atual do oldstable (a partir de 12/11/2017). Deveria estar recebendo atualizações regulares de segurança da equipe de segurança Debian. De acordo com as Perguntas frequentes sobre segurança Debian :

A equipe de segurança tenta oferecer suporte a uma distribuição estável por cerca de um ano após o lançamento da próxima distribuição estável, exceto quando outra distribuição estável for lançada dentro deste ano. Não é possível suportar três distribuições; apoiar dois simultaneamente já é bastante difícil.

O atual estábulo do Debian é o Stretch, lançado em 17/06/2017 . Portanto, esperamos que a equipe de segurança dê suporte a Jessie até aproximadamente meados de 2018. Após esse período, estará em LTS até o final de abril de 2020.

A linha inferior: o sistema do OP ainda está sob suporte. O OP pode continuar atualizando o apache2pacote normalmente. Se eles ainda não tiverem a atualização de segurança, eles a receberão assim que for portada e lançada. Os números da versão podem não corresponder, mas isso não significa que o sistema não esteja seguro.

De acordo com este e-mail , em setembro, o Debian transportou uma correção para o CVE-2017-9798 para Jessie. Se essa é a vulnerabilidade que o OP está preocupado (e o repositório jessie-security está em seu arquivo sources.list, como deveria ser), ele já deve estar corrigido no sistema (e eles podem confirmar isso executando apt show apache2e verificando se a versão é 2.4.10-10+deb8u11). Caso contrário, eles devem colocar o número CVE na caixa de pesquisa no rastreador de segurança Debian e ver o que aparece. Deve produzir uma página que descreva o status da vulnerabilidade em várias versões do Debian; O OP procurará a linha "jessie (security)".

Kevin
fonte
1

O apache2 (2.4.10-10) é a versão mais recente instalada do repositório debian através do aptcomando, quando uma nova versão estiver disponível, ela será atualizada automaticamente através do apt.

infelizmente apache2não está disponível no jessie bacports.

Você pode instalar a versão mais recente disponível no site apache , compilando:

Compilando e Instalando

GAD3R
fonte
Este é um mau conselho; se o OP compilar seu próprio Apache, precisará fazer isso após cada problema de segurança descoberto. É muito melhor ficar com a versão suportada da distribuição que eles estão executando.
Marcelm
1

Você pode ver a versão disponível no seu repositório com:

root@server 20:54:59:~# apt-cache policy apache2
FaxMax
fonte