Debian jessieでapache2を最新バージョンに更新するにはどうすればよいですか?


16

私のDebianマシンでは、apache2の現在のバージョンは2.4.10です。

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

私はApacheを最新バージョン(少なくとも2.4.26)にアップグレードしたいと思います:私は試しました:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

しかし、更新は見つかりません。最新バージョンにアップグレードするにはどうすればよいですか?

ここに画像の説明を入力してください


どのバージョンのDebianを使用していますか?
1

1
なぜアップグレードしたいのですか?
スティーブンキット

1
@wawanopoulos:Jessieは引き続きサポートされているため、バージョン番号がアップストリームと異なっていても、セキュリティパッチまたはバックポートが表示されるはずです。
ケビン

1
修正するものは何もありません。
スティーブンキット

1
これらはDebianパッケージで修正されています。Tenableレポートは純粋にバージョン番号に基づいていますが、残念ながら多くの配布パッケージでは機能しません。
スティーブンキット

回答:


32

Apacheを手動でアップグレードしないでください。

セキュリティのための手動アップグレードは不要であり、おそらく有害です。

Debianがソフトウェアをリリースする方法

これがなぜなのかを知るには、Debianがパッケージング、バージョン、セキュリティの問題をどのように扱っているかを理解する必要があります。Debianは変更よりも安定性を重視しているため、ポリシーは安定版リリースのパッケージ内のソフトウェアバージョンをフリーズすることです。これは、安定したリリースではほとんど変更がないことを意味します。そして、物事がうまくいけば、彼らは長い間働き続けるべきです。

しかし、Debian安定版のリリース後に深刻なバグやセキュリティ問題が発見された場合はどうなりますか?これらはDebian stableで提供されるソフトウェアバージョンで修正されています。したがって、Debian安定版がApache 2.4.10に同梱されている場合、セキュリティの問題が見つかり、修正され2.4.26ます。Debianはこのセキュリティ修正を受け取り、それを2.4.10に適用し、修正2.4.10をユーザーに配布します。これにより、バージョンアップグレードによる中断が最小限に抑えられますが、Tenableが意味をなさないようなバージョンスニッフィングが行われます。

重大なバグは、数か月ごとに(Debianの)ポイントリリースで収集および修正されます。セキュリティ修正はすぐに修正され、更新チャネルを通じて提供されます。.98.9

一般に、サポートされているDebianバージョンを実行し、ストックされているDebianパッケージに固執し、それらのセキュリティアップデートを最新に保つ限り、あなたは良いはずです。

Tenableレポート

Debian安定版があなたの問題に対して脆弱かどうかをチェックするには、Tenableの「2.4.x <2.4.27複数の問題」は役に立ちません。彼らが話しているセキュリティ問題を正確に知る必要があります。幸いなことに、すべての重要な脆弱性にはCommon Vulnerability and Exposures(CVE)識別子が割り当てられているため、特定の脆弱性について簡単に話すことができます。

たとえば、Tenableの問題101788のこのページでは、その問題はCVE-2017-9788およびCVE-2017-9789の脆弱性に関するものであることがわかります。これらの脆弱性はDebianセキュリティトラッカーで検索できます。これを行うと、CVE-2017-9788のステータスがversion内またはそれ以前に「fixed」になっていることがわかり2.4.10-10+deb8u11ます。同様に、CVE-2017-9789が固定されています

Tenable issue 10095は、CVE-2017-3167CVE-2017-3169CVE-2017-7659CVE-2017-7668、およびCVE-2017-7679に関するもので、すべて修正されています。

したがって、バージョン2.4.10-10+deb8u11を使用している場合は、これらの脆弱性すべてから安全である必要があります!これを確認できdpkg -l apache2ます(端末が完全なバージョン番号を表示するのに十分な幅であることを確認してください)。

最新の状態に保つ

それでは、これらのセキュリティ更新プログラムを最新の状態に保つにはどうすればよいですか?

まず、/etc/apt/sources.listまたはにセキュリティリポジトリを用意する必要があります/etc/apt/sources.list.d/*。次のようなものです。

deb http://security.debian.org/ jessie/updates main

これはインストールの通常の部分であり、特別なことをする必要はありません。

次に、更新されたパッケージをインストールすることを確認する必要があります。これはあなたの責任です。自動的には行われません。シンプルだが退屈な方法は、定期的にログインして実行することです

# apt-get update
# apt-get upgrade

Debianのバージョンを8.8(私たちは8.9)と報告しているという事実と... and 48 not upgraded.あなたの投稿から判断すると、すぐにこれを行うことができます。

セキュリティアップデートの通知を受け取るには、Debianセキュリティアナウンスメーリングリストに登録することを強くお勧めします。

別のオプションは、サーバーがメールを送信できるようにし、システム上のパッケージを更新する必要があるときにメールを送信するapticronなどのパッケージをインストールすることです。基本的に、それは定期的にそのapt-get update部分を実行し、そのapt-get upgrade部分を行うようにあなたを悩ませます。

最後に、更新を確認するだけでなく、人間の介入なしに自動的に更新をインストールする無人アップグレードのようなものをインストールできます。人間の監督なしでパッケージを自動的にアップグレードすることにはリスクが伴うため、それがあなたにとって良い解決策であるかどうかを自分で決める必要があります。私はそれを使用し、それで満足していますが、更新者に注意してください。

自分をアップグレードすることが有害な理由

2番目の文では、Apacheの最新バージョンへのアップグレードはおそらく有害であると述べました。

この理由は簡単です。ApacheのDebianバージョンに従っていて、セキュリティ更新プログラムをインストールする習慣を身につければ、セキュリティに関しては良い立場にいることになります。Debianのセキュリティチームはセキュリティの問題を特定して修正し、最小限の労力でその作業を楽しむことができます。

ただし、Apache Webサイトからダウンロードして自分でコンパイルするなどして、Apache 2.4.27+をインストールする場合、セキュリティの問題に対応する作業は完全にあなたのものです。セキュリティの問題を追跡し、問題が見つかるたびにダウンロード/コンパイル/などの作業を行う必要があります。

これはかなりの量の作業であり、ほとんどの人が怠けていることがわかります。そのため、問題が見つかったときにますます脆弱になる、自己コンパイルされたバージョンのApacheを実行することになります。そのため、彼らは単にDebianのセキュリティアップデートを追っていた場合よりもはるかに悪い結果になります。はい、おそらく有害です。

ソフトウェアを自分でコンパイルする(またはDebianテストや不安定版から選択的にパッケージを取得する)場所がないと言っているわけではありませんが、一般的にはこれに反対することをお勧めします。

セキュリティ更新の期間

Debianはそのリリースを永久に維持しているわけではありません。原則として、Debianリリースは、新しいリリースによって廃止されてから1年間、完全なセキュリティサポートを受けます。

実行中のリリース、Debian 8 / jessieは、廃止された安定版リリースです(oldstableDebianの用語で)。2018年5月までは完全なセキュリティサポートを、2020年4月までは長期サポートを提供します。このLTSサポートの範囲は完全にはわかりません。

現在のDebian安定版リリースはDebian 9 / stretchです。Debian 9アップグレードすることを検討してください。Debian9には、すべてのソフトウェアの新しいバージョンが付属し、数年間(おそらく2020年半ばまで)完全なセキュリティサポートが提供されます。都合の良い時期にアップグレードすることをお勧めしますが、2018年5月よりかなり前です。

閉会の辞

以前、Debianはセキュリティ修正をバックポートすることを書きました。これ、開発のペースが速く、セキュリティの問題が頻繁に発生するため、一部のソフトウェアでは受け入れられません。これらのパッケージは例外であり、実際には最新のアップストリームバージョンに更新されます。私がこれを知っているパッケージはchromium(ブラウザ)、、firefoxおよびnodejsです。

最後に、セキュリティ更新プログラムを処理するこの方法全体は、Debianに固有のものではありません。多くのディストリビューション、特に新しいソフトウェアよりも安定性を優先するディストリビューションがこのように機能します。


ここであなたが指摘していることは聞いていますが、Stretch(stable)とSid(unstable)を比較すると、より顕著になります。とにかくStretchが最も注目を集め、セキュリティ更新プログラムにも同じルールが適用されます。主に旧安定の理由は、すべての怠sysなシステム管理者または更新されていない内部ソフトウェアの依存関係を持つシステム管理者に対するレガシーサポートです。安定版と旧安定版を使用して、セキュリティにかなりの違いを示すことができますか?
jdwolf

@jdwolf私の知る限り、oldstableがサポートされている限り、安定版と同等のセキュリティサポートが提供されます。私は数十台のDebianマシン(現在はjessieとstretchが混在している)を管理しており、自分に当てはまるすべてのDSAを読んでいます。旧安定版のパターンが十分な注目を集めていないことに気がつきませんでした。DSAを読んだことがある人は、同じアナウンスで安定版と旧安定版の両方の修正版を(通常はテストと不安定版に関する情報と共に)リストする傾向があることがわかります。
-marcelm

私はそれを理解していますが、あなたの投稿は古い安定から安定に更新する印象を与えることは悪いことです。
jdwolf

@jdwolfそれはまったく私の意図ではありません!実際、古い安定版よりも安定版をお勧めします(状況が許せば)。その印象はどの部分から得ますか?投稿を少し編集しました。安定したものよりも古い安定したものを支持しないようになったことが望ましいと思います。
-marcelm

6

Debian Jessieは引き続きサポートされており、新しいバージョンで提供されるセキュリティ修正はJessieで利用可能なパッケージにバックポートされています(2.4.10-10 + deb8u11。つまり、Jessieのリリース以来11のアップデートがあります)。Apacheの既知の修正可能な脆弱性はすべてJessieパッケージで修正されています。インストールを最新に保つ限り、安全である必要があります。Jessieの今後の脆弱性は、サポートされている限り修正され続けます。

新しいバージョンがJessieにバックポートされることはまずありません。上記のように、Jessieがサポートされている限り、Jessieにとどまる場合は安全です。2.4.10にない新しい機能が必要な場合は、Debian 9にアップグレードする必要があります。


3

Debianの古い安定バージョンであるDebian Jessieを使用しています。JessieのApacheの最新バージョンは2.4.10です。

したがって、apt dist-upgradeを実行してDebian Stretchに移行するか、バックポートで利用可能になるまで待つことができます。


そして、DebianストレッチのApacheバージョンとは何ですか?
ワワノプロス

@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak

3

OPはコメントで次のことを示しています。

  • Debian Jessie上にあります。
  • 彼らはセキュリティ問題に対処するためにApacheをアップグレードしたいと考えています。

Debian Jessieは現在の旧安定版リリースです(2017-11-12現在)。Debianセキュリティチームから定期的なセキュリティアップデートを受け取っているはずです。DebianセキュリティFAQごと:

セキュリティチームは、次の安定版がリリースされてから約1年間、安定版をサポートしようとします。ただし、今年中に別の安定版がリリースされる場合を除きます。3つのディストリビューションをサポートすることはできません。2つを同時にサポートすることは、すでに十分に困難です。

現在のDebian安定版はStretchで、2017-06-17にリリースされました。したがって、セキュリティチームは2018年の半ば頃までジェシーをサポートする予定です。それ以降、2020年4月末までLTSになります。

結論 OPのシステムはまだサポートされています。OPはapache2通常どおりパッケージのアップグレードを続行できます。セキュリティ更新プログラムをまだ持っていない場合、バックポートされてリリースされるとすぐにそれを受け取ります。バージョン番号が一致しない場合がありますが、これはシステムが安全でないことを意味するものではありません。

このメールによると、9月、DebianはCVE-2017-9798の修正をJessieにバックポートしました。これがOPが懸念している脆弱性である場合(そしてjessie-securityリポジトリがsources.listファイルにあるはずです)、システムで既に修正されているはずです(そして、それを実行apt show apache2してチェックすることで確認できます)バージョンは2.4.10-10+deb8u11)です。そうでない場合は、Debianセキュリティのトラッカーの検索ボックスにCVE番号を入力して、何が表示されるかを確認する必要があります。Debianのさまざまなバージョンの脆弱性の状態を説明するページを作成する必要があります。OPは「jessie(security)」行を探します。


1

apache2の(2.4.10-10)を通じDebianのリポジトリからインストールし、最新バージョンであるapt新バージョンが公開されたときにコマンド、それはを通じて自動的にアップグレードされますapt

残念ながらapache2jessie bacportsでは利用できません。

以下をコンパイルすることにより、Apacheウェブサイトで利用可能な最新バージョンをインストールできます。

コンパイルとインストール


これは悪いアドバイスです。OPが独自のApacheをコンパイルする場合、セキュリティの問題が発見されるたびにそれを行う必要があります。実行しているディストリビューションのサポートされているバージョンを使用することをお勧めします。
-marcelm

1

リポジトリで使用可能なバージョンを表示するには、次を使用します。

root@server 20:54:59:~# apt-cache policy apache2
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.