मेरी डेबियन मशीन में, Apache2 का वर्तमान संस्करण 2.4.10 है:

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

मैं अपाचे को एक नवीनतम संस्करण में अपग्रेड करना चाहूंगा (कम से कम 2.4.26): मैंने कोशिश की:

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

लेकिन इसे कोई अपडेट नहीं मिला। नवीनतम संस्करण में अपग्रेड करने के लिए मैं क्या कर सकता हूं?

अपाचे को मैन्युअल रूप से अपग्रेड न करें।

सुरक्षा के लिए मैनुअल अपग्रेड अनावश्यक और संभवतः हानिकारक है।

डेबियन सॉफ्टवेयर कैसे जारी करता है

यह देखने के लिए कि यह क्यों है, आपको समझना चाहिए कि डेबियन पैकेजिंग, संस्करण और सुरक्षा मुद्दों से कैसे निपटता है। चूँकि डेबियन मूल्यों में बदलाव पर स्थिरता रखता है, नीति एक स्थिर रिलीज के पैकेज में सॉफ्टवेयर संस्करणों को फ्रीज करना है। इसका मतलब यह है कि एक स्थिर रिलीज के लिए बहुत कम परिवर्तन होते हैं, और एक बार काम करने के बाद उन्हें लंबे समय तक काम करना जारी रखना चाहिए।

लेकिन, क्या होगा अगर एक डेबियन स्थिर संस्करण की रिहाई के बाद एक गंभीर बग या सुरक्षा मुद्दा खोजा जाए? डेबियन स्थिर के साथ प्रदान किए गए सॉफ़्टवेयर संस्करण में ये तय किए गए हैं । इसलिए यदि डेबियन ने अपाचे के साथ स्थिर जहाज लगाए 2.4.10, तो एक सुरक्षा मुद्दा पाया जाता है और इसमें तय किया जाता है 2.4.26, डेबियन इस सुरक्षा को ठीक करेगा, और इसे लागू करेगा 2.4.10, और 2.4.10अपने उपयोगकर्ताओं को फिक्स्ड वितरित करेगा । यह संस्करण उन्नयन से व्यवधानों को कम करता है , लेकिन यह संस्करण को सूँघता है जैसे कि टेनबल व्यर्थ करता है।

गंभीर कीड़े एकत्र किए जाते हैं और हर कुछ महीनों में बिंदु रिलीज ( .9डेबियन में 8.9) तय किए जाते हैं । सुरक्षा फ़िक्स को तुरंत ठीक किया जाता है और अपडेट चैनल के माध्यम से प्रदान किया जाता है।

सामान्य तौर पर, जब तक आप एक समर्थित डेबियन संस्करण चलाते हैं, डेबियन पैकेजों से चिपके रहते हैं, और उनके सुरक्षा अद्यतनों पर अद्यतित रहते हैं, तो आपको अच्छा होना चाहिए।

आपकी टेनबल रिपोर्ट

यह जांचने के लिए कि क्या डेबियन स्थिर आपके मुद्दों के लिए असुरक्षित है, टेनबल का "2.4.x <2.4.27 कई मुद्दे" बेकार है। हमें यह जानने की जरूरत है कि वे किन सुरक्षा मुद्दों पर बात कर रहे हैं। सौभाग्य से, प्रत्येक महत्वपूर्ण भेद्यता को एक सामान्य भेद्यता और एक्सपोजर (सीवीई) पहचानकर्ता सौंपा गया है , इसलिए हम विशिष्ट कमजोरियों के बारे में आसानी से बात कर सकते हैं।

उदाहरण के लिए, टेनबल मुद्दे 101788 के लिए इस पेज पर हम देख सकते हैं कि यह मुद्दा कमजोरियों के बारे में CVE-2017-9788 और CVE-2017-9789 है। हम डेबियन सुरक्षा ट्रैकर पर इन कमजोरियों की खोज कर सकते हैं । यदि हम ऐसा करते हैं, तो हम देख सकते हैं कि CVE-2017-9788 की स्थिति संस्करण के पहले या बाद में "निश्चित" है 2.4.10-10+deb8u11। इसी तरह, CVE-2017-9789 तय है ।

तर्कसंगत मुद्दा 10,095 के बारे में है CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 , और CVE-2017-7679 , सभी तय की।

तो अगर आप संस्करण पर हैं 2.4.10-10+deb8u11, तो आपको इन सभी कमजोरियों से सुरक्षित होना चाहिए! आप इसकी जाँच कर सकते हैं dpkg -l apache2(यह सुनिश्चित करें कि आपका टर्मिनल पूर्ण संस्करण संख्या दिखाने के लिए पर्याप्त चौड़ा है)।

तक रहा

तो, आप कैसे सुनिश्चित करते हैं कि आप इन सुरक्षा अद्यतनों के साथ अद्यतित हैं?

सबसे पहले, आपको अपने /etc/apt/sources.listया /etc/apt/sources.list.d/*, कुछ इस तरह से सुरक्षा भंडार रखना होगा:

deb http://security.debian.org/ jessie/updates main

यह किसी भी स्थापना का एक सामान्य हिस्सा है, आपको कुछ विशेष नहीं करना चाहिए।

इसके बाद, आपको यह सुनिश्चित करना होगा कि आप अद्यतन पैकेज स्थापित करें। यह आपकी जिम्मेदारी है; यह स्वचालित रूप से नहीं किया जाता है। एक सरल लेकिन थकाऊ तरीका है कि आप नियमित रूप से लॉग इन करें और चलाएं

# apt-get update
# apt-get upgrade

इस तथ्य को देखते हुए कि आप अपने डेबियन संस्करण को 8.8 के रूप में रिपोर्ट करते हैं (हम 8.9 पर हैं) और ... and 48 not upgraded.अपने पोस्ट से, आप जल्द ही ऐसा करना चाह सकते हैं।

सुरक्षा अपडेट के बारे में सूचित करने के लिए, मैं हिब्ली को डेबियन सुरक्षा घोषणाओं की सदस्यता लेने की सलाह देता हूं ।

एक अन्य विकल्प यह सुनिश्चित कर रहा है कि आपका सर्वर आपको ईमेल भेज सकता है, और एंस्ट्रॉन जैसे पैकेज को स्थापित कर सकता है , जो आपके सिस्टम पर संकुल को अद्यतन करने की आवश्यकता होने पर आपको ईमेल करता है। मूल रूप से, यह नियमित रूप से apt-get updateभाग चलाता है , और आपको apt-get upgradeभाग करने के लिए प्रेरित करता है ।

अंत में, आप अनअटेंडेड-अपग्रेड जैसे कुछ स्थापित कर सकते हैं , जो न केवल अपडेट की जांच करता है, बल्कि मानव हस्तक्षेप के बिना अपडेट को स्वचालित रूप से इंस्टॉल करता है। मानव पर्यवेक्षण के बिना स्वचालित रूप से पैकेज को अपग्रेड करना कुछ जोखिम वहन करता है, इसलिए आपको अपने लिए तय करने की आवश्यकता है कि क्या आपके लिए एक अच्छा समाधान है। मैं इसका उपयोग करता हूं और मैं इससे खुश हूं, लेकिन कैविएट अपडिएटर।

खुद को अपग्रेड करना हानिकारक क्यों है

अपने दूसरे वाक्य में, मैंने कहा कि नवीनतम Apache संस्करण में अपग्रेड करना संभवतः हानिकारक है ।

इसका कारण सरल है: यदि आप अपाचे के डेबियन संस्करण का पालन करते हैं, और सुरक्षा अपडेट स्थापित करने की आदत बनाते हैं, तो आप एक अच्छी स्थिति, सुरक्षा-वार में हैं। डेबियन सुरक्षा टीम सुरक्षा मुद्दों की पहचान करती है और उन्हें ठीक करती है, और आप न्यूनतम प्रयास के साथ उस काम का आनंद ले सकते हैं।

यदि, फिर भी, आप Apache 2.4.27+ इंस्टॉल करते हैं, तो इसे Apache वेबसाइट से डाउनलोड करके और इसे स्वयं संकलित करके कहते हैं, फिर सुरक्षा मुद्दों को ध्यान में रखने का काम पूरी तरह से आपका है। आपको सुरक्षा समस्याओं को ट्रैक करने की आवश्यकता होती है, और हर बार समस्या के डाउनलोड / संकलन / आदि के काम से गुजरना पड़ता है।

यह पता चला है कि यह एक उचित मात्रा में काम है, और ज्यादातर लोग सुस्त हैं। इसलिए वे अपने अपाचे के स्व-संकलित संस्करण को समाप्त करते हैं जो कि अधिक से अधिक कमजोर हो जाते हैं क्योंकि मुद्दे मिलते हैं। और इसलिए वे एक बहुत बुरा अंत करते हैं अगर वे बस डेबियन के सुरक्षा अपडेट का पालन करते थे। तो हाँ, शायद हानिकारक।

यह कहने के लिए नहीं है कि सॉफ़्टवेयर को स्वयं संकलन करने के लिए कोई स्थान नहीं है (या चुनिंदा रूप से डेबियन परीक्षण या अस्थिरता से पैकेज लेना), लेकिन सामान्य तौर पर, मैं इसके खिलाफ सलाह देता हूं।

सुरक्षा अद्यतन की अवधि

डेबियन हमेशा के लिए अपनी रिलीज को बनाए नहीं रखता है। एक सामान्य नियम के रूप में, एक डेबियन रिलीज एक नए रिलीज के बाद बाधित होने के बाद एक वर्ष के लिए पूर्ण सुरक्षा सहायता प्राप्त करता है।

आप जो रिलीज़ कर रहे हैं, डेबियन 8 / jessie, एक ऑब्सोलेटेड स्थिर रिलीज़ है ( oldstableडेबियन शब्दों में)। इसे मई 2018 तक पूर्ण सुरक्षा समर्थन और अप्रैल 2020 तक दीर्घकालिक समर्थन प्राप्त होगा। मुझे पूरी तरह से यकीन नहीं है कि इस एलटीटी समर्थन की सीमा क्या है।

वर्तमान डेबियन स्थिर रिलीज डेबियन 9 / है stretch। डेबियन 9 को अपग्रेड करने पर विचार करें , जो सभी सॉफ़्टवेयर के नए संस्करणों के साथ आता है, और कई वर्षों तक पूर्ण सुरक्षा सहायता (संभवतः 2020 के मध्य तक)। मैं ऐसे समय में उन्नयन की सलाह देता हूं जो आपके लिए सुविधाजनक है, लेकिन मई 2018 से पहले।

अंतिम शब्द

इससे पहले, मैंने लिखा है कि डेबियन सुरक्षा सुधारों का समर्थन करता है। यह विकास के उच्च गति और सुरक्षा के मुद्दों की उच्च दर के कारण कुछ सॉफ़्टवेयर के लिए अस्थिर हो गया । ये पैकेज अपवाद हैं, और वास्तव में हाल के अपस्ट्रीम संस्करण में अपडेट किए गए हैं। पैकेज मुझे पता है कि यह chromium(ब्राउज़र) firefox, और nodejs।

अंत में, सुरक्षा अपडेट से निपटने का यह पूरा तरीका डेबियन के लिए अद्वितीय नहीं है; कई वितरण इस तरह से काम करते हैं, विशेष रूप से नए सॉफ्टवेयर पर स्थिरता का पक्ष लेते हैं।

डेबियन जेसी का अभी भी समर्थन किया जाता है, और नए संस्करणों में प्रदान किए गए सुरक्षा सुधारों को जेसी (2.4.10-10 + deb8u11) में उपलब्ध पैकेज के लिए वापस भेज दिया गया है, जिसका अर्थ है कि जेसी की रिहाई के बाद से अब तक 11 अपडेट हुए हैं)। जेसी पैकेज में अपाचे में सभी ज्ञात, फिक्स्ड कमजोरियां तय की गई हैं ; जब तक आप अपने इंस्टॉलेशन को अप-टू-डेट रखते हैं, तब तक आपको सुरक्षित रहना चाहिए। जब तक यह समर्थित रहेगा तब तक जेसी में भविष्य की कमजोरियां तय की जाती रहेंगी।

यह संभावना नहीं है कि एक नया संस्करण कभी भी जेसी को वापस भेज दिया जाएगा। जैसा कि ऊपर बताया गया है, यदि आप जेसी पर रहते हैं, तो जब तक यह समर्थित है, आप सुरक्षित हैं; यदि आपको 2.4.10 में नई सुविधाएँ उपलब्ध नहीं हैं, तो आपको डेबियन 9 में अपग्रेड करना होगा।

आप डेबियन जेसी का उपयोग कर रहे हैं जो डेबियन का पुराना स्थिर संस्करण है। जेसी में अपाचे का नवीनतम संस्करण 2.4.10 है।

इसलिए आपके पास दो विकल्प हैं, उपयुक्त डिस्टर्ब-अप को चलाएं और डेबियन स्ट्रेच पर माइग्रेट करें या आप इसके लिए बैकपोर्ट में उपलब्ध होने का इंतजार कर सकते हैं।

ओपी ने टिप्पणी में संकेत दिया है कि:

• वे डेबियन जेसी पर हैं।
• वे सुरक्षा के मुद्दे से निपटने के लिए अपाचे को अपग्रेड करना चाहते हैं।

डेबियन जेसी वर्तमान पुरानी रिलीज (2017-11-12 तक) है। यह डेबियन सुरक्षा टीम से नियमित सुरक्षा अपडेट प्राप्त करना चाहिए। प्रति डेबियन सुरक्षा अक्सर पूछे जाने वाले प्रश्न :

सुरक्षा टीम अगले स्थिर वितरण जारी होने के बाद लगभग एक वर्ष के लिए एक स्थिर वितरण का समर्थन करने की कोशिश करती है, सिवाय इसके कि इस वर्ष के भीतर एक और स्थिर वितरण जारी किया जाए। तीन वितरणों का समर्थन करना संभव नहीं है; एक साथ दो का समर्थन करना पहले से ही काफी मुश्किल है।

वर्तमान डेबियन स्थिर स्ट्रेच है, जो 2017-06-17 को जारी किया गया था । इसलिए, हम उम्मीद करते हैं कि सुरक्षा टीम लगभग 2018 के मध्य तक जेसी का समर्थन करेगी। उस समय के बाद, यह एलटीएस में अप्रैल 2020 के अंत तक होगा।

नीचे की रेखा: ओपी की प्रणाली अभी भी समर्थन में है। ओपी apache2सामान्य रूप से पैकेज को अपग्रेड करना जारी रख सकता है । यदि उनके पास पहले से सुरक्षा अद्यतन नहीं है, तो वे इसे जल्द से जल्द प्राप्त करेंगे और इसे वापस भेज दिया जाएगा। संस्करण संख्या मिलान करने में विफल हो सकती है लेकिन इसका मतलब यह नहीं है कि सिस्टम असुरक्षित है।

इस ईमेल के अनुसार , सितंबर में, डेबियन ने सीवीई-2017-9798 को जेसी में फिक्स किया। यदि यह भेद्यता है, तो ओपी चिंतित है (और jessie- सुरक्षा रेपो उनके स्रोतों में है। सूची फ़ाइल, जैसा कि होना चाहिए), तो यह पहले से ही उनके सिस्टम पर तय किया जाना चाहिए (और वे पुष्टि कर सकते हैं कि चल रहा है apt show apache2और जाँच करके) संस्करण है 2.4.10-10+deb8u11)। यदि नहीं, तो उन्हें सीवीई नंबर को डेबियन सुरक्षा ट्रैकर पर खोज बॉक्स में डालना चाहिए और देखना चाहिए कि क्या आता है। यह एक पृष्ठ का उत्पादन करना चाहिए जो डेबियन के विभिन्न संस्करणों में भेद्यता की स्थिति का वर्णन करता है; ओपी को "जेसी (सुरक्षा)" लाइन की तलाश होगी।

Apache2 (2.4.10-10) नवीनतम संस्करण के माध्यम से डेबियन रिपोजिटरी से स्थापित है aptआदेश, एक नया संस्करण उपलब्ध है जब यह के माध्यम से स्वचालित रूप से अपग्रेड कर दिया जाएगा apt।

दुर्भाग्य apache2से jessie bacports पर उपलब्ध नहीं है।

आप Apache wesite पर उपलब्ध नवीनतम संस्करण को संकलित करके स्थापित कर सकते हैं :

संकलन और स्थापित करना

आप अपने भंडार में उपलब्ध संस्करण देख सकते हैं:

root@server 20:54:59:~# apt-cache policy apache2