apache2를 Debian jessie의 최신 버전으로 업데이트하려면 어떻게합니까?


16

내 데비안 컴퓨터에서 현재 버전의 apache2는 2.4.10입니다.

root@9dd0fd95a309:/# apachectl -V
Server version: Apache/2.4.10 (Debian)

아파치를 최신 버전 (최소 2.4.26)으로 업그레이드하고 싶습니다.

root@9dd0fd95a309:/# apt-get install apache2
Reading package lists... Done
Building dependency tree
Reading state information... Done
apache2 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 48 not upgraded.

그러나 업데이트를 찾지 못했습니다. 최신 버전으로 업그레이드하려면 어떻게해야합니까?

여기에 이미지 설명을 입력하십시오


어떤 버전의 데비안을 사용하십니까?
Jan

1
왜 업그레이드를 원하십니까?
Stephen Kitt

1
@wawanopoulos : Jessie는 여전히 지원 되므로 버전 번호가 업스트림과 다르더라도 보안 패치 또는 백 포트가 표시 될 것으로 예상합니다.
케빈

1
수정할 것이 없습니다.
Stephen Kitt

1
그것들은 데비안 패키지에 고정되어 있습니다. Tenable 보고서는 순전히 버전 번호를 기반으로하며, 불행히도 많은 배포 패키지에서 작동하지 않습니다.
Stephen Kitt

답변:


32

Apache를 수동으로 업그레이드하지 마십시오.

보안을위한 수동 업그레이드는 불필요하며 해로울 수 있습니다.

데비안이 소프트웨어를 출시하는 방법

이것이 왜 그런지 보려면 데비안이 패키징, 버전 및 보안 문제를 처리하는 방법을 이해해야합니다. 데비안은 변경 사항보다 안정성을 중요하게 생각하기 때문에, 정책은 소프트웨어 버전을 안정된 릴리스의 패키지에 고정시키는 것입니다. 이는 안정적인 릴리스를 위해 거의 변화가 없으며 일단 작동하면 오랫동안 계속 작동해야 함을 의미합니다.

그러나 데비안 안정 버전이 출시 된 후 심각한 버그 나 보안 문제가 발견되면 어떻게해야합니까? 이것들은 데비안 안정과 함께 제공된 소프트웨어 버전에서 수정 되었습니다 . 따라서 데비안 안정이 Apache와 함께 제공되는 경우 2.4.10보안 문제가 발견되어 수정되었습니다 2.4.26. 데비안은이 보안 수정 사항을 적용하여에 적용 2.4.10하여 수정 사항 2.4.10을 사용자에게 배포합니다 . 이는 버전 업그레이드로 인한 중단을 최소화합니다. 되지만 Tenable과 같은 버전 스니핑은 의미가 없습니다.

심각한 버그는 포인트 릴리스 ( .9데비안에서8.9 몇 개월마다 ) . 보안 픽스는 즉시 수정되고 업데이트 채널을 통해 제공됩니다.

일반적으로, 지원되는 데비안 버전을 실행하고, 데비안 패키지를 보관하고, 보안 업데이트를 최신 상태로 유지하는 한 좋을 것입니다.

Tenable 보고서

데비안 안정이 문제에 취약한 지 확인하기 위해 Tenable의 "2.4.x <2.4.27 다중 문제"는 쓸모가 없습니다. 우리는 그들이 말하는 보안 문제를 정확히 알아야합니다. 운 좋게도 모든 중요한 취약점에는 CVE ( Common Vulnerability and Exposures ) 식별자 가 할당 되므로 특정 취약점에 대해 쉽게 이야기 할 수 있습니다.

예를 들어 Tenable 이슈 101788 의이 페이지에서이 문제는 취약점 CVE-2017-9788 및 CVE-2017-9789에 관한 것임을 알 수 있습니다. 데비안 보안 추적기 에서 이러한 취약점을 검색 할 수 있습니다 . 그렇게하면 CVE-2017-9788의 상태가 버전 또는 그 이전에 "고정"상태 임을 알 수 있습니다 2.4.10-10+deb8u11. 마찬가지로 CVE-2017-9789는 고정되어 있습니다. 있습니다.

실질적인 문제 10095CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668CVE-2017-7679 에 관한 것입니다.

따라서 버전 2.4.10-10+deb8u11인 경우 이러한 모든 취약점으로부터 안전해야합니다! 이를 확인할 수 있습니다 dpkg -l apache2(터미널이 전체 버전 번호를 표시 할 수있을만큼 넓어야합니다).

최신 정보

그렇다면 이러한 보안 업데이트를 어떻게 최신 상태로 유지합니까?

먼저 /etc/apt/sources.list또는에 보안 저장소가 있어야합니다 /etc/apt/sources.list.d/*.

deb http://security.debian.org/ jessie/updates main

이것은 설치의 정상적인 부분이므로 특별한 작업을 수행하지 않아도됩니다.

다음으로 업데이트 된 패키지를 설치해야합니다. 이것은 귀하의 책임입니다. 자동으로 수행되지 않습니다. 간단하지만 지루한 방법은 정기적으로 로그인하여 실행하는 것입니다

# apt-get update
# apt-get upgrade

데비안 버전을 8.8 (우리는 8.9 임)로보고한다는 사실과 ... and 48 not upgraded.곧 게시 한 내용으로 판단 할 수 있습니다.

보안 업데이트에 대한 알림을 받으려면 데비안 보안 공지 메일 링리스트를 구독하는 것이 좋습니다 .

또 다른 옵션은 서버가 이메일을 보내도록하고 apticron 과 같은 패키지를 설치 하여 시스템의 패키지를 업데이트해야 할 때 이메일을 보내는 것 입니다. 기본적으로 apt-get update파트를 정기적으로 실행하고 파트를 수행하도록 사용자를 괴롭 힙니다 apt-get upgrade.

마지막으로 무인 업그레이드 와 같은 기능을 설치 하여 업데이트를 확인할 뿐만 아니라 사람의 개입없이 자동으로 업데이트를 설치할 수 있습니다. 사람의 감독없이 패키지를 자동으로 업그레이드하면 약간의 위험이 있으므로, 이것이 좋은 솔루션인지 스스로 결정해야합니다. 나는 그것을 사용하고 나는 그것에 만족하지만, 조심스러운 업데이트 자.

자신을 업그레이드하는 것이 해로운 이유

두 번째 문장에서는 최신 Apache 버전으로 업그레이드하는 것이 해로울 수 있다고 말했습니다 .

그 이유는 간단합니다. 데비안의 아파치 버전을 따르고 보안 업데이트를 설치하는 습관을 들이는다면 보안 측면에서 좋은 위치에 있습니다. 데비안 보안 팀은 보안 문제를 식별하고 수정하며 최소한의 노력으로 그 작업을 즐길 수 있습니다.

그러나 Apache 2.4.27+를 Apache 웹 사이트에서 다운로드하여 직접 컴파일하여 설치하는 경우 보안 문제를 해결하는 작업은 전적으로 사용자의 몫입니다. 보안 문제를 추적하고 문제가 발견 될 때마다 다운로드 / 컴파일 등의 작업을 수행해야합니다.

이것은 상당한 양의 일이며 대부분의 사람들이 느슨해졌습니다. 따라서 문제가 발견되면 점점 더 취약 해지는 자체 컴파일 된 Apache 버전을 실행하게됩니다. 그래서 그들은 단순히 데비안의 보안 업데이트를 따르는 것보다 훨씬 나빠졌습니다. 네, 아마도 해로울 것입니다.

즉, 소프트웨어를 직접 컴파일하거나 (데비안 테스트에서 패키지를 선택적으로 가져 오거나 불안정한) 장소가 없다고 말하는 것은 아니지만 일반적으로 반대하는 것이 좋습니다.

보안 업데이트 기간

데비안은 릴리스를 영원히 유지하지 않습니다. 일반적으로 데비안 릴리스는 최신 릴리스에서 폐기 된 후 1 년 동안 완전한 보안 지원을받습니다.

실행중인 릴리스 인 Debian 8 / jessie은 더 이상 사용되지 않는 안정적인 릴리스입니다 ( oldstableDebian 용어로). 그것은 전체 보안 지원을 받게됩니다 2018년 5월 때까지 , 그리고 장기 지원 내가 완전히 확인이 LTS 지원의 범위가 무엇인지 모르겠어요 4월 2020 년까지.

현재 데비안 안정판은 데비안 9 / stretch입니다. 모든 소프트웨어의 최신 버전과 20 년 중반까지 몇 년 동안 완전한 보안 지원을 제공 하는 데비안 9로 업그레이드하는 것을 고려하십시오 . 편리한 시간에 2018 년 5 월 이전에 업그레이드하는 것이 좋습니다.

맺음말

이전에는 데비안 백 포트 보안 수정 사항을 썼습니다. 이것은 일부 소프트웨어에 대한지지 할 수없는 었죠 인해 개발 및 보안 문제의 높은 비율의 높은 속도로. 이러한 패키지는 예외이며 실제로 최신 업스트림 버전으로 업데이트됩니다. 이것이 적용되는 패키지는 chromium(브라우저) firefox, 및 nodejs입니다.

마지막으로, 보안 업데이트를 다루는이 모든 방법은 데비안 고유의 것이 아닙니다. 많은 배포판, 특히 새 소프트웨어보다 안정성을 선호하는 배포판이 이와 같이 작동합니다.


나는 당신이 여기에서하고있는 요점을 듣고 있지만 스트레치 (안정적)와 시드 (불안정한)를 비교하면 훨씬 더 두드러집니다. Stretch는 어쨌든 대부분의 관심을 끌고 동일한 규칙이 보안 업데이트에 적용됩니다. 기본적으로 oldstable의 이유는 모든 게으른 sys-admin 또는 업데이트되지 않은 내부 소프트웨어 종속성이있는 사용자를위한 레거시 지원 때문입니다. 안정 대 오래된 안정을 사용하여 보안에서 눈에 띄는 차이를 보여 줄 수 있습니까?
jdwolf

@jdwolf 내가 아는 한, oldstable이 지원되는 한 안정적만큼 많은 보안 지원을받습니다. 저는 현재 수십 개의 데비안 머신을 관리하고 있습니다. 현재 jessie와 stretch가 혼합되어 있으며 저에게 적용되는 모든 DSA를 읽습니다. 나는 구식의 패턴이 충분히 주목받지 못하는 것을 보지 못했습니다. DSA를 읽은 적이 있다면 동일한 발표에서 안정 및 구식 (보통 테스트 및 불안정에 대한 정보와 함께)의 고정 버전을 나열하는 경향이 있음을 알 수 있습니다.
marcelm

귀하의 게시물은 oldstable에서 안정으로 업데이트하는 것이 좋지 않다는 것을 이해합니다.
jdwolf

@jdwolf 그건 전혀 의도가 아닙니다! 사실, 나는 구식보다 안정적을 권장합니다 (상황이 허용한다고 가정). 어떤 부분에서 그 인상을 얻습니까? 내 게시물을 약간 편집했습니다. 바라건대 지금은 안정보다 구식을 옹호하지 않기를 바랍니다.
marcelm

6

데비안 Jessie는 여전히 지원되며 최신 버전에서 제공되는 보안 픽스는 Jessie에서 제공되는 패키지로 백 포트되었습니다 (2.4.10-10 + deb8u11, Jessie가 출시 된 이후 11 개의 업데이트가 있음을 의미 함). Apache의 모든 알려진 수정 가능한 취약점 은 Jessie 패키지에서 수정되었습니다 . 설치를 최신 상태로 유지하는 한 안전해야합니다. 향후 취약점은 계속 지원되는 한 Jessie에서 계속 수정 될 것입니다.

최신 버전이 Jessie로 백 포트 될 가능성은 거의 없습니다. 위에 표시된대로 지원되는 한 Jessie에 머무르면 안전합니다. 2.4.10에서 사용할 수없는 최신 기능 이 필요한 경우 데비안 9로 업그레이드해야합니다.


3

이전의 안정적인 데비안 버전 인 Debian Jessie를 사용하고 있습니다. Jessie의 최신 Apache 버전은 2.4.10입니다.

따라서 apt dist-upgrade를 실행하고 Debian Stretch로 마이그레이션하거나 백 포트에서 사용할 수있을 때까지 기다릴 수있는 두 가지 옵션이 있습니다.


그리고 우리는 데비안 스트레치에서 아파치 버전을 무엇입니까?
와와 노풀 로스

@wawanopoulos2.4.25-3+deb9u3
LinuxSecurityFreak

3

OP는 의견에서 다음과 같이 지적했다.

  • 그들은 데비안 제시에 있습니다.
  • 보안 문제를 해결하기 위해 Apache를 업그레이드하려고합니다.

데비안 제시는 현재의 구식 안정판 입니다 (2017-11-12 기준). 데비안 보안 팀으로부터 정기적 인 보안 업데이트를 받아야합니다. 당 데비안 보안 자주 묻는 질문 :

보안 팀은 올해에 다른 안정적인 배포가 릴리스되는 경우를 제외하고 다음 안정적인 배포가 릴리스 된 후 약 1 년 동안 안정적인 배포를 지원하려고합니다. 세 가지 배포판을 지원할 수는 없습니다. 두 가지를 동시에 지원하는 것은 이미 충분히 어렵다.

현재 데비안 마구간은 Stretch이며 2017-06-17 에 발표되었습니다. . 따라서 보안 팀은 2018 년 중반까지 Jessie를 지원할 것으로 예상합니다. 그 후에는 2020 년 4 월 말까지 LTS에 있을 것입니다 .

결론: OP의 시스템은 여전히 ​​지원되고 있습니다. OP는 apache2정상적으로 패키지를 계속 업그레이드 할 수 있습니다 . 보안 업데이트가없는 경우 백 포트 및 릴리스 되 자마자 보안 업데이트를받습니다. 버전 번호가 일치 하지 않을 수 있지만 시스템이 안전하지 않다는 의미는 아닙니다.

이 이메일 에 따르면 , 데비안은 9 월에 수정 사항을 CVE-2017-9798 의 수정 사항을 Jessie로 백 포트했습니다 . 이것이 OP가 우려하는 취약점 (그리고 jessie-security repo가 ​​sources.list 파일에 있어야 함) 인 경우 시스템에서 이미 수정되어 있어야 apt show apache2합니다. 버전은 2.4.10-10+deb8u11)입니다. 그렇지 않다면 CVE 번호를 데비안 보안 추적기 의 검색 상자에 넣고 무엇이 나오는지 확인해야합니다. 다양한 버전의 데비안에서 취약점의 상태를 설명하는 페이지를 생성해야합니다. OP는 "jessie (security)"라인을 찾을 것입니다.


1

아파치 (2.4.10-10)는 데비안 저장소에서 설치 최신 버전을 통해입니다apt 새 버전을 사용할 수있을 때 명령, 그것은을 통해 자동으로 업그레이드됩니다 apt.

운수 나쁘게 apache2 jessie bacports에서 사용할 수 없습니다.

Apache 웹 사이트에서 사용 가능한 최신 버전을 설치할 수 있습니다 을 컴파일 .

컴파일과 설치


이것은 나쁜 조언입니다. OP가 자체 Apache를 컴파일하는 경우, 발견 된 모든 보안 문제 후에이를 수행해야합니다. 지원되는 배포 버전을 유지하는 것이 훨씬 좋습니다.
marcelm

1

다음을 사용하여 저장소에서 사용 가능한 버전을 볼 수 있습니다.

root@server 20:54:59:~# apt-cache policy apache2
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.