As atualizações de segurança do apache foram portadas?

1

Eu tenho o Apache 2.4.7 no meu Ubuntu 14.04. Eu atualizo regularmente pacotes executando sudo apt-get upgrade . Eu teria esperado que também atualize o Apache, mas parece que não aconteceu. Eu tenho lido sobre este backporting que se refere à aplicação de correções de segurança para versões mais antigas de pacotes (?).

A minha pergunta é, como posso verificar se o meu Apache obteve as suas atualizações de segurança através de backporting?

    
por Rasse 09.03.2017 / 15:29

1 resposta

2

Como verificar se o seu Apache está recebendo atualizações de segurança:

Veja o changelog .

Veja um exemplo de uma entrada do changelog mostrando uma correção de segurança:

2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium

* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
 - debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
 - CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.

Erro comum: as atualizações de segurança NÃO são backports

Digamos que o Projeto Foo descubra uma vulnerabilidade de segurança no Foo 1.1. Eles emitem um patch. Como a maioria dos usuários não tem idéia de como aplicar o patch, eles também lançam uma nova versão do Foo 1.2 e sugerem a atualização de todos.

A equipe de segurança do Ubuntu não empacota o Foo 1.2. Em vez disso, eles corrigem Foo 1.1. Eles carregam a versão corrigida como Foo 1.1ubuntu0 . Quando você checa sua versão do Foo, ela ainda diz '1.1' e seu site de notícias tecnológicas diz que '1.1' é vulnerável. Verifique a versão do pacote e o changelog para ver quais patches de segurança foram aplicados. NÃO confie no recurso --version do software. A equipe de segurança do Ubuntu não mudará essa string.

O Foo 1.2 aparece na próxima versão do Ubuntu. Você pode atualizar para os novos recursos brilhantes.

Após o Foo 1.2 ser lançado em uma versão posterior do Ubuntu, alguns usuários intrépidos experimentarão o novo pacote em sua versão mais antiga do Ubuntu. Backporting no Ubuntu é este método de portar novos pacotes para versões mais antigas. Às vezes funciona, às vezes não. Backporting no Ubuntu não tem nada a ver com atualizações de segurança.

Esteja ciente de que o repositório de 'segurança confiável' é totalmente suportado pelo Ubuntu. O repositório 'trusty-backports' não é suportado - usuário beware.

    
por user535733 09.03.2017 / 16:06