Efeitos em aplicativos causados por atualizações de segurança?

4

Eu quero que meu servidor execute unattended-upgrades regularmente e mantenha meu servidor atualizado automaticamente e instale somente atualizações de segurança.

Mas não quero atualizar as versões principais de vários pacotes.

Por exemplo:
Eu quero que meu servidor tenha o PHP 5.4 rodando Eu estou bem com pequenas atualizações como:

  • 5.4.30 a 5.4.37 ou 5.4.xx a 5.4.yy

Mas não quero alterar as atualizações da versão principal, como:

  • 5.4.48 a 5.5.1 ou 5.x.a a 5.y.a

Isso pode ser feito com unattended-upgrades ?

Agora, o que eu fiz é excluir o PHP5- * de ser atualizado automaticamente por upgrades autônomos. Existe uma maneira melhor de fazer isso?

Ou existe um padrão nas Atualizações de Segurança do Ubuntu, como se eles não atualizassem a versão principal de um aplicativo, como 5.4.48 para 5.5.1 ou 5.x.a para 5.y.a, etc

    
por fFace 20.02.2015 / 07:11

1 resposta

3

Achei esta publicação nos fóruns do Ubuntu bastante útil. pensei que vale a pena compartilhar:

  

Seu sistema não é inteligente o suficiente para saber se uma atualização específica inclui um novo recurso, um bugfix ou um patch de segurança.   Só conhece o repositório do software.   Felizmente, você pode dizer (e filtrar) com base no repositório.

     

Se o projeto upstream lançar um patch de segurança para um CVE, o Ubuntu Security Team o aplicará à versão atual e entrará no repositório *-security .

     

*-security não inclui atualizações. Patches CVE apenas.   O número da versão do upstream não muda, o número da versão Debian ou Ubuntu muda: Foo 1.2.3-1ubuntu2 torna-se Foo 1.2.3-1ubuntu3

     

Você pode ativar facilmente atualizações automáticas para *-security repos em /etc/apt/apt.conf.d/50unattended-upgrades ou em Software e & amp; Atualiza o painel de controle .

     

Além disso: Se você ativar o repositório *-updates , receberá as pequenas melhorias que não se importam. Mas o sistema não tem como determinar se uma atualização é demais para o seu conforto ... não é psíquico ... então talvez você deva desabilitar esse repositório.

     

Finalmente: alguns usuários ficam confusos quando uma vulnerabilidade famosa é descoberta, e o projeto upstream parece recomendar a atualização para a versão mais recente para corrigi-lo. Siga o número CVE em security.ubuntu.com em vez de seguir o hype.

    
por fFace 03.03.2015 / 08:06