Não atualize manualmente o Apache.
A atualização manual para segurança é desnecessária e provavelmente prejudicial.
Como o Debian lança software
Para ver por que isso ocorre, você deve entender como o Debian lida com pacotes, versões e questões de segurança. Como o Debian valoriza a estabilidade em relação às mudanças, a política é congelar as versões do software nos pacotes de uma versão estável. Isso significa que, para uma versão estável, poucas mudanças são alteradas e, quando as coisas funcionarem, elas deverão continuar trabalhando por um longo tempo.
Mas, e se um bug sério ou problema de segurança for descoberto após o lançamento de uma versão estável do Debian? Eles foram corrigidos, na versão do software fornecida com o Debian stable . Portanto, se o Debian stable for lançado com o Apache 2.4.10
, um problema de segurança for encontrado e corrigido 2.4.26
, o Debian receberá esta correção de segurança, aplicará 2.4.10
e distribuirá a correção 2.4.10
para seus usuários. Isso minimiza as interrupções das atualizações de versão, mas faz com que o farejador de versões, como o Tenable, não faça sentido.
Erros graves são coletados e corrigidos em versões pontuais ( .9
no Debian 8.9
) a cada poucos meses. As correções de segurança são corrigidas imediatamente e fornecidas por um canal de atualização.
Em geral, desde que você execute uma versão suportada do Debian, mantenha os pacotes Debian em estoque e mantenha-se atualizado sobre as atualizações de segurança deles, você deve ser bom.
O seu relatório Tenable
Para verificar se o Debian stable é vulnerável a seus problemas, os "múltiplos problemas de 2.4.x <2.4.27" do Tenable são inúteis. Precisamos saber exatamente de quais problemas de segurança eles estão falando. Felizmente, a cada vulnerabilidade significativa é atribuído um identificador Common Vulnerability and Exposures (CVE), para que possamos conversar facilmente sobre vulnerabilidades específicas.
Por exemplo, nesta página para o problema Tenable 101788 , podemos ver que esse problema é sobre vulnerabilidades CVE-2017-9788 e CVE-2017-9789. Podemos procurar essas vulnerabilidades no rastreador de segurança Debian . Se fizermos isso, podemos ver que o CVE-2017-9788 tem o status "corrigido" na versão ou antes 2.4.10-10+deb8u11
. Da mesma forma, o CVE-2017-9789 foi corrigido .
O problema sustentável 10095 é sobre CVE-2017-3167 , CVE-2017-3169 , CVE-2017-7659 , CVE-2017-7668 e CVE-2017-7679 , todos corrigidos.
Portanto, se você estiver na versão 2.4.10-10+deb8u11
, esteja seguro de todas essas vulnerabilidades! Você pode verificar isso com dpkg -l apache2
(verifique se o seu terminal é largo o suficiente para mostrar o número da versão completa).
Manter-se atualizado
Então, como você garante que está atualizado com essas atualizações de segurança?
Primeiro, você precisa ter o repositório de segurança no seu /etc/apt/sources.list
ou /etc/apt/sources.list.d/*
, algo como isto:
deb http://security.debian.org/ jessie/updates main
Esta é uma parte normal de qualquer instalação; você não precisa fazer nada de especial.
Em seguida, você deve garantir a instalação dos pacotes atualizados. Esta é sua responsabilidade; isso não é feito automaticamente. Uma maneira simples, porém tediosa, é fazer login regularmente e executar
# apt-get update
# apt-get upgrade
A julgar pelo fato de você relatar sua versão do Debian como 8.8 (estamos na 8.9) e a ... and 48 not upgraded.
partir do seu post, você pode fazer isso em breve.
Para ser notificado sobre atualizações de segurança, eu recomendo assinar a lista de discussão dos anúncios de segurança da Debian .
Outra opção é garantir que seu servidor possa lhe enviar e-mails e instalar um pacote como apticron , que envia e-mails quando os pacotes em seu sistema precisam ser atualizados. Basicamente, ele executa a apt-get update
peça regularmente e o incomoda apt-get upgrade
.
Por fim, você pode instalar algo como atualizações autônomas , que não apenas verificam atualizações, mas instalam automaticamente as atualizações sem intervenção humana. A atualização automática dos pacotes sem supervisão humana traz alguns riscos; portanto, você precisa decidir por si mesmo se essa é uma boa solução para você. Eu uso e estou feliz com isso, mas ressalva o atualizador.
Por que atualizar-se é prejudicial
Na minha segunda frase, eu disse que atualizar para a versão mais recente do Apache provavelmente é prejudicial .
A razão para isso é simples: se você segue a versão do Apache do Debian e tem o hábito de instalar as atualizações de segurança, você está em uma boa posição, em termos de segurança. A equipe de segurança do Debians identifica e corrige problemas de segurança, e você pode aproveitar esse trabalho com o mínimo esforço.
Se, no entanto, você instalar o Apache 2.4.27+, digamos, baixando-o do site do Apache e compilando você mesmo, o trabalho de acompanhar os problemas de segurança será totalmente seu. Você precisa rastrear problemas de segurança e realizar o trabalho de baixar / compilar / etc sempre que um problema for encontrado.
Acontece que essa é uma quantidade razoável de trabalho, e a maioria das pessoas se relaxa. Então eles acabam executando sua versão auto-compilada do Apache, que se torna cada vez mais vulnerável à medida que os problemas são encontrados. E assim eles acabam muito piores do que se simplesmente tivessem seguido as atualizações de segurança do Debian. Então sim, provavelmente prejudicial.
Isso não quer dizer que não há lugar para você compilar software (ou pegar seletivamente pacotes dos testes Debian ou instáveis), mas, em geral, eu recomendo isso.
Duração das atualizações de segurança
O Debian não mantém seus lançamentos para sempre. Como regra geral, um lançamento do Debian recebe suporte total à segurança por um ano após ter sido obsoleto por um lançamento mais recente.
A versão que você está executando, Debian 8 / jessie
, é uma versão estável obsoleta ( oldstable
em termos da Debian). Ele receberá suporte total à segurança até maio de 2018 e suporte a longo prazo até abril de 2020. Não tenho certeza de qual é a extensão desse suporte LTS.
O atual lançamento estável do Debian é o Debian 9 / stretch
. Considere atualizar para o Debian 9 , que vem com versões mais recentes de todos os softwares, e suporte completo à segurança por vários anos (provavelmente até meados de 2020). Eu recomendo a atualização em um momento conveniente para você, mas bem antes de maio de 2018.
Considerações finais
Anteriormente, escrevi que o Debian suporta backports de correções de segurança. Isso acabou sendo insustentável para alguns softwares devido ao alto ritmo de desenvolvimento e à alta taxa de problemas de segurança. Esses pacotes são a exceção e, na verdade, são atualizados para uma versão upstream recente. Os pacotes que eu conheço se aplicam a são chromium
(o navegador) firefox
, e nodejs
.
Finalmente, toda essa maneira de lidar com atualizações de segurança não é exclusiva do Debian; muitas distribuições funcionam assim, especialmente as que favorecem a estabilidade em relação a novos softwares.