Апачские обновления системы защиты были бэкпортированы?

Question 1

У меня есть Apache 2.4.7 на моей Ubuntu 14.04. Я регулярно обновляю пакеты путем выполнения sudo apt-get upgrade. Я ожидал бы, что для обновления Apache также, но меня, казалось, не произошло. Я читал об этом бэкпортировании, которое относится к применению исправлений безопасности к более старым версиям пакетов (?).

Мой вопрос, как я могу проверить, получил ли мой Apache свои обновления системы защиты посредством бэкпортирования?

Question 2

Как проверить, получает ли Ваш Apache обновления системы защиты:

Взгляд журнал изменений .

Вот пример записи журнала изменений, показывающей исправление безопасности:

2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium

* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
 - debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
 - CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.

Частая ошибка: Обновления системы защиты НЕ являются Бэкпортами

Скажем, Проект Foo обнаруживает уязвимость системы обеспечения безопасности в Foo 1.1. Они выпускают патч. Так как большинство пользователей не подняло идеи, как применить патч, они также выпускают новую восходящую версию Foo 1.2 и предлагают, чтобы все обновили.

Служба безопасности Ubuntu не упаковывает Foo 1.2. Вместо этого они исправляют Foo 1.1. Они загружают исправленную версию как Foo 1.1ubuntu0. То, когда Вы проверяете свою версию Foo, она смутно все еще говорит '1.1', и в Вашем дрянном техническом новостном веб-сайте говорится '1.1', уязвимо. Проверка версия пакета и журнал изменений для наблюдения, какие патчи безопасности были применены. НЕ полагаются на программное обеспечение - функция версии. Служба безопасности Ubuntu не поменяет ту струну.

Foo 1.2 появляется в следующем релизе Ubuntu. Можно обновить до новейших функций затем.

После того, как Foo 1.2 выпущен в более поздней версии Ubuntu, некоторые бесстрашные пользователи попробуют более новый пакет на своем более старом релизе Ubuntu. Бэкпортирование в Ubuntu является этим методом портирования более новых пакетов к более старым выпускам. Иногда это работает, иногда нет. Бэкпортирование в Ubuntu не имеет никакого отношения к обновлениям системы защиты.

знать, что репозиторий 'испытанной безопасности' полностью поддерживается Ubuntu. Репозиторий 'испытанных бэкпортов' не поддерживается - пользователь остерегается.

user535733 · Accepted Answer · 7 December 2019 в 12:34

Как проверить, получает ли Ваш Apache обновления системы защиты:

Взгляд журнал изменений .

Вот пример записи журнала изменений, показывающей исправление безопасности:

2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium

* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
 - debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
 - CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.

Частая ошибка: Обновления системы защиты НЕ являются Бэкпортами

Скажем, Проект Foo обнаруживает уязвимость системы обеспечения безопасности в Foo 1.1. Они выпускают патч. Так как большинство пользователей не подняло идеи, как применить патч, они также выпускают новую восходящую версию Foo 1.2 и предлагают, чтобы все обновили.

Служба безопасности Ubuntu не упаковывает Foo 1.2. Вместо этого они исправляют Foo 1.1. Они загружают исправленную версию как Foo 1.1ubuntu0. То, когда Вы проверяете свою версию Foo, она смутно все еще говорит '1.1', и в Вашем дрянном техническом новостном веб-сайте говорится '1.1', уязвимо. Проверка версия пакета и журнал изменений для наблюдения, какие патчи безопасности были применены. НЕ полагаются на программное обеспечение - функция версии. Служба безопасности Ubuntu не поменяет ту струну.

Foo 1.2 появляется в следующем релизе Ubuntu. Можно обновить до новейших функций затем.

После того, как Foo 1.2 выпущен в более поздней версии Ubuntu, некоторые бесстрашные пользователи попробуют более новый пакет на своем более старом релизе Ubuntu. Бэкпортирование в Ubuntu является этим методом портирования более новых пакетов к более старым выпускам. Иногда это работает, иногда нет. Бэкпортирование в Ubuntu не имеет никакого отношения к обновлениям системы защиты.

знать, что репозиторий 'испытанной безопасности' полностью поддерживается Ubuntu. Репозиторий 'испытанных бэкпортов' не поддерживается - пользователь остерегается.

Апачские обновления системы защиты были бэкпортированы?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: