Luego de de nuestra extensa compilación de datos dimos con la solución este atascamiento que suelen tener ciertos usuarios. Te ofrecemos la respuesta y esperamos serte de gran apoyo.
Solución:
No actualice Apache manualmente.
La actualización manual por seguridad es innecesaria y probablemente dañina.
Cómo Debian lanza software
Para ver por qué sucede esto, debe comprender cómo Debian se ocupa de los paquetes, las versiones y los problemas de seguridad. Debido a que Debian valora la estabilidad sobre los cambios, la política es congelar las versiones de software en los paquetes de una versión estable. Esto significa que para una versión estable, muy pocos cambios, y una vez que las cosas funcionen, deberían seguir funcionando durante mucho tiempo.
Pero, ¿qué pasa si se descubre un error grave o un problema de seguridad después del lanzamiento de una versión estable de Debian? Estos son fijos, en la versión de software proporcionada con Debian estable. Entonces, si Debian se envía estable con Apache 2.4.10
, se encuentra y se soluciona un problema de seguridad en 2.4.26
, Debian tomará esta corrección de seguridad y la aplicará a 2.4.10
y distribuir el fijo 2.4.10
a sus usuarios. Esto minimiza las interrupciones de las actualizaciones de versiones, pero hace que el olfateo de versiones como lo hace Tenable no tenga sentido.
Los errores graves se recopilan y solucionan en lanzamientos puntuales (los .9
en Debian 8.9
) cada pocos meses. Las correcciones de seguridad se solucionan de inmediato y se proporcionan a través de un canal de actualización.
En general, siempre que ejecute una versión de Debian compatible, se ciña a los paquetes de Debian en existencia y se mantenga actualizado sobre sus actualizaciones de seguridad, debería estar bien.
Tu informe de Tenable
Para comprobar si Debian estable es vulnerable a sus problemas, el “2.4.x <2.4.27 múltiples problemas" de Tenable es inútil. Necesitamos saber exactamente de qué problemas de seguridad están hablando. Afortunadamente, a cada vulnerabilidad significativa se le asigna un Vulnerabilidad y exposiciones comunes (CVE), para que podamos hablar fácilmente sobre vulnerabilidades específicas.
Por ejemplo, en esta página del número de Tenable 101788 podemos ver que ese problema se trata de las vulnerabilidades CVE-2017-9788 y CVE-2017-9789. Podemos buscar estas vulnerabilidades en el rastreador de seguridad de Debian. Si hacemos eso, podemos ver que CVE-2017-9788 tiene el estado “fijo” en o antes de la versión 2.4.10-10+deb8u11
. Asimismo, CVE-2017-9789 es fijo.
El problema de Tenable 10095 es sobre CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668 y CVE-2017-7679, todos arreglados.
Entonces, si estás en la versión 2.4.10-10+deb8u11
, ¡debería estar a salvo de todas estas vulnerabilidades! Puedes comprobar esto con dpkg -l apache2
(asegúrese de que su terminal sea lo suficientemente ancho para mostrar el número de versión completo).
Mantenerse al día
Entonces, ¿cómo se asegura de estar actualizado con estas actualizaciones de seguridad?
Primero, necesita tener el repositorio de seguridad en su /etc/apt/sources.list
o /etc/apt/sources.list.d/*
, algo como esto:
deb http://security.debian.org/ jessie/updates main
Esta es una parte normal de cualquier instalación, no debería tener que hacer nada especial.
A continuación, debe asegurarse de instalar los paquetes actualizados. Ésta es tu responsabilidad; no se hace automáticamente. Una forma sencilla pero tediosa es iniciar sesión con regularidad y ejecutar
# apt-get update
# apt-get upgrade
A juzgar por el hecho de que informa su versión de Debian como 8.8 (estamos en 8.9) y el ... and 48 not upgraded.
de su publicación, es posible que desee hacer esto pronto.
Para ser notificado de las actualizaciones de seguridad, le recomiendo que se suscriba a la lista de correo de anuncios de seguridad de Debian.
Otra opción es asegurarse de que su servidor pueda enviarle correos electrónicos e instalar un paquete como apticron, que le envía un correo electrónico cuando los paquetes de su sistema necesitan actualizarse. Básicamente, ejecuta regularmente el apt-get update
parte, y te molesta para que hagas el apt-get upgrade
parte.
Finalmente, puede instalar algo como actualizaciones desatendidas, que no solo buscan actualizaciones, sino que automáticamente instala las actualizaciones sin intervención humana. Actualizar los paquetes automáticamente sin supervisión humana conlleva algún riesgo, por lo que debe decidir por sí mismo si esa es una buena solución para usted. Lo uso y estoy contento con él, pero advierto actualizador.
Por qué actualizarse a sí mismo es perjudicial
En mi segunda oración, dije que actualizar a la última versión de Apache es probablemente dañino.
La razón de esto es simple: si sigue la versión de Apache de Debian y se acostumbra a instalar las actualizaciones de seguridad, entonces está en una buena posición en cuanto a seguridad. El equipo de seguridad de Debians identifica y corrige problemas de seguridad, y usted puede disfrutar de ese trabajo con un mínimo esfuerzo.
Sin embargo, si instala Apache 2.4.27+, digamos descargándolo del sitio web de Apache y compilándolo usted mismo, entonces el trabajo de mantenerse al día con los problemas de seguridad es totalmente suyo. Debe realizar un seguimiento de los problemas de seguridad y realizar el trabajo de descarga / compilación / etc.cada vez que se encuentra un problema.
Resulta que esto es una buena cantidad de trabajo, y la mayoría de la gente holgazanea. Así que terminan ejecutando su versión autocompilada de Apache que se vuelve cada vez más vulnerable a medida que se encuentran problemas. Y así terminan mucho peor que si simplemente hubieran seguido las actualizaciones de seguridad de Debian. Entonces sí, probablemente dañino.
Eso no quiere decir que no haya lugar para compilar software usted mismo (o tomar selectivamente paquetes de Debian testing o inestable), pero en general, recomiendo no hacerlo.
Duración de las actualizaciones de seguridad
Debian no mantiene sus versiones para siempre. Como regla general, una versión de Debian recibe soporte de seguridad completo durante un año después de que una versión más nueva la haya dejado obsoleta.
La versión que está ejecutando, Debian 8 / jessie
, es una versión estable obsoleta (oldstable
en términos de Debian). Recibirá soporte de seguridad completo hasta mayo de 2018 y soporte a largo plazo hasta abril de 2020. No estoy completamente seguro de cuál es el alcance de este soporte LTS.
La versión estable actual de Debian es Debian 9 / stretch
. Considere actualizar a Debian 9, que viene con versiones más recientes de todo el software y soporte de seguridad completo durante varios años (probablemente hasta mediados de 2020). Recomiendo actualizar en un momento que sea conveniente para usted, pero mucho antes de mayo de 2018.
Palabras de clausura
Anteriormente, escribí que Debian soporta correcciones de seguridad. Esto terminó siendo insostenible para algunos software debido al alto ritmo de desarrollo y la alta tasa de problemas de seguridad. Estos paquetes son la excepción y, de hecho, se actualizan a una versión más reciente. Los paquetes a los que sé que esto se aplica son chromium
(el navegador), firefox
, y nodejs
.
Finalmente, toda esta forma de lidiar con las actualizaciones de seguridad no es exclusiva de Debian; muchas distribuciones funcionan así, especialmente las que favorecen la estabilidad frente al nuevo software.
Debian Jessie todavía es compatible, y las correcciones de seguridad proporcionadas en las versiones más recientes se han actualizado al paquete disponible en Jessie (2.4.10-10 + deb8u11, lo que significa que ha habido 11 actualizaciones hasta ahora desde el lanzamiento de Jessie). Todas las vulnerabilidades conocidas y reparables de Apache se corrigen en el paquete Jessie; siempre que mantenga su instalación actualizada, debería estar seguro. Las vulnerabilidades futuras se seguirán solucionando en Jessie, siempre que siga siendo compatible.
Es poco probable que Jessie reciba una versión más nueva. Como se indicó anteriormente, está seguro si permanece en Jessie, siempre que sea compatible; si necesitas mas nuevo características no disponible en 2.4.10, deberá actualizar a Debian 9.
Está utilizando Debian Jessie, que es la antigua versión estable de Debian. La última versión de Apache en Jessie es 2.4.10.
Así que tiene dos opciones, ejecutar apt dist-upgrade y migrar a Debian Stretch o puede esperar a que esté disponible en backports.
Al final de la página puedes encontrar las crónicas de otros usuarios, tú además puedes insertar el tuyo si te apetece.