Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Убунту

Как проверить, включает ли устаревший пакет обратные исправления безопасности из новой версии? [закрыто]

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Другая потенциально связанная информация
  3. Ответ или решение
  4. 1. Обзор исправлений безопасности
  5. 2. Исследуйте журналы изменений пакета
  6. 3. Проверка репозиториев и пакетов
  7. 4. Взаимодействие с сообществом и документацией
  8. 5. Тестирование на практике
  9. Заключение

Вопрос или проблема

Я хочу развернуть веб-сервер на своем Raspberry Pi 1B в домашней сети, поэтому хочу убедиться, что программное обеспечение обновлено, чтобы минимизировать риски безопасности. Я рассматривал использование lighttpd, и я смог его запустить, но я смог получить только версию 1.4.69 через apt, когда последняя версия – 1.4.76. Судя по журналам изменений, в последних версиях есть некоторые исправления уязвимостей, которые мне хотелось бы иметь в своей установке.

Я проверил несколько источников, и все они согласны с тем, что
вы не можете просто установить новую версию из apt, потому что они должны быть вручную добавлены в apt от upstream. Я мог бы собрать из исходников, но было бы неплохо этого избежать. Затем я наткнулся на ответ на этот вопрос Как обновить lighttpd 1.4.33 до 1.4.47 на Ubuntu 14.04, где говорилось, что вы можете проверить, были ли исправления безопасности перенесены в старую версию, доступную в apt.

Как я могу проверить, были ли исправления безопасности из версий между 1.4.69 и 1.4.76 добавлены в установленную версию 1.4.69 из apt?

Другая потенциально связанная информация

Linux raspberrypi 6.6.51+rpt-rpi-v6 #1 Raspbian 1:6.6.51-1+rpt3 (2024-10-08) armv6l GNU/Linux

/etc/apt/sources.list:

deb [ arch=armhf ] http://raspbian.raspberrypi.com/raspbian/ bookworm main contrib non-free rpi

pi@raspberrypi:~ $ apt show lighttpd
Package: lighttpd
Version: 1.4.69-1
Priority: optional
Section: httpd
Maintainer: Debian lighttpd maintainers <[email protected]>
Installed-Size: 814 kB
Provides: httpd, httpd-cgi, lighttpd-mod-accesslog, lighttpd-mod-ajp13, lighttpd-mod-auth, lighttpd-mod-authn-file, lighttpd-mod-cgi, lighttpd-mod-dirlisting, lighttpd-mod-extforward, lighttpd-mod-proxy, lighttpd-mod-rrdtool, lighttpd-mod-sockproxy, lighttpd-mod-ssi, lighttpd-mod-status, lighttpd-mod-userdir, lighttpd-mod-vhostdb, lighttpd-mod-wstunnel
Pre-Depends: init-system-helpers (>= 1.54~)
Depends: libc6 (>= 2.36), libcrypt1 (>= 1:4.1.0), libnettle8, libpcre2-8-0 (>= 10.22), libxxhash0 (>= 0.6.5), media-types | mime-support, systemd-sysv | lsb-base
Recommends: spawn-fcgi, perl:any, lighttpd-mod-deflate, lighttpd-mod-openssl
Suggests: openssl, php-cgi, php-fpm (>= 2:7.4), apache2-utils, lighttpd-doc, lighttpd-mod-webdav, lighttpd-modules-dbi, lighttpd-modules-lua
Conflicts: lighttpd-mod-geoip, lighttpd-mod-trigger-b4-dl
Homepage: https://www.lighttpd.net/
Download-Size: 306 kB
APT-Sources: http://raspbian.raspberrypi.com/raspbian bookworm/main armhf Packages
Description: быстрый веб-сервер с минимальными требованиями к памяти
 lighttpd - это небольшой и быстрый веб-сервер, разработанный с
 учетом безопасности и множества функций.
 Он поддерживает
   * CGI, FastCGI и SSI
   * виртуальные хосты
   * перезапись URL
   * аутентификацию (обычные файлы, htpasswd, LDAP)
   * прозрачное сжатие содержимого
   * условную конфигурацию
   * HTTP-прокси
 и настройка проста и понятна.

Для пользователей Ubuntu есть два способа:

  1. Если вы знаете номер CVE, просто посмотрите его в трекере CVE: https://ubuntu.com/security/cves

    Известные уязвимости отслеживаются по номеру CVE. Выработайте привычку использовать его.

  2. Проверьте журнал изменений пакета. Найдите свой пакет и точную версию на https://changelog.ubuntu.com/changelogs/changelog .

Если вы не используете Ubuntu, используйте собственные методы отслеживания вашего дистрибутива.

Ответ или решение

Чтобы проверить, включены ли в устаревший пакет, такой как lighttpd версии 1.4.69, исправления безопасности из более новых версий, таких как 1.4.76, вам необходимо пройти несколько этапов. Это может быть особенно актуально, если вы используете Raspberry Pi и хотите минимизировать риски безопасности своего веб-сервера. Вот подробный план действий:

1. Обзор исправлений безопасности

Сначала вам следует ознакомиться с изменениями и исправлениями безопасности, которые были внесены в более новые версии пакета. Это можно сделать, изучив changelog (журнал изменений) для lighttpd.

  • Официальный сайт lighttpd: Зайдите на официальный сайт lighttpd и найдите информацию о версиях. Узнайте, какие уязвимости были исправлены в каждой версии между 1.4.69 и 1.4.76.
  • Сайты безопасности: Также имеет смысл проверить базы данных, такие как CVE Details или NVD, где отслеживаются уязвимости по CVE (Common Vulnerabilities and Exposures). Найдите фиксированные проблемы и соответствующие CVE для версии 1.4.76.

2. Исследуйте журналы изменений пакета

Для каждого пакета в большинстве дистрибутивов Linux существует особый файл журнала изменений. Поскольку вы используете Raspbian, вы можете получить доступ к данным изменениям с помощью команды:

apt changelog lighttpd

Эта команда покажет журналы изменений для установленной версии lighttpd и может указать, были ли включены исправления безопасности в версию 1.4.69.

3. Проверка репозиториев и пакетов

Проверьте, какие версии доступны в ваших репозиториях, а также в репозиториях безопасности. В Raspbian вы можете посмотреть доступные версии с помощью команды:

apt policy lighttpd

Эта команда покажет все доступные версии пакета, включая те, которые могут быть загружены из различных репозиториев. Узнайте, когда была выпущена последняя версия пакета и если существуют какие-либо обновления.

4. Взаимодействие с сообществом и документацией

Иногда, особенно если исходный код или спецификации недоступны, полезно взаимодействовать с сообществом:

  • Форумы и сообщества: Задайте вопросы в форумах, например, на Stack Overflow или других специализированных ресурсах. Установите, были ли у других пользователей проблемы с устаревшими версиями и насколько безопасны их конфигурации.
  • Документация вашей дистрибуции: Изучите документацию Raspbian и Debian, чтобы узнать, как они обрабатывают исправления безопасности.

5. Тестирование на практике

Если во время исследований вы не смогли найти явных ответов, вы можете провести определенные тесты на практике:

  • Сканирование уязвимостей: Используйте инструменты сканирования уязвимостей, такие как OpenVAS или Nessus, чтобы проверить вашу установку lighttpd и убедиться, что она безопасна.
  • Ручное тестирование конфигурации: Убедитесь, что ваше серверное окружение настроено безопасно. Даже с актуальными версиями, неверная конфигурация может привести к угрозам безопасности.

Заключение

Эти шаги помогут вам оценить безопасность вашего веб-сервера на основе пакета lighttpd 1.4.69 и принять информированное решение о том, нужны ли дополнительные меры, такие как обновление до более новой версии или компиляция пакета из исходного кода.

Таким образом, вы сможете поддерживать вашу систему безопасной и актуальной, что особенно важно для веб-серверов, открытых для внешнего мира.

apt security updates
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности