web-dev-qa-db-fra.com

Les mises à jour de sécurité Apache ont-elles été rétroportées?

J'ai Apache 2.4.7 sur mon Ubuntu 14.04. Je mets régulièrement à jour des paquets en exécutant Sudo apt-get upgrade. Je me serais attendu à cela pour mettre à niveau Apache également, mais cela ne semblait pas être le cas. Je lisais des informations sur ce portage qui fait référence à l’application de correctifs de sécurité aux anciennes versions de packages (?).

Ma question est la suivante: comment puis-je vérifier si mon Apache a reçu ses mises à jour de sécurité par le portage en amont?

1
Rasse

Comment vérifier si votre Apache reçoit des mises à jour de sécurité:

Regardez le changelog .

Voici un exemple d'entrée de journal contenant un correctif de sécurité:

2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
Apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium

* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
 - debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
 - CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.

Erreur commune: Les mises à jour de sécurité ne sont PAS des backports

Supposons que le projet Foo découvre une faille de sécurité dans Foo 1.1. Ils émettent un patch. Comme la plupart des utilisateurs ne savent absolument pas comment appliquer le correctif, ils publient également une nouvelle version amont Foo 1.2 et suggèrent à tout le monde de procéder à une mise à niveau.

L'équipe de sécurité Ubuntu ne compresse pas Foo 1.2. Au lieu de cela, ils corrigent Foo 1.1. Ils téléchargent la version corrigée sous le nom Foo 1.1ubuntu0. Lorsque vous vérifiez votre version de Foo, le message "1.1" est toujours déroutant et votre site Web techniciste d'actualités dit "1.1" est vulnérable. Vérifiez la version du package et le journal des modifications pour savoir quels correctifs de sécurité ont été appliqués. Ne vous fiez pas à la fonctionnalité --version du logiciel. L’équipe de sécurité d’Ubuntu ne changera pas cette chaîne.

Foo 1.2 apparaît dans la prochaine version d'Ubuntu. Vous pouvez alors passer aux nouvelles fonctionnalités brillantes.

Après la sortie de Foo 1.2 dans une version ultérieure d’Ubuntu, certains utilisateurs intrépides essaieront le paquet plus récent de leur ancienne version d’Ubuntu. Backporting dans Ubuntu est cette méthode de portage de paquets plus récents vers des versions plus anciennes. Parfois cela fonctionne, parfois pas. Le portage dans Ubuntu n'a rien à voir avec les mises à jour de sécurité.

Sachez que le référentiel 'trusty-security' est entièrement pris en charge par Ubuntu. Le référentiel 'trusty-backports' n'est pas pris en charge - attention utilisateur.

2
user535733