ubuntuusers.de

Hallo zusammen Ich habe zum 22.04 LTS zwei Fragen.

- Wie ist die Updatekadenz der Pakete im 22.04 LTS im Vergleich zu einer nicht LTS Version?

- Ich habe einen Server mit 22.04 LTS installiert. Nun hat der Kunde Security Checks gemacht und sieht dass ich noch die Version 2.4.52 von Apache installiert habe. Diese wird als Risiko eingestuft und ich muss/soll auf die aktuelle 2.4.54 aktualisieren. Habe alle anstehenden Update eingespielt, aber es wird mir keine aktueller Version für die Installation angeboten. Gibt es von Ubuntu eine "offizielle" Methode um ein aktuelles Apache2 zu installieren? Oder muss ich auf alternative Repos zurückgreifen wie das von Ondrey?

Hat dies Nachteile wenn ich Apache2 Update von diesem alternativen Repo laden?

Danke schon mal im voraus für alle Antworten Gruss Emis

Hallo,

willkommen hier im Forum!

Was hat der Kunde denn genau überprüft? Also der Apache hat in der LTS vielleicht noch Version 2.4.52, aber da sind dann ja schon Patches mit eingepflegt. Das sieht man auch an der Version bei apt show, der z.B. 2.4.41-4ubuntu3.12 oder so ähnlich zeigt.

Da sollte man dann eher mal einen Scan auf bestimmte Sicherheitslücken drüberjagen und schauen, ob dort tatsächlich bekannte Sicherheitslücken vorhanden sind.

Doc_Symbiosis schrieb:

Hallo,

willkommen hier im Forum!

Was hat der Kunde denn genau überprüft? Also der Apache hat in der LTS vielleicht noch Version 2.4.52, aber da sind dann ja schon Patches mit eingepflegt. Das sieht man auch an der Version bei apt show, der z.B. 2.4.41-4ubuntu3.12 oder so ähnlich zeigt.

Da sollte man dann eher mal einen Scan auf bestimmte Sicherheitslücken drüberjagen und schauen, ob dort tatsächlich bekannte Sicherheitslücken vorhanden sind.

Danke für's Feedback.

Er hat ein Securityscan laufen lassen. Zu 2.4.52 gibt es einige CVE die als High Risk eingestuft sind. Es wird erwartet, dass eine Version >2.4.52 installiert ist. Bei der ApacheFoundation ist 2.4.54 schon seit Juni 22 verfügbar.

Ich habe auch mal ein frisches 22.04 LTS aufgesetzt und apache2 vom Ubuntu Repo geholt in der Hoffnung, dass bei einer Neuinstallation eine aktuellere Version kommt. Hat trotzdem noch eine 2.4.52 installiert.

Was für einen Securityscan lief denn genau, also welches Tool wurde dafür verwendet?

Also hat der nur geprüft, welche Apache-Version vorhanden ist oder auch, ob die angemeckerten Sicherheitslücken wirklich vorhanden sind? Wie gesagt, Sicherheitsupdates für den Apache werden ja schon eingespielt.

Doc_Symbiosis schrieb:

Was für einen Securityscan lief denn genau, also welches Tool wurde dafür verwendet?

Also hat der nur geprüft, welche Apache-Version vorhanden ist oder auch, ob die angemeckerten Sicherheitslücken wirklich vorhanden sind? Wie gesagt, Sicherheitsupdates für den Apache werden ja schon eingespielt.

Er hat SecurityScorecard im Einsatz und er listet diverse Sicherheitslücken basierenden auf die installierte Apache2 Version auf. Diese Lücken sind auch auf der Apache Webseite aufgeführt und bei Versionen > 2.4.52 gefixt. https://httpd.apache.org/security/vulnerabilities_24.html

22.04 LTS hat keine zusätzliche Patches welche aktueller 2.4.52 sind. Diese müssten auf dem System ersichtlich sein.

apache2 | 2.4.52-1ubuntu4.1 | http://ch.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
   apache2 | 2.4.52-1ubuntu4.1 | http://ch.archive.ubuntu.com/ubuntu jammy-security/main amd64 Packages
   apache2 | 2.4.52-1ubuntu4 | http://ch.archive.ubuntu.com/ubuntu jammy/main amd64 Packages

Im Moment spielt es keine Rolle ob bei jedem CVE im Detail alle USE Case zutreffen. Ziel ist auf eine aktueller Version vom Apache2 zu kommen. Die Frage ist, welcher der beste rsp. empfohlene Weg ist.

Du hast also einen Kunden, dem Du ein System installierst, von dem Du die Grundlagen nicht beherrschst (...und dann wundern sich manche über den schlechten Ruf von Dienstleistern). Zu Recht bringt der Dich nun ins Straucheln, ob nun gewollt oder eher nicht.

Update-Politik

Es ist Dir bereits gesagt worden, apache2 2.4.52 von apache.org ist nicht apache2 2.4.52-1ubuntu4.1. In letzterem sind Sicherheitspatches (von 2.4.54) eingeflossen. Das kannst Du ganz konkret anhand der CVEs vergleichen:

• https://httpd.apache.org/security/vulnerabilities_24.html

• https://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.52-1ubuntu4.1/changelog

von.wert schrieb:

Du hast also einen Kunden, dem Du ein System installierst, von dem Du die Grundlagen nicht beherrschst (...und dann wundern sich manche über den schlechten Ruf von Dienstleistern). Zu Recht bringt der Dich nun ins Straucheln, ob nun gewollt oder eher nicht.

Update-Politik

Es ist Dir bereits gesagt worden, apache2 2.4.52 von apache.org ist nicht apache2 2.4.52-1ubuntu4.1. In letzterem sind Sicherheitspatches (von 2.4.54) eingeflossen. Das kannst Du ganz konkret anhand der CVEs vergleichen:

• https://httpd.apache.org/security/vulnerabilities_24.html

• https://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.52-1ubuntu4.1/changelog

Von.Wert, Danke für deinen Input. Dieser war im zweiten Teil im wahrsten Sinne "von Wert" 👍 . Somit hast du meine Fragestellung beantwortet.