Re: Θέματα ασφαλείας σε Ubuntu Server από τις εκδόσεις Apache2 και PHP

Sat, 16 Jul 2011 04:45:29 -0700 

2011/7/16 Panagiotis Theodoropoulos <tpanagio...@gmail.com>:
> Σε  Ubuntu Server που έχω εγκαταστήσει, με σκοπό ανάπτυξης διαδικτυακής
> εφαρμογής, έγινε έλεγχος από τον υπεύθυνο ασφαλείας με σχετικό εργαλείο
> ελέγχου. Σαν αποτέλεσμα μου επισήμανε σαν critical το γεγονός ότι ο server
> δεν είχε τις τελευταίες εκδόσεις Apache2 και PHP (γεγονός που είχα υπόψη
> μου). Εγώ ακολουθώ ανελλιπώς όλες τις επίσημες Ubuntu ενημερώσεις.
> Στην συγκεκριμένη περίπτωση τι γίνεται?
> Τι πρέπει να κάνω και ποια πρέπει να είναι η απάντησή μου?
>

Για παράδειγμα, αν έχεις Ubuntu Server 11.04, τότε η πιο πρόσφατη
έκδοση του Apache Server που είναι διαθέσιμη από τα αποθετήρια Ubuntu,
είναι

> apt-cache policy apache2
apache2:
  Installed: (none)
  Candidate: 2.2.17-1ubuntu1
  Version table:
     2.2.17-1ubuntu1 0
        500 http://us.archive.ubuntu.com/ubuntu/ natty/main amd64 Packages

όπου στην περίπτωσή αυτή η πιο πρόσφατη έκδοση του Apache2 είναι η 2.2.17-1.

Ωστόσο, αν δεις στο
http://httpd.apache.org/download.cgi αναφέρει ότι τώρα η πιο πρόσφατη
έκδοση είναι 2.2.19.

Η απάντηση είναι ότι η έκδοση του Apache που είναι διαθέσιμη από τα
αποθετήρια του Ubuntu είναι η αρχική έκδοση που ήταν διαθέσιμη από
τότε που βγήκε το Ubuntu 11.04 (αρχές, άνοιξη 2011).
Και όταν ανακοινώνονται νέα προβλήματα ασφάλειας για τον Apache τότε
οι διορθώσεις ειδικά για την ασφάλεια θα μπαίνουν σε ενημερωμένα
πακέτα του Ubuntu, πάνω στην έκδοση 2.2.17. Τυχόν άλλες βελτιώσεις του
Apache δε μπαίνουν στα διαθέσιμα πακέτα. Θέλει ενημέρωση της διανομής
για να δούμε τις νέες εκδόσεις.

Επειδή τώρα η πιο πρόσφατη έκδοση του Apache είναι η 2.2.17-1ubuntu1,
αυτό σημαίνει ότι από την ημερομηνία κυκλοφορίας του Ubuntu δεν
υπάρξαν προβλήματα ασφάλειας που αφορούν την έκδοση 2.2.17.

Τα εργαλεία ασφάλειας έχουν την τάση να αναφέρουν προβλήματα που
μάλλον δεν υπάρχουν, μόνο και μόνο επειδή δεν έχουν όλη την
πληροφόριση. Έτσι, το εργαλείο μπορεί να δει ότι έχεις την έκδοση του
Apache2 2.2.17, ωστόσο δεν ξέρει αν έχεις το ενημερωμένο πακέτο, ή
απλά αναφέρει το θέμα της έκδοσης ώστε να έχει κάτι να πει.

Σίμος
-- 
Ubuntu-gr mailing list
Ubuntu-gr@lists.ubuntu.com

If you do not want to receive any more messages from the ubuntu-gr mailing 
list, please follow this link and choose unsubscribe:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr

Reply via email to