安全更新对应用程序有何影响?

安全更新对应用程序有何影响?

我希望我的服务器能够unattended-upgrades定期运行、保持我的服务器自动更新并仅安装安全更新。

但我不想更新几个包的主版本。

例如:
我希望我的服务器运行 PHP 5.4,我可以接受如下的小更新:

  • 5.4.30 至 5.4.37 或 5.4.xx 至 5.4.yy

但我不想更改主要版本更新,例如:

  • 5.4.48 至 5.5.1 或 5.xa 至 5.ya

这能用吗unattended-upgrades

目前我所做的是排除 PHP5-* 被 unattended-upgrades 自动更新。有没有更好的方法可以做到这一点?

或者 Ubuntu 安全更新是否有一个标准,比如他们不会升级应用程序的主版本,例如从 5.4.48 升级到 5.5.1 或从 5.xa 升级到 5.ya 等

答案1

我找到了这个在 Ubuntu 论坛上发帖有点帮助。认为值得分享:

您的系统不够智能,无法知道某个更新是否包含新功能、错误修复或安全补丁。它只知道软件的存储库。幸运的是,您可以根据存储库判断(并进行筛选)。

如果上游项目发布了 CVE 的安全补丁,Ubuntu 安全团队会将其应用于当前版本,并将其放入存储*-security库。

*-security不包括更新。仅 CVE 补丁。上游版本号不变,Debian 或 Ubuntu 版本号会改变:Foo 1.2.3-1ubuntu2 变成 Foo 1.2.3-1ubuntu3

您可以轻松*-security/etc/apt/apt.conf.d/50unattended-upgrades或在中启用 repos 的自动更新Ubuntu 的软件和更新控制面板。

另外:如果您启用*-updates存储库,那么您将获得那些您不介意的小改进。但系统无法确定更新是否超出您的承受范围...这不是通灵的...所以也许您应该禁用该存储库。

最后:当一个著名的漏洞被发现时,一些用户会感到困惑,而上游项目似乎建议升级到最新版本来修复它。请关注 security.ubuntu.com 上的 CVE 编号,而不是听信炒作。

相关内容