我们正在使用 Ubuntu 18.04 服务器来提供服务,该服务将于今年晚些时候停用,并且在此版本之上将无法运行。虽然理想的解决方案是升级操作系统,但由于资源限制,我们只能再用几个月的时间。我提供此信息是为了解释迁移到更高版本的 Ubuntu 是不可能的。
问题是 2023 年 10 月的 Apache 更新到 Apache 2.4.57 似乎是该版本 Ubuntu 的最后一次更新。这意味着 Teneble 正在把它的假人扔出婴儿车,并希望更新到 Apache 2.4.58,而我的安全团队对这个缺失的更新感到非常恐惧,在办公桌下哭泣
是否可以在 Ubuntu 18.04 上进行手动更新或添加 APT 的自定义存储库以使用更高版本的补丁更新 apache。
答案1
Ubuntu 18.04 LTS 的生命周期结束时间为 2023 年 6 月。Ubuntu 18.04 LTS 的扩展支持 (ESM) 时间为 2028 年 4 月。您可以在以下位置查看版本生命周期结束时间:wiki.ubuntu.com页。也许看看这个程序是否有您需要的更新(我确实相信,但因为我不是这个程序的成员,所以我无法检查自己)
从这里开始,我相信如果您的公司有安全团队,他们必须意识到这对他们来说是最好的途径。否则我会说他们根本没有足够的安全意识,但这个话题已经被触及了马库斯·穆勒。我也会得出同样的结论。
虽然这两个其他选项不能完全解决您的问题,但在最后的情况下它们可能仍然令人感兴趣:
- 如果您还没有 Web 应用程序防火墙 (WAF),请在应用程序前面使用 Web 应用程序防火墙 (WAF)。这可能会在您公司的风险管理领域发挥作用,并且如果您需要保留过时版本的 Web 服务器,那么这应该是最低限度。
- 虽然失败的原因有很多,但您也可以查看自己编译和打包 Apache 更新版本的选项。不过,有很多警告,因为使用旧版本的发行版可能会产生很多库依赖性问题,以及您可能需要的模块、插件等的额外工作。
编辑:另一种选择是看看您是否可以在您想要保留的系统上使用更新版本的 Apache 来创建容器映像。虽然您的里程可能会有所不同,但这也可以是替代方案。
答案2
不会。如果 Ubuntu 没有更新的 Apache 版本,那么就没有更新的 Apache 版本。
如果您的安全团队值得花钱,他们可以采用 Ubuntu 18.04 的 apache 打包并自行应用补丁,为您提供更新的 Ubuntu 软件包。或者,他们可以让您的软件在更现代的 Ubuntu 上运行。事实上,您现在所处的情况是安全部门抱怨服务器版本过时,这是组织的失败,因为没有分配资源来更新您的系统以使用安全基础;安全团队的作用就是主动发现此类问题前他们显现出来。所以,除非他们已经为此纠缠你两年多了,否则这实际上部分是他们的错,因为他们的工作做得不好。
我相信计算机安全是积极的,可以帮助团队进行富有成效的工作,从而成为创造价值的一部分,而不仅仅是订阅安全漏洞列表的人——一个愚蠢的程序就可以做到这一点。