我的 Ubuntu 14.04 上安装了 Apache 2.4.7。我通过运行 定期升级软件包sudo apt-get upgrade。我原本以为 Apache 也会升级,但似乎并没有发生。我一直在阅读有关反向移植的信息,它指的是将安全修复程序应用于旧版本的软件包(?)。
我的问题是,如何检查我的 Apache 是否已通过反向移植获得其安全更新?
答案1
如何检查你的 Apache 是否正在获取安全更新:
看着变更日志。
以下是显示安全修复的变更日志条目的示例:
2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium
* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
- debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
- CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.
常见错误:安全更新不是反向移植
假设 Foo 项目在 Foo 1.1 中发现了一个安全漏洞。他们发布了一个补丁。由于大多数用户不知道如何应用该补丁,他们还发布了一个新的上游版本 Foo 1.2 并建议所有人升级。
Ubuntu 安全团队没有打包 Foo 1.2。相反,他们修补了 Foo 1.1。他们将修补后的版本上传为Foo 1.1ubuntu0。当您检查 Foo 版本时,令人困惑的是,它仍然显示“1.1”,而您俗气的科技新闻网站却说“1.1”存在漏洞。检查软件包版本和更新日志来查看已应用哪些安全补丁。不要依赖软件的 --version 功能。Ubuntu 安全团队不会更改该字符串。
Foo 1.2 将在 Ubuntu 的下一个版本中出现。届时您可以升级到这些闪亮的新功能。
在 Foo 1.2 在 Ubuntu 的更高版本中发布后,一些勇敢的用户会在他们旧版本的 Ubuntu 上尝试较新的软件包。向后移植在 Ubuntu 中,将较新的软件包移植到较旧的版本的方法是一种很好的方法。有时这种方法有效,有时则无效。Ubuntu 中的反向移植与安全更新无关。
请注意,Ubuntu 完全支持“trusty-security”存储库。不支持“trusty-backports”存储库 - 用户请注意。