- PR -

apache2.0.51へapt-getをつかってアップグレードできない

1|2 次のページへ»
投稿者投稿内容
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2004-12-21 15:17
早速質問があります。
実はセキュリティ部門の方からapacheを更新してくださいと打診があり、更新しようと
apt-get upgrade httpd
とやったのですが、できませんでした。
もしかしてapt-get ではできないのでしょうか。

現在のapacheに上書きはできませんでしょうか。

os:Redhat8 apache:2.0.40 rpmインストール
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-12-21 16:01
引用:

実はセキュリティ部門の方からapacheを更新してくださいと打診があり、

それに対し、
「RedHat8でRPMインストールしたApache2を使ってるんですが、
 どうしたらいいんでしょうか?」
って、セキュリティ部門に聞き返した方がいいです。
単にアップグレード、ってのが許される環境だとは思えないですから、
判断が難しいんですよ。そのセキュリティ部門がどういう対策なら許容するのか次第でしょう。


APT-rpmリポジトリにおけるRedHat8.0向けのApacheのメンテが行われているかどうか忘れましたが
少なくとも、同じセキュリティフィックスがされているApacheでも、
apache.orgが公開しているApacheとはバージョンが別です。
今入ってるやつも、2.0.40じゃなく2.0.40-8(2.0.40にいくつかRedHat社がパッチを
適用したやつ)なはずですし。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-12-21 16:17
○考えられる対処方法
・現在のhttpdのRPMパッケージをアンインストールし、apache.orgからhttpdの最新版を入手し、
 コンパイルしてインストール
・現在のhttpdのRPMパッケージをアンインストールし、apache.orgからhttpdの最新版を入手し、
 RPMパッケージの作成を自力で行ってインストール
・apache.orgからhttpdの最新版を入手し、RPMパッケージの作成を自力でかつ
 RH8.0のSPECファイルに準拠した形で行って、RPMパッケージのアップグレード
・RH8.0のhttpdのSRPMパッケージに対し、apache.orgで公開されているApacheの
 パッチを自力適用
・まだセキュリティ修正のメンテが続いているディストリビューションに乗り換え
・他の仕組みで防ぐ(IDS/IPSとか)
・気にしない(LAN中に設置したサーバだったりすれば、一応そんな選択肢も無いわけじゃない)


そんなわけで、判断が難しいんです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-12-21 17:29
こんにちわ.
引用:

jinさんの書き込み (2004-12-21 15:17) より:

とやったのですが、できませんでした。
もしかしてapt-get ではできないのでしょうか。

詳しくは Mattun 様に同意です.
で,「できませんでした」とは何をもって判断されたのでしょうか?
それすら書かれていないのに,「なぜ?」など判断できるでしょうか?
少なくとも「このようになって出来なかった」とか
「こういった message が出力される」くらいは書くべきでは?
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2004-12-21 17:47
kazさん、mattunさんありがとうございます。
セキュリティホールを埋めるために解析を行った結果このようなお達しが来たようです。
よくセキュリティノートを見ましたところそれらは初めに克服していたことを忘れていました。
結果、やらなくてよいというセキュリティ部門からのお許しが出ました。

皆さんにご迷惑をおかけしてしまいまして申し訳ありません。
一応mattunさんがご指摘くださったmessageは以下のようになっています。
Reading Package Lists... Done
Building Dependency Tree... Done
0 packages upgraded, 0 newly installed, 0 removed and 0 not upgraded.
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2004-12-21 20:36
もしかするともうバグフィックスを行ったパッケージが提供されていないのかもしれません。
ソースコードから最新バージョン (httpd-2.0.52) をコンパイルするのがよいでしょう (1、2つのセキュリティアラートが既に上がっていましたが・・・)。

でも、セキュリティ部門は今インストールされている Apache が危険だということをどうやって突き止めたのでしょう!
今のバージョンが危険であるかどうかが簡単に分かってしまうこと自体セキュリティ上あまりよろしくないと言えなくもありません。
Apache の場合、バージョンを隠す設定とかがありますので、それをやっておいて後はそのままにしておくというのも手かもしれません。


[ メッセージ編集済み 編集者: あんとれ 編集日時 2004-12-21 20:44 ]
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2004-12-21 23:14
あんとれさんありがとうございます。
私も詳しくは知りませんが、セキュリティホールのあるところを探し当てるツールがあるようで・・・もちろんローカルエリア(Lan環境のみですが)
それで通知が来ました。

ソースコードからコンパイルするということは、前の設定等がそのまま使えるのでしょうか。たぶん上書きされるような・・・
どうなんでしょう?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-12-21 23:24
こんばんわ.
引用:

jinさんの書き込み (2004-12-21 23:14) より:
あんとれさんありがとうございます。
私も詳しくは知りませんが、セキュリティホールのあるところを探し当てるツールがあるようで・・・もちろんローカルエリア(Lan環境のみですが)
それで通知が来ました。

ほんとですかね?
そんな調べ方する管理部門って...
引用:

ソースコードからコンパイルするということは、前の設定等がそのまま使えるのでしょうか。たぶん上書きされるような・・・
どうなんでしょう?

source code から RPM package つくったらよろしいのでは?
ついでに SRPM も作っておくと,管理しやすいかと.
作り方は google で山ほど hit します.

以上,ご参考までに.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)