Faut-il mettre à jour Apache2

Support Debian
, ,
Tags: #<Tag:0x00007f63f25fe878> #<Tag:0x00007f63f25fe788> #<Tag:0x00007f63f25fe6c0>
#1

Bonjour à tous,
Je gère un VPS avec Debian 10. Il héberge un site pour un client. Le client a fait intervenir une entreprise pour réaliser un pentest et des vérifications de sécurité. Un des éléments ressortis est que la version d’Apache est 2.4.38 et qu’elle contient des problèmes de sécurité (plusieurs CVE) et je dois mettre à jour pour la dernière version (2.4.46).
Or, apt ne me propose pas de mise à jour vers 2.4.46.
De plus, cette discussion https://unix.stackexchange.com/questions/404036/how-do-i-update-apache2-to-the-latest-version-on-debian-jessie indique que les patchs de sécurité sont réalisés par Debian sans changer le n° de version d’Apache donc il n’y aurait rien à faire.

Pour finir, apt-cache policy apache2 me sort :

apache2:
  Installed: 2.4.38-3+deb10u4
  Candidate: 2.4.38-3+deb10u4
  Version table:
     2.4.46-4~bpo10+1 100
        100 http://deb.debian.org/debian buster-backports/main amd64 Packages
 *** 2.4.38-3+deb10u4 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
        500 http://security.debian.org buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status

Donc il y a bien une source pour la 2.4.46 mais elle n’est pas proposée.

Que faire donc, à ce stade ? Je vous remercie pour vos éclairages

#2

Bonjour,

Tu réponds toi-même à la question, les correctifs de sécurité ont été appliqués. Il n’y a donc rien à faire si ce n’est maintenir le système à jour.

Un audit de sécurité cela ne consiste pas simplement à regarder les failles connues d’une version d’un logiciel lambda (CVE) et à recopier les recommandations de certains sites (changer de version).
Il faut regarder le changelog des paquets installés pour voir si les correctifs des CVE concernés ont été appliqués :

apt changelog apache2
1 J'aime
#3

Ma question était d’avoir la certitude qu’au niveau sécurité, je fais ce qu’il faut.
Le apt changelog me donne exactement ce dont j’avais besoin car en effet ça détaille les CVE mis à jour. Je vais pouvoir pleinement rassurer le client !

Merci beaucoup pour ta réponse et cette commande fort intéressante !

#4

je ne connaissais pas cette commande :smiley:
je n’ai pas l’impression qu’elle soit documentée :confused:

#5

super !
j’avais pratiquement la même question - mais sur d’aurtes paquets-

elle l’est dans apt-get

changelog
changelog tente de télécharger le journal des modifications d’un paquet et l’affiche
avec sensible-pager. Par défaut, c’est le journal des modifications de la version
installée du paquet qui est affiché. Cependant, il est possible d’utiliser les mêmes
options que pour la commande install.