Mettre à jour Apache 2.0

Support Debian
#1

Bonjour,

J’ai actuellement apache 2.0 qui tourne sur ma Debian, mais en version 2.0.54, or la dernière est la 2.0.59 ( mise à jour pour faille de sécurité entre autre ).

Ya un t’il un moyen pour passer en 2.0.59 via apt-get ?

Genre pour PHP et Mysql j’utilise Dotdeb qui met à jour les packages Debian rapidement. Un système similaire existe t-il pour Apache ?

Merci :smiley:

#2

Je ne peux que répondre partielement à te question vue que tu ne précises pas quel version de debian tu utilise…

Mais si tu est en sarge c’est normal que apache soit en 2.0.54, mais fait confiance a l’équipe de debian pour corriger les failles quand il y en a.
Regardes le change log, il me semble qu’il n’y a d’ailleurs pas de corrections pour la 54, les corrections de la 59 sont pour des failles apparues ap la 54.

#3

Merci pour ta réponse :slightly_smiling:

Oui je suis bien en version Sarge.

Apparament deja dans le changelog de la version 2.0.55 il y a plusieurs correction de faille :

[quote]Changes with Apache 2.0.55

*) SECURITY: CVE-2005-2700 (cve.mitre.org)
mod_ssl: Fix a security issue where “SSLVerifyClient” was not
enforced in per-location context if "SSLVerifyClient optional"
was configured in the vhost configuration. [Joe Orton]

*) SECURITY: CVE-2005-2970 (cve.mitre.org)
worker MPM: Fix a memory leak which can occur after an aborted
connection in some limited circumstances. [Greg Ames]

*) SECURITY: CVE-2005-2491 (cve.mitre.org):
Fix integer overflows in PCRE in quantifier parsing which could
be triggered by a local user through use of a carefully-crafted
regex in an .htaccess file. [Philip Hazel]

*) SECURITY: CVE-2005-2088 (cve.mitre.org)
proxy: Correctly handle the Transfer-Encoding and Content-Length
headers. Discard the request Content-Length whenever T-E: chunked
is used, always passing one of either C-L or T-E: chunked whenever
the request includes a request body. Resolves an entire class of
proxy HTTP Request Splitting/Spoofing attacks. [William Rowe]

*) SECURITY: CVE-2005-2728 (cve.mitre.org)
Fix cases where the byterange filter would buffer responses
into memory. PR 29962. [Joe Orton]

*) SECURITY: CVE-2005-2088 (cve.mitre.org)
core: If a request contains both Transfer-Encoding and Content-Length
headers, remove the Content-Length, mitigating some HTTP Request
Splitting/Spoofing attacks. [Paul Querna, Joe Orton]

*) SECURITY: CVE-2005-1268 (cve.mitre.org)
mod_ssl: Fix off-by-one overflow whilst printing CRL information
at “LogLevel debug” which could be triggered if configured
to use a “malicious” CRL. PR 35081. [Marc Stern ]
[/quote]

Il y en a même pas mal :blush:

#4

Ha effectivement je répétais simplement quelque chose qu’il me semblais avoir lu… pardon

Meme si je ne peu pas t’expliquer exactement comment ca marche, fait confiance a l’équipe de debian pour avoir corrigé ces failles. Si tu fait bien tes MAJ de sécu, la sarge est plus sure que l’etch. Mais attend que les experts arrive pour plus de précisions je débute dans l’admin…

Je ne connais pas dotdeb, mais si tu veux absolument des versions plus récentes de apache sans pour autant passé en testing/unstable regarde du coté des backports, il doit y en avoir pour apache.

#5

Merci pour ta réponse, mais je n’ai malheuresement pas trouvé dans les backports… Mysql / PHP4 et 5 oui mais pas Apache :frowning:

Merci.

#6

Un aptitude show apache2 me renvoi cette version :

Je pense que le 4 correspond à la quatrième mise à jour de sécu.

#7

Moi j’ai ca :

[quote]server2:~# aptitude show apache2
Paquet : apache2
Nouveau: oui
État: installé
Automatiquement installé: non
Version : 2.0.54-5
Priorité : optionnel
Section : web
[/quote]

Donc les mises à jour de sécurité ont été faites ? :smiley:

#8

Avision*: C’est moi qui ais dit que je pensais que si ils étaient corrigés dans une version aussi proche, il y avait toutes les chances que l’equipe de sécurité les aient corrigés.
Sinon:emeraude:~$ apt-cache policy apache2 apache2: Installé : (aucun) Candidat : 2.0.55-4.1 Table de version : 2.2.3-1~exp.r170 0 983 http://ftp.nerim.net experimental/main Packages 2.0.55-4.1 0 997 http://ftp.nerim.net etch/main Packages 987 http://ftp.nerim.net sid/main Packages 2.0.54-5sarge1 0 990 http://security.debian.org sarge/updates/main Packages 2.0.54-5 0 988 http://ftp.nerim.net sarge/main Packages La vache ! il y a même un 2.2.3 en expérimental :laughing:
donc la 2.55 est en etch et en sid, et la version sécurisée (sans doute corrigeant les failles qui t’inquiètent) est en 2.0.54-5sarge1.

Ce qui donne sur bugs.debian.org:
bugs.debian.org/cgi-bin/pkgrepor … n=2.0.54-5
bugs.debian.org/cgi-bin/pkgrepor … n=2.0.54-5
bugs.debian.org/cgi-bin/pkgrepor … 54-5sarge1
bugs.debian.org/cgi-bin/pkgrepor … 54-5sarge1
bugs.debian.org/cgi-bin/pkgrepor … 2.0.55-4.1
bugs.debian.org/cgi-bin/pkgrepor … 2.0.55-4.1

Reste plus qu’à comparer tout ça :laughing:

*Edit:Je ne sais pas si tu m’as cité de mêmoire, mais si c’est pas du copier/coller, chapeau.

#9

D’accord, merci à vous tous pour vos réponses :wink: