Как обновить Apache, PHP, Open SSL в Sun Solaris 11.2?
Я хочу обновить Apache, PHP, OpenSSL, чтобы исправить уязвимости, обнаруженные в отчете о сканировании VA. Производственная серверная ОС — Sun Solaris 11.2, я проверил официальную документацию, но информации об обновлении openssl оказалось недостаточно.
Появилась некоторая информация о том, как обновить Php и Apache. Не могли бы вы, пожалуйста, кто-нибудь подсказать мне, как безопасно обновлять три пакета Сначала я буду исправлять уязвимости в тестовом стенде. После этого я буду применять исправление в производстве.
Решение
Если вы катите свои собственные обновления, как вы планируете узнать, когда будет опубликована следующая критическая уязвимость, которую вам нужно немедленно исправить? Я подозреваю, что вы даже не думали так далеко вперед.
Правильное решение вашей проблемы — обновить установку ОС с последними исправлениями.
Просто потому что версия, например. OpenSSL в Solaris указан как «уязвимый» некоторыми сканерами, это не означает, что версия, поставляемая с ОС, на самом деле уязвима. Поставщики ОС предоставляют обновления, которые решают проблемы безопасности. Oracle делает это, Red Hat делает это.
Если вы пытаетесь перезаписать версии, поставляемые ОС, на собственные версии, вы делаете четыре вещи:
- Нарушать любые контракты поддержки.
- Скорее всего сломать вещи. Например, если вы перезаписываете поставляемые ОС двоичные файлы Apache, любой компонент ОС, зависящий от этих двоичных файлов, может быть поврежден.
- Застрял в «катить свои собственные» для жизни системы. Вы создали свой собственный OpenSSL? Отлично. Теперь, когда будет опубликована следующая критическая уязвимость нулевого дня, вам придется все отбросить, перестроить OpenSSL, интегрировать его, протестировать и установить.
- Возьмите на себя всю ответственность за проблемы безопасности, возникающие из-за использования вашего собственного установленного программного обеспечения. Вы пропустили эту уязвимость, опубликованную три месяца назад по выходным, и не перестраивали весь свой программный стек? Твоя вина.
Если вы просто хотите создать свой собственный программный стек, скажем, /usr/localэто не так просто, как вы думаете. Вы застряли с этим требованием обслуживания на весь срок службы вашей системы, и вы будете нести ответственность за неспособность решить какие-либо проблемы.
Будет не создавать собственные установки Apache и OpenSSL дешевле в долларах и человеко-часах, потому что вы не можете просто сделать это один раз. Вы должны постоянно следить за отчетами об уязвимостях и загружать исправления, восстанавливать свои критические уязвимости. И это не просто скачать и собрать. Ты должен интегрировать продукты тоже. Вещи не «просто работают», когда вы загружаете исходный код из Интернета.
Другие решения
Других решений пока нет …