私たちはサービスを提供するためにUbuntu 18.04サーバーを使用しています。このサーバーは今年末に廃止される予定であり、このバージョンでは実行されません。理想的な解決策はオペレーティングシステムをアップグレードすることですが、リソースの制約のために今数ヶ月しか残っていません。最新バージョンのUbuntuに移行することは不可能であることを説明するためにこの情報を提供します。
問題は、Apache 2.4.57の2023年10月のApacheアップデートが、対応するUbuntuバージョンの最後のアップデートであるように見えることです。これは、Tenebleがダミーをベビーカーから投げてApache 2.4.58にアップデートしようとしていることを意味します。そして、私のセキュリティチームは、不足しているアップデートについて驚いて、机の下で泣いています。
Ubuntu 18.04で手動アップデートを実行するか、APTのカスタムリポジトリを追加して、より高いバージョンのパッチでApacheをアップデートできますか?
答え1
Ubuntu 18.04 LTSの終了日は2023年6月です。 Ubuntu 18.04 LTSの拡張サポート(ESM)は2028年4月に提供されます。次のサイトでバージョンの寿命の終了を確認できます。wiki.ubuntu.comページ。このプログラムに必要なアップデートがあることを確認してください。 (そうだと思いますが、私はこのプログラムのメンバーではないので、直接確認することはできません。)
ここで、私はあなたの会社にセキュリティチームがある場合、これが最善の方法であることに気づく必要があると思います。そうでなければ、単にセキュリティ認識が十分ではないと言うかもしれませんが、このトピックは取り上げられました。マーカス・ミュラー。私も同じ結論に達しただろう。
これら2つの異なるオプションは問題を完全に解決しませんが、最後の状況ではまだ興味深いことがあります。
- まだWebアプリケーションファイアウォール(WAF)がない場合は、アプリケーションの前にWebアプリケーションファイアウォール(WAF)を使用してください。これは会社のリスク管理領域で機能する可能性があり、Webサーバーの古いバージョンを維持する必要がある場合は最低限でなければなりません。
- これらの失敗にはいくつかの理由がありますが、最新バージョンのApacheを直接コンパイルしてパッケージ化するためのオプションを確認することもできます。ただし、以前のディストリビューションを使用すると、多くのライブラリ依存関係の問題が発生する可能性があるだけでなく、必要なモジュール、プラグインなどに関する追加の作業が発生する可能性があるため、多くの注意があります。
編集:もう1つのオプションは、維持したいシステムで最新バージョンのApacheを使用してコンテナイメージを作成できることを確認することです。マイレージは異なる場合がありますが、これが代替案となります。
答え2
習慣。 Ubuntuに最新のApacheバージョンがない場合は、最新のApacheバージョンもありません。
セキュリティチームが費用を支払う価値がある場合は、Ubuntu 18.04のApacheパッケージングを使用し、パッチ自体を適用して更新されたUbuntuパッケージを提供できます。あるいは、あなたのソフトウェアをより現代的なUbuntuで実行させることもできます。セキュリティ部門が古いサーバーのバージョンについて不平を言っているという事実は、セキュリティベースを使用するようにシステムを更新するために割り当てられたリソースがないため、組織の失敗です。これらの問題を事前に把握するために今後彼らは現れます。したがって、彼らが2年以上これについてあなたを悩ませていない限り、それは実際にはうまくいかなかったことの部分的に彼らの過ちです。
私は、コンピュータのセキュリティが肯定的であり、チームが生産的なタスクを実行するのに役立つ可能性があるため、セキュリティの脆弱性のリストを購読する人ではなく、価値の創造の一部になると信じています。愚かなプログラムがそうすることができます。