web-dev-qa-db-fra.com

Effets sur les applications causés par les mises à jour de sécurité?

Je veux que mon serveur s'exécute unattended-upgrades régulièrement et garder mon serveur automatiquement mis à jour et installer uniquement les mises à jour de sécurité.

Mais je ne veux pas mettre à jour les versions principales de plusieurs packages.

Par exemple:
Je veux que mon serveur ait PHP 5.4 en cours d'exécution, je suis OK avec des mises à jour mineures telles que:

  • 5.4.30 à 5.4.37 ou 5.4.xx à 5.4.yy

Mais je ne veux pas modifier les mises à jour de la version principale, telles que:

  • 5.4.48 à 5.5.1 ou 5.x.a à 5.y.a

Cela peut-il être fait avec unattended-upgrades?

Pour l'instant, ce que j'ai fait, c'est d'exclure PHP5- * de la mise à jour automatique par des mises à niveau sans assistance. Y a-t-il une meilleure manière de faire cela?

Ou existe-t-il une norme sur les mises à jour de sécurité Ubuntu, comme si elles ne mettaient pas à niveau la version principale d'une application, comme 5.4.48 vers 5.5.1 ou 5.x.a vers 5.y.a, etc.

aptupgradeupdatesupdate-managerunattended-upgrades
5
fFace

J'ai trouvé cela poste sur les forums Ubunt quelque peu utile. a pensé que cela valait la peine d'être partagé:

Votre système n'est pas suffisamment intelligent pour savoir si une mise à jour particulière comprend une nouvelle fonctionnalité, un correctif de bogue ou un correctif de sécurité. Il ne connaît que le référentiel du logiciel. Heureusement, vous pouvez dire (et filtrer) en fonction du référentiel.

Si le projet en amont publie un correctif de sécurité pour un CVE, l'équipe de sécurité d'Ubuntu l'applique à la version actuelle et il passe dans le *-security référentiel.

*-security n'inclut pas les mises à jour. Patchs CVE uniquement. Le numéro de version en amont ne change pas, le numéro de version Debian ou Ubuntu change: Foo 1.2.3-1ubuntu2 devient Foo 1.2.3-1ubuntu3

Vous pouvez facilement activer les mises à jour automatiques pour *-security repos dans /etc/apt/apt.conf.d/50unattended-upgrades ou dans le panneau de configuration du logiciel et des mises à jour d'Ubuntu .

Aussi: si vous activez le *-updates référentiel, vous obtiendrez ces améliorations mineures qui ne vous dérangent pas. Mais le système n'a aucun moyen de déterminer si une mise à jour est trop pour votre confort ... ce n'est pas psychique ... alors peut-être devriez-vous désactiver ce référentiel.

Enfin: certains utilisateurs sont confus lorsqu'une vulnérabilité célèbre est découverte, et le projet en amont semble recommander la mise à niveau vers la dernière version pour la corriger. Suivez le numéro CVE sur security.ubuntu.com au lieu de suivre le battage médiatique.

4
fFace