Quero hospedar um servidor web no meu Raspberry Pi 1B na minha rede doméstica, então quero ter certeza de que o software está atualizado para minimizar o risco de segurança. Eu estava pensando em usar o lighttpd e consegui executá-lo, mas só consegui obter a versão 1.4.69 do apt quando a versão mais recente é 1.4.76. Olhando os changelogs, parece haver alguns patches de vulnerabilidade que eu gostaria de ter na minha instalação.
Verifiquei várias fontes e todas parecem concordar que você não pode simplesmente instalar uma nova versão do apt, porque elas precisam ser adicionadas manualmente ao apt do upstream. Eu poderia compilar a partir da fonte, mas seria bom evitar isso. Mas então me deparei com uma resposta para esta pergunta https://askubuntu.com/questions/970267/how-to-upgrade-lighttpd-1-4-33-to-1-4-47-on-ubuntu-14-04 que dizia que você poderia verificar se os patches de segurança são retroportados para a versão mais antiga disponível no apt.
Como posso verificar se as correções de segurança das versões entre 1.4.69 e 1.4.76 foram adicionadas à versão 1.4.69 instalada do apt?
Outras informações potencialmente relacionadas
Linux raspberrypi 6.6.51+rpt-rpi-v6 #1 Raspbian 1:6.6.51-1+rpt3 (2024-10-08) armv6l GNU/Linux
/etc/apt/sources.list:
deb [ arch=armhf ] http://raspbian.raspberrypi.com/raspbian/ bookworm main contrib non-free rpi
pi@raspberrypi:~ $ apt show lighttpd
Package: lighttpd
Version: 1.4.69-1
Priority: optional
Section: httpd
Maintainer: Debian lighttpd maintainers <[email protected]>
Installed-Size: 814 kB
Provides: httpd, httpd-cgi, lighttpd-mod-accesslog, lighttpd-mod-ajp13, lighttpd-mod-auth, lighttpd-mod-authn-file, lighttpd-mod-cgi, lighttpd-mod-dirlisting, lighttpd-mod-extforward, lighttpd-mod-proxy, lighttpd-mod-rrdtool, lighttpd-mod-sockproxy, lighttpd-mod-ssi, lighttpd-mod-status, lighttpd-mod-userdir, lighttpd-mod-vhostdb, lighttpd-mod-wstunnel
Pre-Depends: init-system-helpers (>= 1.54~)
Depends: libc6 (>= 2.36), libcrypt1 (>= 1:4.1.0), libnettle8, libpcre2-8-0 (>= 10.22), libxxhash0 (>= 0.6.5), media-types | mime-support, systemd-sysv | lsb-base
Recommends: spawn-fcgi, perl:any, lighttpd-mod-deflate, lighttpd-mod-openssl
Suggests: openssl, php-cgi, php-fpm (>= 2:7.4), apache2-utils, lighttpd-doc, lighttpd-mod-webdav, lighttpd-modules-dbi, lighttpd-modules-lua
Conflicts: lighttpd-mod-geoip, lighttpd-mod-trigger-b4-dl
Homepage: https://www.lighttpd.net/
Download-Size: 306 kB
APT-Sources: http://raspbian.raspberrypi.com/raspbian bookworm/main armhf Packages
Description: fast webserver with minimal memory footprint
lighttpd is a small webserver and fast webserver developed with
security in mind and a lot of features.
It has support for
* CGI, FastCGI and SSI
* virtual hosts
* URL rewriting
* authentication (plain files, htpasswd, LDAP)
* transparent content compression
* conditional configuration
* HTTP proxying
and configuration is straight-forward and easy.
Como regra geral, você deve olhar o changelog do pacote (em
/usr/share/doc/${package}/changelog.Debian.gz, então/usr/share/doc/lighttpd/changelog.Debian.gzneste caso) — em particular, CVEs são explicitamente mencionados no changelog. Para pacotes que são enviados sem alterações em comparação ao Debian, você também pode verificar o rastreador de segurança relevante .Neste caso, notei apenas três correções relacionadas à segurança nos registros de alterações do upstream :
xzataques no estilo -styleNenhuma delas é relevante para o pacote 1.4.69. As duas alterações relacionadas ao HTTP/2 apenas detectam e registram ataques; o lighttpd não é vulnerável aos ataques. A alteração de empacotamento é relevante apenas para processos de lançamento upstream e não altera a situação de segurança dos artefatos existentes. Portanto, as correções não foram retroportadas para o pacote 1.4.69 porque não são necessárias lá.