我想在家庭网络上的 Raspberry Pi 1B 上托管一个 Web 服务器,因此我想确保软件是最新的,以最大限度地降低安全风险。我考虑使用lighttpd,并让它运行起来,但我只能从 apt 获取 1.4.69 版本,而最新版本是 1.4.76。查看更新日志,似乎有一些漏洞补丁,我希望在我的安装中安装它们。
我检查了几个来源,他们似乎都同意你不能直接从 apt 安装新版本,因为它们需要从上游手动添加到 apt。我可以从源代码构建,但最好避免这样做。但后来我偶然发现了这个问题的答案https://askubuntu.com/questions/970267/how-to-upgrade-lighttpd-1-4-33-to-1-4-47-on-ubuntu-14-04,其中说你可以检查安全补丁是否已反向移植到 apt 中可用的旧版本。
如何检查 1.4.69 和 1.4.76 之间的版本的安全修复是否已添加到从 apt 安装的 1.4.69 版本中?
其他可能相关的信息
Linux raspberrypi 6.6.51+rpt-rpi-v6 #1 Raspbian 1:6.6.51-1+rpt3 (2024-10-08) armv6l GNU/Linux
/etc/apt/sources.list:
deb [ arch=armhf ] http://raspbian.raspberrypi.com/raspbian/ bookworm main contrib non-free rpi
pi@raspberrypi:~ $ apt show lighttpd
Package: lighttpd
Version: 1.4.69-1
Priority: optional
Section: httpd
Maintainer: Debian lighttpd maintainers <[email protected]>
Installed-Size: 814 kB
Provides: httpd, httpd-cgi, lighttpd-mod-accesslog, lighttpd-mod-ajp13, lighttpd-mod-auth, lighttpd-mod-authn-file, lighttpd-mod-cgi, lighttpd-mod-dirlisting, lighttpd-mod-extforward, lighttpd-mod-proxy, lighttpd-mod-rrdtool, lighttpd-mod-sockproxy, lighttpd-mod-ssi, lighttpd-mod-status, lighttpd-mod-userdir, lighttpd-mod-vhostdb, lighttpd-mod-wstunnel
Pre-Depends: init-system-helpers (>= 1.54~)
Depends: libc6 (>= 2.36), libcrypt1 (>= 1:4.1.0), libnettle8, libpcre2-8-0 (>= 10.22), libxxhash0 (>= 0.6.5), media-types | mime-support, systemd-sysv | lsb-base
Recommends: spawn-fcgi, perl:any, lighttpd-mod-deflate, lighttpd-mod-openssl
Suggests: openssl, php-cgi, php-fpm (>= 2:7.4), apache2-utils, lighttpd-doc, lighttpd-mod-webdav, lighttpd-modules-dbi, lighttpd-modules-lua
Conflicts: lighttpd-mod-geoip, lighttpd-mod-trigger-b4-dl
Homepage: https://www.lighttpd.net/
Download-Size: 306 kB
APT-Sources: http://raspbian.raspberrypi.com/raspbian bookworm/main armhf Packages
Description: fast webserver with minimal memory footprint
lighttpd is a small webserver and fast webserver developed with
security in mind and a lot of features.
It has support for
* CGI, FastCGI and SSI
* virtual hosts
* URL rewriting
* authentication (plain files, htpasswd, LDAP)
* transparent content compression
* conditional configuration
* HTTP proxying
and configuration is straight-forward and easy.
作为一般规则,您应该查看软件包更新日志(在本例中
/usr/share/doc/${package}/changelog.Debian.gz为/usr/share/doc/lighttpd/changelog.Debian.gz)——特别是,更新日志中明确提到了 CVE。对于与 Debian 相比未发生任何变化的软件包,您还可以查看相关的安全跟踪器。在这种情况下,我只注意到上游变更日志中有三个与安全相关的修复:
xz检测并记录 HTTP/2 持续洪水,并更新释放机制以降低式攻击的风险这些都与 1.4.69 软件包无关。这两个与 HTTP/2 相关的更改仅检测和记录攻击;lighttpd 不易受到攻击。包装更改仅与上游发布流程相关,不会改变现有工件的安全状况。因此,修复程序尚未移植到 1.4.69 软件包,因为那里不需要它们。