Hi,
wer hat Erfahrung mit dem sauberen Update eines 1&1 Rootservers auf einer SuSe 8.1 Maschine? Ich möchte auf die aktuellen Versionen von Apache, OpenSSL, PHP usw. gehen - jedoch bietet SuSe bisher offensichtlich keine entsprechenden RPM´s an, oder aber, ich habe diese noch nicht gefunden ....
Wer weiss Rat ?
Updaten Apache 1.3.27, OpenSSL 0.9.6i, PHP auf Suse 8.1
Re: Updaten Apache 1.3.27, OpenSSL 0.9.6i, PHP auf Suse 8.1
wenn du wirklich immer die neuste software auf dem server haben willst (wovon ich allerdings abrate, da es bestimmt einen grund dafür gibt, dass der apache z.B. meistens noch 1.3.26 anstatt 27 und proftpd 1.2.5 anstatt 1.2.9, php ... usw ist/sind).
Auf jedenfall gibt es für deine Distribution keine neueren RPMs, solltest du wirklich eine neuere Version haben wollen, so musst du das alles von Hand kompilieren und Konfigurieren (die RPMS MÃ?SSEN aber vorher deinstalliert werden, damit es keine Probleme gibt). (--> wie das geht, sie FAQ :lol: )
Auf jedenfall gibt es für deine Distribution keine neueren RPMs, solltest du wirklich eine neuere Version haben wollen, so musst du das alles von Hand kompilieren und Konfigurieren (die RPMS MÃ?SSEN aber vorher deinstalliert werden, damit es keine Probleme gibt). (--> wie das geht, sie FAQ :lol: )
Re: Updaten Apache 1.3.27, OpenSSL 0.9.6i, PHP auf Suse 8.1
Nein, nicht so wegen Fun, immer alles aktuelle haben zu wollen, sondern vielmehr wegen Sicherheit.
Auszug von Apache zum Thema 1.3.26 und früher:
This version of Apache is principally a security and bug fix release. A summary of the bug fixes is given at the end of this document. Of particular note is that 1.3.27 addresses and fixes 3 security vulnerabilities.
CAN-2002-0839 (cve.mitre.org): A vulnerability exists in all versions of Apache prior to 1.3.27 on platforms using System V shared memory based scoreboards. This vulnerability allows an attacker who can execute under the Apache UID to exploit the Apache shared memory scoreboard format and send a signal to any process as root or cause a local denial of service attack. We thank iDefense for their responsible notification and disclosure of this issue.
CAN-2002-0840 (cve.mitre.org): Apache is susceptible to a cross site scripting vulnerability in the default 404 page of any web server hosted on a domain that allows wildcard DNS lookups. We thank Matthew Murphy for notification of this issue.
CAN-2002-0843 (cve.mitre.org): There were some possible overflows in ab.c which could be exploited by a malicious server. Note that this vulnerability is not in Apache itself, but rather one of the support programs bundled with Apache. We thank David Wagner for the responsible notification and disclosure of this issue.
We consider Apache 1.3.27 to be the best version of Apache 1.3 available and we strongly recommend that users of older versions, especially of the 1.1.x and 1.2.x family, upgrade as soon as possible. No further releases will be made in the 1.2.x family
Auszug von Apache zum Thema 1.3.26 und früher:
This version of Apache is principally a security and bug fix release. A summary of the bug fixes is given at the end of this document. Of particular note is that 1.3.27 addresses and fixes 3 security vulnerabilities.
CAN-2002-0839 (cve.mitre.org): A vulnerability exists in all versions of Apache prior to 1.3.27 on platforms using System V shared memory based scoreboards. This vulnerability allows an attacker who can execute under the Apache UID to exploit the Apache shared memory scoreboard format and send a signal to any process as root or cause a local denial of service attack. We thank iDefense for their responsible notification and disclosure of this issue.
CAN-2002-0840 (cve.mitre.org): Apache is susceptible to a cross site scripting vulnerability in the default 404 page of any web server hosted on a domain that allows wildcard DNS lookups. We thank Matthew Murphy for notification of this issue.
CAN-2002-0843 (cve.mitre.org): There were some possible overflows in ab.c which could be exploited by a malicious server. Note that this vulnerability is not in Apache itself, but rather one of the support programs bundled with Apache. We thank David Wagner for the responsible notification and disclosure of this issue.
We consider Apache 1.3.27 to be the best version of Apache 1.3 available and we strongly recommend that users of older versions, especially of the 1.1.x and 1.2.x family, upgrade as soon as possible. No further releases will be made in the 1.2.x family
Re: Updaten Apache 1.3.27, OpenSSL 0.9.6i, PHP auf Suse 8.1
ja wobei du aber beachten solltest, dass vielleicht die Distributionen nochmal eigene Sicherheitsfixes usw. haben, wenn du Glück hast.
Ansonsten kannste wie vorhin schon gesagt nur über RPMS -> deinstallieren | Tarballs -> Kompillieren deinen Server Updaten.
Ansonsten kannste wie vorhin schon gesagt nur über RPMS -> deinstallieren | Tarballs -> Kompillieren deinen Server Updaten.
Re: Updaten Apache 1.3.27, OpenSSL 0.9.6i, PHP auf Suse 8.1
Na da warte ich dann ggfs. noch etwas, habe da schon sehr schlechte Erfahrung mit der berühmten GLIBC machen dürfen ;-)