NGINX en Raspbian 10 buster

Ik draai op mijn Pi4(ARM) Raspbian 10 buster icm NGINX.
NGINX draait nu versie 1.14.2, maar dit is al een verouderde versie.

Het updaten via repository's van NGINX zelf geeft aan dat ARM niet ondersteunend is voor de nieuwere versie van NGINX.

Wat kan ik doen om dit op te lossen?

Ik ga nu eerst een upgrade uitvoeren naar Raspbian 11. Dan kan ik in elk geval naar 1.18.

De reden van updaten is dat NESSUS een lek heeft gevonden in 1.14.2. en ik minimaal naar 1.16 of later moet.
Als ik naar Raspbian 11 upgrade en daarna NGINX naar 1.18 zit ik goed

Bedankt voor de hulp iedereen!

Nessus zegt het volgende :

According to its Server response header, the installed version of nginx is 1.9.5 prior to 1.16.1 or 1.17.x prior to 1.17.3. It is, therefore, affected by multiple denial of service vulnerabilities :

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by manipulating the window size and stream priority of a large data request, to cause a denial of service condition. (CVE-2019-9511)

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by creating multiple request streams and continually shuffling the priority of the streams, to cause a denial of service condition. (CVE-2019-9513)

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by sending a stream of headers with a zero length header name and zero length header value, to cause a denial of service condition. (CVE-2019-9516)

De upgrade verliep niet lekker, aantal apps niet meer werken na upgraden naar Raspbian 11 Bullseye.
Misschien kan ik workarounds vinden per CVE

Hero of Time schreef op donderdag 6 januari 2022 @ 16:58:
@StoOker, ah, je bent voor de standaard fout gevallen. Versie x is lek, dus ik moet een nieuwere versie gebruiken. Als je mijn link naar de changelog van Nginx in Buster had gevolgd, had je kunnen zien dat er een CVE van vorig jaar zelfs is gefixt daarin, evenals alle andere CVE's die je noemt.

Dat is juist de kracht van Linux en iets wat bij veel long term/stable distro's wordt gedaan. Kijk maar eens naar Red Hat, daar zit je ook met software versies $antiek, maar zijn helemaal niet vatbaar voor de lekken, omdat die dus gewoon gepatched worden. Debian doet dat dus ook, Ubuntu net zo (als ze al niet de patch van Debian overnemen, andersom gebeurt ook) en (Open)SUSE idem.

Je zal dus anders naar software moeten kijken wanneer je met Linux werkt vergeleken met Windows. Kijk dus echt wat er in de changelog staat (apt changelog $package) ipv blind vertrouwen op Nessus die zegt dat versie X een probleem heeft.

Zo leren we steeds een beetje bij