Toon posts:

NGINX en Raspbian 10 buster

Pagina: 1
Acties:

Vraag

woensdag 5 januari 2022 12:02

Acties:
  • 0Henk 'm!
  • StoOker
  • Registratie: December 2009
  • Laatst online: 11:20

StoOker

Topicstarter
Ik draai op mijn Pi4(ARM) Raspbian 10 buster icm NGINX.
NGINX draait nu versie 1.14.2, maar dit is al een verouderde versie.

Het updaten via repository's van NGINX zelf geeft aan dat ARM niet ondersteunend is voor de nieuwere versie van NGINX.

Wat kan ik doen om dit op te lossen? :)

Beste antwoord (via StoOker op 05-01-2022 13:38)

woensdag 5 januari 2022 12:09

  • Solopher
  • Registratie: December 2002
  • Laatst online: 20-03 18:32

Solopher

Wellicht niet direct een goede oplossing, maar updaten naar Raspbian 11?

Dan krijg je namelijk NGINX 1.18, bron: https://packages.debian.org/bullseye/nginx-full

Upgrade guide: https://lernentec.com/pos...spian-buster-to-bullseye/

Ik zou wel adviseren om eerst een backup te maken van configuraties etc.

Alle reacties

woensdag 5 januari 2022 12:09

Acties:
  • Beste antwoord
  • +1Henk 'm!
  • Solopher
  • Registratie: December 2002
  • Laatst online: 20-03 18:32

Solopher

Wellicht niet direct een goede oplossing, maar updaten naar Raspbian 11?

Dan krijg je namelijk NGINX 1.18, bron: https://packages.debian.org/bullseye/nginx-full

Upgrade guide: https://lernentec.com/pos...spian-buster-to-bullseye/

Ik zou wel adviseren om eerst een backup te maken van configuraties etc.

woensdag 5 januari 2022 13:17

Acties:
  • +1Henk 'm!
  • Shivs
  • Registratie: Januari 2010
  • Niet online

Shivs

Anders kan downloaden vanaf Nginx zelf helpen. Je moet dan wel de instructies volgen om te installeren, je krijgt niet een standaard package van ze.

Zie: https://nginx.org/en/down...942-1800802932.1641384942

woensdag 5 januari 2022 13:25

Acties:
  • +1Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

Shivs schreef op woensdag 5 januari 2022 @ 13:17:
Anders kan downloaden vanaf Nginx zelf helpen. Je moet dan wel de instructies volgen om te installeren, je krijgt niet een standaard package van ze.

Zie: https://nginx.org/en/down...942-1800802932.1641384942
Dat zijn de default tarballs. Als het niet de broncode is die je zelf moet compileren, is het onbruikbaar op een Pi.

@StoOker wat is de exacte reden dat je een nieuwere versie moet (verplicht!) draaien? Effectief zit er nog steeds een Debian package maintainer achter die security issues oplost in deze versie.

Als je van mening bent dat je moet updaten om het updaten, want versie Y is hoger dan X, dan zit je met Raspbian op de verkeerde plek. Ga dan iets als Arch op je Pi draaien, dan heb je meer zekerheid dat je het nieuwste van het nieuwste hebt (inclusief eventuele gebreken die erbij horen).

Commandline FTW | Tweakt met mate

woensdag 5 januari 2022 13:38

Acties:
  • 0Henk 'm!
  • StoOker
  • Registratie: December 2009
  • Laatst online: 11:20

StoOker

Topicstarter
Ik ga nu eerst een upgrade uitvoeren naar Raspbian 11. Dan kan ik in elk geval naar 1.18.

De reden van updaten is dat NESSUS een lek heeft gevonden in 1.14.2. en ik minimaal naar 1.16 of later moet.
Als ik naar Raspbian 11 upgrade en daarna NGINX naar 1.18 zit ik goed :)

Bedankt voor de hulp iedereen!

woensdag 5 januari 2022 16:43

Acties:
  • 0Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

Welk lek gaat het precies om? Want Debian heeft op 28 mei vorig jaar nog een security update uitgebracht om een CVE te fixen. Zie https://metadata.ftp-mast...14.2-2+deb10u4_changelog:
* CVE-2021-23017 (Closes: #989095)
Als je Pi niet van buiten te bereiken is, maakt het ook niet super veel uit, want het kan niet misbruikt worden bij een aanval.

Commandline FTW | Tweakt met mate

woensdag 5 januari 2022 21:15

Acties:
  • 0Henk 'm!
  • StoOker
  • Registratie: December 2009
  • Laatst online: 11:20

StoOker

Topicstarter
Nessus zegt het volgende :

According to its Server response header, the installed version of nginx is 1.9.5 prior to 1.16.1 or 1.17.x prior to 1.17.3. It is, therefore, affected by multiple denial of service vulnerabilities :

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by manipulating the window size and stream priority of a large data request, to cause a denial of service condition. (CVE-2019-9511)

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by creating multiple request streams and continually shuffling the priority of the streams, to cause a denial of service condition. (CVE-2019-9513)

- A denial of service vulnerability exists in the HTTP/2 protocol stack due to improper handling of exceptional conditions. An unauthenticated, remote attacker can exploit this, by sending a stream of headers with a zero length header name and zero length header value, to cause a denial of service condition. (CVE-2019-9516)

De upgrade verliep niet lekker, aantal apps niet meer werken na upgraden naar Raspbian 11 Bullseye.
Misschien kan ik workarounds vinden per CVE ;)

donderdag 6 januari 2022 09:52

Acties:
  • +1Henk 'm!
  • ninjazx9r98
  • Registratie: Juli 2002
  • Nu online

ninjazx9r98

@StoOker
Wat scanners nog wel eens over het hoofd zien is dat distributies vaak aan backporting doen en fixes vanuit een hogere release introduceren in de lagere versies.
Daarmee krijg je geen nieuwe/hogere versie met nieuwe features en dergelijke maar wel een oplossing voor security problemen. Het is dan ook beter om dergelijke CVE zaken ook even op te zoeken bij de distributie zelf.
Voor de eerste die je noemt:
https://security-tracker.debian.org/tracker/CVE-2019-9511

donderdag 6 januari 2022 16:58

Acties:
  • +2Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

@StoOker, ah, je bent voor de standaard fout gevallen. Versie x is lek, dus ik moet een nieuwere versie gebruiken. Als je mijn link naar de changelog van Nginx in Buster had gevolgd, had je kunnen zien dat er een CVE van vorig jaar zelfs is gefixt daarin, evenals alle andere CVE's die je noemt.

Dat is juist de kracht van Linux en iets wat bij veel long term/stable distro's wordt gedaan. Kijk maar eens naar Red Hat, daar zit je ook met software versies $antiek, maar zijn helemaal niet vatbaar voor de lekken, omdat die dus gewoon gepatched worden. Debian doet dat dus ook, Ubuntu net zo (als ze al niet de patch van Debian overnemen, andersom gebeurt ook) en (Open)SUSE idem.

Je zal dus anders naar software moeten kijken wanneer je met Linux werkt vergeleken met Windows. Kijk dus echt wat er in de changelog staat (apt changelog $package) ipv blind vertrouwen op Nessus die zegt dat versie X een probleem heeft.

Commandline FTW | Tweakt met mate

donderdag 6 januari 2022 20:02

Acties:
  • +1Henk 'm!
  • StoOker
  • Registratie: December 2009
  • Laatst online: 11:20

StoOker

Topicstarter
Hero of Time schreef op donderdag 6 januari 2022 @ 16:58:
@StoOker, ah, je bent voor de standaard fout gevallen. Versie x is lek, dus ik moet een nieuwere versie gebruiken. Als je mijn link naar de changelog van Nginx in Buster had gevolgd, had je kunnen zien dat er een CVE van vorig jaar zelfs is gefixt daarin, evenals alle andere CVE's die je noemt.

Dat is juist de kracht van Linux en iets wat bij veel long term/stable distro's wordt gedaan. Kijk maar eens naar Red Hat, daar zit je ook met software versies $antiek, maar zijn helemaal niet vatbaar voor de lekken, omdat die dus gewoon gepatched worden. Debian doet dat dus ook, Ubuntu net zo (als ze al niet de patch van Debian overnemen, andersom gebeurt ook) en (Open)SUSE idem.

Je zal dus anders naar software moeten kijken wanneer je met Linux werkt vergeleken met Windows. Kijk dus echt wat er in de changelog staat (apt changelog $package) ipv blind vertrouwen op Nessus die zegt dat versie X een probleem heeft.
Zo leren we steeds een beetje bij :)
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee