mgutt Posted August 31, 2021 Share Posted August 31, 2021 Es gibt aktuell eine Sicherheitslücke in OpenSSL. Nun habe ich mir die Version in meinem Nginx Proxy Manager angeschaut und die ist veraltet. Ich habe herausgefunden, dass der Container diesen als Basis nutzt: https://github.com/NginxProxyManager/docker-nginx-full/blob/master/docker/Dockerfile Was ich nun nicht verstehe: Warum ist die OpenSSL Version veraltet, obwohl im Dockerfile apt-get update ausgeführt wird? Sollte das dann nicht auch automatisch die neueste OpenSSL Version installieren? Ich habe den Container auch extra inklusive der Images gelöscht, aber das hat genauso wenig was geändert wie selbst ein "apt-get update" (oder upgrade) auszuführen: Heißt das, dass in Debian Buster die neueste OpenSSL Version eben 1.1.1d ist? Wenn ja, bleibt das so oder aktualisiert Debian auch ältere Releases? @ich777 ? Quote Link to comment
ich777 Posted August 31, 2021 Share Posted August 31, 2021 8 minutes ago, mgutt said: Was ich nun nicht verstehe: Warum ist die OpenSSL Version veraltet, obwohl im Dockerfile apt-get update ausgeführt wird? "apt-get update" aktualisiert nur die Paketliste selbst, danach müsste schon ein "apt-get upgrade" ausgeführt werden damit alle pakete auf den neuesten Stand gebracht werden. Du kannst hier selbst nochmal nachsehen, für OpenSSL ist die "aktuelle" version für Codenamen "Buster" hier: Klick Jedoch heißt das nicht das nicht die letzten security patches nicht integriert sind in dieser version die speziell für Debian gebaut wurde. EDIT: Hab vergessen noch das zu verlinken, dort kannst du sehen welche patches enthalten sind: Klick 1 Quote Link to comment
mgutt Posted August 31, 2021 Author Share Posted August 31, 2021 13 minutes ago, ich777 said: danach müsste schon ein "apt-get upgrade" ausgeführt werden Hatte ich auch probiert. 13 minutes ago, ich777 said: EDIT: Hab vergessen noch das zu verlinken, dort kannst du sehen welche patches enthalten sind: Klick Ok, also 1.1.1d-0+deb10u7 wurde angepasst und ist quasi auf dem Stand von 1.1.1l was den Fix der Lücke anbelangt. Nur wie kann ich prüfen, dass genau diese Unterversion installiert ist? EDIT: Ok herausgefunden: # apt list -a openssl Listing... Done openssl/oldstable,now 1.1.1d-0+deb10u7 amd64 [installed] openssl/oldstable 1.1.1d-0+deb10u6 amd64 Quote Link to comment
ich777 Posted August 31, 2021 Share Posted August 31, 2021 8 minutes ago, mgutt said: EDIT: Ok herausgefunden: Aber vorher unbedingt "apt-get update" ausführen, aber das hast du in dem Fall gemacht. Quote Link to comment
mgutt Posted August 31, 2021 Author Share Posted August 31, 2021 11 minutes ago, ich777 said: unbedingt "apt-get update" ausführen Sonst kann was sein? Hab's auch mal ohne gemacht und sieht auch ok aus: apt list -a openssl Listing... Done openssl/now 1.1.1d-0+deb10u7 amd64 [installed,local] Quote Link to comment
ich777 Posted August 31, 2021 Share Posted August 31, 2021 9 minutes ago, mgutt said: Sonst kann was sein? Hab's auch mal ohne gemacht und sieht auch ok aus: Dann siehst du unter Umständen nur das lokale Paket und weißt nicht ob es aktuell ist bzw. kann es auch passieren das nicht dabei steht welche version es genau ist. 1 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.