Anfängerfrage - Upgrade - legt es Debian lahm!? - openssl

[KnutNot]

Hallo,

ich musste gerade einen Debianwebserver übernehmen. Dort ist anscheinend dringend ein Update von Nöten (letzter Stand von vor 2-3 Jahren - oh man). Ich brauch nämlich ein openssl update für ein Zertifikat.

Bevor ich update woltle ich wissen, ob das System so stabil bleibt wie bisher, da auf dem Server doch einige große Webandwendungen liegen, die man nur mit Samthandschuhen bzw. garnicht berühren möchte (keine Ahnung, Änderungen, Wiederherstellung).

Um genau zu fragen:
Kann es passieren, dass das Update meine MYSQL DB leert bzw. den Apache, cronjobs etc. so verändert das Anwendungen nicht mehr drauf zu greifen können etc.

Hab ich echt Schiss vor, vor allem kurz vorm Wochenende.

Vielen Dank.

Bruß
KnutNot

[Duff]

Was bentutzt du denn für eine Release auf dem Server?
Wie sieht die /etc/apt/source.list aus? (steht dort stable oder ein Release-Name)

[guennid]

Ich bin hier wahrscheinlich nicht gerade der richtige Ansprechpartner (webserver und so), aber mit dieser geringen Info wirst du auch wahrscheinlich Mühe haben, bessere zu finden.

Zunächst mal: Mach dich mal schlau, welches debian da läuft. Wenn's "nur" zwei Jahre alt ist, kann es durchaus für einen server noch/schon aktuell sein (etch).

Grüße, Günther

[edit] Da war wohl jemand schneller

[KnutNot]

Hallo,

Hab mich n bissl schlau gemacht:

Debian: 4.0
in der sources.list steht "stable"

Code: Alles auswählen

Die folgenden Pakete sind zurückgehalten worden:
  adduser apt apt-utils aptitude bash bind9-host bzip2 debianutils dnsutils
  fontconfig initrd-tools initscripts libapt-pkg-perl libblkid1 libcurl3
  libfontconfig1 libgd2-xpm libice6 libkrb5-17-heimdal libnet-dns-perl
  libsasl2 libsm6 libx11-6 libxext6 libxpm4 libxt6 lilo passwd pciutils
  php4-cgi php4-cli php4-common php4-curl php4-domxml php4-gd php4-idn
  php4-imagick php4-imap php4-mysql php4-pear php4-xslt proftpd ssh sysvinit
  tasksel util-linux w3m whiptail x-ttcidfont-conf xlibs-data xutils
Die folgenden Pakete werden aktualisiert:
  apache2 apache2-mpm-prefork apache2-utils apache2.2-common
  dictionaries-common libapache-mod-php5 libapache2-mod-php5 libfreetype6
  libmysqlclient15off libpq4 libxml2 libxml2-dev mysql-client-5.0 mysql-common
  mysql-server-5.0 php-pear php5 php5-cli php5-common php5-mysql phpmyadmin
21 aktualisiert, 0 neu installiert, 0 zu entfernen und 51 nicht aktualisiert.

Ich wollte nämlich ne Zertifikat bei Verisign (ja, teuer) erstellen und dort wurde gemeint mein openssl sei veraltet. Daher das nötige Update.

Mir gehts ja eigentlich nur darum, dass er mir den Server (PHP, MySQL, Apache) nicht zerschießt. Da er ja Live läuft und ne Auszeit ziemlich schlecht wäre.
Vielen Dank für die Antworten.

Gruß!

[Spasswolf]

Bei stable sollte eigentlich nichts passieren, aber für den Notfall hast du doch sicher ein Backup? Wie dir das Update bei deinem openssl Problem helfen soll sehe ich aber nicht, schliesslich wird keine neuere openssl Version installiert.

[KnutNot]

Ja, auch grad gesehen, ist nicht mit dabei.

http://www.debian.org/security/2008/dsa-1571

Dachte ich bekomm das über n upgrade hin...

Muss ich das per Hand installieren?

[Spasswolf]

Poste mal deine sources.list, fehlen da die security Quellen?

[guennid]

Unser panischer Freund täte vielleicht gut daran, etwas ruhiger zu werden, sonst, fürchte ich, wird er in seiner Hektik keinen machbaren Fehler auslassen

Im Übrigen: Herzlich willkommen.

Grüße, Günther

[KnutNot]

Ich bin doch nicht panisch.

Ich will bloß nix kaputt machen. Eigentlich sollte man ja, wenn man keine Ahnung hat, die Finger davon lassen, aber bei mir gehts irgendwie nicht anders. Da das Zertifikat zeitnah eingerichtet werden soll.

Trotzdem vielen Dank, fühl mich hier schon ganz gut.

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ stable main non-free contrib
deb-src http://ftp.de.debian.org/debian/ stable main non-free contrib

deb http://security.debian.org/ stable/updates main contrib non-free

[Spasswolf]

Die Sicherheitsankündiung schreibt:

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 0.9.8c-4etch3 behoben.

Welche Version ist denn bei dir installiert?

Code: Alles auswählen

dpkg -l openssl
dpkg -l libssl0.9.8  

[KnutNot]

Also es ist die 0.9.8c-4etch3 installiert. Scheint der Fehler dann bei Verisign in der Anmeldung zu liegen. Ganz toll.

Code: Alles auswählen

openssl - 0.9.8c-4etch3
libssl0.9.8 - 0.9.8g-3 

Ok, Vielen Dank.

Trotzalledem sollte ich doch "mein" Debian stets aktuell halten. Kann bei dem Upgrade siehe oben etwas schieflaufen, also bei MySQL, PHP, Apache2. Der Hintergrund ist nämlich, dass die KundenDB ziemlich unstabil läuft, installiert etc. ist. Keine Ahnung warum. Läuft über Perl, davon habe ich noch weniger Ahnung als mit Debian. Daher kann ich mir einen Fehler beim Upgrade und einen Ausfall auf keinen Fall erlauben. Deswegen auch meine Panik.

oder lieber Finger weg und irgendwann ein neues System aufsetzen mit neuer und eigener KundenDB. ^^

[armin]

Ich sage mal so: Die obigen Updates MUSST du so schnell wie möglich machen, da es Sicherheitsupdates sind. In der Theorie sollte natürlich nichts kaputt gehen, und der Praxis kann das natürlich immer passieren, wird aber höchst wahrscheinlich nicht.

Desweiteren ersetzt du am Besten in deiner sources.list "stable" mit "etch". Ansonsten zerlegst du dir wenn du nicht aufpasst und pech hast ganz schnell dein System, sobald Lenny stable ist.

[KnutNot]

Sorry wenn ich mich nochmal melde:

Ich habe grad den Erstellten Key mit dem Tool von http://www.debian.org/security/2008/dsa-1571 getestet und er sagt mir:

Code: Alles auswählen

private/verisign.key:1: weak key (OpenSSL/RSA/1024)
summary: keys found: 1, weak keys: 1

Hab aber doch die aktuellen Dateien. Liegt es an den Fehlenden Sicherheitsupdates?

Gruß

[gms]

hast du den "erstellten Key" vor oder nach dem Update erstellt ?

Gruß
gms

[KnutNot]

Danach. Das verwundert mich ja.