Page 1 of 1

Veraltete Softwarepakete

Posted: 23 Apr 2020, 15:14
by dzechling
Hallo Kunbus Team,
wir setzen ihren Revolution PI nun seit ende März produktiv bei uns als CAN Datenlogger mit Node-Red im Unternehmensnetzwerk ein.
Bei der Inbetriebnahme ist uns schon aufgefallen, dass vor allem das verwendete Node-Red nicht aktuell ist, aber für unsere Zwecke genügte dies erst einmal.

Nun hat aber unsere IT bei ihren regelmäßigen Sicherheitsscans festgestellt, dass viele der laufenden Dienste auf dem PevPI veraltet sind und uns den weiteren Betrieb wegen Sicherheitsbedenken untersagt.
Dies leider obwohl wir wie beschrieben mittels apt-get upgrade und apt-get dist-upgrade alles aktualisiert haben.

Bei unserem testweise eingesetzten Raspberry PI2b V1.1, auf dem wir Ubuntu 18.4 LTS installiert hatten war dies nicht der Fall. Hier war alles sehr aktuell.

Können sie uns bitte unterstützen, um auch ihr Gerät auf einen aktuellen und aktualisierbaren Stand zu bringen?

Gruß
Dirk

Re: Veraltete Softwarepakete

Posted: 24 Apr 2020, 08:31
by dirk
Hi Dirk, ich kann einerseits verstehen, dass Du Dich an uns wendest. Aber andererseits ist die Verwaltung des Systemes Deine Aufgabe.

Node-Red ist leider ein Thema, welches auch mir schon Schwierigkeiten verursacht hat.
Denn als Basis benutzt es NodeJS und kann wiederum durch Plugins erweitert werden.
Die Einzige Möglichkeit besteht dann für Dich als Anwender darin, den Entwicklern der Node-Red Community einen Bug Report zu liefern.
Falls möglich, gibt es auch eine Funktion "Upvoting" eines bestehenden Bugs. Also eine Aussage der Art "Ich habe das selbe Problem".

Mein Rat an Dich - erzeuge Dir ein minimales Image. Dadurch reduziert sich der Aufwand für die IT auf die wirklich verwendeten Komponenten.
Wie das funktioniert kannst Du hier mit dem Imagebakery Git Repository sehen.

Re: Veraltete Softwarepakete

Posted: 27 Apr 2020, 08:13
by lukas
dzechling wrote: 23 Apr 2020, 15:14 Nun hat aber unsere IT bei ihren regelmäßigen Sicherheitsscans festgestellt, dass viele der laufenden Dienste auf dem PevPI veraltet sind und uns den weiteren Betrieb wegen Sicherheitsbedenken untersagt.
Dies leider obwohl wir wie beschrieben mittels apt-get upgrade und apt-get dist-upgrade alles aktualisiert haben.

Bei unserem testweise eingesetzten Raspberry PI2b V1.1, auf dem wir Ubuntu 18.4 LTS installiert hatten war dies nicht der Fall. Hier war alles sehr aktuell.
Hm, welche Dienste wurden denn von eurer IT genau moniert?

Momentan liefern wir die Geräte noch mit Raspbian "stretch" aus, das entspricht Debian "oldstable". Dafür werden eigentlich nach wie vor Sicherheitspatches zurückportiert. Später dieses Jahr werden wir auf Raspbian "buster" umsteigen. Dann wird auch das node-red Paket aktueller sein. Im Prinzip ist es auch jetzt schon möglich, die Raspbian "buster" Repositories als Quelle in /etc/apt/sources.list* einzutragen und das System auf buster hochzuziehen, nur supporten wir das noch nicht offiziell. Ebenso ist es mit etwas Handarbeit möglich, Ubuntu auf dem RevPi einzusetzen. Handarbeit bedeutet hier, dass bei Ubuntu z.B. die DeviceTree Overlays für den RevPi nachgerüstet werden müssen und piControl gegen den dort verwendeten Kernel compiliert werden muss oder gleich unser Kernel-Paket installiert werden muss.

Re: Veraltete Softwarepakete

Posted: 30 Apr 2020, 15:00
by dzechling
Hallo zusammen,

danke für euer Feedback.
Habe nun auch das Scanprotokoll erhalten.
Der Dienst mit den meisten Schwachstellen ist der veraltete Apache httpd.
Der allein ist für über 50 Sicherheitsverstöße verantwortlich.

VNC habe ich bereits deinstalliert.

ICMP timestamp Response soll deaktiviert werden
SSL und TSL ist veraltet. Nur SSL 1.2 ist zulässig.

Und ich soll ein gescheites Zertifikat benutzen.

Sieht auf einmal gar nicht mehr so übel aus.
Versuche evtl mal auf Buster zu aktualisieren.

Gruß
Dirk

Re: Veraltete Softwarepakete

Posted: 30 Apr 2020, 18:05
by lukas
Was du in dem Fall auch probieren kannst: Selektiv apache2 und libssl1.1 auf buster Niveau hochziehen. Dann musst du nicht das komplette Betriebssystem upgraden.

Dazu editierst du mit sudo die /etc/apt/sources.list, duplizierst die Zeile für Raspbian stretch, ersetzt "stretch" durch "buster" und machst dann einmal "sudo apt-get update", dann "sudo apt-get install apache2 libssl1.1". Das zieht automatisch die erforderlichen Abhängigkeiten rein. Anschließend die Zeile in /etc/apt/sources.list wieder auskommentieren.

Sieht bei mir so aus:
24 upgraded, 5 newly installed, 1 to remove and 990 not upgraded.
Need to get 25.0 MB/26.1 MB of archives.

Hab das jetzt nicht eingehend für apache2 auf dem RevPi getestet aber praktiziere die Methode häufig für andere Pakete, etwa um das neueste git aus Debian sid auf meine Entwicklungsmaschine zu bekommen.