Apacheセキュリティアップデートはバックポートされていますか？

Apacheがセキュリティアップデートを取得しているかどうかを確認する方法：

変更ログ 。をご覧ください

セキュリティ修正を示す変更ログエントリの例を次に示します。

2.4.7-1ubuntu4.13
Published in trusty-updates on 2016-07-18
Published in trusty-security on 2016-07-18
Apache2 (2.4.7-1ubuntu4.13) trusty-security; urgency=medium

* SECURITY UPDATE: proxy request header vulnerability (httpoxy)
 - debian/patches/CVE-2016-5387.patch: don't pass through HTTP_PROXY in server/util_script.c.
 - CVE-2016-5387
* This update does _not_ contain the changes from (2.4.7-1ubuntu4.12) in trusty-proposed.

よくある間違い：セキュリティ更新はバックポートではありません

FooプロジェクトがFoo 1.1のセキュリティ脆弱性を発見したとしましょう。彼らはパッチを発行します。ほとんどのユーザーはパッチの適用方法がわからないため、新しいアップストリームバージョンFoo 1.2もリリースし、全員にアップグレードを提案します。

Ubuntu Security TeamはFoo 1.2をパッケージ化しません。代わりに、Foo 1.1にパッチを適用します。パッチを適用したバージョンをFoo 1.1ubuntu0としてアップロードします。 Fooのバージョンを確認すると、紛らわしいことに「1.1」と表示され、安っぽい技術ニュースWebサイトでは「1.1」が脆弱であると表示されます。 パッケージのバージョンと変更ログをチェックして、適用されているセキュリティパッチを確認します。ソフトウェアの--version機能に依存しないでください。 Ubuntuセキュリティチームはその文字列を変更しません。

Foo 1.2はUbuntuの次のリリースに登場します。その後、光沢のある新機能にアップグレードできます。

Ubuntuの新しいバージョンでFoo 1.2がリリースされた後、一部の勇敢なユーザーは、Ubuntuの古いリリースで新しいパッケージを試します。 バックポートは、新しいパッケージを古いリリースに移植するこの方法です。時には機能する場合もあれば、機能しない場合もあります。 Ubuntuでのバックポートは、セキュリティの更新とは関係ありません。

「trusty-security」リポジトリがUbuntuによって完全にサポートされていることに注意してください。 「trusty-backports」リポジトリはサポートされていません-ユーザーは注意してください。