Centrum nápovědy Zabezpečení serverů

Aktualizace serverů a software

Aktualizace serverů a software

Tento dokument popisuje zásady a doporučení pro aktualizace i rizika plynoucí z jejich zanedbání.

Význam pravidelných aktualizací

Aktualizace serverů jsou zásadní pro bezpečnost, stabilitu a kompatibilitu systémů. Přinášejí opravy bezpečnostních a funkčních chyb a optimalizují výkon serverů. Bez aktualizací jsou servery vystaveny vyššímu riziku kybernetických hrozeb, nestabilitě a postupně ztrácí podporu pro novější software a hardware.

Hlavní přínosy aktualizací:

  • oprava bezpečnostních zranitelností;
  • zlepšení stability a efektivity využívání systémových prostředků;
  • zajištění funkčnosti aplikací a jejich podpora;
  • snížení rizika nekompatibility s hardwarem, a tedy podpora výkonu;
  • rizika vedoucí k zamrznutí systému nebo nečekaným chybám.

Rizika neaktuálních systémů

1. Bezpečnostní hrozby

Každý software obsahuje bezpečnostní chyby, které mohou být postupně odhaleny a zneužity. Výrobci softwaru proto pravidelně vydávají aktualizace nebo bezpečnostní záplaty, které tyto chyby opravují.

Neaktualizované servery zůstávají vystaveny známým zranitelnostem. Například:

  • CVE-2021-44228 („Log4Shell“) – kritická chyba v Log4j umožňující vzdálené spuštění kódu.
  • CVE-2017-5638 – chyba v Apache Struts, která vedla k úniku dat milionů uživatelů.

Neaktualizované servery jsou také častým cílem automatizovaných útoků, které skenují internet a hledají zranitelné systémy.

2. Nekompatibilita softwarových verzí

Různé operační systémy podporují pouze určité verze softwarových balíků. Například Debian 11 standardně vychází s podporou PHP verze 7.4, zatímco Debian 12 podporuje PHP ve verzi 8.2.

Použití novějších verzí softwaru na starších operačních systémech (např. PHP 8.2 na Debianu 11) nebo naopak (např. PHP 7.4 na Debianu 12) může vést k bezpečnostním rizikům, nestabilitě systémů nebo nefunkčnosti aplikací. Nepodporované verze sice lze nainstalovat, ale pouze za využití neoficiálních repozitářů nebo kompilací ze zdrojového kódu, což dále zvyšuje riziko problémů. Takový postup proto nedoporučujeme.

3. Zastaralé šifrovací algoritmy

Bez aktualizací mohou servery nadále používat šifrovací algoritmy, jako TLS 1.0 nebo SHA-1, které nejsou dostatečně silné proti moderním útokům. To může ohrozit nejen bezpečnost komunikace, ale také zkomplikovat integraci s novějšími systémy.

4. Nestabilita a snížení výkonu

Aktualizace neobsahují jen bezpečnostní opravy, ale také opravy chyb (bugfixy) a optimalizace výkonu. Servery bez pravidelných aktualizací mohou vykazovat například:

  • memory leaks – situace, kdy systém nesprávně spravuje přidělenou paměť, což vede ke zvyšování využití paměti. Výsledkem je postupné zpomalování systému, v extrémních případech i úplné vyčerpání paměti a celkové selhání.
  • deadlocky a race conditions – starší verze operačních systémů nemají integrované mechanismy pro správu procesů a chyby v jejich synchronizaci mohou vést k zamrznutí aplikací
  • nekompatibilitu s hardwarem – nejnovější ovladače a jádro systému zlepšují výkon.

        5. Konec životního cyklu software (EOL)

        Každý operační systém a softwarová komponenta má svůj životní cyklus. Po ukončení podpory už výrobce neposkytuje žádné bezpečností opravy, což zvyšuje riziko útoků.

        V určitých případech lze použít tzv. backporting, kdy jsou bezpečnostní opravy aplikovány na starší verze softwaru bez změny jeho hlavních funkcí. Více o backportingu najdete v článku o aktualizacích klonů RHEL. Backporting je ale možný pouze u open-source řešení. V ostatních případech nebo tam, kde backporting není bezpečný, je jediným řešením migrace na novější verzi softwaru.

          Doporučení pro správu aktualizací

          Pro úspěšnou správu a plánování aktualizací doporučujeme:

          • Pravidelně sledovat release notes vydané výrobci software, aby bylo možné vyhodnotit důležitost a možné dopady aktualizací.
          • Vyhodnotit kritičnost aktualizací; bezpečnostní záplaty je nutné aplikovat co nejdříve, funkční aktualizace je vhodné otestovat.
          • Zvážit rizika aktualizace, protože některé mohou způsobit nekompatibilitu nebo nové chyby. I tady je lepší využít testovací prostředí nebo nasazovat postupně.
          • Vytvořit si zálohu před aktualizací v podobě snapshotu nebo pravidelné zálohy, aby bylo možné se v případě problémů vrátit do stavu před aktualizací.

          Dlouhodobě bezpečný a stabilní provoz serverů se bez pravidelných aktualizací neobejde. Dodržování správných postupů minimalizuje rizika a zajišťuje bezproblémový chod IT infrastruktury.

          Kategorie:

          Máte nejasnosti nebo nápad na zlepšení článku?

          Napište nám