Centos

AlmaLinux & Apache 2.4 & CVE-2021-42013(+ 其他 CVE)

  • October 15, 2021

我有一個小型 Apache 網路伺服器,它是 CentOS,但現在是 AlmaLinux 8,我一直在嘗試通過 dnf 更新 httpd 以防止最近披露的漏洞:https ://httpd.apache.org/security/vulnerabilities_24.html

從數值上看,機器的 httpd 版本號從未超過2.4.37,但我在其他地方讀到 RHEL 將 CVE 修復程序反向移植到與其作業系統版本一致的每個 Apache 版本。

問題

  1. AlamLinux 做同樣的事情嗎?
  2. 實際推出修復程序需要多長時間?

供參考:

rpm -q --changelog httpd | grep CVE-2021不返回任何結果

httpd -v返回Server version: Apache/2.4.37 (AlmaLinux)

我在 RHPE 上看到的最後一個 CVE 是 CVE-2021-40438 ( https://access.redhat.com/errata/RHSA-2021:3754 )。AlmaLinux 有類似的東西,還是使用同樣的東西?

編輯

今天更新後,rpm -q --changelog httpd | grep CVE-2021現在返回:

Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in

供參考:

CVE-2021-40438:更新 2.4.49 - 發佈時間:2021-09-16

CVE-2021-26691:更新 2.4.48 - 發佈時間:2021-06-01

似乎他們正在挑選包含的 CVE。

AlmaLinux 與 RHEL 是 1:1 二進制兼容的,並且是 RHEL 的下游,因此在 RHEL 中打更新檔的軟體包也將在 AlmaLinux 中打更新檔,通常會延遲 1 個工作日。

https://wiki.almalinux.org/Comparison.html

正如您自己提到的,您可以使用rpm -q --changelog PackageName | grep CVE來查看某個 CVE 是否在包中得到解決。

AlmaLinux 中的軟體包來自 RHEL,但在 AlmaLinux 中可用之前進行了一些小的修改。

https://wiki.almalinux.org/development/Packaging.html

引用自:https://serverfault.com/questions/1080476