AlmaLinux & Apache 2.4 & CVE-2021-42013(+ 其他 CVE)
我有一個小型 Apache 網路伺服器,它是 CentOS,但現在是 AlmaLinux 8,我一直在嘗試通過 dnf 更新 httpd 以防止最近披露的漏洞:https ://httpd.apache.org/security/vulnerabilities_24.html
從數值上看,機器的 httpd 版本號從未超過2.4.37,但我在其他地方讀到 RHEL 將 CVE 修復程序反向移植到與其作業系統版本一致的每個 Apache 版本。
問題
- AlamLinux 做同樣的事情嗎?
- 實際推出修復程序需要多長時間?
供參考:
rpm -q --changelog httpd | grep CVE-2021
不返回任何結果。
httpd -v
返回Server version: Apache/2.4.37 (AlmaLinux)
我在 RHPE 上看到的最後一個 CVE 是 CVE-2021-40438 ( https://access.redhat.com/errata/RHSA-2021:3754 )。AlmaLinux 有類似的東西,還是使用同樣的東西?
編輯今天更新後,
rpm -q --changelog httpd | grep CVE-2021
現在返回:Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in
供參考:
CVE-2021-40438:更新 2.4.49 - 發佈時間:2021-09-16
CVE-2021-26691:更新 2.4.48 - 發佈時間:2021-06-01
似乎他們正在挑選包含的 CVE。
AlmaLinux 與 RHEL 是 1:1 二進制兼容的,並且是 RHEL 的下游,因此在 RHEL 中打更新檔的軟體包也將在 AlmaLinux 中打更新檔,通常會延遲 1 個工作日。
https://wiki.almalinux.org/Comparison.html
正如您自己提到的,您可以使用
rpm -q --changelog PackageName | grep CVE
來查看某個 CVE 是否在包中得到解決。AlmaLinux 中的軟體包來自 RHEL,但在 AlmaLinux 中可用之前進行了一些小的修改。