Linux

Apache升級策略

  • May 22, 2019

我在 CentOS 6.5 和 Apache 2.2.15 上。我希望我的 httpd 是最新的,所以我做了:

yum update httpd

之後它仍然是 2.2.15 版本,但最新版本是 2.2.22。我還看到了 2.2.15 和 2.2.22 之間的安全更新。

我想知道 2.2.15 是否安全?我應該強制更新到最新版本還是我擁有的版本足夠好。我正在尋找實現最大安全性,所以我猜它應該是最新版本,但我是新手,所以只想確認這一點。

您必須了解紅帽的打包和修補政策。

Red Hat 選擇他們在啟動 RHEL 版本時將使用的任何給定工具的版本。對於 RHEL 6,這包括 Apache 2.2.15、2.6.32 核心、php 5.3.3 等。在 RHEL6 的剩餘生命週期中,這些將不會升級;Red Hat 會將任何必要的更新檔(偶爾也會進行一些被認為是可取的改進)反向移植到他們選擇的版本中。這意味著您將執行的軟體的版本號表明它容易受到某些眾所周知的漏洞的攻擊,但可能已對其進行了修補以避免這些漏洞。Red Hat在他們自己的網站上更詳細地解釋了所有這些。

如果您想確保自己不受特定漏洞的影響,您需要找到問題的 CVE 編號,並查看更改日誌。幸運的是,rpm這比其他方式更容易。以CVE-2017-7679 為例,它表面上會影響 httpd-2.2.15。在我的(CentOS6,但我懷疑 RHEL6 會給出相同的響應)系統上,已對此進行了修補:

[me@lory ~]$ rpm -q --changelog httpd|grep 7679
- Resolves: #1463207 - CVE-2017-7679 httpd: mod_mime buffer overread

令人驚訝的是,有多少soi-disant安全審計員不理解 RH 方法的後果(如下所述,這對於大多數具有企業意識的發行版來說很常見),其中一些甚至在它被緩慢而簡短地解釋之後。

引用自:https://serverfault.com/questions/583455