Рейтинг:0

Server

AlmaLinux и Apache 2.4 и CVE-2021-42013 (+ другие CVE)

Mark

13.02.2023, 22:29

У меня есть небольшой веб-сервер Apache, который был CentOS, но теперь является AlmaLinux 8, и я пытался обновить httpd через dnf для защиты от недавно обнаруженных уязвимостей: https://httpd.apache.org/security/vulnerabilities_24.html

Численно номер версии httpd машины никогда не превышает 2.4.37, но я читал в другом месте, что RHEL поддерживает исправления CVE для каждой версии Apache, которая соответствует выпуску их ОС.

Вопросы

Делает ли AlamLinux то же самое?
Сколько времени требуется, чтобы действительно выпустить исправление?

К вашему сведению:

об/мин -q --changelog httpd | ошибка CVE-2021 возвращается Нет результатов.

httpd -v возвращается Версия сервера: Apache/2.4.37 (AlmaLinux)

Последняя CVE, которую я вижу на RHPE, — CVE-2021-40438 (https://access.redhat.com/errata/RHSA-2021:3754). Есть ли в AlmaLinux что-то подобное или используется то же самое?

~~ Редактировать ~~

Сегодня после обновления об/мин -q --changelog httpd | ошибка CVE-2021 теперь возвращает:

Решает: # 2007234 - CVE-2021-40438 httpd: 2.4/httpd: mod_proxy: SSRF через
Решает: #2007646 — CVE-2021-26691 httpd:2.4/httpd: переполнение кучи в

К вашему сведению:

CVE-2021-40438: обновление 2.4.49 — выпущено: 16 сентября 2021 г.

CVE-2021-26691: обновление 2.4.48 — выпущено: 01 июня 2021 г.

Похоже, они тщательно выбирают CVE для включения.

243

0 + 0

сентос

апач-2.4

облачный линукс

Рейтинг:1

Server

ralz

15.02.2023, 08:02

AlmaLinux бинарно совместим с RHEL в соотношении 1:1 и находится ниже по течению от RHEL, поэтому пакеты, исправленные в RHEL, будут также исправлены в AlmaLinux, обычно с задержкой в 1 рабочий день.

https://wiki.almalinux.org/Comparison.html

Как вы упомянули сами, вы можете использовать rpm -q --changelog имя_пакета | grep CVE чтобы увидеть, разрешается ли определенный CVE в пакете.

Пакеты в AlmaLinux поступают из RHEL, но претерпевают небольшие изменения, прежде чем становятся доступными в AlmaLinux.

https://wiki.almalinux.org/development/Packaging.html

0 + 0

Mark

16.02.2023, 11:32

Хорошо спасибо. Я не думаю, что вы знаете, почему проблема Apache «срочно, исправьте сейчас» даже не будет иметь списка опечаток с RHEL, не так ли?

Ответить

ralz

17.02.2023, 14:08

@Отметьте, если вы имеете в виду CVE-2021-42013, похоже, это не влияет на httpd, который поставляется на RHEL https://access.redhat.com/security/cve/cve-2021-42013

Ответить

Mark

18.02.2023, 22:49

Да, это было одно из многих, что я видел на странице безопасности Apache. Я специально искал его и увидел несколько важных из них, и не смотрел на соответствующие минимальные версии. Но это приятно знать :) спасибо.

Ответить

Admin

Этот вопрос на других языках:

EN: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ other CVEs)

TH: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ CVE อื่นๆ)

RO: AlmaLinux și Apache 2.4 și CVE-2021-42013 (+ alte CVE)

RU: AlmaLinux и Apache 2.4 и CVE-2021-42013 (+ другие CVE)

VI: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ các CVE khác)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.