Điểm:0

Server

AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ các CVE khác)

Mark

22:29, 13/02/2023

Tôi có một máy chủ web Apache nhỏ là CentOS nhưng hiện tại là AlmaLinux 8 và tôi đã cố cập nhật httpd qua dnf để bảo vệ khỏi các lỗ hổng được tiết lộ gần đây: https://httpd.Apache.org/security/vulnerabilities_24.html

Về số lượng, số phiên bản httpd của máy không bao giờ vượt quá 2.4.37, nhưng tôi đã đọc ở đâu đó rằng RHEL nhập các bản sửa lỗi CVE cho từng phiên bản Apache phù hợp với bản phát hành hệ điều hành của họ.

câu hỏi

AlamLinux có làm điều tương tự không?
Mất bao lâu để bản sửa lỗi thực sự được triển khai?

FYI:

rpm -q --changelog httpd | grep CVE-2021 lợi nhuận ko có kết quả.

httpd -v lợi nhuận Phiên bản máy chủ: Apache/2.4.37 (AlmaLinux)

CVE cuối cùng tôi có thể thấy trên RHPE là CVE-2021-40438 (https://access.redhat.com/errata/RHSA-2021:3754). AlmaLinux có thứ gì như thế này không, hay nó sử dụng thứ tương tự?

~~Sửa~~

Sau khi cập nhật ngày hôm nay, rpm -q --changelog httpd | grep CVE-2021 bây giờ trả về:

Đã giải quyết: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF qua
Đã giải quyết: #2007646 - CVE-2021-26691 httpd:2.4/httpd: tràn bộ nhớ trong

FYI:

CVE-2021-40438: Cập nhật 2.4.49 - phát hành: 16-09-2021

CVE-2021-26691: Cập nhật 2.4.48 - phát hành: 2021-06-01

Có vẻ như họ đang chọn CVE để đưa vào.

243

0 + 0

apache-2.4

điện toán đám mây

Điểm:1

Server

ralz

08:02, 15/02/2023

AlmaLinux tương thích nhị phân 1:1 với RHEL và là hạ nguồn từ RHEL, vì vậy các gói được vá lỗi trong RHEL cũng sẽ được vá lỗi trong AlmaLinux, thường chậm trễ 1 ngày làm việc.

https://wiki.almalinux.org/Comparison.html

Như bạn đã đề cập, bạn có thể sử dụng rpm -q --changelog PackageName | grep CVE để xem liệu CVE nhất định có được giải quyết trong một gói hay không.

Các gói trong AlmaLinux đến từ RHEL, nhưng có một số sửa đổi nhỏ trước khi được cung cấp trong AlmaLinux.

https://wiki.almalinux.org/development/Packaging.html

0 + 0

Mark

11:32, 16/02/2023

Được rồi cảm ơn. Tôi không cho rằng bạn biết tại sao một vấn đề Apache "khẩn cấp, vá ngay bây giờ" thậm chí sẽ không có danh sách lỗi với RHEL, phải không?

Hồi đáp

ralz

14:08, 17/02/2023

@Mark nếu bạn đang đề cập đến CVE-2021-42013 thì có vẻ như nó không ảnh hưởng đến httpd vận chuyển trên RHEL https://access.redhat.com/security/cve/cve-2021-42013

Hồi đáp

Mark

22:49, 18/02/2023

Vâng, đó là một trong nhiều thứ mà tôi đã thấy trên trang bảo mật của Apache. Tôi đã tìm kiếm cái đó một cách cụ thể và thấy một số trong số chúng là quan trọng và không xem xét các phiên bản tối thiểu có liên quan. Nhưng thật tốt khi biết điều đó :) cảm ơn bạn.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ other CVEs)

TH: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ CVE อื่นๆ)

RO: AlmaLinux și Apache 2.4 și CVE-2021-42013 (+ alte CVE)

RU: AlmaLinux и Apache 2.4 и CVE-2021-42013 (+ другие CVE)

VI: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ các CVE khác)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.