AlmaLinux, Apache 2.4 и CVE-2021-42013 (+ другие CVE)
У меня есть небольшой веб-сервер Apache с CentOS, но теперь это AlmaLinux 8, и я пытаюсь обновить httpd через dnf для защиты от недавно обнаруженных уязвимостей: https://httpd.apache.org/security/vulnerabilities_24.html
Численно номер версии httpd машины никогда не превышает 2.4.37, но я читал в другом месте, что RHEL поддерживает исправления CVE для каждой версии Apache, соответствующей выпуску их ОС.
Вопросы
AlamLinux делает то же самое?
Сколько времени потребуется, чтобы фактически внедрить исправление?
К вашему сведению:
не возвращает результатов .
httpd -vвозвращаетServer version: Apache/2.4.37 (AlmaLinux)
Последний CVE, который я вижу на RHPE, — это CVE-2021-40438 (https://access.redhat.com/errata/RHSA-2021:3754). Есть ли в AlmaLinux что-нибудь подобное или он использует то же самое?
~~ Редактировать ~~
После сегодняшнего обновленияrpm -q --changelog httpd | grep CVE-2021теперь возвращается:
Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in
К вашему сведению:
CVE-2021-40438: обновление 2.4.49 — выпущено: 16 сентября 2021 г.
CVE-2021-26691: обновление 2.4.48 — выпущено: 1 июня 2021 г.
Похоже, они тщательно выбирают CVE для включения.
1 ответ
AlmaLinux 1:1 двоично совместим с RHEL и является нижестоящим по отношению к RHEL, поэтому пакеты, исправленные в RHEL, будут исправлены и в AlmaLinux, обычно с задержкой в 1 рабочий день.
https://wiki.almalinux.org/Comparison.html
Как вы упомянули сами, вы можете использоватьrpm -q --changelog PackageName | grep CVEчтобы узнать, разрешена ли определенная CVE в пакете.
Пакеты в AlmaLinux взяты из RHEL, но перед тем, как стать доступными в AlmaLinux, они претерпевают некоторые небольшие изменения.