Как определить, какой CVE перенесен на какую версию пакета?
Я пытаюсь определить, какая версия Apache поддерживает CVE-2021-40438. Я очень озадачен тем, как это узнать. На нашем сервере выхода в открытый космос установлено несколько версий Apache 2.4.37 от -10 до -56, а конкретная виртуальная машина обновлена до версии 2.4.37-56.0.1.module+el8.8.0+21057+13668aee.6.
1 ответ
В любом случае, я эксперт по Linux, но вот мои 2 цента...
Вам придется использовать рекомендации по безопасности вашей операционной системы, чтобы привязать CVE к конкретным выпускам. Судя по всему, Apache связывает CVE только с версиями Apache.
Например, если у вас Oracle Linux по адресу 2.4.37-56.0.1.module+el8.8.0+21057+13668aee.6.
вы узнаете, что CVE-2021-40438 исправлена, просмотрев следующие рекомендации по безопасности, поскольку в них говорится, что CVE-2021-40438 устранена на httpd-2.4.37-39.0.1.