Puncte:0

Server

AlmaLinux și Apache 2.4 și CVE-2021-42013 (+ alte CVE)

Mark

13.02.2023, 22:29

Am un mic server web Apache care era CentOS, dar acum este AlmaLinux 8 și am încercat să actualizez httpd prin dnf pentru a mă proteja împotriva vulnerabilităților recent dezvăluite: https://httpd.apache.org/security/vulnerabilities_24.html

Numeric, numărul versiunii httpd al mașinii nu depășește niciodată 2.4.37, dar am citit în altă parte că RHEL backports remedieri CVE pentru fiecare versiune Apache care se aliniază la versiunea lor de sistem de operare.

Întrebări

AlamLinux face același lucru?
Cât timp durează pentru ca corectarea să fie implementată?

FYI:

rpm -q --changelog httpd | grep CVE-2021 se intoarce fara rezultate.

httpd -v se intoarce Versiunea serverului: Apache/2.4.37 (AlmaLinux)

Ultimul CVE pe care îl pot vedea pe RHPE este CVE-2021-40438 (https://access.redhat.com/errata/RHSA-2021:3754). AlmaLinux are așa ceva sau folosește același lucru?

~~ Editează ~~

După o actualizare azi, rpm -q --changelog httpd | grep CVE-2021 acum revine:

Rezolvă: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF prin
Rezolvă: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow în

FYI:

CVE-2021-40438: Actualizare 2.4.49 - lansat: 2021-09-16

CVE-2021-26691: Actualizare 2.4.48 - lansat: 2021-06-01

Se pare că strâng CVE-uri pentru a le include.

243

0 + 0

centos

apache-2.4

cloudlinux

Puncte:1

Server

ralz

15.02.2023, 08:02

AlmaLinux este compatibil binar 1:1 cu RHEL și este în aval de RHEL, astfel încât pachetele care sunt corectate în RHEL vor fi corectate și în AlmaLinux, de obicei cu 1 zi lucrătoare de întârziere.

https://wiki.almalinux.org/Comparison.html

După cum v-ați menționat, puteți folosi rpm -q --changelog PackageNume | grep CVE pentru a vedea dacă anumite CVE sunt rezolvate într-un pachet.

Pachetele din AlmaLinux provin de la RHEL, dar primesc câteva mici modificări înainte de a fi disponibile în AlmaLinux.

https://wiki.almalinux.org/development/Packaging.html

0 + 0

Mark

16.02.2023, 11:32

Bine, multumesc. Nu cred că ați ști de ce o problemă Apache „urgent, patch now” nu ar avea nici măcar o listă de errate cu RHEL, nu-i așa?

Răspunde

ralz

17.02.2023, 14:08

@Mark dacă vă referiți la CVE-2021-42013, nu pare să afecteze httpd-ul care se livrează pe RHEL https://access.redhat.com/security/cve/cve-2021-42013

Răspunde

Mark

18.02.2023, 22:49

Da, acesta a fost unul dintre multele pe care le-am văzut pe pagina de securitate Apache. L-am căutat pe acesta în mod specific și am văzut un număr dintre ele care erau importante și nu m-am uitat la versiunile minime aferente. Dar e bine de știut :) mulțumesc.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ other CVEs)

TH: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ CVE อื่นๆ)

RO: AlmaLinux și Apache 2.4 și CVE-2021-42013 (+ alte CVE)

RU: AlmaLinux и Apache 2.4 и CVE-2021-42013 (+ другие CVE)

VI: AlmaLinux & Apache 2.4 & CVE-2021-42013 (+ các CVE khác)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.