从apache网站,最新版本似乎是2.4.54。
我在我的 CentOS 7 上安装了 apache,当我检查版本时,它显示它安装了最新版本,但版本号是httpd-2.4.6-97.el7.centos.5.x86_64:
# yum changelog httpd
Failed to set locale, defaulting to C
Loaded plugins: changelog, fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.interhost.net.il
* extras: centos.interhost.net.il
* updates: centos.interhost.net.il
Listing all changelogs
==================== Installed Packages ====================
httpd-2.4.6-97.el7.centos.5.x86_64 installed
* Thu Mar 24 14:00:00 2022 CentOS Sources <[email protected]> - 2.4.6-97.el7.centos.5
- Remove index.html, add centos-noindex.tar.gz
- change vstring
- change symlink for poweredby.png
- update welcome.conf with proper aliases
* Tue Mar 22 14:00:00 2022 Lubo? Uhliarik <[email protected]> - 2.4.6-97.5
- Resolves: #2065243 - CVE-2022-22720 httpd: HTTP request smuggling
vulnerability in Apache HTTP Server 2.4.52 and earlier
我收到报告说该站点存在安全漏洞,应该在以前版本的 Apache 中修复,所以我不明白如果我有最新版本为什么会有这个漏洞。
有人可以解释为什么会这样吗?
CentOS 7 于 2014 年发布,其中包括发布操作系统时最近的 Apache 2.4.6。
“稳定”发行版的常见做法是冻结程序版本而不是在操作系统的生命周期内更新它们,只有在操作系统中包含的版本受到影响时才向后移植安全补丁——这里似乎就是这种情况,因为从您提供的输出看来,似乎包含一些修补程序来修复版本 2.4.52 中发现的漏洞。
因此,Apache 中没有包含在 2.4.6 版之后引入的新功能,但安全补丁是最新的。这确保了在系统更新期间不会发生任何变化,从而使 Apache 的工作方式与以前的版本不同,并且 - 因此 - 例如。您的 Web 应用程序停止正常工作。
例如,相同的做法适用于稳定 (LTS) Ubuntu 版本和许多其他发行版。
至于有关您网站上的安全漏洞的报告,您应该获得有关如何生成报告的更多信息。也许它是由一些“愚蠢”的扫描工具生成的,它只查看服务器宣传的软件版本(即 2.4.6),仅根据这个版本号就说该站点存在漏洞,而没有实际检查是否漏洞是否存在。