No site do apache, parece que a versão mais recente é 2.4.54.
Instalei o apache no meu CentOS 7, e quando verifico a versão, mostra que instalou a versão mais recente, mas o número da versão é httpd-2.4.6-97.el7.centos.5.x86_64:
# yum changelog httpd
Failed to set locale, defaulting to C
Loaded plugins: changelog, fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.interhost.net.il
* extras: centos.interhost.net.il
* updates: centos.interhost.net.il
Listing all changelogs
==================== Installed Packages ====================
httpd-2.4.6-97.el7.centos.5.x86_64 installed
* Thu Mar 24 14:00:00 2022 CentOS Sources <[email protected]> - 2.4.6-97.el7.centos.5
- Remove index.html, add centos-noindex.tar.gz
- change vstring
- change symlink for poweredby.png
- update welcome.conf with proper aliases
* Tue Mar 22 14:00:00 2022 Lubo? Uhliarik <[email protected]> - 2.4.6-97.5
- Resolves: #2065243 - CVE-2022-22720 httpd: HTTP request smuggling
vulnerability in Apache HTTP Server 2.4.52 and earlier
Recebi um relatório de que o site tem vulnerabilidades de segurança, que deveriam ser corrigidas em versões anteriores do Apache, então não entendo por que tenho essa vulnerabilidade se tiver a versão mais recente.
Alguém pode explicar porque é assim?
O CentOS 7 foi lançado em 2014 e incluiu o Apache 2.4.6 que era recente na época em que o sistema operacional foi lançado.
É prática comum para distribuições "estáveis" congelar as versões dos programas e não atualizá-las durante o ciclo de vida do SO, apenas retroportando patches de segurança se a versão incluída no SO for afetada - o que parece ser o caso aqui, pois a partir da saída que você forneceu, parece que há algum patch incluído que corrige uma vulnerabilidade encontrada na versão 2.4.52.
Portanto, nenhum novo recurso no Apache que foi introduzido após a versão 2.4.6 está incluído, mas os patches de segurança são recentes. Isso garante que nada mudará durante a atualização do sistema de forma que faça o Apache funcionar de forma diferente das versões anteriores e - como consequência - ex. seus aplicativos da web parem de funcionar corretamente.
A mesma prática se aplica, por exemplo, para versões estáveis (LTS) do Ubuntu e muitas outras distribuições.
Quanto ao relatório sobre vulnerabilidades de segurança em seu site, você deve obter mais informações sobre como o relatório foi gerado. Talvez tenha sido gerado por alguma ferramenta de varredura "estúpida" que apenas olha para a versão do software anunciada pelo servidor (ou seja, 2.4.6), e com base apenas neste número de versão diz que o site é vulnerável, sem realmente verificar se o vulnerabilidade está presente ou não.