Eu instalei o RHEL 9.4, que é a versão mais recente do RHEL disponível. O departamento de TI encontrou várias vulnerabilidades no software Apache instalado 2.4.57. No site oficial, a versão mais recente do Apache disponível para o RHEL 9.4 é a versão 2.4.57.
Como posso instalar uma versão posterior (por exemplo, >2.4.62) para corrigir as vulnerabilidades? Ou o que devo fazer se não conseguir instalar uma versão mais recente?
Parte do contrato (social) que distribuições estáveis ou empresariais têm com seus usuários é a estabilidade . Não como não travar, mas como as coisas não mudarem . O que você configura hoje, ainda funcionará e estará seguro em dez anos, se esse for o período de suporte.
Isso significa que eles não podem mudar as versões do Apache. Isso quebraria as coisas para os clientes, e os clientes que pagam por estabilidade tendem a ficar irritados quando não a recebem.
O que a Red Hat e outros fazem é retroportar correções . Quando uma vulnerabilidade é descoberta, eles descobrirão como aplicar a correção a versões mais antigas. O projeto Apache geralmente só corrige a versão mais recente, mas o Ubuntu, Debian, Red Hat e outros farão o backport para a versão que eles usam.
Portanto, você não pode olhar para o número da versão para determinar quais vulnerabilidades estão presentes. Uma boa fonte para a Red Hat é o RHSA , que lhe dirá quando uma vulnerabilidade específica for fechada.