我有一个小型 Apache 网络服务器,它是 CentOS,但现在是 AlmaLinux 8,我一直在尝试通过 dnf 更新 httpd 以防止最近披露的漏洞:https ://httpd.apache.org/security/vulnerabilities_24.html
从数值上看,机器的 httpd 版本号从未超过2.4.37,但我在其他地方读到 RHEL 将 CVE 修复程序反向移植到与其操作系统版本一致的每个 Apache 版本。
问题
AlamLinux 做同样的事情吗?
实际推出修复程序需要多长时间?
供参考:
rpm -q --changelog httpd | grep CVE-2021
不返回任何结果。
httpd -v
返回Server version: Apache/2.4.37 (AlmaLinux)
我在 RHPE 上看到的最后一个 CVE 是 CVE-2021-40438 ( https://access.redhat.com/errata/RHSA-2021:3754 )。AlmaLinux 有类似的东西,还是使用同样的东西?
~~编辑~~
今天更新后,rpm -q --changelog httpd | grep CVE-2021
现在返回:
Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in
供参考:
CVE-2021-40438:更新 2.4.49 - 发布时间:2021-09-16
CVE-2021-26691:更新 2.4.48 - 发布时间:2021-06-01
似乎他们正在挑选包含的 CVE。
AlmaLinux 与 RHEL 是 1:1 二进制兼容的,并且是 RHEL 的下游,因此在 RHEL 中打补丁的软件包也将在 AlmaLinux 中打补丁,通常会延迟 1 个工作日。
https://wiki.almalinux.org/Comparison.html
正如您自己提到的,您可以使用
rpm -q --changelog PackageName | grep CVE
来查看某个 CVE 是否在包中得到解决。AlmaLinux 中的软件包来自 RHEL,但在 AlmaLinux 中可用之前进行了一些小的修改。
https://wiki.almalinux.org/development/Packaging.html