2012 年 4 月在 Apache 中发现了一个安全漏洞,这是一个 PCI 合规性问题: http ://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0883
我一直使用 yum 使我的服务器 (CentOS) 保持最新。我一直无法找到带有 httpd-2.2.23(当前运行 2.2.22)的回购协议。自从我从源代码构建任何东西以来已经有很长时间了,所以我对这样做并不感到兴奋,但如果需要的话我会的。
我的问题是,我该如何解决而不破坏 yum 更新过程?
TD
您与服务器无关。
根据 Red Hat 的说法,RHEL(以及 CentOS)附带的 Apache 版本不容易受到这种攻击。
您确实需要将此信息提供给您的 PCI 合规审计员。
不要改变任何东西。
Red Hat(以及 CentOS)从较新版本向后移植安全修复程序,而不是批发升级到较新版本并可能引入兼容性问题。
在这种情况下,没有向后移植,因为打包版本不易受攻击。看这里;这个扫描结果是误报。
用于漏洞检查的原始版本号匹配往往不准确;考虑改为
ServerTokens Prod.备份您的 apache 配置文件,卸载 httpd、httpd-devel 和任何其他 httpd 包,然后您可以从这里手动下载 rpm 。
并使用 yum 或 rpm 安装它。
希望这可以帮助!