AlmaLinux и Apache 2.4 и CVE-2021-42013 (+ другие CVE)
У меня есть небольшой веб-сервер Apache, который был CentOS, но теперь AlmaLinux 8, и я пытался обновить httpd через dnf для защиты от недавно обнаруженных уязвимостей:https://httpd.apache.org/security/vulnerabilities_24.html
Численно номер версии httpd машины никогда не превышает 2.4.37 , но я где-то читал, что RHEL поддерживает исправления CVE для каждой версии Apache, соответствующей выпуску их ОС.
Вопросы
Делает ли AlamLinux то же самое?
Сколько времени требуется, чтобы действительно развернуть исправление?
FYI:
rpm -q --changelog httpd | grep CVE-2021возвращает нет результатов .
httpd -vвозвращаетServer version: Apache/2.4.37 (AlmaLinux)
Последний CVE, который я вижу на RHPE, это CVE-2021-40438(https://access.redhat.com/errata/RHSA-2021:3754). Есть ли в AlmaLinux что-то подобное или используется то же самое?
~~Изменить~~
После сегодняшнего обновления rpm -q --changelog httpd | grep CVE-2021теперь возвращает:
Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in
FYI:
CVE -2021 -40438 :Обновление 2.4.49 -выпущено :2021 -09-16
CVE-2021-26691:Выпущено обновление 2.4.48 -:2021-06-01
Кажется, что они вишневые выбор CVE для включения.
AlmaLinux 1:1 бинарно совместим с RHEL и является нижестоящим по течению от RHEL, поэтому пакеты, исправленные в RHEL, будут также исправлены в AlmaLinux, обычно с задержкой в 1 рабочий день..
https://wiki.almalinux.org/Comparison.html
Как вы сами упомянули, вы можете использовать rpm -q --changelog PackageName | grep CVE, чтобы узнать, разрешается ли определенный CVE в пакете.
Пакеты в AlmaLinux поступают из RHEL, но претерпевают небольшие изменения, прежде чем станут доступными в AlmaLinux.