CVE-2014-0226 修补了吗?

CVE-2014-0226 修补了吗?

我们目前已在 Ubuntu 14.04 LTS 上将 Apache 版本更新至 2.4.7-1ubuntu4.5。您能否确认此版本已针对 CVE-2014-0226 进行了修补?

答案1

如果给定软件包,此信息将会(或应该)在变更日志中,要下载并查看 apache2 的变更日志,请打开终端窗口(++ CTRL)并执行:ALTT

apt-get changelog apache2

一旦下载了变更日志(这只需几秒钟),您将看到声明2.4.7-1ubuntu4.1已修复 CVE 的条目:

apache2 (2.4.7-1ubuntu4.1) 可信安全;紧急程度=中等

  • 安全更新:mod_proxy 中存在拒绝服务问题

    • debian/patches/CVE-2014-0117.patch:还跳过 modules/proxy/proxy_util.c 中的分号。
    • CVE-2014-0117 * 安全更新:通过 mod_deflate 主体解压消耗资源
    • debian/patches/CVE-2014-0118.patch:在 modules/filters/mod_deflate.c 中添加了新的配置选项 DeflateInflateLimitRequestBody、DeflateInflateRatioLimit 和 DeflateInflateRatioBurst。
    • CVE-2014-0118 * 安全更新:通过 mod_status 中的竞争导致拒绝服务
    • debian/patches/CVE-2014-0226.patch:通过将 ap_copy_scoreboard_worker() 添加到 include/scoreboard.h、modules/generators/mod_status.c、modules/lua/lua_request.c、server/scoreboard.c 来解决竞争问题。
    • CVE-2014-0226 * 安全更新:mod_cgid 中的拒绝服务
    • debian/patches/CVE-2014-0231.patch:在 modules/generators/mod_cgid.c 中添加了新的配置选项 CGIDScriptTimeout。
    • CVE-2014-0231

    -- Marc Deslauriers 2014 年 7 月 21 日星期一 15:46:10 -0400

答案2

您可以轻松找到这些信息!使用@rpadovani 的一个很好的回答导致人们:

http://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.7-1ubuntu4.5/changelog

简单搜索一下(我使用了“-0226”),我们可以得到:

apache2 (2.4.7-1ubuntu4.1) trusty-security; urgency=medium

 ...  


 * SECURITY UPDATE: denial of service via race in mod_status
   - debian/patches/CVE-2014-0226.patch: fix race by adding
     ap_copy_scoreboard_worker() to include/scoreboard.h,
     modules/generators/mod_status.c, modules/lua/lua_request.c,
     server/scoreboard.c.
  - CVE-2014-0226

答案3

http://people.canonical.com/~ubuntu-security/cve/您可以在 Ubuntu 上搜索 CVE。

对于 CVE-2014-0226,您可以http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0226.html你可以看到,自版本 2.4.7-1ubuntu4.1 以来,该问题已在 14.04 中得到修复

相关内容