我们目前已在 Ubuntu 14.04 LTS 上将 Apache 版本更新至 2.4.7-1ubuntu4.5。您能否确认此版本已针对 CVE-2014-0226 进行了修补?
答案1
如果给定软件包,此信息将会(或应该)在变更日志中,要下载并查看 apache2 的变更日志,请打开终端窗口(++ CTRL)并执行:ALTT
apt-get changelog apache2
一旦下载了变更日志(这只需几秒钟),您将看到声明2.4.7-1ubuntu4.1
已修复 CVE 的条目:
apache2 (2.4.7-1ubuntu4.1) 可信安全;紧急程度=中等
安全更新:mod_proxy 中存在拒绝服务问题
- debian/patches/CVE-2014-0117.patch:还跳过 modules/proxy/proxy_util.c 中的分号。
- CVE-2014-0117 * 安全更新:通过 mod_deflate 主体解压消耗资源
- debian/patches/CVE-2014-0118.patch:在 modules/filters/mod_deflate.c 中添加了新的配置选项 DeflateInflateLimitRequestBody、DeflateInflateRatioLimit 和 DeflateInflateRatioBurst。
- CVE-2014-0118 * 安全更新:通过 mod_status 中的竞争导致拒绝服务
- debian/patches/CVE-2014-0226.patch:通过将 ap_copy_scoreboard_worker() 添加到 include/scoreboard.h、modules/generators/mod_status.c、modules/lua/lua_request.c、server/scoreboard.c 来解决竞争问题。
- CVE-2014-0226 * 安全更新:mod_cgid 中的拒绝服务
- debian/patches/CVE-2014-0231.patch:在 modules/generators/mod_cgid.c 中添加了新的配置选项 CGIDScriptTimeout。
- CVE-2014-0231
-- Marc Deslauriers 2014 年 7 月 21 日星期一 15:46:10 -0400
答案2
您可以轻松找到这些信息!使用@rpadovani 的一个很好的回答导致人们:
http://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.7-1ubuntu4.5/changelog
简单搜索一下(我使用了“-0226”),我们可以得到:
apache2 (2.4.7-1ubuntu4.1) trusty-security; urgency=medium
...
* SECURITY UPDATE: denial of service via race in mod_status
- debian/patches/CVE-2014-0226.patch: fix race by adding
ap_copy_scoreboard_worker() to include/scoreboard.h,
modules/generators/mod_status.c, modules/lua/lua_request.c,
server/scoreboard.c.
- CVE-2014-0226
答案3
在http://people.canonical.com/~ubuntu-security/cve/您可以在 Ubuntu 上搜索 CVE。
对于 CVE-2014-0226,您可以http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0226.html你可以看到,自版本 2.4.7-1ubuntu4.1 以来,该问题已在 14.04 中得到修复