Apache 升级策略

Question

您必须了解 Red Hat 的包装和修补政策。

Red Hat 在发布 RHEL 版本时会选择要使用的任何给定工具的版本。对于 RHEL 6，这包括 Apache 2.2.15、2.6.32 内核、php 5.3.3 等等。在 RHEL6 的其余生命周期中，这些将不会升级；相反，Red Hat 将把任何必要的补丁（有时是他们认为可取的改进）移植到他们选择的版本。这意味着您将运行软件，其版本号表明它容易受到某些众所周知的漏洞攻击，但很可能已经修补以避免这些漏洞。Red Hat解释这一切他们自己的网站上有更详细的信息。

如果您想确保自己不会受到特定漏洞的影响，您需要找到问题的 CVE 编号，并检查更改日志。幸运的是，rpm这使得这比其他方式更容易。考虑以下示例CVE-2017-7679，从表面上看，这会影响 httpd-2.2.15。在我的系统（CentOS6，但我怀疑 RHEL6 会给出相同的响应）上，已修补此问题：

[me@lory ~]$ rpm -q --changelog httpd|grep 7679
- Resolves: #1463207 - CVE-2017-7679 httpd: mod_mime buffer overread

令人惊讶的是固体安全审计员不了解 RH 方法的后果（如下所述，这种方法在大多数企业级发行版中很常见），有些人甚至在慢慢用简短的语言解释了之后仍然不了解。

Answer 1

您必须了解 Red Hat 的包装和修补政策。

Red Hat 在发布 RHEL 版本时会选择要使用的任何给定工具的版本。对于 RHEL 6，这包括 Apache 2.2.15、2.6.32 内核、php 5.3.3 等等。在 RHEL6 的其余生命周期中，这些将不会升级；相反，Red Hat 将把任何必要的补丁（有时是他们认为可取的改进）移植到他们选择的版本。这意味着您将运行软件，其版本号表明它容易受到某些众所周知的漏洞攻击，但很可能已经修补以避免这些漏洞。Red Hat解释这一切他们自己的网站上有更详细的信息。

如果您想确保自己不会受到特定漏洞的影响，您需要找到问题的 CVE 编号，并检查更改日志。幸运的是，rpm这使得这比其他方式更容易。考虑以下示例CVE-2017-7679，从表面上看，这会影响 httpd-2.2.15。在我的系统（CentOS6，但我怀疑 RHEL6 会给出相同的响应）上，已修补此问题：

[me@lory ~]$ rpm -q --changelog httpd|grep 7679
- Resolves: #1463207 - CVE-2017-7679 httpd: mod_mime buffer overread

令人惊讶的是固体安全审计员不了解 RH 方法的后果（如下所述，这种方法在大多数企业级发行版中很常见），有些人甚至在慢慢用简短的语言解释了之后仍然不了解。

Apache 升级策略

答案1

相关内容