Apache 升级策略

Apache 升级策略

我使用的是 CentOS 6.5 和 Apache 2.2.15。我希望我的 httpd 保持最新,因此我做了:

yum update httpd

之后仍然是 2.2.15 版本,但最新版本是 2.2.22。我还看到 2.2.15 和 2.2.22 之间的安全更新。

我想知道 2.2.15 是否安全?我应该强制更新到最新版本还是我现有的版本就足够了。我希望实现最高安全性,所以我猜应该是最新版本,但我对此还不熟悉,所以只是想确认一下。

答案1

您必须了解 Red Hat 的包装和修补政策。

Red Hat 在发布 RHEL 版本时会选择要使用的任何给定工具的版本。对于 RHEL 6,这包括 Apache 2.2.15、2.6.32 内核、php 5.3.3 等等。在 RHEL6 的其余生命周期中,这些将不会升级;相反,Red Hat 将把任何必要的补丁(有时是他们认为可取的改进)移植到他们选择的版本。这意味着您将运行软件,其版本号表明它容易受到某些众所周知的漏洞攻击,但很可能已经修补以避免这些漏洞。Red Hat解释这一切他们自己的网站上有更详细的信息。

如果您想确保自己不会受到特定漏洞的影响,您需要找到问题的 CVE 编号,并检查更改日志。幸运的是,rpm这使得这比其他方式更容易。考虑以下示例CVE-2017-7679,从表面上看,这会影响 httpd-2.2.15。在我的系统(CentOS6,但我怀疑 RHEL6 会给出相同的响应)上,已修补此问题:

[me@lory ~]$ rpm -q --changelog httpd|grep 7679
- Resolves: #1463207 - CVE-2017-7679 httpd: mod_mime buffer overread

令人惊讶的是固体安全审计员不了解 RH 方法的后果(如下所述,这种方法在大多数企业级发行版中很常见),有些人甚至在慢慢用简短的语言解释了之后仍然不了解。

相关内容