我有一个小型 Apache 网络服务器,它以前是 CentOS,但现在是 AlmaLinux 8,我一直在尝试通过 dnf 更新 httpd 以防范最近披露的漏洞:https://httpd.apache.org/security/vulnerabilities_24.html
从数字上看,机器的 httpd 版本号从未超过2.4.37,但我在其他地方读到 RHEL 将 CVE 修复反向移植到与其操作系统版本相符的每个 Apache 版本。
问题
AlamLinux 做同样的事情吗?
实际需要多长时间才能推出修复?
供参考:
rpm -q --changelog httpd | grep CVE-2021返回没有结果。
httpd -v返回Server version: Apache/2.4.37 (AlmaLinux)
我在 RHPE 上看到的最后一个 CVE 是 CVE-2021-40438(https://access.redhat.com/errata/RHSA-2021:3754)。AlmaLinux 有类似的东西吗,或者它使用同样的东西吗?
~~ 编辑 ~~
经过今天的更新,rpm -q --changelog httpd | grep CVE-2021现在返回:
Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in
供参考:
CVE-2021-40438:更新 2.4.49 - 发布日期:2021-09-16
CVE-2021-26691:更新 2.4.48 - 发布日期:2021-06-01
看来他们正在挑选要纳入的 CVE。
答案1
AlmaLinux 与 RHEL 是 1:1 二进制兼容的,并且是 RHEL 的下游,因此在 RHEL 中修补的软件包也会在 AlmaLinux 中修补,通常会延迟 1 个工作日。
https://wiki.almalinux.org/Comparison.html
正如您自己提到的,您可以使用它rpm -q --changelog PackageName | grep CVE来查看某个 CVE 是否在包中得到解决。
AlmaLinux 中的软件包来自 RHEL,但在 AlmaLinux 中可用之前进行了一些小的修改。