AlmaLinux、Apache 2.4 和 CVE-2021-42013(+ 其他 CVE)

AlmaLinux、Apache 2.4 和 CVE-2021-42013(+ 其他 CVE)

我有一个小型 Apache 网络服务器,它以前是 CentOS,但现在是 AlmaLinux 8,我一直在尝试通过 dnf 更新 httpd 以防范最近披露的漏洞:https://httpd.apache.org/security/vulnerabilities_24.html

从数字上看,机器的 httpd 版本号从未超过2.4.37,但我在其他地方读到 RHEL 将 CVE 修复反向移植到与其操作系统版本相符的每个 Apache 版本。

问题

  1. AlamLinux 做同样的事情吗?

  2. 实际需要多长时间才能推出修复?

供参考:

rpm -q --changelog httpd | grep CVE-2021返回没有结果

httpd -v返回Server version: Apache/2.4.37 (AlmaLinux)

我在 RHPE 上看到的最后一个 CVE 是 CVE-2021-40438(https://access.redhat.com/errata/RHSA-2021:3754)。AlmaLinux 有类似的东西吗,或者它使用同样的东西吗?

~~ 编辑 ~~

经过今天的更新,rpm -q --changelog httpd | grep CVE-2021现在返回:

Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in

供参考:

CVE-2021-40438:更新 2.4.49 - 发布日期:2021-09-16

CVE-2021-26691:更新 2.4.48 - 发布日期:2021-06-01

看来他们正在挑选要纳入的 CVE。

答案1

AlmaLinux 与 RHEL 是 1:1 二进制兼容的,并且是 RHEL 的下游,因此在 RHEL 中修补的软件包也会在 AlmaLinux 中修补,通常会延迟 1 个工作日。

https://wiki.almalinux.org/Comparison.html

正如您自己提到的,您可以使用它rpm -q --changelog PackageName | grep CVE来查看某个 CVE 是否在包中得到解决。

AlmaLinux 中的软件包来自 RHEL,但在 AlmaLinux 中可用之前进行了一些小的修改。

https://wiki.almalinux.org/development/Packaging.html

相关内容