我有一个在 Amazon AMI Linux 实例上托管的网站。
我们最近进行了 PCI 扫描,但由于 Apache 的原因,扫描失败2.2.23安装,显然它包含漏洞,这些漏洞已于2.2.24。
我做了一个sudo yum update,但在使用它检查 apache 版本后,httpd -v它仍然报告 2.2.23。Ayum info httpd还确认存储库版本是 2.2.23
有什么方法可以强制 yum 更新到最新版本或添加指向最新 apache 版本的自定义存储库?我是一名开发人员,在 Linux 上托管的经验并不多,所以我有点不知所措。
任何建议都将不胜感激,谢谢!
答案1
退一步来说。PCI 扫描器盲目地依赖版本号,没有考虑到供应商(最终是 Red Hat)反向移植补丁。找出确切的漏洞(获取 CVE),然后使用rpm -q --changelog httpd(或转到http://cve.mitre.org/cve/cve.html和https://access.redhat.com/security/updates/) 以查看是否已反向移植此修复。这很烦人;感谢懒惰的 PCI QSA 所做的工作。
我强烈建议不要从源代码安装。这会破坏软件包管理,并且你现在负责保持 apache 更新,这比验证修复的反向移植更烦人。
答案2
为什么不直接安装 Apache 2.4.3?
yum install httpd24