在 ubuntu 12.04 LTS 上将 Apache 升级到 2.2.23

在 ubuntu 12.04 LTS 上将 Apache 升级到 2.2.23

我们对一台运行 Ubuntu 12.04 LTS 和 apache 2.2.22 的服务器进行了 PCI 扫描。

扫描报告了 apache 2.2.22 中的一个漏洞(Apache HTTP 服务器 LD_LIBRARY_PATH 中的零长度目录名称漏洞)。报告指出将版本升级到最新稳定版本 2.2.23 或 2.2.24。

我如何升级到 2.2.23 来修复此漏洞,或者是否有可用的补丁可以修复此漏洞,如果有,您能告诉我如何修补吗?

答案1

根据包搜索apache2Ubuntu 存储库中没有高于 2.2.22 的软件包。

但是,如果你看一下具体的漏洞,它“只是”一个本地可利用的漏洞,会导致未经授权的信息泄露。所以等待修复可能是可以接受的。有关该漏洞的更多信息,请参阅条目CVE-2012-0883

答案2

rmadison apache2显示版本 2.2.22-1 是 Ubuntu 12.04 中的稳定版本。您必须等待 apache2 软件包的安全升级或等待其维护者对其进行更新。

您将无法在任何版本的 Ubuntu 中更新到 2.4 版,因为它尚未进入存储库。我不会指望 2.4 进入精确的存储库,因为 12.04 是 LTS,并且像 apache2 这样常用的软件包不会随意更新。

答案3

Ubuntu 不会反向移植功能版本,但如果安全漏洞确实有影响,则只会移植它们。

根据这一页. 引述:

jdstrand> Debian/Ubuntu 软件包包含 038_no_LD_LIBRARY_PATH(参见 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=276670了解更多信息)

所以,我建议你现在可以把时间花在更有用的事情上。:-)

相关内容