我们对一台运行 Ubuntu 12.04 LTS 和 apache 2.2.22 的服务器进行了 PCI 扫描。
扫描报告了 apache 2.2.22 中的一个漏洞(Apache HTTP 服务器 LD_LIBRARY_PATH 中的零长度目录名称漏洞)。报告指出将版本升级到最新稳定版本 2.2.23 或 2.2.24。
我如何升级到 2.2.23 来修复此漏洞,或者是否有可用的补丁可以修复此漏洞,如果有,您能告诉我如何修补吗?
答案1
根据包搜索apache2
Ubuntu 存储库中没有高于 2.2.22 的软件包。
但是,如果你看一下具体的漏洞,它“只是”一个本地可利用的漏洞,会导致未经授权的信息泄露。所以等待修复可能是可以接受的。有关该漏洞的更多信息,请参阅条目CVE-2012-0883。
答案2
rmadison apache2
显示版本 2.2.22-1 是 Ubuntu 12.04 中的稳定版本。您必须等待 apache2 软件包的安全升级或等待其维护者对其进行更新。
您将无法在任何版本的 Ubuntu 中更新到 2.4 版,因为它尚未进入存储库。我不会指望 2.4 进入精确的存储库,因为 12.04 是 LTS,并且像 apache2 这样常用的软件包不会随意更新。
答案3
Ubuntu 不会反向移植功能版本,但如果安全漏洞确实有影响,则只会移植它们。
根据这一页. 引述:
jdstrand> Debian/Ubuntu 软件包包含 038_no_LD_LIBRARY_PATH(参见 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=276670了解更多信息)
所以,我建议你现在可以把时间花在更有用的事情上。:-)