Apache HTTP 服务器版本 2.4.32 至 2.4.44 有一个关键 CVE,它允许信息泄露和可能的远程代码执行,因此您可以想象如果有人将其产品化为漏洞,这对 Web 服务器的影响会有多大,但是 Ubuntu 可用的最新版本是 2.4.41。有人知道是否有可用的补丁吗?或者有人成功地从源代码构建了吗?Apache 20.04 的最新版本是 2.4.46,但每当没有官方的 Ubuntu 软件包可用时,我通常会在从源代码构建时遇到问题。
答案1
在大多数情况下,新版本的软件不会打包到已发布的 Ubuntu 版本中。例如,Ubuntu 20.04 附带一个包含 Apache HTTP 服务器 2.4.41 的软件包。上游较新的版本(2.4.42 等)将集成到较新的 Ubuntu 版本中,例如 Ubuntu 20.10 附带的 Apache 2.4.46。
但当然,你不能只是让安全问题不得到解决。正因为如此,安全修复程序通常会反向移植到旧版本。在这种情况下,CVE-2020-11984 的修复已反向移植到 Ubuntu 20.04 的 Apache 2.4.41,以及 Ubuntu 18.04 的 Apache 2.4.29 等等。
有关此特定反向移植(还处理了其他几个 CVE)的更多信息,请参阅Ubuntu 安全声明。
答案2
如果您安装了所有安全更新,则说明它已经安装。
看:
Ubuntu 20.10 (Groovy Gorilla) Released (2.4.46-1ubuntu1)
Ubuntu 20.04 LTS (Focal Fossa) Released (2.4.41-4ubuntu3.1)
Ubuntu 18.04 LTS (Bionic Beaver) Not vulnerable (code not present)
Ubuntu 16.04 LTS (Xenial Xerus) Not vulnerable (code not present)
Ubuntu 14.04 ESM (Trusty Tahr) Not vulnerable (code not present)
你问的不是 Ubuntu 如何工作。Ubuntu 使用安全修复程序 (针对主要存储库) 修补当前版本。