我有几个运行 Apache 2.4.52 的 22.04.2 LTS 服务器,这两个系统都只有大约 6 个月的历史(通过 GCP 构建)。安全扫描程序显示这两个系统上都存在几个与 Apache 相关的漏洞,具体 CVE 如下:
CVE-2022-22720
CVE-2022-23943
CVE-2022-31813
CVE-2023-25690
CVE 显示 Apache 2.4.52 及更早版本受到影响,并建议更新到较新版本的 Apache 以解决问题。当我检查apt list --upgradable我的系统时,我没有看到可用的更新。
这是一个可能的存储库问题,还是已通过反向移植解决了该问题?
我尝试查找 CVE-2022-22720 的信息,以确定它是否仍然易受攻击。我使用了以下链接:https://ubuntu.com/security/cves?q=CVE-2022-22720
此外,22.04 LTS 条目显示“已发布”,单击链接将转到显示我的发布类型“Jammy”的页面,然后显示“已发布 (2.4.52-1ubuntu2)”,这是我显示为已安装的当前 Apache 版本。这是否意味着此修复程序已被反向移植?
我想我对反向移植并不完全了解。如果上述 CVE 的修复程序已被反向移植,是否意味着问题已得到解决,即使该版本在我们的扫描仪上仍然显示为易受攻击?如果是这样,我该如何验证,以便向扫描和报告问题的实体证明这一点?谢谢!
答案1
这些都是常见的问题。
“已发布(2.4.52-1ubuntu2)”,这是我显示为已安装的 Apache 的当前版本。
这是否意味着这个修复已经被反向移植?
这意味着 CVE 已经减轻(已修补,已修复)已安装的软件包。已缓解的软件包不再容易受到攻击。
这并不意味着缓解措施一定是由向后移植任何软件。方法有很多种,反向移植只是其中一种。
这是否意味着问题已得到解决,即使该版本在我们的扫描仪上仍然显示为易受攻击?
是的,就是这个意思。Ubuntu 发布了更新的软件包,该软件包不会受到 CVE 的攻击……并且您已经安装了它。
修补当前版本中的漏洞而不是升级到更高版本是 Debian 处理 CVE 超过 20 年的方法(Ubuntu 处理 CVE 已有 19 年)。这是一种长期接受的做法。
如果您的扫描仪无法处理 Debian 和 Ubuntu 中最常见的 CVE 缓解做法(几十年来!),那么可能是时候寻找更好的扫描仪供应商了。