Обновление Apache до 2.2.23 в Ubuntu 12.04 LTS
Мы провели сканирование PCI на одном из наших серверов под управлением Ubuntu 12.04 LTS с apache 2.2.22.
В результате сканирования обнаружена уязвимость в apache 2.2.22 (имя каталога нулевой длины HTTP-сервера Apache в уязвимости LD_LIBRARY_PATH). В отчете говорится об обновлении версии до последней стабильной версии 2.2.23 или 2.2.24. [ 111]
Как мне обновить систему до версии 2.2.23, чтобы исправить уязвимость, или есть исправление, которое может это исправить, и если да, то вы можете дать мне знать, как это можно исправить.
3 ответа
Ubuntu не поддерживает бэкпорт релизов функций, а только уязвимости безопасности, если они действительно оказывают влияние.
Этот специфический считается незначительным, согласно этой странице . Цитата:
jdstrand> Пакеты Debian / Ubuntu содержат 038_no_LD_LIBRARY_PATH (подробнее см. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=276670 . информация)
Итак, я предлагаю вам теперь потратить время на более полезные вещи.
:-)
rmadison apache2 показывает, что версия 2.2.22-1 является стабильной версией в Ubuntu 12.04. Вам придется подождать, пока обновление безопасности будет применено к пакету apache2 или его обновят его сопровождающие.
Вы не сможете выполнить обновление до версии 2.4 ни в одной версии Ubuntu, так как ее пока нет в репозиториях. Я бы не стал рассчитывать, что 2.4 войдет в точные репозитории, поскольку 12.04 - это LTS, а пакеты, обычно используемые как apache2, не обновляются по прихоти.
В соответствии с поиском пакета для apache2 в репозиториях Ubuntu нет пакета больше, чем 2.2.22.
Однако, если вы посмотрите на конкретную уязвимость, это «просто» локальная уязвимость, которая может использоваться для несанкционированного раскрытия информации. Так что было бы приемлемо дождаться исправления. Более подробную информацию об уязвимости можно найти в записи CVE-2012-0883 .