В настоящее время мы обновили Apache до версии 2.4.7-1ubuntu4.5 в Ubuntu 14.04 LTS. Можете ли вы подтвердить, что эта версия была исправлена для CVE-2014-0226?
Эта информация будет (или должен быть) в changlog, если данный пакет, чтобы загрузить и просмотреть журнал изменений для apache2 открывает Окно терминала ( CTRL + ALT + T ) и выполняется:
apt-get changelog apache2
, После того как это загрузило журнал изменений (который должен только занять несколько секунд) Вы будете видеть, что запись для 2.4.7-1ubuntu4.1
состояния, что это фиксирует CVE:
apache2 (2.4.7-1ubuntu4.1) испытанная безопасность; обновление системы защиты urgency=medium
: отказ в обслуживании в mod_proxy
- debian/patches/CVE-2014-0117.patch: также перескочите через точки с запятой в modules/proxy/proxy_util.c.
- CVE-2014-0117 * ОБНОВЛЕНИЕ СИСТЕМЫ ЗАЩИТЫ: потребление ресурсов через mod_deflate распаковку тела
- debian/patches/CVE-2014-0118.patch: добавленные новые параметры конфигурации DeflateInflateLimitRequestBody, DeflateInflateRatioLimit и DeflateInflateRatioBurst в modules/filters/mod_deflate.c.
- CVE-2014-0118 * ОБНОВЛЕНИЕ СИСТЕМЫ ЗАЩИТЫ: отказ в обслуживании через гонку в mod_status
- debian/patches/CVE-2014-0226.patch: зафиксируйте гонку путем добавления ap_copy_scoreboard_worker () к include/scoreboard.h, modules/generators/mod_status.c, modules/lua/lua_request.c, server/scoreboard.c.
- CVE-2014-0226 * ОБНОВЛЕНИЕ СИСТЕМЫ ЗАЩИТЫ: отказ в обслуживании в mod_cgid
- debian/patches/CVE-2014-0231.patch: добавленный новый параметр конфигурации CGIDScriptTimeout в modules/generators/mod_cgid.c.
- CVE-2014-0231
- Marc Deslauriers понедельник, 21 июля 2014 15:46:10 - 0400
Можно найти эту информацию легко! Используя метод в хороший ответ @rpadovani приводит тот к:
http://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.7-1ubuntu4.5/changelog
и простой поиск (я использовал "-0226") получает нас к:
apache2 (2.4.7-1ubuntu4.1) trusty-security; urgency=medium
...
* SECURITY UPDATE: denial of service via race in mod_status
- debian/patches/CVE-2014-0226.patch: fix race by adding
ap_copy_scoreboard_worker() to include/scoreboard.h,
modules/generators/mod_status.c, modules/lua/lua_request.c,
server/scoreboard.c.
- CVE-2014-0226
На http://people.canonical.com/~ubuntu-security/cve/ можно искать CVEs на Ubuntu.
Для CVE-2014-0226, который дает Вам http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0226.html Там, Вы видите, что он фиксируется в 14,04 начиная с версии, 2.4.7-1ubuntu4.1