Есть ли исправление / обновление для Apache CVE-2020-11984? [дубликат]
Существует критическая CVE для HTTP-сервера Apache версий 2.4.32–2.4.44, которая допускает раскрытие информации и возможное удаленное выполнение кода, поэтому вы можете себе представить, насколько плохо это могло бы быть на веб-сервере, если бы кто-то производил его в эксплойт, однако самая последняя доступная версия для Ubuntu - 2.4.41. Кто-нибудь знает, доступен ли патч или кто-нибудь успешно собрал из исходников? Последней версией Apache для 20.04 является 2.4.46, но я обычно сталкивался с проблемами при сборке из исходных кодов, когда еще нет официального пакета Ubuntu.
2 ответа
В большинстве случаев новые версии программного обеспечения не упаковываются для уже выпущенных версий Ubuntu. Например, Ubuntu 20.04 поставляется с пакетом, содержащим Apache HTTP Server 2.4.41. Новые выпуски выше по течению (2.4.42 и пр.) Будут интегрированы в новых версиях Ubuntu, таких как Apache 2.4.46, который поставляется с Ubuntu 20.10.
Но, конечно, вы не можете просто сохранить проблемы с проблемами безопасности. Из-за этого исправления безопасности часто придумываются на более старые версии. В этом случае Исправление для CVE-2020-11984 была придуркована для Apache 2.4.41 для Ubuntu 20.04, а для Apache 2.4.29 для Ubuntu 18.04 и т. Д.
Дополнительная информация об этом конкретном backport (которая также позаботилась о нескольких других видах), можно найти в уведомлении о безопасности Ubuntu .
У вас уже установлено, если вы установили все обновления безопасности.
См. :
Ubuntu 20.10 (Groovy Gorilla) Released (2.4.46-1ubuntu1)
Ubuntu 20.04 LTS (Focal Fossa) Released (2.4.41-4ubuntu3.1)
Ubuntu 18.04 LTS (Bionic Beaver) Not vulnerable (code not present)
Ubuntu 16.04 LTS (Xenial Xerus) Not vulnerable (code not present)
Ubuntu 14.04 ESM (Trusty Tahr) Not vulnerable (code not present)
То, что вы спрашиваете, это не то, как работает Ubuntu. Ubuntu Patches текущие версии с исправлением безопасности (для основных репозиториев).