Apache服务器版本2.4.32到2.4.44有一个关键的CVE,它允许信息泄露和可能的远程代码执行,因此您可以想象,如果有人将其生产成漏洞,那么这种情况在web服务器上会有多糟糕,但是Ubuntu可用的最新版本是2.4.41。是否有人知道是否有可用的修补程序,或者是否有人成功地从源构建?Apachefor20.04的最新版本是2.4.46,但当还没有正式的Ubuntu包可用时,每当从源代码构建时,我通常都会遇到问题。
发布于 2021-03-08 19:36:34
在大多数情况下,新版本的软件不会为已经发布的Ubuntu版本打包。例如,Ubuntu20.04附带了一个包含Apache服务器2.4.41的包。更新的上游版本(2.4.42等等)将集成到更新的Ubuntu版本中,比如Ubuntu20.10附带的Apache2.4.46。
当然,你不能就这样解决安全问题。正因为如此,安全修复经常被移植到旧版本。在本例中,CVE-2020-11984的修复已经移植到Apache2.4.41用于Ubuntu20.04,Apache2.4.29用于Ubuntu18.04等等。
有关这个特定的后端(也负责其他几个CVEs)的更多信息,可以在Ubuntu安全通知中找到。
发布于 2021-03-08 19:31:08
如果安装了所有安全更新,则已经安装了它。
看见:
Ubuntu 20.10 (Groovy Gorilla) Released (2.4.46-1ubuntu1)
Ubuntu 20.04 LTS (Focal Fossa) Released (2.4.41-4ubuntu3.1)
Ubuntu 18.04 LTS (Bionic Beaver) Not vulnerable (code not present)
Ubuntu 16.04 LTS (Xenial Xerus) Not vulnerable (code not present)
Ubuntu 14.04 ESM (Trusty Tahr) Not vulnerable (code not present)
你要问的不是Ubuntu是如何工作的。Ubuntu用一个安全补丁来修补当前版本(主要存储库)。
https://askubuntu.com/questions/1322109
复制相似问题