请问,Apache2.4.56什么时候发布执行版

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
ckpyn
帖子: 8
注册时间: 2009-05-14 18:42

请问,Apache2.4.56什么时候发布执行版

#1

帖子 ckpyn » 2023-03-26 23:01

现在Ubuntu的更新源,以及从Ondřej那儿获得的最新的Apache,仍旧是2.4.54,现在2.4.54和2.4.55爆出2个高危漏洞:Apache HTTP Server响应走私漏洞(CVE-2023-27522)和Apache HTTP Server请求走私漏洞(CVE-2023-25690)。我的网站急需将Apache2更新至2.4.56。
请问Apache2的2.4.56的Debian执行版什么时候发布?还是说要等Ubuntu23.04发布后,才有Pache2的2.4.56更新版?
源代码编译安装,不太想这样安装,怕配置变化影响网站运行。
头像
astolia
论坛版主
帖子: 6121
注册时间: 2008-09-18 13:11

Re: 请问,Apache2.4.56什么时候发布执行版

#2

帖子 astolia » 2023-03-27 10:17

你不需要安装2.4.56。ubuntu这类非滚动发行版,对于这种安全更新,都是直接将上游的补丁打到当前的软件版本上的
你可以通过apt changelog apache2来查看应用了补丁没有
ckpyn
帖子: 8
注册时间: 2009-05-14 18:42

Re: 请问,Apache2.4.56什么时候发布执行版

#3

帖子 ckpyn » 2023-03-27 13:17

apache2 (2.4.54-2ubuntu1.2) kinetic-security; urgency=medium

* SECURITY UPDATE: HTTP request splitting with mod_rewrite and mod_proxy
- debian/patches/CVE-2023-25690-1.patch: don't forward invalid query
strings in modules/http2/mod_proxy_http2.c,
modules/mappers/mod_rewrite.c, modules/proxy/mod_proxy_ajp.c,
modules/proxy/mod_proxy_balancer.c, modules/proxy/mod_proxy_http.c,
modules/proxy/mod_proxy_wstunnel.c.
- debian/patches/CVE-2023-25690-2.patch: Fix missing APLOGNO in
modules/http2/mod_proxy_http2.c.
- CVE-2023-25690
* SECURITY UPDATE: mod_proxy_uwsgi HTTP response splitting
- debian/patches/CVE-2023-27522.patch: stricter backend HTTP response
parsing/validation in modules/proxy/mod_proxy_uwsgi.c.
- CVE-2023-27522

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 08 Mar 2023 12:31:20 -0500
提示,有2个漏洞需要修补,看来是需要修补这2个漏洞,前一个漏洞牵扯5个c文件,后一个牵扯1个c文件,网络安全维护人员提示有漏洞,还是要升级至2.4.56,只有找时间源代码编译安装了。多谢
头像
astolia
论坛版主
帖子: 6121
注册时间: 2008-09-18 13:11

Re: 请问,Apache2.4.56什么时候发布执行版

#4

帖子 astolia » 2023-03-27 15:13

ckpyn 写了: 2023-03-27 13:17 apache2 (2.4.54-2ubuntu1.2) kinetic-security; urgency=medium

* SECURITY UPDATE: HTTP request splitting with mod_rewrite and mod_proxy
- debian/patches/CVE-2023-25690-1.patch: don't forward invalid query
strings in modules/http2/mod_proxy_http2.c,
modules/mappers/mod_rewrite.c, modules/proxy/mod_proxy_ajp.c,
modules/proxy/mod_proxy_balancer.c, modules/proxy/mod_proxy_http.c,
modules/proxy/mod_proxy_wstunnel.c.
- debian/patches/CVE-2023-25690-2.patch: Fix missing APLOGNO in
modules/http2/mod_proxy_http2.c.
- CVE-2023-25690
* SECURITY UPDATE: mod_proxy_uwsgi HTTP response splitting
- debian/patches/CVE-2023-27522.patch: stricter backend HTTP response
parsing/validation in modules/proxy/mod_proxy_uwsgi.c.
- CVE-2023-27522

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 08 Mar 2023 12:31:20 -0500
提示,有2个漏洞需要修补,看来是需要修补这2个漏洞,前一个漏洞牵扯5个c文件,后一个牵扯1个c文件,网络安全维护人员提示有漏洞,还是要升级至2.4.56,只有找时间源代码编译安装了。多谢
你看不懂changelog是什么意思?2.4.54-2ubuntu1.2版里面已经打上了这三个补丁文件,把CVE-2023-25690和CVE-2023-27522的洞都补上了。你只需要确保已经把apache2的包升级到这个版本就行
如果你那边的“网络安全维护人员”只知道看上游版本号,把这篇扔他脸上 https://ubuntu.com/security/notices/USN-5942-1
回复