Ubuntu中文论坛

致力于Ubuntu中文推广
http://forum.ubuntu.org.cn/

请问,Apache2.4.56什么时候发布执行版

http://forum.ubuntu.org.cn/viewtopic.php?t=493910

分页: 1 / 1

请问,Apache2.4.56什么时候发布执行版

发表于 : 2023-03-26 23:01
ckpyn
现在Ubuntu的更新源,以及从Ondřej那儿获得的最新的Apache,仍旧是2.4.54,现在2.4.54和2.4.55爆出2个高危漏洞:Apache HTTP Server响应走私漏洞(CVE-2023-27522)和Apache HTTP Server请求走私漏洞(CVE-2023-25690)。我的网站急需将Apache2更新至2.4.56。
请问Apache2的2.4.56的Debian执行版什么时候发布?还是说要等Ubuntu23.04发布后,才有Pache2的2.4.56更新版?
源代码编译安装,不太想这样安装,怕配置变化影响网站运行。

Re: 请问,Apache2.4.56什么时候发布执行版

发表于 : 2023-03-27 10:17
astolia
你不需要安装2.4.56。ubuntu这类非滚动发行版,对于这种安全更新,都是直接将上游的补丁打到当前的软件版本上的
你可以通过apt changelog apache2来查看应用了补丁没有

Re: 请问,Apache2.4.56什么时候发布执行版

发表于 : 2023-03-27 13:17
ckpyn
apache2 (2.4.54-2ubuntu1.2) kinetic-security; urgency=medium

* SECURITY UPDATE: HTTP request splitting with mod_rewrite and mod_proxy
- debian/patches/CVE-2023-25690-1.patch: don't forward invalid query
strings in modules/http2/mod_proxy_http2.c,
modules/mappers/mod_rewrite.c, modules/proxy/mod_proxy_ajp.c,
modules/proxy/mod_proxy_balancer.c, modules/proxy/mod_proxy_http.c,
modules/proxy/mod_proxy_wstunnel.c.
- debian/patches/CVE-2023-25690-2.patch: Fix missing APLOGNO in
modules/http2/mod_proxy_http2.c.
- CVE-2023-25690
* SECURITY UPDATE: mod_proxy_uwsgi HTTP response splitting
- debian/patches/CVE-2023-27522.patch: stricter backend HTTP response
parsing/validation in modules/proxy/mod_proxy_uwsgi.c.
- CVE-2023-27522

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 08 Mar 2023 12:31:20 -0500
提示,有2个漏洞需要修补,看来是需要修补这2个漏洞,前一个漏洞牵扯5个c文件,后一个牵扯1个c文件,网络安全维护人员提示有漏洞,还是要升级至2.4.56,只有找时间源代码编译安装了。多谢

Re: 请问,Apache2.4.56什么时候发布执行版

发表于 : 2023-03-27 15:13
astolia
ckpyn 写了: 2023-03-27 13:17 apache2 (2.4.54-2ubuntu1.2) kinetic-security; urgency=medium

* SECURITY UPDATE: HTTP request splitting with mod_rewrite and mod_proxy
- debian/patches/CVE-2023-25690-1.patch: don't forward invalid query
strings in modules/http2/mod_proxy_http2.c,
modules/mappers/mod_rewrite.c, modules/proxy/mod_proxy_ajp.c,
modules/proxy/mod_proxy_balancer.c, modules/proxy/mod_proxy_http.c,
modules/proxy/mod_proxy_wstunnel.c.
- debian/patches/CVE-2023-25690-2.patch: Fix missing APLOGNO in
modules/http2/mod_proxy_http2.c.
- CVE-2023-25690
* SECURITY UPDATE: mod_proxy_uwsgi HTTP response splitting
- debian/patches/CVE-2023-27522.patch: stricter backend HTTP response
parsing/validation in modules/proxy/mod_proxy_uwsgi.c.
- CVE-2023-27522

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 08 Mar 2023 12:31:20 -0500
提示,有2个漏洞需要修补,看来是需要修补这2个漏洞,前一个漏洞牵扯5个c文件,后一个牵扯1个c文件,网络安全维护人员提示有漏洞,还是要升级至2.4.56,只有找时间源代码编译安装了。多谢
你看不懂changelog是什么意思?2.4.54-2ubuntu1.2版里面已经打上了这三个补丁文件,把CVE-2023-25690和CVE-2023-27522的洞都补上了。你只需要确保已经把apache2的包升级到这个版本就行
如果你那边的“网络安全维护人员”只知道看上游版本号,把这篇扔他脸上 https://ubuntu.com/security/notices/USN-5942-1
所有显示的时间为 UTC+08:00
分页: 1 / 1

phpBB® Forum Software © phpBB Limited 提供支持

简体中文语言由 phpBB Chinese 制作并提供支持