Menggunakan YUM saya menginstal apache. Versi apache yang diinstal adalah 2.2.3
Petugas keamanan kami ingin agar kami menggunakan apache 2.2.21
Ketika saya mencoba pembaruan yum 'httpd' tidak ada yang terjadi - Tidak ada Paket ditandai untuk Pembaruan
Saya memeriksa beranda Apache ( http://www.apache.org/dist/httpd/patches/ ) tentang tambalan. Berdasarkan instruksi tertulis mereka, saya mencoba menginstal patch 2.2.4 ( http://www.apache.org/dist/httpd/patches/apply_to_2.2.4/ )
patch -s < /usr/local/src/hack-msvc8-httpd-2.2.4.patch
Dan saya mendapat pesan seperti itu:
The text leading up to this was:
|###
|### A trivial hack to copy the .manifest files along with the binaries
|### when building from the command line on Visual Studio 2005
|###
|### Courtesy of Gustavo Lopes
|### Posted to [email protected],
|### Message-ID: <006901c731ae$97bec180$0201a8c0@cataphract>
|###
|--- Makefile.win.orig 2006-12-07 11:09:37.000000000 -0600
|+++ Makefile.win 2007-01-08 23:55:56.000000000 -0600
File to patch:
Apa yang saya lakukan salah? Mengapa saya tidak dapat memperbarui versi Apatche ke 2.2.21?
apache-2.2
yum
pengguna1124133
sumber
sumber
Jawaban:
Untuk menjalankan 2.2.x, Anda perlu mencari RPM lain - atau membuatnya dari sumber.
Namun saya curiga karena Anda menjalankan 2.2.3 bahwa Anda menjalankan RedHat Enterprise Linux 5 atau salah satu turunannya (CentOS 5 dll). Anda akan menemukan bahwa sejumlah besar perusahaan pengujian penetrasi atau petugas keamanan tidak memperhitungkan bahwa ketika Anda menjalankan 2.2.3 Anda benar-benar mendapatkan perbaikan keamanan dari revisi Apache yang kemudian.
Ini dikenal sebagai 'backporting'. RedHat memiliki deskripsi yang bagus di sini . Saya akan menyarankan meminta dari petugas keamanan Anda CVE tertentu yang mereka tertarik untuk memastikan yang ditambal, dan kemudian menggunakan alat redhat ini untuk mengidentifikasi apakah ini diperbaiki dalam versi apache yang sedang Anda jalankan. Anda bisa mendapatkan nomor versi dengan melakukan preforming
rpm -qa httpd
.sumber
Saya berasumsi Anda memiliki RHEL5 (atau yang setara).
Anda dapat memberi tahu petugas keamanan bahwa Red Hat menerapkan pembaruan keamanan yang relevan dari 2.2.21 ke paket 2.2.3, tetapi tidak mengubah nomor versi dasar. Itu akan (jika Anda hanya menggunakan nomor versi paket) terlihat seperti Anda menjalankan Apache yang lebih lama, tetapi Anda sebenarnya seaman 2.2.21. Itu semacam titik distribusi perusahaan berumur panjang: Anda mendapatkan konsistensi, serta perbaikan.
Anda dapat memverifikasi ini dengan menjalankan sesuatu seperti:
Misalnya, Anda akan melihat perbaikan terbaru ini di changelog:
Jika Anda benar-benar perlu menginstal 2.2.21, Anda dapat mengompilasinya sendiri. Ini akan memiliki implikasi keamanan buruknya sendiri: jika seseorang menemukan dan memperbaiki masalah baru dengan Apache minggu depan, Red Hat akan mendukung perbaikan itu dan membuatnya tersedia melalui yum, tetapi Apache yang Anda buat sendiri tidak akan memiliki perbaikan itu, dan Anda Harus melalui seluruh proses lagi untuk membangun dan menginstal Apache baru.
sumber
[root@ww013886 src]# rpm -qa httpd httpd-2.2.3-53.el5.centos.3 [root@ww013886 src]# rpm -q --changelog httpd * Fri Oct 21 2011 Johnny Hughes <[email protected]> - 2.2.3-53.3.el5.centos - Roll in CentOS Branding * Fri Oct 07 2011 Joe Orton <[email protected]> - 2.2.3-53.3 - add security fix for CVE-2011-3368 (#743903) - fix regressions in byterange handling (#736593)
Untuk membuat Apache khusus di Red Hat (atau CentOS) langsung dari hulu, Anda harus melakukan hal berikut:
Atau selamatkan diri Anda dari pekerjaan dan biarkan Red Hat menangani pembaruan. Saya tidak menyarankan Anda melakukan ini kecuali ada kebutuhan khusus untuk bangunan upstream yang tidak dapat sepenuhnya dipenuhi oleh vendor build
* Catatan: Di bawah Red Hat 6, distcache tidak lagi didukung, jadi Anda harus menghapus "--enable-distcache" dari file .spec.
sumber
Patch yang Anda coba terapkan untuk membangun dengan Microsoft Visual Studio. Petunjuknya ada di header tambalan:
Ini sebenarnya tidak menambal pohon sumber Apache ke 2.2.4. Tetapi apakah Anda benar-benar mencoba menerapkan ini pada SRPM?
Ketika cjc menyebutkan perbaikan keamanan backport Red Hat untuk versi apa pun yang mereka kirimkan tetapi nomor versi tidak perlu terbentur. Dan lagi, Anda selalu dapat mengkompilasi Apache sendiri.
sumber