iT邦幫忙

0

Rocky Linux 更新 apache 到更新版本問題

  • 分享至 

  • xImage

在弱掃後,發現 在rocky linux 8.6 目前 apache 版本是 2.4.37
有高風險需更新版本
已使用epel 但仍沒有 2.4.37 以後的版本可以更新,
請教大家有沒有其它好的更新的方式?
在ubuntu 更新apache則非常簡單..

看更多先前的討論...收起先前的討論...
James iT邦大師 6 級 ‧ 2022-06-23 08:51:59 檢舉
distribution為了避免升級套件産生新的問題,有時修補套件時不會直接升級版本,而是使用patch方式,patch過的套件會在版號2.4.37後面再增加尾數,你再確認看看。
Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:15:10 檢舉
我的是2.4.37.47 了 ,弱掃告知要升到2.4.49
DennisLu iT邦好手 1 級 ‧ 2022-06-23 17:29:59 檢舉
經驗談,之前有一個polkit的嚴重漏洞發布
Redhat 只看中文版新聞比較晚的IT人
看到後馬上就可以更新到修補後的版本。
同期間 RockyLinux 還沒更新,數天之後某天跑更新,發現就可以更新了。
RockyLiunx 比較慢~
James iT邦大師 6 級 ‧ 2022-06-24 10:38:45 檢舉
弱掃報告裡會有因為那個CVE所以要升到2.4.49,你只要查2.4.37-47是不是修補了這個CVE,把證據給出報告的人,請他們更正。如果不依照這個程序處理,會一直遇到這類問題,裝非官方包會有很多相依性問題處理不完,當然放棄官方包,自己用source編也是一種方式,只是要自己隨時留意有更新就要再來一次。
DennisLu iT邦好手 1 級 ‧ 2022-06-24 16:39:26 檢舉
同意樓上
取的該平台版本號的更新日誌
有修補他指出的CVE就好。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
wiseguy
iT邦超人 1 級 ‧ 2022-06-23 00:35:45

沒用過 Rocky Linux 8,不知道它是否相容 CentOS 8。
你可以試試看 CentOs 8 這個套件能否給 Rocky Linux 8 使用
https://centos.pkgs.org/8/raven-modular-x86_64/httpd-2.4.54-1.el8.x86_64.rpm.html

Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:22:01 檢舉

用這個安裝跳出一堆套件需要補,且出現 non providers can be installed , 有點麻煩.新增了更多問題

2
Ray
iT邦大神 1 級 ‧ 2022-06-23 11:34:49

Redhat 8 的這個套件已經在 5/10 修正過:
https://access.redhat.com/errata/RHSA-2022:1915

有三個套件被更新:
httpd-2.4.37-47.module+el8.6.0+14529+083145da.1.src.rpm
mod_http2-1.15.7-5.module+el8.6.0+13996+01710940.src.rpm
mod_md-2.0.8-8.module+el8.3.0+6814+67d1e611.src.rpm

但是 httpd 的大版號仍維持 2.4.37, 後面的 patch number 則是 47
你可以查一下 Rocky Linux 拿到的 patch 是否也是 47?

掃到弱點不一定要升版, 只要原版本有出 Patch 同樣是安全的;
你要提出證據, 證明這個版本已經被 Patch 過, 不是原來的 2.4.37

看更多先前的回應...收起先前的回應...
by2048 iT邦高手 1 級 ‧ 2022-06-23 12:57:32 檢舉

Rocky 8.0試裝一下httpd目前版本為2.4.37-47.module+el8.6.0

by2048 iT邦高手 1 級 ‧ 2022-06-23 13:01:40 檢舉

查了下yum.repos.d/更新來源
https://dl.rockylinux.org/vault/
裡面放centos,rocky rpm的檔案也都差不多

Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:13:20 檢舉

對, 我的也是2.4.37.47
不過弱掃要我更新到2.4.49.. 我到apache 官網下載rpm 2.4.54 但都會變成apache2 ,這個我無法用..
https://ithelp.ithome.com.tw/upload/images/20220623/20004769b3rTQzZ5cr.png

Ray iT邦大神 1 級 ‧ 2022-06-23 16:20:09 檢舉

你不要執著於升級到 2.4.49, 原廠就是要你用 2.4.37-47 (除非你把 OS 從 8 升到 9), 這也是為何 Redhat 體系在機房維運上會比 Ubuntu 穩定的主因: 他不會隨便讓你升級版本, 除非他能確保升級後的版本, 能和其他現有的軟體套件全部都相容.

但是弱掃軟體很傻, 他只能偵測到 2.4.37, 看不見後面的 -47, 所以你必改走書面申訴的方式, 提出原廠證明, 說明: 雖然弱掃看到的版號只有 2.4.37, 但實際上因為小版號已經更到 -47 了, 所以那個 Bug 已經修正掉, 沒有風險了.

稽核要看的是實情, 並不是有弱嫂報告就蒙著眼只看報告, 如果實情沒有風險, 代表弱掃是誤判, 而事實上弱掃誤判的案例非常多, 你只要能夠提出書面證據佐證, 稽核就應該把這個弱點標示成 False Postive, 不要出現在報表上.

商業版的弱掃軟體應該都有標示誤判(偽陽性)項目的功能, 標示清楚之後, 以後掃你的系統就不會出現這項.

0
補覺鳴詩
iT邦高手 1 級 ‧ 2022-06-23 21:00:11

這算老問題了
官方的 repository 更新就是慢, 要碼自己編譯
要碼找第三方的來更新
https://codeit.guru/en_US/

0
rockmansyz
iT邦新手 3 級 ‧ 2022-06-28 11:02:26

可以試試看隱藏 apache版本
參考看看

編輯/etc/httpd/conf/httpd.conf
添加以下下兩行,指令
ServerTokens Prod
ServerSignature Off

再重新啟動 apache
systemctl restart httpd

Kailis iT邦研究生 1 級 ‧ 2022-06-28 16:49:07 檢舉

隱藏版本資訊能讓弱掃報告從27個Critical 變為9個, 但還是會呈現apache版本問題, 弱掃工具可以設定以後這類報告改為低風險也是解決方法, 但要能說服資安官及稽核才可以。

你的問題應該是跟以下的2個網址類似
可以參考看看
https://forums.rockylinux.org/t/apache-version-suitability-for-rocky-8-5/4664/7

https://forums.rockylinux.org/t/hiding-the-apache-version-information-from-scanner/6321

你的弱點掃描應該是 SSH 有登入掃描
不然是不會有掃描到 apache 版本資訊

不然主機curl測試應該是看不到版本資訊

curl -I http://localhost
HTTP/1.1 200 OK
Server: Apache

以上參考看看

Kailis iT邦研究生 1 級 ‧ 2022-07-01 09:57:01 檢舉

對,有配置ssh 登入掃描,這樣結果才會比較完整, 看文章說明就是有更版前,問題不會解決了
文章也說明, 隱藏版本號及不使用ssh 登入掃描, 結果不完整,漏洞也還是存在,這樣隱藏漏洞的報告是沒有意義的,

我要發表回答

立即登入回答