Rocky Linux 更新 apache 到更新版本問題 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

Rocky Linux 更新 apache 到更新版本問題

apache update

Kailis 2022-06-22 17:07:28 ‧ 2172 瀏覽

分享至

在弱掃後,發現在rocky linux 8.6 目前 apache 版本是 2.4.37
有高風險需更新版本
已使用epel 但仍沒有 2.4.37 以後的版本可以更新,
請教大家有沒有其它好的更新的方式?
在ubuntu 更新apache則非常簡單..

看更多先前的討論...收起先前的討論...

James iT邦大師 6 級 ‧ 2022-06-23 08:51:59 檢舉

distribution為了避免升級套件産生新的問題，有時修補套件時不會直接升級版本，而是使用patch方式，patch過的套件會在版號2.4.37後面再增加尾數，你再確認看看。

Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:15:10 檢舉

我的是2.4.37.47 了 ,弱掃告知要升到2.4.49

DennisLu iT邦研究生 1 級 ‧ 2022-06-23 17:29:59 檢舉

經驗談，之前有一個polkit的嚴重漏洞發布
Redhat 只看中文版新聞比較晚的IT人
看到後馬上就可以更新到修補後的版本。
同期間 RockyLinux 還沒更新，數天之後某天跑更新，發現就可以更新了。
RockyLiunx 比較慢~

James iT邦大師 6 級 ‧ 2022-06-24 10:38:45 檢舉

弱掃報告裡會有因為那個CVE所以要升到2.4.49，你只要查2.4.37-47是不是修補了這個CVE，把證據給出報告的人，請他們更正。如果不依照這個程序處理，會一直遇到這類問題，裝非官方包會有很多相依性問題處理不完，當然放棄官方包，自己用source編也是一種方式，只是要自己隨時留意有更新就要再來一次。

DennisLu iT邦研究生 1 級 ‧ 2022-06-24 16:39:26 檢舉

同意樓上
取的該平台版本號的更新日誌
有修補他指出的CVE就好。

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

4 個回答

0

wiseguy

iT邦超人 1 級 ‧ 2022-06-23 00:35:45

沒用過 Rocky Linux 8，不知道它是否相容 CentOS 8。
你可以試試看 CentOs 8 這個套件能否給 Rocky Linux 8 使用
https://centos.pkgs.org/8/raven-modular-x86_64/httpd-2.4.54-1.el8.x86_64.rpm.html

回應 1
分享
檢舉

Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:22:01 檢舉

用這個安裝跳出一堆套件需要補,且出現 non providers can be installed , 有點麻煩.新增了更多問題

登入發表回應

2

Ray

iT邦大神 1 級 ‧ 2022-06-23 11:34:49

Redhat 8 的這個套件已經在 5/10 修正過:
https://access.redhat.com/errata/RHSA-2022:1915

有三個套件被更新:
httpd-2.4.37-47.module+el8.6.0+14529+083145da.1.src.rpm
mod_http2-1.15.7-5.module+el8.6.0+13996+01710940.src.rpm
mod_md-2.0.8-8.module+el8.3.0+6814+67d1e611.src.rpm

但是 httpd 的大版號仍維持 2.4.37, 後面的 patch number 則是 47
你可以查一下 Rocky Linux 拿到的 patch 是否也是 47?

掃到弱點不一定要升版, 只要原版本有出 Patch 同樣是安全的;
你要提出證據, 證明這個版本已經被 Patch 過, 不是原來的 2.4.37

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

by2048 iT邦高手 1 級 ‧ 2022-06-23 12:57:32 檢舉

Rocky 8.0試裝一下httpd目前版本為2.4.37-47.module+el8.6.0

by2048 iT邦高手 1 級 ‧ 2022-06-23 13:01:40 檢舉

查了下yum.repos.d/更新來源
https://dl.rockylinux.org/vault/
裡面放centos,rocky rpm的檔案也都差不多

Kailis iT邦研究生 1 級 ‧ 2022-06-23 15:13:20 檢舉

對, 我的也是2.4.37.47
不過弱掃要我更新到2.4.49.. 我到apache 官網下載rpm 2.4.54 但都會變成apache2 ,這個我無法用..

Ray iT邦大神 1 級 ‧ 2022-06-23 16:20:09 檢舉

你不要執著於升級到 2.4.49, 原廠就是要你用 2.4.37-47 (除非你把 OS 從 8 升到 9), 這也是為何 Redhat 體系在機房維運上會比 Ubuntu 穩定的主因: 他不會隨便讓你升級版本, 除非他能確保升級後的版本, 能和其他現有的軟體套件全部都相容.

但是弱掃軟體很傻, 他只能偵測到 2.4.37, 看不見後面的 -47, 所以你必改走書面申訴的方式, 提出原廠證明, 說明: 雖然弱掃看到的版號只有 2.4.37, 但實際上因為小版號已經更到 -47 了, 所以那個 Bug 已經修正掉, 沒有風險了.

稽核要看的是實情, 並不是有弱嫂報告就蒙著眼只看報告, 如果實情沒有風險, 代表弱掃是誤判, 而事實上弱掃誤判的案例非常多, 你只要能夠提出書面證據佐證, 稽核就應該把這個弱點標示成 False Postive, 不要出現在報表上.

商業版的弱掃軟體應該都有標示誤判(偽陽性)項目的功能, 標示清楚之後, 以後掃你的系統就不會出現這項.

登入發表回應

0

補覺鳴詩

iT邦高手 1 級 ‧ 2022-06-23 21:00:11

這算老問題了
官方的 repository 更新就是慢, 要碼自己編譯
要碼找第三方的來更新
https://codeit.guru/en_US/

回應
分享
檢舉

登入發表回應

0

rockmansyz

iT邦新手 3 級 ‧ 2022-06-28 11:02:26

可以試試看隱藏 apache版本
參考看看

編輯/etc/httpd/conf/httpd.conf
添加以下下兩行，指令
ServerTokens Prod
ServerSignature Off

再重新啟動 apache
systemctl restart httpd

回應 3
分享
檢舉

Kailis iT邦研究生 1 級 ‧ 2022-06-28 16:49:07 檢舉

隱藏版本資訊能讓弱掃報告從27個Critical 變為9個, 但還是會呈現apache版本問題, 弱掃工具可以設定以後這類報告改為低風險也是解決方法, 但要能說服資安官及稽核才可以。

rockmansyz iT邦新手 3 級 ‧ 2022-06-30 09:55:43 檢舉

你的問題應該是跟以下的2個網址類似
可以參考看看
https://forums.rockylinux.org/t/apache-version-suitability-for-rocky-8-5/4664/7

https://forums.rockylinux.org/t/hiding-the-apache-version-information-from-scanner/6321

你的弱點掃描應該是 SSH 有登入掃描
不然是不會有掃描到 apache 版本資訊

不然主機curl測試應該是看不到版本資訊

curl -I http://localhost
HTTP/1.1 200 OK
Server: Apache

以上參考看看

Kailis iT邦研究生 1 級 ‧ 2022-07-01 09:57:01 檢舉

對,有配置ssh 登入掃描,這樣結果才會比較完整, 看文章說明就是有更版前,問題不會解決了
文章也說明, 隱藏版本號及不使用ssh 登入掃描, 結果不完整,漏洞也還是存在,這樣隱藏漏洞的報告是沒有意義的,

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙