Fizemos uma verificação PCI em um dos nossos servidores executando o Ubuntu 12.04 LTS com o apache 2.2.22.
A verificação relatou uma vulnerabilidade no apache 2.2.22 (Nome do Diretório de Comprimento Zero do Servidor HTTP Apache na Vulnerabilidade LD_LIBRARY_PATH). O relatório informa que é necessário atualizar a versão para a versão estável mais recente do 2.2.23 ou 2.2.24. / p>
Como faço para atualizar para o 2.2.23 para corrigir a vulnerabilidade ou existe um patch disponível que possa corrigir isso e, se sim, você pode me informar como isso pode ser corrigido.
De acordo com a pesquisa de pacotes para apache2 , não há nenhum pacote maior que o 2.2.22 no Ubuntu repos.
No entanto, se você observar a vulnerabilidade específica, ela é 'apenas' uma vulnerabilidade explorável local que leva à divulgação não autorizada de informações. Por isso, pode ser aceitável aguardar uma correção. Mais informações sobre a vulnerabilidade podem ser encontradas na entrada CVE-2012-0883 .
rmadison apache2 mostra que a versão 2.2.22-1 é a versão estável no Ubuntu 12.04. Você terá que esperar que uma atualização de segurança seja aplicada ao pacote apache2 ou que ela seja atualizada por seus mantenedores.
Você não poderá atualizar para a versão 2.4 em qualquer versão do Ubuntu, pois ainda não está nos repositórios. Eu não contaria com o 2.4 inserindo os repositórios precisos, pois o 12.04 é o LTS e os pacotes normalmente usados como o apache2 não são atualizados por capricho.
O Ubuntu não faz backport de lançamentos de recursos, mas apenas vulnerabilidades de segurança se eles tiverem impacto.
Este específico é considerado insignificante, de acordo com esta página . Citando:
% bl0ck_qu0te% Então, sugiro que você agora possa gastar seu tempo em coisas mais úteis. :-)
Tags apache2