Estratégia de atualização do Apache

4

Estou no CentOS 6.5 e no Apache 2.2.15. Eu queria que meu httpd estivesse atualizado, então eu fiz:

yum update httpd

Depois disso, ainda é a versão 2.2.15, mas a versão mais recente é 2.2.22. Eu também vejo as atualizações de segurança entre 2.2.15 e 2.2.22.

Gostaria de saber se o 2.2.15 é seguro? Devo forçar a atualização para a versão mais recente ou o que eu tenho é bom o suficiente. Eu estou procurando alcançar segurança máxima, então eu acho que deveria ser a versão mais recente, mas eu sou novo nisso, então só queria confirmar isso.

    
por rumburak 20.03.2014 / 16:45

1 resposta

8

Você precisa entender a política de empacotamento e correção da Red Hat.

A Red Hat escolhe a versão de qualquer ferramenta que usará quando lançar uma versão do RHEL. Para o RHEL 6, isso incluía o Apache 2.2.15, o kernel 2.6.32, o php 5.3.3 e assim por diante. Para o resto da vida do RHEL6, estes não serão atualizados; Em vez disso, a Red Hat fará backport de quaisquer correções necessárias (e, ocasionalmente, aprimoramentos que sejam considerados desejáveis) para a versão escolhida. Isso significa que você estará executando um software cujo número de versão sugere que é vulnerável a determinadas explorações conhecidas, mas que provavelmente foram corrigidas para evitar essas vulnerabilidades.

Se você quiser ter certeza de que não está sujeito a uma vulnerabilidade específica, será necessário encontrar o número CVE do problema e fazer uma referência cruzada a ele com os avisos do RH. A Red Hat explica tudo isso em mais detalhes em seu próprio site.

É incrível como muitos auditores de segurança soi-disant não entendem as ramificações da abordagem do RH, alguns deles mesmo depois de ter sido explicado lentamente e em palavras curtas.

    
por 20.03.2014 / 16:53