Я понимаю, что RedHat backport CVE исправляет Apache и PHP для CentOS как обновления, где номер версии не обязательно увеличивается, и что я могу получить эти исправления с помощью yum update php и т.д., поэтому, глядя на номер версии, он может показаться уязвимым для CVE xyz, но на самом деле в нем могут быть исправления. Пожалуйста, поправьте меня, если это не так.
Как я могу проверить, какие номера CVE исправлены в моем текущем PHP и Apache в системе CentOS?
Вы можете посмотреть журнал изменений, чтобы узнать, что, по словам упаковщиков, они сделали:
$ rpm -q --changelog httpd
* Sun Feb 12 2012 Johnny Hughes <johnny@centos.org> - 2.2.15-15.1.el6.centos
- Roll in CentOS Branding
* Mon Feb 06 2012 Joe Orton <jorton@redhat.com> - 2.2.15-15.1
- add security fixes for CVE-2011-4317, CVE-2012-0053, CVE-2012-0031,
CVE-2011-3607 (#787598)
- obviates fix for CVE-2011-3638, patch removed
и так далее.
Я полагаю, вы можете доверять упаковщику в том, что он сказал, что сделал.
Если нет, вы можете взять исходный RPM, распаковать его и посмотреть на набор исправлений, применяемых к исходному архиву по мере его сборки.