Стратегия обновления Apache

Вы должны понимать политику Red Hat в отношении упаковки и установки исправлений.

Red Hat выбирает версию любого инструмента, который они будут использовать при запуске версии RHEL. Для RHEL 6 это включает Apache 2.2.15, ядро ​​2.6.32, php 5.3.3 и т. Д. До конца срока службы RHEL6 они не будут обновляться; Вместо этого Red Hat будет переносить все необходимые исправления (а иногда и улучшения, которые кажутся желательными) для выбранной версии. Это означает, что вы будете использовать программное обеспечение, номер версии которого предполагает, что оно уязвимо для определенных известных эксплойтов, но которое, вероятно, было исправлено, чтобы избежать этих уязвимостей. Красная Шапка объясните все это сами более подробно на собственном сайте.

Если вы хотите быть уверенным, что не подвержены какой-либо конкретной уязвимости, вам необходимо найти номер CVE проблемы и проверить журналы изменений. К счастью, rpm делает это проще, чем могло бы быть в противном случае. Рассмотрим в качестве примера CVE-2017-7679, что на первый взгляд повлияет на httpd-2.2.15. В моей системе (CentOS6, но я подозреваю, что RHEL6 даст идентичный ответ) это исправлено:

[me@lory ~]$ rpm -q --changelog httpd|grep 7679
- Resolves: #1463207 - CVE-2017-7679 httpd: mod_mime buffer overread

Удивительно, сколько Soi-Disant Аудиторы безопасности не понимают разветвлений подхода RH (который, как указано ниже, является общим для большинства корпоративных дистрибутивов), некоторые из них даже после того, как он был объяснен медленно и кратко.