質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.70%

centos7.2:httpd 2.4.6-45.el7.centos.4 のアップデート内容について

解決済

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 3,562

th0167

score 5

質問内容

「httpd 2.4.6-45.el7.centos.4」のリリースで改善された内容が確認できる公式な情報元を知りたい。

発生している問題

centos7 のWebサーバーを管理運用しており、下記の環境となります。

環境
AWS/centos7.2/apache httpd-2.4.6-45.el7.centos

下記の脆弱性対応を実施する事になっています。

脆弱性情報
https://jvn.jp/vu/JVNVU98416507/index.html

職場ルールで yum でのインストール、アップデートを絶対としています。
上記の脆弱性情報ページにある通り、apache 2.4.26 が yum でインストールできるようになるまで待つものと認識していましたが、お客様より「2.4.6-45.el7.centos.4 がリリースされており、これを適用すれば脆弱性対応になるので、内容を確認して適用して欲しい」と指示をもらってます。

この「httpd 2.4.6-45.el7.centos.4」が本当に ↑ の脆弱性に対応した内容となっているのか確認し、客に報告してから作業実施にのぞみたいのですが、そのような情報元が見つからず困っています。
よろしくお願い致します。

試したこと

centos のフォーラムページも探ってみましたが、それらしい情報には辿りつけませんでした。
同じく「httpd 2.4.6-45.el7.centos.4」と「httpd 2.4.26」が同じ脆弱性に対応しているのかも知りたい内容ですが、↑ の情報元がわかれば確認できると想定しています。

補足情報

検証用サーバに「httpd 2.4.6-45.el7.centos.4」をインストールしチェンジログを確認してみましたが、今回の内容に「CVE-2017-XXXX」という記述はありません。

$ sudo rpm -q --changelog httpd
* 水  4月 12 2017 CentOS Sources <bugs@centos.org> - 2.4.6-45.el7.centos.4
- Remove index.html, add centos-noindex.tar.gz
- change vstring
- change symlink for poweredby.png
- update welcome.conf with proper aliases

* 水  3月 08 2017 Lubo? Uhliarik <luhliari@redhat.com> - 2.4.6-45.4
- Resolves: #1396197 - Backport: mod_proxy_wstunnel - AH02447: err/hup
  on backconn

* 火  2月 14 2017 Joe Orton <jorton@redhat.com> - 2.4.6-45.3
- prefork: fix delay completing graceful restart (#1327624)
- mod_ldap: fix authz regression, failing to rebind (#1415257)

* 火  2月 14 2017 Joe Orton <jorton@redhat.com> - 2.4.6-45.2
- updated patch for CVE-2016-8743

* 月  1月 30 2017 Lubo? Uhliarik <luhliari@redhat.com> - 2.4.6-45.1
- Resolves: #1412975 - CVE-2016-0736 CVE-2016-2161 CVE-2016-8743 httpd: various flaws
(以降省略)
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+1

残念ながら、2.4.6-45.el7.centos.4ではまだ対応していません。

たとえば、https://access.redhat.com/security/cve/CVE-2017-7668のようにCVEで参照した結果も、RHEL7の項は「Affected」とのみなっており、出ていれば表記されるはずのパッチ詳細が出ていないので、まだ有効なパッチは上がっていません。CentOSはRHELのソースから再構築したものですので、RHELでないということはCentOSでも存在しません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/07 17:45

    ありがとうございます。
    回答して頂いたところ恐縮ですが「httpd 2.4.6-45.el7.centos.4」のリリース内容がわかるページ等というのは無いでしょうかね?
     
    2.4.6-45.el7.centos.4 はやはり未対応ですか・・・
    Red-Hat の場合は apache httpd 2.4.26 が対応済みパッチである認識でしたが、違うのでしょうか?

    キャンセル

  • 2017/07/07 18:02

    RHELの場合、各パッケージについてもバージョンは基本的に上げず、同じApache 2.4.6にバグ修正のパッチをバックポートする、という形で管理しています。「httpd 2.4.26」となることはありません。

    キャンセル

  • 2017/07/10 19:05

    なるほど。ありがとうございます。この辺は勉強になりました。
    過去担当したお客様では 2.4.X の X 部分の数字が上がったバージョンをインストールする事で対応、と考えるお客様もいらっしゃったので、私自身もそのように思い込んでいました。

    キャンセル

+1

公式かどうかはおいておいて、以下でChengelogの内容が確認できました。

ftp://rpmfind.net/linux/RPM/centos/updates/7.3.1611/x86_64/Packages/httpd-2.4.6-45.el7.centos.4.x86_64.html

* Wed Apr 12 2017 CentOS Sources <bugs@centos.org> - 2.4.6-45.el7.centos.4
  - Remove index.html, add centos-noindex.tar.gz
  - change vstring
  - change symlink for poweredby.png
  - update welcome.conf with proper aliases

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/10 10:36

    情報ありがとうございます。
    教えて頂いたのに申し訳ないですが、moonphase さんも仰る様にこれが公式な情報なのかどうかがページを見る限りではわからないです。
    Chengelog の内容にしても CVE 関連の記載が無いので、情報としては有益なものにはなりません。

    キャンセル

  • 2017/07/10 13:25

    なるほど。
    変更内容はChangeLogに記載されていますが、それだけではなくCVEからみてどのような対応が知りたいのですね。
    『お客様より「2.4.6-45.el7.centos.4 がリリースされており、これを適用すれば脆弱性対応になるので、内容を確認して適用して欲しい」と指示』とあるなら、お客様に何を以って脆弱性対応になると判断したのか確認すれのが早くないでしょうか?

    キャンセル

  • 2017/07/10 19:10 編集

    >お客様に何を以って脆弱性対応になると判断したのか確認すれのが早くないでしょうか?
    確かに仰る通り、最終的には↑を確認する事になりますが、その前にこちらが調査・用意できるだけの説明ネタを揃えたいというのがありまして。
    そして、私自身は質問本文に記載した脆弱性が「httpd ~.centos.4」では対応とならないのでは・・・という懸念があった為、今回のような質問をさせて頂いた次第です。

    >脆弱性情報
    >https://jvn.jp/vu/JVNVU98416507/index.html

    これが公式な情報です、と胸張って言える内容が全然見つからなかった事、公式な情報がほぼ無い事や脆弱性の対応となるとハッキリ言えない事も踏まえてお客様と相談したいと思います。
    ありがとうございました。

    キャンセル

check解決した方法

0

回答頂いたお二方の内容を踏まえて、公式な情報が今のところ無い為、centos公式ページのウォッチを続けて行きたいと思います。また、脆弱性の対応とはならなそうである事も含め、今後の対応をお客様にお話したいと思います。  

「httpd 2.4.6-45.el7.centos.4」のアップデート自体は実施します。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.70%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる