Q&A
ありがとうございます。
回答して頂いたところ恐縮ですが「httpd 2.4.6-45.el7.centos.4」のリリース内容がわかるページ等というのは無いでしょうかね?
2.4.6-45.el7.centos.4 はやはり未対応ですか・・・
Red-Hat の場合は apache httpd 2.4.26 が対応済みパッチである認識でしたが、違うのでしょうか?
###質問内容
「httpd 2.4.6-45.el7.centos.4」のリリースで改善された内容が確認できる公式な情報元を知りたい。
###発生している問題
centos7 のWebサーバーを管理運用しており、下記の環境となります。
環境
AWS/centos7.2/apache httpd-2.4.6-45.el7.centos
下記の脆弱性対応を実施する事になっています。
脆弱性情報
https://jvn.jp/vu/JVNVU98416507/index.html
職場ルールで yum でのインストール、アップデートを絶対としています。
上記の脆弱性情報ページにある通り、apache 2.4.26 が yum でインストールできるようになるまで待つものと認識していましたが、お客様より「2.4.6-45.el7.centos.4 がリリースされており、これを適用すれば脆弱性対応になるので、内容を確認して適用して欲しい」と指示をもらってます。
この「httpd 2.4.6-45.el7.centos.4」が本当に ↑ の脆弱性に対応した内容となっているのか確認し、客に報告してから作業実施にのぞみたいのですが、そのような情報元が見つからず困っています。
よろしくお願い致します。
###試したこと
centos のフォーラムページも探ってみましたが、それらしい情報には辿りつけませんでした。
同じく「httpd 2.4.6-45.el7.centos.4」と「httpd 2.4.26」が同じ脆弱性に対応しているのかも知りたい内容ですが、↑ の情報元がわかれば確認できると想定しています。
###補足情報
検証用サーバに「httpd 2.4.6-45.el7.centos.4」をインストールしチェンジログを確認してみましたが、今回の内容に「CVE-2017-XXXX」という記述はありません。
$ sudo rpm -q --changelog httpd * 水 4月 12 2017 CentOS Sources <bugs@centos.org> - 2.4.6-45.el7.centos.4 - Remove index.html, add centos-noindex.tar.gz - change vstring - change symlink for poweredby.png - update welcome.conf with proper aliases * 水 3月 08 2017 Lubo? Uhliarik <luhliari@redhat.com> - 2.4.6-45.4 - Resolves: #1396197 - Backport: mod_proxy_wstunnel - AH02447: err/hup on backconn * 火 2月 14 2017 Joe Orton <jorton@redhat.com> - 2.4.6-45.3 - prefork: fix delay completing graceful restart (#1327624) - mod_ldap: fix authz regression, failing to rebind (#1415257) * 火 2月 14 2017 Joe Orton <jorton@redhat.com> - 2.4.6-45.2 - updated patch for CVE-2016-8743 * 月 1月 30 2017 Lubo? Uhliarik <luhliari@redhat.com> - 2.4.6-45.1 - Resolves: #1412975 - CVE-2016-0736 CVE-2016-2161 CVE-2016-8743 httpd: various flaws (以降省略)
回答3件
0
公式かどうかはおいておいて、以下でChengelogの内容が確認できました。
ftp://rpmfind.net/linux/RPM/centos/updates/7.3.1611/x86_64/Packages/httpd-2.4.6-45.el7.centos.4.x86_64.html
* Wed Apr 12 2017 CentOS Sources <bugs@centos.org> - 2.4.6-45.el7.centos.4 - Remove index.html, add centos-noindex.tar.gz - change vstring - change symlink for poweredby.png - update welcome.conf with proper aliases
投稿2017/07/07 08:56
総合スコア6621
0
残念ながら、2.4.6-45.el7.centos.4ではまだ対応していません。
たとえば、https://access.redhat.com/security/cve/CVE-2017-7668のようにCVEで参照した結果も、RHEL7の項は「Affected」とのみなっており、出ていれば表記されるはずのパッチ詳細が出ていないので、まだ有効なパッチは上がっていません。CentOSはRHELのソースから再構築したものですので、RHELでないということはCentOSでも存在しません。
投稿2017/07/07 08:22
総合スコア145183
RHELの場合、各パッケージについてもバージョンは基本的に上げず、同じApache 2.4.6にバグ修正のパッチをバックポートする、という形で管理しています。「httpd 2.4.26」となることはありません。
なるほど。ありがとうございます。この辺は勉強になりました。
過去担当したお客様では 2.4.X の X 部分の数字が上がったバージョンをインストールする事で対応、と考えるお客様もいらっしゃったので、私自身もそのように思い込んでいました。
0
自己解決
回答頂いたお二方の内容を踏まえて、公式な情報が今のところ無い為、centos公式ページのウォッチを続けて行きたいと思います。また、脆弱性の対応とはならなそうである事も含め、今後の対応をお客様にお話したいと思います。
「httpd 2.4.6-45.el7.centos.4」のアップデート自体は実施します。
投稿2017/07/10 10:22
総合スコア12
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/10 01:36
2017/07/10 04:25
2017/07/10 10:11 編集