Вопрос или проблема
Я узнал о CVE https://ubuntu.com/security/CVE-2021-26691. Там я увидел, что для используемой мной ОС (focal) указана патченная версия.
Исправленный пакет должен быть “2.4.41-4ubuntu3.3” для 20.04 LTS focal.
В командной строке я не вижу этой версии.
apache2:
Установлено: 2.4.41-4ubuntu3.21
Кандидат на установку: 2.4.41-4ubuntu3.21
Таблица версий:
*** 2.4.41-4ubuntu3.21 500
500 http://archive.ubuntu.com/ubuntu focal-updates/main amd64 Packages
500 http://archive.ubuntu.com/ubuntu focal-security/main amd64 Packages
100 /var/lib/dpkg/status
2.4.41-4ubuntu3 500
500 http://archive.ubuntu.com/ubuntu focal/main amd64 Packages
Чтобы получить самую свежую информацию, я очистил локальный кэш apt и снова его собрал. Но без каких-либо изменений.
Что я могу сделать, чтобы обновить до версии 2.4.41-4ubuntu3.3?
Пакет, который вы установили, содержит необходимый вам патч.
Если вы прокрутите вниз по журналу изменений установленного пакета, вы увидите (внизу списка)
apache2 (2.4.41-4ubuntu3.3) focal-security; urgency=medium
* ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: модуль proxy_http отказ в обслуживании.
- debian/patches/CVE-2020-13950.patch: не разыменовывать NULL прокси
соединение в modules/proxy/mod_proxy_http.c.
- CVE-2020-13950
* ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: переполнение стека через Digest nonce в mod_auth_digest
- debian/patches/CVE-2020-35452.patch: быстрая проверка формата nonce
base64, чтобы не продолжать, если формат не совпадает всё равно в
modules/aaa/mod_auth_digest.c.
- CVE-2020-35452
* ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: DoS через заголовок cookie в mod_session
- debian/patches/CVE-2021-26690.patch: сохранить один apr_strtok() в
session_identity_decode() в modules/session/mod_session.c.
- CVE-2021-26690
* ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: переполнение кучи через SessionHeader
- debian/patches/CVE-2021-26691.patch: учитывать '&' в
identity_concat() в modules/session/mod_session.c.
- CVE-2021-26691
* ОБНОВЛЕНИЕ БЕЗОПАСНОСТИ: Непредвиденное поведение сопоставления с 'MergeSlashes OFF'
- debian/patches/CVE-2021-30641.patch: изменить поведение по умолчанию в
server/request.c.
- CVE-2021-30641
* Это обновление _не_ включает изменения из 2.4.41-4ubuntu3.2 в
focal-proposed.
-- Марк Деслаури [email protected] Чт, 17 Июн 2021 14:27:53 -0400
https://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.41-4ubuntu3.21/changelog
который включен в текущий пакет
apache2 | 2.4.41-4ubuntu3.21 | focal-security | source, amd64, arm64, armhf, i386, ppc64el, riscv64, s390x
Поскольку .21 — это 21-е изменение, что значительно больше, чем .3 или 3-е изменение (т.е. число после точки не является десятичным).
Ответ или решение
Обновления безопасности Ubuntu: Как понять версии пакетов
Когда речь заходит о безопасности в операционной системе Ubuntu, важно понимать, как обновления версий пакетов могут влиять на вашу систему. Вопрос, который вы подняли, касается конкретного уязвимости CVE-2021-26691 и обновления пакета Apache2. Рассмотрим подробнее, как работать с обновлениями безопасности в вашем дистрибутиве.
Понимание версии пакетов
Вы обнаружили, что система обновлена до версии пакета Apache2 "2.4.41-4ubuntu3.21", в то время как ожидали увидеть "2.4.41-4ubuntu3.3". Первое, что следует отметить, это то, что версия пакетов Ubuntu имеет свою собственную нумерацию. Нумерация не следует обычным правилам чисел с плавающей запятой. В данном случае, версия "2.4.41-4ubuntu3.21" относится к 21-й модификации подверсии, в то время как "2.4.41-4ubuntu3.3" — это 3-я модификация, которая может быть частью другой ветки.
Проверка текущих обновлений
Для проверки обновлений безопасности и их применения, вы можете использовать команду:
sudo apt update
sudo apt upgradeЭти команды обновят информацию о пакете и установят обновления, если они доступны.
Убедитесь, что у вас есть правильные репозитории
Важно убедиться, что у вас включены все необходимые репозитории. Включите репозитории focal-security и focal-updates для вашего дистрибутива, чтобы получить последние обновления безопасности. Это можно сделать, отредактировав файл /etc/apt/sources.list и убедившись, что строки, начинающиеся с deb, не закомментированы.
Анализ записи в журнале изменений
Как указано в выводе журнала изменений, ваша текущая версия пакета включает исправления, связанные с уязвимостью CVE-2021-26691. Это означает, что ваша установленная версия (2.4.41-4ubuntu3.21) уже содержит необходимые патчи безопасности, даже если формальная версия отличается.
Вы можете ознакомится с изменениями, выполнив команду:
apt changelog apache2Заключение
Если в вашей системе версия Apache2 уже была обновлена до 2.4.41-4ubuntu3.21, это означает, что все необходимые патчи безопасности, включая CVE-2021-26691, уже применены. Нумерация версий может быть запутанной, но, как правило, более высокие точки (например, .21) указывают на более новые изменения и обновления.
Если у вас все еще есть вопросы или сомнения, вы всегда можете обратиться к официальной документации Ubuntu или на сервисы поддержки сообщества. Постоянное обновление системы безопасности является важной частью поддержания безопасной среды для работы и хранения данных.