Apache在2012年4月发现了一个安全漏洞,这是PCI合规性问题: http : //web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0883
我一直把我的服务器(CentOS)与yum保持同步。 我一直无法find与httpd-2.2.23(目前运行2.2.22)回购。 从源头上构build任何东西已经很长时间了,所以我不会为此而兴奋,但如果需要的话。
我的问题是,我怎么去这个,而不是打破百胜更新过程?
TD
备份你的apacheconfiguration文件,卸载httpd,httpd-devel和其他httpd软件包,然后你可以从这里手动下载rpm。
并用yum或rpm进行安装。
yum localinstall pkg_name rpm -ivh pkg_name 希望这可以帮助!
你无关你的服务器。
根据Red Hat的说法,RHEL(以及CentOS扩展版)附带的Apache版本不容易受到这种攻击。
您需要将这些信息提供给您的PCI合规审核员。
不要改变任何东西。
红帽(和扩展,CentOS)从新版本获得安全修复,而不是升级到新版本,并可能引入兼容性问题。
在这种情况下,没有backport,因为打包的版本不是脆弱的。 看到这里 ; 这个扫描结果是一个误报。
用于漏洞检查的原始版本号匹配通常是不准确的; 考虑改为ServerTokens Prod 。