Ric*_*cky 2 apt backport vulnerability
我有几个运行 Apache 2.4.52 的 22.04.2 LTS 服务器,这些系统都只有大约 6 个月的历史(通过 GCP 构建)。安全扫描器在两个系统上显示了多个与 Apache 相关的漏洞,具体的 CVE 是:
CVE-2022-22720
CVE-2022-23943
CVE-2022-31813
CVE-2023-25690
CVE 显示 Apache 2.4.52 及更早版本受到影响,并建议更新到较新版本的 Apache 来解决问题。当我检查apt list --upgradable系统时,我发现没有可用的更新。
这是否是一个可能的存储库问题,或者该问题是否已通过向后移植得到解决?
我尝试查找 CVE-2022-22720 的信息,以确定它是否仍然容易受到攻击。我使用了以下链接:https://ubuntu.com/security/cves ?q=CVE-2022-22720
此外,22.04 LTS 条目显示“已发布”,单击链接将转到显示我的发布类型“Jammy”的页面,然后显示“已发布 (2.4.52-1ubuntu2)”,这是我显示为已安装的 Apache 的当前版本。这是否意味着此修复已被向后移植?
我想我对向后移植还没有完全掌握。如果上述 CVE 的修复已向后移植,是否意味着问题已得到解决,即使该版本在我们的扫描仪中仍然显示为易受攻击?如果是这样,我该如何进行验证,以便向正在扫描和报告问题的实体证明这一点?谢谢!
这些都是常见问题。
“已发布 (2.4.52-1ubuntu2)” 这是我显示为已安装的 Apache 的当前版本。
这是否意味着此修复已被向后移植?
这意味着已安装的软件包中的CVE 已得到缓解(修补、修复)。该缓解后的软件包不再容易受到攻击。
这并不意味着缓解措施必须通过向后移植任何软件来完成。方法有很多种,向后移植只是其中的一种。
这是否意味着问题已得到解决,即使该版本在我们的扫描仪中仍然显示为易受攻击?
是的,这正是它的意思。Ubuntu 已经发布了一个不容易受到 CVE 攻击的更新包...并且您已经安装了它。
修补当前版本中的漏洞而不是升级到更高版本是 Debian 20 多年来(Ubuntu 也有 19 年)处理 CVE 的方式。这是一种长期被接受的做法。
如果您的扫描仪无法处理 Debian 和 Ubuntu 中最常见的 CVE 缓解实践(几十年来!),那么可能是时候寻找更好的扫描仪供应商了。
| 归档时间: |
|
| 查看次数: |
1275 次 |
| 最近记录: |