Apache 2.2.3 sürümünden 2.2.21 sürümüne yükseltme

YUM kullanarak apache kurdum. Yüklü apache sürümü 2.2.3

Güvenlik görevlisimiz 2.2.21 apache kullanmamızı istiyor

Yum güncelleme 'httpd' denediğimde hiçbir şey olmuyor - Güncelleme için paket yok

Yamalarla ilgili Apache ana sayfasını ( http://www.apache.org/dist/httpd/patches/ ) kontrol ettim . Yazılı talimatlarına dayanarak 2.2.4 yamasını yüklemeye çalışıyorum ( http://www.apache.org/dist/httpd/patches/apply_to_2.2.4/ )

patch -s < /usr/local/src/hack-msvc8-httpd-2.2.4.patch

Ve böyle bir mesaj aldım:

The text leading up to this was:

|###
|### A trivial hack to copy the .manifest files along with the binaries
|### when building from the command line on Visual Studio 2005
|###
|### Courtesy of Gustavo Lopes
|### Posted to dev@httpd.apache.org,
|### Message-ID: <006901c731ae$97bec180$0201a8c0@cataphract>
|###
|--- Makefile.win.orig 2006-12-07 11:09:37.000000000 -0600
|+++ Makefile.win 2007-01-08 23:55:56.000000000 -0600
File to patch:

Ne yanlış yapıyorum? Neden Apatche'ı 2.2.21 sürümüne güncelleyemiyorum?

2.2.x'i çalıştırmak için ya başka bir RPM kaynak yapmanız ya da kaynaktan oluşturmanız gerekir.

Ancak 2.2.3 çalıştırdığınız için RedHat Enterprise Linux 5 veya türevlerinden birini (CentOS 5 vb.) Çalıştırdığınızdan şüphelenirim. Çok sayıda sızma testi şirketinin veya güvenlik görevlisinin 2.2.3 çalıştırırken aslında Apache'nin sonraki revizyonlarından güvenlik düzeltmelerine sahip olduğunuzu dikkate almadığını göreceksiniz.

Bu 'backporting' olarak bilinir. RedHat'ın burada iyi bir açıklaması var . Güvenlik görevlilerinizden, yamalanmış olmasını sağlamak istedikleri belirli CVE'leri talep etmenizi öneririm ve daha sonra bu redhat aracını çalıştırdığınız apache sürümünde düzeltilip düzeltilmediğini belirlemek için kullanın. Sürüm numarasını önceden oluşturarak alabilirsiniz rpm -qa httpd.

RHEL5 (veya eşdeğeri) olduğunu varsayıyorum.

Güvenlik görevlisine Red Hat'in 2.2.21 sürümünden 2.2.3 paketine ilgili güvenlik güncellemelerini uyguladığını ancak temel sürüm numarasını değiştirmediğini söyleyebilirsiniz. (Sadece paket sürüm numarası ile gidiyorsanız) eski Apache'yi çalıştırıyormuşsunuz gibi görünecektir, ancak aslında 2.2.21 kadar güvende olursunuz. Bu, uzun ömürlü kurumsal dağıtımların bir noktasıdır: tutarlılık ve düzeltmeler elde edersiniz.

Bunun gibi bir şey çalıştırarak bunu doğrulayabilirsiniz:

rpm -q --changelog httpd

Örneğin, değişiklik günlüğünde bu son düzeltmeyi göreceksiniz:

* Thu Oct 06 2011 Joe Orton <jorton@redhat.com> - 2.2.3-53.3
- add security fix for CVE-2011-3368 (#743903)
- fix regressions in byterange handling (#736593)

Gerçekten, gerçekten 2.2.21 yüklemeniz gerekiyorsa, kendiniz derleyebilirsiniz. Bunun kendi kötü güvenlik sonuçları olacaktır: Birisi gelecek hafta Apache ile yeni bir sorun bulur ve düzeltirse, Red Hat bu düzeltmeyi ve yum üzerinden kullanılabilir hale getirir, ancak kendi inşa ettiğiniz Apache'niz bu düzeltmeye sahip olmaz ve siz Yeni bir Apache kurmak ve kurmak için tüm süreci tekrar gözden geçirmeniz gerekecek.

Red Hat (veya CentOS) üzerinde doğrudan yukarı akıştan özel bir Apache oluşturmak için aşağıdakileri yapmanız gerekir:

1. Aşağıdaki araçları yükleyin: "yum install rpm-devel rpmdevtools rpm-build"
2. Normal bir kullanıcı olarak rpmdev-setuptree komutunu çalıştırın. "Rpmbuild" adında bir dizin oluşturur.
3. cd / ~ rpmbuild / SOURCE dizinine gidin ve httpd.apache.org adresinden Apache kaynak tarball'ını bu dizine indirin.
4. Bu tarball'dan "httpd.spec" dosyasını ayıklayın ve ~ / rpmbuild / SPECS dosyasına kopyalayın
5. "Rpmbuild -bb httpd.spec" komutunu çalıştırdığınızda, derleme ve rpms oluşturmaya başlayacaktır. Herhangi bir eksik bağımlılık varsa, durur ve size söyler. Bu noktada, bu paketleri yum üzerinden yükleyin ve oluşturma işlemini yeniden başlatın (.spec dosyasındaki BuildPrereq satırına bakarak bunu önleyebilirsiniz). Aksi takdirde, başka sorun olmadığını varsayarsak, kendi Apache derlemenizi derleyebileceksiniz. *

Ya da işinizi kaydedin ve Red Hat'ın güncellemeleri ele almasına izin verin. Bir satıcı derlemesi tarafından kesinlikle tatmin edilemeyen bir yukarı akış yapısına özel bir ihtiyaç olmadığı sürece bunu yapmanızı önermiyorum

* Not: Red Hat 6 altında distcache artık desteklenmemektedir, bu nedenle .spec dosyasından "--enable-distcache" dosyasını kaldırmanız gerekecektir.

Uygulamaya çalıştığınız düzeltme eki Microsoft Visual Studio ile oluşturmak içindir. İpucu yamanın başlığındadır:

### A trivial hack to copy the .manifest files along with the binaries
### when building from the command line on Visual Studio 2005

Bu aslında bir Apache kaynak ağacını 2.2.4'e yapıştırmaz. Ama bunu SRPM'ye uygulamaya mı çalışıyordunuz?

Cjc'den bahsedildiği gibi , Red Hat backport güvenliği, gönderdikleri her sürüme sabitlenir, ancak sürüm numarası mutlaka çarpılmaz. Ve yine, Apache'yi her zaman kendiniz derleyebilirsiniz.