Pages : 1
#1 Le 23/02/2023, à 14:33
- Ane Alogique
Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?
Bonjour,
Après avoir parcouru le net et ne pas avoir trouvé de réponse je m'inscris ici afin de poser la question.
Sur un environnement Ubuntu 22.04
Distributor ID: Ubuntu
Description: Ubuntu 22.04.2 LTS
Release: 22.04
Codename: jammy
la version d'Apache 2 est la 2.4.52
Server version: Apache/2.4.52 (Ubuntu)
Server built: 2023-01-23T18:34:42
Cependant je cherche à m'affranchir d'une vulnérabilité qui a normalement été corrigée depuis fin janvier https://httpd.apache.org/security/vulne … es_24.html
Je m'étonne que la dernière version ne soit pas "à jour"
Update 2.4.55 released 2023-01-17
apt-cache policy apache2
apache2:
Installé : 2.4.52-1ubuntu4.3
Candidat : 2.4.52-1ubuntu4.3
Table de version :
*** 2.4.52-1ubuntu4.3 500
500 http://fr.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
100 /var/lib/dpkg/status
2.4.52-1ubuntu4 500
500 http://fr.archive.ubuntu.com/ubuntu jammy/main amd64 Packages
Dois-je modifier la repository source list d'une manière ou d'une autre ou selon vous pourquoi n'y a t'il pas de maj disponible je vous prie ?
Merci.
Hors ligne
#2 Le 23/02/2023, à 14:59
- bruno
Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?
Bonjour,
Essayer à tout prix d'avoir la dernière version n'est pas la bonne méthode pour se protéger d'une vulnérabilité. Cela vient sans doute d'une mauvaise compréhension du système de gestion des paquets DEB et des mises à jour de sécurité. Les correctifs de sécurité sont publiés dès que possible et il suffit de maintenir son système à jour.
Preuve pour cette vulnérabilité :
$ apt changelog apache2
apache2 (2.4.52-1ubuntu4.3) jammy-security; urgency=medium
* SECURITY UPDATE: DoS via crafted If header in mod_dav
- debian/patches/CVE-2006-20001.patch: fix error path for "Not" prefix
parsing in modules/dav/main/util.c.
- CVE-2006-20001
* SECURITY UPDATE: request smuggling in mod_proxy_ajp
- debian/patches/CVE-2022-36760.patch: cleanup on error in
modules/proxy/mod_proxy_ajp.c.
- CVE-2022-36760
* SECURITY UPDATE: response header truncation issue
- debian/patches/CVE-2022-37436.patch: fail on bad header in
modules/proxy/mod_proxy_http.c, server/protocol.c.
- CVE-2022-37436
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 23 Jan 2023 13:34:42 -0500
Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.
#3 Le 23/02/2023, à 16:52
- Ane Alogique
Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?
Merci pour la réponse !
Essayer à tout prix d'avoir la dernière version n'est pas la bonne méthode pour se protéger d'une vulnérabilité. Cela vient sans doute d'une mauvaise compréhension du système de gestion des paquets DEB et des mises à jour de sécurité
Dans mon cas il ne s'agit pas d'une mauvaise compréhension, mais d'une absence totale de compréhension. Je pensais bien qu'il fallait obtenir la dernière version.
J'en profite donc pour noter dans mon carnet que si Apache.org laisse à penser qu'il faut obtenir un numéro de version pour voir une vulnérabilité corrigée ce n'est pas forcement le cas des paquets pour Ubuntu.
Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.
Merci pour ce conseil que je note également Cependant dans cet exemple précis qu'est-ce qui permet de comprendre que ça a été patché ? La couleur verte/rouge du "Status" ?
Hors ligne
#4 Le 23/02/2023, à 17:18
- iznobe
Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?
Cependant dans cet exemple précis qu'est-ce qui permet de comprendre que ça a été patché ? La couleur verte/rouge du "Status" ?
]$ apt changelog apache2
apache2 (2.4.52-1ubuntu4.3) jammy-security; urgency=medium
* SECURITY UPDATE: DoS via crafted If header in mod_dav
- debian/patches/CVE-2006-20001.patch: fix error path for "Not" prefix
parsing in modules/dav/main/util.c.
- CVE-2006-20001
* SECURITY UPDATE: request smuggling in mod_proxy_ajp
- debian/patches/CVE-2022-36760.patch: cleanup on error in
modules/proxy/mod_proxy_ajp.c.
- CVE-2022-36760
* SECURITY UPDATE: response header truncation issue
- debian/patches/CVE-2022-37436.patch: fail on bad header in
modules/proxy/mod_proxy_http.c, server/protocol.c.
- CVE-2022-37436-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 23 Jan 2023 13:34:42 -0500
Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.
Bonjour , sur la page que tu as mis en lien il y a les meme numeros de faille de securité , tout simplement ...
moderate: mod_dav out of bounds read, or write of zero byte (CVE-2006-20001)
etc ...
Dernière modification par iznobe (Le 23/02/2023, à 17:24)
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
En ligne
#5 Le 24/02/2023, à 07:59
- Ane Alogique
Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?
Merci.
ll faut le savoir, ce n'est pas explicite. Mais maintenant je sais.
Hors ligne