Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/02/2023, à 15:33

Ane Alogique

Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?

Bonjour,

Après avoir parcouru le net et ne pas avoir trouvé de réponse je m'inscris ici afin de poser la question.

Sur un environnement Ubuntu 22.04

Distributor ID: Ubuntu
Description:    Ubuntu 22.04.2 LTS
Release:        22.04
Codename:       jammy

la version d'Apache 2 est la 2.4.52

Server version: Apache/2.4.52 (Ubuntu)
Server built:   2023-01-23T18:34:42

Cependant je cherche à m'affranchir d'une vulnérabilité qui a normalement été corrigée depuis fin janvier https://httpd.apache.org/security/vulne … es_24.html

Je m'étonne que la dernière version ne soit pas "à jour"

Update 2.4.55 released    2023-01-17

apt-cache policy apache2
apache2:
  Installé : 2.4.52-1ubuntu4.3
  Candidat : 2.4.52-1ubuntu4.3
 Table de version :
 *** 2.4.52-1ubuntu4.3 500
        500 http://fr.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
        100 /var/lib/dpkg/status
     2.4.52-1ubuntu4 500
        500 http://fr.archive.ubuntu.com/ubuntu jammy/main amd64 Packages

Dois-je modifier la repository source list d'une manière ou d'une autre ou selon vous pourquoi n'y a t'il pas de maj disponible je vous prie ?

Merci.

Hors ligne

#2 Le 23/02/2023, à 15:59

bruno

Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?

Bonjour,

Essayer à tout prix d'avoir la dernière version n'est pas la bonne méthode pour se protéger d'une vulnérabilité. Cela vient sans doute d'une mauvaise compréhension du système de gestion des paquets DEB et des mises à jour de sécurité. Les correctifs de sécurité sont publiés dès que possible et il suffit de maintenir son système à jour.
Preuve pour cette vulnérabilité :

$ apt changelog apache2

apache2 (2.4.52-1ubuntu4.3) jammy-security; urgency=medium

  * SECURITY UPDATE: DoS via crafted If header in mod_dav
    - debian/patches/CVE-2006-20001.patch: fix error path for "Not" prefix
      parsing in modules/dav/main/util.c.
    - CVE-2006-20001
  * SECURITY UPDATE: request smuggling in mod_proxy_ajp
    - debian/patches/CVE-2022-36760.patch: cleanup on error in
      modules/proxy/mod_proxy_ajp.c.
    - CVE-2022-36760
  * SECURITY UPDATE: response header truncation issue
    - debian/patches/CVE-2022-37436.patch: fail on bad header in
      modules/proxy/mod_proxy_http.c, server/protocol.c.
    - CVE-2022-37436

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 23 Jan 2023 13:34:42 -0500

Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.

Hors ligne

#3 Le 23/02/2023, à 17:52

Ane Alogique

Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?

Merci pour la réponse !

Essayer à tout prix d'avoir la dernière version n'est pas la bonne méthode pour se protéger d'une vulnérabilité. Cela vient sans doute d'une mauvaise compréhension du système de gestion des paquets DEB et des mises à jour de sécurité

Dans mon cas il ne s'agit pas d'une mauvaise compréhension, mais d'une absence totale de compréhension. Je pensais bien qu'il fallait obtenir la dernière version.
J'en profite donc pour noter dans mon carnet que si Apache.org laisse à penser qu'il faut obtenir un numéro de version pour voir une vulnérabilité corrigée ce n'est pas forcement le cas des paquets pour Ubuntu.

Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.

Merci pour ce conseil que je note également wink Cependant dans cet exemple précis qu'est-ce qui permet de comprendre que ça a été patché ? La couleur verte/rouge du "Status" ?

Hors ligne

#4 Le 23/02/2023, à 18:18

iznobe

Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?

Ane Alogique a écrit :

Cependant dans cet exemple précis qu'est-ce qui permet de comprendre que ça a été patché ? La couleur verte/rouge du "Status" ?

bruno a écrit :

]$ apt changelog apache2

apache2 (2.4.52-1ubuntu4.3) jammy-security; urgency=medium

  * SECURITY UPDATE: DoS via crafted If header in mod_dav
    - debian/patches/CVE-2006-20001.patch: fix error path for "Not" prefix
      parsing in modules/dav/main/util.c.
    - CVE-2006-20001
  * SECURITY UPDATE: request smuggling in mod_proxy_ajp
    - debian/patches/CVE-2022-36760.patch: cleanup on error in
      modules/proxy/mod_proxy_ajp.c.
    - CVE-2022-36760
  * SECURITY UPDATE: response header truncation issue
    - debian/patches/CVE-2022-37436.patch: fail on bad header in
      modules/proxy/mod_proxy_http.c, server/protocol.c.
    - CVE-2022-37436

-- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 23 Jan 2023 13:34:42 -0500

Tu peux aussi consulter le site officiel Ubuntu avec la référence de la CVE dans l'url, exemple https://ubuntu.com/security/CVE-2006-20001 pour vérifier si les correctifs ont bien été appliqués.

Bonjour , sur la page que tu as mis en lien il y a les meme numeros de faille de securité , tout simplement ...

apache a écrit :

moderate: mod_dav out of bounds read, or write of zero byte (CVE-2006-20001)
etc ...

Dernière modification par iznobe (Le 23/02/2023, à 18:24)

retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#5 Le 24/02/2023, à 08:59

Ane Alogique

Re : Pas de MAJ vers Apache 2.4.55 depuis Ubuntu 22.04 LTS ?

Merci.
ll faut le savoir, ce n'est pas explicite. Mais maintenant je sais.

Hors ligne

Pages : 1