テックブログ
テックブログ
テックブログ
  1. ホーム /
  2. ハック /
  3. CVE番号から、CentOS・Redhatの対応済み公式パッケージ更新情報・パッチ情報を漁る。

CVE番号から、CentOS・Redhatの対応済み公式パッケージ更新情報・パッチ情報を漁る。

主に自分メモ。

Redhat

CentOS

Centのほうが見にくいので、redhatからCVE番号を調べた情報から、後追いしてくれるCentOSを追う。

OptionsBleedとかの場合

例えば2.2.15で対応パッチが出ているか(出ていたらいくつ以上なら大丈夫なのか)調べたい場合を想定する。

まず、CVE番号を調べる。これはググれば出てくるので端折る。

CVE番号は「CVE-2017-9798」なので、こちらでredhatで調べる。

Redhat

apacheが2.4系の記事が出てくるが、まぁそこら変だったらバージョン調べれば対応しているので、意味がない。

RHSA-2017:2972

A use-after-free flaw was found in the way httpd handled invalid and previously unregistered HTTP methods specified in the Limit directive used in an .htaccess file. A remote attacker could possibly use this flaw to disclose portions of the server memory, or cause httpd child process to crash. (CVE-2017-9798)

こんなのが出てくる。更新パッケージを見ると、「httpd-2.2.15-60.el6_9.6.x86_64.rpm」なので、こちら以降であれば対象。

CentOSの場合

後で追っかけて更新がかかるのだが、そこまで時間はかからないはずなので、先程の更新の日付から追う。

先程の日付は「2017-10-19」なので

CentOS

こちらから、October 2017: Threadへ飛ぶ。

[CentOS-announce] ESA-2017:2972 Moderate CentOS 6 httpd Security Update Johnny Hughes

とかあるので、見てみる。

Upstream details at : https://access.redhat.com/errata/RHSA-2017:2972

とか書かれてるので、これが対象。

「httpd-2.2.15-60.el6.centos.6.x86_64.rpm」が対象

あとはyumとかで上げてくれい。

つくってみた!

社内のトイレ難民解決!トイレ空き状況確認システムを作ってみた社内のトイレ難民解決!トイレ空き状況確認システムを作ってみた
Amazon Polly と Slack を使って Alexa へ (物理的に) 話しかけるシステムを作ってみたAmazon Polly と Slack を使って Alexa へ (物理的に) 話しかけるシステムを作ってみた
社長が「寒い寒い」というので社長席の温度をRaspberry Piで監視してみた。社長が「寒い寒い」というので社長席の温度をRaspberry Piで監視してみた。

関連記事