Un collègue me trollais la dernière fois sur le fait que nous n'avions pas les dernières versions à jour des logiciels sur nos serveurs car nous ne compilons pas nos propres versions.Ni une ni deux, je prends en exemple Apache pour lui démontrer qu'il a tord.
Côté distribution, nous utilisons principalement RedHat et CentOS.
Pour le package apache, sur le site officiel nous avons 2 versions majeures, la branche 2.2 et la 2.4.
Ici en production, nous utilisons la branche 2.2.
Sur le site d'apache nous pouvons voir les changements entre les versions et les versions qui contiennent les mises à jour de sécurités :
Or, sur un système CentOS à jour "CentOS release 6.7 (Final)", yum update fait ce jour, j'ai cette version d'apache installé :
httpd-2.2.15-47.el6.centos.x86_64
A ce moment là, je prend peur que mon collègue ait raison et c'est parti pour l'investigation.
A ce stade, on peut croire que l'on passe à côté de ces CVE :
SECURITY: CVE-2015-3183
SECURITY: CVE-2014-0118
SECURITY: CVE-2014-0231
SECURITY: CVE-2014-0226
SECURITY: CVE-2013-5704
SECURITY: CVE-2014-0098
SECURITY: CVE-2013-6438
SECURITY: CVE-2013-1896
SECURITY: CVE-2013-1862
SECURITY: CVE-2012-3499
SECURITY: CVE-2012-4558
SECURITY: CVE-2012-0883
SECURITY: CVE-2012-2687
SECURITY: CVE-2011-3368
SECURITY: CVE-2011-3607
SECURITY: CVE-2011-4317
SECURITY: CVE-2012-0021
SECURITY: CVE-2012-0031
SECURITY: CVE-2012-0053
SECURITY: CVE-2012-4557
SECURITY: CVE-2011-3348
SECURITY: CVE-2011-3192
SECURITY: CVE-2010-1452
SECURITY: CVE-2010-2068
Cela en fait pas mal hein !
Cette liste est en fait la différence entre les CVE du changelog apache et celle dans le changelog du package CentOS (/usr/share/doc/httpd-2.2.15/CHANGES)
Après quelques recherches, il s'avère que, comme je m'en doutait, RedHat backporte les patchs de sécurité !
Nous pouvons voir le changelog complet du package de cette façon :
rpm -q --changelog httpd
De cette manière, nous nous apercevons bien que le dernier CVE (CVE-2015-3183) est bien porté sur la version 2.2.15 d'apache, et tous les précédents d'ailleurs.
Nous sommes sauvés et j'ai gagné le troll :)
