Применяется ли CVE-2012-0883 к Ubuntu?

3

Является ли уязвимость Apache CVE-2012-0883 влиять на Ubuntu ? Попробуйте найти его на ubuntu.com , но без хитов.

Я отмечаю, что Ubuntu выпускает уведомление о безопасности Ubuntu (USN), когда оно выдает обновление для этой уязвимости, например. USN-1627-1 для CVE-2012-2687 и CVE-2012-4929. Однако я не могу найти соответствующий USN для CVE-2012-0883, хотя я нашел это:

Ссылка

И если Ubuntu не подвержен уязвимости, какая версия Apache содержит исправление?

    
задан JBusch 01.10.2013 в 09:39
источник

1 ответ

5

Это ясно написано на странице , которую вы связали :

Upstream:                               released (2.4.2)
Ubuntu 8.04 LTS (Hardy Heron):          not-affected
Ubuntu 10.04 LTS (Lucid Lynx):          not-affected
Ubuntu 11.04 (Natty Narwhal):           not-affected
Ubuntu 11.10 (Oneiric Ocelot):          not-affected
Ubuntu 12.04 LTS (Precise Pangolin):    not-affected

Кроме того, на той же странице написано:

jdstrand> Debian/Ubuntu packages contain 038_no_LD_LIBRARY_PATH (see http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=276670 for more information)

И если вы посмотрите на список изменений, включенный в ошибку, вы можете увидеть:

apache2 (2.0.52-2) unstable; urgency=high
[...]
  * Move envvars to /etc/apache2/ and add patch 038_no_LD_LIBRARY_PATH to
    remove the extraneous LD_LIBRARY_PATH from envvars (closes: #276670)

Это означает, что ошибка была исправлена в Debian с версии 2.0.52 .

И последнее, но не менее важное: если вы посмотрите на /etc/apache2/envvars или /usr/share/apache2/build/envvars-std , вы увидите, что они не содержат вредоносных LD_LIBRARY_PATH .

    
ответ дан Andrea Corbellini 01.10.2013 в 09:45