2012年12月18日火曜日

CentOSのパッケージ(yum)でインストールしたApacheのセキュリティ対策がどこまで行われているか調べてみる

スズキです。

12月18日現在、CentOS6のリポジトリ(yum)からインストールするApacheの
バージョンは"2.2.15-15"です。

しかし、最新のバージョンは"2.2.23"なので、セキュリティ診断などでバージョンが
ばれると、まず、最新にしろ!って怒られます...

ただし、上記のバージョン(2.2.15-15)は、当然セキュリティパッチが"2.2.15"から
当てられており、"2.2.15"のままではありません。

ということで"2.2.15-15"で、どこまでセキュリティ対策が行われているのか調べてみます。

RPMをダウンロード(yumdownloader)するために、"yum-utils"をインストールします。
# yum -y install yum-utils

実際にApacheのパッケージ(RPM)をダウンロードします。
# yumdownloader httpd

ダウンロードしたRPMのChangeLogを確認します。
# rpm -qp --changelog httpd-2.2.15-15.el6.centos.1.x86_64.rpm
* 日  2月 12 2012 Johnny Hughes - 2.2.15-15.1.el6.centos
- Roll in CentOS Branding

* 月  2月 06 2012 Joe Orton - 2.2.15-15.1
- add security fixes for CVE-2011-4317, CVE-2012-0053, CVE-2012-0031,
  CVE-2011-3607 (#787598)
- obviates fix for CVE-2011-3638, patch removed
...

上記のように、どのようなセキュリティ対策が行われているか確認することができます。

あとはセキュティ要件に照らし合わせ、必要な対策が行われているか確認です。
(満たして無かったら、最新版をソースからインストールです...)

"yum"管理のままでいきたいなー...
--------
http://www.suz-lab.com

0 コメント: