AlmaLinux &Apache2.4& CVE-2021-42013 (+其他CVEs)

Question

我有一个小型的Apache，它是CentOS，但现在是AlmaLinux 8，我一直试图通过dnf更新httpd，以防止最近披露的漏洞：https://httpd.apache.org/security/vulnerabilities_24.html

从数字上说，这台机器的httpd版本号从未超过2.4.37，但我在其他地方读到过，RHEL将CVE补丁移植到每个与其OS版本一致的Apache版本上。

问题

1. AlamLinux也做同样的事情吗？
2. 实际需要多长时间才能推出修复程序？

FYI：

rpm -q --changelog httpd | grep CVE-2021不返回任何结果。

httpd -v返回Server version: Apache/2.4.37 (AlmaLinux)

我在RHPE上看到的最后一个CVE是CVE-2021-40438 (https://access.redhat.com/errata/RHSA-2021:3754)。AlmaLinux有类似的东西吗，还是使用相同的东西？

~~编辑~~

在今天更新之后，rpm -q --changelog httpd | grep CVE-2021现在返回：

Resolves: #2007234 - CVE-2021-40438 httpd:2.4/httpd: mod_proxy: SSRF via
Resolves: #2007646 - CVE-2021-26691 httpd:2.4/httpd: Heap overflow in

FYI:

CVE-2021-40438:更新2.4.49 -发布: 2021-09-16

CVE-2021-26691:更新2.4.48 -发布: 2021-06-01

好像是樱桃采摘的CVEs。

Answer 1

AlmaLinux是S 1:1二进制兼容的RHEL，并且是RHEL的下游，所以在RHEL中修补的包也将在AlmaLinux中进行修补，通常有一个工作日的延迟。

https://wiki.almalinux.org/Comparison.html

正如您自己提到的，您可以使用rpm -q --changelog PackageName | grep CVE查看某些CVE是否在包中被解析。

AlmaLinux中的包来自RHEL，但是在AlmaLinux中可用之前需要进行一些小的修改。

https://wiki.almalinux.org/development/Packaging.html