Wie erkenne ich die Version eines Apache Webservers

[PHuV]

Jetzt brauche ich auch mal wieder Hilfe von den Linux-Profis. Es geht dabei um eine RedHat Linux und dem mitgelieferten Apache Webserver httpd.

Aktuell ist die Version 2.4.41
https://httpd.apache.org/download.cgi

Wenn ich aber auf die Server schaue, wird mir immer nur die Version 2.4.6 angezeigt

CentOS76 Server
[root@centos76 ~]# httpd -v
Server version: Apache/2.4.6 (CentOS)
Server built:   Jul 29 2019 17:18:49
[root@centos76 ~]# yum list installed|grep httpd
httpd.x86_64                            2.4.6-89.el7.centos.1          @updates
httpd-tools.x86_64                      2.4.6-89.el7.centos.1          @updates

RedHat Server
[root@redhat ~]# httpd -v
Server version: Apache/2.4.6 (Red Hat Enterprise Linux)
Server built:   Aug  3 2016 08:33:27
[root@redhat ~]# yum list installed |grep httpd
httpd.x86_64                          2.4.6-45.el7                @rhel-7-server
httpd-manual.noarch                   2.4.6-45.el7                @rhel-7-server
httpd-tools.x86_64                    2.4.6-45.el7                @rhel-7-server

Den Unterschied sehe ich nur immer per yum in der 4.Nummer, ich nehme mal an, daß dies eine Build-Nummer ist, siehe
https://www.redhat.com/archives/rhsa-announce/2019-July/msg00058.html

Fragen:

1. Warum bleibt es beim CentOS und RedHed-Repo auf der Version 2.4.6?
2. Kann ich davon ausgehen, daß bei neueren Nummern an der 4.Stelle sich auch um eine neuere Version vom httpd handelt?
3. Warum macht man das so, entgegen der Apache-Website? Warum wird die Version nicht weitergezählt?

 

[zoz]

Das sind auf die stable/alte Version zuruckportierte Patches

 

[Groug]

Warum bleibt es beim CentOS und RedHed-Repo auf der Version 2.4.6

Das ist im Prinzip bei den meisten Distributionen so.

Kann ich davon ausgehen, daß bei neueren Nummern an der 4.Stelle sich auch um eine neuere Version vom httpd handelt?

Im Grundsatz nein, es werden Fehler in der ausgerollten Version beseitigt.

Warum macht man das so, entgegen der Apache-Website? Warum wird die Version nicht weitergezählt?

Weil es eine in der Version der Distribution getesten Version ist. Andere Versionen habe ggf. neue oder geänderte Funktionen, ziehen geänderte Lib's oder auch neuer Versionen von zusätzlicher Software wie php nach sich.

 

[prian]

Wenn Du "frische" Apache-Version benötigst, dann muss Du selbst bauen oder Dir ein Repo suchen das das für Dein Linux macht.
Alternativ musst Du ein Rolling-Release einsetzen wir SuSE Tumbleweed oder ArchLinux (wodurch man sich aber ganz andere Probleme einfängt - Selbsterkenntnis).

 

[PHuV]

Mir gehts ja nur darum, das man mit -v eigentlich nicht richtig sieht, welche Version das genau ist, oder welcher Versionsstand incl. Fixes nun enthalten ist. Gerade wenn man mal mehrere Server auf Softwarestände wegen Security Issues überprüfen möchte, ist diese Vorgehensweise extrem hinderlich.

Alternativ musst Du ein Rolling-Release einsetzen wir SuSE Tumbleweed oder ArchLinux (wodurch man sich aber ganz andere Probleme einfängt - Selbsterkenntnis).

Genau das will ich ja aus bekannten Gründen vermeiden. Und Du darfst in den Firmen nicht einfach irgend ein Linux verwenden, da mußt Du auf die Vorgaben achten.

Aber danke an alle, daß heißt dann, daß die Nummer bei dem Paketen doch eine gewisse Auskunft über die verwendete Version bietet.

 

[abcddcba]

Ja, die Versionen bezeichnen eigentlich immer die Upstream Version von dem Original Paket - aber die Anpassungen sind doch deutlich.

Fuer RedHat findest du z.B. hier auch Infos und Erklaerung warum das so gehandhabt wird:
https://access.redhat.com/solutions/445713

Da steht dann u.a. auch

• Note that the versions of Apache HTTP Server included in the above products are in most cases vastly different from the upstream community releases of the same version
  • This is explained by Red Hat's Security Backporting Policy and is the most common cause of admins/auditors trying to get a newer version of Apache
  • For example: EWS 2.1.0 & EAP 6.4.0 include Apache httpd based on upstream v2.2.26; however, they also include multiple CVE security fixes which are not in the original community release of Apache httpd 2.2.266

 

[snaxilian]

Die reine Versionsnummer hilft nicht wirklich in Bezug auf Sicherheit bzw. wenn dann musst du in den Release Notes und CVEs der jeweiligen Distribution gucken und nicht im Upstream Projekt oder müsstest auf deinem Server nicht die Version aus den Repos installieren sondern eben aus den Upstreamquellen.

Bei RHEL ist es zusätzlich noch so, dass die CVEs erst veröffentlicht werden wenn ein Fix bereit steht. Kann man mögen, muss man aber nicht.
Wenn du wissen willst ob ein Produkt "verwundbar" ist, dann hilft ein Vulnerability Scanner wie z.B. Nessus oder eine der freien Lösungen wie z.B. OpenVAS. Neben den Lücken in der Software entstehen die meisten Probleme jedoch durch fehlerhafte Konfigurationen oder Fehlern innerhalb irgendwelcher Webanwendungen, beispielsweise SQL Injection. Da kann der Webserver, PHP und Datenbank aktuell sein aber wenn Eingaben nicht validiert werden hast ein Problem