CVE-2012-0883 s'applique-t-il à Ubuntu?
La vulnérabilité Apache CVE-2012-088 affecte-t-elle Ubuntu? J'ai essayé de le chercher sur buntu.com mais sans succès.
Je note qu'Ubuntu publie un avis de sécurité Ubuntu (USN) lorsqu'il publie une mise à jour de la vulnérabilité, par exemple SN-1627-1 pour CVE-2012-2687 et CVE-2012-4929. Cependant, je ne trouve aucun USN correspondant pour CVE-2012-0883 bien que j'aie trouvé ceci:
http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0883.html
Et si Ubuntu n'est pas affecté par la vulnérabilité, quelle version d'Apache contient le correctif?
C'est clairement écrit dans la page que vous avez liée :
En amont: publié (2.4.2) Ubuntu 8.04 LTS (Hardy Heron): non affecté Ubuntu 10.04 LTS (Lucid Lynx): non affecté Ubuntu 11.04 (Natty Narwhal): non affecté Ubuntu 11.10 (Oneiric Ocelot): non affecté Ubuntu 12.04 LTS (Pangolin précis): non affecté
De plus, dans la même page, il est écrit:
jdstrand> Les packages Debian/Ubuntu contiennent 038_no_LD_LIBRARY_PATH (voir http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=27667 pour plus d'informations)
Et si vous regardez le journal des modifications inclus dans le bug, vous pouvez voir:
Apache2 (2.0.52-2) instable; urgence = élevée [...] * Déplacer les envvars vers/etc/Apache2/et ajouter le patch 038_no_LD_LIBRARY_PATH à supprimer le LD_LIBRARY_PATH étranger à partir d'envvars (ferme: # 276670)
Cela signifie que le bogue a été corrigé dans Debian depuis la version 2.0.52 .
Enfin et surtout, si vous regardez votre /etc/Apache2/envvars ou /usr/share/Apache2/build/envvars-std, vous verrez qu'ils ne contiennent pas de virus LD_LIBRARY_PATH.