CVE-2024-38474 в RHEL [закрыто] ⇐ Apache

[Anonymous]

В настоящее время мы используем HTTP-сервер Apache версии 2.4.37, который был включен в ОС RHEL, установленную на наших серверах. Недавно мы обнаружили отдельные записи журнала «AH: Небезопасный URL-адрес с URL-адресом %3f, переписанным без UnsafeAllow3F», которые, как мы подозреваем, связаны с уязвимостью CVE-2024-38474. Понятно, что рекомендуемое устранение этой уязвимости включает обновление httpd как минимум до версии 2.4.60. Однако похоже, что эта уязвимость была устранена в исправлении ОС, предоставленном Red Hat, которое уже было установлено на сервере.
Я пытаюсь понять, как Red Hat может эффективно устранить эту уязвимость. без обновления HTTP-сервера до более новой версии. Более того, я озадачен тем, почему эти записи в журнале продолжают появляться, если проблема действительно решена. Не могли бы вы рассказать, как Red Hat обычно добивается такого решения и почему журналы, указывающие на уязвимость, все еще могут наблюдаться?

Подробнее здесь: https://stackoverflow.com/questions/793 ... 74-in-rhel