Вопрос: Старые версии пакетов в CentOS означают, что у них нет исправлений безопасности?


Мы попросили нашего администратора обновить SVN на нашем сервере CentOS 6.5. Он сделал это, и результат был SVN 1.6.11. Однако текущая версия SVN составляет 1,8,9.

Я знаю, что репозиторий CentOS yum не всегда обновляется. Но в этом случае я смущен: SVN 1.6.x официально не поддерживается. Это означает, что он не получает никаких исправлений безопасности!

Как официальный репозиторий CentOS может предоставить такую ​​старую (и опасную) версию? Есть ли что-то, что мы (или наш администратор) понимаем неправильно?


8
2018-05-27 20:59


Источник




Ответы:


В качестве корпоративного дистрибутива Red Hat блокирует пакеты в дистрибутиве для определенной версии, поэтому предлагаемые функции известны и согласованы и не изменяют поведение неожиданно в течение всего срока службы установки.

Как вы отметили, это означает, что версия программного обеспечения может быть «старой».

Однако, они также резервируют исправления безопасности когда это возможно, применяя их к старой версии. Например, был сделан ряд исправлений безопасности для подрывной деятельности в течение срока действия дистрибутива. Это позволяет сохранить безопасную систему без риска поломки, вызванного внедрением новых функций (что время от времени происходит).

Вы можете получить информацию о конкретные исправления безопасности на сайте Red Hat, выполнив поиск номера CVE.

Или, чтобы посмотреть историю изменений в онлайн-пакете, попробуйте:

rpm -q --changelog subversion

Сначала вы увидите самые последние записи, начиная с:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

10
2018-05-27 21:05





CentOS (или действительно, RHEL с CentOS вместе для езды) обязуется поддерживать версию, которую они распространяют, пока ОС не закончится; они отвечают за резервные исправления безопасности для старой / неподдерживаемой версии.

Причиной этого является стабильность; они не обновляют основные версии программного обеспечения в рамках основной версии ОС, чтобы не нарушать совместимость приложений при регулярных обновлениях. EL 6 определенно доходит до того, что некоторые из этих пакетов довольно старые просто из-за его возраста и когда эти версии пакета были заблокированы; EL 7 находится за углом.


3
2018-05-27 21:03





SVN 1.6 может не поддерживаться выше по течению; но вы не купили его с восходящего потока, так что это не очень актуально. Когда вы установили корпоративный дистрибутив, ваш путь к программному обеспечению в основном осуществляется через дистрибутив. Годы людей, захвативших освобождение на этой неделе, заманили людей в мысли, что они масштабируемы, безопасны, последовательны или надежны. Вы можете найти альт-пакет для некоторого программного обеспечения, но, как 6-летний BMW с единственным Bluetooth 4.0 и без крупных заменой двигателя, вы должны знать, что это не плохой знак.


0
2017-08-24 05:05