CentOS 中的旧软件包版本是否意味着它们没有安全修复?

CentOS 中的旧软件包版本是否意味着它们没有安全修复?

我们要求管理员更新 CentOS 6.5 服务器上的 SVN。他照做了,结果是 SVN 1.6.11。但是 SVN 的当前版本是 1.8.9。

我知道 CentOS yum 存储库并不总是最新的。但在这种情况下,我感到困惑:SVN 1.6.x 不再受官方支持。这意味着它没有得到任何安全修复!

CentOS 官方仓库怎么会提供这么老旧(且危险)的版本?我们(或我们的管理员)是不是理解错了什么?

答案1

作为企业发行版,Red Hat 将发行版中的软件包锁定为特定版本,以便所提供的功能是已知且一致的,并且在安装的生命周期内不会意外地改变行为。

正如您提到的,这意味着软件版本可能“旧”。

然而,他们还反向移植了安全修复可用时,将它们应用于旧版本。例如,在发行版的生命周期中,已经针对 subversion 进行了大量安全修复。这可以保持系统安全,而不会因引入新功能而导致系统崩溃的风险(这种情况时有发生)。

您可以获取有关特定的安全修复在 Red Hat 网站上搜索 CVE 编号。

或者,要在线查看包的更改历史记录,请尝试:

rpm -q --changelog subversion

您将首先看到最新的条目,从以下条目开始:

* Wed Feb 12 2014 Joe Orton <[email protected]> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

答案2

CentOS(或者实际上是 RHEL 和 CentOS)承诺支持他们分发的版本,直到操作系统终止使用寿命;他们负责将安全修复程序反向移植到旧的/不受支持的版本。

这样做的原因是为了稳定性;为了不破坏定期更新时的应用程序兼容性,他们不会在主要操作系统版本内升级软件的主要版本。EL 6 肯定会达到这样的地步,其中一些软件包相当陈旧,这仅仅是因为它的年代久远以及这些软件包版本被锁定的时间;EL 7 即将问世。

答案3

SVN 1.6 可能不再受上游支持;但您不是从上游购买的,因此这并不重要。从您安装企业发行版的那一刻起,您获取软件的途径主要是通过发行版。多年来,人们一直在抢购本周的发行版,这让人们厌倦了认为它是可扩展的、安全的、一致的或可靠的。您可能能够找到某些软件的替代包,但就像一辆只有蓝牙 4.0 且此后没有进行过重大发动机更换的 6 年车龄的宝马一样,您应该知道这不是一个坏兆头。

相关内容