我有一个CentOS 6.6系统。当我在命令行中输入时openssl version,系统会给出OpenSSL 1.0.1e-fips 11 Feb 2013。当我打字时yum update openssl,然后yum说No Packages marked for Update。
有了这些信息,我假设我的系统上的 OpenSSL 是最新的。但当寻找https://openssl.org/,似乎还有更实际的版本。
所以问题是:为什么我的系统有较旧的 OpenSSL 版本,而有较新的版本?
答案1
Cent OS基于Red Hat Enterprise Linux,为企业客户制作的发行版的主要目标是提供健壮、稳定、可靠的操作系统和系统软件。
主要版本通常包含当前软件的最新但已建立的版本。后续的次要版本将包含包含该软件次要更新的软件包。
但是,他们不会提供具有重大修订的软件更新,即,他们的更新包仅包含不会导致任何兼容性问题的较小增强功能。
在你的情况下:
- 6 是主要版本
- 6.6 是次要版本
当 Red Hat 发布其 Enterprise Linux 版本 6 时,他们为 OpenSSL 选择了版本 1.0.0,但在 RHEL 6.6 的小幅更新过程中,他们升级到了版本 1.0.1e。 这一页详细介绍了 RHEL 6 次要版本的 Red Hat OpenSSL 软件包的更新。
虽然上游软件的较新版本将包含增强功能中包含的错误修复,但红帽向后移植修复和修补软件包中的错误,以便客户可以从最新的上游安全修复中受益,同时保持与其他软件包的稳定性和兼容性。
向后移植对客户来说有很多优势,但如果不被理解,可能会造成混乱。客户需要注意,仅查看软件包的版本号并不能告诉他们是否容易受到攻击。例如,媒体报道可能包含诸如“升级到 Apache httpd 2.0.43 以解决问题”之类的短语,该短语仅考虑上游版本号。这可能会导致混乱,因为即使在从供应商安装更新的软件包后,客户也不太可能拥有最新的上游版本。相反,他们将拥有一个较旧的上游版本,并应用了向后移植的补丁。
此外,一些安全扫描和审核工具仅根据它们发现的组件的版本号来做出有关漏洞的决策。这会导致误报,因为这些工具没有考虑向后移植的安全修复程序。
也可以看看主要版本、次要版本和异步版本之间有什么区别?。
答案2
虽然不是最新版本,但 RHEL/CentOS 将向后移植将较新版本的 OpenSSL 源更改为您当前在 CentOS 6 机器上使用的版本。
关于为什么 CentOS 不使用最新版本。这可能有多种原因,包括:
- 依赖关系
- 稳定
- 兼容性