CentOS 为什么使用不受支持的内核(EOL 内核)

CentOS 为什么使用不受支持的内核(EOL 内核)

刚刚注意到 CentOS 7 使用的是内核 3.10,该版本从 2013 年 8 月维护到 2017 年 11 月,所以它基本上是 EOL。

我知道 CentOS 不会在次要 CentOS 版本之间更新内核版本,这就是它拥有这个旧的、现在不受支持的内核的原因。

这通常是如何运作的?如果发现漏洞或严重错误怎么办?

当内核仍然受支持时,它会被内核维护人员修复,然后我猜 CentOS 可以将其反向移植。

既然内核已经 EOL,这是否会让所有使用 CentOS 7 的企业陷入困境?

有人可以解释一下吗?

答案1

CentOS 在其维护生命周期内将安全补丁反向移植到其产品中。CentOS 7 将获得维护更新支持,直至 2024 年 6 月,这意味着他们将继续提供安全补丁。不要将上游内核支持与发行版维护者的支持混淆。

欲了解更多信息,请参阅:https://wiki.centos.org/About/Product

编辑:以下是最新的 CentOS 7 内核包中的安全补丁(部分)列表:

$ rpm -qip --changelog kernel-3.10.0-862.11.6.el7.x86_64.rpm | grep -E '(^\*|CVE)' | grep -B1 CVE
* Fri Aug 10 2018 Jan Stancek <[email protected]> [3.10.0-862.11.6.el7]
- [kernel] cpu/hotplug: Fix 'online' sysfs entry with 'nosmt' (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Thu Aug 09 2018 Frantisek Hrbata <[email protected]> [3.10.0-862.11.5.el7]
- [kernel] cpu/hotplug: Enable 'nosmt' as late as possible (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Tue Aug 07 2018 Jan Stancek <[email protected]> [3.10.0-862.11.4.el7]
- [net] ipv6: fix nospec-related regression in ipv6_addr_prefix() (Josh Poimboeuf) [1589033 1589035] {CVE-2018-3693}
* Mon Aug 06 2018 Jan Stancek <[email protected]> [3.10.0-862.11.3.el7]
- [net] tcp: add tcp_ooo_try_coalesce() helper (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: call tcp_drop() from tcp_data_queue_ofo() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: detect malicious patterns in tcp_collapse_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: avoid collapses in tcp_prune_queue() if possible (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: free batches of packets in tcp_prune_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] net: add rb_to_skb() and other rb tree helpers (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: fix a stale ooo_last_skb after a replace (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: use an RB tree for ooo receive queue (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: refine tcp_prune_ofo_queue() to not drop all packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: increment sk_drops for dropped rx packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [x86] x86/syscall: Fix regression when using the last syscall (pkey_free) (Lauro Ramos Venancio) [1589033 1589035] {CVE-2018-3693}
<SNIP>

自 CentOS 7 首次推出以来,已经引入了许多其他修补程序。这只是最近几个修补程序的一小部分。

相关内容