我曾尝试进行研究以找出此问题,但我希望听取社区的意见,了解 Yum 存储库中提供的内容是否安全。即使在很多情况下存储库中的版本都是可用内容的非常旧的版本。
RedHat 在他们的文章中分享 ->https://www.redhat.com/en/blog/what-backporting-and-how-does-it-apply-rhel-and-other-red-hat-products确保其存储库中的软件包由 RedHat 维护,并在其认为合适的版本中应用重要的安全补丁。因此,其应用程序的版本可能是旧版本,但它们正在接收反向移植。
以下是我们的一台服务器正在使用的存储库。我们使用 Centos 7.9,并使用以下存储库定期安装内核和其他软件包的更新:
repo id repo name status
base/7/x86_64 CentOS-7 - Base 10,072
epel/x86_64 EPEL YUM Repo 13,768
extras/7/x86_64 CentOS-7 - Extras 518
mysql-connectors-community/x86_64 MySQL Connectors Community 227
mysql-tools-community/x86_64 MySQL Tools Community 100
mysql57-community/x86_64 MySQL 5.7 Community Server 678
percona-release-noarch/7 Percona Original release/noarch 65
percona-release-x86_64/7 Percona Original release/x86_64 2,628
updates/7/x86_64 CentOS-7 - Updates 5,287
我的问题来自于,yum repo 中的像firewalld这样的软件包是0.6.3版本,但最新的可用版本是2.0.0版本。Firewalld 版本。已经对firewalld软件包进行了反向移植,但最后一次是在2021年4月。似乎已经很长时间没有进行某种安全漏洞更新了。
我希望看到更频繁的系统包反向移植,以解决适用于 RedHat/Centos 存储库版本的漏洞。
我的内部扫描并未表明存在问题,但是当我看到版本如此过时时,我开始怀疑我们是否应该更加严格地检查所安装的软件包,以确保它们是最新版本。
感谢您抽出时间并发表评论 James Anderson
答案1
这就是长期支持的目的。软件包会更新,但不会升级,因此第三方软件不太可能出现问题。代价是反向移植可能需要一些时间,而且您无法获得新功能。
似乎已经很久没有发布某种安全漏洞更新了。
为什么?firewalld它不是防火墙。它是一个防火墙管理工具。防火墙位于内核 (netfilter/iptables)。Firewalld 只是告诉它要做什么,所以没有理由认为它存在巨大的安全漏洞。