Только что заметил, что CentOS 7 использует ядро 3.10, которое поддерживалось с августа 2013 года по ноябрь 2017 года, так что это в основном EOL.
Я знаю, что CentOS не обновляет версии ядра между второстепенными выпусками CentOS, что является причиной того, что оно имеет это старое и теперь не поддерживаемое ядро.
Как это вообще работает? Что делать, если обнаружена уязвимость или серьезная ошибка?
Когда ядро все еще поддерживалось, оно было исправлено разработчиками ядра, и тогда, я думаю, CentOS могла бы его перенести.
Теперь, когда ядро является EOL, разве все предприятия, использующие CentOS 7, не обречены?
Может кто-нибудь объяснить это?
CentOS поддерживает исправления безопасности для своих продуктов на протяжении всего жизненного цикла обслуживания. CentOS 7 будет поддерживаться для обслуживания обновлений до июня 2024 года, а это означает, что до тех пор они будут продолжать устанавливать исправления безопасности. Не путайте поддержку восходящего ядра с поддержкой разработчиков дистрибутива.
Для получения дополнительной информации см. Это: https://wiki.centos.org/About/Product
РЕДАКТИРОВАТЬ: вот (усеченный) список исправлений безопасности в самом последнем пакете ядра CentOS 7:
$ rpm -qip --changelog kernel-3.10.0-862.11.6.el7.x86_64.rpm | grep -E '(^\*|CVE)' | grep -B1 CVE
* Fri Aug 10 2018 Jan Stancek <jstancek@redhat.com> [3.10.0-862.11.6.el7]
- [kernel] cpu/hotplug: Fix 'online' sysfs entry with 'nosmt' (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Thu Aug 09 2018 Frantisek Hrbata <fhrbata@hrbata.com> [3.10.0-862.11.5.el7]
- [kernel] cpu/hotplug: Enable 'nosmt' as late as possible (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Tue Aug 07 2018 Jan Stancek <jstancek@redhat.com> [3.10.0-862.11.4.el7]
- [net] ipv6: fix nospec-related regression in ipv6_addr_prefix() (Josh Poimboeuf) [1589033 1589035] {CVE-2018-3693}
* Mon Aug 06 2018 Jan Stancek <jstancek@redhat.com> [3.10.0-862.11.3.el7]
- [net] tcp: add tcp_ooo_try_coalesce() helper (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: call tcp_drop() from tcp_data_queue_ofo() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: detect malicious patterns in tcp_collapse_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: avoid collapses in tcp_prune_queue() if possible (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: free batches of packets in tcp_prune_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] net: add rb_to_skb() and other rb tree helpers (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: fix a stale ooo_last_skb after a replace (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: use an RB tree for ooo receive queue (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: refine tcp_prune_ofo_queue() to not drop all packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: increment sk_drops for dropped rx packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [x86] x86/syscall: Fix regression when using the last syscall (pkey_free) (Lauro Ramos Venancio) [1589033 1589035] {CVE-2018-3693}
<SNIP>
Есть очень много исправлений, которые были введены с момента появления CentOS 7. Это лишь небольшая часть самых последних.