Назад | Перейти на главную страницу

Означают ли старые версии пакетов в CentOS, что в них нет исправлений безопасности?

Мы попросили нашего администратора обновить SVN на нашем сервере CentOS 6.5. Он так и сделал, и в результате получился SVN 1.6.11. Однако текущая версия SVN - 1.8.9.

Я знаю, что репозиторий CentOS yum не всегда актуален. Но в этом случае я сбит с толку: SVN 1.6.x официально больше не поддерживается. Это означает, что в нем нет исправлений безопасности!

Как официальный репозиторий CentOS может предоставить такую ​​старую (и опасную) версию? Что-то мы (или наш администратор) неправильно поняли?

В качестве корпоративного дистрибутива Red Hat привязывает пакеты в дистрибутиве к определенной версии, чтобы предлагаемые функции были известными и согласованными и не меняли поведение неожиданно в течение всего срока установки.

Как вы отметили, это означает, что версия программного обеспечения может быть «старой».

Тем не мение, они также поддерживают исправления безопасности когда доступно, применяя их к старой версии. Например, в течение всего срока существования дистрибутива был сделан ряд исправлений безопасности для подрывной деятельности. Это позволяет поддерживать безопасность системы без риска поломки, вызванной введением новых функций (что время от времени случается).

Вы можете получить информацию о конкретные исправления безопасности на сайте Red Hat, выполнив поиск по номеру CVE.

Или, чтобы просмотреть историю изменений пакета в Интернете, попробуйте:

rpm -q --changelog subversion

Сначала вы увидите самые последние записи, начиная с:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (или на самом деле RHEL с CentOS в пути) обязуется поддерживать версию, которую они распространяют, до тех пор, пока ОС не истечет срок службы; они несут ответственность за перенос исправлений безопасности в старую / неподдерживаемую версию.

Причина этого - стабильность; они не обновляют основные версии программного обеспечения в основной версии ОС, чтобы не нарушать совместимость приложений при регулярных обновлениях. EL 6 определенно приближается к тому моменту, когда некоторые из этих пакетов устарели просто из-за своего возраста и когда эти версии пакетов были заблокированы; EL 7 не за горами.

SVN 1.6 может больше не поддерживаться в восходящем направлении; но вы не купили его у апстрима, так что это не совсем актуально. В тот момент, когда вы устанавливаете корпоративный дистрибутив, ваш путь к программному обеспечению в основном лежит через дистрибутив. Годы людей, хватающих релиз на этой неделе, заставили людей думать, что это масштабируемый, безопасный, последовательный или надежный. Возможно, вы сможете найти альтернативный пакет для некоторого программного обеспечения, но, как 6-летний BMW только с Bluetooth 4.0 и без серьезных замен двигателя, вы должны знать, что это неплохой знак.