Означают ли старые версии пакетов в CentOS, что они не имеют исправлений безопасности?

Мы попросили нашего администратора обновить SVN на нашем сервере CentOS 6.5. Он так и сделал, и в результате SVN 1.6.11. Однако текущая версия SVN - 1.8.9.

Я знаю, что репозиторий CentOS yum не всегда актуален. Но в этом случае я запутался: SVN 1.6.x больше официально не поддерживается. Это означает, что он не получает никаких исправлений безопасности!

Как официальный репозиторий CentOS может предоставить такую ​​старую (и опасную) версию? Есть ли что-то, что мы (или наш админ) поняли неправильно?

Как корпоративный дистрибутив, Red Hat блокирует пакеты в дистрибутиве для определенной версии, так что предлагаемые функции известны и непротиворечивы и не изменяют поведение неожиданно в течение всего срока установки.

Как вы заметили, это означает, что версия программного обеспечения может быть «старой».

Однако они также возвращают исправления безопасности, когда они доступны, применяя их к старой версии. Например, ряд исправлений безопасности был сделан для подрывной деятельности в течение срока жизни дистрибутива. Это позволяет сохранить защищенную систему без риска поломки, вызванной введением новой функциональности (что происходит время от времени).

Вы можете получить информацию о конкретных исправлениях безопасности на сайте Red Hat, выполнив поиск по номеру CVE.

Или, чтобы просмотреть историю изменений пакета онлайн, попробуйте:

rpm -q --changelog subversion

Сначала вы увидите самые последние записи, начиная с:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (или, собственно, RHEL вместе с CentOS для поездки) обязуется поддерживать версию, которую они распространяют, до тех пор, пока ОС не станет концом жизни; они несут ответственность за возврат исправлений безопасности в старую / неподдерживаемую версию.

Причиной этого является стабильность; они не обновляют основные версии программного обеспечения в рамках основной версии ОС, чтобы не нарушать совместимость приложений при регулярных обновлениях. EL 6 определенно подходит к тому моменту, когда некоторые из этих пакетов устарели просто из-за своего возраста и когда эти версии пакетов были заблокированы; EL 7 не за горами.

SVN 1.6 может больше не поддерживаться в восходящем направлении; но вы не купили его у апстрима, так что это не очень актуально. В тот момент, когда вы установили корпоративный дистрибутив, ваш путь к программному обеспечению в основном лежит через дистрибутив. Годы людей, захвативших релиз на этой неделе, заставили людей думать, что они масштабируемы, безопасны, последовательны или надежны. Возможно, вам удастся найти альтернативный пакет для некоторого программного обеспечения, но, как для 6-летнего BMW с Bluetooth 4.0 и без каких-либо серьезных замен двигателей, вы должны знать, что это неплохой знак.