Bedeuten alte Paketversionen in CentOS, dass sie keine Sicherheitskorrekturen enthalten?

Wir haben unseren Administrator gebeten, SVN auf unserem CentOS 6.5-Server zu aktualisieren. Er tat dies und das Ergebnis war SVN 1.6.11. Die aktuelle Version von SVN ist jedoch 1.8.9.

Ich weiß, dass das CentOS yum-Repository nicht immer auf dem neuesten Stand ist. Aber in diesem Fall bin ich verwirrt: SVN 1.6.x wird offiziell nicht mehr unterstützt. Dies bedeutet, dass es keine Sicherheitsupdates gibt!

Wie kann das offizielle CentOS-Repository eine so alte (und gefährliche) Version bereitstellen? Gibt es etwas, das wir (oder unser Administrator) falsch verstanden haben?

Als Unternehmensdistribution sperrt Red Hat Pakete in der Distribution auf eine bestimmte Version, sodass die angebotenen Funktionen bekannt und konsistent sind und das Verhalten während der Lebensdauer der Installation nicht unerwartet ändern.

Wie Sie bereits bemerkt haben, bedeutet dies, dass die Softwareversion "alt" sein kann.

Sie portieren jedoch auch Sicherheitsupdates zurück, sofern verfügbar, und wenden sie auf die alte Version an. Beispielsweise wurden eine Reihe von Sicherheitskorrekturen für die Subversion über die Lebensdauer der Distribution vorgenommen. Dies ermöglicht die Aufrechterhaltung eines sicheren Systems ohne das Risiko eines Bruchs, der durch die Einführung neuer Funktionen (die von Zeit zu Zeit auftreten) verursacht wird.

Informationen zu bestimmten Sicherheitskorrekturen erhalten Sie auf der Red Hat-Website, indem Sie nach der CVE-Nummer suchen.

Um den Änderungsverlauf des Pakets online anzuzeigen, versuchen Sie Folgendes:

rpm -q --changelog subversion

Sie sehen zuerst die neuesten Einträge, beginnend mit:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (oder wirklich RHEL mit CentOS für die Fahrt) verpflichtet sich, die Version zu unterstützen, die sie vertreiben, bis das Betriebssystem nicht mehr funktioniert. Sie sind für das Backportieren von Sicherheitskorrekturen auf die alte / nicht unterstützte Version verantwortlich.

Der Grund dafür ist Stabilität; Sie aktualisieren keine Hauptversionen von Software innerhalb einer Hauptversion des Betriebssystems, um die Anwendungskompatibilität bei regelmäßigen Updates nicht zu beeinträchtigen. EL 6 kommt definitiv an den Punkt, an dem einige dieser Pakete aufgrund ihres Alters und der Sperrung dieser Paketversionen ziemlich alt sind. EL 7 ist gleich um die Ecke.

SVN 1.6 wird möglicherweise nicht mehr im Upstream unterstützt. Aber Sie haben es nicht im Upstream gekauft, daher ist es nicht wirklich relevant. Sobald Sie eine Unternehmensdistribution installiert haben, führt Ihr Weg zur Software größtenteils über die Distribution. Jahrelange Leute, die sich die Veröffentlichung dieser Woche schnappten, haben die Leute dazu gebracht zu denken, dass sie skalierbar, sicher, konsistent oder zuverlässig sind. Möglicherweise finden Sie ein Alt-Paket für eine Software, aber wie bei einem 6-jährigen BMW mit nur Bluetooth 4.0 und ohne größeren Motorersatz sollten Sie wissen, dass dies kein schlechtes Zeichen ist.