As versões antigas do pacote no CentOS significam que elas não possuem correções de segurança?

8

Pedimos ao nosso administrador para atualizar o SVN no nosso servidor CentOS 6.5. Ele fez isso e o resultado foi o SVN 1.6.11. No entanto, a versão atual do SVN é 1.8.9.

Eu sei que o repositório do Centum yum nem sempre está atualizado. Mas, nesse caso, estou confuso: o SVN 1.6.x não é mais suportado oficialmente. Isso significa que ele não recebe nenhuma correção de segurança!

Como o repositório oficial do CentOS pode fornecer uma versão tão antiga (e perigosa)? Existe algo que nós (ou nosso administrador) entendemos de maneira errada?

    
por user1421332 27.05.2014 / 22:59

3 respostas

10

Como uma distribuição corporativa, a Red Hat bloqueia pacotes na distribuição para uma versão específica, de modo que os recursos oferecidos sejam conhecidos e consistentes e não alterem o comportamento inesperadamente durante a vida útil da instalação.

Como você observou, isso significa que a versão do software pode ser "antiga".

No entanto, eles também suportam correções de segurança quando disponíveis, aplicando-as à versão antiga. Por exemplo, várias correções de segurança foram feitas para a subversão durante a vida da distribuição. Isso permite manter um sistema seguro sem o risco de quebra causado pela introdução de novas funcionalidades (o que acontece de tempos em tempos).

Você pode obter informações sobre correções de segurança específicas no site da Red Hat procurando pelo número CVE.

Ou, para ver o histórico de alterações do pacote on-line, tente:

rpm -q --changelog subversion

Você verá as entradas mais recentes primeiro, começando com:

* Wed Feb 12 2014 Joe Orton <[email protected]> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032
    
por 27.05.2014 / 23:05
3

O CentOS (ou, na verdade, o RHEL com o CentOS para o passeio) compromete-se a suportar a versão que está distribuindo até que o sistema operacional esteja em fim de vida; eles são responsáveis por retroceder as correções de segurança para a versão antiga / não suportada.

A razão para isso é estabilidade; eles não atualizam versões principais de software dentro de uma versão principal do sistema operacional para não quebrar a compatibilidade de aplicativos em atualizações regulares. O EL 6 está definitivamente chegando ao ponto em que alguns desses pacotes são bem antigos, simplesmente devido à sua idade e quando essas versões de pacotes estavam bloqueadas; EL 7 está ao virar da esquina.

    
por 27.05.2014 / 23:03
0

O SVN 1.6 pode não ser mais suportado pelo upstream; mas você não comprou do upstream, então não é relevante. No momento em que você instalou uma distro corporativa, sua rota para o software é em grande parte pela distro. Anos de pessoas pegando o lançamento desta semana fizeram as pessoas pensarem que é escalável, seguro, consistente ou confiável. Você pode encontrar um pacote alt para algum software, mas como um BMW de 6 anos com apenas Bluetooth 4.0 e sem grandes substituições de motor desde então, você deve saber que não é um mau sinal.

    
por 24.08.2017 / 07:05

Tags