CentOS 6.6: versão OpenSSL

Navegue suas respostas
1

Eu tenho um sistema CentOS 6.6. Quando digito na linha de comando openssl version , o sistema me fornece OpenSSL 1.0.1e-fips 11 Feb 2013 . Quando digito yum update openssl , então yum diz No Packages marked for Update .

Com esta informação, assumo que o OpenSSL no meu sistema está atualizado. Mas, ao procurar pelo link , parece haver uma versão mais atual.

Então a pergunta é: Por que meu sistema tem uma versão antiga do OpenSSL, quando existem versões mais recentes?

    
por kristian 23.06.2015 / 12:44

2 respostas

2

O Cent OS é baseado no Red Hat Enterprise Linux e o principal objetivo de uma distribuição produzida para clientes corporativos é fornecer sistemas operacionais e sistemas de software robustos, estáveis e confiáveis.

As versões principais geralmente contêm versões recentes, mas estabelecidas, do software atual. Versões menores subseqüentes conterão pacotes com atualizações secundárias desse software.

No entanto, eles não terão atualizações de software com revisões importantes, ou seja, seus pacotes de atualização contêm apenas pequenas melhorias que não devem causar problemas de compatibilidade.

No seu caso:

  • 6 é o maior lançamento
  • 6,6 é o lançamento menor

Quando a Red Hat lançou a versão 6 de seu Enterprise Linux, eles escolheram a versão 1.0.0 para o OpenSSL, mas durante as atualizações secundárias para o RHEL 6.6, eles atualizaram para a versão 1.0.1e. Esta página detalha as atualizações do pacote Red Hat OpenSSL para os lançamentos menores do RHEL 6.

Embora versões mais recentes do software upstream contenham correções de erros incluídas com os recursos aprimorados, o Red Hat backport corrige e corrige bugs em seus pacotes para que seus clientes possam se beneficiar das correções de segurança upstream mais recentes enquanto mantém a estabilidade e compatibilidade com seus outros pacotes de software.

De Correções de segurança de backporting

Backporting has a number of advantages for customers, but it can create confusion when it is not understood. Customers need to be aware that just looking at the version number of a package will not tell them if they are vulnerable or not. For example, stories in the press may include phrases such as "upgrade to Apache httpd 2.0.43 to fix the issue," which only takes into account the upstream version number. This can cause confusion as even after installing updated packages from a vendor, it is not likely customers will have the latest upstream version. They will instead have an older upstream version with backported patches applied.

Also, some security scanning and auditing tools make decisions about vulnerabilities based solely on the version number of components they find. This results in false positives as the tools do not take into account backported security fixes.

Veja também Qual é a diferença entre uma versão maior, menor e assíncrona? .

    
por 23.06.2015 / 13:25
0

Embora não seja a versão mais recente, o RHEL / CentOS backport muda em versões mais novas da origem do OpenSSL para a versão que você está usando em sua caixa do CentOS 6 atualmente.

Quanto ao motivo pelo qual o CentOS não está usando a versão mais recente. Isso pode ser por vários motivos, incluindo:

  • Dependências
  • Estabilidade
  • Compatibilidade
por 23.06.2015 / 13:26

Tags

Como faço para ligar o XF86XK_AudioMicMute a uma ação no XMonad? [fechadas] Por que a noção de 'legal'?