Le vecchie versioni del pacchetto in CentOS indicano che non hanno correzioni di sicurezza?

Abbiamo chiesto al nostro amministratore di aggiornare SVN sul nostro server CentOS 6.5. Lo ha fatto e il risultato è stato SVN 1.6.11. Tuttavia, la versione corrente di SVN è 1.8.9.

So che il repository yum di CentOS non è sempre aggiornato. Ma in quel caso sono confuso: SVN 1.6.x non è più ufficialmente supportato. Ciò significa che non ottiene alcuna correzione di sicurezza!

Come può il repository ufficiale CentOS fornire una versione così vecchia (e pericolosa)? C'è qualcosa che noi (o il nostro amministratore) abbiamo capito nel modo sbagliato?

Come distribuzione aziendale, Red Hat blocca i pacchetti nella distribuzione su una versione specifica, in modo che le funzionalità offerte siano note e coerenti e non cambino il comportamento in modo imprevisto durante il ciclo di vita dell'installazione.

Come hai notato, questo significa che la versione del software può essere "vecchia".

Tuttavia, eseguono anche il backport delle correzioni di sicurezza quando disponibili, applicandole alla versione precedente. Ad esempio, sono state apportate alcune correzioni di sicurezza per la sovversione durante la vita della distribuzione. Ciò consente di mantenere un sistema sicuro senza il rischio di rotture causate dall'introduzione di nuove funzionalità (che si verificano di volta in volta).

È possibile ottenere informazioni su specifiche correzioni di sicurezza sul sito di Red Hat cercando il numero CVE.

Oppure, per visualizzare la cronologia delle modifiche del pacchetto online, provare:

rpm -q --changelog subversion

Vedrai prima le voci più recenti, a partire da:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (o davvero, RHEL con CentOS insieme per il giro) si impegna a supportare la versione che stanno distribuendo fino alla fine del sistema operativo; sono responsabili del backport delle correzioni di sicurezza nella versione precedente / non supportata.

La ragione di ciò è la stabilità; non aggiornano le versioni principali del software all'interno di una versione del sistema operativo principale al fine di non interrompere la compatibilità delle applicazioni con aggiornamenti regolari. EL 6 sta sicuramente arrivando al punto in cui alcuni di questi pacchetti sono piuttosto vecchi semplicemente a causa della sua età e quando quelle versioni dei pacchetti erano bloccate; EL 7 è proprio dietro l'angolo.

SVN 1.6 potrebbe non essere più supportato a monte; ma non l'hai acquistato da monte, quindi non è davvero rilevante. Nel momento in cui hai installato una distribuzione aziendale, il percorso verso il software è in gran parte attraverso la distribuzione. Anni di persone che hanno afferrato l'uscita di questa settimana hanno indotto le persone a pensare che sia scalabile, sicuro, coerente o affidabile. Potresti essere in grado di trovare un pacchetto alternativo per alcuni software, ma come una BMW di 6 anni con solo Bluetooth 4.0 e nessuna sostituzione importante del motore da allora, dovresti sapere che non è un brutto segno.