CentOS의 이전 패키지 버전은 보안 수정이 없음을 의미합니까?

우리는 관리자에게 CentOS 6.5 서버에서 SVN을 업데이트하도록 요청했습니다. 그는 그렇게했고 결과는 SVN 1.6.11이었다. 그러나 SVN의 현재 버전은 1.8.9입니다.

CentOS yum 저장소가 항상 최신이 아님을 알고 있습니다. 그러나이 경우 혼란 스럽습니다 .SVN 1.6.x는 더 이상 공식적으로 지원되지 않습니다. 즉, 보안 수정 사항이 없습니다!

공식 CentOS 리포지토리는 어떻게 이전의 위험한 버전을 제공 할 수 있습니까? 우리 (또는 우리의 관리자)가 잘못 이해 한 것이 있습니까?

엔터프라이즈 배포판 인 Red Hat은 배포판의 패키지를 특정 버전으로 잠그기 때문에 제공되는 기능이 알려져 있고 일관성이 있으며 설치 수명 동안 예기치 않게 동작이 변경되지 않습니다.

언급했듯이 소프트웨어 버전이 "이전"일 수 있습니다.

그러나 사용 가능한 경우 보안 수정 사항을 백 포트 하여 이전 버전에 적용합니다. 예를 들어 배포 기간 동안 하위 버전에 대한 여러 가지 보안 수정이 이루어졌습니다. 따라서 새로운 기능이 도입되어 (때때로 발생하는) 파손 위험없이 안전한 시스템을 유지할 수 있습니다.

CVE 번호를 검색하여 Red Hat 사이트에서 특정 보안 수정 에 대한 정보를 얻을 수 있습니다 .

또는 온라인으로 패키지의 변경 기록을 보려면 다음을 시도하십시오.

rpm -q --changelog subversion

다음과 같이 가장 최근 항목이 먼저 표시됩니다.

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (또는 실제로 CentOS와 RHEL을 함께 사용)는 OS 수명이 다할 때까지 배포하는 버전을 지원합니다. 보안 수정 사항을 이전 / 지원되지 않는 버전으로 백 포트하는 역할을합니다.

그 이유는 안정성 때문입니다. 정기적 인 업데이트에서 응용 프로그램 호환성을 유지하기 위해 주요 OS 버전 내에서 주요 소프트웨어 버전을 업그레이드하지 않습니다. EL 6은 패키지의 나이와 패키지 버전이 고정되어있을 때 일부 패키지가 꽤 오래된 시점에 도달했습니다. EL 7이 모퉁이를 돌고 있습니다.

SVN 1.6은 더 이상 업스트림에서 지원되지 않을 수 있습니다. 하지만 업스트림에서 구매하지 않았으므로 실제로 관련이 없습니다. 엔터프라이즈 배포판을 설치 한 순간 소프트웨어로가는 경로는 주로 배포판을 통해 이루어집니다. 이번 주 릴리스를 잡은 수년간의 사람들은 확장 가능하고 안전하며 일관 적이거나 신뢰할 수있는 사고로 사람들을 혼란스럽게 만들었습니다. 일부 소프트웨어의 경우 alt-package를 찾을 수 있지만 Bluetooth 4.0 만 있고 주요 엔진 교체가없는 6 년 된 BMW와 같이 나쁜 징후가 아님을 알아야합니다.