Apakah versi paket lama dalam CentOS berarti mereka tidak memiliki perbaikan keamanan?

Kami meminta admin kami untuk memperbarui SVN di server CentOS 6.5 kami. Dia melakukannya dan hasilnya adalah SVN 1.6.11. Namun versi SVN saat ini adalah 1.8.9.

Saya tahu repositori CentOS yum tidak selalu mutakhir. Tetapi dalam hal ini saya bingung: SVN 1.6.x tidak lagi didukung secara resmi. Ini berarti tidak mendapat perbaikan keamanan apa pun!

Bagaimana repositori resmi CentOS menyediakan versi yang lama (dan berbahaya)? Adakah sesuatu yang kami (atau admin kami) pahami dengan cara yang salah?

Sebagai distribusi perusahaan, Red Hat mengunci paket dalam distribusi ke versi tertentu, sehingga fitur yang ditawarkan diketahui dan konsisten dan tidak mengubah perilaku secara tak terduga selama masa instalasi.

Seperti yang Anda catat, ini berarti versi perangkat lunaknya bisa "lama."

Namun, mereka juga mendukung perbaikan keamanan bila tersedia, menerapkannya ke versi lama. Misalnya, sejumlah perbaikan keamanan telah dilakukan untuk subversi selama umur distribusi. Hal ini memungkinkan untuk menjaga sistem yang aman tanpa risiko kerusakan yang disebabkan oleh pengenalan fungsi baru (yang memang terjadi dari waktu ke waktu).

Anda dapat memperoleh informasi tentang perbaikan keamanan khusus di situs Red Hat dengan mencari nomor CVE.

Atau, untuk melihat riwayat perubahan paket online, coba:

rpm -q --changelog subversion

Anda akan melihat entri terbaru terlebih dahulu, dimulai dengan:

* Wed Feb 12 2014 Joe Orton <[email protected]> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (atau benar-benar, RHEL dengan CentOS di sepanjang perjalanan) berkomitmen untuk mendukung versi yang mereka distribusikan sampai OS berakhir; mereka bertanggung jawab atas backporting perbaikan keamanan ke versi lama / tidak didukung.

Alasannya adalah stabilitas; mereka tidak meningkatkan versi utama perangkat lunak dalam versi OS utama agar tidak merusak kompatibilitas aplikasi pada pembaruan reguler. EL 6 sudah pasti sampai pada titik di mana beberapa paket itu cukup tua hanya karena usianya dan ketika versi paket itu terkunci; EL 7 hanya sekitar sudut.

SVN 1.6 mungkin tidak didukung lagi di hulu; tetapi Anda tidak membelinya dari hulu, jadi itu tidak benar-benar relevan. Saat Anda menginstal distro perusahaan, rute Anda ke perangkat lunak sebagian besar melalui distro. Bertahun-tahun orang meraih rilis minggu ini telah membuat orang berpikir bahwa itu scalable, aman, konsisten atau dapat diandalkan. Anda mungkin dapat menemukan paket alt untuk beberapa perangkat lunak, tetapi seperti BMW berusia 6 tahun dengan hanya Bluetooth 4.0 dan tidak ada penggantian mesin utama karena, Anda harus tahu itu bukan pertanda buruk.