我们要求我们的pipe理员在我们的CentOS 6.5服务器上更新SVN。 他这样做,结果是SVN 1.6.11。 不过目前版本的SVN是1.8.9。
我知道CentOS yum版本库并不总是最新的。 但在这种情况下,我很困惑:SVN 1.6.x不再官方支持。 这意味着它没有得到任何安全修复!
官方的CentOS仓库如何提供这样一个旧的(和危险的)版本? 我们(或我们的pipe理员)是否有理解错误的方式?
作为企业级发行版,Red Hat将发行版中的软件包locking为特定版本,以便提供的function是已知的且一致的,并且在安装的整个生命周期中不会意外地改变行为。
正如你所说,这意味着软件的版本可以是“旧的”。
但是, 它们也会在可用时回溯安全修复程序 ,并将其应用于旧版本。 例如,在分发的整个生命周期中,已经有多个安全修复程序被颠覆。 这允许保持安全的系统,而不会由于引入新的function(这会不时发生)而导致破坏的风险。
您可以通过searchCVE号码来获取有关Red Hat站点上特定安全修复程序的信息。
或者,要在线查看包裹的更改历史logging,请尝试:
rpm -q --changelog subversion 您将首先看到最近的条目,从以下位置开始:
* Wed Feb 12 2014 Joe Orton <[email protected]> - 1.6.11-10 - add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032
CentOS(或真的,CentOS随RHEL一起)承诺支持他们分发的版本,直到操作系统终结; 他们负责将安全修复移植到旧的/不受支持的版本。
原因是稳定; 他们不会升级主要操作系统版本中的主要版本的软件,以免在定期更新时破坏应用程序兼容性。 EL 6肯定是因为年龄的原因,这些软件包的版本已经被locking了, EL 7即将到来。
SVN 1.6可能不再受上游支持; 但是你没有从上游购买它,所以这不是真的有关。 您安装企业发行版的那一刻,您的软件路线主要是通过发行版。 多年来抓住本周发布的人们已经使人们认为这是可扩展的,安全的,一致的或可靠的。 您可能能够find一些软件的替代软件包,但是就像一个6岁的宝马,只有蓝牙4.0,并且没有主要的引擎replace,您应该知道这不是一个坏的迹象。