Les anciennes versions de packages dans CentOS signifient-elles qu'elles n'ont pas de correctifs de sécurité?

Nous avons demandé à notre administrateur de mettre à jour SVN sur notre serveur CentOS 6.5. Il l'a fait et le résultat a été SVN 1.6.11. Cependant, la version actuelle de SVN est la 1.8.9.

Je sais que le référentiel CentOS yum n'est pas toujours à jour. Mais dans ce cas, je suis confus: SVN 1.6.x n'est plus officiellement pris en charge. Cela signifie qu'il ne reçoit aucun correctif de sécurité!

Comment le référentiel officiel CentOS peut-il fournir une version aussi ancienne (et dangereuse)? Y a-t-il quelque chose que nous (ou notre administrateur) avons mal compris?

En tant que distribution d'entreprise, Red Hat verrouille les packages de la distribution dans une version spécifique, afin que les fonctionnalités proposées soient connues et cohérentes et ne changent pas de comportement de manière inattendue pendant la durée de vie de l'installation.

Comme vous l'avez noté, cela signifie que la version du logiciel peut être "ancienne".

Cependant, ils rétroportent également les correctifs de sécurité lorsqu'ils sont disponibles, en les appliquant à l'ancienne version. Par exemple, un certain nombre de correctifs de sécurité ont été apportés pour la subversion pendant la durée de vie de la distribution. Cela permet de maintenir un système sécurisé sans risque de casse causé par l'introduction de nouvelles fonctionnalités (ce qui arrive de temps en temps).

Vous pouvez obtenir des informations sur des correctifs de sécurité spécifiques sur le site de Red Hat en recherchant le numéro CVE.

Ou, pour voir l'historique des modifications du package en ligne, essayez:

rpm -q --changelog subversion

Vous verrez d'abord les entrées les plus récentes, en commençant par:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (ou vraiment RHEL avec CentOS pour le trajet) s'engage à prendre en charge la version qu'ils distribuent jusqu'à la fin du système d'exploitation; ils sont responsables du rétroportage des correctifs de sécurité vers l'ancienne version / non prise en charge.

La raison en est la stabilité; ils ne mettent pas à niveau les versions majeures du logiciel dans une version majeure du système d'exploitation afin de ne pas casser la compatibilité des applications lors des mises à jour régulières. EL 6 arrive définitivement au point où certains de ces packages sont assez anciens simplement en raison de son âge et du moment où ces versions de packages ont été verrouillées; EL 7 est juste au coin de la rue.

SVN 1.6 peut ne plus être pris en charge en amont; mais vous ne l'avez pas acheté en amont, donc ce n'est pas vraiment pertinent. Au moment où vous avez installé une distribution d'entreprise, votre chemin vers le logiciel passe en grande partie par la distribution. Des années de personnes saisissant la sortie de cette semaine ont incité les gens à penser que c'est évolutif, sûr, cohérent ou fiable. Vous pouvez peut-être trouver un alt-package pour certains logiciels, mais comme une BMW de 6 ans avec uniquement Bluetooth 4.0 et aucun remplacement majeur du moteur depuis, vous devez savoir que ce n'est pas un mauvais signe.