我们要求管理员更新 CentOS 6.5 服务器上的 SVN。他这样做了,结果是 SVN 1.6.11。然而,SVN 的当前版本是 1.8.9。
我知道 CentOS yum 储存库并不总是最新的。但在那种情况下,我感到困惑:不再正式支持 SVN 1.6.x。这意味着它没有得到任何安全修复!
CentOS 官方仓库怎么能提供这么旧(而且危险)的版本?我们(或我们的管理员)是否理解错误?
Mic*_*ton 10
作为企业发行版,红帽将发行版中的软件包锁定为特定版本,因此提供的功能是已知且一致的,并且不会在安装的生命周期内意外更改行为。
正如您所指出的,这意味着软件版本可能是“旧的”。
但是,他们也会在可用时向后移植安全修复程序,将它们应用到旧版本。例如,在发行版的整个生命周期中,已经针对 subversion 进行了许多安全修复。这允许保持一个安全的系统,而不会因引入新功能(这种情况不时发生)而导致损坏的风险。
您可以通过搜索 CVE 编号在 Red Hat 站点上获取有关特定安全修复程序的信息。
或者,要在线查看包的更改历史记录,请尝试:
rpm -q --changelog subversion
您将首先看到最新的条目,从以下内容开始:
* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032