As versões antigas de pacotes no CentOS significam que elas não possuem correções de segurança?

Pedimos ao nosso administrador para atualizar o SVN em nosso servidor CentOS 6.5. Ele fez isso e o resultado foi o SVN 1.6.11. No entanto, a versão atual do SVN é 1.8.9.

Eu sei que o repositório do CentOS yum nem sempre está atualizado. Mas, nesse caso, estou confuso: o SVN 1.6.x não é mais suportado oficialmente. Isso significa que ele não recebe nenhuma correção de segurança!

Como o repositório oficial do CentOS fornece uma versão tão antiga (e perigosa)? Existe algo que nós (ou nosso administrador) entendemos da maneira errada?

Como uma distribuição corporativa, o Red Hat bloqueia os pacotes na distribuição para uma versão específica, para que os recursos oferecidos sejam conhecidos e consistentes e não alterem o comportamento inesperadamente durante a vida útil da instalação.

Como você observou, isso significa que a versão do software pode ser "antiga".

No entanto, eles também suportam correções de segurança quando disponíveis, aplicando-as à versão antiga. Por exemplo, várias correções de segurança foram feitas para subversão durante a vida útil da distribuição. Isso permite manter um sistema seguro sem o risco de quebra causado pela introdução de novas funcionalidades (o que ocorre de tempos em tempos).

Você pode obter informações sobre correções de segurança específicas no site da Red Hat pesquisando o número CVE.

Ou, para ver online o histórico de alterações do pacote, tente:

rpm -q --changelog subversion

Você verá as entradas mais recentes primeiro, começando com:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

O CentOS (ou, na verdade, RHEL com o CentOS acompanhando o passeio) compromete-se a oferecer suporte à versão que eles estão distribuindo até o final do sistema operacional; eles são responsáveis ​​por transportar correções de segurança para a versão antiga / não suportada.

A razão para isso é estabilidade; eles não atualizam as principais versões de software em uma versão principal do sistema operacional para não prejudicar a compatibilidade de aplicativos em atualizações regulares. Definitivamente, o EL 6 está chegando ao ponto em que alguns desses pacotes são bastante antigos simplesmente devido à sua idade e quando essas versões foram bloqueadas; EL 7 está ao virar da esquina.

O SVN 1.6 não pode mais ser suportado a montante; mas você não comprou do upstream, então não é realmente relevante. No momento em que você instalou uma distribuição corporativa, sua rota para o software é amplamente através da distribuição. Anos de pessoas que aderiram ao lançamento desta semana levaram as pessoas a pensar que são escaláveis, seguras, consistentes ou confiáveis. Você pode encontrar um pacote alternativo para alguns softwares, mas, como um BMW de 6 anos com apenas Bluetooth 4.0 e sem grandes substituições de motores, você deve saber que não é um mau sinal.