¿Las versiones antiguas de paquetes en CentOS significan que no tienen correcciones de seguridad?

Le pedimos a nuestro administrador que actualice SVN en nuestro servidor CentOS 6.5. Lo hizo y el resultado fue SVN 1.6.11. Sin embargo, la versión actual de SVN es 1.8.9.

Sé que el repositorio de CentOS yum no siempre está actualizado. Pero en ese caso estoy confundido: SVN 1.6.x ya no es oficialmente compatible. ¡Esto significa que no obtiene correcciones de seguridad!

¿Cómo puede el repositorio oficial de CentOS proporcionar una versión tan antigua (y peligrosa)? ¿Hay algo que nosotros (o nuestro administrador) entendimos de manera incorrecta?

Como distribución empresarial, Red Hat bloquea los paquetes en la distribución a una versión específica, para que las características ofrecidas sean conocidas y consistentes y no cambien el comportamiento inesperadamente durante la vida útil de la instalación.

Como notó, esto significa que la versión del software puede ser "antigua".

Sin embargo, también respaldan las correcciones de seguridad cuando están disponibles, aplicándolas a la versión anterior. Por ejemplo, se han realizado varias correcciones de seguridad para la subversión durante la vida útil de la distribución. Esto permite mantener un sistema seguro sin el riesgo de rotura causada por la introducción de una nueva funcionalidad (que sucede de vez en cuando).

Puede obtener información sobre soluciones de seguridad específicas en el sitio de Red Hat buscando el número CVE.

O, para ver el historial de cambios del paquete en línea, intente:

rpm -q --changelog subversion

Verá primero las entradas más recientes, comenzando con:

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS (o realmente, RHEL con CentOS a lo largo del viaje) se compromete a admitir la versión que están distribuyendo hasta que el sistema operativo termine; son responsables de respaldar las correcciones de seguridad a la versión anterior / no compatible.

La razón de esto es la estabilidad; no actualizan las versiones principales del software dentro de una versión principal del sistema operativo para no romper la compatibilidad de la aplicación en las actualizaciones regulares. EL 6 definitivamente está llegando al punto en que algunos de esos paquetes son bastante antiguos simplemente debido a su antigüedad y cuando esas versiones de paquetes estaban bloqueadas; EL 7 está a la vuelta de la esquina.

Es posible que SVN 1.6 ya no sea compatible en sentido ascendente; pero no lo compraste en sentido ascendente, por lo que no es realmente relevante. En el momento en que instaló una distribución empresarial, su ruta al software es en gran medida a través de la distribución. Años de personas aprovechando el lanzamiento de esta semana han llevado a la gente a pensar que es escalable, segura, consistente o confiable. Es posible que pueda encontrar un paquete alternativo para algún software, pero como un BMW de 6 años con solo Bluetooth 4.0 y sin reemplazos importantes del motor desde entonces, debe saber que no es una mala señal.