CentOS中的旧软件包版本是否意味着它们没有安全修复程序？

我们要求管理员在CentOS 6.5服务器上更新SVN。他这样做了，结果是SVN 1.6.11。但是，SVN的当前版本是1.8.9。

我知道CentOS yum储存库并不总是最新的。但在那种情况下，我感到困惑：不再正式支持SVN1.6.x。这意味着它没有任何安全修复程序！

官方的CentOS储存库如何提供这么旧的（危险的）版本？有什么我们（或我们的管理员）理解错误的方式吗？

作为企业发行版，Red Hat将发行版中的软件包锁定为特定版本，以便所提供的功能是已知且一致的，并且在安装期间不会意外更改行为。

如您所述，这意味着软件的版本可以是“旧的”。

但是，它们还会向后移植安全修复程序（如果可用），并将其应用于旧版本。例如，已针对发行版的整个生命周期进行了许多安全修复。这样可以保持安全的系统，而不会因引入新功能（有时会发生）而造成损坏的风险。

您可以通过搜索CVE编号在Red Hat的站点上获取有关特定安全修复程序的信息。

或者，要在线查看软件包的更改历史记录，请尝试：

rpm -q --changelog subversion

您将首先看到最新的条目，从：

* Wed Feb 12 2014 Joe Orton <jorton@redhat.com> - 1.6.11-10
- add security fixes for CVE-2013-1968, CVE-2013-2112, CVE-2014-0032

CentOS（或者实际上是带有CentOS的RHEL）致力于支持他们分发的版本，直到OS寿终正寝。他们负责将安全修复程序反向移植到旧的/不受支持的版本。

原因是稳定性。他们不会在主要OS版本内升级软件的主要版本，以免破坏常规更新的应用程序兼容性。EL 6肯定会达到这样的程度：仅由于其使用年限以及这些软件包的版本已被锁定，这些软件包中的一些已经相当陈旧。EL 7指日可待。

SVN 1.6可能不再受上游支持；但是您不是从上游购买它的，所以它并不重要。在安装企业发行版之后，您到软件的途径主要是通过发行版。数年来人们抢着本周的发行版，使人们不禁思索可扩展性，安全性，一致性或可靠性。您也许可以找到某些软件的替代软件包，但就像6年历史的BMW仅具有Bluetooth 4.0一样，并且没有主要的引擎替代品，因此，您应该知道这不是一个不好的信号。