CentOS 6.6システムがあります。コマンドラインに入力すると、openssl version
システムからOpenSSL 1.0.1e-fips 11 Feb 2013
。私はこれを入力しながら、yum update openssl
次のようにyum
言いますNo Packages marked for Update
。
この情報により、私のシステムのOpenSSLが最新であると仮定します。しかし、検索するときhttps://openssl.org/、もう少し実用的なバージョンがあるようです。
したがって、質問は:私のシステムに古いバージョンのOpenSSLと最新バージョンがあるのはなぜですか?
答え1
Cent OSはRed Hat Enterprise Linuxに基づいており、企業の顧客向けに構築されたディストリビューションの主な目的は、強力で信頼性の高い信頼性の高いオペレーティングシステムとシステムソフトウェアを提供することです。
メジャーリリースには通常、現在のソフトウェアの最新バージョンが含まれています。以降のマイナーリリースには、ソフトウェアのマイナーアップデートを含むパッケージが含まれます。
ただし、主な改訂を含むソフトウェアアップデートは提供されません。つまり、アップデートパッケージには互換性の問題を引き起こさないマイナーな改善のみが含まれています。
あなたの場合:
- 6がメジャーバージョンです。
- 6.6はマイナーバージョンです。
Red HatはEnterprise Linuxバージョン6をリリースしたときにOpenSSL用のバージョン1.0.0を選択しましたが、RHEL 6.6の部分更新中にバージョン1.0.1eにアップグレードしました。 このページRHEL 6のマイナーバージョン用のRed Hat OpenSSLパッケージの更新に関する詳細情報。
最新バージョンのアップストリームソフトウェアには、拡張機能にバグ修正が含まれていますが、Red Hatはバックポート顧客が他のパッケージとの信頼性と互換性を維持しながら、最新のアップストリームセキュリティ修正の利点を享受できるように、パッケージのバグを修正してパッチを適用します。
バックポーティングは顧客に多くの利点を提供しますが、理解していないと混乱を招く可能性があります。顧客は、単にパッケージのバージョン番号だけを見るだけでは、そのパッケージが脆弱かどうかを知ることができないことを認識する必要があります。たとえば、メディアレポートには、アップストリームのバージョン番号のみを考慮する「トラブルシューティングのためにApache httpd 2.0.43にアップグレードする」などのフレーズを含めることができます。これは、ベンダーから更新されたパッケージをインストールした後でも、顧客が最新のアップストリームバージョンを保持する可能性が低いため、混乱を招く可能性があります。代わりに、バックポートされたパッチが適用された以前のアップストリームバージョンがあります。
さらに、一部のセキュリティ検索および監査ツールは、検出されたコンポーネントのバージョン番号のみに基づいて脆弱性に関する決定を下します。これらのツールはバックポートされたセキュリティ修正を考慮していないため、誤った肯定が発生する可能性があります。
また、見ることができますメジャーバージョン、マイナーバージョン、非同期バージョンの違いは何ですか?。
答え2
最新バージョンではありませんが、RHEL/CentOSはバックポート最新バージョンのOpenSSLソースを現在CentOS 6システムで使用されているバージョンに変更します。
CentOSが最新バージョンを使用していない理由について。これは、次のようなさまざまな理由で発生する可能性があります。
- 依存関係
- 安定化
- 互換性