什么是向后移植 (backporting),它对 Red Hat Enterprise Linux (RHEL) 的影响是什么?
Environment
- Red Hat Enterprise Linux 9
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 7
Issue
- 什么是向后移植 (backporting),它对 Red Hat Enterprise Linux (RHEL) 的影响是什么?
- 对于一个 CVE,推荐的 RHEL 软件包版本与上游软件包版本不匹配。
- 为什么 RHEL 软件包版本低于上游版本?
Resolution
对安全修复向后移植
-
红帽使用一个术语“后向移植(backporting)”,它代表从最新版本的上游软件包中获取安全漏洞修复,并将其应用到由红帽提供的较旧的软件包版本中。
-
对于那些更加熟悉专有软件更新概念的用户,向后移植可能会是一个新的概念。以下是红帽向后移植安全修复的示例:
-
Red Hat Linux 8.0 提供了 2.0.40 版本的 Apache HTTP Server。在相关版本发布之后,Apache Software Foundation 发现并披露了其中的几个安全问题。针对这些问题,Apache Software Foundation 发布了一个新版本 Apache HTTP Server 2.0.43,其中包含对这些问题的修复;与 2.0.40 相比,除了安全修复外, 2.0.43 还包括了一些其他的变化(程序错误修复、新功能等)。
-
其中的一个新功能会改变模块接口。如果红帽发布了带有 Apache HTTP Server 的 2.0.43 版本的安全更新来替换版本 2.0.40,则任何使用受影响模块的组件都需要进行相应的更新以匹配新的接口。如果这涉及到第三方的模块,则还需要和相关的厂商进行联系来进行更新。将 Apache HTTP Server 从版本 2.0.40 升级到 2.0.43 需要系统管理员手动进行一些操作。此类更新过程不适用于自动升级系统环境,如 Red Hat Network。
-
-
在这种情况下,红帽会选择进行向后移植更新。当红帽向后移植安全修复时,红帽会:
- 找出相关的修复,并将其与任何其他更改隔离开。
- 确保修复不会产生不必要的副作用。
- 将修复应用到之前发布的版本中。
-
对于大多数产品,默认做法是向后移植安全修复。但是,红帽有时也会在经过仔细测试和分析后,为一些软件包提供版本更新。这些通常是不需要和其他组件进行交互的软件包,或者是最终用户使用的软件包,如 Web 浏览器和即时消息客户端程序等。
常见的易于造成混淆的信息
-
向后移植有很多优点,但在没有很好理解这个概念时可能会造成一些混淆。 例如,当媒体报告相关的安全事件时通常会声明类似"升级到 Apache httpd 2.0.43 以修复问题"等内容,这通常只考虑到上游的版本号。当用户安装了一个厂商提供的更新软件包后,可能这个软件包并不是媒体提到的最新的上游版本,而是一个旧的上游版本,但已在其中应用了向后移植的补丁程序。这可能会导致用户的混淆,认为相关的问题可能还没有被解决。
-
另外,一些安全扫描和审计工具只根据其发现的组件版本号决定是否存在漏洞。这就会导致误报的情况,因为这些工具并没有考虑向后移植的安全修复。
-
自 Red Hat Enterprise Linux 推出以来,红帽会在安全公告中明确说明相关问题是如何被解决的:通过更新到新的上游版本,或将补丁向后移植到现有版本。自 2000 年 1 月以来,红帽将相关的 CVE 名称附加到所有公告中,以方便对安全漏洞进行交叉检查,并方便获得红帽在何时以及如何解决相关的安全漏洞的信息(独立于版本号)。
-
红帽还会提供 OVAL 定义 (机器可读的公告版本),第三方漏洞检测工具可以使用 OVAL 来确定漏洞的正确状态,包括使安全修复已被向后移植的情况。
-
如需最新信息,请参阅:向后移植安全修复
-
在上游项目发布了更新的软件包版本后,Red Hat Enterprise Linux 系统上的软件包会在什么时候更新至这个版本?
Root Cause
Diagnostic Steps
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments