我需要在CentOS 7机器上安装nodejs10-因此我尝试使用SCL来实现此目标:
#yum install centos-release-scl-rh
#yum install rh-nodejs10
#scl enable rh-nodejs10 bash
#node -v
v10.10.0
因此该版本不是最新版本,但是如果应用了所有必要的补丁程序,则应该可以。
基于Red Hat Software Collections Product Life Cycle,支持期为2018年11月至2021年4月,所以我希望一切都很好。
因此,我试图找出适用的版本/补丁。因为rh-nodejs10是meta-rpm(?),所以我查询了rpm-db以获取有关已安装软件包/依赖项的信息,并显示了相关信息。
# rpm -qiRl rh-nodejs10
Name : rh-nodejs10
Version : 3.2
Release : 2.el7
Architecture: x86_64
Install Date: Sa 04 Mai 2019 12:43:55 CEST
Group : Unspecified
Size : 0
..
Source RPM : rh-nodejs10-3.2-2.el7.src.rpm
Build Date : Di 30 Okt 2018 14:17:17 CET
Packager : CBS <cbs@centos.org>
Vendor : CentOS
Summary : rh-nodejs10 Software Collection
Description :
This is the main package for rh-nodejs10 Software Collection.
rh-nodejs10-runtime
rh-nodejs10-nodejs
rh-nodejs10-npm
因此,主软件包构建于2018年10月底。rh-nodejs10-nodejs构建于2018年11月,并基于源软件包rh-nodejs10-nodejs-10.10.0-2.el7.src.rpm
我的问题是:自11月以来,此软件包是否有任何更新?
当我搜索CVE时,我在NodeJS homepage上发现了一些内容,表明NodeJS10容易受到CVE-2019-5737的攻击。 文字说:
“此漏洞是CVE-2018-12121的扩展,已于2018年11月解决。40秒超时及其由server.headersTimeout进行的调整适用于CVE-2018-12121中的此修复程序。”
作为非母语人士,我想针对CVE-2018-12121进行了修补的系统不容易受到攻击?
如果是这样:所需的补丁程序是否已在SCL版本中应用?
rpm -q --changelog rh-nodejs10-nodejs | less
* Mi Okt 31 2018 Zuzana Svetlikova <zsvetlik@redhat.com> - 10.10.0-2
- Resolves: RHBZ#1584252
- comment out native.req file to prevent conflict with other Node.js
- installations (rhbz#1637922)
* Fr Sep 14 2018 Zuzana Svetlikova <zsvetlik@redhat.com> - 10.10.0-1
- rebase to v10.10.0
- update patches for openssl
- TODO: remove useless comments, fix failing tests, update bundled provides
最后一次输入是从2018年10月开始。所以我想没有打补丁吗?
问候 马库斯