software-collections - SCL Centos nodejs10 - 仍然“安全/最新”

问题描述

我需要在 CentOS 7 机器上安装 nodejs10 - 所以我尝试使用 SCL 来实现这个目标：

#yum install centos-release-scl-rh
#yum install rh-nodejs10
#scl enable rh-nodejs10 bash

#node -v
v10.10.0

所以这个版本不是最新的，但如果应用了所有必要的补丁，这应该没问题。

根据Red Hat Software Collections 产品生命周期，支持从 2018 年 11 月到 2021 年 4 月，所以我希望一切都很好。

所以我试图找出应用了哪个版本/哪些补丁。因为 rh-nodejs10 是一个 meta-rpm (?) 我查询了 rpm-db 以获取有关已安装包/依赖项的信息并显示了这些信息。

# rpm -qiRl rh-nodejs10
Name        : rh-nodejs10
Version     : 3.2
Release     : 2.el7
Architecture: x86_64
Install Date: Sa 04 Mai 2019 12:43:55 CEST
Group       : Unspecified
Size        : 0
..
Source RPM  : rh-nodejs10-3.2-2.el7.src.rpm
Build Date  : Di 30 Okt 2018 14:17:17 CET
Packager    : CBS <cbs@centos.org>
Vendor      : CentOS
Summary     : rh-nodejs10 Software Collection
Description :
This is the main package for rh-nodejs10 Software Collection.
rh-nodejs10-runtime
rh-nodejs10-nodejs
rh-nodejs10-npm

所以主包是在 2018 年 10 月构建的。rh-nodejs10-nodejs 是在 2018 年 11 月构建的，基于源包 rh-nodejs10-nodejs-10.10.0-2.el7.src.rpm。

我的问题是：自 11 月以来此软件包是否有任何更新？

当我搜索 CVE 时，我在NodeJS主页上发现了一些内容，上面说 NodeJS10 易受 CVE-2019-5737 攻击。文字说：

“此漏洞是 CVE-2018-12121 的扩展，已于 2018 年 11 月解决。40 秒超时及其通过 server.headersTimeout 进行的调整适用于此修复程序，如 CVE-2018-12121 中一样。”

作为非母语人士，我猜一个已经针对 CVE-2018-12121 打过补丁的系统是无懈可击的？

如果是这样：在 SCL 版本中是否应用了所需的补丁？

rpm -q --changelog rh-nodejs10-nodejs | less
* Mi Okt 31 2018 Zuzana Svetlikova <zsvetlik@redhat.com> - 10.10.0-2
- Resolves: RHBZ#1584252
- comment out native.req file to prevent conflict with other Node.js
- installations (rhbz#1637922)

* Fr Sep 14 2018 Zuzana Svetlikova <zsvetlik@redhat.com> - 10.10.0-1
- rebase to v10.10.0
- update patches for openssl
- TODO: remove useless comments, fix failing tests, update bundled provides

最后一个条目是从 2018 年 10 月 / 2018 年。所以我猜没有修补？

问候马库斯

标签： software-collections