Проект Rocky Linux, известный своей приверженностью к полной совместимости с Red Hat Enterprise Linux, объявил о важном изменении своей политики. Разработчики представили Security Repository — новый опциональный репозиторий, предназначенный для экстренной доставки критических патчей безопасности в обход стандартного цикла разработки. Как подчеркнул в официальном заявлении представитель проекта Эрик Хендрикс (Eric Hendricks), решение не было случайным: основополагающий принцип совместимости остаётся незыблемым, однако волна опасных эксплоитов сделала ожидание исправлений неприемлемым.
Катализаторами запуска послужили недавние резонансные уязвимости CopyFail и Dirty Frag, допускавшие локальное повышение привилегий. Описание запуска для них появилось в открытом доступе до публикации официальных исправлений в RHEL, поставив администраторов в уязвимое положение, когда осознание риска не подкреплялось инструментами для его устранения. Новый механизм призван ликвидировать этот временной разрыв, действуя как чрезвычайный мост, а не как постоянный форк ядра или замена стандартному процессу выпуска обновлений. Репозиторий активируется вручную командой sudo dnf --enablerepo=security update и по умолчанию отключен.
Пакеты из Security Repository намеренно получают такие версии, чтобы следующий релиз от Red Hat автоматически заместил экстренную заплатку. Такой подход гарантирует, что после нормализации цикла обновлений инфраструктура пользователей возвращается на стопроцентно эталонные пакеты.
Первым боевым крещением репозитория стало закрытие комбинации уязвимостей Dirty Frag, затрагивавших подсистемы ESP и RxRPC. После того как Red Hat интегрировал исправление для ESP в свои основные сборки, инженеры Rocky сохранили собственный патч для RxRPC, однако позже приняли решение отказаться от его дальнейшей поддержки. Причина проста: пакет kernel-modules-partner, в котором скрывалась проблема, не поставляется в основных сборках RHEL и присутствует лишь в девелоперском репозитории Rocky без гарантий поддержки.
