
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 17, 2021 at 8:09 PM Naoto Kobayashi <<a href="mailto:naoto.kobayashi4c@gmail.com">naoto.kobayashi4c@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

  
  <div>

    <p>Dear community,<br>

      <br>

      I would like to ask a following question:<br>

      <br>

      - How are CVEs handled in CentOS Stream? The answer in faq<br>

        page (<a href="https://centos.org/distro-faq" target="_blank">https://centos.org/distro-faq</a>)

      states that security<br>

        issues will be updated in CentOS Stream after they are solved<br>

        in the current RHEL release. However, CentOS Steam 8 solved<br>

        CVE-2020-15437 (kernel) while RHEL 8 has not (as of February

      17,2021).<br>

        Does the order of security updates between RHEL and CentOS

      Stream<br>

        depend on the situation?<br>

      <br></p></div></blockquote><div>There's a bit of nuance to this question in that policy states that CVEs should be fixed in RHEL before CentOS Stream.  However, there are a couple of practical problems this introduces that we work around by shipping in CentOS Stream first.  For example, we may do a rebase that contains a CVE fix.  Everyone universally agrees we don't want Red Hat engineering CVE vulnerabilities back into CentOS Stream that may have been fixed by a rebase.  In this scenario, a CVE fix may go out in Stream before a RHEL release.</div><div><br></div><div>There are also some scenarios around lower and moderate CVEs where we run into practical issues maintaining a "RHEL" patchset and a "CentOS Stream" patchset.  In that scenario a CVE might get fixed in CentOS Stream first.</div><div><br></div><div>        -Mike</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><p>

      Best regards,<br>

      ---<br>

      Naoto Kobayashi</p>

  </div>


_______________________________________________<br>

CentOS-devel mailing list<br>

<a href="mailto:CentOS-devel@centos.org" target="_blank">CentOS-devel@centos.org</a><br>

<a href="https://lists.centos.org/mailman/listinfo/centos-devel" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-devel</a><br>

</blockquote></div></div>