On 2012-04-23 19:36, Heike Herzog-Kuhnke wrote:
Tja, dass heißt dann letztendlich in den sauren Apfel beißen, sobald
eine Security-Info ankommt. Bei den Extensions mache ich das sowieso.
Das ist eben eine Frage der Risiko-Abschaetzung. Nicht jeder Bug
muss sofort ge'fixed werden, da er unter Umstaenden deine Redakteure
gar nicht betrifft oder man kann ihn umgehen. Auch bei Security
Updates kann eine Abschaetzung erfolgen - abhaengig von der
jeweiligen TYPO3 Instanz, Konfiguration usw.
Es macht auf jeden Fall Sinn, sich das bulletin genau durchzulesen
und dann zu entscheiden, ob die eigene(n) Instanze(n) ueberhaupt
betroffen sind, die Schwachstelle ausgenutzt werden kann, usw.
Ein paar weitere Infos zum Thema findet man auch in der
Pflicht-Lektuere
"TYPO3 Security Guide" ;-)
http://typo3.org/extension-manuals/doc_guide_security/current
Schade nur, dass man solche Scurity-Patches nicht einfach über den
Extension-Manager oder etwas ähnliches laden kann. Das würde den
typo3-Nutzern, die nur die Sicherheitslücke schließen wollen ein paar
feuchte Pfötchen ersparen, die so ein Upgrade, zumindest für die noch
nicht ganz so fest im Sattel sitzenden typo3 User mit sich bringt.
Nun, eine strikte Trennung zwischen "Core" und "Extensions" steht
wohl ausser Frage - allerdings gibt es bereits mehrere Diskussionen,
ob Sicherheitsupdates mit "normalen" Bugfixes vermischt werden sollten,
siehe:
http://lists.typo3.org/pipermail/typo3-german/2012-April/084570.html
http://lists.typo3.org/pipermail/typo3-team-core/2011-December/051034.html
Cheers
Michael
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
