Re: Paketupdateverfahren bei Sicherheitslücke in Drupal 6
On Mon, May 04, 2009 at 11:33:08PM +0200, Christoph Fischer wrote:
> habe eine Frage zu Sicherheitsupdates in Debian:
> Ich habe eine Sicherheitslücke im Paket Drupal 6 gemeldet
> http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=526378 ,
> die nun vom Maintainer geschlossen wurde. Er schreibt, dass der Bug im
> neuen Paket welches im Debian FTP Archiv liegt geschlossen ist:
Oh, danke... ich hatte heute selber vor, einen Bugreport deswegen zu
schreiben. Der Maintainer ist zwar dann sehr fix, aber eigentlich waere es
sinnvoller, wenn er selber die Drupal Security ML lesen wuerde... ;)
> Das sehe ich auch so, aber wieso gibt es aktuell kein Update in Lenny?
> Wird das Update nicht "backported", sondern gibt es demnächst ein
> komplett neues Paket, sprich ersetzt das Paket im Pool das alte "lenny
> (stable) 6.6-3" irgendwann oder erst in Squeeze?
> Irgendwie scheine ich den Vorgang der Sicherheitsaktualisierungen doch
> noch nicht ganz verstanden zu haben ;-)
Um es mal einfach zu sagen: Der "Schweregrad" der Sicherheitsluecke scheint
wohl kein Security Update in Debian zu rechtfertigen. Deswegen wird es nicht
bei Lenny gefixt.
Und selbst wenn, dann wuerde es dort weiterhin ein Drupal 6.6-2 oder -3
geben. Keine Ahnung, was in Lenny fuer eine Version aktuell ist. Neue
Programmversionen kommen nicht in ein Stable-Release nachtraeglich rein. Nur
entsprechende Fixes fuer ernsthafte Probleme.
--
Ciao... // Fon: 0381-2744150
Ingo \X/ http://blog.windfluechter.net
gpg pubkey: http://www.juergensmann.de/ij_public_key.asc
Reply to: