Zum Beispiel bin ich auf Version 2026.4.2, die im Changelog als Behebung von 25 Sicherheitslücken im Vergleich zu 2026.4 ausgewiesen ist.
Da 2026.4.2 sehr aktuell ist, würde ich erwarten, dass sie Backports der meisten oder aller Sicherheitsupdates enthält, die in 2026.6 gefunden wurden, welches etwa zur gleichen Zeit veröffentlicht wurde.
Aber nein, wieder sehe ich 25 behobene Sicherheitslücken. Ich vermute eher, dass es dieselben sind.
Tatsächlich wird 2026.6 als Behebung von – ratet mal – 25 Sicherheitslücken im Vergleich zu 2026.4.2 ausgewiesen.
Könnte es sein, dass Point-Releases nicht korrekt gemeldet werden?
Ich gehe davon aus, dass 2026.4.2 etwa so sicher ist wie 2026.6.0, und falls dem so ist, sollte dies im Versionsvergleich ersichtlich sein.
Es hat Backports, und ich denke, das ist das Problem… wir schauen nur von 2026.4.2 → 2026.6 vorwärts und ziehen „das sind die Sicherheitsupdates in dieser Version“, ohne zurückzuschauen, um zu sehen, ob deine Version sie bereits erhalten hat.
Stimmt das @david? Die Lösung wäre, zu prüfen, ob die aktuelle Version die gleichen Patches hat wie die neue Version und die Übereinstimmungen auszuschließen?
Ja, das ist absolut richtig, es ist nur ein Artefakt der Art und Weise, wie die Release-Seite die Vergleiche durchführt. Wir backporten alle Sicherheitsupdates auf alle aktuell unterstützten Releases.
Ich schaue mal, ob wir eine Logik hinzufügen können, damit die Cross-Release-Vergleiche auf der Seite besser funktionieren
was derzeit 11 Sicherheitsupdates im Vergleich zu v2026.6.0-latest anzeigt. Stimmt das? Eine kurze Überprüfung von drei davon zeigt, dass sie alle bereits in 2026.6.0 gepatcht wurden.
Ja. 2026.6.0-latest kam vor 2026.6.0 heraus, und die meisten Commits mit der Bezeichnung 2026.6.0-latest sind anfällig für diese Sicherheitsprobleme.
Wenn also jemand 2026.6.0-latest verwendet, muss er auf 2026.7.0-latest aktualisieren. (oder auf 2026.6.0, aber das würde bedeuten, vom „latest“- auf den „release“-Kanal zu wechseln)
Hmm, okay, das sehe ich, danke. Ich hatte erwartet, dass die tatsächliche Bezeichnung für -latest auf der neuesten Version dieser Variante liegt.
Das eigentliche Problem, das ich zu lösen versuche, oder die Frage, die ich regelmäßig zu beantworten versuchen werde, ist, ob meine Installation von wichtigen Sicherheitsupdates profitiert, wenn ich auf eine bestimmte spätere Version aktualisiere. Ich hoffe also, eine Liste der Fixes zu erhalten, die in dieser späteren Version enthalten sind, im Vergleich zu meiner aktuellen Version, und dann mir diese durchzulesen, um zu sehen, ob sie relevant sind oder ob sie schwerwiegend aussehen. (Zum Beispiel betrifft alles, was mit Chat oder eingehender E-Mail zu tun hat, meine Installationen nicht.)
Macht das Sinn? Ich versuche, nur dann zu aktualisieren, wenn ich es für nötig halte, und ansonsten so wenig wie möglich.