Confuso riguardo alle correzioni di sicurezza riportate su releases.discourse.org

Ad esempio, sono sulla versione 2026.4.2, che viene riportata come correzione di 25 bug di sicurezza rispetto alla 2026.4.

Poiché la 2026.4.2 è molto recente, mi aspetterei che contenesse i backport della maggior parte o di tutti i fix di sicurezza presenti nella 2026.6, rilasciata più o meno nello stesso periodo.

Ma no, di nuovo vedo 25 bug di sicurezza corretti. Penso piuttosto che si tratti degli stessi.

Infatti, la 2026.6 viene riportata come correzione di – indovinate un po’ – 25 bug di sicurezza rispetto alla 2026.4.2.

È forse il caso che le versioni intermedie non vengano riportate accuratamente?

Mi aspetto che sia vero che essere sulla 2026.4.2 sia circa altrettanto sicuro che essere sulla 2026.6.0 e, se è così, vedere questo nella comparazione delle versioni.

In effetti contiene i backport, e penso che sia proprio questo il problema… stiamo solo guardando in avanti dalla 2026.4.2 alla 2026.6 ed estraendo “questi sono i fix di sicurezza in questa versione” senza controllare all’indietro per vedere se la tua versione li ha già ricevuti.

È corretto @david? La soluzione sarebbe verificare se la versione corrente ha le stesse patch della nuova versione ed escludere le corrispondenze?

Esatto, è solo un artefatto del modo in cui il sito di rilascio effettua i confronti. Noi backportiamo tutte le correzioni di sicurezza a tutte le versioni attualmente supportate.

Vedrò se possiamo aggiungere una logica per migliorare i confronti tra versioni diverse sul sito :eyes:

Questo risolverà il problema:

Grazie – posso confermare che non vengono più visualizzate correzioni di sicurezza dal 2026.4.2 al 2026.6, come previsto.

Una domanda correlata, però. Nella pagina delle release, la versione 2026.7 attualmente in corso offre due link:

Il secondo di questi ci porta a

che attualmente mostra 11 correzioni di sicurezza, rispetto a v2026.6.0-latest. È corretto? Un rapido controllo di tre di esse mostra che sono state tutte corrette in 2026.6.0

Sì. 2026.6.0-latest è uscito prima di 2026.6.0, e la maggior parte dei commit etichettati 2026.6.0-latest sono vulnerabili a queste problematiche di sicurezza.

Quindi, se le persone stanno eseguendo 2026.6.0-latest, devono aggiornare a 2026.7.0-latest. (oppure a 2026.6.0, ma questo significherebbe passare al canale ‘release’ invece di ‘latest’)

Mmh, ok, lo vedo, grazie. Mi aspettavo che l’etichetta effettiva per -latest si trovasse all’ultima versione di quella release.

Il problema reale che sto cercando di risolvere, o la domanda a cui proverò regolarmente a rispondere, è se la mia installazione beneficerà di importanti correzioni di sicurezza se aggiorno a una particolare versione successiva. Quindi spero di ottenere un elenco di correzioni presenti in quella versione successiva, rispetto alla mia versione attuale, e poi approfondire la questione per vedere se si applicano o se sembrano gravi. (Per esempio, qualsiasi cosa riguardante la chat o le email in arrivo non si applica alle mie installazioni.)

Ha senso? Sto cercando di aggiornare quando credo sia necessario, e altrimenti il meno possibile.