Ich hoste Discourse selbst. Allerdings möchte ich keine instabilen Releases bereitstellen (Betaversionen oder noch schlimmer: Versionen, die nur aus Tests bestehen). Es scheint jedoch, dass Discourse Sicherheitskorrekturen nur in diesen instabilen Releases enthält. Serveradministratoren, die es vorziehen, ausschließlich stabile Versionen einzusetzen, verpassen dadurch potenziell kritische Sicherheitsupdates.
Ein aktuelles Beispiel dafür ist 2.7.0 beta5, das eine Sicherheitskorrektur enthält. Das letzte stabile Release war vor 29 Tagen erschienen (v2.6.3), doch die Version mit der Sicherheitskorrektur wurde erst vor 23 Tagen als v2.7.0.beta5 veröffentlicht. Deshalb erhalte ich auf meinem Dashboard folgende Warnung:
Um dieses Sicherheitsupdate zu erhalten, muss ich zwangsläufig auf eine Betaversion updaten.
Discourse ist eine großartige Software, und ich verstehe, dass CDCD instabile Zweige (tests-passing) bei ihren Kunden bereitstellt. Dennoch starte ich diesen Thread aus Sorge, dass einige Systemadministratoren kritische Updates verpassen könnten.
Daher bitte ich das Discourse-Team, mittlere und hohe Sicherheitsupdates zurückportieren zu lassen und so schnell wie möglich eine stabile Version mit diesen Sicherheitskorrekturen zu veröffentlichen.
Stabile Builds erhalten bei Bedarf Sicherheitsupdates. Nicht jede in den Beta-Release-Notizen erwähnte Sicherheitslücke muss jedoch zurückportiert werden. Manche sind trivial oder geringfügig und lohnen den Aufwand bzw. das Risiko einer Rückportierung nicht. Andere sind von mittlerer oder kritischer Bedeutung, ergeben sich jedoch aus Änderungen in einer früheren Beta-Version, sodass die Sicherheitslücke in der stabilen Version gar nicht existiert.
Im aktuellen Beispiel aus 2.7.0.beta5 konnte die Schwachstelle nur unter bestimmten Umständen ausgenutzt werden, und zwar auf Seiten, die von den standardmäßig sicheren Einstellungen abgewichen waren. Daher wurde entschieden, sie nicht zurückzuporten, da dies das Risiko unvorhergesehener Fehler oder Änderungen mit sich bringt, die wir im stabilen Zweig zu vermeiden versuchen.
