Confus par les correctifs de sécurité tels que rapportés sur releases.discourse.org

Par exemple, je suis sur la version 2026.4.2, qui est annoncée comme corrigeant 25 vulnérabilités de sécurité par rapport à la version 2026.4.

Étant donné que la version 2026.4.2 est très récente, je m’attendrais à ce qu’elle intègre les rétroportages de la plupart, sinon de toutes, les corrections de sécurité présentes dans la version 2026.6, publiée à peu près au même moment.

Mais non, là encore, je vois 25 vulnérabilités de sécurité corrigées. Je soupçonne fortement qu’il s’agit des mêmes.

En effet, la version 2026.6 est annoncée comme corrigeant — devinez quoi — 25 vulnérabilités de sécurité par rapport à la version 2026.4.2.

Est-il possible que les versions mineures ne soient pas rapportées avec précision ?

Je m’attends à ce qu’il soit vrai que la version 2026.4.2 soit aussi sûre que la version 2026.6.0, et si c’est le cas, à ce que cela soit visible dans la comparaison des versions.

Elle intègre bien des rétroportages, et je pense que c’est là le problème… Nous ne regardons que dans le sens 2026.4.2 → 2026.6 et nous récupérons « voici les correctifs de sécurité de cette version » sans vérifier en arrière pour voir si votre version les a déjà reçus.

C’est bien ça, @david ? La solution consisterait à vérifier si la version actuelle possède les mêmes correctifs que la nouvelle version et à exclure les correspondances ?

Oui, c’est exactement ça, c’est juste un artefact de la façon dont le site de publication effectue les comparaisons. Nous rétroportons toutes les corrections de sécurité sur toutes les versions actuellement supportées.

Je vais voir si nous pouvons ajouter une logique pour améliorer les comparaisons entre versions sur le site :eyes:

Cela le résoudra :

Merci — je peux confirmer qu’aucune correction de sécurité n’est affichée pour la période allant de 2026.4.2 à 2026.6, ce qui est conforme aux attentes.

Une question connexe, cependant. Sur la page des versions, la version 2026.7, actuellement en cours de développement, propose deux liens :

Le second de ces liens nous mène à

qui affiche actuellement 11 corrections de sécurité par rapport à v2026.6.0-latest. Est-ce correct ? Une vérification rapide de trois d’entre elles montre qu’elles ont toutes été corrigées dans la version 2026.6.0.

Oui. 2026.6.0-latest est apparu avant 2026.6.0, et la plupart des commits étiquetés 2026.6.0-latest sont vulnérables à ces problèmes de sécurité.

Donc, si les utilisateurs exécutent 2026.6.0-latest, ils doivent mettre à jour vers 2026.7.0-latest. (ou 2026.6.0, mais cela signifierait passer au canal « release » au lieu de « latest »)

Hmm, d’accord, je vois ça, merci. Je m’attendais à ce que l’étiquette réelle pour -latest corresponde à la dernière version de cette variante.

Le problème réel que j’essaie de résoudre, ou la question que je vais régulièrement essayer de répondre, est de savoir si mon installation bénéficiera de correctifs de sécurité importants si je mets à jour vers une version ultérieure particulière. J’espère donc obtenir une liste des correctifs présents dans cette version ultérieure, par rapport à ma version actuelle, puis les examiner pour voir s’ils s’appliquent ou s’ils semblent graves. (Par exemple, tout ce qui concerne le chat ou les e-mails entrants ne s’applique pas à mes installations.)

Est-ce que cela a du sens ? J’essaie de mettre à jour lorsque je pense que c’est nécessaire, et sinon, le moins possible.

Si vous utilisez la section « avancée » en haut du journal des modifications, vous pouvez spécifier des commits précis. Récemment, nous avons ajouté des liens vers ce format en haut du tableau de bord administrateur pour les sites auto-hébergés :

Merci… Je ne vois pas de section « correctifs de sécurité » là-bas – en particulier, par exemple, dans ce cas. (C’est la version utilisée par un forum en particulier que j’utilise.)

Merci pour le lien d’exemple. Le problème des comparaisons de versions non prises en charge est maintenant résolu, vous verrez donc toutes les vulnérabilités de sécurité qui vous concernent :sweat_smile:

Ah, c’est génial - merci.

Une dernière remarque - je préférerais que la section “Highlights” puisse être réduite, ou que la boîte “Fixes” apparaisse avant elle sur la page.

Oui, ce serait utile dans ce cas, étant donné le nombre de nouvelles mises en avant. Bien que je doive insister : comparer avec une version qui n’est plus supportée depuis plus d’un an ne devrait pas être une chose courante :sweat_smile:

C’est vrai — mais une chose qui peut motiver la mise à jour est de jeter un œil aux correctifs de sécurité, qui peuvent être plus convaincants que la liste des fonctionnalités !