Hallo, Dennis Brandenburg wrote: > Hallo an Alle, > > ich habe die in den Debian Sarge enthaltene PHP-Version 4.3.10-18 installiert. > Die aktuellste 4er PHP-Version von php.net ist allerdings 4.4.6. da du im Subject von "Debian-Stable" sprichst: inzwischen ist Etch Stable, nicht mehr Sarge > Nun habe ich ein wenig auf den Debiansecurityseiten herumgesucht und habe > herausgefunden, dass Debian eigene Patches einbaut. Hierbei bezieht sich > Debian immer auf das CVE. Richtig. Wenns im CVE nicht gelistet ist, wird ein neuer CVE aufgemacht. > Kann man sicher sein, dass alle sicherheitskritischen PHP-Bugs auch in dem > CVE beschrieben werden und somit im Paketupdate? Wie lange dauert es > erfahrungsgemäß, bis die Bugs gefixt sind? Ist es zu empfehlen die neuste > PHP-Version immer zu kompilieren? Man kann sich nie sicher sein, aber generell sind die Sicherheitsupdates von Debian schnell und gut. Wobei "schnell" auch immer von der Art des Fixes abhängt. Z.T. kommen die Fixes deutlich schneller, als sie auf heise.de gemeldet werden (wobei man das vielleicht auch nicht als Standard nehmen will), manchmal ein, zwei Tage später. Ob die verschiedenen PHP-Versionen sich sicherheitstechnisch unterscheiden weiss ich aber nicht. Grüße, Moritz -- Moritz Lenz http://moritz.faui2k3.org/ - http://sudokugarden.de/ - http://perl-6.de/
Attachment:
signature.asc
Description: OpenPGP digital signature