[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Typo3 nur eine Source nutzen



Hi Markus, hi Debian-User,

geb dir vollkommen recht, Markus, dass 4.0.2 absolut zu alt ist um jetzt noch produktiv im Einsatz zu sein. Ich habe gerade mal nachgeschaut und siehe da:


     typo3-src <http://packages.debian.org/src:typo3-src>
     (4.2.5-1+lenny1) testing-security; urgency=high

  * Added patches (backported from 4.2.6) to fix a critical information
    disclosure vulnerability in TYPO3 core and a XSS issue in TYPO3
    backend module (Closes: 514713).

-- Christian Welzel <gawain@camlann.de <http://qa.debian.org/developer.php?login=gawain@camlann.de>> Mon, 10 Feb 2009 15:00:00 +0100


Du kannst also getrost die Packages aus dem Repository nutzen. Ich hoffe es wird weiterhin bei Security-Issues gepatched (hoffe das war nicht zu viel English).

Wenn ich dich weiter richtig verstehe, werden alle im Typo3-Repository vorhandenen Extensions über das Debian-Repository gepflegt? Man "schiebt" die .t3x doch einfach auf den Server und installiert sie. Klar haengen die Extensions von der Source ab, leider gibts dadurch, wie du bereits gesagt hast, manchmal weitere Sicherheitsluecken, das ist eben bei jeder Software der Nachteil von 3rd-Party-Modulen. :/

Liebe Grüße an alle

Sebastian


Markus Hirschmann wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Sebastian,

Sebastian Schnur schrieb:
wow ich bin begeistert von den detaillierten Anleitungen. Ich werde
beide Varianten einmal ausprobieren. Klar kann ich auch die Source
hochladen und dann die Symlinks installieren, Markus. Nur dann habe ich
mein Ziel nur halb erreicht, denn dann ist kein Update mit "apt-get
update" und "apte-get upgrade" möglich.

das ist wohl richtig. Ich mag auch lieber DEB-Pakete, allerdings in
diesem Fall war mit 4.0.2 unter Etch schlicht und einfach zu alt, ich
denke das hängt einfach vom Bedarf ab. Sehe gerade dass bei Lenny 4.2.5
(ich hoffe doch, gepatched ;) ) dabei ist, damit hätte ich mich auch
anfreunden können.

Ich sehe das Problem von Typo3 auch eher darin, dass die Extensions
sowieso oft lokal installiert und daher auch nicht von
Sicherheitsaktualisierungen außerhalb des Extension-Repositories in
Typo3 gepflegt werden. Und dort werden dann oftmals (nicht wie bei
Debian) die neuesten Versionen nachgeschoben, um eine Lücke zu
schließen, die dann aber auch von den neusten Typo3-Sourcen abhängen. :/
Zumindest hatte ich da schon den einen oder anderen Fall in Erinnerung.

Grüße

Markus
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkmarWUACgkQ7DLmG4oCQnRWEACfQu2ggItGOnlj3/FrDFFpHzEq
ansAnAmvsM/5i9Qqk8vfWur95BTSln+H
=U2W2
-----END PGP SIGNATURE-----




Reply to: