|
Autor
|
Nachricht
|
|
Jehawi Goldstein
Registriert seit: 28.04.2006
Beiträge: 18
|
Samstag, 29. April 2006 21:40:07
Hi, leider läuft ja ezpublish ab 3.7 nicht mehr auf php kleiner als 4.4, welches leider nicht bei Sarge dabei ist. Ich habe hierzu mehrere Fragen:
1.) Was genau führt zu der Inkompatibilität mit php < 4.4 ?
2.) Wird die 3.6.* Version von ezpublish weiterhin gepflegt und bis wann wird das der Fall sein?
3.) Auch wenn das kein Debian -Forum hier ist: woher bekomme ich via aptitude eine passende php Version 4.4 ?
Das problem ist, das es fsast unmöglich sein wird, den Administrator des entsprechenden Servers dazu zu bringen, von Sarge abzuweichen, weil es ein Produktivsystem mit eine Menge Kunden ist und ich ihm keine wirklich zuverlässige Quelle für php 4.4 nennen kann. Selbst compilen fällt raus, weil das system nur mit aptitude apgedated werden soll.
Bitte keine Grundsatzdiskussion über die Qualkität von Admins usw - ich kann diese strenge policy durchaus nachvollziehen, die uswr danken es mit einem stabilen System. Mir ist auch ziemich übel geworden, als ich gesehen habe, dass ezpublish nicht mehr auf einem stock debian system läuft.... musste das unbedingt sein? Es entstehen dadurch völlig überflüssige Probleme...
Vielleicht könntet Ihr uns einen Tip geben? ich würde schon gerne 3.7 nutzen wg. der newsletter extension und anderen Sachen, aber Sarge zu "verseuchen" mit paketen von irgendwoher wäre wohl nicht machbar... ich befürchte fast, dfass ich in diesem fall gegen typo3 verlieren werde, ist schon schwer genug, die Leute davon zu überzeugen, dass es noch andere WebCMS sind...
Danke!
|
|
Tobias Struckmeier
Registriert seit: 25.01.2006
Beiträge: 22
|
Samstag, 29. April 2006 22:13:49
Hallo Jehawi,
die inkompatibilität entstand dadurch das PHP < 4.4 einige Referenzfehler enthielt, die ab 4.4 behoben wurden.
Daraus resultierend musste natürlich der Code der vorher auf diese Referenzfehler ausgelegt war angepasst werden.
Es ist also kein Problem mit ez publish gewesen, eher eines von php.
Ein Update auf eine aktuelle PHP Version sollte sowieso immer vollzogen werden.
Gerade mit der von Dir angesprochenen Update-policy wirst Du mir sicher beipflichten, dass es nicht nur darum geht ein stabiles sondern ebenso auch ein sicheres System zu haben.
Da Sicherheitslücken nur in den aktuellen PHP Versionen gefixt werden, ist es vielleicht irgendwann mit der stabilität vorbei, wenn es erstmal einen Gau gibt.
Und auch Typo 3 sollte auf einem aktuellen und somit sichereren System laufen.
Evtl. kann sich der Admin ja dazu durchringen aktuelle Versionen z.b. von http://www.dotdeb.org/ zu Aptituden.
Grüße und hoffe geholfen zu haben.
--
Open your mind for open systems
|
|
Jehawi Goldstein
Registriert seit: 28.04.2006
Beiträge: 18
|
Samstag, 29. April 2006 22:37:24
Hi, danke für die schnelle Antwort.
Heisst das, die aktuelle Debian Sarge Version hat ein php mit Sicherheitslecks?
Mannomann...
|
|
Tobias Struckmeier
Registriert seit: 25.01.2006
Beiträge: 22
|
Sonntag, 30. April 2006 10:54:18
Falls in Sarge (was ich nicht weiss, ich nutze gentoo) nur eine Version kleiner 4.4 ist, dann potentiell ja.
Im Changelog (http://www.php.net/ChangeLog-4.php) ist das auch erkennbar.
Für die Beurteilung von Sicherheitslecks kommt es natürlich auf vielerlei Faktoren an, aber das ältere Versionen potentiell mehr gefährdet sind steht imho ausser frage.
--
Open your mind for open systems
|
|
Jehawi Goldstein
Registriert seit: 28.04.2006
Beiträge: 18
|
Sonntag, 30. April 2006 22:17:01
Hi, hab das mal gecheckt, in der Tat gibt es einige Änderungen, die das Debian-Security-Team wohl als nicht beachtenswert o.ä. deklariert, weil es sich "nur" um lokale Exploits handelt. Wenn ich das richtig interpretiere (ich hoffe, ich irre mich), herrscht wohl die Meinung vor, php sei generell eh nicht sicher abzuschotten in lokalen Umgebungen, daher werden lokale Exploits wohl nicht bedient. Remote Exploits werden wohl aber gepflegt. Nunja, die dotdeb-site war jedenfalls ein guter Tip! Danke.
|
