Welche security patches sind relevant?

[realnc]

Hallo.

Ich habe eine alte modified eCommerce Shopsoftware (1.05) Installation auf den neusten Stand gebracht (v1.06 rev 4642 SP2).

Brauche ich überhaupt die Security Patches von hier:

http://www.modified-shop.org/forum/index.php?action=downloads;cat=6

Da steht leider nicht welche davon für v1.06 rev 4642 SP2 gebraucht werden

Linkback: https://www.modified-shop.org/forum/index.php?topic=33089.0

[fishnet]

Im aktuellen Download sind diese Patches bereits enthalten.

[noRiddle (revilonetz)]

Vorsicht, dem ist nicht so.
Wenn man auf der Download-Seite schaut sieht man für die
Vollversion 1.06 rev 4642 SP2
ein Release-Datum:  (stabile Releaseversion) vom 12.08.2014

Der letzte Security Patch ist aber vom 17.12.2014, also später.
Ich vermute es ist der Patch bzgl. der Sichtbarkeit der Admin-Box unter bestimmten Voraussetzungen und Gegebenheiten.
Der Patch ist im aktuellen Download nicht enthalten (habe ich geprüft).

Gruß,
noRiddle

[fishnet]

[noRiddle (revilonetz)]

Ist aber auch ein wenig traurig und gefährlich, daß das nicht enthalten ist.
Wer nix von Security Patches weiß und nicht mittles Eigeninitiative findet was realnc gefunden hat...

Team: Könnt Ihr das nicht mal fixen ?

Gruß,
noRiddle

*P.S.*
Habe das mal gemeldet.

[Tomcraft]

Wir informieren doch jeden Shopbetreiber über das Shopbackend bzgl. gefundener Fehler in der Shopsoftware.

Was ich eigentlich nicht will ist eine Version mit definierter Versionsnummer nachträglich nochmal zu bearbeiten. Hierfür jetzt extra ein SP3 zu veröffentlichen halte ich für übertrieben, zumal die nächste Version schon in den Startlöchern steht: https://demo.modified-shop.org/tags/modified-2.00

Grüße

Torsten

[webald]

Ich weis gar nicht mehr welcher Shopsoftware-Hersteller es neulich war über den man sich aufgeregt hat, dass im aktuellen Download ein Fix nicht enthalten war. Die haben das aber wohl mittlerweile geändert.

Ich fände es aber schon wichtig, das im aktuellen Download die Fixes enthalten sind. Das mit der Bezeichnung (SP3) sehe ich ein und würde da ganz drauf verzichten und stattdessen die Build-Nummer mit angeben. So kenn ich das auch von unserem ERP (MS Dynamics NAV). Da gibt es eine Version und dann fortlaufende Build-Nummern. Wenn damit ein für uns relavanter Fehler gefixt ode reine für uns neue Funktion hinzugekommen ist wird ein Update gemacht, wenn nicht, dann bleibt es beim alten. Könnte man dafür nicht die Buildnummer in der application_top als Konstante hinterlegen und damit für den Support/Updatemensch die letzte Version zur Verfügung stellen?

Braucht man die Update-Pakete? Oder reicht es nur eine Komplettversion zu veröffentlichen? Ich selbst habe noch nie einfach die Update-Pakete installiert, sondern immer mit Dateivergleichen und dann folgenden Anpassungen mein Update gemacht (Geht bei o. g. ERP genauso).

[Tomcraft]

Ich weis gar nicht mehr welcher Shopsoftware-Hersteller es neulich war über den man sich aufgeregt hat, dass im aktuellen Download ein Fix nicht enthalten war. Die haben das aber wohl mittlerweile geändert.
[...]

Ich kenne den umgekehrten Fall, der mich damals aufgeregt hatte. In einem ZIP-Paket wurden unter gleicher Bezeichnung der Versionsnummer immer wieder Änderungen mit eingepflegt.

[...]
Ich fände es aber schon wichtig, das im aktuellen Download die Fixes enthalten sind. Das mit der Bezeichnung (SP3) sehe ich ein und würde da ganz drauf verzichten und stattdessen die Build-Nummer mit angeben. So kenn ich das auch von unserem ERP (MS Dynamics NAV). Da gibt es eine Version und dann fortlaufende Build-Nummern. Wenn damit ein für uns relavanter Fehler gefixt ode reine für uns neue Funktion hinzugekommen ist wird ein Update gemacht, wenn nicht, dann bleibt es beim alten. Könnte man dafür nicht die Buildnummer in der application_top als Konstante hinterlegen und damit für den Support/Updatemensch die letzte Version zur Verfügung stellen?
[...]

Würden wir jetzt den Fix im SVN ins SP2 nachziehen, dann hätte die Version jetzt die Buildnummer r8263, was wohl auch eher zu Verwirrung führen würde oder nicht?

[...]
Braucht man die Update-Pakete? Oder reicht es nur eine Komplettversion zu veröffentlichen? Ich selbst habe noch nie einfach die Update-Pakete installiert, sondern immer mit Dateivergleichen und dann folgenden Anpassungen mein Update gemacht (Geht bei o. g. ERP genauso).

Ich persönlich benutze die bei einem Update auch nie, sondern gehe genau so vor wie du. Die Update-Pakete wurden sich aber damals von der Community gewünscht.

Grüße

Torsten

[Fakrae]

Was wäre Alternativ mit einem Hinweis beim Download:
"Achtung, der Securityfix (Link) ist im Download nicht enthalten sondern muss nachträglich installiert werden" ?

[Tomcraft]

Gute Idee und bereits umgesetzt.

Grüße

Torsten

[noRiddle (revilonetz)]

Wir informieren doch jeden Shopbetreiber über das Shopbackend bzgl. gefundener Fehler in der Shopsoftware.
...

Genau das greift aber nicht wenn in der Zwischenzeit bereits weitere Berichte und Posts im RSS-Feed aufgetaucht sind, denn man sieht das Vergangene dann ja nicht.
Auch bezweifele ich, daß der Feed der richtige Weg ist für Neulinge die die Software gerade erst kennenlernen und installieren.

Jetzt ist es aber ja gelöst im Download-Sektor, Merci.

Gruß,
noRiddle

[realnc]

Vorsicht, dem ist nicht so.
Wenn man auf der Download-Seite schaut sieht man für die
Vollversion 1.06 rev 4642 SP2
ein Release-Datum:  (stabile Releaseversion) vom 12.08.2014

Der letzte Security Patch ist aber vom 17.12.2014, also später.

Ja, das Datum zu vergleichen macht Sinn. Habe den Patch nun eingespielt.

Danke!