Musste gerade feststellen, dass bei der neuen Safari Version (bei der 2 Lecks gestopft wurden!) nur auf 10.5.7 installierbar ist.

Bevor jetzt alle schreien: na mach doch das update auf 10.5.7, es ist öfter mal sinnvoll nicht upzudaten bzw. zu warten (z.b. leo server) und es war als allgemeine feststellung gedacht: inwieweit darf ein sicherheitsupdate von der os-version abhängig sein?!

vielleicht existieren diese 2 Lecks nur unter 10.5.7?

vielleicht liefert apple ja noch aktualisierungen für die anderen OS-Versionen nach...

Öhm.... ich habe Safari 4.02 unter 10.4.11 laufen....

Gibt ja auch kein aktuelleres 10.4

Systemvoraussetzungen:
Safari 4 für Mac OS X setzt Mac OS X Leopard 10.5.6 und das Security Update 2009-001 oder ! Mac OS X Tiger 10.4.11 ! sowie mindestens 256 MB Arbeitsspeicher voraus und ist auf jedem Mac mit Intel- oder PowerPC G5, G4 und G3-Prozessor mit eingebautem FireWire lauffähig.

Da steht aber 10.5.6

Äh, 10.5.7 stopft deutlich mehr und kritischere Sicherheitslücken, als das Safari Update

Zu deiner Frage:

Sicherheitspatches sind freiwillige Updates, die die Hersteller herausgeben. Genauso wie die Garantie kann der Hersteller also frei entscheiden, ob er sie herausgibt oder ob nicht, und wenn ja, an wen.
Rechtlich gibt's da AFAIK noch keine Gesetze, die sowas regeln.

Nun noch 2 Anmeerkungen (bitte nicht falsch verstehen):

1. Es ist interessant, dass es immer noch Leute gibt, die sich über Sicherheitslücken im Browser Gedanken machen, aber die im OS dabei vollkommen ausser acht lassen.

2. Auf einem Server wird nicht gearbeitet (ausser Terminal Server und für den gelten die Client-Regeln). Daher ist es beim Leo-Server doch unerheblich, ob da 2 Browserlecks bestehen, da Dieser ja ohnehin nur von Administratoren benutzt wird, die wissen, was sie tun...

Just my 2ct.

Ich kenne genug fähige Admins, die trotzdem immer wieder auf Tricks herein fallen, obwohl sie von den Tricks wissen. Nicht nur bei Windows, sondern auch beim Mac.

Ich bezog mich mit meinem Hinweis, dass Safari 4.0.2 auf 10.4.11 läuft auf diese Aussage. Das "läuft nur" stimmt ja so nicht.

öhm, safari 4 geht überhaupt nur ab 10.5.7....

In Ernst: Wenn Du einen OS X Server betreibst, dann dient der doch sicher nicht zum im Web surfen. Da die Sicherheitslücken aber nur beim Surfen im Web gefährlich werden können, sollte das - wenn man schon prinzipiell Konservativ ist - kein wirkliches Problem darstellen.

Soweit Zustimmung.

Die genannten Sicherheitslücken betreffen vor allem WebKit. Und auf WebKit greift in MacOSX nicht nur Safari zurück, sondern noch eine ganze Reihe anderer Komponenten und Bestandteile von MacOSX...

Einen Server sollte man meiner Meinung nach möglichst dicht haben. Auch bezüglich Programmen und Komponenten, die man entweder seltener, kaum oder auch gar nicht benutzt. Schaden tun solche Bugfixes auch dort jedenfalls in keinem Fall, selbst wenn die betroffenen Komponenten eher seltener oder eher eingeschränkt genutzt werden.

Was soll ich sagen? Er traut sich ja noch nicht einmal 10.5.7 zu installieren. Ihm ist die Aktualität seines Systems scheinbar eh nicht sehr wichtig.

Dass das Webkit Framework von mehr als Safari benutzt wird ist mir bekannt - ich entwickele selbst Software unter/für Mac OS X.
Trotzdem halte ich die Gefahr für sehr gering, sofern er seinen Server nicht auch als Arbeitsstation benutzt.

Finde ich ein wenig fahrlässig, gerade im Hinblick auf die in 10.5.7 geschlossenen Sicherheitslücken. Die nach 10.5.7 gefolgten Security Updates sind dann wahrscheinlich auch noch nicht drauf...
Ist wohl eher eine grundsätzliche Frage, wie ernst man es mit der Server-Administration meint...

Schaden kann ein ein mit Sicherheits-Patches geflicktes Browser-Framework auch auf einem Server jedenfalls mit großer Wahrscheinlichkeit nicht -- selbst wenn es kaum (oder gar nicht) in Anspruch genommen wird...

Genau Letzteres befürchte ich irgendwie -- hoffentlich täuscht mich da mein momentanes Bauchgefühl...

Vielleicht ist das ja pure Absicht im Sinne des Kunden? Damit dieser spätestens jetzt das auch in Sicherheitsdingen sinnvolle 10.5.7 Update (und wo er dann grad' dabei ist: die danach gefolgten Security Updates gleich hintendran) einspielt, sollte er bisher damit gezögert haben.

mal danke an sierk für seine erklärungen (diese und alle anderen auch: immer wieder ein vergnügen zu lesen!)

zum thema:

es gibt leute, die ihr server system absichtlich auf einer älteren version halten (z.b. 10.5.3 oder 10.5.6) weil das nachfolgende Update etwa mit anderer Software Probleme macht, das kann man in den Apple Discussions nachverfolgen und mitunter wird das auch thema in der leopard server mailinglist.

und nein: ich verwende meine server üblicherweise nicht zum websurfen, aber bei remote wartung und damit meine ich keine vnc-session auf dem server im keller sondern tatsächlich einen entfernten standort muss ich doch ab und zu was nachlesen oder runterladen und da benutze ich (große überraschung:) einen browser!

pcbastler:
exmacrabbitpro:
meine systeme sind gepatcht (und zwar alle und auch konsequent) und ich schaue mir vorher an, was die machen, bevor ich sie installiere.
und ja: ist klar! das ist freiwillig, aber es ändert nichts an der Frage, wieso ein Update für den Browser von der Version des OS abhängig ist, oder?!
Das hat doch überhaupt nix damit zu tun, was ER sich traut oder wie wichtig IHM die Aktualität seiner Systeme ist *grml*

sierkb:

das tut es

Das demnächst erscheinende Java-Update 5 wird zum Beispiel ebenfalls mindestens MacOSX 10.5.7 voraussetzen...

Wie ein Vorredner schon sagte: Wenn Apple diese notwendigen Voraussetzungen so zu Protokoll gibt, so steckt da ganz bestimmt ein tieferer Sinn dahinter.
Denn es gibt Patches, die bauen auf bestimmten Voraussetzungen auf, ergeben nur dann Sinn oder/und sind nur dann überhaupt möglich.

Du müsstest Dir evtl. die betreffenden Delta-Patches GENAUESTES anschauen (ggf. im Quelltext -- so er verfügbar ist -- ein Diff machen), welche Dateien und/oder Dateirechte da ggf. eine Änderung gegenüber dem Vorzustand erfahren haben, um Deine Frage zu Deiner Zufriedenheit zu beantworten.

Nichts gegen Dich -- kann ja sein, dass Du Deine triftigen Gründe für die bisherige Zurückhaltung hattest bzw. noch hast, aber:

Welche anderen Programme sind das zum jetzigen Zeitpunkt (10. Juli 2009) zum Beispiel, die mit 10.5.7 nicht harmonieren? Haben diese Programme in der Zwischenzeit eventuell ein Update erfahren, das diese Probleme verschwinden lässt, sodass sie mit 10.5.7 problemlos zusammenarbeiten? Wenn nein, wird dem/den betreffenden Hersteller(n) in der Richtung die Bude eingerannt von den Anwendern und entspr. Handlungsdruck erzeugt, dass er damit mal langsam in die Pötte kommt (10.5.7 kam am 12. Mai 2009 raus...)?

Habe mal irgendwie davon gehört, dass Betriebssystem-Hersteller (auch Apple) ihre Betriebssystem-Updates vorher an Entwickler zum Testen rausgeben, bevor sie freigegeben und veröffentlicht werden -- u.a. dafür, damit genau solche Dritthersteller ihre Software darauf ein- und abstimmen können und eine reibungslose Zusammenarbeit schon im Vorfeld der Veröffentlichung sichergestellt werden kann... Wer hat da jetzt evtl. wo gepennt oder ist nicht in die Hufen gekommen?

Also ich behaupte mal, dass man bei einem so komplexen System wie einem Betriebssystem mit allen seinen Komponenten, Frameworks, Tools und Applikationen nicht so einfach sagen kann, dass ein Update des Systemweiten HTML/JavaScript Frameworks nix mit anderen Systemkomponenten zu tun haben kann.
Oder meinst Du bei Apple sitzt Steve in seinem Sessel, lacht hämisch und sagt. "jetzt würgen wir mal allen Sysadmins einen rein und bringen das nächste Safai/Webkit Update nur für das letzte OS X Release." - kann ich mir nicht vorstellen.

Und darüber hinaus - mein werter Herr - zu einem professionellen Server gehört auch immer ein Betriebs-, Backup-, Upgrade- und Wartungskonzept. Bei den Servern auf die ich mich beruflich über das Internet verbinden muss (bei Kunden) gilt eine simple Sicherheits-Regel:
Man verbindet sich nie, Nie, NIE direkt über das Internet auf den Server. Ich wähle mich immer auf einen Headless PC/Mac im RZ des Kunden ein und starte von dort eine weitere Remote-Desktop/VNC/X Windows/ssh oder was auch immer Verbindung auf den Server auf den ich tatsächlich zugreifen muss. Auch alle Downloads finden immer auf dem Einwahl-PC statt und werden dann zur Installation auf den Server übertragen. Somit ist die Wahrscheinlichkeit, dass der Server durch die Wartung und Remote Verbindung gefährdet wird zwar nicht zu 100% ausgeschlossen (das gibt es nicht) aber doch wesentlich geringer, als wenn direkt auf dem Server gearbeitet wird.

Das wäre schön wenn das so funktionieren würde. Aber in der Praxis zeigt sich doch, dass dies nicht so einfach ist, wie es sich schreibt.

In unserer Firma setzen wir beispielsweise Spezialsoftware ein. Software die nur wenige Firmen nutzen - allerdings Firmen mit sehr unterschiedlichen Strukturen, was Soft- und Hardware angeht.
Eine Anpassung der Software trifft entweder alle Nutzerfirmen - was die ja gar nicht unbedingt wollen - oder man muss für jede Firma eine Anpassung vornehmen, speziell zugeschnitten auf ihre Bedürfnisse. Das dauert natürlich seine Zeit.
(Möglicherweise ist die eigene Firma auch zu klein um wirkungsvollen Druck aufzubauen)

Auch einen weiteren Punkt kann man nicht ausser acht lassen - die Anpassung von Software A an das Update, zieht eventuell eine nötige Anpassung von Software B nach sich. Vielleicht auch von Software C. Also müssen mehrere Softwareprodukte aufeinander abgestimmt werden. Wobei das Softwarehaus von Anbieter B leider letztes Jahr geschlossen wurde.

Selbst wenn die Softwarehäuser sofort reagieren und Updates bereitstellen - möglicherweise ist das wiederum mit Kosten verbunden. Kosten, für die im ungünstigsten Fall kein Budget mehr übrig ist. (Budget bereits ausgeschöpft, Budget aus bestimmten Gründen abgewiesen etc. etc.).
Sage jetzt bitte keiner das so etwas eigentlich umsonst als Serviceleistung angeboten wird. Die Tiefen eine Service/Wartungs/Updatevertrages halten so manche Überraschung parat.

Da er einen Server anspricht, halte ich seine Aussage, länger mit der Aktualisierung auf Produktivservern zu warten nichtmal für allzu falsch.
Beim Server gilt eben Stabiltät vor Aktualität. Es ist eine gängige Praxis, bei Serversystemen länger zu warten. Zumal man ja auch nicht sagen kann, ob bisher oder in absehbarer Zeit die Gelegenheit da ist, das Updates einzuspielen, evtl. handelt es sich ja um 24h-Produktivsysteme.
Aber ich persönlich würde da dann auch gar nicht versuchen, Safari 4.0.2 zu installieren... denn auch bei einer reinen Broseraktualisierung kann ein System gekillt werden.

Dazu fällt mir nur ein:

"Are you still a virgin?"

so: back to desk...

ich habe nie behauptet, dass es hier um meine(n) server geht, das war Eure Annahme.
Alles was ich zur Diskussion gestellt habe war die Frage: inwieweit darf ein (browser-) sicherheitsupdate von der os-version abhängig sein?!
Eigentlich wollte ich davon nicht anfangen, aber endlich hat Microsoft +/- zugegeben, dass der IE doch nicht so stark im System verankert ist, als dass er nicht entfernt werden könnte und jetzt bindet Apple seine Browser-Sec.Fixes an bestimmte OS-Versionen?

Um es kurz zu machen: ich wollte Eure Meinung wissen, ob diese Vorgehensweise einer politischen Natur oder der technischen (Un-)Machbarkeit zugrunde liegt und noch allgemeiner: ob das Sinn macht?


ExMacRabbitPro:

Um es freundlich zu sagen: Nichts gegen ein gesundes Selbstbewusstsein, aber deines ist eindeutig ZU gesund!
Was soll diese herablassende -Scheisse? Wer gibt Dir das Recht, mich in dieser Form zu maßregeln und mir gleich mal vorzuschreiben, wie ich was zu tun hätte? so was kann ich gleich gar nicht.
Ich habe weder Deine fachliche Kompetenz in Frage gestellt noch habe ich Dich in irgendeiner Form persönlich angegriffen, also erwarte ich dass mir gegenüber ebenso die Form gewahrt wird. Deine Vorurteile mir gegenüber kann ich mir nicht erklären ("traut sich nicht, ist ihm nicht wichtig,..") und sie interessieren mich nicht, solange wir sachlich über ein anderes Thema sprechen wollen und davon gehe ich bei posts in einem Technik/Mac-Forum mal aus.

oh mann - komm mal runter! herablassend zu sein lag mir fern. Atme mal tief durch.