CERT ja revisionhallinta

Tuli taas tuossa sähköpostissa tuorein CERT:n tietoturvatiedote joka sattui olemaan päivitys 24.3.2005 julkaistuun Mozilla / firefox-perheen gif-haavoittuvuustiedotteeseen siltäosin että siihen on lisätty korjaavaksi toimenpiteeksi nyt julkaistun Netscape 8:n asentaminen vanhan alttiin netscape 7:n tilalle. Muutoin hyvä mutta tuonne tiedotteeseen on jäänyt kummittelemaan tämä hieman kyseenalainen ohje:

RATKAISU/RAJOITUSMAHDOLLISUUDET:
Päivitä haavoittuva Firefox -selainohjelmisto versioon 1.0.3 osoitteessa:
http://www.mozilla.org/products/firefox/

Ongelmalliseksi tuon tekee se että kun tuo Firefox:n 1.0.3 osoittautui vielä paljon pahemmin reikäiseksi löydettyjen javascipt-reikien kautta ja CERT itsekin suosittaa jo alunperin 8.5.2005 julkaistussa tiedotteessaan Tuliketulle seuraavaa korjaavaa toimenpidettä:

RATKAISU/RAJOITUSMAHDOLLISUUDET:
Päivitä haavoittuva Firefox-selainohjelmisto versioon 1.0.4 osoitteesta:
http://www.mozilla.org/products/firefox/

Luulisi että tietoturvaorganisaatiokin hieman pitäisi huolta ohjeittensa revisioimisessa eikä julkaisisi vanhoihin tiedotteisiin "päivityksiä" joissa neuvotaan päivittämään jo kertaalleen huonoksi havaittuun versioon. No, sinänsä vahinkoa ei tässä pysty tapahtumaan sillä molemmat linkit onneksi viittaavat Firefox:n sivustoon jossa on aina tarjolla selaimen ajanmukaisin versio eikä tuota 1.0.3:a toivottavasti enää löydy mistään jakelusta. Mutta koomistahan tuo silti on.

Miten osuikin silmään sopivasti