<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>I&#39;m concerned about how long it takes security updates to make it to users under Fedora&#39;s current policies (which generally allow such updates the possibility of sitting in testing for 14 days, or even longer).</div>

<div>&nbsp;</div>

<div>Just one example is the Firefox 37.0.1 update for Fedora 20:</div>

<div>https://admin.fedoraproject.org/updates/FEDORA-2015-5723/firefox-37.0.1-1.fc20</div>

<div>&nbsp;</div>

<div>The currently available version of Firefox in Fedora 20 has a <strong><em>critical</em></strong> vulnerability which allows a man-in-the-middle attacker to impersonate <em>any</em> HTTPS website. In this context, shouldn&#39;t security concerns win out over the worry that there <em>might</em> be some regression? We already know there&#39;s a serious problem in the current package, so why do we have to wait 14 days just because there <em>might</em> be some problem in the new package?</div>

<div>&nbsp;</div>

<div>Shouldn&#39;t this policy be revised?</div>

<div>&nbsp;</div>

<div>Jerry</div></div></body></html>