Sicherheit und Aktualität von Iceweasel in Wheezy

Warum Debian? Was muss ich vorher wissen? Wo geht's nach der Installation weiter?
wanderer
Beiträge: 102
Registriert: 03.09.2011 15:36:50
Lizenz eigener Beiträge: MIT Lizenz

Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von wanderer » 07.05.2013 11:16:03

Nach dem Release von Wheezy gab es in diversen Newsforen viele Meckerkommentare darüber zu Lesen, wie veraltet die Software in Wheezy schon ist. Das meiste davon kann man als Trollerei abtun, aber in einem Kritikpunkt haben diese Meckerer mich durchaus zum Nachdenken gebracht:
Iceweasel liegt in Wheezy in der Version 10.0.12 vor. Mozilla unterstützt diese Version des Firefox nicht mehr, Inzwischen ist Firefox 17 die aktuelle ESR-Version. Normalerweise ist die Strategie von Debian, Pakete in Stable mit Patches zu versorgen, um sicherheitskritische Fehler zu beseitigen. Das ist aber offensichtlich beim Iceweasel nicht der Fall: Die letzte Aktualisierung des Iceweasel kam im Januar, das war eben die letzte Aktualisierung des Firefox 10 ESR-Releases. Seither gab es keine Aktualisierung mehr, sprich, keine Patches für das Debian-Paket. Nun könnte man naiv glauben, dass es seit Jänner keine sicherheitskritischen Fehler im Paket mehr gibt, aber das erscheint mir doch unrealistisch.
Ich frage also ganz ernsthaft: Ist man mit dem offiziellen Iceweasel aus Wheezy noch sicher im Web unterwegs? Möglicherweise muss man auch für andere Browser wie z.B. Chromium die selbe Frage stellen.

Interessant ist auch folgende Passage im Debian-Wiki:
Nevertheless a newer backport from the Debian Mozilla team is usually preferable.
http://wiki.debian.org/Iceweasel
Es wird an dieser Stelle also empfohlen, die (inoffiziellen?) Backports von http://mozilla.debian.net/ zu nehmen.

In Summe sieht das für mich so aus, als ob die offizielle Politik von Debian, für Pakete in Stable Sicherheitspatches bereitzustellen, bei Iceweasel nicht gilt. Ich finde, da wäre von Debans Seite eine Klarstellung notwendig.
Laptop: Lenovo Thinkpad E555 20DH000XGE mit Debian Stretch und KDE Plasma Desktop
Smartphone: Jolla mit Sailfish OS

Benutzeravatar
hikaru
Beiträge: 10037
Registriert: 09.04.2008 12:48:59

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von hikaru » 07.05.2013 11:29:51

Das Iceweasel-Problem besteht im Grunde schon seit Etch (über die Zeit davor kann ich mangels Anwesenheit nichts sagen) und hat sich durch Mozillas geänderte Releasepolitik eher noch verschlimmert.
MMn sollte Iceweasel ganz aus dem Main-Repo fliegen, denn das Ding ist bei den Differenzen zwischen Debians und Mozillas Releasepolitik eigentlich nicht zu maintainen.

Eventuell könnte man den jeweils aktuellen ESR im Rahmen der Update-Suite weiterbetreiben. Ich bin da aber nicht auf dem Laufenden ob Versionswechseln oder nur Sicherheitspatches erlaubt sind. Falls es nicht geht müsste Iceweasel komplett in die offiziellen Backports.
Letztes Jahr hatte ich kurz mit Mike Hommey Kontakt und er meinte langfristig würden die inoffiziellen Iceweasel-Backports des Debian Mozilla Teams in die offiziellen Backports wandern. Wie da der aktuelle Stand ist weiß ich aber nicht.

Benutzeravatar
Emess
Beiträge: 3002
Registriert: 07.11.2006 15:02:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Im schönen Odenwald
Kontaktdaten:

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von Emess » 07.05.2013 11:40:33

Mit dem Iceweasel kann dir geholfen werden

Code: Alles auswählen

deb http://mozilla.debian.net/ wheezy-backports iceweasel-release
dann hast du Vers.20
Debian Testing (bleibt es auch)
Debian Jessie KDE 4.14.2 Kernel 4.6.0-0.bpo.1-amd64
Notebook MSI A7005 2,2 GHz duo 4 GB

http://www.emess62.de

wanderer
Beiträge: 102
Registriert: 03.09.2011 15:36:50
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von wanderer » 07.05.2013 12:09:02

Emess hat geschrieben:Mit dem Iceweasel kann dir geholfen werden

Code: Alles auswählen

deb http://mozilla.debian.net/ wheezy-backports iceweasel-release
dann hast du Vers.20
Das ist mir eh bekannt. Wenn man einen aktuellen Browser haben möchte, ist man hier bestens bedient.
Meine Frage hier ist aber: Wenn man einen sicheren Browser haben möchte, genügt dann noch der Iceweasel im Hauptarchiv, oder muss man dann auch schon einen von mozilla.debian.net nehmen?
hikaru hat geschrieben:Letztes Jahr hatte ich kurz mit Mike Hommey Kontakt und er meinte langfristig würden die inoffiziellen Iceweasel-Backports des Debian Mozilla Teams in die offiziellen Backports wandern. Wie da der aktuelle Stand ist weiß ich aber nicht.
Heißt das, dass dann alle Versionen von ESR bis Aurora in den offiziellen Backports sind?
In den Wheezy-Backports ist meines Wissens noch nichts. Es wäre gut, wenn zumindest die aktuelle ESR-Version möglichst schnell da rein kommt.
Laptop: Lenovo Thinkpad E555 20DH000XGE mit Debian Stretch und KDE Plasma Desktop
Smartphone: Jolla mit Sailfish OS

Benutzeravatar
hikaru
Beiträge: 10037
Registriert: 09.04.2008 12:48:59

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von hikaru » 07.05.2013 12:47:21

wanderer hat geschrieben:Heißt das, dass dann alle Versionen von ESR bis Aurora in den offiziellen Backports sind?
So wie ich Hommey damals verstanden habe käme nur das ESR in die offiziellen Backports. Ich kann mich aber auch irren, denn wir haben ausschließlich über das ESR gesprochen und die anderen Varianten gar nicht erwähnt.
wanderer hat geschrieben:In den Wheezy-Backports ist meines Wissens noch nichts. Es wäre gut, wenn zumindest die aktuelle ESR-Version möglichst schnell da rein kommt.
Ich würde mir da keine zu großen Hoffnungen machen. Mir ging es damals um einen armel-Backport des ESR den es ja auf mozilla.debian.net nicht gibt. Ich hatte mir dann aus den Wheezy-Quellen selbst einen Squeeze-Backport gebaut, was relativ problemlos ging.
Falls das Debian Mozilla Team wirklich vor hätte offizielle Backports bereitzustellen sollte das mehr oder weniger von jetzt auf gleich gehen.

KP97
Beiträge: 1533
Registriert: 01.02.2013 15:07:36

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von KP97 » 07.05.2013 12:51:08

Ich nehme schon seit längerer Zeit nur noch die esr-Originale aus dem Mozilla-Archiv:
ftp://ftp.mozilla.org/pub/
Die Programme sind in meinem Homeverzeichnis und die Updates für Firefox und Thunderbird alle 8 Wochen kann man gut manuell machen.

uname
Beiträge: 9570
Registriert: 03.06.2008 09:33:02

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von uname » 07.05.2013 12:55:52

Für ein vor allem für Server eingesetztes Betriebssystem ist ein Browser wie Iceweasel wahrscheinlich eher unbedeutend. Zudem war wenn ich es richtig sehe zum Zeitpunkt des Freezes von Wheezy (ist ja auch fast ein Jahr her) noch Firefox 10 ESR aktuell. Entweder müsste man wohl während des Freezes doch noch neue Softwareversionen zulassen oder Mozilla müsste einen wirklichen langen Support für Firefox anbieten. 1 Jahr ist wohl eher als Witz von Mozilla zu verstehen.

Benutzeravatar
hikaru
Beiträge: 10037
Registriert: 09.04.2008 12:48:59

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von hikaru » 07.05.2013 13:01:33

uname hat geschrieben:Entweder müsste man wohl während des Freezes doch noch neue Softwareversionen zulassen
Genau dafür (bzw. auch während des Releasezeitraums) war ja früher mal das Volatile-Repo gedacht. Das wurde aber durch die Security-Update-Suite ersetzt und ich bin mir nicht sicher wie da die Politik bezüglich neuer Upstreamversionen ist.

uname
Beiträge: 9570
Registriert: 03.06.2008 09:33:02

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von uname » 07.05.2013 13:44:05

wie da die Politik bezüglich neuer Upstreamversionen ist.
Ich würde ja sagen, dass man hierfür die Backports hätte. Wobei man eigentlich nicht nach einem Release, sondern bereits vor dem Release anfängt langsam die Backports aufzubauen, da ja bekannt ist, dass zum Release die Software bereits veraltet ist ;-)

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von Cae » 07.05.2013 17:02:21

hikaru hat geschrieben:das Volatile-Repo gedacht. Das wurde aber durch die Security-Update-Suite ersetzt und ich bin mir nicht sicher wie da die Politik bezüglich neuer Upstreamversionen ist.
security.d.o fixt nur, was den Bug selbst betrifft und ist sonst bemueht, keinerlei Funktionen, ABIs und APIs zu veraendern. Insbesondere werden nicht einfach neuere Versionen genommen, die den Bug nicht haben. volatile und security bieten/boten aus unterschiedlichen Gruenden neuere Pakete als in ftp.d.o an.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
hikaru
Beiträge: 10037
Registriert: 09.04.2008 12:48:59

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von hikaru » 07.05.2013 17:09:50

uname hat geschrieben:Ich würde ja sagen, dass man hierfür die Backports hätte. Wobei man eigentlich nicht nach einem Release, sondern bereits vor dem Release anfängt langsam die Backports aufzubauen, da ja bekannt ist, dass zum Release die Software bereits veraltet ist ;-)
Klingt - konsequent zuende gedacht - nach CUT.
Cae hat geschrieben:security.d.o fixt nur, was den Bug selbst betrifft und ist sonst bemueht, keinerlei Funktionen, ABIs und APIs zu veraendern. Insbesondere werden nicht einfach neuere Versionen genommen, die den Bug nicht haben. volatile und security bieten/boten aus unterschiedlichen Gruenden neuere Pakete als in ftp.d.o an.
Danke!

BeWo
Beiträge: 270
Registriert: 21.10.2006 11:17:35

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von BeWo » 10.05.2013 21:51:18

Hallo, my 2 cents:

Die Debian Entwickler sind sich deren Lage sicher bewußt.
Da vertraue ich voll und ganz den Debian Entwicklern :hail:

In den Release Notes wird auch auf dieses Thema eingegangen.
Siehe Kapitel 5.2 in den Release Notes:
http://www.debian.org/releases/stable/a ... ex.de.html
Da wird empfohlen, daß für die normale Verwendung entweder Iceweasel oder Chromium verwendet werden soll.

Es ist richtig, daß sich inzwischen ein paar Sicherheitslücken in Iceweasel angesammelt haben.
Das kann im Security-Tracker eingesehen werden:
https://security-tracker.debian.org/tra ... ase/stable
Da sind aktuell 10 offene Lücken mit urgency=high gelistet.
Mir kommt das momentan auch etwas viel vor.
Vielleicht kommt in den nächsten Tagen das erste Security Update für Wheezy.

Bei früheren Versionen von Debian war es aber immer so, daß nicht wegen jeder einzelnen Sicherheitslücke das Iceweasel-Paket aktualisiert wurde.
Siehe zum Beispiel hier (das letzte Security Update von Iceweasel im Dezember 2012):
http://www.debian.org/security/2012/dsa-2583
Bei diesem Update wurden fünf Sicherheitslücken geschlossen.

owl102
Beiträge: 2399
Registriert: 16.10.2010 13:05:57
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Timbuktu

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von owl102 » 11.05.2013 09:45:47

wanderer hat geschrieben:Es wird an dieser Stelle also empfohlen, die (inoffiziellen?) Backports von http://mozilla.debian.net/ zu nehmen.
Was mich an den Backports von mozilla.debian.net immer gestört hat, ist die Unkontinuität. Jedesmal scheiterte das Update an diesem Repo, jedesmal mußte die sources.list wieder angepasst/geändert werden, Pakete deinstalliert und wieder installiert werden, jedesmal mußte wieder auf's neue eine passende dt. Sprachanpassung für Icedove aus den Weiten des Nets gesucht werden (weil es die in dem Repo nicht gibt) usw.

Verschärft wurde die Situation auch noch dadurch, daß man den Iceweasel in Squeeze zwingend aktualisieren muß, wenn man einen Iceweasel haben möchte, der nicht alle Nase lang abstützt. (Die Version 3.5 hat Debian ja kaputtgepatcht, siehe auch viewtopic.php?f=29&t=141589 )

In Summe ist das für mich inakzeptabel, und die offiziellen Squeeze-Backports sind IMHO bzgl. der Aktualität von Iceweasel/Icedove ESR leider ein Witz (und dementsprechend immer noch bei 10ESR statt 17ESR, obwohl es 17ESR schon seit ca. 1/2 Jahr gibt).

Bzgl. Sicherheit und Aktualität von Iceweasel suche ich also auch händeringend nach einer Lösung, einer, die auch von meinen Bekannten alleine handelbar ist, und zwar ohne daß ich deswegen wieder antanzen muß. (Vorher scheue ich mich, bei meinen Bekannten Squeeze auf Wheezy zu aktualisieren.)
Fedora 29 Workstation -- Debian 9 (Qnap TS-109/119) -- OmniOS (HP N54L)

Benutzeravatar
Dogge
Beiträge: 1870
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von Dogge » 11.05.2013 12:28:57

Ich habe das bei mir so gelöst, dass ich iceweasel, icedove und sämtlich AddOns auf experimental gepinnt habe.
Ob das bei stable praktikabel ist weiß ich nicht, käme auf einen Versuch an. Ich vermute aber, dass Browser und Email-Client keine tiefgreifenden Systemabhängigkeiten haben.
Bei experimental habe ich wenigstens die aktuelle Version ein paar Tage nach Release. Zumindest beim iceweasel. icedove hing zwischenzeitlich mal hinterher.
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

wanderer
Beiträge: 102
Registriert: 03.09.2011 15:36:50
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit und Aktualität von Iceweasel in Wheezy

Beitrag von wanderer » 13.05.2013 11:16:48

BeWo hat geschrieben:Es ist richtig, daß sich inzwischen ein paar Sicherheitslücken in Iceweasel angesammelt haben.
Das kann im Security-Tracker eingesehen werden:
https://security-tracker.debian.org/tra ... ase/stable
Da sind aktuell 10 offene Lücken mit urgency=high gelistet.
Mir kommt das momentan auch etwas viel vor.
Vielleicht kommt in den nächsten Tagen das erste Security Update für Wheezy.
Zu hoffen wäre es, allerdings bin ich nicht ganz so optimistisch. Zu all diesen Sicherheitslücken liest man in der Beschreibung:
https://security-tracker.debian.org/tracker/CVE-2013-0780 hat geschrieben:(...) in Mozilla Firefox before 19.0, Firefox ESR 17.x before 17.0.3, Thunderbird before 17.0.3, Thunderbird ESR 17.x before 17.0.3, and SeaMonkey before 2.16 (...)
Sprich, die Fehler sind in den neueren Versionen behoben, für Version 10 gibt es aber keine Upstream-Unterstützung mehr. Die Bugfixes müssten also rückportiert werden. Das ist aber seit Monaten nicht geschehen. Über die Ursachen kann man nur mutmaßen. Ich kann mir vorstellen, dass sich die Codebasis von Iceweasel so weit geändert hat, dass die Rückportierung von Bugfixes sehr kompliziert ist und vom Maintainer allein nicht gestemmt werden kann. Wenn dem so ist, dann müsste diese Problematik von Seiten Debians einmal offengelegt werden. Der Mangel an Informationen hinterlässt jedenfalls kein gutes Bild.

Ist es eigentlich eine Voraussetzung für Backports-Pakete, dass sie schon in Testing oder Unstable vorhanden sein müssen? Iceweasel 17.0.5esr-1 ist seit kurzem in Unstable. Ich hoffe, dass daraus bald ein Wheezy-Backport wird.
Laptop: Lenovo Thinkpad E555 20DH000XGE mit Debian Stretch und KDE Plasma Desktop
Smartphone: Jolla mit Sailfish OS

Antworten