Sicherheit und Aktualität von Iceweasel in Wheezy

[hikaru]

Ist es eigentlich eine Voraussetzung für Backports-Pakete, dass sie schon in Testing oder Unstable vorhanden sein müssen?

Implizit ja, explizit wohl nicht.
Auf [1] heißt es:

Backports are packages taken from the next Debian release (called "testing"), adjusted and recompiled for usage on Debian stable.

Ich glaube mich aber an einen ITP-Bugreport zu einem Paket zu erinnern zu dem es noch kein Testing/Unstable-Paket gab, für das der Maintainer aber einen offiziellen Stable-Backport bereitstellen wollte. Worum es da genau ging weiß ich nicht mehr, aber ich glaube die Software hatte irgendwas mit GIS/CAD/Navigation zu tun.

Wenn man einen Stable-Backport erstellt fällt ja aber ein Unstable-Paket fast von selbst mit ab, also dürfte die Frage eher akademisch sein.

[1] http://backports.debian.org/

[johnmatrix]

Mittlerweile hat Iceweasel 17.0.6 ESR in Debian Stable Einzug gehalten .

Auszug aus der Sicherheitsankündigung:

"We're changing the approach for security updates for Iceweasel, Icedove
and Iceape in stable-security: Instead of backporting security fixes,
we now provide releases based on the Extended Support Release branch. As
such, this update introduces packages based on Firefox 17 and at some
point in the future we will switch to the next ESR branch once ESR 17
has reached it's end of life."

[Drahtseil]

Wo hast du das gesehen? Bei mir ist noch Version 10esr in Wheezy:
http://packages.debian.org/search?keywo ... lla-search

[johnmatrix]

Steht in den Sicherheitsankündigungen:
http://lists.debian.org/debian-security ... 00107.html

Über dist-upgrade habe ich dann den 17er bekommen.

[Drahtseil]

Stimmt, hab ich jetzt auch.
Äußerlich sehe ich ja keinen Unterschied, und dafür gibt's 7 Releasenummern dazu, na ja...

[Alternativende]

Wo seht ihr das denn? packages.debian..org und debian.org stehen beide noch bei Version 10.
Ich warte schon seit Monaten auf einen aktuellen Icedove.

[Arminius-Bln]

>> Ich warte schon seit Monaten auf einen aktuellen Icedove.<<
Schade - sag Bescheid, wenn du einen gefunden hast.
Hier ging es um die überfällige Aktualisierung von "Iceweasel".

@ johnmatrix - Danke für den Bescheid.

[Alternativende]

Schade - sag Bescheid, wenn du einen gefunden hast.
Hier ging es um die überfällige Aktualisierung von "Iceweasel".

We're changing the approach for security updates for Iceweasel, Icedove
and Iceape in stable-security:

[owl102]

"We're changing the approach for security updates for Iceweasel, Icedove and Iceape in stable-security:

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

Instead of backporting security fixes

...was sie ja sowieso nicht ohne Kollateralschäden konnten, und es nicht einmal für nötig hielten, dies wenigstens nachträglich zu korrigieren. (Ist doch egal wenn der Browser ständig abstützt, Hauptsache, der "Security Fix" ist reingebriegelt worden - komische Attitüde, von der ich ehrlich gesagt immer noch nicht weiß, wie ich damit umgehen soll.)

We don't have the resources to backport security fixes to the Iceweasel release in oldstable-security any longer.

Auf der einen Seite ist diese Entscheidung nachvollziehbar, auf der anderen Seite brechen sie damit mit dem Versprechen, oldstable noch 1 Jahr mit Sicherheitsupdates zu versorgen. Schade. Desweiteren finde ich die Entscheidung unglücklich, da sie so den Iceweasel in Squeeze in einem kaputten, unbrauchbaren, verbriegelten Zustand zurücklassen. Es wäre nett gewesen, wenn sie wenigstens das, was sie beim Backport der Sicherheitsfixes kaputt gemacht haben, noch korrigieren würden. Außerdem haben sie ja immerhin 10 ESR in den Backports, den hätte man doch nach security/updates verschieben können.

[johnmatrix]

Es sieht auch so aus als wird Chromium aktuell gehalten. Nach einem Update ist jetzt die aktuelle Version 27 in Wheezy, analog zu Google Chrome stable.

http://www.debian.org/security/2013/dsa-2695

Find ich gut wenn aktuelle Browser in Debian stable enthalten sind.

[wanderer]

Ich hab das update auf meiner Wheezy-Installation auch soeben erhalten. Anscheinend hinkt packages.debian.org dem aktuellen Paketstatus ein wenig hinterher. Es ist eine sinnvolle Entscheidung, die leider viel zu lange aufgeschoben wurde.

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

[Cae]

"We're changing the approach for security updates for Iceweasel, Icedove and Iceape in stable-security:

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

... und wieso hattest du die betroffenen Pakete nicht einfach aus sid/experimental genommen, wie's die vorherige Empfehlung war?

Gruss Cae

[Luxuslurch]

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

Ja, siehe: http://mirror.centos.org/centos/6.4/upd ... /Packages/
Dort findet man Thunderbird und Firefox ESR, und das ist das CentOS-Base.repo, ist also von alleine verfügbar. Nur einen winzigen Schritt weiter kann man auch gehen:

Code: Alles auswählen

yum info firefox
--snip--
Installed Packages
Name        : firefox
Arch        : x86_64
Version     : 21.0
Release     : 4.el6.remi
Size        : 32 M
Repo        : installed
From repo   : remi
Summary     : Mozilla Firefox Web browser
URL         : http://www.mozilla.org/projects/firefox/
License     : MPLv1.1 or GPLv2+ or LGPLv2+
Description : Mozilla Firefox is an open-source web browser, designed for standards
            : compliance, performance and portability.

Das ist alles ein bisschen sauberer voneinander getrennt bei CentOS. Es gibt einfach ein, zwei zusätzliche repos, die sehr stark darauf achten, sich nicht mit den Hauptquellen zu beißen. Für meinen tragbaren Rechner, den ich nur 1x im Monat brauche, ist das optimal. Für meinen Hauptrechner.... nur Debian! Aber ich werde OT...

[owl102]

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

Ja.

... und wieso hattest du die betroffenen Pakete nicht einfach aus sid/experimental genommen, wie's die vorherige Empfehlung war?

Ich habe eine dauerhaft wartungsarme Lösung gebraucht. Ich durfte schon reihum antanzen, als Debian den Iceweasel 3.5 kaputt gemacht hat, und keinerlei Anstalten machte, das bereinigen zu wollen. Daher hatte ich auf den Iceweasel/Icedove aus mozilla.debian.net umgestellt. Das hielt auch nicht lange an, da mozilla.debian.net bald das Repository umgestellt hatte, und daher Updates nicht mehr funktionierten. Da habe ich mich für die ESR-Variante aus den Backports entschieden, da mozilla.debian.net offensichtlich nicht für Systeme, die man für andere pflegt, geeignet ist. Das ging aber auch nur bis zum nächsten Update des Systems gut, da ich bei jedem der obrigen Umstellungen selber eine passende deutsche Sprachdatei für den Icedove suchen und manuell installieren musste (die war weder in mozilla.debian.net noch in den Backports), die aber nach einem Update nicht mehr passte.

Nach den obrigen Erfahrungen wollte ich nicht auch noch mit experimental/sid herumspielen, womit ich außerdem keinerlei persönliche Erfahrungswerte habe. Es wäre etwas anderes gewesen, wenn es mein Rechner gewesen wäre. Ich wollte eine dauerhafte, stressfreie, wartungsarme Lösung, und Rotkäppchen bzw. CentOS bietet mir genau das, Debian (damals) nicht. Deshalb habe ich die ganzen Rechner nicht auf Wheezy aktualisiert, sondern auf CentOS. (DE: XFCE, ebenfalls 4.8 wie bei Wheezy) Da /home bei allen Rechnern auf einer eigenen Partition liegt, war das kein Problem, ich habe nur unwesentlich in /home etwas geradeziehen bzw. löschen müssen.

[M. Linux]

Finde ich eine gute und vernünftige Entscheidung, die aus meiner Sicht die einzige wirklich handelbare Lösung darstellt. Das Backporten von Security Patches für nicht mehr supportete Versionen lohnt sich aufgrund von den erwarteten Probleme und dem Zeitaufwand nicht, zumal es ja die im Falle von Mozilla die ESR Versionen gibt.

[Luxuslurch]

Die Versionen von Mozilla waren aber jahrelang nicht für Debian main geeignet. Von daher war das Pflegen eigener Pakete das einzig Vernünftige.

Allerdings ist das Problem IMHO inzwischen nicht mehr existent (finde gerade den Link nicht mehr[*]), so dass man von mir aus auch - wie alle anderen Distributionen auch - die aktuellen Mozilla-Produkte in die Backports einpflegen könnte. Es sollte sich auf jeden Fall mal was bewegen.

[*] gefunden: Mike Hommey's Blog

[Alternativende]

Schade bei Icedove hat sich immer noch nichts getan.

[mclien]

Für ein vor allem für Server eingesetztes Betriebssystem ....

EY!

mclien (2xServer,8xDesktop, 1xVDR)

[mclien]

Schade bei Icedove hat sich immer noch nichts getan.

schonmal sylpheed angetestet?

[hikaru]

schonmal sylpheed angetestet?

...oder den Fork claws-mail.
(Wobei ich persönlich die Features die Claws gegenüber Sylpheed mehr hat nicht nutze und daher nicht sagen kann dass mir das eine besser gefiele als das andere.)

[Alternativende]

Danke aber ich habe mich schon sehr an Icedove gewöhnt, die beiden anderen funktionieren zwar, sehen aber komisch aus .
Ich werde wohl noch ein paar Tage warten.

[mclien]

Seltsam. Für mich sehen die alle so gleich aus, dass ich immer, wenn ich von einem Familienmitglied um Hilfe gebten werde, den Titel des Fensters anschauen muss, um herauszufinden welcher client den grade läuft..

[hias]

Hmmm,

auf meinem Testing-System mit dieser sources.list

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ testing main non-free contrib
deb-src http://ftp.de.debian.org/debian/ testing main non-free contrib

deb http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free

ist Iceweasel immer noch hartnäckig auf Version 10ESR

Code: Alles auswählen

hias@x60s:~$ apt-cache policy iceweasel
iceweasel:
  Installiert:           10.0.12esr-1+nmu1
  Installationskandidat: 10.0.12esr-1+nmu1
  Versionstabelle:
 *** 10.0.12esr-1+nmu1 0
        500 http://ftp.de.debian.org/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status

Was mache ich falsch ?

Gruß Hias

[BeWo]

Hallo Hias

Was mache ich falsch ?

Deine sources.list ist richtig.
Das Problem ist, daß in jessie immer noch die 10er Version ist.

Bis die 17er Version in jessie ist, solltest Du über Pinning diese Version aus sid installieren.
Hier eine Anleitung für Pinning:
http://wiki.debianforum.de/Pinning

Viele Grüße
Bernhard

[hias]

Hallo BeWo,

Deine sources.list ist richtig.

ja davon bin ich auch ausgegangen. Pinning ist natürlich eine Idee, auch wenn ich da immer unsicher bin.

So eine /etc/apt/preferences sollte es doch tun ?

Code: Alles auswählen

Package: *
Pin: release a=testing
Pin-Priority: 900

Package: *
Pin: release a=unstable
Pin-Priority: 200

Und die sources.list muss ich natürlich anpassen, aber das ist ja das Geringste.

Gruß Hias