Sicherheit und Aktualität von Iceweasel in Wheezy

[nudgegoonies]

Hat sich erledigt. Ich dachte zuerst, eine ESR löst die andere ab. Die Releases überlappen sich aber um 12 Wochen. Wahrscheinlich um den Admins Zeit zu lassen für die Umstellung. Wenn ich das richtig sehe wird der 17'er erst im Dezember beerdigt. War ja klar, dass die Debianer den Zeitraum wieder bis zum Ende auskosten Ich bin ja eh schon auf der 24 ESR dank mozilla.debian.net, aber habe eben dieses Repo rausgeschmissen und mich gewundert, warum das so lange dauert, bis 24 ESR in den offiziellen Quellen auftaucht trotz der neuen Strategie.

[wubdich]

Damit auch ich es richtig verstehe: Wird die 24er ESR Version des Iceweasel nun automatisch als Sicherheitsupdate bereitgestellt (da die 17er Version des Firefox seit dem 11.12.2013 nicht mehr supported wird) oder bedarf es dafür auch noch eines konkreten Anlasses - will sagen eines konkreten Sicherheitsproblems im Iceweasel ?

[4A4B]

oder bedarf es dafür auch noch eines konkreten Anlasses - will sagen eines konkreten Sicherheitsproblems im Iceweasel ?

Ja, in so einem Fall gibt es ein Sicherheitsupdate auf die neuere ESR Version. So war das jedenfalls beim Update von Iceweasel 10 auf 17, wenn ich mich recht entsinne. Du musst also noch auf die kommenden Sicherheitslücken warten

[nudgegoonies]

Dürfte spätestens bei der nächsten Sicherheits-Aktualisierung des regulären Firefox der Fall sein, weil dann niemand mehr den Patch auf 17.x ESR zurückportiert sondern nur noch auf den aktuellen ESR 24.x.

[Feuerstein]

Kurze Zwischenfrage: Gibt es dieses Add-Onn noch für den 17er?
SQLITE-MANAGER
Damit man einfacher die Super Cookies löschen kann?
Ich habe es nicht gefunden. Ich würde es als Nachteil empfinden, wenn im 17er ein paar ADD-ONS nicht mehr Supported werden.

[nudgegoonies]

Du fragst bestimmt, ob es das Addon noch für den 24'er gibt. Da es bei mir auf dem 26'er läuft würde ich vermuten, dass es auch auf dem 24'er geht

[Feuerstein]

Nee, eigentlich nicht.

Code: Alles auswählen

firefox -v
Mozilla Firefox 24.1.1

Ich frage deshalb, weil ich vermute das unter einer standard Installation, also mit Wheezy, der Firefox/Iceweasel 17 installiert ist und es dieses ADD-ON nicht mehr gibt.

Was mich wiederum vermuten lässt, dass es andere (wichtige) ADD-ONS auch nicht gibt, und somit die Sicherheit bzw die Privacy im Surfverhalten beieinträchtigt ist.

LG
F.

[cronoik]

Dafür gibt es die xul-ext* Sachen damit du die Add-ons dennoch verwenden kannst. SQLITE-MANAGER ist allerdings nicht dabei.

[Knight]

und somit die Sicherheit bzw die Privacy im Surfverhalten beieinträchtigt ist.

Better Privacy sollte aber gehen.

[nudgegoonies]

Irgendwie hat es sich anscheinend doch nicht durchgesetzt die aktuellen ESR's vom Firefox/Iceweasek zu liefern. Wheezy bleibt bei der 17.0.10 vom 31.10.2013, obwohl danach noch die 17.0.11 am 15.11.2013 rauskam. Also selbst der 17'er ESR Zweig ist nicht mal aktuell. Ganz zu schweigen dass generell der 17'er nicht mehr gepflegt und durch den 24'er ESR ersetzt wurde. Jetzt hänge ich doch wieder am Tropf von mozilla.debian.net um an meine Iceweasel/Icedove ESR's zu kommen

[4A4B]

Wheezy bleibt bei der 17.0.10 vom 31.10.2013, obwohl danach noch die 17.0.11 am 15.11.2013 rauskam. Also selbst der 17'er ESR Zweig ist nicht mal aktuell.

Die einzige hier aufgelistete Änderung in Firefox 17.0.11 ist, dass es mit einer neueren libnss ausgeliefert wird:

http://www.mozilla.org/en-US/firefox/17 ... easenotes/

Dazu musste Iceweasel selbst nicht gepatcht werden. Die libnss wurde in Debian Wheezy direkt aktualisiert:

http://metadata.ftp-master.debian.org/c ... _changelog

Ganz zu schweigen dass generell der 17'er nicht mehr gepflegt und durch den 24'er ESR ersetzt wurde.

Der 17er in Debian Wheezy wird vom Debian Maintainer gepflegt

[nudgegoonies]

Danke, das mit der Library klingt logisch. Warum Iceweasel aktualisieren, nur damit die Versionsummer übereinstimmt. Aber generell klingt es ja so, als hätte sich das mit der ESR Schiene erledigt, wenn jetzt der 17'er weitergepflegt wird. Zum Glück gibt es ja mozilla.debian.org, wo man auf aktuellen ESR oder sogar auf der Release Schiene bleiben kann.

[4A4B]

Es haben sich schon einige Sicherheitslücken angesammelt, die noch nicht gefixt wurden:

https://security-tracker.debian.org/tra ... ase/stable

... von daher ist ein Update wohl (über-)fällig

[nudgegoonies]

Heute kam die 24'er ESR über security rein und wurde über die mozilla.debian.net Version drübergebügelt. libnspr und libnss3 sind aber auf der mozilla.debian.net Version geblieben. Vielleicht aber auch wegen dem Icedove ESR von mozilla.debian.net (wo auch längst nur noch der 24'er ESR unterstützt wird). Jetzt habe ich quasi Mischbetrieb. Theoretisch könnte ich das ESR Repo wieder rausnehmen und die llibnspr und libnss3 auf Wheezy-Stand downdaten, wenn der Icedove sie nicht in höherer Version braucht.

[johnmatrix]

Bei mir wird werden die Pakete "iceweasel iceweasel-l10n-de libpurple0" derzeit zurückgehalten.... Nur Standard Repos

[Emess]

nach dem ich den Thread noch mal Quer gelesen habe. Muss ich nochmal Senf ablassen.
Man muss sich vor Augen halten, dass Debian ja eigentlich ein Serversytem ist. Da spielen die meisten Buntprogramme eine doch eher untergeordnete Rolle.
Für solche Menschen wie ich, die Debian nur als reines Desktop einsetzen gibt es ja die Backports wenn mal unbedingt die neuste Version braucht.
Und wenn man es dann ganz bunt treiben will gibt es ja UBuntu.

[cronoik]

Hi,

Bei mir wird werden die Pakete "iceweasel iceweasel-l10n-de libpurple0" derzeit zurückgehalten.... Nur Standard Repos

das nächste mal bitte einen extra Thread aufmachen. Zeig mal bitte:

Code: Alles auswählen

cat /etc/apt/sources.list

Wenn du weis warum ich frage kannst du ein

Code: Alles auswählen

apt-get dist-upgrade

durchjagen. Ansonsten zeig erst einmal die Ausgabe und warte auf das okay von jemanden.

[johnmatrix]

Hi,

Bei mir wird werden die Pakete "iceweasel iceweasel-l10n-de libpurple0" derzeit zurückgehalten.... Nur Standard Repos

das nächste mal bitte einen extra Thread aufmachen. Zeig mal bitte:

Code: Alles auswählen

cat /etc/apt/sources.list

Wenn du weis warum ich frage kannst du ein

Code: Alles auswählen

apt-get dist-upgrade

durchjagen. Ansonsten zeig erst einmal die Ausgabe und warte auf das okay von jemanden.

Danke, mit "dist-upgrade" kein Problem, war der Meinung, dass sämtliche Updates welche für Stable sind mit "apt-get upgrade" ausgeführt werden.
Wie sieht es mit "Unattended upgrade" aus, hab einige Rechner die ich so eingerichtet habe. Führt das ein "dist-upgrade" aus?

Vielen Dank nochmal!

[cronoik]

Eigentlich sollte es bei stable zwischen apt-get upgrade und apt-get dist-upgrade keinen Unterschied geben. Vielleicht hing das bei dir schon länger (Releasewechsel)?

Wie sieht es mit "Unattended upgrade" aus, hab einige Rechner die ich so eingerichtet habe. Führt das ein "dist-upgrade" aus?

Nein ein apt-get upgrade [1]. Das sollte aber bei stable keinen Unterschied machen.

[1] http://serverfault.com/questions/114444 ... d-upgrades

[nudgegoonies]

Ich mache nur dist-upgrade, weil sich auch innerhalb von stable Abhängigkeiten ändern können. Beim Update von Pidgin gestern kam die gadu Library hinzu. Da hat upgrade halt erkannt, dass nicht nur Pakete aktualisiert sondern zusätzlich eines installiert werden sollte, weshalb die Pakete zurückgehalten wurden. Ich frage mich wozu upgrade überhaupt gut ist. Wenn es durch zusätzlich zu installierende Pakete zu Konflikten kommt und die "intelligente Auflösung von Abhängigkeiten" einem etwas löschen will sieht man das ja und kann immer noch ablehnen und sich die Sache in Ruhe anschauen. Ein upgrade ist allerdings keinesfalls ein "sicherer" Weg wie man am Fall Pidgin gestern sehen kann. Security Updates zurückzuhalten meiner Meinung nach keinesfalls "sicher" (ja, ich weiß, mit sicher beim upgrade ist eigentlich was anderes gemeint, aber was beim upgrade sicher ist ist halt auf andere Art und weise unsicher).