Normales update zieht neue Abhängigkeiten in stable?

[c1ue]

Ich hab neulich updates gemacht und dabei keine neuen Pakete ausgewählt, sondern einfach nur die Paketliste aktualisiert und dann auf update gedrückt.

Das sah dann so aus:

Code: Alles auswählen

Upgraded the following packages:
libarchive13 (3.3.3-4) to 3.3.3-4+deb10u1
libjavascriptcoregtk-4.0-18 (2.24.4-1~deb10u1) to 2.26.1-3~deb10u1
libqt5concurrent5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5core5a (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5dbus5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5gui5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5network5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5opengl5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5printsupport5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5sql5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5sql5-sqlite (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5widgets5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libqt5xml5 (5.11.3+dfsg1-1) to 5.11.3+dfsg1-1+deb10u1
libwebkit2gtk-4.0-37 (2.24.4-1~deb10u1) to 2.26.1-3~deb10u1

Aber zusätzlich wollte Synaptic dabei noch diese beiden neuen Pakete mit installieren:

bubblewrap (0.3.1-4)
xdg-dbus-proxy (0.1.1-1)

Die Beschreibung von Bubblewrap sagt Folgendes:

setuid wrapper for unprivileged chroot and namespace manipulation.
Core execution engine for unprivileged containers that works as a setuid
binary on kernels without user namespaces.

Xdg-dbus-proxy:

filtering D-Bus proxy, bla bla … wieder was mit containern.

Ich habe noch nie flatpack bei mir installiert.

Und nun meine Fragen:

Seit wann zieht Debian stable neue Pakete bei einem „normalen“ update? Und warum Pakete, die potentielle Sicherheitslücken aufreißen könnten? Ist das bei Euch (KDE-user) auch so?

[guennid]

Ich habe keine Ahnung von synaptic und würde es auch nicht einem der entsprechenden CLI-Werkzeuge vorziehen. Für mich stellt sich da die Frage, was du/synaptic unter einem "normalen update" versteh(s)t?

Mit "update"s aktualisiert man mit den CLI-Tools die von apt verwaltete /etc/apt/sources.list. Das installiert überhaupt nichts. Wenn tatsächlich Pakete aktualisiert/neu installiert werden, passiert das über eine Form von "upgrade". Ich mag mir eigentlich nicht vorstellen, dass das bei synaptic anders ist. Ergo, Leute, die syaptic benutzen und die dir helfen könnten, ebenfalls vor der Frage stehen, was du denn da "gedrückt" haben könntest.

Grüße, Günther

[smutbert]

synaptic ist zwar auch nicht das Werkzeug meiner Wahl, aber hier kann ich synaptic nicht die Schuld in die Schuhe schieben.

Die Abhängigkeiten kommen von webkit und bei webkit hat Debian ja schon einmal festgestellt, dass es für alte Versionen keine Sicherheitsupdate bieten kann, wenn ich mich recht erinnere. Insofern hat man da dann wohl die Wahl zwischen
- gar keine Updates oder
- stable-untypisch auf eine aktuellere Version updaten, auch wenn es dann weitere Abhängigkeiten oder andere in stable ungewohnte Änderungen gibt.
Hier hat man sich eindeutig für letzteres entschieden (was ich begrüße).

Und warum Pakete, die potentielle Sicherheitslücken aufreißen könnten?

Jedes Update könnte Sicherheitslücken enthalten, auch ein Bugfix, der eigentlich nur eine Lücke schließen soll, könnte eine andere aufreißen.
Hier geht es aber wohl nur darum, dass eine Art Sandbox-Funktion geboten wird, die vorher nicht da war. Wenn man sie nutzt das sicherheitstechnisch wahrscheinlich ein Fortschritt, wenn nicht, sollte sich nicht viel ändern.

[guennid]

hier kann ich synaptic nicht die Schuld in die Schuhe schieben.

Hab' ich auch nicht gemacht. Ich weiß schlicht nicht, was ER gemacht hat (im code steht was von upgrade, nicht von update), aber vielleicht hilft ihm ja deine Erklärung.

Grüße, Günther

[hikaru]

Die Abhängigkeiten kommen von webkit und bei webkit hat Debian ja schon einmal festgestellt, dass es für alte Versionen keine Sicherheitsupdate bieten kann, wenn ich mich recht erinnere. Insofern hat man da dann wohl die Wahl zwischen
- gar keine Updates oder
- stable-untypisch auf eine aktuellere Version updaten, auch wenn es dann weitere Abhängigkeiten oder andere in stable ungewohnte Änderungen gibt.
Hier hat man sich eindeutig für letzteres entschieden (was ich begrüße).

Ich bin jetzt etwas verwirrt. So lange ich mich erinnern kann, beschränkt sich Debian bei Browser-Sicherheitsupdates auf firefox-esr und chromium [1], und beruft sich dabei darauf, dass Webkit in Stable keine Sicherheitsupdates bekommt, was auch extern bemängelt wird. [2]
Allerdings steht in [1] ebenfalls, dass webkit2gtk Sicherheitsupdates bekommt und dieser Thread beweist das.
Was hält nun Debian davon ab, auch andere auf dem Paket basierende Browser wie midori oder epiphany-browser mit Sicherheitsupdates zu versorgen? Klar, es muss sich immer noch ein Maintainer finden, der das macht. Ich kenne die Strukturen hinter Epiphany nicht. Da der Browser aus dem Gnome-Projekt stammt, das nicht gerade für Langzeitstabilität bekannt ist, könnte ich mir vorstellen, dass es schwer wäre, neuere Upstream-Versionen auf die vergleichseise alte Debian-Stable-Gnome-Basis zu portieren. Aber Midori ist ein relativ isoliert stehendes Paket. Als Buster noch Testing war gab es dort innerhalb weniger Monate zwei Major-Releases, offenbar ohne Probleme seitens Debian. (Ich konnte seinerzeit selbst noch Midori 6 auf Basis der Midori-7-Abhängigkeiten nachbauen und habe es mit dem gleichen Hängen und Würgen sogar beide Versionen noch auf Jessie portieren können.)

[1] https://www.debian.org/releases/stable/ ... r-security
[2] https://blogs.gnome.org/mcatanzaro/2017 ... y-updates/

[MSfree]

Ist das vielleicht einfach nur ein Problem, das durch Recommends und/oder Suggests kommt?

[smutbert]

Nein, das ist eine echte Abhängigkeit, die auch im Debian-Changelog erwähnt wird.

[guennid]

Wäre es nicht sinnvoll zu wissen, was der TE unter einem „normalen“ upgrade mit synaptic versteht? Ums „update“ scheint's ja eurer Meinung nach nicht zu gehen. Von apt/apt-get ist mir der Unterschied zwischen upgrade und dist-/full-upgrade bekannt und bei synaptic sollte es doch was Vergleichbares geben? Und wenn dem so ist: Was davon bezeichnet der TE als „normal“?

Grüße, Günther

[smutbert]

Nachdem es erstens bei stable keinen relevanten Unterschied zwischen upgrade und dist-upgrade geben sollte und das Phänomen der zusätzlich installierten Pakete eindeutig durch die zusätzlichen Abhängigkeiten der neuen Version von webkit erklären lässt, würde ich dazu tendieren solche Feinheiten zu ignorieren.

(Obendrein wurde bei synaptic, zumindest als ich es das letzte Mal verwendet habe, nicht zwischen upgrade und dist-upgrade unterschieden – synaptic hat seine eigene Methode mit Abhängigkeiten umzugehen und wie damit umgegangen wird ist ja der Unterschied zwischen upgrade und dist-upgrade. Der Unterschied würde aber in diesem für stable ungewöhnlichen Fall auch bei apt/apt-get keine Rolle spielen, weil nur zusätzliche Pakete gefordert, aber keine (veralteten) deinstalliert werden sollen.)

[Radfahrer]

Bei synaptic kann man in den Einstellungen festlegen, ob beim Aktualisieren ein upgrade oder ein dist/full-Upgrade gemacht wird. Ich meine, voreingestellt ist dist/full-upgrade. Das nennt sich dort "Intelligentes Upgrade" oder so ähnlich. Habe es aber auch schon länger nicht mehr genutzt. Und für Upgrades eigentlich noch nie. Das geht auf der Konsole schneller.

[guennid]

Bei synaptic kann man in den Einstellungen festlegen, ob beim Aktualisieren ein upgrade oder ein dist/full-Upgrade gemacht wird. Ich meine, voreingestellt ist dist/full-upgrade.

Wenn das so stimmt (ich erinnere, ich kenne synaptic nicht), dann wunderte mich bei meinem bescheidenen Kenntnisstand nicht, dass sein „normales“ „update“ neue Pakete mitgezogen hat. Und ihn sollte es dann eigentlich auch nicht wundern. Aber so, wie's aussieht, hat der TE eh kein Interesse an der Aufklärung des Problems (keine einzige Rückmeldung nach inzwischen neun erfolgten Hilfsversuchen).

Grüße, Günther

[smutbert]

Es ist schon ungewöhnlich, dass ein Sicherheitsupdate von stable neue/zusätzliche Abhängigkeiten hat. Neue Versionen bekommt man in stable ja sonst fast nur durch die backports und genau in den backports war die neue Webkit-Version auch vorher schon verfügbar.

☺ und lieber Günther, sei doch nicht so ungeduldig. c1ue hat den Thread ja erst heute Mittag eröffnet.

[rockyracoon]

Ich denke, dass sich die Diskussion unnötig und nicht zielführend auf die Thematik "Konsole <> Synaptic" eingeschossen hat.
Wenn clue schreibt:

Ich habe noch nie flatpack bei mir installiert.

Und nun meine Fragen:

Seit wann zieht Debian stable neue Pakete bei einem „normalen“ update? Und warum Pakete, die potentielle Sicherheitslücken aufreißen könnten? Ist das bei Euch (KDE-user) auch so?

dann ist das der Punkt auf den wir uns konzentrieren sollten.

Ich nutze GNOME3, habe Flatpak aus grundsätzlichen Erwägungen auch nicht installiert, aber bubblewrap (0.3.1-4) und xdg-dbus-proxy (0.1.1-1) sind bei mir ebenfalls bei den installierten Paketen zu finden. Ich denke, dass diese Pakete inaktiv sind und Optionen bereitstellen, falls jemand später Flatpak installieren und nutzen will.
Und ich vermute, dass bubblewrap und xdg-dbus-proxy schon nach der Erstinstallation des Systems vorhanden waren und eben gerade aus Sicherheitsgründen durch neuere Versionen ersetzt wurden.

Über den Synaptic-Paketmanager erfahren wir, dass bei den Eigenschaften von bubblewrap (0.3.1-4) unter den Abhängigkeiten "beschädigt flatpak <08.2" steht, wobei das aktuelle zugehörige Flatpak in Debian-Stable die Version 1.2.4-1 ist. Das Update von bubblewrap scheint dem also aus Sicherheitsgründen Rechnung zu tragen.

[guennid]

smutbert, wenn, wie ich annehme, dass du's vermutest (wissen kann man ja nichts bei der dürftigen Quellenlage ), das upgrade von libwebkit2gtk-4.0-37 die Neu-Installation von bubblewrap bewirkt hat, dann kann das völlig normal sein: In buster ist libwebkit2gtk-4.0-37 abhängig von bubblewrap. In stretch nicht. Was ist an der Neu-Installation - unter Berücksichtigung von Radfahrers Beitrag - jetzt „ungewöhnlich“?

Warum er bei seiner Frage dann auch noch flatpack aus dem Hut zieht, weiß nur er selbst.

Ich denke, dass sich die Diskussion unnötig und nicht zielführend auf die Thematik "Konsole <> Synaptic" eingeschossen hat.

Vermag ich überhaupt nicht nachzuvollziehen.

Grüße, Günther

[rockyracoon]

@guennid:

rockyracoon hat geschrieben:
Ich denke, dass sich die Diskussion unnötig und nicht zielführend auf die Thematik "Konsole <> Synaptic" eingeschossen hat.

Vermag ich überhaupt nicht nachzuvollziehen.

Weil diese richtige Aussage

In buster ist libwebkit2gtk-4.0-37 abhängig von bubblewrap. In stretch nicht. Was ist an der Neu-Installation - unter Berücksichtigung von Radfahrers Beitrag - jetzt „ungewöhnlich“?

nichts mit der Thematik "Konsole <> Synaptic" zu tun hat. Deshalb: "unnötig und nicht zielführend".

[tijuca]

Was hält nun Debian davon ab, auch andere auf dem Paket basierende Browser wie midori oder epiphany-browser mit Sicherheitsupdates zu versorgen?

Der Mangel an Personen die sich insgesamt drei Jahre (pro Release!) um diesen Support kümmern? Es fehlt am Ende eigentlich immer nur an Freiwilligen die diese etwas anstrengende, recht stumpfe und trotzdem verantwortungsvolle Arbeit übernehmen. Kommt auf ein Treffen auf dem Debian Developer und Maintainer sich über so auch etwas unterhalten und fragt derartige Themen. Ihr werdet überrascht sein mit wie wenig Ressourcen trotzdem ein an sich breiter Support am Ende gewährleistet werden kann.

[c1ue]

Vielen Dank für Eure hilfreichen Antworten. Ich bitte um Entschuldigung für meine verspätete Antwort, ich habe momentan sehr viel um die Ohren.

Also bei mir steht upgrade, weil ich mein System auf English gestellt habe. Ich habe die Option "empfohlene Pakete als Abhängigkeit sehen" in Synaptic schon seit meinen ersten Gehversuchen mit Debian abgeschaltet. Ich bevorzuge ein möglichst schlankes System.

Bubblewrap war noch nie auf meinem System installiert (hab meine Installation seit der initialen Installation von Jessie auf meinem (damals) neuen Laptop immer schön updated bis zum jetzigen stable release (Buster)).

[guennid]

Ich habe die Option "empfohlene Pakete als Abhängigkeit sehen" in Synaptic schon seit meinen ersten Gehversuchen mit Debian abgeschaltet.

Wenn ich dieses synaptic-Deutsch recht verstehe: „empfohlene Paket automatisch mit installieren“ und du das deaktiviert hast, dann erscheint mir umso selbstverständlicher, was passiert ist: Du hast das System von stretch auf buster aktualisiert, dabei wurde libwebkit aktualisiert, und da das in der neuen Version jetzt von bubblewrap abhängig ist, wurde das eben auch installiert (ansonsten hätte libwebkit nicht aktualisiert werden können). Soweit ich das verstanden habe, ist genau das ein wesentlicher Unterschied zwischen upgrade und full-/dist-ugrade oder wie immer das Synaptic jetzt nennen mag: beim einfachen upgrade wäre libwebkit nicht aktualisiert worden, beim dist-upgrade schon, und wenn das bei dir so eingestellt ist, wie's Radfahrer erläutert hat, dann hast du eben ein dist-upgrade gemacht. Und sowas weiß/lernt man halt nicht, wenn man sich bei so basalen Arbeiten AM System solcher Schicki-Micki-windowslike-GUI-Tools bedient.

Ob das beim zweiten genannten Paket auch so war, magst du bei Interesse jetzt selbst herausfinden.

Grüße, Günther

[c1ue]

Und sowas weiß/lernt man halt nicht, wenn man sich bei so basalen Arbeiten AM System solcher Schicki-Micki-windowslike-GUI-Tools bedient.

Grüße, Günther

Hi,

danke auch Dir für Deine Antwort. Ja, ich bin überzeugt davon, dass Synaptic seit meinen ersten Gehversuchen mit Debian Etch, bis zum heutigen Tag, alle meine persönlichen Bedürfnisse an ein modernes, recht intuitives, übersichtliches und komfortables Programm nebst Chronik erfüllt hat. Mit dem eher chaotisch und unintuitiv anmutenden Aptitude bin ich nie wirklich warm geworden. Sein einziger Daseinszweck war bei mir, nach einer minimalst-Installation, OpenBox und Synaptic zu installieren, nebst Xorg-Treibern.

In meinem Fall hat Synaptic ja genau das getan, was ich von dem Programm erwartet habe: Spiele mir die neueste Stable-Version drauf, die Du hast. Und das zog anscheinend nun Bubblewrap mit sich. Und damit ist das so auch in Ordnung für mich.

[Radfahrer]

"Empfohlene Pakete automatisch mitinstallieren" hat übrigens nichts mit dem Unterschied zwischen "upgrade" und full-upgrade" zu tun.
Es werden dann eben die vom Paket-Maintainer vorgeschlagenen Pakete mitinstalliert. Also z.B. Codecs bei Audioplayern, empfohlene Plugins bei Anwendungen, usw..
Die sogenannten suggests halt. Also das, was viele "Experten" ausschalten und dann jammern, weil ihre Anwendungen nicht so funktionieren, wie sie es gerne hätten.

[novalix]

Nein, nicht "Suggests", sondern "Recommends".
https://www.debian.org/doc/manuals/debi ... pendencies

[Radfahrer]

Oder so.
Ich weiß nicht mehr genau, inwieweit synaptic da noch unterscheidet.