Hier scheint es reichlich Verwirrung und wohl auch etwas Unkenntnis darüber zu geben wie der übliche Paketflow innerhalb Debians ist.
Natürlich sind Security Aktualisierungen wichtig, es gibt jedoch ein paar Eckpunkte die trotzdem zu bedenken sind. Nur recht wenige Security spezifischen Updates sind extrem zeitkritisch.
Allgemein gesprochen sollte es
immer eine Version (rein nummerisch betrachtet) in unstable geben die größer als die Version für *-security ist. Nur in wenigen Ausnahmen wird hiervon abgewichen (da für diesen Zeitraum dann der Upgradepfad gebrochen ist). Damit dies gewährleistet ist kommunizieren die Softwareprojekte entsprechende als "extrem kritisch" eingestufte Sicherheitsupdate
vorab über geschlossene Kanäle zu den Distributionen vor den geplanten Release. Nur dadurch haben Distributoren die Möglichkeit Updates innerhalb des Systems vorzubereiten. Da die 52.4.0 für den Thunderbird keine derartigen Updates enthalten hat gab es kein Bedarf etwas vorzubereiten. Hat es übrigens für Icedove und jetzt dem Thunderbird in den letzten Jahren nicht einmal gegeben. Auch sind die CVEs die mit der 52.4.0 geschlossen worden sind nicht kritischer als vorherige CVEs aus früheren Releases.
Das Workflowdiagram der Pakete innerhalb der Veröffentlichungen ist durchaus komplex, vor kurzum wurde die zugehörige
Grafik nochmal aktualisiert.
Des weiteren gab es ja den Namenswechsel bei den Binärpaketen zurück zu den Upstreamnamen im Icedove Paket. Als letzter finaler Schritt steht nun der Wechsel des Quell Paketes innerhalb Debians an. Bisher war dies
icedove genannt, zukünftig wird dies wieder
thunderbird sein. Da es bisher kein Quellpaket mit diesem Namen und den zugehörigen Binärpaketen im Debian Archiv mehr gab musste der Upload hierzu durch die NEW Queue gehen.
Bedingt durch all diese Gründe war es nicht sinnvoll mit aller Gewalt nun primär Updates für Stretch, Jessie und Wheezy als erstes bereitzustellen. Der Upload der 52.4.0-1 nach NEW hätte auch durch inhaltliche Fehler durch die FTP Master zurückgewiesen werden können, dann wird es umso schwieriger danach einen Update und Upgradepfad einzuhalten, ganz besonders für Benutzer von Stable oder Old-Stable. Und hier darf nichts brechen.
Das noch nicht vorhandene Update für *-security hat also nicht unbedingt mit zu wenigen Personen die dies alles leisten können sondern vielmehr mit organisatorischen Abläufen, aber natürlich haben auch Maintainer ein Privatleben und setzten ihre Prioritäten.
Thunderbird 52.4.0-1 ist seit rund 2 Tagen nun in unstable angekommen und sollte an diesem Wochenende fertig für das Security Team vorbereitet sein/werden, Veröffentlichung der 52.4.0 war vor "nur" 14 Tagen. Wann das Security Team nun wiederum die Pakete ins Archiv legt liegt komplett in deren Hand und nicht im Einflussbereich der Paketmaintainer.
Ein allgemeiner Rat für die Zukunft, bevor kontrovers spekuliert wird warum Paket X nicht Update Z erhält oder Fehler nicht gefixt wird und mitunter auch nicht korrekte Aussagen (sicherlich nicht absichtlich) in die Welt gesetzt werden versucht in Kontakt mit dem/die Paketmaintainer zu treten. Sind alles auch nur Menschen und werden meistens auch recht zeitnah eine Antwort schreiben. Ich habe noch keine anderen Erfahrungen bisher gemacht. Und Ihr erfahrt die Infos aus erster Hand! Gerne dürfen Quotes der Konversation dann auch hier im Forum gepostet werden.
Vielleicht ist der Zeitabstand ja ganz normal und meine Erwartungshaltung ehr ein Zerrbild.
