Sicherheitsupdate für Chromium.

Alles rund um sicherheitsrelevante Fragen und Probleme.
DeletedUserReAsG

Re: Sicherheitsupdate für Chromium.

Beitrag von DeletedUserReAsG » 01.02.2018 07:57:48

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 07:19:20
Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung.
Wenn es um einen über die Paketverwaltung installierten Chromium geht, würde ich mir nun wirklich Sorgen machen. Damit sich dieser selbst aktualisieren könnte, braucht er Rootrechte. Und da ein normaldenkender Mensch einen Browser nie wissentlich als Root startet (von besonders geschützten Testszenarien mal abgesehen), müsste sich dein Chromium die notwendigen Rechte irgendwie anders besorgt haben ….

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von rendegast » 01.02.2018 11:16:36

Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Geht es bei firefox generell schneller mit der Einspielung?
Ist es bei chromium vielleicht nur dieser Versionssprung, bei dem die Übernahme nach stable länger dauert?




clamav hängt eigentlich immer eine ganze Weile hinterher.
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.2 Recommended version: 0.99.3



Animefreak79 hat geschrieben: (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu.
Heute ist chromium 64 in stretch angekommen
https://packages.debian.org/chromium
Mach mal 'apt-cache policy chromium', prüfe das Log von unattended-upgrades o.a.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 15:40:20

rendegast hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 11:16:36
Geht es bei firefox generell schneller mit der Einspielung?
Beim Firefox ESR geht es gefühlt schneller, ja. 24 bis 48 Stunden vergehen von da, wo ich von der Sicherheitslücke erfahre (heise etc.) bis zum Update durch Debian. Wobei ich da keine wissenschaftlichen Studien gemacht habe. Und beim Firefox ESR werden auch "zwischendurch-Updates" eingespielt, nicht nur neue Versionen.

Aber auch das ist ein Loch von 24 Stunden, das z.B. bei Windows nicht auftritt. Oder wenn ich das Repository direkt vom Hersteller beziehe, was beim Chromium nicht geht. Mein Google Chrome hingegen war schon aktualisiert, bevor Animefreak79 diesen Thread aufgemacht hat.

Vorallem ist der Firefox ESR durch die Bank aktuell, von Wheezy bis Buster:
https://packages.debian.org/search?keywords=firefox-esr
im krassen Gegensatz zum Chromium. Mir scheint, Chromium wird von Debian nicht so recht ernst genommen.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 16:21:07

rendegast hat geschrieben:Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Okay, das erklärt einiges. Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab. Wie schon an mehreren Stellen erwähnt, ich hab vorher Linux Mint benutzt, da ist mir so etwas bisher noch nicht begegnet (allerdings hatte ich mit Mint haufenweise Probs). Ich hatte neulich nämlich auf https://www.debian.org/security/ Ein Update für Firefox ESR und vor Kurzem auch für Thunderbird entdeckt... Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren. Also habe ich

Code: Alles auswählen

cat /var/log/dpkg.log
gemacht, und festgestellt, dass die Updates tatsächlich durchgeführt worden sind, obwohl ich die Meldung erhalten habe, dass nicht geupdatet wurde. Ich nahm mir also vor, zumächst mal bis zum nächsten Update eines Mozilla-Produktes zu warten (also die Software, bei der dieses Phänomen halt auftrat), und wenn wieder in der Konsole steht, dass nichts geupdatet wurde, aber trotzdem im Logfile steht, dass ein Update stattgefunden hat, die Sache hier im Forum zu posten und mal nachzufragen. Und dann das Ereignis heute morgen... Jetzt bin ich wieder zuhause, hab allerdings festgestellt, dass logrotate schon in Aktion getreten ist, dpkg.log also leer, demzufolge also:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ tail --lines=25 /var/log/dpkg.log.1
2018-02-01 06:55:32 trigproc mime-support:all 3.60 <keine>
2018-02-01 06:55:32 status half-configured mime-support:all 3.60
2018-02-01 06:55:33 status installed mime-support:all 3.60
2018-02-01 06:55:33 trigproc desktop-file-utils:amd64 0.23-1 <keine>
2018-02-01 06:55:33 status half-configured desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 status installed desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 configure chromium:amd64 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status half-configured chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status triggers-awaited chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 trigproc man-db:amd64 2.7.6.1-2 <keine>
2018-02-01 06:55:33 status half-configured man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 status installed man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 trigproc hicolor-icon-theme:all 0.15-1 <keine>
2018-02-01 06:55:34 status half-configured hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 status installed chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 configure chromium-l10n:all 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:34 status unpacked chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status half-configured chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed chromium-l10n:all 64.0.3282.119-1~deb9u1
shinji@nerv-kommandozentrale:~$
Es ist geschehen, wie ich befürchtet habe... Auch Chromium wurde geupdatet, hier war es sogar so, dass das Update noch nicht auf der Seite des Debianprojektes angegeben war, ich also kein Update durchgeführt hab, trotzdem hat laut Logfile zur Paketverwaltung das Update von Chromium 63 zu 64 stattgefunden. Nun noch, auf Vorschlag von rendegast:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ apt-cache policy chromium
chromium:
  Installiert:           64.0.3282.119-1~deb9u1
  Installationskandidat: 64.0.3282.119-1~deb9u1
  Versionstabelle:
 *** 64.0.3282.119-1~deb9u1 500
        500 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     62.0.3202.89-1~deb9u1 500
        500 http://ftp.de.debian.org/debian stretch/main amd64 Packages
        500 http://deb.debian.org/debian stretch/main amd64 Packages
shinji@nerv-kommandozentrale:~$
Ich muss mir jetzt keine Sorgen machen, oder? Ich erinnere mich nämlich noch, dass ich irgendwann letzten Jahres ein Update von Chromium bekommen hab, und dieses ist ganz normal von mir über die Konsole eingespielt worden. (Bei Firefox ESR und Thunderbird dasselbe). Und jetzt... So etwas? O_o
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 17:35:27

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 16:21:07
Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab.
Aus Debiansicht werden einige Softwarepakete vom Hersteller so mies gepflegt und dokumentiert, dass Debian sie nicht mehr langzeit-betreuen kann, weil das abstrus viel Arbeitskraft kosten würde. Aus Sicht der Hersteller basteln sie halt permanent dran rum, alte Versionen werden nicht mehr gepflegt und ausschlaggebend ist einzig die neuste Version. Die Pflege alter Versionen würde nur sinnlos Arbeitskraft vergeuden. Beide Positionen sind verständlich.

Mozilla bietet hier als Kompromiss noch den Firefox ESR an. Google zwingt zu permanenten Updates.
Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 16:21:07
Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren.
Das hier ist aber was völlig anderes. Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 18:03:48

NAB hat geschrieben:Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".
Nee, Unattended-Logfiles, die ich aufgrund des Tipps von rendegast überprüfte, sind allesamt komplett leer. Die anderen drei von dir genannten Optionen treffen meines Wissens nach definitiv nicht zu, also... Woran kann das liegen? Heute morgen wurde mir auch Chromium von Version 63 auf 64 aktualisiert OHNE mein Zutun, wie ich ja schon im vorherigen Post erwähnte. Muss ich mir da jetzt echt irgendwie Sorgen machen, oder gibt es noch eine andere Auto Update Funktion an irgendeiner Stelle? O_o
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 18:23:34

Also für den KDE gibt es "Apper" als GUI-Updater, der irgendwie mit Policykit und Packagekit sein unheiliges Eigenleben führt, völlig an "unattended updates" vorbei. Ich bin immer bemüht, es schnell loszuwerden.

Ich vermute, für Gnome (oder was benutzt du?) wird es was ähnliches geben. Anscheinend funktioniert das besser.

Beide stammen ja aus der RPM-Welt (Red Hat bzw. Suse) und sind der DEB-Welt nicht auf den Leib geschneidert.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 18:47:27

Naja, ich nutze XFCE und hab mir parallel noch MATE installiert. Aber... Ich hab mir eigentlich nie so einen Updater installiert, ich halte nichts von solchen undurchsichtigen GUI-Werkzeugen, wo man nie hundertprozentig weiß, was da wirklich unter der Haube geschieht. Ich mache ja nicht einmal meine Updates oder Installationen mit DebianSynaptic sondern immer alles ganz normal über die Konsole. Deshalb... Finde ich dieses Phänomen irgendwie beunruhigend... Oder, hat Debian da vllt etwas geändert, dass jetzt Programme wie Browser o.ä. auf diese Weise vom System aktualisiert werden?

Ich sollte vllt noch erwähnen, dass dieses Phänomen nur bei der Mozilla-Palette und Chromium aufzutreten scheint, alle anderen Updates laufen ganz normal über die Konsole und werden mir auch so angezeigt. Vor Kurzem waren dies beispielsweise ffmpeg, curl und poppler.
~ Never change a flying system ~

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 21:20:43

Momeeeent mal... Ich bin eben in der Badewanne doch glatt auf eine Idee gekommen... PoilcyKit für Anwendungen wie DebianSynaptic wird doch unter Debian über DebianPackageKit zustande gebracht, oder? Zumindest kam mir beim Baden der Verdacht, dass PackageKit mit diesen seltsamen Erlebnissen zu tun hat, also dachte ich, könnte ich es doch mal mit

Code: Alles auswählen

apt-cache showpkg packagekit
probieren... Die Folge war:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ su root
Passwort: 
root@nerv-kommandozentrale:/home/shinji# apt-cache showpkg packagekit
Package: packagekit
Versions: 
1.1.5-2 (/var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/dpkg/status)
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-i386_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: de
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-de
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: en
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-en
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0


Reverse Depends: 
  gstreamer1.0-packagekit,packagekit 1.1.5-2
  packagekit:i386,packagekit
  0install-core,packagekit
  software-properties-common,packagekit
  plasma-discover,packagekit 1.0
  libpackagekitqt5-0,packagekit
  packagekit-tools,packagekit 1.1.5-2
  packagekit-command-not-found,packagekit 1.1.5-2
  libpackagekit-glib2-18,packagekit 1.1.5-2
  apper,packagekit 0.8.6
  isenkram,packagekit
  gnome-software,packagekit 1.1.4
  gnome-packagekit,packagekit 1.0.4
Dependencies: 
1.1.5-2 - libglib2.0-bin (0 (null)) policykit-1 (0 (null)) libapt-inst2.0 (2 1.1) libapt-pkg5.0 (2 1.1) libc6 (2 2.14) libgcc1 (2 1:3.0) libglib2.0-0 (2 2.46) libgstreamer1.0-0 (2 1.0.0) libpackagekit-glib2-18 (2 1.1.4) libpolkit-gobject-1-0 (2 0.99) libsqlite3-0 (2 3.5.9) libstdc++6 (2 5.2) libsystemd0 (2 214) libpackagekit-glib2-14 (1 0.7.6-4) libpackagekit-qt2-2 (1 0.7.6-4) packagekit-backend-apt (3 1.0) packagekit-backend-aptcc (3 1.0) packagekit-backend-smart (3 1.0) packagekit-offline-update (3 1.0) packagekit-tools (0 (null)) appstream (0 (null)) packagekit:i386 (32 (null)) 
Provides: 
1.1.5-2 - packagekit:i386 (= 1.1.5-2) 
Reverse Provides: 
packagekit:i386 1.1.5-2 (= 1.1.5-2)
root@nerv-kommandozentrale:/home/shinji#
Öhm... Debianplasma-discover :?: :?: :?: Noch nie von gehört! Müsste ja ein KDE-Programm sein, keine Ahnung wie das auf mein System geraten ist, habe kein KDE installiert. Und Apper erwähnte NAB ja ebenfalls... Also mal DebianSynaptic gestartet, um mal ein paar detailiertere Beschreibungen zu diesen Paketen zu erhalten... Apper ist auf meinem System nicht installiert, Plasma-Discover allerdings schon. Ich frage mich allerdings, warum und wieso, ich nutze kein KDE? (Hab allerdings das ein oder andere KDE-Programm). Also mal die Beschreibung zu diesem Paket durchgelesen... Ein Programm, welches unter anderem für automatische Updates verwendet wird... Vermutlich so etwas wie mintUpdate unter Linux Mint... Könnte dies des Rätsels Lösung sein? Ich nehme mal an, ich kann diese Software gefahrlos deinstallieren, ich brauche jedenfalls kein Programm, welches auf irgendeine Weise mit meinen Updates zu kollidieren imstande ist, was ja offensichtlich bereits geschehen ist. Und wenn das nicht der Grund für die Seltsamkeiten mit den Updates für Chromium und der Mozilla-Palette ist... Dann weiß ich echt auch nicht weiter! :mrgreen:
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 21:42:40

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 21:20:43
Könnte dies des Rätsels Lösung sein?
Ja!
Genaueres über das Zusammenspiel weiß ich aber auch nicht. Und wie du an die Pakete gekommen bist auch nicht. Vielleicht kann da noch jemand mehr zu erklären.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: Sicherheitsupdate für Chromium.

Beitrag von slu » 08.04.2018 22:06:13

Ich werde so langsam mit dem Chromium unsicher, derzeit läuft auf meinem Debian Stretch 64.0.3282.119, die ist vom Januar 2018.
https://chromereleases.googleblog.com/2 ... op_24.html

Ich verfolge den Browser nicht so sehr, einige meiner User möchten den verwenden, aber mir kommt das schon sehr alt vor.
Gab es seither keine Security Fixes?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Sicherheitsupdate für Chromium.

Beitrag von breakthewall » 09.04.2018 00:04:54

slu hat geschrieben: ↑ zum Beitrag ↑
08.04.2018 22:06:13
Ich werde so langsam mit dem Chromium unsicher, derzeit läuft auf meinem Debian Stretch 64.0.3282.119, die ist vom Januar 2018.
https://chromereleases.googleblog.com/2 ... op_24.html

Ich verfolge den Browser nicht so sehr, einige meiner User möchten den verwenden, aber mir kommt das schon sehr alt vor.
Gab es seither keine Security Fixes?
Klingt etwas übertrieben. Die Version von Chromium ist für Debian-Stable völlig in Ordnung. Diese wird ebenso mit Sicherheitsupdates versorgt, was auch mittels "apt changelog PAKETNAME" überprüfen kannst. Und nicht zuletzt kannst deinen Browser auch mittels Firejail oder AppArmor isolieren, um mögliche Sicherheitsprobleme präventiv einzudämmen.

Code: Alles auswählen

apt install firejail
firejail chromium

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 09.04.2018 02:02:45

breakthewall hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 00:04:54
Klingt etwas übertrieben. Die Version von Chromium ist für Debian-Stable völlig in Ordnung. Diese wird ebenso mit Sicherheitsupdates versorgt,
Wird sie nicht. Debian spielt einfach eine höhere Version ein, wie hier:
https://security-tracker.debian.org/tra ... -2018-6054
62 -> 64
Und wenn ich mir die Liste der offenen Fehler so angucke:
https://security-tracker.debian.org/tra ... um-browser
scheint sich da seit Ende Januar nichts mehr getan zu haben.
Version 65 schließt etliche davon:
https://chromereleases.googleblog.com/2 ... sktop.html
Die ist seit Anfang März verfügbar - nur nicht bei Debian.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Sicherheitsupdate für Chromium.

Beitrag von breakthewall » 09.04.2018 12:14:39

NAB hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 02:02:45
Wird sie nicht. Debian spielt einfach eine höhere Version ein, wie hier:
https://security-tracker.debian.org/tra ... -2018-6054
62 -> 64
Und wenn ich mir die Liste der offenen Fehler so angucke:
https://security-tracker.debian.org/tra ... um-browser
scheint sich da seit Ende Januar nichts mehr getan zu haben.
Es werden nicht nur höhere Versionen eingespielt. Das hängt auch davon ab, ob es für bekannte Probleme auch offizielle Patches gibt. Wenn nicht dann wird das Security-Team (DSA) von Debian von sich aus aktiv, sofern jene Sicherheitslücken auch akut gefährlich sind. Ansonsten sind Maintainer auch nur Menschen, womit Aktualisierungen je nachdem etwas dauern können. Es wird ja nicht direkt über den Entwickler aktualisiert. Daher auch die Empfehlung mit der Sandbox, was eigentlich nie verkehrt ist, da es immer Sicherheitslücken geben wird.
NAB hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 02:02:45
Version 65 schließt etliche davon:
https://chromereleases.googleblog.com/2 ... sktop.html
Die ist seit Anfang März verfügbar - nur nicht bei Debian.
Diese Version existiert bereits in Debian-Unstable. Von daher kann es nicht mehr lange dauern, bis das in Debian-Stable erscheint.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 09.04.2018 17:32:50

breakthewall hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 12:14:39
Wenn nicht dann wird das Security-Team (DSA) von Debian von sich aus aktiv, sofern jene Sicherheitslücken auch akut gefährlich sind.
Also auf anderen Platformen spielt man einfach eine Version ein, die die bekannten Sicherheitslücken nicht mehr hat, während man bei Debian darauf warten muss, dass das DSA-Team ausgeknobelt hat, ob die Sicherheitslücken für den individuellen Anwendungsfall auch gefährlich sein könnten ... nunja.

Sichert firejail inzwischen eigentlich irgendwie gegen Spectre ab?
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: Sicherheitsupdate für Chromium.

Beitrag von RobertDebiannutzer » 09.04.2018 18:47:27

65 existiert schon seit dem 20.02. in unstable:
https://tracker.debian.org/pkg/chromium-browser
Wie man sieht, ist sogar schon 66 längst in unstable.
Die Maintainer werden sich sicher was bei denken und ich würde ihnen mehr vertrauen als Google.

(Außerdem: wer einen browser von google verwendet, braucht sich um Sicherheit eh keine Gedanken zu machen... :mrgreen: )

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 09.04.2018 19:08:12

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 18:47:27
Die Maintainer werden sich sicher was bei denken und ich würde ihnen mehr vertrauen als Google.
Ich bezweifele weder, dass die Maintainer sich was denken, noch, dass sie sehr bemüht sind. Es sieht mir eher so aus, als ob sie nicht hinterherkommen ... ähnlich wie bei Firefox damals.

Übrigens müssen auch die Maintainer Google vertrauen ... darauf dass Google sämtliche Sicherheitslücken auch deutlich per CVE oder anderweitig dokumentiert, inklusive Patch. Andernfalls müssen sie jegliche Code-Änderung auf eigene Faust darauf hin abgrasen, ob sie vielleicht (auch) eine Sicherheitslücke schließt.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Sicherheitsupdate für Chromium.

Beitrag von tobo » 09.04.2018 19:23:10

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 18:47:27
(Außerdem: wer einen browser von google verwendet, braucht sich um Sicherheit eh keine Gedanken zu machen... :mrgreen: )
Unsarkastisch betrachtet ist das völlig korrekt - problematisch sind die datenschutztechnischen Details. Aber Firefox ist da ja auch schwer am aufholen. Die wären in dem Punkt eigentlich heute schon fast gleich unbrauchbar, wenn man Firefox nicht noch so großzügig umkonfigurieren könnte!?

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Sicherheitsupdate für Chromium.

Beitrag von breakthewall » 09.04.2018 19:52:05

NAB hat geschrieben: ↑ zum Beitrag ↑
09.04.2018 17:32:50
Also auf anderen Platformen spielt man einfach eine Version ein, die die bekannten Sicherheitslücken nicht mehr hat, während man bei Debian darauf warten muss, dass das DSA-Team ausgeknobelt hat, ob die Sicherheitslücken für den individuellen Anwendungsfall auch gefährlich sein könnten ... nunja.

Sichert firejail inzwischen eigentlich irgendwie gegen Spectre ab?
So war das eigentlich nicht gemeint. Zumal seitens Debian nur dann eingegriffen wird, wenn es für Sicherheitslücken noch keine korrigieren Versionen gibt, bzw. wenn das Security-Team selbst Sicherheitslücken findet. Das ist doch an sich etwas Gutes, gerade wenn akut Handlungsbedarf besteht. Und anhand veröffentlichter CVEs ist auch ersichtlich, welche Sicherheitslücken eine besonders hohe Priorität haben. Da wird eher nichts ausgeknobelt.

Und was Spectre angeht, so ist das eine reine Baustelle für GCC, den Linux-Kernel, und muss via CPU-Microcode bzw. mittels verbesserter CPU-Architektur adressiert werden. Hier wäre Firejail die falsche Adresse. Wobei Firejail ohnehin auf Technologien basiert die der Linux-Kernel zur Verfügung stellt, und damit unmittelbar davon abhängig ist. Mittlerweile existieren ja schon einige wirksame Gegenmaßnahmen, nur Spectre v1 wird auf längere Sicht ein Problem bleiben. Zumal das Problem derart umfassend ist, dass immer wieder neue Angriffsvektoren auftauchen können, wo man kaum drum herum kommt die CPU-Architektur zu ändern. Nur das ist auch wieder so eine Sache, weil das zugrundeliegende Problem, die spekulative Ausführung, insbesondere für ein erhebliches Plus an Geschwindigkeit sorgt, und nicht mal eben komplett ausgeschaltet werden kann. Daher sehen die Gegenmaßnahmen im Linux-Kernel unter anderem auch vor, besondere Bereiche die davon betroffen sind, von der spekulativen Ausführung auszuschließen.

Antworten