Wenn es um einen über die Paketverwaltung installierten Chromium geht, würde ich mir nun wirklich Sorgen machen. Damit sich dieser selbst aktualisieren könnte, braucht er Rootrechte. Und da ein normaldenkender Mensch einen Browser nie wissentlich als Root startet (von besonders geschützten Testszenarien mal abgesehen), müsste sich dein Chromium die notwendigen Rechte irgendwie anders besorgt haben ….Animefreak79 hat geschrieben:01.02.2018 07:19:20Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung.
Sicherheitsupdate für Chromium.
Re: Sicherheitsupdate für Chromium.
Re: Sicherheitsupdate für Chromium.
Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Geht es bei firefox generell schneller mit der Einspielung?
Ist es bei chromium vielleicht nur dieser Versionssprung, bei dem die Übernahme nach stable länger dauert?
clamav hängt eigentlich immer eine ganze Weile hinterher.
https://packages.debian.org/chromium
Mach mal 'apt-cache policy chromium', prüfe das Log von unattended-upgrades o.a.
chromium gehört dazu, ebenso firefox, oder auch clamav.
Geht es bei firefox generell schneller mit der Einspielung?
Ist es bei chromium vielleicht nur dieser Versionssprung, bei dem die Übernahme nach stable länger dauert?
clamav hängt eigentlich immer eine ganze Weile hinterher.
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.2 Recommended version: 0.99.3
Heute ist chromium 64 in stretch angekommenAnimefreak79 hat geschrieben: (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu.
https://packages.debian.org/chromium
Mach mal 'apt-cache policy chromium', prüfe das Log von unattended-upgrades o.a.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Sicherheitsupdate für Chromium.
Beim Firefox ESR geht es gefühlt schneller, ja. 24 bis 48 Stunden vergehen von da, wo ich von der Sicherheitslücke erfahre (heise etc.) bis zum Update durch Debian. Wobei ich da keine wissenschaftlichen Studien gemacht habe. Und beim Firefox ESR werden auch "zwischendurch-Updates" eingespielt, nicht nur neue Versionen.rendegast hat geschrieben:01.02.2018 11:16:36Geht es bei firefox generell schneller mit der Einspielung?
Aber auch das ist ein Loch von 24 Stunden, das z.B. bei Windows nicht auftritt. Oder wenn ich das Repository direkt vom Hersteller beziehe, was beim Chromium nicht geht. Mein Google Chrome hingegen war schon aktualisiert, bevor Animefreak79 diesen Thread aufgemacht hat.
Vorallem ist der Firefox ESR durch die Bank aktuell, von Wheezy bis Buster:
https://packages.debian.org/search?keywords=firefox-esr
im krassen Gegensatz zum Chromium. Mir scheint, Chromium wird von Debian nicht so recht ernst genommen.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: Sicherheitsupdate für Chromium.
Okay, das erklärt einiges. Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab. Wie schon an mehreren Stellen erwähnt, ich hab vorher Linux Mint benutzt, da ist mir so etwas bisher noch nicht begegnet (allerdings hatte ich mit Mint haufenweise Probs). Ich hatte neulich nämlich auf https://www.debian.org/security/ Ein Update für Firefox ESR und vor Kurzem auch für Thunderbird entdeckt... Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wierendegast hat geschrieben:Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Code: Alles auswählen
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Code: Alles auswählen
cat /var/log/dpkg.log
Code: Alles auswählen
shinji@nerv-kommandozentrale:~$ tail --lines=25 /var/log/dpkg.log.1
2018-02-01 06:55:32 trigproc mime-support:all 3.60 <keine>
2018-02-01 06:55:32 status half-configured mime-support:all 3.60
2018-02-01 06:55:33 status installed mime-support:all 3.60
2018-02-01 06:55:33 trigproc desktop-file-utils:amd64 0.23-1 <keine>
2018-02-01 06:55:33 status half-configured desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 status installed desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 configure chromium:amd64 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status half-configured chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status triggers-awaited chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 trigproc man-db:amd64 2.7.6.1-2 <keine>
2018-02-01 06:55:33 status half-configured man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 status installed man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 trigproc hicolor-icon-theme:all 0.15-1 <keine>
2018-02-01 06:55:34 status half-configured hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 status installed chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 configure chromium-l10n:all 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:34 status unpacked chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status half-configured chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed chromium-l10n:all 64.0.3282.119-1~deb9u1
shinji@nerv-kommandozentrale:~$
Code: Alles auswählen
shinji@nerv-kommandozentrale:~$ apt-cache policy chromium
chromium:
Installiert: 64.0.3282.119-1~deb9u1
Installationskandidat: 64.0.3282.119-1~deb9u1
Versionstabelle:
*** 64.0.3282.119-1~deb9u1 500
500 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
100 /var/lib/dpkg/status
62.0.3202.89-1~deb9u1 500
500 http://ftp.de.debian.org/debian stretch/main amd64 Packages
500 http://deb.debian.org/debian stretch/main amd64 Packages
shinji@nerv-kommandozentrale:~$
~ Never change a flying system ~
Re: Sicherheitsupdate für Chromium.
Aus Debiansicht werden einige Softwarepakete vom Hersteller so mies gepflegt und dokumentiert, dass Debian sie nicht mehr langzeit-betreuen kann, weil das abstrus viel Arbeitskraft kosten würde. Aus Sicht der Hersteller basteln sie halt permanent dran rum, alte Versionen werden nicht mehr gepflegt und ausschlaggebend ist einzig die neuste Version. Die Pflege alter Versionen würde nur sinnlos Arbeitskraft vergeuden. Beide Positionen sind verständlich.Animefreak79 hat geschrieben:01.02.2018 16:21:07Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab.
Mozilla bietet hier als Kompromiss noch den Firefox ESR an. Google zwingt zu permanenten Updates.
Das hier ist aber was völlig anderes. Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".Animefreak79 hat geschrieben:01.02.2018 16:21:07Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wieAlso habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren.Code: Alles auswählen
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: Sicherheitsupdate für Chromium.
Nee, Unattended-Logfiles, die ich aufgrund des Tipps von rendegast überprüfte, sind allesamt komplett leer. Die anderen drei von dir genannten Optionen treffen meines Wissens nach definitiv nicht zu, also... Woran kann das liegen? Heute morgen wurde mir auch Chromium von Version 63 auf 64 aktualisiert OHNE mein Zutun, wie ich ja schon im vorherigen Post erwähnte. Muss ich mir da jetzt echt irgendwie Sorgen machen, oder gibt es noch eine andere Auto Update Funktion an irgendeiner Stelle? O_oNAB hat geschrieben:Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".
~ Never change a flying system ~
Re: Sicherheitsupdate für Chromium.
Also für den KDE gibt es "Apper" als GUI-Updater, der irgendwie mit Policykit und Packagekit sein unheiliges Eigenleben führt, völlig an "unattended updates" vorbei. Ich bin immer bemüht, es schnell loszuwerden.
Ich vermute, für Gnome (oder was benutzt du?) wird es was ähnliches geben. Anscheinend funktioniert das besser.
Beide stammen ja aus der RPM-Welt (Red Hat bzw. Suse) und sind der DEB-Welt nicht auf den Leib geschneidert.
Ich vermute, für Gnome (oder was benutzt du?) wird es was ähnliches geben. Anscheinend funktioniert das besser.
Beide stammen ja aus der RPM-Welt (Red Hat bzw. Suse) und sind der DEB-Welt nicht auf den Leib geschneidert.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: Sicherheitsupdate für Chromium.
Naja, ich nutze XFCE und hab mir parallel noch MATE installiert. Aber... Ich hab mir eigentlich nie so einen Updater installiert, ich halte nichts von solchen undurchsichtigen GUI-Werkzeugen, wo man nie hundertprozentig weiß, was da wirklich unter der Haube geschieht. Ich mache ja nicht einmal meine Updates oder Installationen mit Synaptic sondern immer alles ganz normal über die Konsole. Deshalb... Finde ich dieses Phänomen irgendwie beunruhigend... Oder, hat Debian da vllt etwas geändert, dass jetzt Programme wie Browser o.ä. auf diese Weise vom System aktualisiert werden?
Ich sollte vllt noch erwähnen, dass dieses Phänomen nur bei der Mozilla-Palette und Chromium aufzutreten scheint, alle anderen Updates laufen ganz normal über die Konsole und werden mir auch so angezeigt. Vor Kurzem waren dies beispielsweise ffmpeg, curl und poppler.
Ich sollte vllt noch erwähnen, dass dieses Phänomen nur bei der Mozilla-Palette und Chromium aufzutreten scheint, alle anderen Updates laufen ganz normal über die Konsole und werden mir auch so angezeigt. Vor Kurzem waren dies beispielsweise ffmpeg, curl und poppler.
~ Never change a flying system ~
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: Sicherheitsupdate für Chromium.
Momeeeent mal... Ich bin eben in der Badewanne doch glatt auf eine Idee gekommen... PoilcyKit für Anwendungen wie Synaptic wird doch unter Debian über PackageKit zustande gebracht, oder? Zumindest kam mir beim Baden der Verdacht, dass PackageKit mit diesen seltsamen Erlebnissen zu tun hat, also dachte ich, könnte ich es doch mal mit probieren... Die Folge war:
Öhm... plasma-discover Noch nie von gehört! Müsste ja ein KDE-Programm sein, keine Ahnung wie das auf mein System geraten ist, habe kein KDE installiert. Und Apper erwähnte NAB ja ebenfalls... Also mal Synaptic gestartet, um mal ein paar detailiertere Beschreibungen zu diesen Paketen zu erhalten... Apper ist auf meinem System nicht installiert, Plasma-Discover allerdings schon. Ich frage mich allerdings, warum und wieso, ich nutze kein KDE? (Hab allerdings das ein oder andere KDE-Programm). Also mal die Beschreibung zu diesem Paket durchgelesen... Ein Programm, welches unter anderem für automatische Updates verwendet wird... Vermutlich so etwas wie mintUpdate unter Linux Mint... Könnte dies des Rätsels Lösung sein? Ich nehme mal an, ich kann diese Software gefahrlos deinstallieren, ich brauche jedenfalls kein Programm, welches auf irgendeine Weise mit meinen Updates zu kollidieren imstande ist, was ja offensichtlich bereits geschehen ist. Und wenn das nicht der Grund für die Seltsamkeiten mit den Updates für Chromium und der Mozilla-Palette ist... Dann weiß ich echt auch nicht weiter!
Code: Alles auswählen
apt-cache showpkg packagekit
Code: Alles auswählen
shinji@nerv-kommandozentrale:~$ su root
Passwort:
root@nerv-kommandozentrale:/home/shinji# apt-cache showpkg packagekit
Package: packagekit
Versions:
1.1.5-2 (/var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/dpkg/status)
Description Language:
File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages
MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
Description Language:
File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-i386_Packages
MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
Description Language: de
File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-de
MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
Description Language: en
File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-en
MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
Reverse Depends:
gstreamer1.0-packagekit,packagekit 1.1.5-2
packagekit:i386,packagekit
0install-core,packagekit
software-properties-common,packagekit
plasma-discover,packagekit 1.0
libpackagekitqt5-0,packagekit
packagekit-tools,packagekit 1.1.5-2
packagekit-command-not-found,packagekit 1.1.5-2
libpackagekit-glib2-18,packagekit 1.1.5-2
apper,packagekit 0.8.6
isenkram,packagekit
gnome-software,packagekit 1.1.4
gnome-packagekit,packagekit 1.0.4
Dependencies:
1.1.5-2 - libglib2.0-bin (0 (null)) policykit-1 (0 (null)) libapt-inst2.0 (2 1.1) libapt-pkg5.0 (2 1.1) libc6 (2 2.14) libgcc1 (2 1:3.0) libglib2.0-0 (2 2.46) libgstreamer1.0-0 (2 1.0.0) libpackagekit-glib2-18 (2 1.1.4) libpolkit-gobject-1-0 (2 0.99) libsqlite3-0 (2 3.5.9) libstdc++6 (2 5.2) libsystemd0 (2 214) libpackagekit-glib2-14 (1 0.7.6-4) libpackagekit-qt2-2 (1 0.7.6-4) packagekit-backend-apt (3 1.0) packagekit-backend-aptcc (3 1.0) packagekit-backend-smart (3 1.0) packagekit-offline-update (3 1.0) packagekit-tools (0 (null)) appstream (0 (null)) packagekit:i386 (32 (null))
Provides:
1.1.5-2 - packagekit:i386 (= 1.1.5-2)
Reverse Provides:
packagekit:i386 1.1.5-2 (= 1.1.5-2)
root@nerv-kommandozentrale:/home/shinji#
~ Never change a flying system ~
Re: Sicherheitsupdate für Chromium.
Ja!
Genaueres über das Zusammenspiel weiß ich aber auch nicht. Und wie du an die Pakete gekommen bist auch nicht. Vielleicht kann da noch jemand mehr zu erklären.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Sicherheitsupdate für Chromium.
Ich werde so langsam mit dem Chromium unsicher, derzeit läuft auf meinem Debian Stretch 64.0.3282.119, die ist vom Januar 2018.
https://chromereleases.googleblog.com/2 ... op_24.html
Ich verfolge den Browser nicht so sehr, einige meiner User möchten den verwenden, aber mir kommt das schon sehr alt vor.
Gab es seither keine Security Fixes?
https://chromereleases.googleblog.com/2 ... op_24.html
Ich verfolge den Browser nicht so sehr, einige meiner User möchten den verwenden, aber mir kommt das schon sehr alt vor.
Gab es seither keine Security Fixes?
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
-
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: Sicherheitsupdate für Chromium.
Klingt etwas übertrieben. Die Version von Chromium ist für Debian-Stable völlig in Ordnung. Diese wird ebenso mit Sicherheitsupdates versorgt, was auch mittels "apt changelog PAKETNAME" überprüfen kannst. Und nicht zuletzt kannst deinen Browser auch mittels Firejail oder AppArmor isolieren, um mögliche Sicherheitsprobleme präventiv einzudämmen.slu hat geschrieben:08.04.2018 22:06:13Ich werde so langsam mit dem Chromium unsicher, derzeit läuft auf meinem Debian Stretch 64.0.3282.119, die ist vom Januar 2018.
https://chromereleases.googleblog.com/2 ... op_24.html
Ich verfolge den Browser nicht so sehr, einige meiner User möchten den verwenden, aber mir kommt das schon sehr alt vor.
Gab es seither keine Security Fixes?
Code: Alles auswählen
apt install firejail
firejail chromium
Re: Sicherheitsupdate für Chromium.
Wird sie nicht. Debian spielt einfach eine höhere Version ein, wie hier:breakthewall hat geschrieben:09.04.2018 00:04:54Klingt etwas übertrieben. Die Version von Chromium ist für Debian-Stable völlig in Ordnung. Diese wird ebenso mit Sicherheitsupdates versorgt,
https://security-tracker.debian.org/tra ... -2018-6054
62 -> 64
Und wenn ich mir die Liste der offenen Fehler so angucke:
https://security-tracker.debian.org/tra ... um-browser
scheint sich da seit Ende Januar nichts mehr getan zu haben.
Version 65 schließt etliche davon:
https://chromereleases.googleblog.com/2 ... sktop.html
Die ist seit Anfang März verfügbar - nur nicht bei Debian.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
-
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: Sicherheitsupdate für Chromium.
Es werden nicht nur höhere Versionen eingespielt. Das hängt auch davon ab, ob es für bekannte Probleme auch offizielle Patches gibt. Wenn nicht dann wird das Security-Team (DSA) von Debian von sich aus aktiv, sofern jene Sicherheitslücken auch akut gefährlich sind. Ansonsten sind Maintainer auch nur Menschen, womit Aktualisierungen je nachdem etwas dauern können. Es wird ja nicht direkt über den Entwickler aktualisiert. Daher auch die Empfehlung mit der Sandbox, was eigentlich nie verkehrt ist, da es immer Sicherheitslücken geben wird.NAB hat geschrieben:09.04.2018 02:02:45Wird sie nicht. Debian spielt einfach eine höhere Version ein, wie hier:
https://security-tracker.debian.org/tra ... -2018-6054
62 -> 64
Und wenn ich mir die Liste der offenen Fehler so angucke:
https://security-tracker.debian.org/tra ... um-browser
scheint sich da seit Ende Januar nichts mehr getan zu haben.
Diese Version existiert bereits in Debian-Unstable. Von daher kann es nicht mehr lange dauern, bis das in Debian-Stable erscheint.NAB hat geschrieben:09.04.2018 02:02:45Version 65 schließt etliche davon:
https://chromereleases.googleblog.com/2 ... sktop.html
Die ist seit Anfang März verfügbar - nur nicht bei Debian.
Re: Sicherheitsupdate für Chromium.
Also auf anderen Platformen spielt man einfach eine Version ein, die die bekannten Sicherheitslücken nicht mehr hat, während man bei Debian darauf warten muss, dass das DSA-Team ausgeknobelt hat, ob die Sicherheitslücken für den individuellen Anwendungsfall auch gefährlich sein könnten ... nunja.breakthewall hat geschrieben:09.04.2018 12:14:39Wenn nicht dann wird das Security-Team (DSA) von Debian von sich aus aktiv, sofern jene Sicherheitslücken auch akut gefährlich sind.
Sichert firejail inzwischen eigentlich irgendwie gegen Spectre ab?
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
-
- Beiträge: 385
- Registriert: 16.06.2017 09:52:36
Re: Sicherheitsupdate für Chromium.
65 existiert schon seit dem 20.02. in unstable:
https://tracker.debian.org/pkg/chromium-browser
Wie man sieht, ist sogar schon 66 längst in unstable.
Die Maintainer werden sich sicher was bei denken und ich würde ihnen mehr vertrauen als Google.
(Außerdem: wer einen browser von google verwendet, braucht sich um Sicherheit eh keine Gedanken zu machen... )
https://tracker.debian.org/pkg/chromium-browser
Wie man sieht, ist sogar schon 66 längst in unstable.
Die Maintainer werden sich sicher was bei denken und ich würde ihnen mehr vertrauen als Google.
(Außerdem: wer einen browser von google verwendet, braucht sich um Sicherheit eh keine Gedanken zu machen... )
Re: Sicherheitsupdate für Chromium.
Ich bezweifele weder, dass die Maintainer sich was denken, noch, dass sie sehr bemüht sind. Es sieht mir eher so aus, als ob sie nicht hinterherkommen ... ähnlich wie bei Firefox damals.RobertDebiannutzer hat geschrieben:09.04.2018 18:47:27Die Maintainer werden sich sicher was bei denken und ich würde ihnen mehr vertrauen als Google.
Übrigens müssen auch die Maintainer Google vertrauen ... darauf dass Google sämtliche Sicherheitslücken auch deutlich per CVE oder anderweitig dokumentiert, inklusive Patch. Andernfalls müssen sie jegliche Code-Änderung auf eigene Faust darauf hin abgrasen, ob sie vielleicht (auch) eine Sicherheitslücke schließt.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Sicherheitsupdate für Chromium.
Unsarkastisch betrachtet ist das völlig korrekt - problematisch sind die datenschutztechnischen Details. Aber Firefox ist da ja auch schwer am aufholen. Die wären in dem Punkt eigentlich heute schon fast gleich unbrauchbar, wenn man Firefox nicht noch so großzügig umkonfigurieren könnte!?RobertDebiannutzer hat geschrieben:09.04.2018 18:47:27(Außerdem: wer einen browser von google verwendet, braucht sich um Sicherheit eh keine Gedanken zu machen... )
-
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: Sicherheitsupdate für Chromium.
So war das eigentlich nicht gemeint. Zumal seitens Debian nur dann eingegriffen wird, wenn es für Sicherheitslücken noch keine korrigieren Versionen gibt, bzw. wenn das Security-Team selbst Sicherheitslücken findet. Das ist doch an sich etwas Gutes, gerade wenn akut Handlungsbedarf besteht. Und anhand veröffentlichter CVEs ist auch ersichtlich, welche Sicherheitslücken eine besonders hohe Priorität haben. Da wird eher nichts ausgeknobelt.NAB hat geschrieben:09.04.2018 17:32:50Also auf anderen Platformen spielt man einfach eine Version ein, die die bekannten Sicherheitslücken nicht mehr hat, während man bei Debian darauf warten muss, dass das DSA-Team ausgeknobelt hat, ob die Sicherheitslücken für den individuellen Anwendungsfall auch gefährlich sein könnten ... nunja.
Sichert firejail inzwischen eigentlich irgendwie gegen Spectre ab?
Und was Spectre angeht, so ist das eine reine Baustelle für GCC, den Linux-Kernel, und muss via CPU-Microcode bzw. mittels verbesserter CPU-Architektur adressiert werden. Hier wäre Firejail die falsche Adresse. Wobei Firejail ohnehin auf Technologien basiert die der Linux-Kernel zur Verfügung stellt, und damit unmittelbar davon abhängig ist. Mittlerweile existieren ja schon einige wirksame Gegenmaßnahmen, nur Spectre v1 wird auf längere Sicht ein Problem bleiben. Zumal das Problem derart umfassend ist, dass immer wieder neue Angriffsvektoren auftauchen können, wo man kaum drum herum kommt die CPU-Architektur zu ändern. Nur das ist auch wieder so eine Sache, weil das zugrundeliegende Problem, die spekulative Ausführung, insbesondere für ein erhebliches Plus an Geschwindigkeit sorgt, und nicht mal eben komplett ausgeschaltet werden kann. Daher sehen die Gegenmaßnahmen im Linux-Kernel unter anderem auch vor, besondere Bereiche die davon betroffen sind, von der spekulativen Ausführung auszuschließen.