Sicherheitsupdate für Chromium.

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 29.01.2018 07:12:10

https://www.bsi-fuer-buerger.de/SharedD ... nn=6775642
Sicherheitsupdate bereits am 25. Januar veröffentlicht? Öhm... Und wo bleibt dann die neue Version in den Stable-Repos? Heute ist der 29. also handelt es sich immerhin schon um 4 Tage! Es kann doch nicht sein, dass man sich mit einem Sicherheitsrelevanten Update unter Debian derart viel Zeit lässt! Ich dachte immer, Firefox und Chromium werden auch unter Stable zeitnahe auf dem neuesten Stand gebracht. Mehr als 2 Tage würde ich jetzt aber schon nicht mehr unter zeitnah verstehen.
~ Never change a flying system ~

DeletedUserReAsG

Re: Sicherheitsupdate für Chromium.

Beitrag von DeletedUserReAsG » 29.01.2018 08:08:02

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 07:12:10
Es kann doch nicht sein […]!
Ich würde mein Geld zurückverlangen! Zumindest aber die zukünftigen Zahlungen anteilsmäßig entsprechend geringer ausfallen lassen!

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsupdate für Chromium.

Beitrag von Lord_Carlos » 29.01.2018 09:00:29

It's es schon in upstream gefixed?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 29.01.2018 21:54:07

niemand hat geschrieben:Ich würde mein Geld zurückverlangen! Zumindest aber die zukünftigen Zahlungen anteilsmäßig entsprechend geringer ausfallen lassen!
Es geht nicht darum, ob es Debian zum Nulltarif gibt, das steht nicht zur Debatte! Es geht darum, dass man sich auch bei einem OpenSource-Betriebssystem ganz einfach auf gewisse Sicherheitsstandards verlassen können MUSS. Sie schreiben schließlich auf https://www.debian.org/security: "Debian takes security very seriously. We handle all security problems brought to our attention and ensure that they are corrected within a reasonable timeframe. Many advisories are coordinated with other free software vendors and are published the same day a vulnerability is made public and we also have a Security Audit team that reviews the archive looking for new or unfixed security bugs." Laut diesem Text müsste man doch davon ausgehen, dass gerade so wichtige Systembestandteile wie Browser so schnell wie möglich aktualisiert werden. ("... and ensure that they are corrected within a reasonable timeframe.") Und komm mir jetzt nicht mit Aussagen, von wegen, wer ein System zum Nulltarif benutzt, habe gefälligst keine Ansprüche zu stellen, wie man es aus deinem vorherigen Posting unschwer rauslesen konnte. Denn diese Sichtweise ist schlicht und einfach falsch, wenn man keine Ansprüche an ein OS stellen darf, warum sollte man es dann benutzen?
Lord_Carlos hat geschrieben:It's es schon in upstream gefixed?
Vielmehr stellt sich die Frage, warum dies noch nicht geschehen ist, schließlich ist Chromium Version 64 fix und fertig. Was ist so schwer daran, nun auch die neuen Pakete in der Distribution bereitzustellen? Die neue Version gibt es ja nicht erst seit heute oder gestern!
~ Never change a flying system ~

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsupdate für Chromium.

Beitrag von Lord_Carlos » 29.01.2018 22:30:16

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 21:54:07
Lord_Carlos hat geschrieben:It's es schon in upstream gefixed?
Vielmehr stellt sich die Frage, warum dies noch nicht geschehen ist, schließlich ist Chromium Version 64 fix und fertig. Was ist so schwer daran, nun auch die neuen Pakete in der Distribution bereitzustellen? Die neue Version gibt es ja nicht erst seit heute oder gestern!
Das war eine Frage: Wurde der Quellcode von den Sicherheitsfixes schon in Chromium eingescheckted von google?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 29.01.2018 22:45:10

Lord_Carlos hat geschrieben:Das war eine Frage: Wurde der Quellcode von den Sicherheitsfixes schon in Chromium eingescheckted von google?
Geschieht das nicht sowieso, sobald die betreffende Version fertig ist? Chromium ist doch die Opensource-Variante von Google Chrome, und auf der Seite des BSI war davon die Rede, dass von beiden Browsern Version 64 am 25. Januar 2018 fertiggestellt wurde. Oder, habe ich da an irgendeiner Stelle was verkehrt verstanden?
~ Never change a flying system ~

justme2h
Beiträge: 249
Registriert: 01.04.2013 15:04:09

Re: Sicherheitsupdate für Chromium.

Beitrag von justme2h » 29.01.2018 22:51:53

Die gefixte Chromium Version ist seit gestern (28.01) in unstable
http://metadata.ftp-master.debian.org/c ... _changelog
https://packages.debian.org/search?keywords=chromium

Für Chrome selbst gibt bereits ein Update auf 64.0.3282.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 29.01.2018 23:57:40

justme2h hat geschrieben:Die gefixte Chromium Version ist seit gestern (28.01) in unstable
Und warum nicht in Stable? Gibt es ein Problem mit der neuen Chromium Version, welches es rechtfertigt, dass diese bei Debian 9 noch nicht in den Repositories verfügbar ist? Chrome selbst ist für mich keine Option, da ich nur Software aus den Debian-Repos verwenden möchte.
~ Never change a flying system ~

DeletedUserReAsG

Re: Sicherheitsupdate für Chromium.

Beitrag von DeletedUserReAsG » 30.01.2018 07:40:06

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 21:54:07
Es geht darum, dass man sich auch bei einem OpenSource-Betriebssystem ganz einfach auf gewisse Sicherheitsstandards verlassen können MUSS.
Kann man. Deswegen dauert’s ein wenig, bis neue Versionen in Stable ankommen. Normalerweise™ sollte das überhaupt nicht der Fall sein, und besser wär’s,
sie würden Sachen wie Browser, bei denen man Patches nicht mehr sinnvoll rückportieren kann, einfach rausfallen lassen. Dann kämen auch nicht irgendwelche User und würden Forderungen(!) stellen.
Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 23:57:40
Und warum nicht in Stable?
Weil der vorgesehene Weg nunmal etwas länger ist. Hat mit Sicherheit zu tun.

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: Sicherheitsupdate für Chromium.

Beitrag von tijuca » 30.01.2018 22:01:03

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 23:57:40
justme2h hat geschrieben:Die gefixte Chromium Version ist seit gestern (28.01) in unstable
Und warum nicht in Stable? Gibt es ein Problem mit der neuen Chromium Version, welches es rechtfertigt, dass diese bei Debian 9 noch nicht in den Repositories verfügbar ist? Chrome selbst ist für mich keine Option, da ich nur Software aus den Debian-Repos verwenden möchte.
Schon mal daran gedacht das Debian Maintainer ihre Arbeit eigentlich in deren Freizeit machen? Und das so Pakete wie Firefox, Chromium und Thunderbird mal nicht "so eben" gebaut sind sondern eben auch noch etwas Testerei benötigen? Ebenso sind bis zu 10 Tagen (und mehr) für fertige Security Pakete keine Seltenheit, und, es gibt eben dann auch noch das Security Team die ebenfalls nochmal testen und auch ein Privatleben haben. Auch müssen die Mitglieder aus dem Debian Security Team etwas mehr im Blick haben wie ein Update. Debian ist eben nicht Ubuntu, Fedora oder Suse etc. Dort werden Leute dafür bezahlt Pakete entsprechend aufzubereiten.
Extrem wichtige und kritische Security Sachen sind wiederum längst fertig wenn es die Pressemeldung dann gibt, war zuletzt bei Spectre & Co auch wieder so.

Deine verbale Interaktion hier im Thread kann man auch missverstehen, Debian ist ein Projekt was auf Freiwilligen und ohne Zwang etwas tun zu müssen basiert, es gibt bei Debian kein Anspruch auf irgendwas weil es außer dem Gesellschaftervertrag und den Debian Richtlinien für freie Software nichts gibt was bindet ist.

https://www.debian.org/social_contract.de.html

Ich kann Dir daher empfehlen sich doch etwas tiefer damit zu beschäftigen wie Debian an sich funktioniert. Die technischen Sachen sind meistens gar nicht so schwierig, etwas diffiziler ist immer das was eben nicht auf Technik basiert.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 30.01.2018 22:41:22

tijuca hat geschrieben:Extrem wichtige und kritische Security Sachen sind wiederum längst fertig wenn es die Pressemeldung dann gibt, war zuletzt bei Spectre & Co auch wieder so.
Nun, wenn man sich da wirklich drauf verlassen kann, dass dem so ist, stimmt mich das schon deutlich milder. ;) Aber, genau daran hatte ich eben meine Zweifel, ob nun kritische Sicherheitsupdates rechtzeitig bereitgestellt werden, oder nicht. Ich weiß natürlich, dass hinter Debian kein kommerzielles Projekt steht, sondern dass die Entwickler dies freiwillig und unentgeldlich tun. Und ich muss jetzt wohl zugeben, dass ich nicht mal genau weiß, wie umfangreich die Paketierungsarbeiten an einer derart riesigen Distrubution ausfallen. Gleichwohl war mein Startbeitrag nicht als eine Forderung (also zum Beispiel im "Befehlston" gemeint, was auch immer ein niemand glauben mag), ich war nur halt ein wenig schockiert darüber, zu lesen, dass es seit dem 25. Januar ein Sicherheitsupdate für Chromium gibt, und dieses bis heute noch nicht in den Repositories der Stable-Distribution aufgetaucht ist. Wobei ich bisher ehrlich gesagt immer davon ausgegangen bin, dass Sicherheitsrelevante Updates, vor allem wenn diese wirklich ernst sind, so zügig wie möglich eingepflegt werden. Siehe den von mir zitierten Auszug aus der Website des Debian-Projektes, der mich zu dieser Annahme verleitet hat, aber den ich offenbar ein wenig missverstanden habe. Sry.
~ Never change a flying system ~

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Sicherheitsupdate für Chromium.

Beitrag von breakthewall » 31.01.2018 11:00:37

Hinsichtlich irgendwelcher Updates bzw. Sicherheitslücken, wird unter Debian meist verhältnismäßig schnell reagiert. Allerdings muss man Sicherheitslücken auch genau eingrenzen, da diese nicht automatisch auf jedem Betriebssystem relevant sind, und daher nicht akut adressiert werden müssen. Ebenso muss festgestellt werden, welches Potential eine Sicherheitslücke überhaupt hat, bevor man dem nun die höchste Priorität einräumt. Und wie sonst auch, werden sehr kritische Sicherheitslücken besonders schnell behoben, was auch desöfteren anhand eines DSAs passiert, unabhängig des eigentlichen Herstellers.

Will man hinsichtlich des Browsers auch vorbeugend agieren, empfiehlt sich die Nutzung einer Sandbox wie z.B. Firejail. So könnte man die Systemsicherheit unabhängig der Browser-Sicherheit gewährleisten, ohne hier gleich in Panik zu verfallen. Nebenbei erwähnt nutzt Firefox unter GNU/Linux, von Haus aus diverse Isolationstechniken wie Firejail, allerdings weniger restriktiv bzw. umfassend. Im Laufe dieses Jahres sollen Firefox und Chromium auch als Flatpaks erhältlich sein, wenn der native Support für Wayland gegeben ist.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 31.01.2018 22:16:39

breakthewall hat geschrieben:Will man hinsichtlich des Browsers auch vorbeugend agieren, empfiehlt sich die Nutzung einer Sandbox wie z.B. Firejail. So könnte man die Systemsicherheit unabhängig der Browser-Sicherheit gewährleisten, ohne hier gleich in Panik zu verfallen.
Öhm... Ich lasse meinen Browser so oder so schon mit Firejail laufen. Finde es angenehm, dass dieses Tool so einfach über die Profildateien im Verzeichnis /etc konfiguriert werden kann. ;)
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 00:32:58

Komisch, komisch ... hier:
viewtopic.php?f=12&t=168334&p=1161306#p1161306
war Animefreak79 noch der Meinung, man solle diese Sicherheitslücken nicht so ernst nehmen, und nun sorgt er sich auf einmal um Sicherheitsupdates. Ja, was denn nun?

Wenn man als Laie dann mal versucht herauszufinden, was im neuen Chromium denn nun sicherer ist, erfährt man erst mal, dass er Spectre und Meltdown noch stärker abspielt:
http://www.chip.de/news/Chrome-64-ist-d ... 12702.html
Außerdem bringt die neue Version Patches gegen die Sicherheitslücken Meltdown und Spectre, die nun durch eine stärkere JavaScript-Engine abgespielt werden sollen.
Bitte was?

Heise weiß dann schon von 53 Sicherheitslücken:
https://www.heise.de/security/meldung/G ... 50969.html
traut sich aber auch keine detailliertere Einschätzung zu.
Für noch mehr Informationen braucht man dann Englisch:
https://chromereleases.googleblog.com/2 ... op_24.html
und findet 24 der 53 Sicherheitslücken, bunt verteilt von Low bis High. Die anderen 29 sind so schlimm dass man nicht davon erzählen darf und riechen nach Spectre.

Nun wird von den Debian-Entwicklern erwartet, dass sie 53 eventuell komplexe Sicherheitslücken, von denen sie 29 erst selber suchen müssen, ins alte Chromium zurückportieren? Der Gedanke würd mir Angst machen. Tun sie aber anscheinend gar nicht:
https://packages.debian.org/de/chromium
In Stretch ist gerade Chromium 63 verfügbar, das kam lange nach dem Stretch-Freeze raus.
Wenn ich mir dann mal die Versionsstände angucke:
Wheezy ist auf dem Stand von 2014:
http://metadata.ftp-master.debian.org/c ... _changelog
Jessie ist Anfang 2017 hängengeblieben:
http://metadata.ftp-master.debian.org/c ... _changelog
Und Stretch hat seit dem 3. Dezember keine Updates mehr gesehen:
http://metadata.ftp-master.debian.org/c ... _changelog
So richtig ernst nimmt Debian das wohl nicht.

Ich wär ja froh,wenn's mir jemand ausredet, aber für mich sieht's so aus, als ob man mit Debians Chromium besonders lange was von den Sicherheitslücken hat. "Schnellere" Quellen kenne ich aber auch nicht.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 07:19:20

NAB hat geschrieben:...war Animefreak79 noch der Meinung, man solle diese Sicherheitslücken nicht so ernst nehmen, und nun sorgt er sich auf einmal um Sicherheitsupdates. Ja, was denn nun?
Würde die Dame (oder der Herr) meine Beiträge vernünftig lesen, wüsste sie (oder er), dass ich so einen Blödsinn an keiner einzigen Stelle geschrieben habe! Ich sagte lediglich, dass ich es statistisch gesehen für sehr unwahrscheinlich halte, dass ausgerechnet mein eigener PC zuhause von einem Angriff durch Meltdown oder Spectre betroffen sein wird, und bezog mich dabei im Speziellen auf diese beiden Sicherheitslücken. Aber bitte unterstelle mir nicht, ich hätte irgendwo gepostet, man solle Sicherheitslücken nicht ernst nehmen!

Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu. ;)
~ Never change a flying system ~

DeletedUserReAsG

Re: Sicherheitsupdate für Chromium.

Beitrag von DeletedUserReAsG » 01.02.2018 07:57:48

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 07:19:20
Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung.
Wenn es um einen über die Paketverwaltung installierten Chromium geht, würde ich mir nun wirklich Sorgen machen. Damit sich dieser selbst aktualisieren könnte, braucht er Rootrechte. Und da ein normaldenkender Mensch einen Browser nie wissentlich als Root startet (von besonders geschützten Testszenarien mal abgesehen), müsste sich dein Chromium die notwendigen Rechte irgendwie anders besorgt haben ….

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von rendegast » 01.02.2018 11:16:36

Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Geht es bei firefox generell schneller mit der Einspielung?
Ist es bei chromium vielleicht nur dieser Versionssprung, bei dem die Übernahme nach stable länger dauert?




clamav hängt eigentlich immer eine ganze Weile hinterher.
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.2 Recommended version: 0.99.3



Animefreak79 hat geschrieben: (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu.
Heute ist chromium 64 in stretch angekommen
https://packages.debian.org/chromium
Mach mal 'apt-cache policy chromium', prüfe das Log von unattended-upgrades o.a.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 15:40:20

rendegast hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 11:16:36
Geht es bei firefox generell schneller mit der Einspielung?
Beim Firefox ESR geht es gefühlt schneller, ja. 24 bis 48 Stunden vergehen von da, wo ich von der Sicherheitslücke erfahre (heise etc.) bis zum Update durch Debian. Wobei ich da keine wissenschaftlichen Studien gemacht habe. Und beim Firefox ESR werden auch "zwischendurch-Updates" eingespielt, nicht nur neue Versionen.

Aber auch das ist ein Loch von 24 Stunden, das z.B. bei Windows nicht auftritt. Oder wenn ich das Repository direkt vom Hersteller beziehe, was beim Chromium nicht geht. Mein Google Chrome hingegen war schon aktualisiert, bevor Animefreak79 diesen Thread aufgemacht hat.

Vorallem ist der Firefox ESR durch die Bank aktuell, von Wheezy bis Buster:
https://packages.debian.org/search?keywords=firefox-esr
im krassen Gegensatz zum Chromium. Mir scheint, Chromium wird von Debian nicht so recht ernst genommen.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 16:21:07

rendegast hat geschrieben:Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Okay, das erklärt einiges. Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab. Wie schon an mehreren Stellen erwähnt, ich hab vorher Linux Mint benutzt, da ist mir so etwas bisher noch nicht begegnet (allerdings hatte ich mit Mint haufenweise Probs). Ich hatte neulich nämlich auf https://www.debian.org/security/ Ein Update für Firefox ESR und vor Kurzem auch für Thunderbird entdeckt... Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren. Also habe ich

Code: Alles auswählen

cat /var/log/dpkg.log
gemacht, und festgestellt, dass die Updates tatsächlich durchgeführt worden sind, obwohl ich die Meldung erhalten habe, dass nicht geupdatet wurde. Ich nahm mir also vor, zumächst mal bis zum nächsten Update eines Mozilla-Produktes zu warten (also die Software, bei der dieses Phänomen halt auftrat), und wenn wieder in der Konsole steht, dass nichts geupdatet wurde, aber trotzdem im Logfile steht, dass ein Update stattgefunden hat, die Sache hier im Forum zu posten und mal nachzufragen. Und dann das Ereignis heute morgen... Jetzt bin ich wieder zuhause, hab allerdings festgestellt, dass logrotate schon in Aktion getreten ist, dpkg.log also leer, demzufolge also:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ tail --lines=25 /var/log/dpkg.log.1
2018-02-01 06:55:32 trigproc mime-support:all 3.60 <keine>
2018-02-01 06:55:32 status half-configured mime-support:all 3.60
2018-02-01 06:55:33 status installed mime-support:all 3.60
2018-02-01 06:55:33 trigproc desktop-file-utils:amd64 0.23-1 <keine>
2018-02-01 06:55:33 status half-configured desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 status installed desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 configure chromium:amd64 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status half-configured chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status triggers-awaited chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 trigproc man-db:amd64 2.7.6.1-2 <keine>
2018-02-01 06:55:33 status half-configured man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 status installed man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 trigproc hicolor-icon-theme:all 0.15-1 <keine>
2018-02-01 06:55:34 status half-configured hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 status installed chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 configure chromium-l10n:all 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:34 status unpacked chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status half-configured chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed chromium-l10n:all 64.0.3282.119-1~deb9u1
shinji@nerv-kommandozentrale:~$
Es ist geschehen, wie ich befürchtet habe... Auch Chromium wurde geupdatet, hier war es sogar so, dass das Update noch nicht auf der Seite des Debianprojektes angegeben war, ich also kein Update durchgeführt hab, trotzdem hat laut Logfile zur Paketverwaltung das Update von Chromium 63 zu 64 stattgefunden. Nun noch, auf Vorschlag von rendegast:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ apt-cache policy chromium
chromium:
  Installiert:           64.0.3282.119-1~deb9u1
  Installationskandidat: 64.0.3282.119-1~deb9u1
  Versionstabelle:
 *** 64.0.3282.119-1~deb9u1 500
        500 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     62.0.3202.89-1~deb9u1 500
        500 http://ftp.de.debian.org/debian stretch/main amd64 Packages
        500 http://deb.debian.org/debian stretch/main amd64 Packages
shinji@nerv-kommandozentrale:~$
Ich muss mir jetzt keine Sorgen machen, oder? Ich erinnere mich nämlich noch, dass ich irgendwann letzten Jahres ein Update von Chromium bekommen hab, und dieses ist ganz normal von mir über die Konsole eingespielt worden. (Bei Firefox ESR und Thunderbird dasselbe). Und jetzt... So etwas? O_o
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 17:35:27

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 16:21:07
Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab.
Aus Debiansicht werden einige Softwarepakete vom Hersteller so mies gepflegt und dokumentiert, dass Debian sie nicht mehr langzeit-betreuen kann, weil das abstrus viel Arbeitskraft kosten würde. Aus Sicht der Hersteller basteln sie halt permanent dran rum, alte Versionen werden nicht mehr gepflegt und ausschlaggebend ist einzig die neuste Version. Die Pflege alter Versionen würde nur sinnlos Arbeitskraft vergeuden. Beide Positionen sind verständlich.

Mozilla bietet hier als Kompromiss noch den Firefox ESR an. Google zwingt zu permanenten Updates.
Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 16:21:07
Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren.
Das hier ist aber was völlig anderes. Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 18:03:48

NAB hat geschrieben:Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".
Nee, Unattended-Logfiles, die ich aufgrund des Tipps von rendegast überprüfte, sind allesamt komplett leer. Die anderen drei von dir genannten Optionen treffen meines Wissens nach definitiv nicht zu, also... Woran kann das liegen? Heute morgen wurde mir auch Chromium von Version 63 auf 64 aktualisiert OHNE mein Zutun, wie ich ja schon im vorherigen Post erwähnte. Muss ich mir da jetzt echt irgendwie Sorgen machen, oder gibt es noch eine andere Auto Update Funktion an irgendeiner Stelle? O_o
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 18:23:34

Also für den KDE gibt es "Apper" als GUI-Updater, der irgendwie mit Policykit und Packagekit sein unheiliges Eigenleben führt, völlig an "unattended updates" vorbei. Ich bin immer bemüht, es schnell loszuwerden.

Ich vermute, für Gnome (oder was benutzt du?) wird es was ähnliches geben. Anscheinend funktioniert das besser.

Beide stammen ja aus der RPM-Welt (Red Hat bzw. Suse) und sind der DEB-Welt nicht auf den Leib geschneidert.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 18:47:27

Naja, ich nutze XFCE und hab mir parallel noch MATE installiert. Aber... Ich hab mir eigentlich nie so einen Updater installiert, ich halte nichts von solchen undurchsichtigen GUI-Werkzeugen, wo man nie hundertprozentig weiß, was da wirklich unter der Haube geschieht. Ich mache ja nicht einmal meine Updates oder Installationen mit DebianSynaptic sondern immer alles ganz normal über die Konsole. Deshalb... Finde ich dieses Phänomen irgendwie beunruhigend... Oder, hat Debian da vllt etwas geändert, dass jetzt Programme wie Browser o.ä. auf diese Weise vom System aktualisiert werden?

Ich sollte vllt noch erwähnen, dass dieses Phänomen nur bei der Mozilla-Palette und Chromium aufzutreten scheint, alle anderen Updates laufen ganz normal über die Konsole und werden mir auch so angezeigt. Vor Kurzem waren dies beispielsweise ffmpeg, curl und poppler.
~ Never change a flying system ~

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Sicherheitsupdate für Chromium.

Beitrag von Animefreak79 » 01.02.2018 21:20:43

Momeeeent mal... Ich bin eben in der Badewanne doch glatt auf eine Idee gekommen... PoilcyKit für Anwendungen wie DebianSynaptic wird doch unter Debian über DebianPackageKit zustande gebracht, oder? Zumindest kam mir beim Baden der Verdacht, dass PackageKit mit diesen seltsamen Erlebnissen zu tun hat, also dachte ich, könnte ich es doch mal mit

Code: Alles auswählen

apt-cache showpkg packagekit
probieren... Die Folge war:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ su root
Passwort: 
root@nerv-kommandozentrale:/home/shinji# apt-cache showpkg packagekit
Package: packagekit
Versions: 
1.1.5-2 (/var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/dpkg/status)
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-i386_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: de
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-de
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: en
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-en
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0


Reverse Depends: 
  gstreamer1.0-packagekit,packagekit 1.1.5-2
  packagekit:i386,packagekit
  0install-core,packagekit
  software-properties-common,packagekit
  plasma-discover,packagekit 1.0
  libpackagekitqt5-0,packagekit
  packagekit-tools,packagekit 1.1.5-2
  packagekit-command-not-found,packagekit 1.1.5-2
  libpackagekit-glib2-18,packagekit 1.1.5-2
  apper,packagekit 0.8.6
  isenkram,packagekit
  gnome-software,packagekit 1.1.4
  gnome-packagekit,packagekit 1.0.4
Dependencies: 
1.1.5-2 - libglib2.0-bin (0 (null)) policykit-1 (0 (null)) libapt-inst2.0 (2 1.1) libapt-pkg5.0 (2 1.1) libc6 (2 2.14) libgcc1 (2 1:3.0) libglib2.0-0 (2 2.46) libgstreamer1.0-0 (2 1.0.0) libpackagekit-glib2-18 (2 1.1.4) libpolkit-gobject-1-0 (2 0.99) libsqlite3-0 (2 3.5.9) libstdc++6 (2 5.2) libsystemd0 (2 214) libpackagekit-glib2-14 (1 0.7.6-4) libpackagekit-qt2-2 (1 0.7.6-4) packagekit-backend-apt (3 1.0) packagekit-backend-aptcc (3 1.0) packagekit-backend-smart (3 1.0) packagekit-offline-update (3 1.0) packagekit-tools (0 (null)) appstream (0 (null)) packagekit:i386 (32 (null)) 
Provides: 
1.1.5-2 - packagekit:i386 (= 1.1.5-2) 
Reverse Provides: 
packagekit:i386 1.1.5-2 (= 1.1.5-2)
root@nerv-kommandozentrale:/home/shinji#
Öhm... Debianplasma-discover :?: :?: :?: Noch nie von gehört! Müsste ja ein KDE-Programm sein, keine Ahnung wie das auf mein System geraten ist, habe kein KDE installiert. Und Apper erwähnte NAB ja ebenfalls... Also mal DebianSynaptic gestartet, um mal ein paar detailiertere Beschreibungen zu diesen Paketen zu erhalten... Apper ist auf meinem System nicht installiert, Plasma-Discover allerdings schon. Ich frage mich allerdings, warum und wieso, ich nutze kein KDE? (Hab allerdings das ein oder andere KDE-Programm). Also mal die Beschreibung zu diesem Paket durchgelesen... Ein Programm, welches unter anderem für automatische Updates verwendet wird... Vermutlich so etwas wie mintUpdate unter Linux Mint... Könnte dies des Rätsels Lösung sein? Ich nehme mal an, ich kann diese Software gefahrlos deinstallieren, ich brauche jedenfalls kein Programm, welches auf irgendeine Weise mit meinen Updates zu kollidieren imstande ist, was ja offensichtlich bereits geschehen ist. Und wenn das nicht der Grund für die Seltsamkeiten mit den Updates für Chromium und der Mozilla-Palette ist... Dann weiß ich echt auch nicht weiter! :mrgreen:
~ Never change a flying system ~

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsupdate für Chromium.

Beitrag von NAB » 01.02.2018 21:42:40

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
01.02.2018 21:20:43
Könnte dies des Rätsels Lösung sein?
Ja!
Genaueres über das Zusammenspiel weiß ich aber auch nicht. Und wie du an die Pakete gekommen bist auch nicht. Vielleicht kann da noch jemand mehr zu erklären.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Antworten