[GELÖST] Einbinden von debian-security Repo führt zu Downgrade

[lod]

Hallo zusammen

Ich verstehe das Phänomen nicht ganz. Wenn ich in meiner Source-List die Security-Repos:

Code: Alles auswählen

deb http://deb.debian.org/debian-security buster/updates main contrib non-free
deb-src http://deb.debian.org/debian-security buster/updates main contrib non-free

aktiviere, will mein System ein Downgrade von diversen Packages durchführen. Ohne die Sercurity-Einträge hingegen ist alles OK.

Unglücklicherweise verursacht der Downgrade ein Problem mit meiner nvidia Grafikkarte, deshalb hab ich die Sercurity-Upgrades Repos vorerst mal deaktiviert. Die Security-Upgrades sollen ja sowieso dann mal im "normalen" Repo einfliessen. Jedoch wäre in der heutigen Zeit ein aktuelles System schon cool

Daher meine Fragen:

• Ist das normal?
• Wie kann es sein, dass bei Security-Repo ältere Packete vorhanden sind, als im normalen? Sind eventuell im Main Repos fehlerhafte Packete enthalten, die durch die Security-Updates wieder behoben werden sollen?
• Habt ihr das auch?

Details:

apt ohne Security-Repo:

Source-List:

Code: Alles auswählen

#------------------------------------------------------------------------------#
#                   OFFICIAL DEBIAN REPOS
#------------------------------------------------------------------------------#

###### Debian Main Repos
deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

#deb http://deb.debian.org/debian/ buster-updates main contrib non-free
#deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

#deb http://deb.debian.org/debian-security buster/updates main contrib non-free
#deb-src http://deb.debian.org/debian-security buster/updates main contrib non-free

#------------------------------------------------------------------------------#
#                      UNOFFICIAL  REPOS
#------------------------------------------------------------------------------#

###### 3rd Party Binary Repos
###Virtualbox
deb [arch=i386,amd64] http://download.virtualbox.org/virtualbox/debian buster contrib

###Webmin
deb http://download.webmin.com/download/repository sarge contrib

apt update:

Code: Alles auswählen

apt clean
apt update

apt dist-upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

Alles funktioniert und meine Grafikkarte wird auch sauber erkannt.

Dann setze ich die Source-List wie folgt:

Code: Alles auswählen

#------------------------------------------------------------------------------#
#                   OFFICIAL DEBIAN REPOS
#------------------------------------------------------------------------------#

###### Debian Main Repos
deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

#deb http://deb.debian.org/debian/ buster-updates main contrib non-free
#deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

deb http://deb.debian.org/debian-security buster/updates main contrib non-free
deb-src http://deb.debian.org/debian-security buster/updates main contrib non-free

#------------------------------------------------------------------------------#
#                      UNOFFICIAL  REPOS
#------------------------------------------------------------------------------#

###### 3rd Party Binary Repos
###Virtualbox
deb [arch=i386,amd64] http://download.virtualbox.org/virtualbox/debian buster contrib

###Webmin
deb http://download.webmin.com/download/repository sarge contrib

und der Upgrade sagt:

Code: Alles auswählen

apt dist-upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden Pakete werden durch eine ÄLTERE VERSION ERSETZT (Downgrade):
  e2fslibs e2fsprogs e2fsprogs-l10n gir1.2-pango-1.0 intel-microcode libcom-err2 libcomerr2 libexif12 libext2fs2 libgnutls-dane0 libgnutls-openssl27
  libgnutls30 libpango-1.0-0 libpangocairo-1.0-0 libpangoft2-1.0-0 libpangoxft-1.0-0 libqt5core5a libqt5dbus5 libqt5gui5 libqt5network5 libqt5opengl5
  libqt5printsupport5 libqt5widgets5 libss2 linux-compiler-gcc-8-x86 linux-libc-dev mutt openssh-client openssh-server openssh-sftp-server python3-pil
  qt5-gtk-platformtheme sudo wpasupplicant
0 aktualisiert, 0 neu installiert, 34 durch eine ältere Version ersetzt, 0 zu entfernen und 1 nicht aktualisiert.
Es müssen 22.5 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 80.9 kB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] n
Abbruch.

und meine Grafikkarte spinnt (nur VESA Mode). Meiner Vermutung ist, dass es am Packet "intel-microcode" liegt.

Im Übrigen, aus dem Thread hier weiss ich, dass ein Auskommentieren der Repos für VirtualBox und Webmin nichts bringt resp. diese Software damit eigentlich funktionieren sollte. Und ob der Security-Repo Eintrag mit oder ohne "contrib none-free" enthalten ist, macht für dieses Phänomen ebenfalls keinen Unterschied.

Wer kann mir hier helfen, dass ich die Security-Repo einbinden kann ohne Downgrade resp. was der Grund dazu ist?

Vielen Dank

Gruss
lod

[Tintom]

Das Webmin-Repo für sarge ist dir aber aufgefallen?!

[lod]

Bin ich hier im falschen Forum?

[inne]

Zur besseren Übersicht und Verständnis bitte einmal:

Code: Alles auswählen

apt-cache policy

und

Code: Alles auswählen

apt-get -s dist-upgrade

Ansonsten mal stichprobenartig die Pakete bzw. Versionen untersuchen, ob das hinkommt was APT dort tut.

[JTH]

Bin ich hier im falschen Forum?

Nein, alles richtig.

Das ist ein bisschen merkwürdig. Normalerweise haben die Paket aus dem Security-Repo – meine ich – die selbe Priorität, wie die anderen (500). Nur die Backports bekommen von Haus aus eine niedrigere (100), damit sie bei einem (dist)-upgrade nicht automatisch installiert werden. Damit dürften Pakete aus debian-security eigentlich nur installiert werden, wenn sie ein Update darstellen.

Hast du evtl. durch Pinning dem debian-security eine höhere Priorität gegeben?

Was sagt

Code: Alles auswählen

apt policy

wenn du debian-security mit in der sources.list hast? Was sagt es in dem Moment für eins der Pakete? Zum Beispiel

Code: Alles auswählen

apt policy e2fslibs

[rhHeini]

Alle Fremd-Repos auskommentieren, buster-updates mitnehmen, dann apt update. Quercheck ob in /etc/apt/sources.list.d was vernagelt ist.

Rolf

[lod]

Hallo rhHeini, JTH und inne

Danke für die Rückmeldungen.

Das mit der Prio ist mir neu resp. mit apt policy kenne ich mich nicht wirklich aus. Wie es aber aussieht, ist die Prio für die Security-Updates deutlich höher (höhere Zahl = höhere Prio?). Ich bin mir aber nicht bewusst, das ich an diesen Prios mal etwas geändert habe...resp. wo/wie ich so was gemacht hätte.

rhHeini:
Hab ich gemacht, hat keinen anderes Verhalten gebracht.

JTH und inne:

Code: Alles auswählen

root@xy:/etc/apt# apt policy
Paketdateien:
 100 /var/lib/dpkg/status
     release a=now
1000 http://deb.debian.org/debian-security buster/updates/non-free amd64 Packages
     release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=non-free,b=amd64
     origin deb.debian.org
1000 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
     release v=10,o=Debian,a=stable,n=buster,l=Debian-Security,c=main,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian buster-updates/non-free amd64 Packages
     release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=non-free,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian buster-updates/main amd64 Packages
     release o=Debian,a=stable-updates,n=buster-updates,l=Debian,c=main,b=amd64
     origin deb.debian.org
 900 http://deb.debian.org/debian buster/non-free amd64 Packages
     release v=10.6,o=Debian,a=stable,n=buster,l=Debian,c=non-free,b=amd64
     origin deb.debian.org
 900 http://deb.debian.org/debian buster/contrib amd64 Packages
     release v=10.6,o=Debian,a=stable,n=buster,l=Debian,c=contrib,b=amd64
     origin deb.debian.org
 900 http://deb.debian.org/debian buster/main amd64 Packages
     release v=10.6,o=Debian,a=stable,n=buster,l=Debian,c=main,b=amd64
     origin deb.debian.org
Mit Pinning verwaltete Pakete:
root@xy:/etc/apt# apt dist-upgrade
Paketlisten werden geles

und

Code: Alles auswählen

root@xy:/etc/apt# apt policy e2fslibs
e2fslibs:
  Installiert:           1.44.5-1+deb10u3
  Installationskandidat: 1.44.5-1+deb10u2
  Versionstabelle:
 *** 1.44.5-1+deb10u3 900
        900 http://deb.debian.org/debian buster/main amd64 Packages
        100 /var/lib/dpkg/status
     1.44.5-1+deb10u2 1000
       1000 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
root@xy:/etc/apt# apt policy openssh-client
openssh-client:
  Installiert:           1:7.9p1-10+deb10u2
  Installationskandidat: 1:7.9p1-10+deb10u1
  Versionstabelle:
 *** 1:7.9p1-10+deb10u2 900
        900 http://deb.debian.org/debian buster/main amd64 Packages
        100 /var/lib/dpkg/status
     1:7.9p1-10+deb10u1 1000
       1000 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
root@xy:/etc/apt# 

vs einem "berechtigten" Update:

Code: Alles auswählen

root@xy:/etc/apt# apt policy linux-headers-4.19.0-12-amd64
linux-headers-4.19.0-12-amd64:
  Installiert:           (keine)
  Installationskandidat: 4.19.152-1
  Versionstabelle:
     4.19.152-1 1000
       1000 http://deb.debian.org/debian-security buster/updates/main amd64 Packages
root@xy:/etc/apt# 

und dann noch die Simulation

Code: Alles auswählen

root@xy:/etc/apt# apt-get -s dist-upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden NEUEN Pakete werden installiert:
  linux-headers-4.19.0-12-amd64 linux-headers-4.19.0-12-common linux-image-4.19.0-12-amd64
Die folgenden Pakete werden aktualisiert (Upgrade):
  firefox-esr iceweasel libfreetype6 libmariadb3 linux-compiler-gcc-8-x86 linux-headers-amd64 linux-image-amd64 linux-kbuild-4.19 linux-libc-dev
  mariadb-common
Die folgenden Pakete werden durch eine ÄLTERE VERSION ERSETZT (Downgrade):
  e2fslibs e2fsprogs e2fsprogs-l10n gir1.2-pango-1.0 intel-microcode libcom-err2 libcomerr2 libexif12 libext2fs2 libgnutls-dane0 libgnutls-openssl27
  libgnutls30 libpango-1.0-0 libpangocairo-1.0-0 libpangoft2-1.0-0 libpangoxft-1.0-0 libqt5core5a libqt5dbus5 libqt5gui5 libqt5network5 libqt5opengl5
  libqt5printsupport5 libqt5widgets5 libss2 mutt openssh-client openssh-server openssh-sftp-server python3-pil qt5-gtk-platformtheme sudo wpasupplicant
10 aktualisiert, 3 neu installiert, 32 durch eine ältere Version ersetzt, 0 zu entfernen und 0 nicht aktualisiert.
Inst e2fsprogs-l10n [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [all]) []
Inst libext2fs2 [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64]) [e2fsprogs:amd64 on libext2fs2:amd64] [e2fsprogs:amd64 ]
Conf libext2fs2 (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64]) [e2fsprogs:amd64 ]
Inst e2fsprogs [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Inst libgnutls-openssl27 [3.6.7-4+deb10u5] (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64]) []
Inst libgnutls-dane0 [3.6.7-4+deb10u5] (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64]) []
Inst libgnutls30 [3.6.7-4+deb10u5] (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64])
Conf libgnutls30 (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64])
Inst e2fslibs [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Inst libcom-err2 [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Inst libcomerr2 [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Inst libss2 [1.44.5-1+deb10u3] (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Inst openssh-sftp-server [1:7.9p1-10+deb10u2] (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64]) []
Inst openssh-server [1:7.9p1-10+deb10u2] (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64]) []
Inst openssh-client [1:7.9p1-10+deb10u2] (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64])
Inst libfreetype6 [2.9.1-3+deb10u1] (2.9.1-3+deb10u2 Debian-Security:10/stable [amd64])
Inst libpango-1.0-0 [1.42.4-8~deb10u1] (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Inst firefox-esr [78.3.0esr-1~deb10u1] (78.4.0esr-1~deb10u2 Debian-Security:10/stable [amd64])
Inst libpangoft2-1.0-0 [1.42.4-8~deb10u1] (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Inst libpangocairo-1.0-0 [1.42.4-8~deb10u1] (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Inst libpangoxft-1.0-0 [1.42.4-8~deb10u1] (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Inst gir1.2-pango-1.0 [1.42.4-8~deb10u1] (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Inst iceweasel [78.3.0esr-1~deb10u1] (78.4.0esr-1~deb10u2 Debian-Security:10/stable [all])
Inst libexif12 [0.6.21-5.1+deb10u4] (0.6.21-5.1+deb10u1 Debian-Security:10/stable [amd64])
Inst mariadb-common [1:10.3.23-0+deb10u1] (1:10.3.25-0+deb10u1 Debian-Security:10/stable [all])
Inst libmariadb3 [1:10.3.23-0+deb10u1] (1:10.3.25-0+deb10u1 Debian-Security:10/stable [amd64])
Inst libqt5core5a [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst libqt5dbus5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst qt5-gtk-platformtheme [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64]) []
Inst libqt5network5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64]) []
Inst libqt5gui5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst libqt5widgets5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst libqt5opengl5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst libqt5printsupport5 [5.11.3+dfsg1-1+deb10u4] (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Inst linux-compiler-gcc-8-x86 [4.19.146-1] (4.19.152-1 Debian-Security:10/stable [amd64])
Inst linux-headers-4.19.0-12-common (4.19.152-1 Debian-Security:10/stable [all])
Inst linux-kbuild-4.19 [4.19.146-1] (4.19.152-1 Debian-Security:10/stable [amd64])
Inst linux-headers-4.19.0-12-amd64 (4.19.152-1 Debian-Security:10/stable [amd64])
Inst linux-headers-amd64 [4.19+105+deb10u6] (4.19+105+deb10u7 Debian-Security:10/stable [amd64])
Inst linux-image-4.19.0-12-amd64 (4.19.152-1 Debian-Security:10/stable [amd64])
Inst linux-image-amd64 [4.19+105+deb10u6] (4.19+105+deb10u7 Debian-Security:10/stable [amd64])
Inst linux-libc-dev [4.19.146-1] (4.19.152-1 Debian-Security:10/stable [amd64])
Inst mutt [1.10.1-2.1+deb10u3] (1.10.1-2.1+deb10u2 Debian-Security:10/stable [amd64])
Inst python3-pil [5.4.1-2+deb10u2] (5.4.1-2+deb10u1 Debian-Security:10/stable [amd64])
Inst sudo [1.8.27-1+deb10u2] (1.8.27-1+deb10u1 Debian-Security:10/stable [amd64])
Inst wpasupplicant [2:2.7+git20190128+0c1e29f-6+deb10u2] (2:2.7+git20190128+0c1e29f-6+deb10u1 Debian-Security:10/stable [amd64])
Inst intel-microcode [3.20200616.1~deb10u1] (3.20200609.2~deb10u1 Debian-Security:10/stable [amd64])
Conf e2fsprogs-l10n (1.44.5-1+deb10u2 Debian-Security:10/stable [all])
Conf e2fsprogs (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Conf libgnutls-openssl27 (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64])
Conf libgnutls-dane0 (3.6.7-4+deb10u4 Debian-Security:10/stable [amd64])
Conf e2fslibs (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Conf libcom-err2 (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Conf libcomerr2 (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Conf libss2 (1.44.5-1+deb10u2 Debian-Security:10/stable [amd64])
Conf openssh-sftp-server (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64])
Conf openssh-server (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64])
Conf openssh-client (1:7.9p1-10+deb10u1 Debian-Security:10/stable [amd64])
Conf libfreetype6 (2.9.1-3+deb10u2 Debian-Security:10/stable [amd64])
Conf libpango-1.0-0 (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Conf firefox-esr (78.4.0esr-1~deb10u2 Debian-Security:10/stable [amd64])
Conf libpangoft2-1.0-0 (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Conf libpangocairo-1.0-0 (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Conf libpangoxft-1.0-0 (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Conf gir1.2-pango-1.0 (1.42.4-7~deb10u1 Debian-Security:10/stable [amd64])
Conf iceweasel (78.4.0esr-1~deb10u2 Debian-Security:10/stable [all])
Conf libexif12 (0.6.21-5.1+deb10u1 Debian-Security:10/stable [amd64])
Conf mariadb-common (1:10.3.25-0+deb10u1 Debian-Security:10/stable [all])
Conf libmariadb3 (1:10.3.25-0+deb10u1 Debian-Security:10/stable [amd64])
Conf libqt5core5a (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5dbus5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf qt5-gtk-platformtheme (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5network5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5gui5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5widgets5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5opengl5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf libqt5printsupport5 (5.11.3+dfsg1-1+deb10u3 Debian-Security:10/stable [amd64])
Conf linux-compiler-gcc-8-x86 (4.19.152-1 Debian-Security:10/stable [amd64])
Conf linux-headers-4.19.0-12-common (4.19.152-1 Debian-Security:10/stable [all])
Conf linux-kbuild-4.19 (4.19.152-1 Debian-Security:10/stable [amd64])
Conf linux-headers-4.19.0-12-amd64 (4.19.152-1 Debian-Security:10/stable [amd64])
Conf linux-headers-amd64 (4.19+105+deb10u7 Debian-Security:10/stable [amd64])
Conf linux-image-4.19.0-12-amd64 (4.19.152-1 Debian-Security:10/stable [amd64])
Conf linux-image-amd64 (4.19+105+deb10u7 Debian-Security:10/stable [amd64])
Conf linux-libc-dev (4.19.152-1 Debian-Security:10/stable [amd64])
Conf mutt (1.10.1-2.1+deb10u2 Debian-Security:10/stable [amd64])
Conf python3-pil (5.4.1-2+deb10u1 Debian-Security:10/stable [amd64])
Conf sudo (1.8.27-1+deb10u1 Debian-Security:10/stable [amd64])
Conf wpasupplicant (2:2.7+git20190128+0c1e29f-6+deb10u1 Debian-Security:10/stable [amd64])
Conf intel-microcode (3.20200609.2~deb10u1 Debian-Security:10/stable [amd64])

es sieht auch so aus, als ob es inzwischen eine neue Kernel Version gegeben hat

Code: Alles auswählen

linux-headers-4.19.0-12-amd64 linux-headers-4.19.0-12-common linux-image-4.19.0-12-amd64

Die kommt aber nur, wenn die debian-security Sources drin sind. Mit den Release und Updates kommen diese noch nicht...sind aber auch neu.

[Tintom]

Gibt es eine Datei /etc/apt/preferences oder Dateien im Ordner /etc/apt/preferences.d ?

[Livingston]

Wie Timtom schon meinte, das Problem liegt bei den Preferences. Da muss irgendwo ein Pinning mit einem Wert von 1000 drinstehen, und der bekommt laut man page apt_preferences absoluten Vorrang vor allem bis hin zum Downgrade. 1000 sollte da nur in absoluten Ausnahmefällen drinstehen.
Dass ein Nicht-security-Upgrade schon mal aktueller als security ist, kann vorkommen, wenn ausnahmsweise mal ein paar nicht-kritische Bug-fixes ins Repository gelangen, aber das Pinning von 1000 sorgt dafür, dass immer die security-Varinate gezogen wird.

[inne]

Wenn hier dann gelöst ist oder Timeout. Kann mir dann bitte jemand erklären wie es kommt, dass in debian-security scheinbar ältere Versionen als in debian sind. Oder verstehe ich die Versionen falsch?

[Livingston]

Wenn hier dann gelöst ist oder Timeout. Kann mir dann bitte jemand erklären wie es kommt, dass in debian-security scheinbar ältere Versionen als in debian sind. Oder verstehe ich die Versionen falsch?

Alle Jubel-Monate fließen auch nicht-kritische Bugfixes nach stable, z.B. immer dann wenn ein Release-Update ansteht. Die bauen natürlich auf älteren Versionen z.B. auch aus den security-Updates auf.

[willy4711]

Bei gleicher Priorität ist es ja auch kein Problem, da die Paketverwaltung sich die
aktuellste Version sucht.
Normal ist das alles gleichberechtigt bei 500.
Aber in dieser Liste sind einige Denkfehler drin, zumal ja auch die Updates die geringste Priorität haben.
Wie ich das sehe, würde Pakete aus update gar nicht bedient werden ?

[Livingston]

Bei mir steht z.B. alles auf 500 bis auf das VBox-Repository, das ich auf 600 gesetzt habe. Ist wahrscheinlich nicht nötig, weil sich die Vbox-Erbauer an die Konventionen halten.

[inne]

Wenn hier dann gelöst ist oder Timeout. Kann mir dann bitte jemand erklären wie es kommt, dass in debian-security scheinbar ältere Versionen als in debian sind. Oder verstehe ich die Versionen falsch?

Alle Jubel-Monate fließen auch nicht-kritische Bugfixes nach stable, z.B. immer dann wenn ein Release-Update ansteht. Die bauen natürlich auf älteren Versionen z.B. auch aus den security-Updates auf.

Ok. Da habe ich riesen Wissenlücken. Die kommen dann nicht nach debian buster-updates? Muss nun mal öfter schauen aus welchem Teil Updates kommen. Wird bei einem Point-Release eigentlich aus debian buster-updates und debian-security nach debian kopiert? So dachte ich das immer.

[Livingston]

Ok. Da habe ich riesen Wissenlücken. Die kommen dann nicht nach debian buster-updates? Muss nun mal öfter schauen aus welchem Teil Updates kommen. Wird bei einem Point-Release eigentlich aus debian buster-updates und debian-security nach debian kopiert? So dachte ich das immer.

An buster-updates hab ich gar nicht gedacht. Aber ja, die berücksichtigen ebenfalls, was bereits in security gefixt wurde. Bin aber jetzt auch überfragt, was dann genau in buster bzw. buster-updates landet.

[inne]

berücksichtigen ebenfalls was bereits in security gefixt wurde

Jedenfalls ist dann ein Version aus debin-security überholt - stimmt schon. Ist ja gleich woher die nach debian kopiert wurde.

[lod]

Gibt es eine Datei /etc/apt/preferences oder Dateien im Ordner /etc/apt/preferences.d ?

Hi

Ja, gibt es. Hier die Ausgaben:

Code: Alles auswählen

root@xy:/etc/apt# ls
insgesamt 72K
drwxr-xr-x   7 root root 4.0K Okt 23 14:08 .
drwxr-xr-x 157 root root  12K Okt 26 07:00 ..
drwxr-xr-x   2 root root 4.0K Okt 11 10:21 apt.conf.d
drwxr-xr-x   2 root root 4.0K Mai 28  2019 auth.conf.d
-rw-r--r--   1 root root  172 Okt  6  2019 listchanges.conf
-rw-r--r--   1 root root  125 Mär 26  2019 listchanges.conf.ucf-old
drwxr-xr-x   2 root root 4.0K Sep 17  2016 preferences.d
-rw-r--r--   1 root root 1.1K Okt 23 14:08 sources.list
-rw-r--r--   1 root root    0 Mär 10  2016 sources.list~
-rw-r--r--   1 root root  600 Mär 13  2016 sources.list.bak
-rw-r--r--   1 root root  902 Jun  3 20:50 sources.list.bkup
drwxr-xr-x   2 root root 4.0K Okt 23 13:11 sources.list.d
-rw-r--r--   1 root root  883 Sep 15 17:26 sources.list.save
-rw-r--r--   1 root root 4.3K Apr 30  2016 trusted.gpg
-rw-r--r--   1 root root 2.1K Mär 13  2016 trusted.gpg~
drwxr-xr-x   2 root root 4.0K Okt  6  2019 trusted.gpg.d
root@xy:/etc/apt# cd preferences.d/
root@xy:/etc/apt/preferences.d# ls
insgesamt 20K
drwxr-xr-x 2 root root 4.0K Sep 17  2016 .
drwxr-xr-x 7 root root 4.0K Okt 23 14:08 ..
-rw-r--r-- 1 root root   61 Sep 17  2016 security.pref
-rw-r--r-- 1 root root   51 Sep 17  2016 stable.pref
-rw-r--r-- 1 root root   52 Sep 17  2016 testing.pref
root@xy:/etc/apt/preferences.d# cat security.pref 
Package: *
Pin: release l=Debian-Security
Pin-Priority: 1000
root@xy:/etc/apt/preferences.d# cat stable.pref 
Package: *
Pin: release a=stable
Pin-Priority: 900
root@xy:/etc/apt/preferences.d# cat testing.pref 
Package: *
Pin: release a=testing
Pin-Priority: 750
root@xy:/etc/apt/preferences.d# 

Ähm...und wie resp. was muss man hier nun korrigieren? Und vor allem, an den Files hab ich meines Wissens sicherlich nie etwas gemacht...man sieht, die sind ja auch schon älter

Vielen Dank auch für eure Erklärungen.

[Livingston]

Das Sicherste wäre, sie so umzubenennen, dass kein .pref mehr am Ende steht, also z.B. *.pref.old. (Löschen ginge auch, aber vielleicht müssen wir sie ja noch mal ausgraben.) Dann das übliche update von apt / aptitude. Danach sollten alle Quellen wieder ein Pinning von 500 haben, und die Aktualität der Pakete wird fortan nur noch anhand ihrer Namen festgestellt ---> Standardverhalten.
Bliebe nur noch die Frage übrig, was Du mit der letzten Datei für testing machst. Wenn Du gar keine Testingpakete hast, ist alles erledigt. Wenn doch, wird sich das beim Upgradeversuch zeigen, und wir können uns dieses Detail noch mal anschauen.

[Xero777]

Warte, Warte warum genau hast du jetzt an der Sourcelist rumgeschraubt ? Warum, also was war nochmal genau dein Grund ? Hab, das nicht ganz verstanden. Weil dein System die Grafikkarte downgraded ? Was, war den vorher bevor du an der Sourcelist dran warst ? Taht, da die Grafikkarte noch oder gab es Probleme mit dieser oder mit etwas anderen ?

Und, wie ist dein aktueller Stand an der Sourcelist ? Und am System ? Kannst du noch updaten und upgraden ? Welche Version hast du aktuell ?

[Livingston]

@Xero777: Ist doch alles noch recht übersichtlich. Und wenn man das vorsichtig der Reihe nach anpackt, brennt auch nix an.

1. Die Policy-Einstellungen geradezubiegen, kann hier keinen Schaden verursachen, da sich alle Quellen in der sources.list an die Regeln halten. Die Debian-eigenen innerhalb des Buster-Releases sind auf alle Fälle unstrittig, die Virtualbox-Quelle hält sich auch an die Namenskonventionen (kann ich ich auch aus eigener Erfahrung bestätigen) und Webmin... nuja, zugegeben ein wenig schräg, trägt aber nicht zu einer Verschlimmerung bei, weil es eh' nicht mit den anderen Quellen konkurriert. Schlimmstenfalls kann es mangels erfüllter Abhängigkeiten nicht in Schuss gebracht werden.

2. Ich glaube auch, dass man die sources.list verbessern kann, würde das aber erst im nächsten Schritt tun. Das blöde Downgraden muss nämlich erst mal abgeschaltet werden, und danach haben wir einen sauberen Stand, von dem aus man weitermachen kann.

3. Danach würde ich in der sources.list die buster-upgrades freischalten, und den webmin-Krempel u.U. danach angehen.

EDIT: Nachtrag
4. Testing spielt auch keine Rolle. Hat zwar ein eigenes Pinning, ist aber nicht in der sources.list. Hier mal meine eigene sources.list:

Code: Alles auswählen

deb http://deb.debian.org/debian/ buster main non-free contrib
deb http://security.debian.org/debian-security/ buster/updates main contrib non-free
deb http://deb.debian.org/debian/ buster-updates main contrib non-free

# buster-backports, previously on backports.debian.org
deb http://deb.debian.org/debian/ buster-backports main contrib non-free <--- nur reinnehmen, wenn man es wirklich braucht
#VBox
deb http://download.virtualbox.org/virtualbox/debian buster contrib

Und das läuft komplett ohne pinning in den preferences

EDIT2: Hab gerade eine falsche Liste gepostet. Das hier ist jetzt die Version, die bei mir läuft.

[lod]

Das Sicherste wäre, sie so umzubenennen, dass kein .pref mehr am Ende steht, also z.B. *.pref.old. (Löschen ginge auch, aber vielleicht müssen wir sie ja noch mal ausgraben.) Dann das übliche update von apt / aptitude. Danach sollten alle Quellen wieder ein Pinning von 500 haben, und die Aktualität der Pakete wird fortan nur noch anhand ihrer Namen festgestellt ---> Standardverhalten.
Bliebe nur noch die Frage übrig, was Du mit der letzten Datei für testing machst. Wenn Du gar keine Testingpakete hast, ist alles erledigt. Wenn doch, wird sich das beim Upgradeversuch zeigen, und wir können uns dieses Detail noch mal anschauen.

Vielen Dank für Deine Hilfe. Hat geholfen. Nachdem ich diese Dateien umbenannt und alles nötigen Repos wieder einkommentiert hab, sind die Downgrades verschwunden und alles klappt wunderbar Backports benötige ich keine.

Meine Source-List sieht nun wie folgt aus:

Code: Alles auswählen

#------------------------------------------------------------------------------#
#                   OFFICIAL DEBIAN REPOS                    
#------------------------------------------------------------------------------#

###### Debian Main Repos
deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://deb.debian.org/debian/ buster-updates main contrib non-free
deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

deb http://deb.debian.org/debian-security buster/updates main contrib non-free
deb-src http://deb.debian.org/debian-security buster/updates main contrib non-free

#------------------------------------------------------------------------------#
#                      UNOFFICIAL  REPOS                       
#------------------------------------------------------------------------------#

###### 3rd Party Binary Repos
###Virtualbox
deb [arch=i386,amd64] http://download.virtualbox.org/virtualbox/debian buster contrib

###Webmin
deb http://download.webmin.com/download/repository sarge contrib

Vielen Dank für eure Hilfe! Ich hab den Eintrag als "gelöst" markiert.

[lod]

Warte, Warte warum genau hast du jetzt an der Sourcelist rumgeschraubt ? Warum, also was war nochmal genau dein Grund ? Hab, das nicht ganz verstanden. Weil dein System die Grafikkarte downgraded ? Was, war den vorher bevor du an der Sourcelist dran warst ? Taht, da die Grafikkarte noch oder gab es Probleme mit dieser oder mit etwas anderen ?

Und, wie ist dein aktueller Stand an der Sourcelist ? Und am System ? Kannst du noch updaten und upgraden ? Welche Version hast du aktuell ?

Hi Xero777

Ich hatte das Problem, dass wenn ich die Security-Updates eingebunden hatte, es einen Downgrade vom Packet "intel-microcode" gab. Dies wiederum wird sehr wahrscheinlich für die Grafikkarte verwendet und war dann nicht mehr mit dem NVIDIA Treiber "kompatibel" und somit kam der Standard VESA Treiber zum Einsatz.

Vorher war noch, dass ich mal ein Problem mit den Debian FTP-Spiegel Sources für die Schweiz hatte (die von der ETH Zürich). Siehe diesen Thread hier: viewtopic.php?f=34&t=176391 Das hat dann dazu geführt, dass ich auf die "normalen" Sources ausgewichen bin. Ich sehe nun auch, was seinerzeit das Problem war, nur konnte ich es da noch nicht so genau nachvollziehen resp. kannte ich diese apt policy nicht. Darauf hin hab ich einfach die Security-Updates mal deaktiviert, da diese ja irgendwann mal in die normalen Updates fliessen. Da aber in letzter Zeit immer wieder Meldungen von Schwachstellen aufkam, dachte ich, ich gehe dem Problem mal genauer nach

Lange Rede kurzer Sinn: Es lag an diesem Pinning resp. an den Files unter /etc/apt/preferences.d welche die Standard-Prioritäten verändert haben und wohl für all das Übel verantwortlich waren

[lod]

Vielen Dank an inne, JTH, rhHeini, willy4711, Livingston und Xero777 für eure Hilfe!

[Blackbox]

Es lag an diesem Pinning resp. an den Files unter /etc/apt/preferences.d welche die Standard-Prioritäten verändert haben und wohl für all das Übel verantwortlich waren

Das ist zwar eine Lösung, aber die ist auf Dauer nicht nachhaltig.
Besser wäre es aus meiner Sicht gewesen, du hättest dich mit APT Pinning beschäftigt, so a) das Problem verstanden und b) mit einem ordentlichem Pinning zukünftige Probleme aus dieser Richtung vorgebeugt.
Aber ich erwarte nicht, dass dich mein gut gemeinter Rat tangieren wird.

[willy4711]

Das ist zwar eine Lösung, aber die ist auf Dauer nicht nachhaltig.

Warum ist das nicht Nachhaltig ?
Eine "normale" sources.list braucht kein Pinning (alle 500)
Ich fahre seit über zwei Jahren alle Repos (auch die Fremdrepos auf 500, hatte damit
noch nie Probleme.
Selbst wenn man die Backports ergänzt werden die automatisch auf eine Priorität von 100 gesetzt
Das ist die einzige Ausnahme.

Kümmern muss man sich nur, wenn man der Meinung ist irgendwelche "Extravaganzen" , sich leisten zu müssen.