[gelöst] Debian 11 Firefox 115.3.1 | Debian 12 115.3.0

[slu]

Ich hatte am 28.09.2023 ein Mozilla announce für ein wichtiges Firefox ESR update erhalten.

Interessant ist das in Debian 11 die neue Version (115.3.1) schon seit 29.09. enthalten ist, aber in Debian 12 bis heute nicht:
https://tracker.debian.org/pkg/firefox-esr

Aber warum klemmt das?

[JTH]

Wenn ich das richtig sehe, enthält Firefox 115.3.1 hauptsächlich einen Fix für CVE-2023-5217, der im Zusammenhang mit der libvpx entsteht. In Buster und Bullseye ist womöglich eine libvpx enthalten, die nicht mehr selbst gefixt wird/werden kann.

Dieser Übersicht nach ist der Bug aber anscheinend in Bookworm in der libvpx selbst schon behoben und ein schnelles Update des Firefox daher vielleicht nicht notwendig.

Nachtrag:
libvpx selbst ist obigem Link nach ja in Buster und Bullseye auch gefixt. Damit mag meine Vermutung falsch sein.
Vielleicht ist das fehlende Update in bookworm-security einfach ein Versehen

[slu]

Vielleicht ist das fehlende Update in bookworm-security einfach ein Versehen

Das ist ja alles spannend, ich habe mich noch nicht getraut ein Bug Report auf zu machen und für ggf. unnötig Arbeit zu sorgen.

[DerChris]

Moin zusammen,

die Erklärung ist in der zugehörigen Sicherheitsmeldung zu finden.

[JTH]

Ah, danke Da war meine Vermutung ja doch nicht so schlecht:

For the stable distribution (bookworm), this problem will be fixed via the libvpx source package, Firefox ESR in Bookworm links dynamically against libvpx.

[slu]

Sehr schön, ich war mir langsam echt unsicher was der Grund dafür war.

[cosinus]

D.h. mit einem alten Debian bekommt man einen neuen Firefox, mit dem neuen (aktuellen) Debian aber "nur" den alten ESR?

[slu]

Ja so ist es und hat mich sehr verwirrt:
ii firefox-esr 115.3.1esr-1~deb10u1
ii firefox-esr 115.3.0esr-1~deb12u1

Aber man kann dem Debian Security Team vertrauen wie ich jetzt gelernt habe.

[JTH]

D.h. mit einem alten Debian bekommt man einen neuen Firefox, mit dem neuen (aktuellen) Debian aber "nur" den alten ESR?

Wenn du so kleinlich sein willst, ja. In Buster und Bullseye bekommst du in diesem Fall 115.3.1. In Bookworm bleibst du beim (im Vergleich offensichtlich uralten) 115.3.0.

Der einzige Unterschied (Releasenotes 115.3.1) zwischen den beiden FF-Versionen ist der eine Fix für den erwähnten CVE. In Bookworm hat anscheinend das Update der libvpx gereicht (siehe DerChris’ Link), in Buster und Bullseye war wohl gleichzeitig das Update von vorher FF 102.x auf 115.3.1 notwendig.

[cosinus]

Danke JTH und entschuldige, ich hatte als Firefox-ESR noch den 102er im Kopp!

[JTH]

ich hatte als Firefox-ESR noch den 102er im Kopp!

Das macht 5€ ins Fehlinformationssparschwein!

[cosinus]

Das macht 5€ ins Fehlinformationssparschwein!

Ja, ich überweise am WE fünf Taler in die DFDE-Kasse

edit: hab den Strafzettel soeben bezahlt