Sicherheit und Aktualität von Iceweasel in Wheezy

[wanderer]

Nach dem Release von Wheezy gab es in diversen Newsforen viele Meckerkommentare darüber zu Lesen, wie veraltet die Software in Wheezy schon ist. Das meiste davon kann man als Trollerei abtun, aber in einem Kritikpunkt haben diese Meckerer mich durchaus zum Nachdenken gebracht:
Iceweasel liegt in Wheezy in der Version 10.0.12 vor. Mozilla unterstützt diese Version des Firefox nicht mehr, Inzwischen ist Firefox 17 die aktuelle ESR-Version. Normalerweise ist die Strategie von Debian, Pakete in Stable mit Patches zu versorgen, um sicherheitskritische Fehler zu beseitigen. Das ist aber offensichtlich beim Iceweasel nicht der Fall: Die letzte Aktualisierung des Iceweasel kam im Januar, das war eben die letzte Aktualisierung des Firefox 10 ESR-Releases. Seither gab es keine Aktualisierung mehr, sprich, keine Patches für das Debian-Paket. Nun könnte man naiv glauben, dass es seit Jänner keine sicherheitskritischen Fehler im Paket mehr gibt, aber das erscheint mir doch unrealistisch.
Ich frage also ganz ernsthaft: Ist man mit dem offiziellen Iceweasel aus Wheezy noch sicher im Web unterwegs? Möglicherweise muss man auch für andere Browser wie z.B. Chromium die selbe Frage stellen.

Interessant ist auch folgende Passage im Debian-Wiki:

Nevertheless a newer backport from the Debian Mozilla team is usually preferable.
http://wiki.debian.org/Iceweasel

Es wird an dieser Stelle also empfohlen, die (inoffiziellen?) Backports von http://mozilla.debian.net/ zu nehmen.

In Summe sieht das für mich so aus, als ob die offizielle Politik von Debian, für Pakete in Stable Sicherheitspatches bereitzustellen, bei Iceweasel nicht gilt. Ich finde, da wäre von Debans Seite eine Klarstellung notwendig.

[hikaru]

Das Iceweasel-Problem besteht im Grunde schon seit Etch (über die Zeit davor kann ich mangels Anwesenheit nichts sagen) und hat sich durch Mozillas geänderte Releasepolitik eher noch verschlimmert.
MMn sollte Iceweasel ganz aus dem Main-Repo fliegen, denn das Ding ist bei den Differenzen zwischen Debians und Mozillas Releasepolitik eigentlich nicht zu maintainen.

Eventuell könnte man den jeweils aktuellen ESR im Rahmen der Update-Suite weiterbetreiben. Ich bin da aber nicht auf dem Laufenden ob Versionswechseln oder nur Sicherheitspatches erlaubt sind. Falls es nicht geht müsste Iceweasel komplett in die offiziellen Backports.
Letztes Jahr hatte ich kurz mit Mike Hommey Kontakt und er meinte langfristig würden die inoffiziellen Iceweasel-Backports des Debian Mozilla Teams in die offiziellen Backports wandern. Wie da der aktuelle Stand ist weiß ich aber nicht.

[Emess]

Mit dem Iceweasel kann dir geholfen werden

Code: Alles auswählen

deb http://mozilla.debian.net/ wheezy-backports iceweasel-release

dann hast du Vers.20

[wanderer]

Mit dem Iceweasel kann dir geholfen werden

Code: Alles auswählen

deb http://mozilla.debian.net/ wheezy-backports iceweasel-release

dann hast du Vers.20

Das ist mir eh bekannt. Wenn man einen aktuellen Browser haben möchte, ist man hier bestens bedient.
Meine Frage hier ist aber: Wenn man einen sicheren Browser haben möchte, genügt dann noch der Iceweasel im Hauptarchiv, oder muss man dann auch schon einen von mozilla.debian.net nehmen?

Letztes Jahr hatte ich kurz mit Mike Hommey Kontakt und er meinte langfristig würden die inoffiziellen Iceweasel-Backports des Debian Mozilla Teams in die offiziellen Backports wandern. Wie da der aktuelle Stand ist weiß ich aber nicht.

Heißt das, dass dann alle Versionen von ESR bis Aurora in den offiziellen Backports sind?
In den Wheezy-Backports ist meines Wissens noch nichts. Es wäre gut, wenn zumindest die aktuelle ESR-Version möglichst schnell da rein kommt.

[hikaru]

Heißt das, dass dann alle Versionen von ESR bis Aurora in den offiziellen Backports sind?

So wie ich Hommey damals verstanden habe käme nur das ESR in die offiziellen Backports. Ich kann mich aber auch irren, denn wir haben ausschließlich über das ESR gesprochen und die anderen Varianten gar nicht erwähnt.

In den Wheezy-Backports ist meines Wissens noch nichts. Es wäre gut, wenn zumindest die aktuelle ESR-Version möglichst schnell da rein kommt.

Ich würde mir da keine zu großen Hoffnungen machen. Mir ging es damals um einen armel-Backport des ESR den es ja auf mozilla.debian.net nicht gibt. Ich hatte mir dann aus den Wheezy-Quellen selbst einen Squeeze-Backport gebaut, was relativ problemlos ging.
Falls das Debian Mozilla Team wirklich vor hätte offizielle Backports bereitzustellen sollte das mehr oder weniger von jetzt auf gleich gehen.

[KP97]

Ich nehme schon seit längerer Zeit nur noch die esr-Originale aus dem Mozilla-Archiv:
ftp://ftp.mozilla.org/pub/
Die Programme sind in meinem Homeverzeichnis und die Updates für Firefox und Thunderbird alle 8 Wochen kann man gut manuell machen.

[uname]

Für ein vor allem für Server eingesetztes Betriebssystem ist ein Browser wie Iceweasel wahrscheinlich eher unbedeutend. Zudem war wenn ich es richtig sehe zum Zeitpunkt des Freezes von Wheezy (ist ja auch fast ein Jahr her) noch Firefox 10 ESR aktuell. Entweder müsste man wohl während des Freezes doch noch neue Softwareversionen zulassen oder Mozilla müsste einen wirklichen langen Support für Firefox anbieten. 1 Jahr ist wohl eher als Witz von Mozilla zu verstehen.

[hikaru]

Entweder müsste man wohl während des Freezes doch noch neue Softwareversionen zulassen

Genau dafür (bzw. auch während des Releasezeitraums) war ja früher mal das Volatile-Repo gedacht. Das wurde aber durch die Security-Update-Suite ersetzt und ich bin mir nicht sicher wie da die Politik bezüglich neuer Upstreamversionen ist.

[uname]

wie da die Politik bezüglich neuer Upstreamversionen ist.

Ich würde ja sagen, dass man hierfür die Backports hätte. Wobei man eigentlich nicht nach einem Release, sondern bereits vor dem Release anfängt langsam die Backports aufzubauen, da ja bekannt ist, dass zum Release die Software bereits veraltet ist

[Cae]

das Volatile-Repo gedacht. Das wurde aber durch die Security-Update-Suite ersetzt und ich bin mir nicht sicher wie da die Politik bezüglich neuer Upstreamversionen ist.

security.d.o fixt nur, was den Bug selbst betrifft und ist sonst bemueht, keinerlei Funktionen, ABIs und APIs zu veraendern. Insbesondere werden nicht einfach neuere Versionen genommen, die den Bug nicht haben. volatile und security bieten/boten aus unterschiedlichen Gruenden neuere Pakete als in ftp.d.o an.

Gruss Cae

[hikaru]

Ich würde ja sagen, dass man hierfür die Backports hätte. Wobei man eigentlich nicht nach einem Release, sondern bereits vor dem Release anfängt langsam die Backports aufzubauen, da ja bekannt ist, dass zum Release die Software bereits veraltet ist

Klingt - konsequent zuende gedacht - nach CUT.

security.d.o fixt nur, was den Bug selbst betrifft und ist sonst bemueht, keinerlei Funktionen, ABIs und APIs zu veraendern. Insbesondere werden nicht einfach neuere Versionen genommen, die den Bug nicht haben. volatile und security bieten/boten aus unterschiedlichen Gruenden neuere Pakete als in ftp.d.o an.

Danke!

[BeWo]

Hallo, my 2 cents:

Die Debian Entwickler sind sich deren Lage sicher bewußt.
Da vertraue ich voll und ganz den Debian Entwicklern

In den Release Notes wird auch auf dieses Thema eingegangen.
Siehe Kapitel 5.2 in den Release Notes:
http://www.debian.org/releases/stable/a ... ex.de.html
Da wird empfohlen, daß für die normale Verwendung entweder Iceweasel oder Chromium verwendet werden soll.

Es ist richtig, daß sich inzwischen ein paar Sicherheitslücken in Iceweasel angesammelt haben.
Das kann im Security-Tracker eingesehen werden:
https://security-tracker.debian.org/tra ... ase/stable
Da sind aktuell 10 offene Lücken mit urgency=high gelistet.
Mir kommt das momentan auch etwas viel vor.
Vielleicht kommt in den nächsten Tagen das erste Security Update für Wheezy.

Bei früheren Versionen von Debian war es aber immer so, daß nicht wegen jeder einzelnen Sicherheitslücke das Iceweasel-Paket aktualisiert wurde.
Siehe zum Beispiel hier (das letzte Security Update von Iceweasel im Dezember 2012):
http://www.debian.org/security/2012/dsa-2583
Bei diesem Update wurden fünf Sicherheitslücken geschlossen.

[owl102]

Es wird an dieser Stelle also empfohlen, die (inoffiziellen?) Backports von http://mozilla.debian.net/ zu nehmen.

Was mich an den Backports von mozilla.debian.net immer gestört hat, ist die Unkontinuität. Jedesmal scheiterte das Update an diesem Repo, jedesmal mußte die sources.list wieder angepasst/geändert werden, Pakete deinstalliert und wieder installiert werden, jedesmal mußte wieder auf's neue eine passende dt. Sprachanpassung für Icedove aus den Weiten des Nets gesucht werden (weil es die in dem Repo nicht gibt) usw.

Verschärft wurde die Situation auch noch dadurch, daß man den Iceweasel in Squeeze zwingend aktualisieren muß, wenn man einen Iceweasel haben möchte, der nicht alle Nase lang abstützt. (Die Version 3.5 hat Debian ja kaputtgepatcht, siehe auch viewtopic.php?f=29&t=141589 )

In Summe ist das für mich inakzeptabel, und die offiziellen Squeeze-Backports sind IMHO bzgl. der Aktualität von Iceweasel/Icedove ESR leider ein Witz (und dementsprechend immer noch bei 10ESR statt 17ESR, obwohl es 17ESR schon seit ca. 1/2 Jahr gibt).

Bzgl. Sicherheit und Aktualität von Iceweasel suche ich also auch händeringend nach einer Lösung, einer, die auch von meinen Bekannten alleine handelbar ist, und zwar ohne daß ich deswegen wieder antanzen muß. (Vorher scheue ich mich, bei meinen Bekannten Squeeze auf Wheezy zu aktualisieren.)

[Dogge]

Ich habe das bei mir so gelöst, dass ich iceweasel, icedove und sämtlich AddOns auf experimental gepinnt habe.
Ob das bei stable praktikabel ist weiß ich nicht, käme auf einen Versuch an. Ich vermute aber, dass Browser und Email-Client keine tiefgreifenden Systemabhängigkeiten haben.
Bei experimental habe ich wenigstens die aktuelle Version ein paar Tage nach Release. Zumindest beim iceweasel. icedove hing zwischenzeitlich mal hinterher.

[wanderer]

Es ist richtig, daß sich inzwischen ein paar Sicherheitslücken in Iceweasel angesammelt haben.
Das kann im Security-Tracker eingesehen werden:
https://security-tracker.debian.org/tra ... ase/stable
Da sind aktuell 10 offene Lücken mit urgency=high gelistet.
Mir kommt das momentan auch etwas viel vor.
Vielleicht kommt in den nächsten Tagen das erste Security Update für Wheezy.

Zu hoffen wäre es, allerdings bin ich nicht ganz so optimistisch. Zu all diesen Sicherheitslücken liest man in der Beschreibung:

(...) in Mozilla Firefox before 19.0, Firefox ESR 17.x before 17.0.3, Thunderbird before 17.0.3, Thunderbird ESR 17.x before 17.0.3, and SeaMonkey before 2.16 (...)

Sprich, die Fehler sind in den neueren Versionen behoben, für Version 10 gibt es aber keine Upstream-Unterstützung mehr. Die Bugfixes müssten also rückportiert werden. Das ist aber seit Monaten nicht geschehen. Über die Ursachen kann man nur mutmaßen. Ich kann mir vorstellen, dass sich die Codebasis von Iceweasel so weit geändert hat, dass die Rückportierung von Bugfixes sehr kompliziert ist und vom Maintainer allein nicht gestemmt werden kann. Wenn dem so ist, dann müsste diese Problematik von Seiten Debians einmal offengelegt werden. Der Mangel an Informationen hinterlässt jedenfalls kein gutes Bild.

Ist es eigentlich eine Voraussetzung für Backports-Pakete, dass sie schon in Testing oder Unstable vorhanden sein müssen? Iceweasel 17.0.5esr-1 ist seit kurzem in Unstable. Ich hoffe, dass daraus bald ein Wheezy-Backport wird.

[hikaru]

Ist es eigentlich eine Voraussetzung für Backports-Pakete, dass sie schon in Testing oder Unstable vorhanden sein müssen?

Implizit ja, explizit wohl nicht.
Auf [1] heißt es:

Backports are packages taken from the next Debian release (called "testing"), adjusted and recompiled for usage on Debian stable.

Ich glaube mich aber an einen ITP-Bugreport zu einem Paket zu erinnern zu dem es noch kein Testing/Unstable-Paket gab, für das der Maintainer aber einen offiziellen Stable-Backport bereitstellen wollte. Worum es da genau ging weiß ich nicht mehr, aber ich glaube die Software hatte irgendwas mit GIS/CAD/Navigation zu tun.

Wenn man einen Stable-Backport erstellt fällt ja aber ein Unstable-Paket fast von selbst mit ab, also dürfte die Frage eher akademisch sein.

[1] http://backports.debian.org/

[johnmatrix]

Mittlerweile hat Iceweasel 17.0.6 ESR in Debian Stable Einzug gehalten .

Auszug aus der Sicherheitsankündigung:

"We're changing the approach for security updates for Iceweasel, Icedove
and Iceape in stable-security: Instead of backporting security fixes,
we now provide releases based on the Extended Support Release branch. As
such, this update introduces packages based on Firefox 17 and at some
point in the future we will switch to the next ESR branch once ESR 17
has reached it's end of life."

[Drahtseil]

Wo hast du das gesehen? Bei mir ist noch Version 10esr in Wheezy:
http://packages.debian.org/search?keywo ... lla-search

[johnmatrix]

Steht in den Sicherheitsankündigungen:
http://lists.debian.org/debian-security ... 00107.html

Über dist-upgrade habe ich dann den 17er bekommen.

[Drahtseil]

Stimmt, hab ich jetzt auch.
Äußerlich sehe ich ja keinen Unterschied, und dafür gibt's 7 Releasenummern dazu, na ja...

[Alternativende]

Wo seht ihr das denn? packages.debian..org und debian.org stehen beide noch bei Version 10.
Ich warte schon seit Monaten auf einen aktuellen Icedove.

[Arminius-Bln]

>> Ich warte schon seit Monaten auf einen aktuellen Icedove.<<
Schade - sag Bescheid, wenn du einen gefunden hast.
Hier ging es um die überfällige Aktualisierung von "Iceweasel".

@ johnmatrix - Danke für den Bescheid.

[Alternativende]

Schade - sag Bescheid, wenn du einen gefunden hast.
Hier ging es um die überfällige Aktualisierung von "Iceweasel".

We're changing the approach for security updates for Iceweasel, Icedove
and Iceape in stable-security:

[owl102]

"We're changing the approach for security updates for Iceweasel, Icedove and Iceape in stable-security:

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

Instead of backporting security fixes

...was sie ja sowieso nicht ohne Kollateralschäden konnten, und es nicht einmal für nötig hielten, dies wenigstens nachträglich zu korrigieren. (Ist doch egal wenn der Browser ständig abstützt, Hauptsache, der "Security Fix" ist reingebriegelt worden - komische Attitüde, von der ich ehrlich gesagt immer noch nicht weiß, wie ich damit umgehen soll.)

We don't have the resources to backport security fixes to the Iceweasel release in oldstable-security any longer.

Auf der einen Seite ist diese Entscheidung nachvollziehbar, auf der anderen Seite brechen sie damit mit dem Versprechen, oldstable noch 1 Jahr mit Sicherheitsupdates zu versorgen. Schade. Desweiteren finde ich die Entscheidung unglücklich, da sie so den Iceweasel in Squeeze in einem kaputten, unbrauchbaren, verbriegelten Zustand zurücklassen. Es wäre nett gewesen, wenn sie wenigstens das, was sie beim Backport der Sicherheitsfixes kaputt gemacht haben, noch korrigieren würden. Außerdem haben sie ja immerhin 10 ESR in den Backports, den hätte man doch nach security/updates verschieben können.

[johnmatrix]

Es sieht auch so aus als wird Chromium aktuell gehalten. Nach einem Update ist jetzt die aktuelle Version 27 in Wheezy, analog zu Google Chrome stable.

http://www.debian.org/security/2013/dsa-2695

Find ich gut wenn aktuelle Browser in Debian stable enthalten sind.