Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[mcb]

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?

Das war für mich bei der Erstellung des Themas der eigentliche Grund.

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

[willy4711]

ßt.
Zur Wahrheit gehört aber auch, dass selbst Mozilla seinen Usern gern mal Datenschutzexperimente unterschiebt. Und genu hier kommt für mich Debian als Distributor ins Spiel, denn ich vertraue auf Basis gemachter Beobachtungen dem Debian-Mozilla-Team, diese Experimente für mich abzuschalten.

Das ist aber nicht all zuviel, was da abgeschaltet wird.
Kannst hier nachlesen:
https://wiki.debian.org/Firefox#Disabli ... onnections
Ansonsten wird in dem Artikel auch nur weiter auf Mozilla verwiesen.

Sich Missstände mit relativierenden Vergleichen schönzureden führt zu nichts (Gutem).

Warum denn das ? Der Artikel zu FF ist x-Seiten lang und beleuchtet fast jeden Aspekt der Sicherheit.
Die Frage ist doch: kann man in irgend einem anderen Browser so detailliert (bis zur user.js) Dinge einstellen / modifizieren ?
Ich denke nicht.
Insofern finde ich diesen relativierenden Vergleich durchaus berechtigt.

Alternative wäre dann für Hardcore Freaks lynx o.Ä.

[willy4711]

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

Schon richtg.
Ich persönlich glaube, dass es für den normalen Nutzer nicht allzu gefährlich ist, solange er nicht sensible Daten oder Webseiten aufruft.
Kann es aber in Wirklichkeit nicht einschätzen.
Aber weil ich es eben nicht wirklich kann, verbietet sich für mich jede Nutzung des normalen Browsers z.B. für Banking-Geschäfte.
Auch wenn alle Welt beteuert dass das 100% sicher ist ---am besten mit dem ganz ganz sicheren Smartphone

Das einzige, was ich mal (sehr selten) mache: Über den Tor-Browser

Code: Alles auswählen

firejail --noprofile torbrowser-launcher

mal schnell nach dem Kontostand zu sehen.
Klick Klack und wieder zu.

[slu]

Ich hatte gestern mal im Bug Tracker gesucht aber nichts gesehen.
Irgend eine Richtung wäre gut zu wissen...

[ung]

999604

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

[mcb]

999604

Danke!

[mcb]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

Wäre schön.

[slu]

999604

Letzte Stand von diesem Bug ist der 13.11.2021.
Es ärgert mich etwas das ich zu der Problemlösung nichts beitragen kann...

[mcb]

Zur Problemlösung kann ich auch nicht beitragen, ich kann kaum Programmieren. Als Debianmaintainer also ungeeignet ...

Es soll wohl ein passendes rust gebaut werden nur für Firefox/Thunderbird:

#1000472 - bullseye-pu package rustc-mozilla_1.51.0+dfsg1-1~deb11u1 - Debian Bug report logs
https://bugs.debian.org/cgi-bin/bugrepo ... ug=1000472

Ein rustc backport wäre generelle ganz cool.

[MSfree]

Es soll wohl ein passendes rust gebaut werden nur für Firefox/Thunderbird:

Das Update auf Thunderbird 91 kam bei mir heute auf meiner Bookworm-Kiste an. Dann kann es bis zum Firefox 91 eigentlich auch nicht mehr so lange dauern.

Mal sehen, ob das dann auch in die Bullseye-Backports kommt.

[hikaru]

Mal sehen, ob das dann auch in die Bullseye-Backports kommt.

Firefox 91 (samt Abhängigkeiten) wird eher in Security auftauchen als in den Backports.

[mcb]

Ja und dies neue rustc-mozilla in den backports? Na die machen das schon.

[hikaru]

Ja und dies neue rustc-mozilla in den backports?

Und was machst du, wenn du zwar Security für FF, aber keine Backports hast? Dann fliegt dir das FF-Update wegen fehlender Abhängigkeiten um die Ohren.
Nein, wenn dann müssen alle Abhängigkeiten ebenfalls nach Security. Natürlich könnte stattdessen auch alles in die Backports. Aber da die fakulativ sind stünden dann viele User ganz ohne Browser da.

[mcb]

Ja und dies neue rustc-mozilla in den backports?

Und was machst du, wenn du zwar Security für FF, aber keine Backports hast? Dann fliegt dir das FF-Update wegen fehlender Abhängigkeiten um die Ohren.
Nein, wenn dann müssen alle Abhängigkeiten ebenfalls nach Security. Natürlich könnte stattdessen auch alles in die Backports. Aber da die fakulativ sind stünden dann viele User ganz ohne Browser da.

Wohl kaum, der rustkompiler wird für das Programm nicht gebraucht. https://bugs.debian.org/cgi-bin/bugrepo ... ug=1000472

[hikaru]

Aber eine zum FF passende rustc-Version wird gebraucht um den FF-Bau reproduzierbar zu machen.

[mcb]

Ja zum bauen gibt es dann 'backports' oder neue (zusätzliche) Pakete - jedenfalls verstehe ich die Planung so - mal den Bugreport im Auge behalten.

[dasebastian]

Ich bin hier zufällig drübergestolpert und fasse mal aus unbedarfter Sicht zusammen:

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr, ohne, dass dem Durchschnittsanwender, der sich nicht im Forum oder auf anderen einschlägigen Seiten herumtreibt, das mitgeteilt wird?

Ist das hier ein Sturm im Wasserglas (ich zweifle nicht an den aufrichtigen Bemühungen hier!) oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Ich meine, hier handelt es sich um den Webbrowser (!), der bei Installation mitgeliefert wird, um Linux ("Nein, nein, solange du bei den offiziellen Quellen bleibst, ist alles supergut...!") und da um Debian ("Pakete sind abgehangen aber dafür dann superstabil...!").

Ich selbst habe jetzt noch nichts unternommen (schon fahrlässig?) und wüsste mir auch zu behelfen (Flatpak oder Binaries direkt), aber die Situation ändert meine Sicht auf Debian schon ein wenig, wenn das so stimmt. Auch in Hinblick auf die "Durchschnittstauglichkeit" von Debian für den ganz gewöhnlichen Ich-habs-einmal-eingerichtet-jetz-is-gut-User.

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

[MSfree]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Ist das hier ein Sturm im Wasserglas...oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Noch hat keiner ein Sicherheitsproblem.

("Pakete sind abgehangen aber dafür dann superstabil...!").

"Stabil" heißt nicht absturzfrei sondern stabile Versionsnummer. In Bullseye ist nunmal FF-ESR 78 drin, ein Upgrade auf 91 dürfte es also gar nicht geben, einfach, weil es eben keine 78 mehr ist.

In FF 91 sind aber einige Erweiterungen und Verbesserungen eingeflossen. Mit der Zeit kann es passieren, daß Internetseiten mit dem 78er gar nicht mehr benutzbar sind, weil diese eben die Erweiterungen des HTML-Sprachstandards nutzen, die der 78er nicht kennt. Insofern wäre ein baldiges Upgrade auf 91 schon wünschenswert. Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

[dasebastian]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Ich dürfte den Faden (und den überflogenen Bugreport) dann doch falsch verstanden haben, danke für die Infos!

Solange mit der Zeit vielleicht nur manche Seiten nicht mehr so toll laden, damit kann ich leben oder halt zur Not später aus den Backports installieren.

Hatte gestern mit Binarie und Flatpak rumgespielt, war nicht glücklich damit. So lass ich jetzt erst mal alles, wie's ist.

[slu]

Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei und es kam doch auch bei Buster eine neue ESR Version über
die Sicherheitsupdates oder bin ich jetzt ganz daneben?

[MSfree]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Wie gesagt, der Begriff "stabil" bedeutet in der Debianphilosophie eben nicht "rocksolid" sondern stures festhalten an der einmal eingeführten Versionsnummer eines Softwarepakets, zu dem nur Sicherheitspatches geliefert werden.

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei

Die ESR (extended support release) wird von der Mozilla Foundation gepflegt und gepatcht. Debian hat sich nur regelmässig die gepatchten Quellcodes besorgt und neue Pakete gebaut. Wenn Mozilla die 78-ESR aber aufkündigt, müßte Debian hier weiter patchen und das wollen die sich wohl auch nicht antun.

und es kam doch auch bei Buster eine neue ESR Version über die Sicherheitsupdates...

Der Updatemechanismus gäbe es her. Der Versionssprung von 78 auf 91 ist aber unzulässig innerhalb von Bullseye. OK, man könnte hier auch mal eine Ausnhame machen, aber gerade die nicht stattfindenden Versionssprünge sind das, was Debian als "stabil" bezeichnet.

[dasebastian]

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Hahaha! Dann hat mich unter anderem ein missverstandener/missverständlich gebrauchter Nebeneffekt zu Debian gebracht,

[tobo]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr [...]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.
https://tracker.debian.org/pkg/firefox-esr/news/?page=1
Den zeitlichen Rahmen kann man vermutlich mit dem Übergang von 68->78 vergleichen (Seite 3 unten im Link).