Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[mcb]

Ja und dies neue rustc-mozilla in den backports?

Und was machst du, wenn du zwar Security für FF, aber keine Backports hast? Dann fliegt dir das FF-Update wegen fehlender Abhängigkeiten um die Ohren.
Nein, wenn dann müssen alle Abhängigkeiten ebenfalls nach Security. Natürlich könnte stattdessen auch alles in die Backports. Aber da die fakulativ sind stünden dann viele User ganz ohne Browser da.

Wohl kaum, der rustkompiler wird für das Programm nicht gebraucht. https://bugs.debian.org/cgi-bin/bugrepo ... ug=1000472

[hikaru]

Aber eine zum FF passende rustc-Version wird gebraucht um den FF-Bau reproduzierbar zu machen.

[mcb]

Ja zum bauen gibt es dann 'backports' oder neue (zusätzliche) Pakete - jedenfalls verstehe ich die Planung so - mal den Bugreport im Auge behalten.

[dasebastian]

Ich bin hier zufällig drübergestolpert und fasse mal aus unbedarfter Sicht zusammen:

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr, ohne, dass dem Durchschnittsanwender, der sich nicht im Forum oder auf anderen einschlägigen Seiten herumtreibt, das mitgeteilt wird?

Ist das hier ein Sturm im Wasserglas (ich zweifle nicht an den aufrichtigen Bemühungen hier!) oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Ich meine, hier handelt es sich um den Webbrowser (!), der bei Installation mitgeliefert wird, um Linux ("Nein, nein, solange du bei den offiziellen Quellen bleibst, ist alles supergut...!") und da um Debian ("Pakete sind abgehangen aber dafür dann superstabil...!").

Ich selbst habe jetzt noch nichts unternommen (schon fahrlässig?) und wüsste mir auch zu behelfen (Flatpak oder Binaries direkt), aber die Situation ändert meine Sicht auf Debian schon ein wenig, wenn das so stimmt. Auch in Hinblick auf die "Durchschnittstauglichkeit" von Debian für den ganz gewöhnlichen Ich-habs-einmal-eingerichtet-jetz-is-gut-User.

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

[MSfree]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Ist das hier ein Sturm im Wasserglas...oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Noch hat keiner ein Sicherheitsproblem.

("Pakete sind abgehangen aber dafür dann superstabil...!").

"Stabil" heißt nicht absturzfrei sondern stabile Versionsnummer. In Bullseye ist nunmal FF-ESR 78 drin, ein Upgrade auf 91 dürfte es also gar nicht geben, einfach, weil es eben keine 78 mehr ist.

In FF 91 sind aber einige Erweiterungen und Verbesserungen eingeflossen. Mit der Zeit kann es passieren, daß Internetseiten mit dem 78er gar nicht mehr benutzbar sind, weil diese eben die Erweiterungen des HTML-Sprachstandards nutzen, die der 78er nicht kennt. Insofern wäre ein baldiges Upgrade auf 91 schon wünschenswert. Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

[dasebastian]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Ich dürfte den Faden (und den überflogenen Bugreport) dann doch falsch verstanden haben, danke für die Infos!

Solange mit der Zeit vielleicht nur manche Seiten nicht mehr so toll laden, damit kann ich leben oder halt zur Not später aus den Backports installieren.

Hatte gestern mit Binarie und Flatpak rumgespielt, war nicht glücklich damit. So lass ich jetzt erst mal alles, wie's ist.

[slu]

Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei und es kam doch auch bei Buster eine neue ESR Version über
die Sicherheitsupdates oder bin ich jetzt ganz daneben?

[MSfree]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Wie gesagt, der Begriff "stabil" bedeutet in der Debianphilosophie eben nicht "rocksolid" sondern stures festhalten an der einmal eingeführten Versionsnummer eines Softwarepakets, zu dem nur Sicherheitspatches geliefert werden.

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei

Die ESR (extended support release) wird von der Mozilla Foundation gepflegt und gepatcht. Debian hat sich nur regelmässig die gepatchten Quellcodes besorgt und neue Pakete gebaut. Wenn Mozilla die 78-ESR aber aufkündigt, müßte Debian hier weiter patchen und das wollen die sich wohl auch nicht antun.

und es kam doch auch bei Buster eine neue ESR Version über die Sicherheitsupdates...

Der Updatemechanismus gäbe es her. Der Versionssprung von 78 auf 91 ist aber unzulässig innerhalb von Bullseye. OK, man könnte hier auch mal eine Ausnhame machen, aber gerade die nicht stattfindenden Versionssprünge sind das, was Debian als "stabil" bezeichnet.

[dasebastian]

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Hahaha! Dann hat mich unter anderem ein missverstandener/missverständlich gebrauchter Nebeneffekt zu Debian gebracht,

[tobo]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr [...]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.
https://tracker.debian.org/pkg/firefox-esr/news/?page=1
Den zeitlichen Rahmen kann man vermutlich mit dem Übergang von 68->78 vergleichen (Seite 3 unten im Link).

[rockyracoon]

@tobo:
Endlich eine klare Aussage.

[slu]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

[hikaru]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Jein.
firefox-esr selbst erhält natürlich noch Sicherheitsupdates - zumindest ist das Debians Ansinnen. Allerdings ist die momentan vorliegende Version 78 von 6 offenen Sicherheitslücken betroffen [1], von denen Mozilla Einigen eine "hohe Auswirkung" zuschreibt. Diese Lücken werden weder von Mozilla (hat Version 78 bereits aufgegeben), noch von Debian (beschäftigt sich momentan mit dem Bau der neuen Version 91) gefixt.

Noch hat keiner ein Sicherheitsproblem.

Das weißt du nicht.

Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Genau für solche Fälle wurde das Security-Repo [2] geschaffen, um eine Quelle für Pakete bereitstellen zu können, die einerseits aktueller als das reguläre Stable-Repo, andererseits verbindlicher als das Backports-Repo ist. Deshalb ist es unwahrscheinlich, dass firefox-esr in den Backports auftauchen wird.
Die Einführung des Security-Repos passierte nicht ausschließlich, aber besonders mit Blick auf Firefox, weil man sich nach Mozillas Entscheidung, die Taktfrequenz der FF-Versionen zu erhöhen seitens Debian nicht mehr in der Lage sah, die frühere Praxis fortzuführen, gezielt Patches in alte FF-Version in Debian zu portieren.
Seitdem bietet Debian den jeweils ältesten noch von Mozilla gepflegten ESR-Firefox als firefox-esr an. Und genau da hapert es gerade, weil die Build-Tools in Bullseye zu alt sind um diesen ESR-Firefox zu bauen.

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.


[1] https://security-tracker.debian.org/tra ... irefox-esr
[2] https://www.debian.org/security/

[dasebastian]

Es bleibt also doch spannend...

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde. Getreu dem Motto: All systems suck...

[rockyracoon]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Jein.
firefox-esr selbst erhält natürlich noch Sicherheitsupdates - zumindest ist das Debians Ansinnen. Allerdings ist die momentan vorliegende Version 78 von 6 offenen Sicherheitslücken betroffen [1], von denen Mozilla Einigen eine "hohe Auswirkung" zuschreibt. Diese Lücken werden weder von Mozilla (hat Version 78 bereits aufgegeben), noch von Debian (beschäftigt sich momentan mit dem Bau der neuen Version 91) gefixt.

Noch hat keiner ein Sicherheitsproblem.

Das weißt du nicht.

Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Genau für solche Fälle wurde das Security-Repo [2] geschaffen, um eine Quelle für Pakete bereitstellen zu können, die einerseits aktueller als das reguläre Stable-Repo, andererseits verbindlicher als das Backports-Repo ist. Deshalb ist es unwahrscheinlich, dass firefox-esr in den Backports auftauchen wird.
Die Einführung des Security-Repos passierte nicht ausschließlich, aber besonders mit Blick auf Firefox, weil man sich nach Mozillas Entscheidung, die Taktfrequenz der FF-Versionen zu erhöhen seitens Debian nicht mehr in der Lage sah, die frühere Praxis fortzuführen, gezielt Patches in alte FF-Version in Debian zu portieren.
Seitdem bietet Debian den jeweils ältesten noch von Mozilla gepflegten ESR-Firefox als firefox-esr an. Und genau da hapert es gerade, weil die Build-Tools in Bullseye zu alt sind um diesen ESR-Firefox zu bauen.

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.


[1] https://security-tracker.debian.org/tra ... irefox-esr
[2] https://www.debian.org/security/

THX!

@dasebastian:

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

In alter Treue habe ich Firefox-ESR nicht gepurged, bin aber wie Du über die neuen Geflogenheiten überrascht.
Ich habe mir das "normale" Firefox über das Opt-Vorgehen installiert, dann als Standarbrowser definiert und warte nun ab, wie es weitergeht.
Die Flatpak-Option mag ich btw nicht.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde.

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig.
Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.
Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

[fischig]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?
Meine Vorliebe für diesen Browser hat ja bisher ausschließlich kosmetische Gründe.

Hat Palemoon überhaupt schon rust-code?

Ich habe keine Ahnung, was das ist. Und es interessiert mich auch nur insoweit, als es sicherheitsrelevant ist.

[mcb]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Selbstverständlich ist das so geplant - nur es verzögert sich alles. Hauptsächlich wegen dem Rustkompiler.

[mcb]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Hat Palemoon überhaupt schon rust-code?

[tobo]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Das hast du richtig verstanden, deinstallieren muss man da also nichts. Und ja, 91 ist die kommende ESR-Version.

Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.
Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Wie kann man die Problematik zu Mozilla verorten? Mozilla macht den Browser. Die Aufgabe von Debian ist es, den Browser im Debian-Ökosystem unterzubringen. Und das schaffen sie halt diesmal nicht zeitnah.

[hikaru]

@dasebastian:

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

In alter Treue habe ich Firefox-ESR nicht gepurged, bin aber wie Du über die neuen Geflogenheiten überrascht.
Ich habe mir das "normale" Firefox über das Opt-Vorgehen installiert, dann als Standarbrowser definiert und warte nun ab, wie es weitergeht.

Um hier nochmal nachzuliefern:
Ich habe inzwischen ein Sid-chroot mit firefox-esr aufgesetzt und surfe damit.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde.

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig.
Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.

Mozilla wird sich aber nicht für Debian bewegen. Das haben sie in der Vergangenheit noch nie getan. Es bleibt also an Debian hängen. Und auch wenn es paradox klingen mag, ich glaube hier hilft es, dass vor Kurzem der Support für Chromium in Debian aufgekündigt wurde, denn sonst würde ich jetzt an Stelle des Firefox-Teams über eine Aufkündigung nachdenken.

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Nein.

[rockyracoon]

@tobo/hikaru:
Du habt ihr recht, Mozilla ist hier nichts vorzuwerfen. Fehlannahme meinserseits.

Wenn man produktiv mit Debian arbeitet (z.B. Banking über Firefox-Esr), dann ist die jetzige Situation nicht akzeptabel.
Da stimme ich dasebastian zu.
Firefox über das Opt-Vorgehen zu installieren, ist meine Problemlösung.
Aber für Neueinsteiger sicher sehr schwer (Tar entpacken > mov-Befehl im Terminal> Benutzerrechte anpassen > Menulibre-Neueintrag mit dem richtigen Icon, Wow .).

Noch schwieriger für Neueinsteiger wäre:
@hikaru:

Ich habe inzwischen ein Sid-chroot mit Debianfirefox-esr aufgesetzt und surfe damit.

[dasebastian]

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig. (...) Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Jaja, ist schon klar, ich blieb ja auch noch im Konjunktiv. Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

[rockyracoon]

@dasebastian:

Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Ich muß Dir hier leider voll und ganz zustimmen.
Allerdings sollte man im Auge behalten, dass es sich bei Debian um eine nicht-kommerzielle Distribution handelt.
Und ob es bei anderen Distributionen besser bestellt ist, sei dahingestellt.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

Auch hier mein volles d`accord.
Wie oben mehrfach geschrieben, habe ich sofort per Opt auf Firefox 94.0.2 umgestellt und bleibe sicherheitshalber wahrscheinlich dabei.

[fischig]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

[rockyracoon]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

Und wie willst Du dann Online-Banking machen?
Über Windows-11und Edge?
Oder noch "besser" per Smartphone mit Android?