Debian (point release) vs Arch (rolling release) im aktuellen Alltag

[Schmetterbrett]

Hallo CB-User!

Aktuell sind "zwei sicherheitskritische Sicherheitslücken" im FF 74 entdeckt worden und auch recht schnell gefixt worden.

Da ich keine CB Links per Suche finde, Link zu einem anderen Portal:
https://www.heise.de/security/meldu...-Day-Sicherheitsluecken-entdeckt-4697192.html

Als sowohl Debian als auch Arch Nutzer war ich bei Arch erfreut, es gab mit dem Lesen der Meldung auch ein Update. Bei Debian ist bis heute nichts passiert. Ich weiß auch nicht, inwiefern diese Lücke Linux/Debian betrifft.

Edit: Es geht hier um Linux Mint (<Ubuntu<Debian) und im anderen Fall Manjaro (<Arch).

Aber ich finde es es etwas schade. Wie sehr ihr das?

 

[Piktogramm]

Welches Release auf welchem release channel bist du denn bei Debian?

Auf den ersten Blick haben die "stable" releases alle sowieso nur die ESR Version vom Fuchs und dessen Updates sind in den Repos.

 

[snaxilian]

Definiere mal welche Version von Debian du verwendest... Wenn du von FF 74 redest meinst du also offensichtlich Debian Sid? Welchen Beweggrund hast du für eine nicht als stabil deklarierte Debian Version? Entweder du willst stable dann nimm Debian Buster oder du willst aktuelle Pakete dann bleib bei Arch.
Bei Debian Buster existiert der Firefox ESR und dieser ist bereits gepatcht und ja auch unter Debian, zumindest unter den noch aktiv unterstützten stabilen Versionen: https://security-tracker.debian.org/tracker/source-package/firefox-esr
Für Sid und FF 74: https://security-tracker.debian.org/tracker/source-package/firefox
Wenn du es gefixt haben will: Portiere den Patch. Wenn du es nicht kannst oder willst aber trotzdem den Fix haben willst: Bezahle einen Dev dafür Ansonsten siehe oben: Wenn du stabil willst nimmt ein Debian stable und nicht die testing Variante die btw auch ein Rolling Release ist: https://wiki.debian.org/DebianUnstable

 

[Ratz_Fatz]

@snaxilian
Was hat das mit Debian Sid oder Stable zu tun? Unter "Resolved issues" sieht man doch, dass die beiden Bugs in beiden Firefox Versionen(68.6.1 und 74.0.1) behoben wurden. Die anderen Bugs werden erst mit Version 68.7 oder 75 behoben. Die anderen sind halt andere Bugs. Die (meisten) Bugfixes landen eh zuerst in Sid.

@Schmetterbrett
Du könntest dir, falls es irgendwo mal länger dauert direkt den Firefox laden (hier) und dann in home ausführen oder unter /opt einfügen. Im Terminal ist dann bei einer angepassten Firefox Version der Linux Distri ein "firefox -p -allow-dowgrade" hilfreich(falls das Profil nicht direkt startet). Generell immer Backups vorher und zwischendurch machen.

 

[snaxilian]

Der TE schreibt etwas von FF 74 und den gibt es ohne weitere Fremdrepos nur in Debian Sid. Zum Zeitpunkt meines ersten Posts und der Verlinkung waren die zwei Fixes noch nicht portiert, inzwischen scheint dies der Fall zu sein.
Es erschließt sich mir jedoch weiterhin nicht, wieso man Arch und Debian Sid verwendet, einmal rolling release sollte doch reichen, oder?^^

 

[kim88]

Grundsätzlich ist es so, dass alle grossen Distributionen kritische Sicherheitslücken relativ schnell ihre Repositorys aufnehmen. Klar ist, dass es über die Distributionen immer länger geht als z.B. unter Windows wo sich FF einfach selber aktualisieren kann.

Bei den Distributionen muss z.B. der Maintainer erst das Paket bauen und testen. Danach muss es verteilt werden. Die Mirrors (egal ob für Debian oder für Arch) aktualisieren sich nicht in "Echtzeit". Und daher dauert das eben.

Bei Debian kann es einfach auch sein, dass APT mit einem einem "langsamen" Mirror verbunden ist.

Grundsätzlich - wenn du Firefox Updates in Echtzeit haben willst. Nutze nicht das Firefox Paket deiner Distribution. Sondern direkt das von Firefox ;-)

 

[Ratz_Fatz]

Der TE schreibt etwas von FF 74 und den gibt es ohne weitere Fremdrepos nur in Debian Sid. Zum Zeitpunkt meines ersten Posts und der Verlinkung waren die zwei Fixes noch nicht portiert, inzwischen scheint dies der Fall zu sein.
Es erschließt sich mir jedoch weiterhin nicht, wieso man Arch und Debian Sid verwendet, einmal rolling release sollte doch reichen, oder?^^

Er schreibt doch im Titel "point release" dann dürfte man von Debian Buster ausgehen.

Ich hatte in Debian Sid zu dem Zeitpunkt beide neuen Firefox Versionen. In Debian Stable(Firefox ESR) war er dieses Mal auch schnell vorhanden.

Schmetterbrett schreibt ja nicht, dass er den Firefox 74 in Debian verwendet. Mehr Infos wären hilfreich. Ich schätze mal, dass er Debian Stable und Firefox ESR verwendet.

Kann ja sein, dass er davon ausgeht, dass Debian Stable auch den "normalen" Firefox erhält. Debian portiert doch die Fixes nicht, die werden mit dem bereitstellen von Mozilla geschlossen(kann sein, dass es bei der Bugfix-Seite etwas gedauert hat, bis die aktualisiert wurde). Debian wandelt nur das Paketformat und macht ein paar Anpassungen (teilweise hier unten aufgelistet).

 

[snaxilian]

@Ratz_Fatz Der TE schreibt von entdeckten Sicherheitslücken im FF 74. Soweit mir bekannt beinhaltet kein Point Release von Debian den FF 74 sondern den FF ESR. Lediglich in Debian Sid ist der FF 74 inkludiert aber Sid ist eben kein Point Release sondern der forever-and-ever mehr oder weniger rolling release Entwicklungszweig von Debian. Daher ist die Kombination des Titels mit der Nennung des FF 74 nicht schlüssig. Auf etwas anderes wollte ich nicht hinaus
Portieren war ggf. der falsche Ausdruck meinerseits. Ich meinte damit entsprechend das was du gesagt hast sprich die verlinkten Anpassungen und die Paketierung.

@kim88 In der Regel werden die Security Repositories von Debian nicht auf den diversen Mirrors betrieben um eben eine Verzögerung durch den Sync und Replikation auszuschließen. Debian selbst empfiehlt es auch explizit nicht. Habe stichprobenartig mal knapp 10 Debian Mirrors aus Deutschland gecheckt und keiner hostet DebianSecurity. Wenn man daher einen halbwegs vernünftigen Mirror verwendet, dann kommen die Security Fixes zeitnah da diese eben direkt von Debian kommen.

 

[kim88]

@snaxilian sicher, dass die Firefox Updates über das Security Repository kommen? Bei Browsern ist das ja immer etwas merkwürdig, da hier auch die Distributionen die kein Rolling-Release sind neue Versionen auliefern - hier ja auch Debian - der die Firefox ESR Point Releases aktualisiert. Daher bin ich mir nicht sicher ob das über das Security Repository kommt.

 

[Ratz_Fatz]

TU-Dresden lieferte auch mal Security Updates aus, aber die holen sich das auch von "security.debian.org".

#security-updates
deb https://debian.inf.tu-dresden.de/debian-security/ buster/updates main

Debian Stable

apt-cache policy firefox-esr
firefox-esr:
Installiert: 68.6.1esr-1~deb10u1
Installationskandidat: 68.6.1esr-1~deb10u1
Versionstabelle:
*** 68.6.1esr-1~deb10u1 500
500 http://security.debian.org/debian-security buster/updates/main amd64 Packages
100 /var/lib/dpkg/status
68.4.1esr-1~deb10u1 500
500 https://ftp.halifax.rwth-aachen.de/debian buster/main amd64 Packages

 

[snaxilian]

@kim88 Ja, siehe z.B. hier: https://security-tracker.debian.org/tracker/source-package/firefox-esr
Unter Releases siehst du in welchen Releases das Paket enthalten ist. Sowohl im normalen da nix weiter genannt als auch security.

 

[kim88]

@snaxilian cool - Danke für das darauf Aufmerksam machen. Da merkt man gleich, dass ich so gut wie kaum im Debian Universum unterwegs bin.

 

[Schmetterbrett]

Sorry für die späte Antwort und meine schwammige Formulierung.

Ich nutzte (vielleicht dummerweise) nicht direkt Debian, sondern Mint. Daher kommt es zu dem "Verzug". Nun haben sie gestern auf FF 75 geupdated, für mich zu lang und auf jedenfall kommt Mint für mich nicht mehr in Frage.

Bei Arch nutze ich Manjaro. Danke für die Antworten!

 

[ModellbahnerTT]

@Schmetterbrett Vorsicht bei Manjaro kann es auch 2 Wochen dauern bis diese Pakete von arch übernehmen da diese zwar das gleiche System nutzen aber nicht die gleichen repos.