Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[dasebastian]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Ich dürfte den Faden (und den überflogenen Bugreport) dann doch falsch verstanden haben, danke für die Infos!

Solange mit der Zeit vielleicht nur manche Seiten nicht mehr so toll laden, damit kann ich leben oder halt zur Not später aus den Backports installieren.

Hatte gestern mit Binarie und Flatpak rumgespielt, war nicht glücklich damit. So lass ich jetzt erst mal alles, wie's ist.

[slu]

Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei und es kam doch auch bei Buster eine neue ESR Version über
die Sicherheitsupdates oder bin ich jetzt ganz daneben?

[MSfree]

Mit "stabil" meinte ich das im englischen oft gebrauchte "rocksolid", diesen Ruf hat Debian ja zweifelsfrei.

Wie gesagt, der Begriff "stabil" bedeutet in der Debianphilosophie eben nicht "rocksolid" sondern stures festhalten an der einmal eingeführten Versionsnummer eines Softwarepakets, zu dem nur Sicherheitspatches geliefert werden.

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Die Zeiten das Debian in Stable ein Firefox komplett kaputt patched sind doch vorbei

Die ESR (extended support release) wird von der Mozilla Foundation gepflegt und gepatcht. Debian hat sich nur regelmässig die gepatchten Quellcodes besorgt und neue Pakete gebaut. Wenn Mozilla die 78-ESR aber aufkündigt, müßte Debian hier weiter patchen und das wollen die sich wohl auch nicht antun.

und es kam doch auch bei Buster eine neue ESR Version über die Sicherheitsupdates...

Der Updatemechanismus gäbe es her. Der Versionssprung von 78 auf 91 ist aber unzulässig innerhalb von Bullseye. OK, man könnte hier auch mal eine Ausnhame machen, aber gerade die nicht stattfindenden Versionssprünge sind das, was Debian als "stabil" bezeichnet.

[dasebastian]

Daß solche Pakete letztlich auch "rocksolid"sein können, ist ein netter Nebeneffekt.

Hahaha! Dann hat mich unter anderem ein missverstandener/missverständlich gebrauchter Nebeneffekt zu Debian gebracht,

[tobo]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr [...]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.
https://tracker.debian.org/pkg/firefox-esr/news/?page=1
Den zeitlichen Rahmen kann man vermutlich mit dem Übergang von 68->78 vergleichen (Seite 3 unten im Link).

[Blue]

@tobo:
Endlich eine klare Aussage.

[slu]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

[hikaru]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Jein.
firefox-esr selbst erhält natürlich noch Sicherheitsupdates - zumindest ist das Debians Ansinnen. Allerdings ist die momentan vorliegende Version 78 von 6 offenen Sicherheitslücken betroffen [1], von denen Mozilla Einigen eine "hohe Auswirkung" zuschreibt. Diese Lücken werden weder von Mozilla (hat Version 78 bereits aufgegeben), noch von Debian (beschäftigt sich momentan mit dem Bau der neuen Version 91) gefixt.

Noch hat keiner ein Sicherheitsproblem.

Das weißt du nicht.

Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Genau für solche Fälle wurde das Security-Repo [2] geschaffen, um eine Quelle für Pakete bereitstellen zu können, die einerseits aktueller als das reguläre Stable-Repo, andererseits verbindlicher als das Backports-Repo ist. Deshalb ist es unwahrscheinlich, dass firefox-esr in den Backports auftauchen wird.
Die Einführung des Security-Repos passierte nicht ausschließlich, aber besonders mit Blick auf Firefox, weil man sich nach Mozillas Entscheidung, die Taktfrequenz der FF-Versionen zu erhöhen seitens Debian nicht mehr in der Lage sah, die frühere Praxis fortzuführen, gezielt Patches in alte FF-Version in Debian zu portieren.
Seitdem bietet Debian den jeweils ältesten noch von Mozilla gepflegten ESR-Firefox als firefox-esr an. Und genau da hapert es gerade, weil die Build-Tools in Bullseye zu alt sind um diesen ESR-Firefox zu bauen.

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.


[1] https://security-tracker.debian.org/tra ... irefox-esr
[2] https://www.debian.org/security/

[dasebastian]

Es bleibt also doch spannend...

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde. Getreu dem Motto: All systems suck...

[Blue]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Jein.
firefox-esr selbst erhält natürlich noch Sicherheitsupdates - zumindest ist das Debians Ansinnen. Allerdings ist die momentan vorliegende Version 78 von 6 offenen Sicherheitslücken betroffen [1], von denen Mozilla Einigen eine "hohe Auswirkung" zuschreibt. Diese Lücken werden weder von Mozilla (hat Version 78 bereits aufgegeben), noch von Debian (beschäftigt sich momentan mit dem Bau der neuen Version 91) gefixt.

Noch hat keiner ein Sicherheitsproblem.

Das weißt du nicht.

Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.

Genau für solche Fälle wurde das Security-Repo [2] geschaffen, um eine Quelle für Pakete bereitstellen zu können, die einerseits aktueller als das reguläre Stable-Repo, andererseits verbindlicher als das Backports-Repo ist. Deshalb ist es unwahrscheinlich, dass firefox-esr in den Backports auftauchen wird.
Die Einführung des Security-Repos passierte nicht ausschließlich, aber besonders mit Blick auf Firefox, weil man sich nach Mozillas Entscheidung, die Taktfrequenz der FF-Versionen zu erhöhen seitens Debian nicht mehr in der Lage sah, die frühere Praxis fortzuführen, gezielt Patches in alte FF-Version in Debian zu portieren.
Seitdem bietet Debian den jeweils ältesten noch von Mozilla gepflegten ESR-Firefox als firefox-esr an. Und genau da hapert es gerade, weil die Build-Tools in Bullseye zu alt sind um diesen ESR-Firefox zu bauen.

Der momentane(!) Stand ist also, dass Debian-Stable-Nutzer mit firefox-esr einen unsicheren Browser verwenden.


[1] https://security-tracker.debian.org/tra ... irefox-esr
[2] https://www.debian.org/security/

THX!

@dasebastian:

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

In alter Treue habe ich Firefox-ESR nicht gepurged, bin aber wie Du über die neuen Geflogenheiten überrascht.
Ich habe mir das "normale" Firefox über das Opt-Vorgehen installiert, dann als Standarbrowser definiert und warte nun ab, wie es weitergeht.
Die Flatpak-Option mag ich btw nicht.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde.

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig.
Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.
Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

[fischig]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?
Meine Vorliebe für diesen Browser hat ja bisher ausschließlich kosmetische Gründe.

Hat Palemoon überhaupt schon rust-code?

Ich habe keine Ahnung, was das ist. Und es interessiert mich auch nur insoweit, als es sicherheitsrelevant ist.

[mcb]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Selbstverständlich ist das so geplant - nur es verzögert sich alles. Hauptsächlich wegen dem Rustkompiler.

[mcb]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Hat Palemoon überhaupt schon rust-code?

[tobo]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Das hast du richtig verstanden, deinstallieren muss man da also nichts. Und ja, 91 ist die kommende ESR-Version.

Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.
Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Wie kann man die Problematik zu Mozilla verorten? Mozilla macht den Browser. Die Aufgabe von Debian ist es, den Browser im Debian-Ökosystem unterzubringen. Und das schaffen sie halt diesmal nicht zeitnah.

[hikaru]

@dasebastian:

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

In alter Treue habe ich Firefox-ESR nicht gepurged, bin aber wie Du über die neuen Geflogenheiten überrascht.
Ich habe mir das "normale" Firefox über das Opt-Vorgehen installiert, dann als Standarbrowser definiert und warte nun ab, wie es weitergeht.

Um hier nochmal nachzuliefern:
Ich habe inzwischen ein Sid-chroot mit firefox-esr aufgesetzt und surfe damit.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde.

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig.
Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.

Mozilla wird sich aber nicht für Debian bewegen. Das haben sie in der Vergangenheit noch nie getan. Es bleibt also an Debian hängen. Und auch wenn es paradox klingen mag, ich glaube hier hilft es, dass vor Kurzem der Support für Chromium in Debian aufgekündigt wurde, denn sonst würde ich jetzt an Stelle des Firefox-Teams über eine Aufkündigung nachdenken.

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Nein.

[Blue]

@tobo/hikaru:
Du habt ihr recht, Mozilla ist hier nichts vorzuwerfen. Fehlannahme meinserseits.

Wenn man produktiv mit Debian arbeitet (z.B. Banking über Firefox-Esr), dann ist die jetzige Situation nicht akzeptabel.
Da stimme ich dasebastian zu.
Firefox über das Opt-Vorgehen zu installieren, ist meine Problemlösung.
Aber für Neueinsteiger sicher sehr schwer (Tar entpacken > mov-Befehl im Terminal> Benutzerrechte anpassen > Menulibre-Neueintrag mit dem richtigen Icon, Wow .).

Noch schwieriger für Neueinsteiger wäre:
@hikaru:

Ich habe inzwischen ein Sid-chroot mit Debianfirefox-esr aufgesetzt und surfe damit.

[dasebastian]

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig. (...) Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Jaja, ist schon klar, ich blieb ja auch noch im Konjunktiv. Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

[Blue]

@dasebastian:

Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Ich muß Dir hier leider voll und ganz zustimmen.
Allerdings sollte man im Auge behalten, dass es sich bei Debian um eine nicht-kommerzielle Distribution handelt.
Und ob es bei anderen Distributionen besser bestellt ist, sei dahingestellt.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

Auch hier mein volles d`accord.
Wie oben mehrfach geschrieben, habe ich sofort per Opt auf Firefox 94.0.2 umgestellt und bleibe sicherheitshalber wahrscheinlich dabei.

[fischig]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

[Blue]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

Und wie willst Du dann Online-Banking machen?
Über Windows-11und Edge?
Oder noch "besser" per Smartphone mit Android?

[fischig]

Zur Not kann ich's auch lassen. So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte. Und noch gibt's sowas ja!

Ich bin ja so'n ewig Vorgestriger: Gibt's keine älteren Versionen, die dann zwar bestimmte features noch nicht bieten, dafür aber auch deren Fehler nicht?

[dasebastian]

Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

Hmm, ich habe 1 (einen) Rechner, bin selbständig -> der ist mein Produktivsystem. Ja, ich stimme dir zu, bin da abhängig, ohne Einfluss zu haben. Alternative sehe ich nicht, is so.

Schwersten Herzen hab ich jetzt mal flatpak installiert und überbrücke das damit. Der Rest schmeckt mir zu sehr nach Bastelei (auf die ich im Moment aber sowas von keine Lust habe)...

NACHTRAG:

So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte.

Naja, gibt bessere Witze. Trotzdem Peace!

[Blue]

Zur Not kann ich's auch lassen [Edit: Online-Banking]. So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte. Und noch gibt's sowas ja!

Kein Kommentar nötig, der Beitrag spricht für sich selbst...
@dasebastian:

Trotzdem Peace!

Ich schließe mich dieser Haltung an.
@fischig:

Ich bin ja so'n ewig Vorgestriger

Ich auch. Du würdest staunen, wie alt ich bin. Aber Up-To-Date-bleiben und lebenslanges Lernen verlangsamt Alterungsprozesse des Neo-Cortex.

[fischig]

Ja, ich stimme dir zu, bin da abhängig, ohne Einfluss zu haben.

Meine These bezüglich Abhängigkeit ging eigentlich nicht an deine Adresse, sondern eher an die von Debian. Und dass das in deinem Fall ein gravierendes Problem ist, bestärkt mich nur in meiner Position.

[dasebastian]

@fischig: Ach!! Komplettes Missverständnis, sorry!