Sicherheit und Aktualität von Iceweasel in Wheezy

[wanderer]

Ich hab das update auf meiner Wheezy-Installation auch soeben erhalten. Anscheinend hinkt packages.debian.org dem aktuellen Paketstatus ein wenig hinterher. Es ist eine sinnvolle Entscheidung, die leider viel zu lange aufgeschoben wurde.

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

[Cae]

"We're changing the approach for security updates for Iceweasel, Icedove and Iceape in stable-security:

Endlich, eine IMHO längst überfällige Entscheidung. Und für mich persönlich zu spät; die beiden Rechner, die ich deswegen auf CentOS umgestellt habe, werde ich nicht wieder zurückrüsten.

... und wieso hattest du die betroffenen Pakete nicht einfach aus sid/experimental genommen, wie's die vorherige Empfehlung war?

Gruss Cae

[Luxuslurch]

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

Ja, siehe: http://mirror.centos.org/centos/6.4/upd ... /Packages/
Dort findet man Thunderbird und Firefox ESR, und das ist das CentOS-Base.repo, ist also von alleine verfügbar. Nur einen winzigen Schritt weiter kann man auch gehen:

Code: Alles auswählen

yum info firefox
--snip--
Installed Packages
Name        : firefox
Arch        : x86_64
Version     : 21.0
Release     : 4.el6.remi
Size        : 32 M
Repo        : installed
From repo   : remi
Summary     : Mozilla Firefox Web browser
URL         : http://www.mozilla.org/projects/firefox/
License     : MPLv1.1 or GPLv2+ or LGPLv2+
Description : Mozilla Firefox is an open-source web browser, designed for standards
            : compliance, performance and portability.

Das ist alles ein bisschen sauberer voneinander getrennt bei CentOS. Es gibt einfach ein, zwei zusätzliche repos, die sehr stark darauf achten, sich nicht mit den Hauptquellen zu beißen. Für meinen tragbaren Rechner, den ich nur 1x im Monat brauche, ist das optimal. Für meinen Hauptrechner.... nur Debian! Aber ich werde OT...

[owl102]

Wie machen die das bei CentOS/RHEL mit Firefox? Die bieten ja sehr lange Supportzeiträume an. Wird dort immer die aktuelle ESR-Version verwendet?

Ja.

... und wieso hattest du die betroffenen Pakete nicht einfach aus sid/experimental genommen, wie's die vorherige Empfehlung war?

Ich habe eine dauerhaft wartungsarme Lösung gebraucht. Ich durfte schon reihum antanzen, als Debian den Iceweasel 3.5 kaputt gemacht hat, und keinerlei Anstalten machte, das bereinigen zu wollen. Daher hatte ich auf den Iceweasel/Icedove aus mozilla.debian.net umgestellt. Das hielt auch nicht lange an, da mozilla.debian.net bald das Repository umgestellt hatte, und daher Updates nicht mehr funktionierten. Da habe ich mich für die ESR-Variante aus den Backports entschieden, da mozilla.debian.net offensichtlich nicht für Systeme, die man für andere pflegt, geeignet ist. Das ging aber auch nur bis zum nächsten Update des Systems gut, da ich bei jedem der obrigen Umstellungen selber eine passende deutsche Sprachdatei für den Icedove suchen und manuell installieren musste (die war weder in mozilla.debian.net noch in den Backports), die aber nach einem Update nicht mehr passte.

Nach den obrigen Erfahrungen wollte ich nicht auch noch mit experimental/sid herumspielen, womit ich außerdem keinerlei persönliche Erfahrungswerte habe. Es wäre etwas anderes gewesen, wenn es mein Rechner gewesen wäre. Ich wollte eine dauerhafte, stressfreie, wartungsarme Lösung, und Rotkäppchen bzw. CentOS bietet mir genau das, Debian (damals) nicht. Deshalb habe ich die ganzen Rechner nicht auf Wheezy aktualisiert, sondern auf CentOS. (DE: XFCE, ebenfalls 4.8 wie bei Wheezy) Da /home bei allen Rechnern auf einer eigenen Partition liegt, war das kein Problem, ich habe nur unwesentlich in /home etwas geradeziehen bzw. löschen müssen.

[M. Linux]

Finde ich eine gute und vernünftige Entscheidung, die aus meiner Sicht die einzige wirklich handelbare Lösung darstellt. Das Backporten von Security Patches für nicht mehr supportete Versionen lohnt sich aufgrund von den erwarteten Probleme und dem Zeitaufwand nicht, zumal es ja die im Falle von Mozilla die ESR Versionen gibt.

[Luxuslurch]

Die Versionen von Mozilla waren aber jahrelang nicht für Debian main geeignet. Von daher war das Pflegen eigener Pakete das einzig Vernünftige.

Allerdings ist das Problem IMHO inzwischen nicht mehr existent (finde gerade den Link nicht mehr[*]), so dass man von mir aus auch - wie alle anderen Distributionen auch - die aktuellen Mozilla-Produkte in die Backports einpflegen könnte. Es sollte sich auf jeden Fall mal was bewegen.

[*] gefunden: Mike Hommey's Blog

[Alternativende]

Schade bei Icedove hat sich immer noch nichts getan.

[mclien]

Für ein vor allem für Server eingesetztes Betriebssystem ....

EY!

mclien (2xServer,8xDesktop, 1xVDR)

[mclien]

Schade bei Icedove hat sich immer noch nichts getan.

schonmal sylpheed angetestet?

[hikaru]

schonmal sylpheed angetestet?

...oder den Fork claws-mail.
(Wobei ich persönlich die Features die Claws gegenüber Sylpheed mehr hat nicht nutze und daher nicht sagen kann dass mir das eine besser gefiele als das andere.)

[Alternativende]

Danke aber ich habe mich schon sehr an Icedove gewöhnt, die beiden anderen funktionieren zwar, sehen aber komisch aus .
Ich werde wohl noch ein paar Tage warten.

[mclien]

Seltsam. Für mich sehen die alle so gleich aus, dass ich immer, wenn ich von einem Familienmitglied um Hilfe gebten werde, den Titel des Fensters anschauen muss, um herauszufinden welcher client den grade läuft..

[hias]

Hmmm,

auf meinem Testing-System mit dieser sources.list

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ testing main non-free contrib
deb-src http://ftp.de.debian.org/debian/ testing main non-free contrib

deb http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free

ist Iceweasel immer noch hartnäckig auf Version 10ESR

Code: Alles auswählen

hias@x60s:~$ apt-cache policy iceweasel
iceweasel:
  Installiert:           10.0.12esr-1+nmu1
  Installationskandidat: 10.0.12esr-1+nmu1
  Versionstabelle:
 *** 10.0.12esr-1+nmu1 0
        500 http://ftp.de.debian.org/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status

Was mache ich falsch ?

Gruß Hias

[BeWo]

Hallo Hias

Was mache ich falsch ?

Deine sources.list ist richtig.
Das Problem ist, daß in jessie immer noch die 10er Version ist.

Bis die 17er Version in jessie ist, solltest Du über Pinning diese Version aus sid installieren.
Hier eine Anleitung für Pinning:
http://wiki.debianforum.de/Pinning

Viele Grüße
Bernhard

[hias]

Hallo BeWo,

Deine sources.list ist richtig.

ja davon bin ich auch ausgegangen. Pinning ist natürlich eine Idee, auch wenn ich da immer unsicher bin.

So eine /etc/apt/preferences sollte es doch tun ?

Code: Alles auswählen

Package: *
Pin: release a=testing
Pin-Priority: 900

Package: *
Pin: release a=unstable
Pin-Priority: 200

Und die sources.list muss ich natürlich anpassen, aber das ist ja das Geringste.

Gruß Hias

[Luxuslurch]

$RELEASE hat eigentlich immer eine Priorität von 500, insofern reicht es, wenn unstable auf 200 runter gepinnt wird. Dadurch bleibt es niedriger als testing. Der Eintrag zu testing ist IMHO überflüssig.

[Alternativende]

Schön nun ist Icedove auch auf 17.0.7.

[nudgegoonies]

Mich hat die neue Politik die ESR Versionen auszuliefern ja gefreut, aber der FF ist mittlerweile schon auf 25, die aktuelle ESR auf 24 und schon mehrere Wochen alt, aber Stable ist immer noch auf 17 ESR

[Tintom]

Nun, die ESR 17 wird noch offiziell von Mozilla unterstützt (letztes Release vom 29.10.13) und ist in stable. Solange sich daran nichts ändert, kommt auch keine neue ESR-Version.

[niesommer]

Nun, die ESR 17 wird noch offiziell von Mozilla unterstützt (letztes Release vom 29.10.13) und ist in stable. Solange sich daran nichts ändert, kommt auch keine neue ESR-Version.

Und das ist auch gut so.

[nudgegoonies]

Hat sich erledigt. Ich dachte zuerst, eine ESR löst die andere ab. Die Releases überlappen sich aber um 12 Wochen. Wahrscheinlich um den Admins Zeit zu lassen für die Umstellung. Wenn ich das richtig sehe wird der 17'er erst im Dezember beerdigt. War ja klar, dass die Debianer den Zeitraum wieder bis zum Ende auskosten Ich bin ja eh schon auf der 24 ESR dank mozilla.debian.net, aber habe eben dieses Repo rausgeschmissen und mich gewundert, warum das so lange dauert, bis 24 ESR in den offiziellen Quellen auftaucht trotz der neuen Strategie.

[wubdich]

Damit auch ich es richtig verstehe: Wird die 24er ESR Version des Iceweasel nun automatisch als Sicherheitsupdate bereitgestellt (da die 17er Version des Firefox seit dem 11.12.2013 nicht mehr supported wird) oder bedarf es dafür auch noch eines konkreten Anlasses - will sagen eines konkreten Sicherheitsproblems im Iceweasel ?

[4A4B]

oder bedarf es dafür auch noch eines konkreten Anlasses - will sagen eines konkreten Sicherheitsproblems im Iceweasel ?

Ja, in so einem Fall gibt es ein Sicherheitsupdate auf die neuere ESR Version. So war das jedenfalls beim Update von Iceweasel 10 auf 17, wenn ich mich recht entsinne. Du musst also noch auf die kommenden Sicherheitslücken warten

[nudgegoonies]

Dürfte spätestens bei der nächsten Sicherheits-Aktualisierung des regulären Firefox der Fall sein, weil dann niemand mehr den Patch auf 17.x ESR zurückportiert sondern nur noch auf den aktuellen ESR 24.x.

[Feuerstein]

Kurze Zwischenfrage: Gibt es dieses Add-Onn noch für den 17er?
SQLITE-MANAGER
Damit man einfacher die Super Cookies löschen kann?
Ich habe es nicht gefunden. Ich würde es als Nachteil empfinden, wenn im 17er ein paar ADD-ONS nicht mehr Supported werden.