Sicherheitsupdate für Chromium.

[Animefreak79]

https://www.bsi-fuer-buerger.de/SharedD ... nn=6775642
Sicherheitsupdate bereits am 25. Januar veröffentlicht? Öhm... Und wo bleibt dann die neue Version in den Stable-Repos? Heute ist der 29. also handelt es sich immerhin schon um 4 Tage! Es kann doch nicht sein, dass man sich mit einem Sicherheitsrelevanten Update unter Debian derart viel Zeit lässt! Ich dachte immer, Firefox und Chromium werden auch unter Stable zeitnahe auf dem neuesten Stand gebracht. Mehr als 2 Tage würde ich jetzt aber schon nicht mehr unter zeitnah verstehen.

[DeletedUserReAsG]

Es kann doch nicht sein […]!

Ich würde mein Geld zurückverlangen! Zumindest aber die zukünftigen Zahlungen anteilsmäßig entsprechend geringer ausfallen lassen!

[Lord_Carlos]

It's es schon in upstream gefixed?

[Animefreak79]

Ich würde mein Geld zurückverlangen! Zumindest aber die zukünftigen Zahlungen anteilsmäßig entsprechend geringer ausfallen lassen!

Es geht nicht darum, ob es Debian zum Nulltarif gibt, das steht nicht zur Debatte! Es geht darum, dass man sich auch bei einem OpenSource-Betriebssystem ganz einfach auf gewisse Sicherheitsstandards verlassen können MUSS. Sie schreiben schließlich auf https://www.debian.org/security: "Debian takes security very seriously. We handle all security problems brought to our attention and ensure that they are corrected within a reasonable timeframe. Many advisories are coordinated with other free software vendors and are published the same day a vulnerability is made public and we also have a Security Audit team that reviews the archive looking for new or unfixed security bugs." Laut diesem Text müsste man doch davon ausgehen, dass gerade so wichtige Systembestandteile wie Browser so schnell wie möglich aktualisiert werden. ("... and ensure that they are corrected within a reasonable timeframe.") Und komm mir jetzt nicht mit Aussagen, von wegen, wer ein System zum Nulltarif benutzt, habe gefälligst keine Ansprüche zu stellen, wie man es aus deinem vorherigen Posting unschwer rauslesen konnte. Denn diese Sichtweise ist schlicht und einfach falsch, wenn man keine Ansprüche an ein OS stellen darf, warum sollte man es dann benutzen?

It's es schon in upstream gefixed?

Vielmehr stellt sich die Frage, warum dies noch nicht geschehen ist, schließlich ist Chromium Version 64 fix und fertig. Was ist so schwer daran, nun auch die neuen Pakete in der Distribution bereitzustellen? Die neue Version gibt es ja nicht erst seit heute oder gestern!

[Lord_Carlos]

It's es schon in upstream gefixed?

Vielmehr stellt sich die Frage, warum dies noch nicht geschehen ist, schließlich ist Chromium Version 64 fix und fertig. Was ist so schwer daran, nun auch die neuen Pakete in der Distribution bereitzustellen? Die neue Version gibt es ja nicht erst seit heute oder gestern!

Das war eine Frage: Wurde der Quellcode von den Sicherheitsfixes schon in Chromium eingescheckted von google?

[Animefreak79]

Das war eine Frage: Wurde der Quellcode von den Sicherheitsfixes schon in Chromium eingescheckted von google?

Geschieht das nicht sowieso, sobald die betreffende Version fertig ist? Chromium ist doch die Opensource-Variante von Google Chrome, und auf der Seite des BSI war davon die Rede, dass von beiden Browsern Version 64 am 25. Januar 2018 fertiggestellt wurde. Oder, habe ich da an irgendeiner Stelle was verkehrt verstanden?

[justme2h]

Die gefixte Chromium Version ist seit gestern (28.01) in unstable
http://metadata.ftp-master.debian.org/c ... _changelog
https://packages.debian.org/search?keywords=chromium

Für Chrome selbst gibt bereits ein Update auf 64.0.3282.

[Animefreak79]

Die gefixte Chromium Version ist seit gestern (28.01) in unstable

Und warum nicht in Stable? Gibt es ein Problem mit der neuen Chromium Version, welches es rechtfertigt, dass diese bei Debian 9 noch nicht in den Repositories verfügbar ist? Chrome selbst ist für mich keine Option, da ich nur Software aus den Debian-Repos verwenden möchte.

[DeletedUserReAsG]

Es geht darum, dass man sich auch bei einem OpenSource-Betriebssystem ganz einfach auf gewisse Sicherheitsstandards verlassen können MUSS.

Kann man. Deswegen dauert’s ein wenig, bis neue Versionen in Stable ankommen. Normalerweise™ sollte das überhaupt nicht der Fall sein, und besser wär’s,
sie würden Sachen wie Browser, bei denen man Patches nicht mehr sinnvoll rückportieren kann, einfach rausfallen lassen. Dann kämen auch nicht irgendwelche User und würden Forderungen(!) stellen.

Und warum nicht in Stable?

Weil der vorgesehene Weg nunmal etwas länger ist. Hat mit Sicherheit zu tun.

[tijuca]

Die gefixte Chromium Version ist seit gestern (28.01) in unstable

Und warum nicht in Stable? Gibt es ein Problem mit der neuen Chromium Version, welches es rechtfertigt, dass diese bei Debian 9 noch nicht in den Repositories verfügbar ist? Chrome selbst ist für mich keine Option, da ich nur Software aus den Debian-Repos verwenden möchte.

Schon mal daran gedacht das Debian Maintainer ihre Arbeit eigentlich in deren Freizeit machen? Und das so Pakete wie Firefox, Chromium und Thunderbird mal nicht "so eben" gebaut sind sondern eben auch noch etwas Testerei benötigen? Ebenso sind bis zu 10 Tagen (und mehr) für fertige Security Pakete keine Seltenheit, und, es gibt eben dann auch noch das Security Team die ebenfalls nochmal testen und auch ein Privatleben haben. Auch müssen die Mitglieder aus dem Debian Security Team etwas mehr im Blick haben wie ein Update. Debian ist eben nicht Ubuntu, Fedora oder Suse etc. Dort werden Leute dafür bezahlt Pakete entsprechend aufzubereiten.
Extrem wichtige und kritische Security Sachen sind wiederum längst fertig wenn es die Pressemeldung dann gibt, war zuletzt bei Spectre & Co auch wieder so.

Deine verbale Interaktion hier im Thread kann man auch missverstehen, Debian ist ein Projekt was auf Freiwilligen und ohne Zwang etwas tun zu müssen basiert, es gibt bei Debian kein Anspruch auf irgendwas weil es außer dem Gesellschaftervertrag und den Debian Richtlinien für freie Software nichts gibt was bindet ist.

https://www.debian.org/social_contract.de.html

Ich kann Dir daher empfehlen sich doch etwas tiefer damit zu beschäftigen wie Debian an sich funktioniert. Die technischen Sachen sind meistens gar nicht so schwierig, etwas diffiziler ist immer das was eben nicht auf Technik basiert.

[Animefreak79]

Extrem wichtige und kritische Security Sachen sind wiederum längst fertig wenn es die Pressemeldung dann gibt, war zuletzt bei Spectre & Co auch wieder so.

Nun, wenn man sich da wirklich drauf verlassen kann, dass dem so ist, stimmt mich das schon deutlich milder. Aber, genau daran hatte ich eben meine Zweifel, ob nun kritische Sicherheitsupdates rechtzeitig bereitgestellt werden, oder nicht. Ich weiß natürlich, dass hinter Debian kein kommerzielles Projekt steht, sondern dass die Entwickler dies freiwillig und unentgeldlich tun. Und ich muss jetzt wohl zugeben, dass ich nicht mal genau weiß, wie umfangreich die Paketierungsarbeiten an einer derart riesigen Distrubution ausfallen. Gleichwohl war mein Startbeitrag nicht als eine Forderung (also zum Beispiel im "Befehlston" gemeint, was auch immer ein niemand glauben mag), ich war nur halt ein wenig schockiert darüber, zu lesen, dass es seit dem 25. Januar ein Sicherheitsupdate für Chromium gibt, und dieses bis heute noch nicht in den Repositories der Stable-Distribution aufgetaucht ist. Wobei ich bisher ehrlich gesagt immer davon ausgegangen bin, dass Sicherheitsrelevante Updates, vor allem wenn diese wirklich ernst sind, so zügig wie möglich eingepflegt werden. Siehe den von mir zitierten Auszug aus der Website des Debian-Projektes, der mich zu dieser Annahme verleitet hat, aber den ich offenbar ein wenig missverstanden habe. Sry.

[breakthewall]

Hinsichtlich irgendwelcher Updates bzw. Sicherheitslücken, wird unter Debian meist verhältnismäßig schnell reagiert. Allerdings muss man Sicherheitslücken auch genau eingrenzen, da diese nicht automatisch auf jedem Betriebssystem relevant sind, und daher nicht akut adressiert werden müssen. Ebenso muss festgestellt werden, welches Potential eine Sicherheitslücke überhaupt hat, bevor man dem nun die höchste Priorität einräumt. Und wie sonst auch, werden sehr kritische Sicherheitslücken besonders schnell behoben, was auch desöfteren anhand eines DSAs passiert, unabhängig des eigentlichen Herstellers.

Will man hinsichtlich des Browsers auch vorbeugend agieren, empfiehlt sich die Nutzung einer Sandbox wie z.B. Firejail. So könnte man die Systemsicherheit unabhängig der Browser-Sicherheit gewährleisten, ohne hier gleich in Panik zu verfallen. Nebenbei erwähnt nutzt Firefox unter GNU/Linux, von Haus aus diverse Isolationstechniken wie Firejail, allerdings weniger restriktiv bzw. umfassend. Im Laufe dieses Jahres sollen Firefox und Chromium auch als Flatpaks erhältlich sein, wenn der native Support für Wayland gegeben ist.

[Animefreak79]

Will man hinsichtlich des Browsers auch vorbeugend agieren, empfiehlt sich die Nutzung einer Sandbox wie z.B. Firejail. So könnte man die Systemsicherheit unabhängig der Browser-Sicherheit gewährleisten, ohne hier gleich in Panik zu verfallen.

Öhm... Ich lasse meinen Browser so oder so schon mit Firejail laufen. Finde es angenehm, dass dieses Tool so einfach über die Profildateien im Verzeichnis /etc konfiguriert werden kann.

[NAB]

Komisch, komisch ... hier:
viewtopic.php?f=12&t=168334&p=1161306#p1161306
war Animefreak79 noch der Meinung, man solle diese Sicherheitslücken nicht so ernst nehmen, und nun sorgt er sich auf einmal um Sicherheitsupdates. Ja, was denn nun?

Wenn man als Laie dann mal versucht herauszufinden, was im neuen Chromium denn nun sicherer ist, erfährt man erst mal, dass er Spectre und Meltdown noch stärker abspielt:
http://www.chip.de/news/Chrome-64-ist-d ... 12702.html

Außerdem bringt die neue Version Patches gegen die Sicherheitslücken Meltdown und Spectre, die nun durch eine stärkere JavaScript-Engine abgespielt werden sollen.

Bitte was?

Heise weiß dann schon von 53 Sicherheitslücken:
https://www.heise.de/security/meldung/G ... 50969.html
traut sich aber auch keine detailliertere Einschätzung zu.
Für noch mehr Informationen braucht man dann Englisch:
https://chromereleases.googleblog.com/2 ... op_24.html
und findet 24 der 53 Sicherheitslücken, bunt verteilt von Low bis High. Die anderen 29 sind so schlimm dass man nicht davon erzählen darf und riechen nach Spectre.

Nun wird von den Debian-Entwicklern erwartet, dass sie 53 eventuell komplexe Sicherheitslücken, von denen sie 29 erst selber suchen müssen, ins alte Chromium zurückportieren? Der Gedanke würd mir Angst machen. Tun sie aber anscheinend gar nicht:
https://packages.debian.org/de/chromium
In Stretch ist gerade Chromium 63 verfügbar, das kam lange nach dem Stretch-Freeze raus.
Wenn ich mir dann mal die Versionsstände angucke:
Wheezy ist auf dem Stand von 2014:
http://metadata.ftp-master.debian.org/c ... _changelog
Jessie ist Anfang 2017 hängengeblieben:
http://metadata.ftp-master.debian.org/c ... _changelog
Und Stretch hat seit dem 3. Dezember keine Updates mehr gesehen:
http://metadata.ftp-master.debian.org/c ... _changelog
So richtig ernst nimmt Debian das wohl nicht.

Ich wär ja froh,wenn's mir jemand ausredet, aber für mich sieht's so aus, als ob man mit Debians Chromium besonders lange was von den Sicherheitslücken hat. "Schnellere" Quellen kenne ich aber auch nicht.

[Animefreak79]

...war Animefreak79 noch der Meinung, man solle diese Sicherheitslücken nicht so ernst nehmen, und nun sorgt er sich auf einmal um Sicherheitsupdates. Ja, was denn nun?

Würde die Dame (oder der Herr) meine Beiträge vernünftig lesen, wüsste sie (oder er), dass ich so einen Blödsinn an keiner einzigen Stelle geschrieben habe! Ich sagte lediglich, dass ich es statistisch gesehen für sehr unwahrscheinlich halte, dass ausgerechnet mein eigener PC zuhause von einem Angriff durch Meltdown oder Spectre betroffen sein wird, und bezog mich dabei im Speziellen auf diese beiden Sicherheitslücken. Aber bitte unterstelle mir nicht, ich hätte irgendwo gepostet, man solle Sicherheitslücken nicht ernst nehmen!

Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu.

[DeletedUserReAsG]

Wobei sich Chromium offensichtlich mittlerweile selbst zu aktualisieren scheint (ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung.

Wenn es um einen über die Paketverwaltung installierten Chromium geht, würde ich mir nun wirklich Sorgen machen. Damit sich dieser selbst aktualisieren könnte, braucht er Rootrechte. Und da ein normaldenkender Mensch einen Browser nie wissentlich als Root startet (von besonders geschützten Testszenarien mal abgesehen), müsste sich dein Chromium die notwendigen Rechte irgendwie anders besorgt haben ….

[rendegast]

Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.
Geht es bei firefox generell schneller mit der Einspielung?
Ist es bei chromium vielleicht nur dieser Versionssprung, bei dem die Übernahme nach stable länger dauert?




clamav hängt eigentlich immer eine ganze Weile hinterher.

WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.2 Recommended version: 0.99.3

(ich habe mittlerweile Version 64.0.3282.119), unabhängig von der Paketverwaltung... Was ich davon halten soll, weiß ich im Moment nicht so recht, ist ja noch so früh am Morgen... Ich habe jedenfalls kein Update durchgeführt, und trotzdem wurde meine Version von 63 auf 64 angehoben. Vllt weiß jemand hier da ja näheres zu.

Heute ist chromium 64 in stretch angekommen
https://packages.debian.org/chromium
Mach mal 'apt-cache policy chromium', prüfe das Log von unattended-upgrades o.a.

[NAB]

Geht es bei firefox generell schneller mit der Einspielung?

Beim Firefox ESR geht es gefühlt schneller, ja. 24 bis 48 Stunden vergehen von da, wo ich von der Sicherheitslücke erfahre (heise etc.) bis zum Update durch Debian. Wobei ich da keine wissenschaftlichen Studien gemacht habe. Und beim Firefox ESR werden auch "zwischendurch-Updates" eingespielt, nicht nur neue Versionen.

Aber auch das ist ein Loch von 24 Stunden, das z.B. bei Windows nicht auftritt. Oder wenn ich das Repository direkt vom Hersteller beziehe, was beim Chromium nicht geht. Mein Google Chrome hingegen war schon aktualisiert, bevor Animefreak79 diesen Thread aufgemacht hat.

Vorallem ist der Firefox ESR durch die Bank aktuell, von Wheezy bis Buster:
https://packages.debian.org/search?keywords=firefox-esr
im krassen Gegensatz zum Chromium. Mir scheint, Chromium wird von Debian nicht so recht ernst genommen.

[Animefreak79]

Es gibt in debian-stable Pakete, die per upstream gefixt werden,
chromium gehört dazu, ebenso firefox, oder auch clamav.

Okay, das erklärt einiges. Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab. Wie schon an mehreren Stellen erwähnt, ich hab vorher Linux Mint benutzt, da ist mir so etwas bisher noch nicht begegnet (allerdings hatte ich mit Mint haufenweise Probs). Ich hatte neulich nämlich auf https://www.debian.org/security/ Ein Update für Firefox ESR und vor Kurzem auch für Thunderbird entdeckt... Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren. Also habe ich

Code: Alles auswählen

cat /var/log/dpkg.log

gemacht, und festgestellt, dass die Updates tatsächlich durchgeführt worden sind, obwohl ich die Meldung erhalten habe, dass nicht geupdatet wurde. Ich nahm mir also vor, zumächst mal bis zum nächsten Update eines Mozilla-Produktes zu warten (also die Software, bei der dieses Phänomen halt auftrat), und wenn wieder in der Konsole steht, dass nichts geupdatet wurde, aber trotzdem im Logfile steht, dass ein Update stattgefunden hat, die Sache hier im Forum zu posten und mal nachzufragen. Und dann das Ereignis heute morgen... Jetzt bin ich wieder zuhause, hab allerdings festgestellt, dass logrotate schon in Aktion getreten ist, dpkg.log also leer, demzufolge also:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ tail --lines=25 /var/log/dpkg.log.1
2018-02-01 06:55:32 trigproc mime-support:all 3.60 <keine>
2018-02-01 06:55:32 status half-configured mime-support:all 3.60
2018-02-01 06:55:33 status installed mime-support:all 3.60
2018-02-01 06:55:33 trigproc desktop-file-utils:amd64 0.23-1 <keine>
2018-02-01 06:55:33 status half-configured desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 status installed desktop-file-utils:amd64 0.23-1
2018-02-01 06:55:33 configure chromium:amd64 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status unpacked chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status half-configured chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 status triggers-awaited chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:33 trigproc man-db:amd64 2.7.6.1-2 <keine>
2018-02-01 06:55:33 status half-configured man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 status installed man-db:amd64 2.7.6.1-2
2018-02-01 06:55:34 trigproc hicolor-icon-theme:all 0.15-1 <keine>
2018-02-01 06:55:34 status half-configured hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 status installed chromium:amd64 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed hicolor-icon-theme:all 0.15-1
2018-02-01 06:55:34 configure chromium-l10n:all 64.0.3282.119-1~deb9u1 <keine>
2018-02-01 06:55:34 status unpacked chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status half-configured chromium-l10n:all 64.0.3282.119-1~deb9u1
2018-02-01 06:55:34 status installed chromium-l10n:all 64.0.3282.119-1~deb9u1
shinji@nerv-kommandozentrale:~$

Es ist geschehen, wie ich befürchtet habe... Auch Chromium wurde geupdatet, hier war es sogar so, dass das Update noch nicht auf der Seite des Debianprojektes angegeben war, ich also kein Update durchgeführt hab, trotzdem hat laut Logfile zur Paketverwaltung das Update von Chromium 63 zu 64 stattgefunden. Nun noch, auf Vorschlag von rendegast:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ apt-cache policy chromium
chromium:
  Installiert:           64.0.3282.119-1~deb9u1
  Installationskandidat: 64.0.3282.119-1~deb9u1
  Versionstabelle:
 *** 64.0.3282.119-1~deb9u1 500
        500 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     62.0.3202.89-1~deb9u1 500
        500 http://ftp.de.debian.org/debian stretch/main amd64 Packages
        500 http://deb.debian.org/debian stretch/main amd64 Packages
shinji@nerv-kommandozentrale:~$

Ich muss mir jetzt keine Sorgen machen, oder? Ich erinnere mich nämlich noch, dass ich irgendwann letzten Jahres ein Update von Chromium bekommen hab, und dieses ist ganz normal von mir über die Konsole eingespielt worden. (Bei Firefox ESR und Thunderbird dasselbe). Und jetzt... So etwas? O_o

[NAB]

Allerdings wusste ich nicht, dass es solche Ausnahmen gibt, für Software, die in den offiziellen Paketquellen vorhanden sind, und die ich feinsäuberlich über die Paketverwaltung installiert hab.

Aus Debiansicht werden einige Softwarepakete vom Hersteller so mies gepflegt und dokumentiert, dass Debian sie nicht mehr langzeit-betreuen kann, weil das abstrus viel Arbeitskraft kosten würde. Aus Sicht der Hersteller basteln sie halt permanent dran rum, alte Versionen werden nicht mehr gepflegt und ausschlaggebend ist einzig die neuste Version. Die Pflege alter Versionen würde nur sinnlos Arbeitskraft vergeuden. Beide Positionen sind verständlich.

Mozilla bietet hier als Kompromiss noch den Firefox ESR an. Google zwingt zu permanenten Updates.

Also habe ich brav mein update ausgeführt, in der Konsole bekam ich allerdings eine Meldung wie

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

Also habe ich die Versionen der entsprechenden Programme überprüft, und festgestellt, dass diese bereits in den neuesten Versionen vorhanden waren.

Das hier ist aber was völlig anderes. Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".

[Animefreak79]

Du hast da offensichtlich einen Auto-Updater laufen. Das wäre zumindest die freundlichste Erklärung neben "Magie", "deine Mutter" oder "Schlafwandeln".

Nee, Unattended-Logfiles, die ich aufgrund des Tipps von rendegast überprüfte, sind allesamt komplett leer. Die anderen drei von dir genannten Optionen treffen meines Wissens nach definitiv nicht zu, also... Woran kann das liegen? Heute morgen wurde mir auch Chromium von Version 63 auf 64 aktualisiert OHNE mein Zutun, wie ich ja schon im vorherigen Post erwähnte. Muss ich mir da jetzt echt irgendwie Sorgen machen, oder gibt es noch eine andere Auto Update Funktion an irgendeiner Stelle? O_o

[NAB]

Also für den KDE gibt es "Apper" als GUI-Updater, der irgendwie mit Policykit und Packagekit sein unheiliges Eigenleben führt, völlig an "unattended updates" vorbei. Ich bin immer bemüht, es schnell loszuwerden.

Ich vermute, für Gnome (oder was benutzt du?) wird es was ähnliches geben. Anscheinend funktioniert das besser.

Beide stammen ja aus der RPM-Welt (Red Hat bzw. Suse) und sind der DEB-Welt nicht auf den Leib geschneidert.

[Animefreak79]

Naja, ich nutze XFCE und hab mir parallel noch MATE installiert. Aber... Ich hab mir eigentlich nie so einen Updater installiert, ich halte nichts von solchen undurchsichtigen GUI-Werkzeugen, wo man nie hundertprozentig weiß, was da wirklich unter der Haube geschieht. Ich mache ja nicht einmal meine Updates oder Installationen mit Synaptic sondern immer alles ganz normal über die Konsole. Deshalb... Finde ich dieses Phänomen irgendwie beunruhigend... Oder, hat Debian da vllt etwas geändert, dass jetzt Programme wie Browser o.ä. auf diese Weise vom System aktualisiert werden?

Ich sollte vllt noch erwähnen, dass dieses Phänomen nur bei der Mozilla-Palette und Chromium aufzutreten scheint, alle anderen Updates laufen ganz normal über die Konsole und werden mir auch so angezeigt. Vor Kurzem waren dies beispielsweise ffmpeg, curl und poppler.

[Animefreak79]

Momeeeent mal... Ich bin eben in der Badewanne doch glatt auf eine Idee gekommen... PoilcyKit für Anwendungen wie Synaptic wird doch unter Debian über PackageKit zustande gebracht, oder? Zumindest kam mir beim Baden der Verdacht, dass PackageKit mit diesen seltsamen Erlebnissen zu tun hat, also dachte ich, könnte ich es doch mal mit

Code: Alles auswählen

apt-cache showpkg packagekit

probieren... Die Folge war:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ su root
Passwort: 
root@nerv-kommandozentrale:/home/shinji# apt-cache showpkg packagekit
Package: packagekit
Versions: 
1.1.5-2 (/var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_main_binary-amd64_Packages) (/var/lib/dpkg/status)
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-amd64_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: 
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_binary-i386_Packages
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: de
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-de
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0
 Description Language: en
                 File: /var/lib/apt/lists/ftp.de.debian.org_debian_dists_stretch_main_i18n_Translation-en
                  MD5: 2a370c6f43c72ec3adb4412d3b3bdca0


Reverse Depends: 
  gstreamer1.0-packagekit,packagekit 1.1.5-2
  packagekit:i386,packagekit
  0install-core,packagekit
  software-properties-common,packagekit
  plasma-discover,packagekit 1.0
  libpackagekitqt5-0,packagekit
  packagekit-tools,packagekit 1.1.5-2
  packagekit-command-not-found,packagekit 1.1.5-2
  libpackagekit-glib2-18,packagekit 1.1.5-2
  apper,packagekit 0.8.6
  isenkram,packagekit
  gnome-software,packagekit 1.1.4
  gnome-packagekit,packagekit 1.0.4
Dependencies: 
1.1.5-2 - libglib2.0-bin (0 (null)) policykit-1 (0 (null)) libapt-inst2.0 (2 1.1) libapt-pkg5.0 (2 1.1) libc6 (2 2.14) libgcc1 (2 1:3.0) libglib2.0-0 (2 2.46) libgstreamer1.0-0 (2 1.0.0) libpackagekit-glib2-18 (2 1.1.4) libpolkit-gobject-1-0 (2 0.99) libsqlite3-0 (2 3.5.9) libstdc++6 (2 5.2) libsystemd0 (2 214) libpackagekit-glib2-14 (1 0.7.6-4) libpackagekit-qt2-2 (1 0.7.6-4) packagekit-backend-apt (3 1.0) packagekit-backend-aptcc (3 1.0) packagekit-backend-smart (3 1.0) packagekit-offline-update (3 1.0) packagekit-tools (0 (null)) appstream (0 (null)) packagekit:i386 (32 (null)) 
Provides: 
1.1.5-2 - packagekit:i386 (= 1.1.5-2) 
Reverse Provides: 
packagekit:i386 1.1.5-2 (= 1.1.5-2)
root@nerv-kommandozentrale:/home/shinji#

Öhm... plasma-discover Noch nie von gehört! Müsste ja ein KDE-Programm sein, keine Ahnung wie das auf mein System geraten ist, habe kein KDE installiert. Und Apper erwähnte NAB ja ebenfalls... Also mal Synaptic gestartet, um mal ein paar detailiertere Beschreibungen zu diesen Paketen zu erhalten... Apper ist auf meinem System nicht installiert, Plasma-Discover allerdings schon. Ich frage mich allerdings, warum und wieso, ich nutze kein KDE? (Hab allerdings das ein oder andere KDE-Programm). Also mal die Beschreibung zu diesem Paket durchgelesen... Ein Programm, welches unter anderem für automatische Updates verwendet wird... Vermutlich so etwas wie mintUpdate unter Linux Mint... Könnte dies des Rätsels Lösung sein? Ich nehme mal an, ich kann diese Software gefahrlos deinstallieren, ich brauche jedenfalls kein Programm, welches auf irgendeine Weise mit meinen Updates zu kollidieren imstande ist, was ja offensichtlich bereits geschehen ist. Und wenn das nicht der Grund für die Seltsamkeiten mit den Updates für Chromium und der Mozilla-Palette ist... Dann weiß ich echt auch nicht weiter!

[NAB]

Könnte dies des Rätsels Lösung sein?

Ja!
Genaueres über das Zusammenspiel weiß ich aber auch nicht. Und wie du an die Pakete gekommen bist auch nicht. Vielleicht kann da noch jemand mehr zu erklären.