Das Chromium-Update-Problem

[kvg]

Hallo!
Vorneweg möchte ich bemerken, dass es keine Kritik ist, sondern eine Lösungssuche für mich. Ich sehe auch, dass die Chromium-Aktualisierungsfrequenz nicht mit der von Debian und den Freiweilligen kaum kompatibel sind. Also:

Ich nutze hauptsächlich Firefox, bin aber beruflich wegen einiger weniger, aber unvermeidbarer Seiten parallel Chromium vorhalten. Die Chromium-Updatehistorie für Debian ist ziemlich gemischt, es gibt Phasen, wo neue Updates zügig kommen, und dann passiert wieder monatelang nichts, und es gibt auch keine Reaktionen auf die entsprechenden Bugreports. Aktuell ist Debian lt. Tracker wieder zwei Hauptversionen und >50 Sicherheitslücken hinterher.

Ist nach dem Release von Bullseye evtl. Besserung in Sicht? Welche Lösungen gibt es sonst aus Sicht des Anwenders? Chromium in einem Flatpak, Snap, Appimage? Das Paket von Mint mit entsprechendem Repository? ...?

Ich habe dazu schon einige Diskussionen auf Reddit, in anderen Foren und den Bugreports zur Kenntnis genommen, die aber auch keine befriedigende Lösung haben.

Deshalb frage ich hier nach Hilfestellungen.

Vielen Dank!
KVG

[mcb]

Das Chromium flatpak ist recht gut und wird auch aktuell gehalten. Ich bin damit zufrieden Flatpak Fremdquelle https://flathub.org/home

Und die Jungs und Mädels antworten auch wenn du Wünsche und/oder Probleme hast.

Hier hat schonmal einer gefragt. [gelöst] Chromium - debianforum.de:

viewtopic.php?f=37&t=178317&hilit=chromium+sicherheit

[kvg]

Hallo!
Da scheine ich meine Forensuche schlecht verschlagwortet zu haben, der Thread ist mir durchgegangen… Danke für den Link!

Obwohl Snap einer der Gründe war, den Sprung zu Debian zu machen, tendiere ich doch dazu, und nicht zu Flatpak, wenn bei Debian keine Besserung in Sicht ist. Rein aus dem Bauch heraus würde ich denken, dass Canonical doch mehr Ressourcen hat, um ein so zentrales aber komplexes Paket mit allen Bibliotheken aktuell zu halten. Bei Flatpak blicke ich die Struktur nicht, wer da dahinter steht.
Korrigiert mich, wenn ich mit dem Bauchgefühl daneben liege.

Generell bin ich aber doch verwundert, dass Debian einerseits Chromium als Browser neben Firefox auch mit als gewartet bezeichnet, eine so exponierte Software dann aber so holpern lässt. Wie gesagt, keine Beschwerde, nur das Bedürfnis zu verstehen. Aber die Frage hat sich wie gesagt schon an zig anderen Stellen tot gelaufen.

Kann noch jemand was zu meinen Flatpak-vs-Snap-Überlegungen oben sagen?
Und wäre evtl. doch das Mintpaket eine Alternative? So richtig begeistert bin ich von Snap, Flatpak und Co nicht.

Danke, viele Grüße und schönen Sonntag!
KVG

[mcb]

Ja snap hatten wir auch schon viewtopic.php?f=37&t=181132&hilit=chromium+sicherheit

Wenn du reddit gelesen hast weißt du das (meiste) ja schon.

- es gibt noch Chromium direkt von google als Archive - aber nur die Beta ? https://github.com/mb291/chromium-lates ... /update.sh
- oder eben Chrome direkt von google (ist eine Fremdquelle - ich hatte ihn mal drauf - google macht dir dein System nicht kaputt ...)

Ist google drin, aber die Sicherheitsupdates kommen schnell ...

https://tracker.debian.org/pkg/chromium Stand heute: 67 bekannte Lücken inklusive aktiv ausgenutzter Zero days ...

Um keinen Fremdquellen zu vertrauen blebt wohl nur selbst zu kompilieren. Bei dem Klotz bestimmt lustig. https://gsdview.appspot.com/chromium-br ... ite.tar.xz

Berichte auf jeden Fall mal.

[mcb]

PS: Ich habe gerade im Diskmanager Threat gesehen du nutzt kein Gnome, dann hat Flatpak auch weniger Vorteile gegenüber snap.

[tijuca]

Generell bin ich aber doch verwundert, dass Debian einerseits Chromium als Browser neben Firefox auch mit als gewartet bezeichnet, eine so exponierte Software dann aber so holpern lässt. Wie gesagt, keine Beschwerde, nur das Bedürfnis zu verstehen. Aber die Frage hat sich wie gesagt schon an zig anderen Stellen tot gelaufen.

Nun, Debian ist eben nicht Canonical, Suse und RedHat. Debian basiert komplett auf freiwilliger Arbeit ohne Verpflichtungen oder finanzielle Anreize, und es ist eines der Grundpunkte in Debian, dass niemand in Debian zu etwas gezwungen werden kann. So auch nicht der/die Maintainer vom Paket chromium.

Wie erkannt ist Chromium eine sehr große Ansammlung von Source Code mit extrem vielen Sicherheitsrelevanten Komponenten, das ist nur mit recht viel Zeit und hohem Engagement zu bewerkstelligen. Sehr oft werden Maintainer von solchen Paketen durch den Arbeitgeber entsprechend freigestellt damit die nötige Arbeit erledigt werden kann, in der Regel haben genau diese Arbeitgeber dann wiederum ein starkes Interesse dass das Paket X auch in Debian aktuell ist. Hin und wieder wechseln aber Arbeitnehmer auch mal den Arbeitgeber, dann kann es vorkommen, dass ein Paket dann doch für einige Zeit verwaist.

Wenn man diesen Zustand geändert sehen will bleibt immer noch die Möglichkeit selbst aktiv zu werden, so auch beim Paket chromiun passiert. Ohne viel Hingabe und Arbeit am Paket von Michel Le Bihan hätte es die letzten Aktualisierungen nicht gegeben.

Auf der anderen Seite ist der momentane Zustand von Chromium in Debian nun auch wieder nicht so schlecht. Ist nun wirklich nicht, dass man Chromiun gar nicht mehr benutzen sollte oder kann, wenn dies so wäre hätte man dieses Paket aus dem Archiv entfernt.

[kvg]

Hallo!
@mcb: ja, ich habe auch schon überlegt, ob ich nicht einfach Chrome nehme und gut ist es. Ist zwar auch nicht die Lösung der Wahl, aber ein so tiefgreifendes ideologisches Problem habe ich damit dann doch nicht, und es erscheint mit auch etwas widersinnig, für die Handvoll beruflich zu nutzender "Chrome-Only-Seiten" die Klimmzüge mit Snap/Flatpak und Co zu machen. Ich werde berichten, wenn ich auf Snap/Flatpak einschwenke.

@tijuca: Wie gesagt, ich bin weit davon entfernt zu fordern oder zu kritisieren, da ich es weder besser machen könnte, noch sonst irgendeine sinnvolle Gegenleistung bringen könnte.
Das die Freiwilligen Betreuer viel Arbeit in das Chrome-Paket stecken (müssen) um es zu pflegen sehe ich auch, ebenso, dass auch einige andere Pakete länger Lücken mit niedrigen CVSS-Werten haben.
Allerdings kriegt man von allen Seiten immer wieder die Notwendigkeit aktueller Sicherheitsupdates, gerade auch für Browser, eingebläut, sodass einem der Security-Bug-Tracker dann schon Kummer macht. Ich bin da -glaube ich- genau in der Gruppe des ungesunden Halbwissens, der soetwas Sorgen macht. Weniger Interessierte würden es nicht mitbekommen, und Profis können die Relevanz der ausstehenden Lücken vermutlich besser einschätzen. Ich habe halt den Reflex "Browser - Sicherheitslücken - davon min. 1 Zero-Day: schnell updaten".

Grüße
KVG

[mcb]

Ich habe dafür auch keine Patentlösung. Persönlich fände ich es schön wenn das Debianpaket flotter aktualisiert wird.

- Flatpak funktionert
- Chrome funktioniert auch (Ist Google drin)
- Snap habe ich selbst mal probiert ? und fand es doof

- deb Pakete für andere Distributionen wollte ich nicht

- Chromium selbst bauen ? Wohl der "richtige" Weg

Offene Zero Days möchte ich nicht haben. Stable hin oder her ...

[JTH]

- Chromium selbst bauen ? Wohl der "richtige" Weg

Das ist für die allerwenigsten Benutzer der richtige Weg. Du musst dich ständig informieren, ob es eine neue Version gibt - sonst bist du auch nicht "besser", als die Debian-Maintainer - das ganze richtig konfigurieren und evtl. für dein System patchen und brauchst gerade bei den Browsern (denke ich) auch ein halbwegs potentes System zum einigermaßen schnellen Bauen. Den Aufwand sollte man nicht unterschätzen.

[mcb]

- Chromium selbst bauen ? Wohl der "richtige" Weg

Das ist für die allerwenigsten Benutzer der richtige Weg. .... Den Aufwand sollte man nicht unterschätzen.

Ja - ich kann es nicht (habe ich ja auch in den anderen beiden Threats geschrieben). Kann aber für Andere nicht entscheiden über welche Quelle sie installieren wollen/werden.

[kvg]

Kleine Randnotiz noch: bei meinen Recherchen am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.
KVG

[MSfree]

am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.

Vielleicht solltest du nicht so sehr auch die Versionsnummer schauen. Die Maintainer der Linuxdistributionen erzeugen normalerweise einen Fork so einer Hauptrevision und pflegen dort eigenen Patches ein, um Sicherheitslöcher zu flicken. Es kann also durchaus passieren, daß eine vermeintlich alte, aber gepflegte Version, sicherer ist als eine brandneue.

Es kann auch sein, daß ein Chrome 90.x für Fedore sichererer ist als ein Chrome 90.x für Debian. Die Distributoren informieren sich zwar gegenseitig über entdeckte Lücken und geben sich an die anderen Distributoren weiter, zeitlich synchronisiert ist das jedoc nicht.

[mcb]

Kleine Randnotiz noch: bei meinen Recherchen am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.
KVG

Fedora ist andererseits Flatpak Vorreiter:

- Firefox wird als Flatpak ausgeliefert.

Ev. gehen die davon aus das die Nutzer Chromium sowieso als Flatpak nutzen.

[MSfree]

Fedora ist andererseits Flatpak Vorreiter:

Flatpak verbessert nichts an der Sicherheitsproblematik. Im Gegenteil, es macht sie sogar schlimmer. Ein Flatpak muß alles mitbringen, damit ein Programm ohne weitere Abhängigkeiten läuft. Es muß also eine eigene C-Runtime-Umgebung, eine eigene TLS-Bibliothek, eine eigene Dekompressionsbibliothek etc mitbringen.

Während z.B. die libz auf deinem Linuxsystem bereits durch Updates von Sicherheitslücken befreit wurde, schlummern die Fehler im Flatpak noch lustig vor sich hin, weil das je seine eigene Version mitbringt, die aber noch nicht geflickt wurde. Am schlimmsten ist dann, das bei 3 Flatpaks 4 unterschiedliche Versionen einer Bibliothek auf dem System schlummern, die alle in einem anderen Versionszustand sind und du nichtmal weißt, wer was nutzt. Die Updates deiner Linuxdistribution lassen dich im Glauben, daß alles repariert sei, verlieren aber die Flatpaks komplett aus dem Auge.

Flatpaks und Co. können also nicht der Weisheit letzter Schluß sein. Ich würde sowas nur nutzen wollen, wenn es keine Alternative gibt. Die nativen zur Distribution gehörenden Pakete sind also immer sicherer.

Natürlich, wenn ich auf die Nutzung einer ganz bestimmten Software angewiesen bin, für die es keine Debianpakete aus den Debianrepositories gibt, dann werde ich Flatpak und Co. nutzen müssen. Für alle anderen Fälle sollte man einen ganz großen Bogen um dieses Zeug machen.

[mcb]

Fedora ist andererseits Flatpak Vorreiter:

Flatpak verbessert nichts an der Sicherheitsproblematik. Im Gegenteil,.................

Natürlich, wenn ich auf die Nutzung einer ganz bestimmten Software angewiesen bin, für die es keine Debianpakete aus den Debianrepositories gibt, dann werde ich Flatpak und Co. nutzen müssen. Für alle anderen Fälle sollte man einen ganz großen Bogen um dieses Zeug machen.

Gut ich meinte mit 'Vorreiter' nicht positiv, aber Fedara/Redhat hat den Weg eben eingeschlagen, warum auch immer.

Hier geht es ja um einen Chromium Browser für Debiain auf aktuellem Patchlevel. Ich bezeifel das "[2021-05-21] chromium 90.0.4430.212-1 MIGRATED to testing (Debian testing watch) " Stand heute sicher ist.

[kvg]

Nur kurz: ich für mich habe jetzt Googles Chrome inkl. Google-Repository installiert.
Ist zwar nicht die reine Lehre, aber für die wenigen nötigen Seiten, unter Sicherheitsaspekten und abgewogen gegen den sonstigen Aufwand ist das für mich die beste Lösung.
Beobachte die Chromium-Updateentwicklung in Debian aber weiter.
Grüße
KVG

[mcb]

Nur kurz: ich für mich habe jetzt Googles Chrome inkl. Google-Repository installiert.
Ist zwar nicht die reine Lehre, aber für die wenigen nötigen Seiten, unter Sicherheitsaspekten und abgewogen gegen den sonstigen Aufwand ist das für mich die beste Lösung.
Beobachte die Chromium-Updateentwicklung in Debian aber weiter.
Grüße
KVG

Wie zufrieden oder nicht bist du denn? Das Flatpak Geraffel nervt mich gerade nur noch. Und beim eingebautem Chromium sieht es überhaupt nicht gut aus.

https://tracker.debian.org/pkg/chromium

Sportlicht 100 Lücken offen.

Code: Alles auswählen

rmadison chromium
chromium   | 57.0.2987.98-1~deb8u1   | oldoldoldstable    | amd64, i386
chromium   | 70.0.3538.110-1~deb9u1  | oldoldstable       | armhf
chromium   | 73.0.3683.75-1~deb9u1   | oldoldstable       | source, amd64, arm64, i386
chromium   | 73.0.3683.75-1~deb9u1   | oldoldstable-debug | source
chromium   | 89.0.4389.114-1~deb10u1 | oldstable          | source, amd64, arm64, armhf, i386
chromium   | 89.0.4389.114-1~deb10u1 | oldstable-debug    | source
chromium   | 90.0.4430.85-1~deb10u1  | oldstable-new      | source, amd64, i386
chromium   | 90.0.4430.93-1~deb10u1  | oldstable-new      | source, amd64, armhf, i386
chromium   | 90.0.4430.212-1~deb10u1 | oldstable-new      | source, amd64, armhf, i386
chromium   | 90.0.4430.212-1         | stable             | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | testing            | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | unstable           | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | unstable-debug     | source
marc@mb:~$ 

[tijuca]

Sportlicht 100 Lücken offen.

Und auch die die noch nicht entdeckt sind!

Die Arbeit in Debian ist freiwillig und lebt von denen die diese Arbeit machen, nur nochmal zur Erinnerung.

[mcb]

Sportlicht 100 Lücken offen.

Und auch die die noch nicht entdeckt sind!

Die Arbeit in Debian ist freiwillig und lebt von denen die diese Arbeit machen, nur nochmal zur Erinnerung.

Ja - gut also besser kein Chromium.

[kvg]

Hallo!
Sorry, etwas verspätet, aber hier die Antwort:
Das offizielle Chrome-Repository ist völlig problemlos und immer aktuell. Habe die pragmatische Wahl nicht bereut!
Grüße
KVG

[mcb]

Ja - ich habe es auch aufgegeben mit Chromium.

Bei Chrome ist leider mehr Google drin, sollte man nicht vergessen, dafür weniger bekannte Zerodays ...

Code: Alles auswählen

chromium:
  Installed: (none)
  Candidate: (none)
  Version table:
     93.0.4577.82-1 -1
          1 https://deb.debian.org/debian unstable/main amd64 Packages
     90.0.4430.212-1 -1
        500 https://deb.debian.org/debian bullseye/main amd64 Packages
google-chrome-stable:
  Installed: 94.0.4606.71-1
  Candidate: 94.0.4606.71-1
  Version table:
 *** 94.0.4606.71-1 200
         -1 https://dl.google.com/linux/chrome/deb stable/main amd64 Packages
        100 /var/lib/dpkg/status

Das hier habe ich noch gefunden:

"Scripts to download and run the latest Linux build of Chromium. A substitute for Chrome Canary on Linux. "

Ist dann aber auch nicht stable, sondern bleeding edge ...

https://github.com/mb291/chromium-latest-linux

[willy4711]

Tipp:
Nutze Vivaldi. Ist auf Basis von Chromium, wird aber sehr oft aktualisiert.
Und hat eine richtig gute Oberfläche.
Test:
https://www.kuketz-blog.de/vivaldi-date ... eck-teil5/
https://www.kuketz-blog.de/vivaldi-date ... /#comments

[mcb]

Tipp:
Nutze Vivaldi. Ist auf Basis von Chromium, wird aber sehr oft aktualisiert.
Und hat eine richtig gute Oberfläche.
Test:
https://www.kuketz-blog.de/vivaldi-date ... eck-teil5/
https://www.kuketz-blog.de/vivaldi-date ... /#comments

Jo - das klingt nicht schlecht. Das die auf Google zugreifen für die Add-ons stört mich nicht. So dokmatisch muß man nicht sein.

Schade finde ich es nach wie vor mit dem Chromium - als Zweitbrowser gefällt er mir ansich.

[willy4711]

Nur mal als Beweis, dass da ziemlich intensiv gearbeitet wird:
Seit 1.September gab es allein 4 Updates

Code: Alles auswählen

[UPGRADE] vivaldi-stable:amd64 4.2.2406.52-1 -> 4.2.2406.54-1
[UPGRADE] vivaldi-stable:amd64 4.2.2406.48-1 -> 4.2.2406.52-1
[UPGRADE] vivaldi-stable:amd64 4.2.2406.44-1 -> 4.2.2406.48-1
[UPGRADE] vivaldi-stable:amd64 4.1.2369.21-1 -> 4.2.2406.44-1

[mcb]

Das Team überlegt jetzt den Security Support einzustellen:

#998732 - RM chromium -- RoQA; unmaintained - Debian Bug report logs:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=998732

Hoffentlich läuft es bei Firefox besser.