1. Kommentar: Debian und Firefox – Lieber in Schönheit sterben?
  2. Debian – Die Problem sind größer als Firefox
  3. Debian und Firefox – Nicht Mesa sondern Rust als Problem
  4. Debian – Verzögerung bei Sicherheitsaktualisierungen
  5. Debian und Sicherheit – Risiko Rendering-Engines
  6. Debian und Sicherheit – Die empfohlenen Tools liefern unvollständige Daten

Debian scheitert daran, für seine stabilen Versionen sicheren Browser auszuliefern. Damit ist es als Desktop-Betriebssystem ungeeignet. Die Entwickler scheinen sich entschieden zu haben, lieber in Schönheit zu sterben als notwendige Änderungen vorzunehmen.

Per E-Mail wurde ich auf folgenden Artikel auf Phoronix aufmerksam gemacht. Nun ist meine kritische Sicht auf Debian nicht neu, aber nun scheinen die Entwickler endgültig beschlossen zu haben, ihren Dogmatismus höher zu gewichten als den praktischen Nutzen der Distribution. Jedenfalls sofern sich die beim Debian-Release bereits deutlich veraltete Mesa-Version als Knackpunkt herausstellen sollte.

Bereits seit Längerem kann Debian nahezu alle Browser nicht mehr zeitnah oder gar nicht mit Sicherheitsupdates versorgen. Es ist schon blamabel genug diese toxischen Pakete überhaupt noch auszuliefern, anstelle sie einfach aus der Distribution zu entfernen. Bereits hier gewichtet Debian den Paketierungsprozess höher als den Nutzen und behält lieber gefährliche Pakete im System als diese im Freeze zu entfernen.

Die einzige rühmliche Ausnahme war bisher Firefox, den man in der ESR-Version ausrollt. Hier wurde vor Kurzem die ESR-Version aktualisiert. Anstelle der Version 78.x ist nun die 91.x die gültige ESR-Version. Die letzte Aktualisierung von Firefox 78 gab es am 5. Oktober 2021. Die Zahl der bekannten Sicherheitslücken geht damit natürlich quasi jeden Tag weiter in die Höhe. Das ist bei Browsern leider fast schon ein Naturgesetz.

Ein sicherer Browser ist das Herzstück eines sicheren Desktopbetriebssystems, das muss hier sicher nicht verdeutlicht werden. Mit einem aktuellen Browser kann man viel kompensieren und umgekehrt nützen einem viele Sicherheitsupdates wenig, wenn der Browser gleichzeitig einem Scheunentor gleich offen steht.

Laut Phoronix ist dieser Fehler die Ursache für das fehlende Update bei Debian. Firefox ist mit der neuen Version von OpenGL GLX auf EGL umgestiegen. Dafür benötigt man angeblich ein aktuelleres Mesa als Debian ausliefert. Debian liefert in Stable Mesa 20.3.5 aus. Den Wechsel auf Mesa 21 kam für Debian zu spät. Die Veröffentlichung im April 2021 lag zwar noch vor dem Release von Debian im Sommer aber der Debian-Freeze verhinderte eine Aufnahme.

Nun ist Debian nicht die einzige LTS-Distribution. Andere Distributionen wie z. B. Ubuntu sind nur weniger dogmatisch und aktualisieren Mesa oder scheinen wie SUSE die notwendige Expertise zu haben, das Problem zu umgehen. In SUSE Linux und openSUSE Leap ist die neue ESR-Version trotz alter Mesa-Version nämlich bereits enthalten. Und das nicht erst 2 Monate nach dem letzten Update von Firefox.

Debian scheint aktuell immer größere Schwierigkeiten zu haben, den Spagat zwischen den Kapazitäten oder Fähigkeiten seiner Entwickler und den dogmatischen Paketierungsrichtlinien zu bewältigen. Versionen stabil halten und massiv Patches zurückportieren, muss man halt auch können und nicht nur im Anspruch formulieren.

Auf den Vorgang haben sicher noch mehr ein Auge, denn wenn Debian es nicht mehr hinbekommt wenigstens einen einzigen aktuellen Browser ohne Sicherheitslücken auszuliefern, ist die Distribution für den Desktopeinsatz nicht mehr geeignet.

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

30 Ergänzungen

    • Also ich nutze Debian auf dem Desktop. Noch zumindest.
      Mein Standardbrowser ist Opera. Als Nonfree-Quelle hinzufügen und schon gibt es Updates.

  1. Die Debian Entwickler könnten sich das Leben so einfach machen, indem sie den Firefox als snap ausliefern. Hat den positiven Effekt, dass das Firefox Snap auf snapcraft.io direkt von Mozilla gebaut wird, sowohl als ESR als auch als aktuelle Version.

    • Snap ist ja wohl das Schlechteste, was man empfehlen kann, dann schon lieber Flatpak – aber der ganze Snap-Scheiss kommt mir nicht auf dem Rechner.

      • Flatpak wurde im August 2007 released. Das ist also jetzt sein 14 Jahren dumme Shice die sich aus Gründen nicht durchgesetzt hat. Das Canonical 7 Jahre später ne gute Idee hatte wie man das alles noch schlechter machen kann wundert keinen, immerhin haben die ja auch der Welt das sensationell erfolgreiche Unity geschenkt.
        Es gibt Gründe warum AppImage, Flatpak, Snappy … dumme Ideen sind. Das Problem ist, dass die ganzen FIAE-Hipster keine Doku’s lesen. Das ist im Übrigen auch hier das Problem. Wer Debian dafür verantwortlich macht dass die Browserhersteller shice Code fabrizieren ist ein schlechter Mensch. Das schließt den Blogbetreiber ein. Mozilla ist in der Verantwortung ein passendes Firefox-Package zu releasen, niemand sonst.

        • Kleiner Hinweis: Hab den Kommentar mal freigeschaltet als kleines Beispiel was man hier teilweise für einen unsäglichen Kram bekommt. Weitere Ergänzungen auf dem Niveau werden aber nicht freigeschaltet.

        • Totaler Blödsinn, was du da schreibst. Für die KORREKTE Einbindung vom Firefox ESR in den Repos ist Debian verantwortlich, nicht Mozilla. Bei anderen Distros klappt das ja auch reibungslos, nur Debian hat da derzeit Probleme.

          • Und wie genau soll Debian für die „korrekte Einbindung“ Sorgen, wenn sich Mozilla weigert Debian-kompatible Software zur Verfügung zu stellen?

            • Wenn du den Artikel von Gerritt richtig gelesen hättest, dann hättest du erfahren, daß es u.a. an der uralten Mesa-Version bei Debian liegt, die das Problem mit dem Einbinden von Firefox-ESR (und auch Chromium) verursacht und Mozilla hat damit gar nichts zu tun. Und: es gibt derzeit ca. 600 verschiedenen Linuxdistros, wenn sich Mozilla um den Firefox bei jeder einzelnen Distro kümmern würde, dann kämen die ja zu nichts mehr. Das Problem liegt bei Debian und nicht bei Mozilla, das wird selbst von Debian so gesehen. Mozilla kann Debian doch keine „Vorschriften“ machen, wie sie ihr System gestalten sollen. Mozilla kümmert sich nur um die Bereitstellung u. Verbreitung des Browsers und sonst nichts. Dich erst einmal richtig sachkundig machen, wäre schon gut.

  2. Vor einiger Zeit habe ich eine Mail von einem Debian-Entwickler erhalten. Darin schrieb er mir, daß man bei Debian fieberhaft daran arbeitet, das Problem mit Firefox ESR zu lösen und in den Griff zu kriegen. Nur von Aussen entsteht der Eindruck, daß man offenbar nichts tut, was definitiv nicht der Fall ist. Ich denke, daß man bald eine neue Version vom Firefox ESR erwarten darf, vielleicht Anfang nächsten Jahres? Zwischenzeitlich kann sich der Nutzer doch einen anderen Browser installieren. Ist ja keine dauerhafte Lösung, aber zu Not geht das doch.

    • Ich habe nie bezweifelt, dass sie bei Debian an dem Problem arbeiten. Alles andere wäre eine Bankrotterklärung, immerhin reden wir hier vom Browser. Trotzdem sind ~3 Monate ohne Browserupdate einfach keine Kleinigkeit.

      Die Frage ist nur, sehen sie das als ultimativen Weckruf, dass es ein tiefer gehendes Problem bei Debian gibt oder tut man es als „Einzelfall“ ab und wurschtelt weiter?

      • Es sind 2 Monate.
        Das letzte firefox-esr Update kam Debian Anfang Oktober.

        Auf meinem Debian stable System ergibt:
        ls –full-time /usr/lib/firefox-esr/firefox-esr
        -rwxr-xr-x 1 root root 634504 2021-10-05 23:18:02.000000000 +0200 /usr/lib/firefox-esr/firefox-esr

        Also 2 Monate und 9 Tage.
        Und ja, die Situation ist unschön und stört mich auch ganz gewaltig, aber es gibt leider keine brauchbaren Alternativen zu Debian.

        Rolling Release Distris wie Arch können nach dem Update in ein nicht benutzbares System enden, das ist fatal, wenn man es an dem Tag dann braucht.
        Das gleiche gilt für source basierte Distris wie Gentoo.
        Andere Distris wie Fedora haben ein zu kleines Paketangebot, den Rest muss man dann aus dubiosen Quellen holen oder alles selber compilieren und aktuell halten. Also auch zu aufwendig oder unsicher.
        Ubuntu und Mint haben zwar aktuelle Firefox Versionen, aber dafür schlampern sie bei den restlichen Paketen in universe und multiverse.

        Debian ist somit von allen der beste Kompromiss und normalerweise funktioniert das ja auch mit zurückgepatchen Sicherheitsfixes. Aber so ein Browser, der praktisch jeden Tag neue Sicherheitspatches bekommt ist noch einmal eine ganz andere Liga.
        Dafür gibt es im Prinzip ja die ESR Versionen von Firefox und das hat auch in den letzten Jahren bei Debian gut funktioniert, nur ist es halt diesmal so, dass im Unterbau ein schwerer Showstopper ist, der verhindert, dass man hier das Paket einfach auf die nächste Major ESR Version hieven kann. Aber ich bin zuversichtlich, dass das noch gelöst wird und dann ist Debian wieder sicher, auch auf dem Desktop.

  3. Ich nutze an sich Debian sehr gerne und konnte auch immer gut damit leben, wenn das eine oder andere Pakt einen älteren Stand hatte, solange keine schlimmen Bugs oder Lücken bei der Sicherheit vorhanden waren.
    Aber das jetzt mit Firefox verfolge ich nun schon eine Weile und habe auch anderweitig schon darüber gelesen. Und gerade der Browser als zentrales Tool so zu handeln, geht meiner Ansicht nach gar nicht.
    Und es geht ja nicht um ein paar Tage Verzögerung, sondern eher um Wochen oder dann gar Monate.
    Auch bin ich Deiner Meinung, dass Debian Pakete, die sie eh nicht (mehr) pflegen wollen oder können, besser gar nicht mehr in ihren Paketquellen anbieten sollte. Die Nutzung ist ja eh weniger zu empfehlen.

    • Debian ist keine Desktop-Distro. Folglich ist es überhaupt keine Option darüber nachzudenken einen Browser installieren/aktualisieren zu müssen. Du solltest Deine Fachkompetenz überdenken.

      • Und wenn Debian so gar keine Distri für den Desktop ist, warum wird dann überall über das Thema so breit berichtet?
        Also ich glaube es gibt genug User, die Debian am Desktop nutzen?!

  4. Am 05.10.2021 wurde Firefox 78 ESR von Mozilla noch unterstützt. Es kam die Version 78.15 raus. (https://wiki.mozilla.org/Release_Management/Calendar). Erst seit dem 02.11.2021 wurde die 78er ESR Version nicht mehr weiter entwickelt. Somit verwendet Debian seit 02.11.2021 eine veraltete Version, die Sicherheitslücken hat, welche in der 91er ESR Version geschlossen sind. Heute ist der 11.12.2021, das ist also ein guter Monat, und nicht wie Gerrit oben schreibt „~3 Monate“. Die Kritik an Debian halte ich insofern für überzogen. Wichtig und fair gegenüber Debian wäre in dem Zusammenhang auch, sich die offenen Sicherheitslücken anzuschauen und zu prüfen, wie groß die Wahrscheinlichkeit eines erfolgreichen Angriffs auf einem Desktop-Einzelnutzer-rechner ist. Darüber hinaus ist Debian eine universelle Distribution, die im Gegensatz zu z.B. Mint nicht hauptsächlich auf den Desktoprechner ausgerichtet ist. Insofern kann man auch nicht erwarten, dass Desktopnutzer bei Debian oberste Priorität haben. Auch wenn ich die Kritik in der Sache für überzogen halte, bin ich enttäuscht über die bisherige Kommunikation von Debian. Hier hätte Debian meines Erachtens viel aktiver kommunizieren müssen, z.B. auf dem Wiki zu Firefox, im Paket „debian-security-status“, evtl. auf den Release-notes, vielleicht sogar direkt auf der Homepage. Schließlich erwarte ich von Stable (mit Security-Repo), dass keine größeren Sicherheitslücken im System stecken.

      • Bei chromium hat Debian ja auch kapituliert. Daher ist die Liste der Sicherheitslücken natürlich lang. Auch hier vermisse ich eine gute Kommunikation, immerhin gibts im Debian-wiki den Hinweis, dass chromium nicht länger unterstützt wird.
        Bei Firefox habe ich bezüglich der Sicherheitslücken eher auf die Mozilla-Seite geschaut, und dort ( https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/ ) werden die Probleme zwar als high aber nicht als critical beschrieben. Somit geht es eher um das Ausspähen von Daten, als um eine Übernahme des Systems (=Ausführen von Code). Ich bin kein Programmierer, und habe zu wenig Fachkenntnisse, um die Probleme konkret einschätzen zu können, aber ich halte die Gefahr für noch vertretbar. Schließlich ist das Aktualisieren des Browsers nur ein Sicherheitsvektor. Andere sind hauptsächlich 2FA bei wichtigen Accounts, Neustart und nur ein Tab bei wichtigen bzw. sensiblen Accounts bzw. Webseiten (z.B. Onlinebanking), Filterliste (Werbung und Malware) und das Verbieten von Drittdomain-Skript.
        Und nein, ich will die Problematik nicht klein reden. Die Kommunikation seitens Debian könnte besser laufen. Aber einige hauen ziemlich auf Debian drauf, was ich teils für überzogen und vorsichtig ausgedrückt unhöfich halte. Und wer einen aktuellen Firefox vewenden will, der kann das ja auch. Im Debian-Wiki gibts dafür sogar eine Anleitung ( https://wiki.debian.org/Firefox ).

  5. Ganz gemach, gemach! Kein Grund, hier wieder einmal typisch deutsche Panik und Apokalypse zu schieben. Wie schon erwähnt, wird an dem Problem bei Debian gearbeitet und in Kürze werden wir eine aktualisierte Version von Firefox-ESR und Chromium bekommen. Kein Grund, jetzt wieder in deutscher Hysterie auszubrechen. Kein Weltuntergang! Ich habe mir heute dennoch Debian 11 installiert und mir gleich 2-3 andere Browser installiert. Und was die Kommunikation betrifft, die könnte in der Tat bei Debian besser sein, aber andere Distros sind da noch schlimmer, ich denke zB an die mega-schlechte Kommunikation bei Canonical/Ubuntu in den letzten Jahren – aber das ist jetzt ein Thema für sich. Also: es wird nicht alles so heiß gegessen, wie es gekocht wird – und den Ball einmal flachhalten. 😉

    • Die Browser-Probleme bei Debian sind schon ein wenig älter. Wenn sie es in den Griff bekommen würde ich mich sehr freuen. Ich teile deinen Optimismus insbesondere in Bezug auf Chromium & Co jedoch nicht.

  6. Debian ist _nicht_ Debian stable!
    Man kann durchaus auch die Pakete aus dem unstable(sid)-Zweig installieren, siehe z. B. die siduction isos – und hat damit eine stabile, jahrelang bewährte rolling release!

  7. Noch eine kleine Ergänzung: Ich bin mir sicher, daß Debian demnächst die Probleme mit Chromium und Firefox-ESR wird lösen können. Getreu nach der uralten deutschen Redewendung: „Wir schaffen das!“ 😉

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein