Debian – Verzögerung bei Sicherheitsaktualisierungen

  1. Kommentar: Debian und Firefox – Lieber in Schönheit sterben?
  2. Debian – Die Problem sind größer als Firefox
  3. Debian und Firefox – Nicht Mesa sondern Rust als Problem
  4. Debian – Verzögerung bei Sicherheitsaktualisierungen
  5. Debian und Sicherheit – Risiko Rendering-Engines
  6. Debian und Sicherheit – Die empfohlenen Tools liefern unvollständige Daten
  7. Sicherheitsupdates bei Debian – Wie viel Verzögerung ist normal?

Es gibt mal wieder Schwachstellen in X.Org. Genauer gesagt wurden mal wieder neue Schwachstellen entdeckt. Die Software steckt sicherlich voll von noch mehr Problemen und ihre vollständige Ablösung ist mehr als überfällig.

Leider zieht sich die Wayland-Transformation länger hin, als das vor ein paar Jahren alle vermutet hatten. GNOME war zuerst Wayland-tauglich und seit diesem Jahr funktioniert auch KDE Plasma mehr oder minder gut mit Wayland. Alle anderen Desktopumgebungen und Fenstermanager sind noch nicht so weit oder werden vielleicht nie so weit sein. Hier wird sich vermutlich die Spreu vom Weizen trennen, wenn die Distributionen nicht mehr bereit sind X.Org zu pflegen. Die Linux-Welt muss also noch einige Zeit mit X.Org leben müssen.

Es tut mir fast schon ein wenig leid, dass ich schon wieder was Negatives über Debian schreiben muss. Die Updateprobleme bei Firefox reichen eigentlich schon. Leider sind die Fakten wie sie sind:

Es geht um folgende vier Sicherheitslücken: 2021-4008, 2021-4009, 2021-4010, 2021-4011. Diese wurden durch die Zero Day Initiative von Trend Micro gefunden.

Öffentlich bekannt sind die Lücken seit dem 14. Dezember. Die Distributionen wurden allerdings bereits vorab informiert, um schnell Sicherheitsupdates bereitstellen zu können. Entsprechende Patches lagen Upstream vor. Das Vorgehen ist somit ideal und die notwendige Eigenleistung der Maintainer überschaubar. Ein entsprechender Bugreport für CVE 2021-4008 datiert im SUSE Bugzilla auf den 24. November. Das Changelog bei SLE/openSUSE Leap verrät zudem, dass die Lücke bereits am 25. November geschlossen wurde.

Pünktlich am 14. Dezember verteilte SUSE die Updates für die Lücken. Das gilt ebenso für Ubuntu, wo Canonical ebenfalls am 14. Dezember pünktlich Updates verteilte. Fedora war ein bisschen langsamer, die Updates kamen erst vor einigen Stunden in die beiden unterstützen Varianten Fedora 34 und 35. Den Status für RHEL konnte ich nicht herausfinden, gehe aber davon aus, dass dieser mindestens analog zu Fedora ist. Bei Debian ist hingegen aktuell immer noch Schweigen im Walde. Lediglich für Sid und Testing hat man Updates bereits verteilt.

Ich möchte hier jetzt nicht schon wieder zum Rundumschlag ausholen, weil ich mit Sicherheit keine Kampagne gegen Debian fahren möchte. Fakt ist, dass sich Debian-Anwender die Entwicklung ganz genau ansehen sollten. Für mich ist aktuell Debian für den Desktop nur noch unter Vorbehalt empfehlenswert. Vorlieben bei Distributionen, lang gepflegte Distro-Wars, Kritik an irgendwelchen Communitys etc. sind nett für die eigene Entscheidungsfindung, aber bei offenen Sicherheitslücken hört der Spaß auf.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
  1. Dabei wurde heute Debian 11.2 ausgerollt. Zumindest ist rustc-mozilla dabei, welches zum Kompilieren neuer Versionen von Firefos-esr und Thunderbird benötigt wird.
    Diese sind jedoch selbst (noch) nicht dabei. Mal sehen, wie lange das noch dauert.
    Und nun das auch noch. Ich fürchte, da setzt Debian gerade schon etwas seinen guten Ruf, zumindest bei der Sicherheit, aufs Spiel.

  2. +++BREAKING NEWS+++BUGS IN SOFTWARE+++WIR WERDEN ALLE STERBEN+++

    …oder uns dran gewöhnen. Das ist seit 40 Jahren so und es wird seit 39 Jahren kontinuierlich schlimmer. Vielleicht ein guter Zeitpunkt mal anzuerkennen dass „drüber schreiben“ noch nie eine Lücke geschlossen hat…

    • Vielleicht mal die rosarote Debian-Brille absetzen?

      Nicht die Bugs sind das Problem. Bugs gibt es immer, manche sind halt auch noch sicherheitskritisch, das ist dann natürlich blöd und erfordert eine Reaktion. Bei diesen Bugs wurde upstream viel richtig gemacht. Vorab Info an die Distributoren, Patches bereitgestellt, Mehrere Wochen bis zur offiziellen Bekanntmachung der Fehler. Nur bei Debian hat man halt in der Zeit nichts gemacht.

      Darüber darf man wohl berichten.

    • @Tobias
      Du hast in jedem Fall recht, nur darüber schreiben, stopft keine Lücke. Aber ich denke, dass man ruhig dennoch darüber schreiben sollte. Solche Dinge unter den Teppich kehren hilft ja nun auch nicht weiter.
      Und ich meine auch, dass viel „Normaluser“ so etwas dann vielleicht gar nicht mitbekommen?
      Ich habe vor Kurzem in einem Forum einen Kommentar eines Users gelesen, der erst durch die Berichte über die Sache mit FF bei Debian mitbekommen hatte, dass die Chromium gar nicht mehr pflegen. Er hat diesen aus deren Paketquellen aber noch benutzt.
      Sicher eher ein seltener Fall, gibts aber wohl auch.

      • @ Ralph:
        Ich denke, das ist kein seltener Fall. Solange Software im Stable-Repo vorhanden ist, dachte ich, dass es auch Sicherheitsupdates bei kritischen Lücken gibt. Das denken glaube ich viele. Die aufgegebene Chromium-Unterstützung steht zwar im Debian-Wiki beim Chromium-Eintrag, und im Security-Bug-Tracker findet man haufenweise Einträge zu Chromium, aber ….. soll ich da als Desktopuser regelmäßig da rein schauen, und mir dann überlegen, welche Lücken gefährlich sind, und welche nicht? Ja, ich verwende kostenlose Software, aber ich würde mir da mehr Infos wünschen. Wie weiß ich allerdings auch nicht. Es ist auch nur ein Wunsch und kein Anspruch, den ich formuliere. Wie gesagt: Ich habe nichts dagegen, dass Chromium und evtl. auch Firefox aufgegeben wird. Sich die Programmdateien runterzuladen ist z.B. für Firefox einfach, und im Debian-Wiki mit allem drum und dran (Startmenü-Eintrag) perfekt beschrieben. Aber wenn ein Paket im Stable-Repo ist, dann fände ich eine Nachricht hilfreich, dass die vorhandene Software keine Sicherheitsunterstützung mehr bekommt.

        • Eine Möglichkeit wäre eine ähnliche Meldung bei der Installation vorzuschalten wie dies sehr lange bei EncFS gemacht wurde.

          Dies käme halt nur einer Kapitulation der Debian-Entwickler gleich und dazu scheinen sie noch nicht bereit zu sein. Lieber wahrt man den Schein und tut so als ob man eine durchweg sichere Distribution ausliefert. Entweder nähert man sich dem Anspruch dann auch in der Realität wieder an, oder wartet bis es mal wirklich knallt, wie damals bei OpenSSL.

          • Vielleicht sind Tools wie apt-listbugs oder debsecan eine Hilfe dabei?
            In jedem Fall gibts das ein ungutes Gefühl, wenn es bei solchen „prominenten“ Programmen wie FF wochenlang schon offene Bugs gibt.
            Es beschleicht einen dann schon die Befürchtung, dass es dort, wo man nicht so genau hinschaut, womöglich auch so ist.
            Da bin ich der Meinung von Gerrit, dann sich lieber ehrlich machen und Pakete, die man nicht mehr pflegen kann, lieber herausnehmen. Ich denke nicht, dass jemand Debian da einen Vorwurf machen würde. Immer noch besser wie z.B. Chromium auf Teufel komm raus mitzuschleppen.

        • Der Firefox ESR ist sicher bei vielen Debian Stable Usern auf der Platte gelandet, die ihr System einfach nur benutzen wollen und den vollmundigen Versprechungen auf debian.org/security/ „Debian nimmt die Sicherheit sehr ernst“ vertrauen.
          Die meisten werden von den Problemen überhaupt nichts mitgekriegt haben, man hat sie sozusagen ins offene Messer laufen lassen. Ein prominenter Hinweis auf der Homepage, wie es z. B. Arch macht, wäre das mindeste gewesen – aber anscheinend gilt das Motto, dass nicht sein kann, was nicht sein darf.

  3. Der Firefox ESR wurde mittlerweile aktualisiert, Chromium (bis jetzt) noch nicht, sollte aber auch alsbald kommen.
    Also, nicht immer gleich große Panik schieben….der Weltuntergang hat ja Zeit. 😉

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel