Debian und Sicherheit – Die empfohlenen Tools liefern unvollständige Daten

  1. Kommentar: Debian und Firefox – Lieber in Schönheit sterben?
  2. Debian – Die Problem sind größer als Firefox
  3. Debian und Firefox – Nicht Mesa sondern Rust als Problem
  4. Debian – Verzögerung bei Sicherheitsaktualisierungen
  5. Debian und Sicherheit – Risiko Rendering-Engines
  6. Debian und Sicherheit – Die empfohlenen Tools liefern unvollständige Daten
  7. Sicherheitsupdates bei Debian – Wie viel Verzögerung ist normal?

Debian empfiehlt in seinen Release Notes das Paket debian-security-support um den Supportstatus der Installation zu prüfen. Das Paket liefert allerdings unvollständige Informationen.

Für meinen Test nahm ich ein aktuelles Debian 11 „Bullseye“. Die Softwareauswahl entspricht in etwa dem, was ich im zweiten Teil zu meinem persönlichen Linux-Setup geschrieben hatte. Eine relativ KDE-lastige Softwareauswahl, aber sie entspricht dem, womit ich persönlich arbeite.

Das Paket debian-security-support war nicht vorinstalliert, was ich schon als Manko empfinde. Bei der Installation wird aber gleich angezeigt, was betroffen ist. Alternativ kann man mit folgendem Befehl jederzeit den Supportstatus anzeigen:

$ check-support-status

Folgende Ausgabe erhalte ich für das oben beschrieben System.


Eingeschränkte Versorgung mit Sicherheitsaktualisierungen für eines oder mehrere Pakete

Leider war es nötig, die Versorgung mit Sicherheitsaktualisierungen
für einige Pakete einzuschränken.

Davon sind die folgenden auf diesem System gefundenen Pakete betroffen:

* Quelle:binutils
  Einzelheiten: Only suitable for trusted content; see https://lists.debian.org/msgid-search/87lfqsomtg.fsf@mid.deneb.enyo.de
  Betroffene Binärpakete:
  - binutils (installierte Version: 2.35.2-2)
  - binutils-common:amd64 (installierte Version: 2.35.2-2)
  - binutils-x86-64-linux-gnu (installierte Version: 2.35.2-2)
  - libbinutils:amd64 (installierte Version: 2.35.2-2)
  - libctf-nobfd0:amd64 (installierte Version: 2.35.2-2)
  - libctf0:amd64 (installierte Version: 2.35.2-2)

* Quelle:qtwebengine-opensource-src
  Einzelheiten: No security support upstream and backports not feasible, only for use on trusted content
  Betroffene Binärpakete:
  - libqt5webengine-data (installierte Version: 5.15.2+dfsg-3)
  - libqt5webengine5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - libqt5webenginecore5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - libqt5webenginewidgets5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - qml-module-qtwebengine:amd64 (installierte Version: 5.15.2+dfsg-3)

Diese kurze Liste erscheint wohlgemerkt auf einem System, auf dem Chromium installiert ist, in einer Version mit scheunentorartigen Sicherheitslücken. Die Qt-Webengine ist zwar gelistet, aber die darauf aufbauenden Programme wie KMail oder RSS Guard werden nicht genannt. Sehr überrascht bin ich auch, dass Debian glaubt für die ganzen installierten Multimedia-Codecs Support anbieten zu können. Der Zustand der Codec-Sammlung ist schließlich bekanntermaßen schlecht.

Das sind zudem nur die offenkundigen Probleme. Nach den Ereignissen der letzten Monate hege ich erhebliche Zweifel, dass man bei Debian in der Lage wäre, z. B. bei kritischen Problemen in KMail/Akonadi für die bereits bei Freeze vollständig veralteten Versionen ohne massive Hilfe von KDE Sicherheitsaktualisierungen zurück zu portieren. Ich vermute daher, dass man bei Tausenden Paketen auf das Prinzip Hoffnung setzt. Hoffnung darauf, dass im Supportzeitraum schon keine kritischen Fehler bekannt werden.

Insgesamt finde ich das höchst fragwürdig.

2 Kommentare

  1. Dann gibt es noch so etwas wie uBlock Origin in den Paketquellen von Debian Stable. Während für uBlock Origin https://addons.mozilla.org/de/firefox/addon/ublock-origin/versions/ einige teils sehr kritische Fehler als behoben aufgeführt werden, sieht es mit der Version in Debian Stable eher ruhig aus, als ob dort keine kritischen Fehler drin sind. Debian hat die Version 1.37.0 in den Paketquellen, laut addons.mozilla.org wurde diese Version am 23. Juli 2021 veröffentlicht.

    Sind das Pakte die das Debian-Security-Team nicht auf dem Schirm hat?

    Dann gibt es noch so etwas wie das hier „LUKS2 is incompatible with GRUB’s cryptodisk support“. Damit bekomme ich nach der Installation kein direkt funktionsfähiges verschlüsseltes System zustande, leider sehe ich dies erst nach der Installation.
    Quelle: https://www.debian.org/devel/debian-installer/errata

    • Die Problematik mit Grub und LUKS2 unter Debian ist lange bekannt. Auch meine Bug Tickets wurden mehrheitlich ignoriert, noch wurde das Problem wirksam angegangen. Andere Distributionen machen es vor, aber die Entwickler unter Debian sehen ja nicht mal ein den Eintrag „cryptodisk“ in jeder Hinsicht korrekt zu setzen. Ohne manuellen Eingriff via Shell im Installer kann man das immer noch knicken. Und der vollständige Support für LUKS2 ist ohne Grub 2.06 ohnehin unmöglich herzustellen. Doch während genau jene Version von Grub vielfach unter den Distributionen verbreitet ist, wird genau jene Version die Unmengen an früheren Problemen beseitigt, willkürlich seit Monaten unter Debian blockiert, was unmittelbar auch die Migration weiterer wichtiger Pakete behindert die davon abhängen. Diesbezüglich gab es auch schon Beschwerden durch andere Paket Betreuer, die auch nach Monaten noch keine Antwort erhalten haben und ihrerseits wiederum unschöne Maßnahmen ergreifen mussten. Offenbar wird das einfach ausgesessen. Denn sinnvolle Gründe können es kaum sein, wenn diese Version unter anderen Distributionen ihren Dienst tut, und allein unter Fedora mal eben über 100 Distribution spezifische Patches überflüssig macht, was ja nur jede Menge Arbeit erspart. Unter Debian hat das offenbar keine Priorität, noch das über offenkundige Probleme mal wirklich nutzbringend diskutiert wird.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...