1. Kommentar: Debian und Firefox – Lieber in Schönheit sterben?
  2. Debian – Die Problem sind größer als Firefox
  3. Debian und Firefox – Nicht Mesa sondern Rust als Problem
  4. Debian – Verzögerung bei Sicherheitsaktualisierungen
  5. Debian und Sicherheit – Risiko Rendering-Engines
  6. Debian und Sicherheit – Die empfohlenen Tools liefern unvollständige Daten

Debian empfiehlt in seinen Release Notes das Paket debian-security-support um den Supportstatus der Installation zu prüfen. Das Paket liefert allerdings unvollständige Informationen.

Für meinen Test nahm ich ein aktuelles Debian 11 „Bullseye“. Die Softwareauswahl entspricht in etwa dem, was ich im zweiten Teil zu meinem persönlichen Linux-Setup geschrieben hatte. Eine relativ KDE-lastige Softwareauswahl, aber sie entspricht dem, womit ich persönlich arbeite.

Das Paket debian-security-support war nicht vorinstalliert, was ich schon als Manko empfinde. Bei der Installation wird aber gleich angezeigt, was betroffen ist. Alternativ kann man mit folgendem Befehl jederzeit den Supportstatus anzeigen:

$ check-support-status

Folgende Ausgabe erhalte ich für das oben beschrieben System.


Eingeschränkte Versorgung mit Sicherheitsaktualisierungen für eines oder mehrere Pakete

Leider war es nötig, die Versorgung mit Sicherheitsaktualisierungen
für einige Pakete einzuschränken.

Davon sind die folgenden auf diesem System gefundenen Pakete betroffen:

* Quelle:binutils
  Einzelheiten: Only suitable for trusted content; see https://lists.debian.org/msgid-search/87lfqsomtg.fsf@mid.deneb.enyo.de
  Betroffene Binärpakete:
  - binutils (installierte Version: 2.35.2-2)
  - binutils-common:amd64 (installierte Version: 2.35.2-2)
  - binutils-x86-64-linux-gnu (installierte Version: 2.35.2-2)
  - libbinutils:amd64 (installierte Version: 2.35.2-2)
  - libctf-nobfd0:amd64 (installierte Version: 2.35.2-2)
  - libctf0:amd64 (installierte Version: 2.35.2-2)

* Quelle:qtwebengine-opensource-src
  Einzelheiten: No security support upstream and backports not feasible, only for use on trusted content
  Betroffene Binärpakete:
  - libqt5webengine-data (installierte Version: 5.15.2+dfsg-3)
  - libqt5webengine5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - libqt5webenginecore5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - libqt5webenginewidgets5:amd64 (installierte Version: 5.15.2+dfsg-3)
  - qml-module-qtwebengine:amd64 (installierte Version: 5.15.2+dfsg-3)

Diese kurze Liste erscheint wohlgemerkt auf einem System, auf dem Chromium installiert ist, in einer Version mit scheunentorartigen Sicherheitslücken. Die Qt-Webengine ist zwar gelistet, aber die darauf aufbauenden Programme wie KMail oder RSS Guard werden nicht genannt. Sehr überrascht bin ich auch, dass Debian glaubt für die ganzen installierten Multimedia-Codecs Support anbieten zu können. Der Zustand der Codec-Sammlung ist schließlich bekanntermaßen schlecht.

Das sind zudem nur die offenkundigen Probleme. Nach den Ereignissen der letzten Monate hege ich erhebliche Zweifel, dass man bei Debian in der Lage wäre, z. B. bei kritischen Problemen in KMail/Akonadi für die bereits bei Freeze vollständig veralteten Versionen ohne massive Hilfe von KDE Sicherheitsaktualisierungen zurück zu portieren. Ich vermute daher, dass man bei Tausenden Paketen auf das Prinzip Hoffnung setzt. Hoffnung darauf, dass im Supportzeitraum schon keine kritischen Fehler bekannt werden.

Insgesamt finde ich das höchst fragwürdig.

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

1 Ergänzung

  1. Dann gibt es noch so etwas wie uBlock Origin in den Paketquellen von Debian Stable. Während für uBlock Origin https://addons.mozilla.org/de/firefox/addon/ublock-origin/versions/ einige teils sehr kritische Fehler als behoben aufgeführt werden, sieht es mit der Version in Debian Stable eher ruhig aus, als ob dort keine kritischen Fehler drin sind. Debian hat die Version 1.37.0 in den Paketquellen, laut addons.mozilla.org wurde diese Version am 23. Juli 2021 veröffentlicht.

    Sind das Pakte die das Debian-Security-Team nicht auf dem Schirm hat?

    Dann gibt es noch so etwas wie das hier „LUKS2 is incompatible with GRUB’s cryptodisk support“. Damit bekomme ich nach der Installation kein direkt funktionsfähiges verschlüsseltes System zustande, leider sehe ich dies erst nach der Installation.
    Quelle: https://www.debian.org/devel/debian-installer/errata

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein