Ich halte die Mozillaprodukte unter Debian Lenny immer auf dem neuesten mozilla.com-Stand. D.h.: 1. Ich benutze unter Debian Lenny zur Zeit Firefox 4.0 und nicht den distributionseigenen Iceweasel "~3.0.28". 2. Auch Thunderbird benutze ich in der neuesten 3.1.x-Version. Das ist auch bitter nötig, weil Debian für Lenny den Icedove-Support einstellen musste. Diese Anwendungen werden einfach im eigenen Home-Verzeichnis installiert und gestartet. Systemweit werden sie nicht installiert.
Doch, da bin ich sicher: http://www.debian.org/security/2011/dsa-2187 "As indicated in the Lenny (oldstable) release notes, security support for the Icedove packages in the oldstable needed to be stopped before the end of the regular Lenny security maintenance life cycle. You are strongly encouraged to upgrade to stable or switch to a different mail client."
Der Grund hierfür ist, dass die Xulrunner-Engine, die in Icedove 2.0.0.24 enthalten ist, noch älter ist als diejenige in Iceweasel 3.0 und schlichtweg die Manpower fehlt, um Icedove zu maintainen. Ich finde es schon eine großartige Leistung, dass Iceweasel 3.0 in Lenny übrhaupt noch Sicherheitsupdates erhält, schließlich hat der einzige Debian-Iceweasel-Maintainer Mike Hommey jetzt vorübergehend vier Xulrunner-Engines am Hals. Aber ihm scheint das Freude zu machen und auch nicht schwer zu fallen.
Thunderbird 2.0.0.24 befindet sich übrigens auch noch in Ubuntu 8.04, und changelogmäßig sieht es hier ganz genauso aus wie in Debian Lenny: http://changelogs.ubuntu.com/changelogs/pool/main/t/thunderbird/thunderbird_2.0.0.24+build1+nobinonly-0ubuntu0.8.04.2/changelog
Leider unterscheiden Distributoren nicht zwischen Systemprogrammen und Benutzerprogrammen. Deswegen wird man als User eher zu einer Bleeding edge oder einer Distribution mit häufigen Release Zyklen wie Ubuntu (non LTS) oder Fedora gezwungen.
Ist zwar keine Linux Distribution, aber FreeBSD unterscheidet klar zwischen Betriebssystem und Anwendungsprogrammen. Man kann also problemlos ein stabiles Betriebsystem mit den aktuellsten Anwendungsprogrammen aus den ports verwenden. Unter den vielen Linux Distries wird es doch aber bestimmt welche geben die ähnlich verfahren.
Tjo... das ist eigentlich schade, dass da nicht unterschieden wird. Hätte gerne eine stabile System-Basis zu der es Sicherheitsupdates und Korrekturen gibt ansonsten LTS-like bleibt wie es ist... ... und Anwendungen dafür aktuell.
Dafür haben die Anwendungen aber viel zu viele Abhängigkeiten. Neue Anwendung... ältere Basis... oft ein NoGo.
Bin mittlerweile auf PCLinuxOS geswitched. Ist Rolling Release... wird also auch immer komplett aktualisiert. Aber läuft echt rund. Und vor allem brauche ich da keine externen Quellen oder z. B. etwas wie das AUR bei Archlinux, weil ich die für mich wichtigen Programme dort alle im Repo habe.
bei servern nur security patches die zu lange dauern. oder wenn ich patche brauche die es nicht gibt
auf dem desktop habe ich eine rolling release distribution da muss ich kaum vorbeiarbeiten. wenn doch erstelle ich fast immer pakete und tausche diese dann wenn die von der distribution kommen
Mein installiertes System (Debian) soll stabil bleiben. Zum Testen kann man virtuelle Maschinen z.B. unter VirtualBox verwenden. Ich habe Dropbox auf einer virtuellen Maschine unter Ubuntu laufen.
Warum soll ich z.B. Firefox 4 nicht zuerst in einer virtuellen Maschine installiere? Verwende ich Strg+L unter VirtualBox, erscheint das Fenster der „Testsoftware“ auch auf dem Debian Desktop.
Ich nutz Gentoo und schreibe ab und an mal ein eigenes ebuild, wenn ich unbedingt eine neue Software haben möchte, die weder in portage noch in overlays zu finden ist. Aber ich installiere niemals systemweit etwas vorbei am Paketsystem, denn wie bekomme ich es dann dort wieder ohne Probleme weg?
Wenn ich die Makefile aktualisiere um neuere Versionen von Programmen übersetzt und installiert zu bekommen. Letztendlich nutze ich auch das Paketsystem, erzeuge keine Inkonsistenz und greife trotzdem ein!
ich halte meine Systeme mit den Repositorys des Distributors aktuell. Schießlich gibts ja für Opensuse sogut wie alles als aktuelle Paktete selbst kompilieren ist nur ganz ganz selten notwendig.
Eigentlich nur Firefox und Thunderbird - und eigentlich auch nur unter Debian (stable), weil hier neuer meistens besser ist. Der Rest kann von mir aus auch noch zwei weitere Jahre so bleiben, da sehe ich kein Bedarf.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 25. Mär 2011 um 21:22.
Stimmt, es war bzw. ist ein Openssl-Desaster. Betroffen ist aber jede Software, die mit von Openssl erstellten Schlüsseln arbeitet, also auch Openssh, natürlich unabhängig vom Betriebssystem. http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html
Eben. Erstens kann man da noch so viel modernste Software von Hand kompilieren, wie man will. Verwendet man die alten Schlüssel weiter (sofern anfällig), dann ist das System weiterhin anfällig. Verwendet man dagegen ganz normal die aktuellen Debian-Kompilate, ist man mit neu generierten Schlüsseln nicht minder sicher als mit ganz anderen Betriebssystemen. Was soll einem dann ein selbst kompiliertes OpenSSL/SSH auf einem Debian für Vorteile bringen? Es sei denn, die bauen noch immer fleißig so Fahrlässigkeiten wie damals ein. Davon würde ich, nach dieser Peinlichkeit, aber nicht unbedingt ausgehen.
Streng genommen hängt das Debiansche Openssl-Desaster an einem Phänomen, dass viele Nutzer auch aus ihrem Berufsleben kennen: Mitarbeiter bzw. Vorgesetzte, die gleichzeitig unfähig ("dumm") und fleißig sind, verursachen mitunter den allergrößten Schaden, wenn sie nicht gestoppt werden.
Ich verweise in diesem Zusammenhang gerne auf diese Quelle: http://de.wikipedia.org/wiki/Kurt_von_Hammerstein-Equord
"Und zur Beurteilung der ihm unterstellten Offiziere meinte [Kurt von Hammerstein-Equord]:
„Ich unterscheide vier Arten. Es gibt kluge, fleißige, dumme und faule Offiziere. Meist treffen zwei Eigenschaften zusammen. Die einen sind klug und fleißig, die müssen in den Generalstab. Die nächsten sind dumm und faul; sie machen in jeder Armee 90% aus und sind für Routineaufgaben geeignet. Wer klug ist und gleichzeitig faul, qualifiziert sich für die höchsten Führungsaufgaben, denn er bringt die geistige Klarheit und die Nervenstärke für schwere Entscheidungen mit. Hüten muss man sich vor dem, der gleichzeitig dumm und fleißig ist; dem darf man keine Verantwortung übertragen, denn er wird immer nur Unheil anrichten.""
Von Berliner Optimist am Mo, 28. März 2011 um 08:27 #
Klar, nach gefühlten zwoeinhalb Äonen Beta-Phase des Firefox 4 sollte man meinen, dass das Erscheinen der Release die Paketverwalter nicht sonderlich überrascht. Ansonsten gäbe es da noch sbcl (sbcl.org), das 7 minor versions hinterhereiert (Ubuntu 10.10) und (wx)maxima - ein CAS - hängt auch öfter mal etwas zurück. Ob inzwischen die GNU mutiprecision library auch im Repo aktualisiert wurde, weiß ich gar nicht. Vermutlich werde ich lernen, wie Pakete erstellt werden und mich bei Ubuntu mal anbiedern.
Ich nutze Debian sehr gern und bei Debian ist es so vorgesehen, das sich die Softwareversionen in der stabilen Version nicht mehr ändern. Die Debian-Maintainer wollen damit Seiteneffekte verhindern die auftreten können, wenn die Programmversionen sich ständig ändern würden. Die Programme sind teilweise aufeinander angewiesen (modulares Konzept von Unix) und es kann vorkommen das sich eine neue Versionen von einem Programm sich nicht mit einer älteren Version von einem anderen Programm vertragen könnte. Wenn man den Rechner nur privat nutzt, kann man selbst testen ob die Aktualisierung eines Programmes gut geht.
PS: Gerade unter Windows hat man immer wieder Probleme wenn man sehr viele alte und neue Programme auf dem gleichen Rechner installiert. Deshalb wünsche ich mir auch unter Windows ein Paketverwaltungssystem ;-).
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 28. Mär 2011 um 11:22.
Das führt aber manchmal dazu, dass Software nicht mit Sicherheitsaktualisierungen versorgt wird. Icedove in Debian Lenny ist so ein Beispiel.
Debian hat hier die Ende letzten Jahres "bekannt" gewordenen Sicherheitslücken in Thunderbird 2.0.0.24 genauso wie Ubuntu einfach "verpennt".
Warum?
Thunderbird 2 ist EOL, Mozilla kümmert sich nicht mehr darum. Man hätte also schon die Thunderbird3-Sicherheitsmitteilungen aufmerksam lesen müssen, um herauszubekommen, was davon auf Thunderbird/Icedove 2.0.0.24 zutrifft und was nicht. Anscheinend schaffte Debian dies in diesem Falle nicht.
Es wäre daher sinnvoller gewesen, bis zum Ende des Lenny-Unterstützungszeitraumes ein statisches und sicheres Thunderbird 3-Paket auszuliefern, was gerade angesichts der Tatsache, dass Thunderbird/Icedove eine vom Gesamtsystem unabhängige Xulrunner-Engine benutzen, machbar gewesen wäre.
Debian hat dieses Problem in Lenny endlich gelöst, aber auf andere Weise: Icedove 2.0.0.24 ist jetzt EOL.
Ich möchte damit nur aufzeigen, dass das im allgemeinen recht gut funktionierende Debianpaketkonzept manchmal Ausnahmen benötigt, wenn es um die Sicherheit von "Internetpaketen" wie Browsern und Email-Clients geht.
Ich halte die Mozillaprodukte unter Debian Lenny immer auf dem neuesten mozilla.com-Stand.
D.h.:
1. Ich benutze unter Debian Lenny zur Zeit Firefox 4.0 und nicht den distributionseigenen Iceweasel "~3.0.28".
2. Auch Thunderbird benutze ich in der neuesten 3.1.x-Version. Das ist auch bitter nötig, weil Debian für Lenny den Icedove-Support einstellen musste.
Diese Anwendungen werden einfach im eigenen Home-Verzeichnis installiert und gestartet. Systemweit werden sie nicht installiert.
Doch, da bin ich sicher:
http://www.debian.org/security/2011/dsa-2187
"As indicated in the Lenny (oldstable) release notes, security support for the Icedove packages in the oldstable needed to be stopped before the end of the regular Lenny security maintenance life cycle. You are strongly encouraged to upgrade to stable or switch to a different mail client."
Der Grund hierfür ist, dass die Xulrunner-Engine, die in Icedove 2.0.0.24 enthalten ist, noch älter ist als diejenige in Iceweasel 3.0 und schlichtweg die Manpower fehlt, um Icedove zu maintainen. Ich finde es schon eine großartige Leistung, dass Iceweasel 3.0 in Lenny übrhaupt noch Sicherheitsupdates erhält, schließlich hat der einzige Debian-Iceweasel-Maintainer Mike Hommey jetzt vorübergehend vier Xulrunner-Engines am Hals. Aber ihm scheint das Freude zu machen und auch nicht schwer zu fallen.
Thunderbird 2.0.0.24 befindet sich übrigens auch noch in Ubuntu 8.04, und changelogmäßig sieht es hier ganz genauso aus wie in Debian Lenny:
http://changelogs.ubuntu.com/changelogs/pool/main/t/thunderbird/thunderbird_2.0.0.24+build1+nobinonly-0ubuntu0.8.04.2/changelog
Leider unterscheiden Distributoren nicht zwischen Systemprogrammen und Benutzerprogrammen.
Deswegen wird man als User eher zu einer Bleeding edge oder einer Distribution mit häufigen Release Zyklen wie Ubuntu (non LTS) oder Fedora gezwungen.
Ist zwar keine Linux Distribution, aber FreeBSD unterscheidet klar zwischen Betriebssystem und Anwendungsprogrammen. Man kann also problemlos ein stabiles Betriebsystem mit den aktuellsten Anwendungsprogrammen aus den ports verwenden. Unter den vielen Linux Distries wird es doch aber bestimmt welche geben die ähnlich verfahren.
Genau das ist die Philosophie von Kanotix
Tjo... das ist eigentlich schade, dass da nicht unterschieden wird.
Hätte gerne eine stabile System-Basis zu der es Sicherheitsupdates und Korrekturen gibt ansonsten LTS-like bleibt wie es ist...
... und Anwendungen dafür aktuell.
Dafür haben die Anwendungen aber viel zu viele Abhängigkeiten. Neue Anwendung... ältere Basis... oft ein NoGo.
Bin mittlerweile auf PCLinuxOS geswitched. Ist Rolling Release... wird also auch immer komplett aktualisiert. Aber läuft echt rund. Und vor allem brauche ich da keine externen Quellen oder z. B. etwas wie das AUR bei Archlinux, weil ich die für mich wichtigen Programme dort alle im Repo habe.
PS: natürlich ist Archinux auch klasse.
Nicht dass sich da noch jemand auf den Schlips getreten fühlt
Aber da muss ich (für mich) zuviel aus dem AUR ziehen.
bei servern nur security patches die zu lange dauern. oder wenn ich patche brauche die es nicht gibt
auf dem desktop habe ich eine rolling release distribution da muss ich kaum vorbeiarbeiten. wenn doch erstelle ich fast immer pakete und tausche diese dann wenn die von der distribution kommen
Mein installiertes System (Debian) soll stabil bleiben. Zum Testen kann man virtuelle Maschinen z.B. unter VirtualBox verwenden. Ich habe Dropbox auf einer virtuellen Maschine unter Ubuntu laufen.
Das was du das schreibst, grenzt ein wenig an Paranoia.
Warum soll ich z.B. Firefox 4 nicht zuerst in einer virtuellen Maschine installiere? Verwende ich Strg+L unter VirtualBox, erscheint das Fenster der „Testsoftware“ auch auf dem Debian Desktop.
Ich bezog mich dabei weniger auf Fx4, sondern auf Dropbox.
Ok, auf der Dropbox-Seite werden Pakete für Ubuntu angeboten. Ich wollte keine Zeit investieren und habe es deshalb nicht unter Debian probiert.
Ich nutz Gentoo und schreibe ab und an mal ein eigenes ebuild, wenn ich unbedingt eine neue Software haben möchte, die weder in portage noch in overlays zu finden ist. Aber ich installiere niemals systemweit etwas vorbei am Paketsystem, denn wie bekomme ich es dann dort wieder ohne Probleme weg?
Für solche Fälle gibt es zum Glück "cave import".
Cool du verwaltest dein System genauso wie ich.
Auch Gentoo und im Zweifelsfall schreibt man ein ebuild.
Damit hilft man dann auch gleich dem nächsten, der die Software installieren will.
Wenn ich die Makefile aktualisiere um neuere Versionen von Programmen übersetzt und installiert zu bekommen.
Letztendlich nutze ich auch das Paketsystem, erzeuge keine Inkonsistenz und greife trotzdem ein!
Normalerweise nie, ich baue mir meine Pakete selbst, kostest zwar Zeit, dafür kann man dan alles zentral verwalten.
ich halte meine Systeme mit den Repositorys des Distributors aktuell. Schießlich gibts ja für Opensuse sogut wie alles als aktuelle Paktete selbst kompilieren ist nur ganz ganz selten notwendig.
Eigentlich nur Firefox und Thunderbird - und eigentlich auch nur unter Debian (stable), weil hier neuer meistens besser ist. Der Rest kann von mir aus auch noch zwei weitere Jahre so bleiben, da sehe ich kein Bedarf.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 25. Mär 2011 um 21:22.Habs genauso gemacht
Vergiß openSSH nicht!
OpenSSH sollte ebenfalls unter Debian selbst aus den Originalquellen compiliert und installiert werden.
Oder man nimmt die Version halt aus sid, was aber keine Umgehung der Paketverwaltung ist.
Wieso?
Weil es vor einiger Zeit da mal was böses gab oder weil es da noch was aktuelles gibt?
Ist das unter Debian noch immer nicht sicher?
War das nicht OpenSSL, womit es Probleme gab? SSH auch?
Stimmt, es war bzw. ist ein Openssl-Desaster.
Betroffen ist aber jede Software, die mit von Openssl erstellten Schlüsseln arbeitet, also auch Openssh, natürlich unabhängig vom Betriebssystem.
http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html
Die von Openssl erstellten und von Openssh verwendeten Schlüssel sind das Problem.
Eben.
Erstens kann man da noch so viel modernste Software von Hand kompilieren, wie man will. Verwendet man die alten Schlüssel weiter (sofern anfällig), dann ist das System weiterhin anfällig.
Verwendet man dagegen ganz normal die aktuellen Debian-Kompilate, ist man mit neu generierten Schlüsseln nicht minder sicher als mit ganz anderen Betriebssystemen.
Was soll einem dann ein selbst kompiliertes OpenSSL/SSH auf einem Debian für Vorteile bringen? Es sei denn, die bauen noch immer fleißig so Fahrlässigkeiten wie damals ein. Davon würde ich, nach dieser Peinlichkeit, aber nicht unbedingt ausgehen.
Streng genommen hängt das Debiansche Openssl-Desaster an einem Phänomen, dass viele Nutzer auch aus ihrem Berufsleben kennen: Mitarbeiter bzw. Vorgesetzte, die gleichzeitig unfähig ("dumm") und fleißig sind, verursachen mitunter den allergrößten Schaden, wenn sie nicht gestoppt werden.
Ich verweise in diesem Zusammenhang gerne auf diese Quelle:
http://de.wikipedia.org/wiki/Kurt_von_Hammerstein-Equord
"Und zur Beurteilung der ihm unterstellten Offiziere meinte [Kurt von Hammerstein-Equord]:
„Ich unterscheide vier Arten. Es gibt kluge, fleißige, dumme und faule Offiziere. Meist treffen zwei Eigenschaften zusammen. Die einen sind klug und fleißig, die müssen in den Generalstab. Die nächsten sind dumm und faul; sie machen in jeder Armee 90% aus und sind für Routineaufgaben geeignet. Wer klug ist und gleichzeitig faul, qualifiziert sich für die höchsten Führungsaufgaben, denn er bringt die geistige Klarheit und die Nervenstärke für schwere Entscheidungen mit. Hüten muss man sich vor dem, der gleichzeitig dumm und fleißig ist; dem darf man keine Verantwortung übertragen, denn er wird immer nur Unheil anrichten.""
Ich fühle mich bezüglich "klug und gleichzeitig faul" angesprochen.
Klar, nach gefühlten zwoeinhalb Äonen Beta-Phase des Firefox 4 sollte man meinen, dass das Erscheinen der Release die Paketverwalter nicht sonderlich überrascht.
Ansonsten gäbe es da noch sbcl (sbcl.org), das 7 minor versions hinterhereiert (Ubuntu 10.10) und (wx)maxima - ein CAS - hängt auch öfter mal etwas zurück. Ob inzwischen die GNU mutiprecision library auch im Repo aktualisiert wurde, weiß ich gar nicht.
Vermutlich werde ich lernen, wie Pakete erstellt werden und mich bei Ubuntu mal anbiedern.
da ich PCLinuxOS nutze habe ich so etwas gar nicht nötig, da mein System automatisch immer auf dem neuesten Softwarestand ist
Ich nutze Debian sehr gern und bei Debian ist es so vorgesehen, das sich die Softwareversionen in der stabilen Version nicht mehr ändern.
Die Debian-Maintainer wollen damit Seiteneffekte verhindern die auftreten können, wenn die Programmversionen sich ständig ändern würden. Die Programme sind teilweise aufeinander angewiesen (modulares Konzept von Unix) und es kann vorkommen das sich eine neue Versionen von einem Programm sich nicht mit einer älteren Version von einem anderen Programm vertragen könnte.
Wenn man den Rechner nur privat nutzt, kann man selbst testen ob die Aktualisierung eines Programmes gut geht.
PS: Gerade unter Windows hat man immer wieder Probleme wenn man sehr viele alte und neue Programme auf dem gleichen Rechner installiert.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 28. Mär 2011 um 11:22.Deshalb wünsche ich mir auch unter Windows ein Paketverwaltungssystem ;-).
Das führt aber manchmal dazu, dass Software nicht mit Sicherheitsaktualisierungen versorgt wird.
Icedove in Debian Lenny ist so ein Beispiel.
Debian hat hier die Ende letzten Jahres "bekannt" gewordenen Sicherheitslücken in Thunderbird 2.0.0.24 genauso wie Ubuntu einfach "verpennt".
Warum?
Thunderbird 2 ist EOL, Mozilla kümmert sich nicht mehr darum. Man hätte also schon die Thunderbird3-Sicherheitsmitteilungen aufmerksam lesen müssen, um herauszubekommen, was davon auf Thunderbird/Icedove 2.0.0.24 zutrifft und was nicht.
Anscheinend schaffte Debian dies in diesem Falle nicht.
Es wäre daher sinnvoller gewesen, bis zum Ende des Lenny-Unterstützungszeitraumes ein statisches und sicheres Thunderbird 3-Paket auszuliefern, was gerade angesichts der Tatsache, dass Thunderbird/Icedove eine vom Gesamtsystem unabhängige Xulrunner-Engine benutzen, machbar gewesen wäre.
Debian hat dieses Problem in Lenny endlich gelöst, aber auf andere Weise: Icedove 2.0.0.24 ist jetzt EOL.
Ich möchte damit nur aufzeigen, dass das im allgemeinen recht gut funktionierende Debianpaketkonzept manchmal Ausnahmen benötigt, wenn es um die Sicherheit von "Internetpaketen" wie Browsern und Email-Clients geht.
Wenn Linux schon so ein Killerfeature wie das Paketsystem hat, dann nutze ich das auch, ist ja klar.
Grueße
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 28. Mär 2011 um 12:14.Ignatz