Dir ist hoffentlich schon aufgefallen, dass es das Debian-Team kaum noch schafft, Oldstable komplett mit Sicherheitsupdates zu versorgen, da durch den Wheezy-Release der Arbeitsaufwand für die Maintainer merklich angestiegen ist. So mussten bereits die Squeeze-Iceweasel, -Iceape, -Icedove und -Chromium-Versionen für EOL erklärt werden. IMO ist es besser, Du arbeitest bei der Beseitigung dieser Dir begegneten Wheezy-Bugs mit, z.B. indem Du diese meldest.
Wenn die Debian-Maintainer es kaum noch schaffen Sicherheitsupdates zu veröffentlichen, wie sollen dann zusätzliche Bugreports daran etwas ändern?
Fakt ist einfach, dass Debian langsam seine selbstgesteckten Ziele auf Grund der vielen unterstützten Plattformen nicht mehr erfüllen kann. Gerade die Iceweasel-Geschichte ist an Peinlichkeit nicht mehr zu überbieten.
Von Trächtige Tröllin am Di, 2. Juli 2013 um 17:22 #
IMHO ist es auch eine nicht mehr so ganz zeitgemäße Strategie uralt Softwareversionen auf biegen und brechen langjährig halten zu wollen, während ständig Bugfixes und Sicherheitspaches in aktuellere Softwareversionen einfließen. Beispielsweise bei Browsern wird die Entwicklung dermaßen rasant vorangetrieben, das muss doch die Maintainer schier in den Wahnsinn treiben, Bugfixes und Sicherheitspatches von Upstream auf uralt Versionen in der Distribution zurück zu portieren. Soll natürlich nicht heißen, dass Debian das POLA Prinzip aufgeben soll, was die Nutzer sicherlich sehr an Debian zu schätzen wissen. Für jährlichen Wechsel des Init Systems, um der letzten Modeströmung zu folgen, dürfte sich die Mehrzahl der Debian Nutzer wohl eher weniger begeistern.
Richtig. Das ist ja nicht nur bei Firefox und co. so, sondern es war ja schon lange Zeit spürbar, dass das Patchen nach Versionierung nicht funktioniert.
Vor allen Dingen hätten die Debian-Mozilla-Maintainer im Prinzip Iceweasel 3.5.16 und 10.0.12 noch ein Jahr lang nebeneinander weiter patchen müssen.
Genau das hat den Backportierungs-Irrsinn im Hinblick auf Firefox/Iceweasel beendet. Eine Software, die alle sechs Wochen aktualisiert und gleichzeitig abgekündigt wird und dabei so hochkomplex wie ein moderner Webbrowser ist, eignet sich dafür nicht.
Jetzt benutzt man über mozilla.debian.net und die Backports Iceweasel 17 ESR als auch Iceweasel 22 sowohl in Debian Squeeze als auch in Debian Wheezy, d.h. beide Debian-Distributionen können mit den genau gleichen aktuellen Iceweaselversionen versorgt werden.
Was hierbei weniger zeit- und arbeitsaufwendig ist, liegt glasklar auf der Hand.
Die Ubuntuexistenz fordert halt Ihren Tribut. Man kann die fehlenden Debian-Maintainer und die Debian-Nutzer ja schlecht klonen.
Momentan scheint die Versorgung von Squeeze im Hinblick auf die Basispakete weitgehend zu funktionieren.
Iceweasel in Squeeze und die anderen Nicht-Iceweasel-Mozilla-Produkte sind allerdings zur Zeit sowohl in Oldstable als auch in Stable aus Sicherheitsgründen unbenutzbar.
Wenigstens Iceweasel in Wheezy wurde nun auf die Version 17.0.7 aktualisiert. Für Icedove scheint zwar nun auch ein Update auf die ESR17-Version vorzuliegen, nur erhält man momentan noch eine "Nicht-Authentifiziert"-Meldung beim Update-Versuch.
Das, was ich jetzt sage, weißt Du ja selbst schon: Es gab in Debian immer einmal Pakete, die sicherheitstechnisch nicht auf dem aktuellen Stand waren. Mozilla-Produkte waren hier schon immer ganz vorne mit dabei. Weitere "Ausfälle" im Sinne von EOL-Abkündigungen für Squeeze muss man dann eben den Debian-Sicherheitsinformatioen auf debian.org entnehmen.
Debian ist sicherlich so keine ideale Distro für die bisherige Ubuntu-Hauptzielgruppe.
Die Mozilla-Produkte sind nur noch deshalb so prominent in Debian mit dabei, weil man weiß, dass viele Nutzer diese verwenden. Besser wäre es unter Umständen für Debian, einfach die Mozilla.org-Binaries zu übernehmen, d.h. umzupaketieren und nach non-free zu verschieben. Dann benötigt man halt eine anderen offiziellen Standardbrowser, ich schlage da W3m vor.
Nicht wirklich. W3m zeigt - gestartet unter X - im Gegensatz zu Lynx wenigstens Bilder an.
Außerdem haben wir ja oben noch gar nicht über den Sicherheitsstatus von Ubuntu Universe und Multiverse diskutiert. Niemand wird wohl behaupten wollen, dass diese Repos in Ubuntu 12.04 komplett auf dem allerneuesten, aktuellsten Sicherheitsstand sind.
Das klingt für mich nicht nur nach einfachen Abstürzen.
ich bin sehr gespannt auf was da wirklich dabei ist. Aus persönlichem Interesse war ich schon die Liste durchgegangen und hatte fünf Meldungen für kde-workspace gesehen. Sofern nicht alle fünf in KDM sind, kann ich mir nicht vorstellen wo genau da eine Gefahr bestehen soll.
Ein Beispiel von dem ich gelesen hatte, war ein Kommandozeilentool von Fluxbox, das man manuell ausführen muss. Es wird mit dem exploit zum Absturz gebracht, aber eine Gefahr entsteht daraus halt nicht. Da das ganze ja sehr automatisiert erstellt wurde und ich nicht glaube, dass ein Mensch für ein Paper 1200 Exploits manuell ausführt, wäre ich nicht überrascht, wenn die Zahl der echten Sicherheitsprobleme sehr gering ist. Schade, dass so etwas im Peer Review Prozess nicht aufgefallen ist
Ja, in der Realität wird wohl nicht jeder der Bugs zu einem Problem führen. Das meiste werden ja keine SUID Binaries sein, und remote werden sich die meisten Bugs wohl auch nicht triggern lassen. Andererseits muss man natürlich im Hinterkopf behalten, dass es auch immer wieder Privilege Escalation Bugs an anderer Stelle gibt, die in entsprechender Kombination dann doch Probleme machen. Daher sollte man die Meldungen nicht auf die leichte Schulter nehmen. Ich bin jedenfalls auch mal gespannt, was da die nächsten Tage/Wochen noch an Details rauskommt.
Na das ist doch bei 37000 Paketen die Debian umfasst ein ganz anständiger Wert. Wer jetzt anfängt deswegen ein Faß aufzumachen hat bisher wohl seine Texte in Schiefertäfelchen geritzt.
So könnten die Autoren der Tests ihre Resultate unter anderem dem Firehose-Projekt melden, das nicht nur von Fedora, sondern auch von Debian genutzt wird.
RICHTIG sinnvoll wäre es hingegen, wenn die Fehler direkt bei den jeweiligen Programmentwicklern gemeldet werden würden, wenn die Fehler tatsächlich auf Bugs im Upstream-Code zurückzuführen sind.
Wenn die Fehler allerdings hausgemacht sind, ist es natürlich was anderes, da sind die Debian-Leute aber letztendlich selbst schuld, was patchen die auch wild an Programmen rum?
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 02. Jul 2013 um 17:53.
Prinzipiell stimme ich dir zu, dass es besser ist das upstream zu melden. Aber das würde wohl nicht skalieren, wobei ich das Auslagern auf Debian jetzt auch nicht als Lösung ansehe.
Für das Melden bei Upstream ist (je nach upstream) das Alter von Debian durchaus ein Problem. Es ist durchaus denkbar, dass einige der Probleme Code betrifft, der so bei Upstream nicht mehr relevant ist, und die Version in Debian bereits EOL ist.
Das Alter dürfte kein Problem sein, da in der Liste nur Bugs sind, die in Stable && Unstable aufgefallen sind. Daher dürften die meisten Bugs wohl auch im Upstream zu finden sein, was somit auch alle anderen Distributionen betrifft.
Also jetzt für den Fall der Anwendung, die ich betreue: stable und unstable haben die gleiche Version und wir interessieren uns nicht mehr wirklich für diese Version und ich halte es für eher unwahrscheinlich, dass ein Crashreport noch hilfreich wäre.
Ist 1200 Abstürze in Debian ein guter oder schlechter Wert? Schade dass es keinen Vergleich gibt. Ubuntu, Fedora und OpenSuse wären schon auch interessant.
Das sieht in anderen Distributionen nicht anders aus. Größtenteils nehmen Distributionen ja nur den Code der Upstream Produkte und der ist in allen Distros der gleiche. Der einzige Unterschied ist, dass Debian mehr Pakete hat als die meisten anderen Distributionen.
Insgesammt ist wheezy ziemlich verbugt.
Überlege ernsthaft auf squeeze umzusteigen.
lxc,vsftpd...
Dir ist hoffentlich schon aufgefallen, dass es das Debian-Team kaum noch schafft, Oldstable komplett mit Sicherheitsupdates zu versorgen, da durch den Wheezy-Release der Arbeitsaufwand für die Maintainer merklich angestiegen ist. So mussten bereits die Squeeze-Iceweasel, -Iceape, -Icedove und -Chromium-Versionen für EOL erklärt werden. IMO ist es besser, Du arbeitest bei der Beseitigung dieser Dir begegneten Wheezy-Bugs mit, z.B. indem Du diese meldest.
Wenn die Debian-Maintainer es kaum noch schaffen Sicherheitsupdates zu veröffentlichen, wie sollen dann zusätzliche Bugreports daran etwas ändern?
Fakt ist einfach, dass Debian langsam seine selbstgesteckten Ziele auf Grund der vielen unterstützten Plattformen nicht mehr erfüllen kann. Gerade die Iceweasel-Geschichte ist an Peinlichkeit nicht mehr zu überbieten.
Korrektur: Einzig die Iceweasel-Geschichte ist an Peinlichkeit nicht mehr zu überbieten.
Und ansonsten: everybody darling sometimes bites the hand that feeds, gelle?
IMHO ist es auch eine nicht mehr so ganz zeitgemäße Strategie uralt Softwareversionen auf biegen und brechen langjährig halten zu wollen, während ständig Bugfixes und Sicherheitspaches in aktuellere Softwareversionen einfließen. Beispielsweise bei Browsern wird die Entwicklung dermaßen rasant vorangetrieben, das muss doch die Maintainer schier in den Wahnsinn treiben, Bugfixes und Sicherheitspatches von Upstream auf uralt Versionen in der Distribution zurück zu portieren. Soll natürlich nicht heißen, dass Debian das POLA Prinzip aufgeben soll, was die Nutzer sicherlich sehr an Debian zu schätzen wissen. Für jährlichen Wechsel des Init Systems, um der letzten Modeströmung zu folgen, dürfte sich die Mehrzahl der Debian Nutzer wohl eher weniger begeistern.
Richtig. Das ist ja nicht nur bei Firefox und co. so, sondern es war ja schon lange Zeit spürbar, dass das Patchen nach Versionierung nicht funktioniert.
Vor allen Dingen hätten die Debian-Mozilla-Maintainer im Prinzip Iceweasel 3.5.16 und 10.0.12 noch ein Jahr lang nebeneinander weiter patchen müssen.
Genau das hat den Backportierungs-Irrsinn im Hinblick auf Firefox/Iceweasel beendet. Eine Software, die alle sechs Wochen aktualisiert und gleichzeitig abgekündigt wird und dabei so hochkomplex wie ein moderner Webbrowser ist, eignet sich dafür nicht.
Jetzt benutzt man über mozilla.debian.net und die Backports Iceweasel 17 ESR als auch Iceweasel 22 sowohl in Debian Squeeze als auch in Debian Wheezy, d.h. beide Debian-Distributionen können mit den genau gleichen aktuellen Iceweaselversionen versorgt werden.
Was hierbei weniger zeit- und arbeitsaufwendig ist, liegt glasklar auf der Hand.
Die Ubuntuexistenz fordert halt Ihren Tribut.
Man kann die fehlenden Debian-Maintainer und die Debian-Nutzer ja schlecht klonen.
Momentan scheint die Versorgung von Squeeze im Hinblick auf die Basispakete weitgehend zu funktionieren.
Iceweasel in Squeeze und die anderen Nicht-Iceweasel-Mozilla-Produkte sind allerdings zur Zeit sowohl in Oldstable als auch in Stable aus Sicherheitsgründen unbenutzbar.
Wenigstens Iceweasel in Wheezy wurde nun auf die Version 17.0.7 aktualisiert. Für Icedove scheint zwar nun auch ein Update auf die ESR17-Version vorzuliegen, nur erhält man momentan noch eine "Nicht-Authentifiziert"-Meldung beim Update-Versuch.
Das, was ich jetzt sage, weißt Du ja selbst schon:
Es gab in Debian immer einmal Pakete, die sicherheitstechnisch nicht auf dem aktuellen Stand waren. Mozilla-Produkte waren hier schon immer ganz vorne mit dabei. Weitere "Ausfälle" im Sinne von EOL-Abkündigungen für Squeeze muss man dann eben den Debian-Sicherheitsinformatioen auf debian.org entnehmen.
Debian ist sicherlich so keine ideale Distro für die bisherige Ubuntu-Hauptzielgruppe.
Die Mozilla-Produkte sind nur noch deshalb so prominent in Debian mit dabei, weil man weiß, dass viele Nutzer diese verwenden. Besser wäre es unter Umständen für Debian, einfach die Mozilla.org-Binaries zu übernehmen, d.h. umzupaketieren und nach non-free zu verschieben. Dann benötigt man halt eine anderen offiziellen Standardbrowser, ich schlage da W3m vor.
Noch besser wäre LYNX ....
Nicht wirklich. W3m zeigt - gestartet unter X - im Gegensatz zu Lynx wenigstens Bilder an.
Außerdem haben wir ja oben noch gar nicht über den Sicherheitsstatus von Ubuntu Universe und Multiverse diskutiert. Niemand wird wohl behaupten wollen, dass diese Repos in Ubuntu 12.04 komplett auf dem allerneuesten, aktuellsten Sicherheitsstand sind.
Also ... der zweite Satz aus dem Abstract des Papers sagt:
Das klingt für mich nicht nur nach einfachen Abstürzen.Das sagt erst einmal nicht viel, da die Fehler wohl leider nicht für jedermann zugänglich veröffentlicht wurden.
Es gibt aber nicht ohne Grund Schriftsätze, die sich damit beschäftigen, wie man Linuxsysteme, also auch Debian, "härtet".
Ein Beispiel von dem ich gelesen hatte, war ein Kommandozeilentool von Fluxbox, das man manuell ausführen muss. Es wird mit dem exploit zum Absturz gebracht, aber eine Gefahr entsteht daraus halt nicht. Da das ganze ja sehr automatisiert erstellt wurde und ich nicht glaube, dass ein Mensch für ein Paper 1200 Exploits manuell ausführt, wäre ich nicht überrascht, wenn die Zahl der echten Sicherheitsprobleme sehr gering ist. Schade, dass so etwas im Peer Review Prozess nicht aufgefallen ist
Ja, in der Realität wird wohl nicht jeder der Bugs zu einem Problem führen. Das meiste werden ja keine SUID Binaries sein, und remote werden sich die meisten Bugs wohl auch nicht triggern lassen.
Andererseits muss man natürlich im Hinterkopf behalten, dass es auch immer wieder Privilege Escalation Bugs an anderer Stelle gibt, die in entsprechender Kombination dann doch Probleme machen. Daher sollte man die Meldungen nicht auf die leichte Schulter nehmen.
Ich bin jedenfalls auch mal gespannt, was da die nächsten Tage/Wochen noch an Details rauskommt.
Na das ist doch bei 37000 Paketen die Debian umfasst ein ganz anständiger Wert. Wer jetzt anfängt deswegen ein Faß aufzumachen hat bisher wohl seine Texte in Schiefertäfelchen geritzt.
Ich habe auch das Gefühl, dass die "Fass-Öffner" glauben, alle anderen Systeme haben keine - oder wenigstens weniger - Bugs.
Wenn man keine Ahnung hat ... Na ja, wir kennen das ja zur Genüge in den Foren.
RICHTIG sinnvoll wäre es hingegen, wenn die Fehler direkt bei den jeweiligen Programmentwicklern gemeldet werden würden, wenn die Fehler tatsächlich auf Bugs im Upstream-Code zurückzuführen sind.
Wenn die Fehler allerdings hausgemacht sind, ist es natürlich was anderes, da sind die Debian-Leute aber letztendlich selbst schuld, was patchen die auch wild an Programmen rum?
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 02. Jul 2013 um 17:53.Prinzipiell stimme ich dir zu, dass es besser ist das upstream zu melden. Aber das würde wohl nicht skalieren, wobei ich das Auslagern auf Debian jetzt auch nicht als Lösung ansehe.
Für das Melden bei Upstream ist (je nach upstream) das Alter von Debian durchaus ein Problem. Es ist durchaus denkbar, dass einige der Probleme Code betrifft, der so bei Upstream nicht mehr relevant ist, und die Version in Debian bereits EOL ist.
Das Alter dürfte kein Problem sein, da in der Liste nur Bugs sind, die in Stable && Unstable aufgefallen sind. Daher dürften die meisten Bugs wohl auch im Upstream zu finden sein, was somit auch alle anderen Distributionen betrifft.
Also jetzt für den Fall der Anwendung, die ich betreue: stable und unstable haben die gleiche Version und wir interessieren uns nicht mehr wirklich für diese Version und ich halte es für eher unwahrscheinlich, dass ein Crashreport noch hilfreich wäre.
Ist 1200 Abstürze in Debian ein guter oder schlechter Wert? Schade dass es keinen Vergleich gibt. Ubuntu, Fedora und OpenSuse wären schon auch interessant.
Das sieht in anderen Distributionen nicht anders aus. Größtenteils nehmen Distributionen ja nur den Code der Upstream Produkte und der ist in allen Distros der gleiche. Der einzige Unterschied ist, dass Debian mehr Pakete hat als die meisten anderen Distributionen.