Debian Swirl

Browser bei Debian in schlechtem Zustand

Vor einigen Tagen erschien auf Phoronix ein Artikel mit dem Titel The Sad State Of Web Browser Support Currently Within Debian. Darin geht es um den traurigen Zustand der für Debian paketierten Browser Chromium, Firefox ESR, und Falkon, die in den ausgelieferten Versionen allesamt Sicherheitslücken aufweisen.

Über Chromium in Debian lohnt es nicht, zu reden. Er steht bei Version 90.0.4430.212-1 und selbst das Debian Wiki rät von der Verwendung ab. Seit Kurzem ist auch Firefox ESR, der Standard-Browser bei Debian, auf die seit dem 2. November nicht mehr unterstützte Version 78.15.0 ESR festgenagelt, die bereits einige ungepatchte Sicherheitslücken enthält.

Das Problem entsteht durch die mit Debian 11 »Bullseye« bei dessen Veröffentlichung am 9. Oktober ausgelieferte Grafikbibliothek Mesa 20.3.5, die bereits vom März 2021 stammt. Der aktuelle Firefox ESR 91.3 verwendet anstatt OpenGL GLX nun EGL, was aber mindestens Mesa 21.x voraussetzt. Das Problem betrifft in gleicher Weise auch Thunderbird.

Debian muss sich bewegen

Diese Situation zeigt die Grenzen auf, denen das stabile und universelle Debian heutzutage mit den immer kürzeren Veröffentlichungszyklen und zunehmenden Sicherheitslücken besonders bei Web-Applikationen unterliegt. Man erkauft Stabilität mit abgehangenen Versionen der ausgelieferten Software und untergräbt damit gleichzeitig die Sicherheit. Debian muss diesen Widerspruch lösen, um mit seiner stabilen Ausgabe weiterhin für den Desktop relevant zu bleiben. Daraus allerdings ein Drama zu machen wie auf curius.de halte ich persönlich für übertrieben.

Debian hat in dieser Situation zwei Optionen: entweder man aktualisiert mit dem nächsten Point-Release den Grafik-Stack oder zwingt die Debian-Version von Firefox zur Nutzung älterer Abhängigkeiten. Beide Lösungen sind machbar, aber keineswegs ideal. Die Entwickler arbeiten an dem Problem und denken hoffentlich auch über eine generelle Lösung nach, diese Art Probleme nicht nur beim Browser künftig zu verhindern. Was sich Debian aktuell vorwerfen lassen muss, ist, dass es die Anwender nicht über den Stand der Entwicklung in dieser kritischen Situation informiert.

Firefox raus?

Vielleicht wäre es für Debian Stable die beste Lösung, Anwendungen mit einem so schnellen Release-Zyklus wie Browser aus der Distribution zu entfernen und deren Beschaffung dem Nutzer zu überlassen. Dann kann sich jeder, anstatt auf Debian zu schimpfen, vorübergehend oder auch längerfristig selbst behelfen und Firefox ESR oder Firefox in aktueller Version von Mozilla herunterladen und nach /opt/firefox entpacken.

Alternative Paketsysteme und externe Repos

Eine weitere Möglichkeit wäre, ein Flatpak zu nutzen, was dann aber die Verwendung von Erweiterungen ausschließt. die Native Messaging verwenden. Auch Debian Backports können eine Lösung sein, hilft allerdings nicht den Anwendern, die out of the box und ohne ihr Zutun einen sicheren Browser erwarten.

Ubuntu löst die Probleme über ein Snap-Paket, das in Zusammenhang mit Mozilla erstellt wird, was aber für einen echten Debianista eher nicht infrage kommt. Sparky Linux, ein auf Debian Stable basierendes Derivat, hat eine eigene Lösung entwickelt. Ein für alle Debian-basierten Distributionen gangbarer Weg ist die Nutzung von Ubuntuzilla, einem Repository, das bereits seit einigen Jahren originale Mozilla-Versionen von Firefox, Firefox ESR, Thunderbird und SeaMonkey per APT installierbar und aktualisierbar verpackt.

Dazu muss der Nutzer allerdings bereit sein, dieses externe Repository einzubinden. Es ist gute Praxis, die Checksummen der dort ausgelieferten DEBs mit denen von Mozillas tar.bz2 vergleichen. Ich kann versichern, bei meinem kürzlichen Check mit Firefox waren sie identisch. Vor der Nutzung dieser Lösung muss eine per APT installierte Debian-Version von Firefox entfernt werden.

Glaziale Entwicklung

Debian bewegt sich wie ein Gletscher – langsam, aber unaufhaltsam – und wird meiner Meinung nach auch in Zukunft Lösungen für die Probleme finden, ohne sich dabei selbst aufzugeben. Eines dieser Probleme sind die beim Release einer neuen Debian-Version oft bereits hoffnungslos veralteten Pakete.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
67 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments