Das Debian-Projekt hat die Veröffentlichung der zweiten Aktualisierung Stable-Veröffentlichung Debian 11 »Bullseye« bekannt gegeben. Die erste Aktualisierung fand am 9. Oktober statt.
Log4j-Problem gepatched
Die Aktualisierung behebt, wie bei solchen Point-Releases üblich, hauptsächlich aufgelaufene Sicherheitsprobleme seit dem letzten Update, zusammen mit ein paar Anpassungen für schwerwiegende Probleme in Anwendungen. Diese Anpassungen werden in den Point-Releases nur dann vorgenommen, wenn keine Regressionen zu befürchten sind. Insgesamt wurden 64 Fehler bereinigt und 30 Sicherheitsprobleme behoben. Unter den Sicherheitsupdates ist auch ein Fix für das Log4j-Problem.
Kernel 5.10.83-rt58
Weitere Sicherheitsaktualisierungen betrafen unter anderem Firefox-ESR, WordPress, Apache2, Flatpak, LibreOffice, FFmpeg und Samba. Der Kernel wurde auf Linux 5.10.83-rt58 angehoben. Der Installer wurde neu gebaut, damit er die Sicherheitskorrekturen enthält, die durch diese Zwischenveröffentlichung in Stable eingeflossen sind.
Frische Images
Die Einzelheiten können der Ankündigung der Veröffentlichung entnommen werden. Für die Sicherheitsprobleme sind bereits separate Sicherheitsankündigungen veröffentlicht worden; auf diese wird, wo möglich, verwiesen. Bestandsanwender erhalten die Updates wie üblich über das Debian-Paketmanagement. Für Neuinstallationen stehen frische Images als Live-Images und als Installer für die unterstützten Architekturen x86_64 amd64, i386, PowerPC 64-Bit Little Endian (ppc64el), IBM System z (s390x), MIPS 64-Bit Little Endian (mips64el), MIPS 32-Bit Little Endian (mipsel), MIPS, Armel, ARMhf und AArch64 (arm64) bereit.
Was leider immer noch fehlt, ist ein Fix für die vier X.Org-Lücken, die Mitte der Woche bekannt wurden. Lediglich Debian Testing und Unstable sind hier mittlerweile geschützt.
Solche Dinge wie einen Browser nicht Zeitnah zu aktualisieren/updaten ist natürlich nicht schön. Wurde aber erkannt und bereinigt. Debian, das Urgestein in Sachen Linux, seit 1993. Debian, Immer noch ein Garant für ein sicheres, stabiles und sehr zuverlässiges Betriebssystem. Für mich aber nur in der Stable Ausgabe. Das sehen aber einige wieder ganz anders und setzen auf Testing und SID. Ist auch kein Problem, solange jeder sein Linux findet und damit zurecht kommt. Auch die Frage des Desktop`s ist wohl eher eine Persönliche Geschmacksfrage.
Nicht vergessen sollte man aber auch das es ohne Debian wohl kein: Ubuntu, inklusive die ganzen Buntus, Linux Mint, MX Linux und andere gäbe. Debian bleibt sicherlich in der Gunst der Linux Anwender eine großartige Distribution.
Und ja, auch einem Anfänger/Laien kann man es durchaus schmackhaft machen, sollte aber bedenken das solche Leute ein gewisses Maß an Unterstützung brauchen wenn sie neu in der Linux-Welt sind.
Traut euch… Linux ist toll, allen voran Debian!
Der Fix für Firefox-ESR fehlt auch noch.
https://packages.debian.org/bullseye/firefox-esr
https://tracker.debian.org/pkg/firefox-esr
Sollte aber bald kommen, denn am Unterbau wurde schon gearbeitet:
https://packages.debian.org/source/bullseye/rustc-mozilla
Es stellt sich nur noch die Frage, warum das so lange dauert.
Das mit Firefox-ESR nehme ich zurück. Der security Zweig, der die 9x Version anzeigt, wurde nicht bei der Paketsuche angezeigt und im Tracker hätte ich genauer nachgucken sollen.
Seit also irgendwann heute gibt’s auch die 9x Version von FF.
Ja, im point release wurde nur ein uralt-fix für FF mitgeliefert; den gab es im Oktober schon über deb-security. Heute Nachmittag kam dann über deb-security endlich FF 91 …
Wieder und wieder …weil sie das freiwillig machen!
Sind den die proprietären Pendants so viel besser? Nein, sogar mitunter schlechter! Ich mag nicht anfangen auf zu zählen. Also bitte!
Darum geht es nicht.
Sondern darum, dass der Browser ein paar Wochen unsicher war.
Ich weiß auch nicht, wie Debian das in Zukunft lösen will, aber die paar Wochen sind einfach zu lang. Da sollte also eine Lösung gefunden werden. Vielleicht die Prioritäten anders setzen, das Maintainerteam bei den Paketen, von denen FF abhängig ist vielleicht aufstocken und woanders abziehen?
Oder vielleicht auch einfach mal den Weg zum Debian Maintainer vereinfachen und die technischen Hilfsmittel auf einen modernen Stand bringen?
Debian hat bspw. bis heute kein Bugreportsystem, bei dem man einen Bug über ein Webinterface melden könnte. Man muss immer noch eine E-Mail per reportbug oder Mailprogramm schicken und die ist dann überall öffentlich einsehbar.
Und was mir auch noch auffällt, ist, dass die Doku überfrachtet ist.
Da wird dann zwar alles bis ins kleinste Detail erklärt, aber wenn es mal schnell gehen soll, dann ist das nicht hilfreich, wenn man sich erst durch dutzende Seiten Text lesen muss.
Mehr intuitive Bedienung wäre somit auch hilfreich.
Nur mal ein Beispiel:
https://www.debian.org/Bugs/Reporting
Siehe der Abschnitt “Inhalt des Berichts”
Wenn man schon ein Tool wie reportbug nutzen muss, dann wäre es doch hier sinnvoll, wenn es in diesem ein Wizardmenü gäbe, das einem führt und dann die entsprechenden Fragen einfach stellt.
Und wer das nicht will, der kriegt nen Überpringen Button und landet in einer Editansicht wo alles auf einmal aufgelistet ist und wo er das ganze nur noch eintragen muss.
Dann könnte man die Doku in obigem Link schonmal deutlich entschlacken.
Ebenso könnte man reportbug auch mal als grafische GUI zur Verfügung stellen usw..
Da gibt’s also genug Baustellen.
All das würde den Weg zum Debian Maintainer werden vereinfachen und dann hat man auch mehr Leute, die da mitmachen.
Bis vor 3 Jahren gab es noch reportbug-ng, was die Sache etwas vereinfachte.
Danke für den Hinweis. Das wusste ich nicht. Schade dass es nicht mehr weitergepflegt wird und nicht mehr in Debian enthalten ist.
Hattest du mal “repportbug” oder “reportbug-gtk”, mit “python-reportbug” versucht. Python-Reportbug soll ja anscheinend, wie ich gelesen habe, “Python-DebianBTS” entsprechen. Und Reportbug soll sich ja im Vergleich zu früher verbessert haben und das soll auch ein Grund dafür gewesen ein, dass reportbug-ng eingestellt wurde, jedenfalls laut dem Entwickler.
https://venthur.de/2018-12-28-orphaning-rng.html
Alles richtig was du sagst, aber am Ende bleibt das ein Projekt von Freiwilligen.
Natürlich haben die strukturelle Probleme usw. und andere Projekte machen das teils besser, aber Debian ist ein riesiges Projekt. Vielleicht ist auch das eines der Probleme.
@Christopher
Ich mag und schätze Debian auch sehr, aber bei der Sicherheit bin ich halt etwas empfindlich. Aber klar, 100% gibts es nie.
Vielleicht bürdet sich Debian einfach zuviel auf? Ich habe manchmal das Gefühl, sie wollen es irgendwie allen Recht machen. 7 oder 8 Desktops, 32bit Unterstützung, unzählige Pakete….. Sowas kostet ja auch viel Resourcen.
Vielleicht wäre da weniger doch mehr?
Da bin ich absolut bei dir.
Bevor man die 32 Bit Unterstützung bei i386 opfert würde man wohl eher eine Nischenarchitektur opfern.
Zumindest dürfte der Nutzeranteil an 32 Bit x86 Maschinen deutlich größer sein, als der einer alten anderen Architektur.
Anderseits dürfte der Aufwand um andere Architekturen zu unterstützen, nicht all zu groß sein, sofern die Compiler mitmachen. Denn der größte Teil des Quellcodes liegt ja ohnehin in Hochsprachen vor und solange die architekturspezfischen Compilerbestandteile das übersetzen können, dürfte es da keine nennenswerten Hürden geben, die zu einem Mehraufwand führen würden.
Außerdem führt die Unterstützung für mehr Architekturen in der Regel auch zu besseren Code, da dann auch Programmfehler auftauchen, die in anderen Architekturen gar nicht sofort zu einem Fehler führen müssen.
@kermet
Danke für Deine Erläuterungen! Da bin ich zu wenig Experte dafür.
Aber wenn das so ist, dann ist das ja auch OK.
Ich glaube, bin auch kein Experte, es geht vielmehr um die vielen unterschiedlichen Dinge die das Projekt bedienen möchte. Dafür aber nicht die Ressourcen hat und die wenigen vermutlich nicht effizient genug einsetzt. Dazu kommen vermutlich veraltete und verkrustete, starre Strukturen dazu. On top immer wieder Streitigkeiten und vermutlich oftmals unnötige Diskussionen.
Sind alles nur Vermutungen und keiner von uns ist wahrscheinlich so dicht dran, als das irgendwer nur annähernd in der Lage wäre, sich ein Urteil zu erlauben. Deswegen deklarieren ich meine Aussagen ausschließlich als reine Vermutungen ohne belastbar sein zu wollen und können. Wer meint es besser zu wissen, der möge uns/mich gerne aufklären.
Und schon ist der Firefox-esr da…….
So sieht’s aus!
https://security-tracker.debian.org/tracker/source-package/firefox-esr
Was ist los bei den Machern von Debian? Einiges an Problemen, die nach der Veröffentlichung von Bullseye auftreten. Erinnert mich irgendwie stark an die Softwareschmiede aus Redmond…. Erst mal rauskloppen und dann schauen wir weiter. Nach meiner Meinung kein guter Grund (im Moment jedenfalls) Debian zu empfehlen. Einem Neu/Umsteiger schon gar nicht. Da würde ich auf jeden Fall eine andere Linux Distribution den Vorrang geben. Ich habe auf meinem Notebook Debian erst mal auf EIS gelegt und was anderes installiert. Vielleicht schafft es Debian ja noch sich zu besinnen und eine einwandfreie, stabile Version zu kreieren und auszuliefern….
Welche Distro nutzt du denn? Welche Fehler hat den Debian die deiner Meinung nach für eine Nicht Emfehlung sprechen? Und bevor ich eine Empfehlung für eine Distro ausspreche steht für mich erstmal die Frage, was willst du? Ich bin dann auch wieder bei Windows oder MacOS gelandet.
Also ich pfichte da J.P.B. schon bei, obwohl ich Debian an sich sehr schätze.
Die Probleme in Firefox sind ja nun schon einige Wochen bekannt. Und nach wie vor ist die FF Version 78.15 mit bei Debian gelisteten 17 Bugs an Bord. Nur das Paket, das zum Komplieren der neueren Versionen benötigt wird, ist jetzt dabei.
Und auch das X-Org Problem ist sein Oktober bekannt und seit dem 14.12. öffentlich.
Bugs gibt es sicher immer wieder, aber wenn bekannte Lücken so lange nicht gefixt werden, kann man zumindsest mal ins Grübeln kommen.
Du solltest besser lesen lernen. Diese 17 Sicherheitslücken die Du meinst, betreffen ausschließlich “Stretch”, was ohnehin nicht länger unterstützt wird, und “Buster” alias Oldstable welches aktuell nicht die höchste Priorität besitzt, und eventuell aktualisiert wird sofern noch Support besteht. Daher existieren diesbezüglich keine Sicherheitslücken im aktuellen Debian alias Bullseye. Der neue Firefox ESR 91.4 ist auch seit Tagen in “Testing/Unstable” präsent, und ist seit kurzem auch als Update für “Stable” verfügbar, wenn auch zurzeit noch in einem Embargo.
Also Gestern war die ESR Version 91.x noch nicht in Bullseye. Und das Problem bestand dort jetzt schon seit Anfang Oktober
Es hat also durchaus lange gedauert, da hat der Vorposter schon recht.
Zu dem Zeitpunkt, als ich das geschrieben habe, war der FF-esr 91.4 eben noch nicht verfügbar!
Also lesen kann ich schon noch!
Frei nach Friedrich von Schiller: Finster ist der Rede Sinn
Ich sehe das nicht so und vor allem kein Grund dem Projekt so in den Rücken zu fallen.
Bis ich Debian auf unseren Rechnern auf Eis lege, da muss schon mehr passieren.
Ich nutze erfolgreich Wayland und Vivaldi. Damit bin ich vielleicht nicht ganz so betroffen.