Hallo,

in letzter Zeit häufen sich die Diskussion und Meldungen über ausstehende Sicherheits-Updates von Distributionen, speziell betreffen mich Debian und SUSE. SUSE nutze ich als Desktop-System.
Deswegen bin ich daran interessiert gerade den Webbrowser (Firefox) und den Mailclient (Thunderbird) immer auf dem aktuellsten Stand zu halten. SUSE braucht aber IMHO immer eine gewissen Zeit bis sie ihre Pakete im YOU zur Verfügung stellen. Thunderbird ist bei der SUSE 9.3 z.B. immer noch bei Version 1.0!? Obwohl schon Version 1.0.6 aktuell ist und schon wieder eine nicht ungefährliche Lücke erkannt wurde:
http://www.heise.de/newsticker/meldung/64185

Bei Firefox siehts ähnlich aus:
http://www.heise.de/newsticker/meldung/64209

So jetzt die Frage: Was empfiehlt ihr? Soll man sich in Ruhe auf die automatischen Updates verlassen und nichts (RPMs) "von Hand" einspielen oder soll man sich die Pakete entsprechend selber installieren, wenn mal wieder tagelang was aussteht? Bei den selbst installierten Pakete habe ich bei SUSE immer ein ungutes Gefühl, oder geht das problemlos bzw. wer weiß Quellen wo die genannten aktuellen SUSE-RPMs zur Verfügung gestellt werden?
Natürlich sollte man darauf achten, dass die Pakete aus seriösen Quellen stammen.

Meine Empfehlung: Ein SuSE-System über apt4rpm auf dem neuesten Stand halten. Die Suchfunktion fördert Interessierten Näheres zutage.

Gruß Oli.

ich frage mich (gerade angesichts der sicherheitslücken in fifo und thunderbird) was für ein sinn dann das you macht, wenn sicherheitsupdates die wirklich relevant für mich als desktop user sind, nicht darüber eingespielt werden können?

:confused:

Obacht: Distributoren portieren meist die Fixes zurück in die Version, die bei der Distribution dabei ist und stellen keine neuen Versionen zur Verfügung. Soll heißen:

thunderbird-1.0-SuSE-123.i586 (oder so) entspricht sicherheitstechnisch dem "normalen" thunderbird 1.0.6.

Handhabt Debian genauso - normalerweise wird die einmal gewählte Programmversion nie gewechselt sondern Fixes werden zurückportiert.

Gibts schon einen längeren Topic zu, das Fazit: Für Desktopuser nicht so toll wegen der teilweise mangelnden Aktualität --> bei Bedarf kann man ja Ubuntu oder ähnliches nutzen. Für Serveradmins angenehm weil weniger Inkompatibilitäten auftreten. Neuere Versionen können natürlich aber trotzdem aus den Sourcen kompiliert werden.

mfg
cane

Handhabt Debian genauso - normalerweise wird die einmal gewählte Programmversion nie gewechselt sondern Fixes werden zurückportiert.

Letzens gabs aber - iirc - mal eine Ausnahme bei Debian, beim Paket mozilla-firefox. Bugfixes konnten nicht auf die Version 1.0.4 zurückportiert werden, und so wurde mozilla-firefox auf 1.0.6 upgraded (Name des Pakets aber auf 1.0.4sarge3 zurückgehalten).
http://packages.debian.org/changelogs/pool/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3/changelog#versionversion1.0.4-2sarge3
http://www.debian.org/security/2005/dsa-779


We experienced that the update for Mozilla Firefox from DSA 779-1 unfortunately was a regression in several cases. Since the usual praxis of backporting apparently does not work, this update is basically version 1.0.6 with the version number rolled back, and hence still named 1.0.4-*.

Obacht: Distributoren portieren meist die Fixes zurück in die Version, die bei der Distribution dabei ist und stellen keine neuen Versionen zur Verfügung.

Ja, OK, ist mir bekannt. Aber:



thunderbird-1.0-SuSE-123.i586 (oder so) entspricht sicherheitstechnisch dem "normalen" thunderbird 1.0.6.

Bist du dir sicher? Bin gerade auf
http://www.novell.com/linux/download/updates/93_i386.html gegangen und habe nach "Thunderbird" gesucht. Nichts! Für Mozilla-Mail (ist IMHO nicht das Gleiche) ist das letzte Update vermerkt vom 11.8.05.

Hmm, auf dem FTP von suse.com ist Thunderbird 1.06 für alle 9er Versionen als .rpm verfügbar: ftp://ftp.suse.com/pub/projects/mozilla/thunderbird/1.0.6/

Ältere Versionen werden dort gar nicht mehr gelistet...

Wie genau SuSE die Updates handhabt und was wo drin ist kann ich nicht sagen - wenn du dir über You die Thunderbird-Sourcen runterlädst liegt bestimmt ein Changelog dabei in dem Du nachvollziehen kannst welche Patches drin sind.

Habe zwar schon lange kein SuSE mehr genutzt - würde mich aber dennoch freuen wenn mich mal jemand im Detail aufklärt was SuSE wann wo wie patcht und dann wo veröffentlicht. Blicke da nicht ganz durch.

Warum ist der 1.06 über den suse.com FTP-Server zu beziehen aber nicht über YOU?

Warum ist der 1.06 über den suse.com FTP-Server zu beziehen aber nicht über YOU?

Gute Frage, das würde ich auch gerne wissen.
Hab mal kurz gegoogelt und bin auf das u.a. gestossen:

http://wiki.unixboard.de/index.php/APT/SuSE/Was_steht_in_welchem_Repository_von_apt
http://suse-linux-faq.koehntopp.de/q/q-install-updatepolitik.html

Dein Link führt demnach ins suse-projects-Repository. Über YOU hat man "nur" Zugriff auf update, security. Das würde schon mal erklären wieso Thunderbird 1.0.6 nicht über YOU zu holen ist (das wäre dann ja ein Upgrade und keine Update!). Die Fragen zu den ausstehenden Sicherheitsupdates (bzw. wieso sind die nicht unter update, security zu finden) seit Version 1.0 bleiben aber offen!?

Probierts mal auf einer der offiziellen Mailinglisten :)

mfg
cane

Die Fragen zu den ausstehenden Sicherheitsupdates (bzw. wieso sind die nicht unter update, security zu finden) seit Version 1.0 bleiben aber offen!?

Lies dir doch einfach mal den Artikel durch den du selbst verlinkt hast:

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben.

Und aus dem anderen Artikel:
Das Mozilla-Team warnt zwei Tage nach Veröffentlichung der neuen Versionen
Zwei Tage. Dir ist schon klar, dass Qualitätsprüfung und so schon ihre Zeit brauchen? Laut dem Heise Artikel werden 10 Sicherheitslücken behoben, sowas implementiert und testet man nicht von jetzt auf gleich.

Und aus dem anderen Artikel:
Zwei Tage. Dir ist schon klar, dass Qualitätsprüfung und so schon ihre Zeit brauchen? Laut dem Heise Artikel werden 10 Sicherheitslücken behoben, sowas implementiert und testet man nicht von jetzt auf gleich.

Jo, das ist klar. Mich stört aber die Tatsache, dass es speziell für Thunberbird noch keine Updates gab, seit Version 1.0, die im Dezember 04 raus kam. Und wenn man dann mal z.B. diese Auflistung sieht, dann kann man schon leicht paranoid werden:
http://secunia.com/search/?search=thunderbird

Hmm, auf dem FTP von suse.com ist Thunderbird 1.06 für alle 9er Versionen als .rpm verfügbar: ftp://ftp.suse.com/pub/projects/mozilla/thunderbird/1.0.6/


Meine Frage mutet vielleicht euch Experten ein wenig doof an, aber ich benutze halt nur den Computer und kenn mich nicht mit allem Aus was so dahinter steckt.

Kann ich diese RPM einfach so drüber installieren (also mit yast -i) und dann sind alle (bekannten) Sicherheitslücken gestopft, oder muss ich vorher das alte Thunderbird deinstallieren? Selbe Frage gilt auch für Firefox das man ja auch aus dem /projects/ Ordner in der neusten 1.0.7 ziehen kann, die ja diesen hässliche Lücke mit den Shellkommandos schließt.

Kann ich diese RPM einfach so drüber installieren (also mit yast -i) und dann sind alle (bekannten) Sicherheitslücken gestopft, oder muss ich vorher das alte Thunderbird deinstallieren? Selbe Frage gilt auch für Firefox das man ja auch aus dem /projects/ Ordner in der neusten 1.0.7 ziehen kann, die ja diesen hässliche Lücke mit den Shellkommandos schließt.

Das geht IMHO ohne dass man Thunderbird bzw. Firefox vorher "deinstallieren" muss. Am Einfachsten mit rpm -Uvh $PAKETNAME. Inwiefern sich das dann auf weitere eventuelle Updates über YOU der entsprechenden Pakete auswirkt weiss ich leider nicht. Müsste man mal testen ;) Aber insgesamt habe ich keine gutes Gefühl dabei.

Das geht IMHO ohne dass man Thunderbird bzw. Firefox vorher "deinstallieren" muss. Am Einfachsten mit rpm -Uvh $PAKETNAME. Inwiefern sich das dann auf weitere eventuelle Updates über YOU der entsprechenden Pakete auswirkt weiss ich leider nicht. Müsste man mal testen ;) Aber insgesamt habe ich keine gutes Gefühl dabei.

jo, aber mit obengenannten sicherheitslücken ungestopft habe ich ein ganz mieses gefühl! ;)
aber ich werds auch nicht mit rpm sondern mit yast installieren... dann wird das ja so wie ich das kenne im you auf gesperrt gesetzt, und wenn es mal wieder was kritisches im fifo oder thunderbird gibt muss man halt wieder manuell updaten.

Handhabt Debian genauso - normalerweise wird die einmal gewählte Programmversion nie gewechselt sondern Fixes werden zurückportiert.

...

Dabei ist meines Erachtens unklar, ob es weniger Arbeitsaufwand ist Fixes in alte Versionen zu portieren oder einfach die neuste Version zu verwenden und dessen Änderungen (falls erforderlich) der Distribution betreffend einzuarbeiten.

Also ich denke bei Anwendungen wie dem Firefox ist es eher sinnvoll einfahc die neuste Version zu verwenden.

Bei System/Kernel-Sachen ist das anders, da müssten sich viele andere Dinge ändern wenn man z.B. von devfs auf udev umstellt.

Also ich denke bei Anwendungen wie dem Firefox ist es eher sinnvoll einfahc die neuste Version zu verwenden.

Einfach? Für dich und für mich vielleicht. Aber für jemand der einfach nur ein System installiert (installiert bekommt) und das normale Online-Update (YOU) benutzt, ist das alles andere als einfach. Ich versuche es schon gar nicht meiner Frau oder meinem Vater zu erklären, wie man ein rpm oder ein tgz installiert, geschweige denn findet :)
Die verlieren sofort wieder den Spaß an Linux und drücken mir 150 Euronen in die Hand um Windows zu kaufen.

So, FF 1.0.7 gibts jetzt über YOU. Thunderbird ist nun auch in der 1.0.7 erhältlich, aber nicht über YOU.

Einfach? Für dich und für mich vielleicht. Aber für jemand der einfach nur ein System installiert (installiert bekommt) und das normale Online-Update (YOU) benutzt, ist das alles andere als einfach. Ich versuche es schon gar nicht meiner Frau oder meinem Vater zu erklären, wie man ein rpm oder ein tgz installiert, geschweige denn findet :)
Die verlieren sofort wieder den Spaß an Linux und drücken mir 150 Euronen in die Hand um Windows zu kaufen.

So, FF 1.0.7 gibts jetzt über YOU. Thunderbird ist nun auch in der 1.0.7 erhältlich, aber nicht über YOU.

jo, update über you nun erhältlich :)