Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Cześć, od dłuższego już czasu zastanawiam się nad aktualizacją antycznego Iceweasel'a dostępnego w Squeeze do wersji 10. We wczorajszym komunikacie [url=http://www.debian.org/security/2012/dsa-2488]DSA-2488-1[/url] możemy przeczytać, że Deweloperzy zalecają aktualizację, ze względu na; [b]Extended Support Release[/b] oraz dodanie nowych funkcji zabezpieczeń do przeglądarki. Jak więc wygląda sprawa z aktualizacjami bezpieczeństwa "backportowanych" pakietów w gałęzi Stabilnej? [url=http://backports-master.debian.org/FAQ/]FAQ/Is there security support for packages from backports.debian.org?[/url] nie do końca rozwiewa moje wątpliwości. Niemniej według w/w opiekun ma prawo przesłać pakiet bezpośrednio pomijając Testing. Wystarczy dodanie odpowiedniego wpisu do pliku [b]sources.lists[/b] żeby otrzymywać stosowne aktualizacje? Dane zawarte w tym trackerze; [url=http://security-tracker.debian.org/tracker/status/release/stable-backports]Security tracker - Stable backports[/url] również są ciekawe.
Ten temat powstał z tego względu, że po raz pierwszy planuję wykorzystanie czegoś takiego jak [b]backports[/b]. Generalnie w oficjalnym ogłoszeniu nt. Iceweasel pisze, że Debian nadal będzie wspierał wersję 3.5 (w gałęzi Stabilnej) aktualizacjami bezpieczeństwa. Po prostu chciałbym wiedzieć coś więcej na ten temat i myślę, że Wy jesteście bardzo dobrym źródłem informacji, nie zapominając oczywiście o oficjalnej stronie [b]Debian Backpoorts[/b]. [b]:-)[/b]
Ostatnio edytowany przez remi (2012-06-11 21:39:07)
Offline
Jeżeli deweloperowi, który zamieścił swój pakiet w backportach będzie się chciało go aktualizować uwzględniając poprawki bezpieczeństwa, to będą aktualizacje bepieczeństwa. Jeżeli nie, to nie. Zespołu ds. bezpieczeństwa takiego jak dla repozytorium main wersji stable nie ma.
Co do samego Iceweasela ESR (obecnie wersja 10), to jak sama nazwa mówi, jest to wersja z wydłużonym wsparciem. Mozilla długo będzie wypuszczać aktualizacje bezpieczeństwa do niej (10.0.1, 10.0.2, 10.0.3 itd.). Oczywiście łatwiej użyć źródeł już poprawionych przez upstream, niż samemu backportować poprawki bezpieczeństwa z nowszych wersji (tak jak dla wersji 3.5). Skoro Debian w oficjalnym ogłoszeniu zaleca aktualizację do wersji ESR z backportów, to uważam, że tym samym daje do zrozumienia iż ta wersja będzie na bieżąco otrzymywać poprawki bezpieczeństwa.
Pakiety z backportów nie zaktualizują się same po dodaniu repozytorium z backportami (z powodu obniżonego priorytetu tych pakietów do wartości 100, standardowo inne repozytoria mają 500). Za pierwszym razem trzeba wskazać, że chcesz zaktualizować dane pakiety do wersji z backportów. Tutaj np.:
aptitude -t squeeze-backports install iceweasel iceweasel-l10n-pl
Później te pakiety będą już same się aktualizować gdy w backportach pojawią się ich nowsze wersje.
Jeszcze wpis opiekuna Iceweasela w Debianie na ten temat: [url]http://glandium.org/blog/?p=2573[/url].
[quote=Mike Hommey][b]Iceweasel ESR in squeeze-backports[/b]
In case this went unnoticed, Iceweasel ESR has been available in squeeze-backports for a few weeks, now. I highly recommend anyone using Iceweasel on the Debian stable release to upgrade to that version, at the very least. Even newer versions are available through the [url=http://mozilla.debian.net/]pkg-mozilla archive[/url].[/quote]
Zatem co do Iceweasela, IMO spokojnie możesz aktualizować do wersji ESR z backportów lub nawet nowszych z repo [url]mozilla.debian.net[/url] (ewentualnie używać „oryginalnego” Firefoxa). Co do innych pakietów z backportów, aktualizować tylko jeśli rzeczywiście ich potrzebujesz.
Offline
jest jakieś repo z czystym fx bo nie mogę znaleźć?
Offline
W repo Minta jest, ale tam potężne opóźnienia czasem mają.
deb http://packages.linuxmint.com/ debian main upstream import
Pisząc o Firefoxie miałem na myśli binarkę ze strony Mozilli.
32-bit: http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-i686/pl/
64-bit: http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest/linux-x86_64/pl/
howto: http://debian.linux.pl/entries/151-Firefox-6-w-Squeeze-lub-innych-gałęziach
Offline
Serwus [b]Arn[/b]! Czyli instaluję/aktualizuję Iceweasel za pomocą [b]Backportów[/b] i [i]później te pakiety będą już same się aktualizować gdy (...) pojawią się ich nowsze wersje.[/i]? Jedna wątpliwość; co masz na myśli pisząc [i]Pakiety z backportów nie zaktualizują się same po dodaniu repozytorium z backportami (...)[/i]? Przecież kłóci się to z tym co napisałeś wcześniej. Znowu czegoś nie rozumiem.
Offline
Chodziło o to, że samo dodanie repozytorium z backportami nie wywoła aktualizacji zainstalowanych pakietów do wersji dostępnych w backportach. Za pierwszym razem musisz wskazać, które pakiety chcesz zaktualizować do wersji z backportów, potem będą się już z nich aktualizować automatycznie. Gdybyś chciał dokładnie zrozumieć dlaczego dzieje się tak, a nie inaczej, to to zagadnienie opisane jest w tekście: [url]dug.net.pl/tekst/163[/url].
Offline
OK, czyli za pierwszym razem, wykorzystuję polecenie podane przez Ciebie w poście #3, natomiast później ten pakiet, będzie już aktualizowany automatycznie, tudzież za pomocą [b]apt-get update/upgrade[/b], prawda? Wspomniałeś również o tym, że; [i]jeżeli deweloperowi, który zamieścił swój pakiet w backportach będzie się chciało go aktualizować (...) to będą aktualizacje bepieczeństwa (...)[/i]. Jak to wygląda z perspektywy Twojego doświadczenia w korzystaniu z [b]Backportów[/b]? Chodzi mi właśnie o przytoczoną przez Ciebie chęć Dewelopera do aktualizowania pakietów. Mam tylko nadzieję, że aktualizacje bezpieczeństwa mają dla nich wysoki priorytet.
Nawiązując jeszcze do Twojego stwierdzenia; [i]co do innych pakietów z backportów, aktualizować tylko jeśli rzeczywiście ich potrzebujesz[/i], to Iceweasel będzie - prawdopodobnie - jedynym programem z [b]Backportów[/b]. Szczerze mówiąc, to sugestia Deweloperów spowodowała, że jestem coraz bliższy aktualizacji Iceweasel, wcześniej miałem kilka wątpliwości itp. Dziękuję za sznurek dot. priorytetów pakietów. Z pewnością zapoznam się z tym tekstem.
Kończąc, tak sobie myślę, ale to tylko moja osobista fantazja-kontemplacja, że fajnie byłoby otrzymywać np. info dot. [color=blue]DSA[/color] dla pakietów znajdujących się zarówno w [b]Backportach[/b]. Coś na wzór [b]For the stable distribution (squeeze), this problem has been fixed in version X.Y.Z[/b] z tą jednak różnicą, że zostałoby uwzględnione także: [b]For the backports for stable distribution (...)[/b] etc.
Offline
[quote=remi]Jak to wygląda z perspektywy Twojego doświadczenia w korzystaniu z [b]Backportów[/b]?[/quote]
Nie wygląda… U siebie zawsze miałem Debiana testing/unstable.
Offline
W porządku, rozumiem. A co z kwestią sposobu aktualizacji? Na początku postu #8 zadałem pytanie, czy wystarczy wykorzystać polecenie podane przez Ciebie w poście #3 (oczywiście uwzględniając odpowiednie wpisy w pliku [b]sources.list[/b]), aby kolejnym razem Iceweasel, w wersji [b]backportowanej[/b], aktualizował się już automagicznie tudzież via narzędzie [b]apt-get[/b] etc.
Ostatnio edytowany przez remi (2012-06-09 17:58:57)
Offline
Dokładnie tak. :) Co do Iceweasela dodam jeszcze, że wersja 10 ESR jest/będzie też w Wheezym.
Offline
Cholera, [b]Arn[/b] uprzedziłeś mnie z odpowiedzią [b]:-)[/b]. Chciałem wyedytować mój poprzedni post, ponieważ mam jeszcze jedno, krótkie pytanie; czy lepiej jest najpierw odinstalować pakiet Iceweasel i zainstalować wersję [b]backportowaną[/b], czy po prostu dokonać aktualizacji wykorzystując np. [b]apt-get upgrade iceweasel[/b], dodając oczywiście odpowiedni wpis do pliku [b]sources.list[/b]?
Ostatnio edytowany przez remi (2012-06-09 18:21:14)
Offline
Można od razu zaktualizować (stara wersja i tak zostanie najpierw usunięta), aczkolwiek przytoczone przez Ciebie polecenie tego nie zrobi.
Offline
W takim razie zastosuję polecenie [b]apt-get -u upgrade[/b] (dodanie odpowiedniego wpisu dot. [b]backportów[/b] do pliku [b]sources.list[/b] powinien ukazać pakiet Iceweasel, ale czy nie wyświetli także innych, które znajdują się w [b]backportach[/b] i są również zainstalowane w systemie?) i odpowiem twierdząco na pytanie o kontynuację tego procesu. Oczywiście uprzednio uaktualnię bazę danych w której [b]apt-get[/b] przechowuje informacje o tym, które pakiety są zainstalowane, które nie i które są dostępne do instalacji. Wiesz, zabiłeś mi niezłego ćwieka pisząc, że [i]przytoczone przez Ciebie polecenie tego nie zrobi[/i]. Czyż nie potrafię zaktualizować pojedyńczego pakietu? Porażka... [b]:-)[/b]
Zaraz, zaraz, zaraz! Czy nie wystarczy samo [b]apt-get -u install iceweasel[/b], które zadziała jak [b]upgrade[/b]?
Ostatnio edytowany przez remi (2012-06-09 18:23:46)
Offline
Zakręciłeś już teraz. ;) Zazwyczaj repozytoria mają priorytet 500, repozytorium z backportami ma priorytet obniżony do 100 aby wszystkie pakiety nie były od razu automatycznie aktualizowane do dostępnych w nim wersji. W poście 3 podałem polecenie z opcją [tt]-t squeeze-backports[/tt], opcja ta tymczasowo podnosi priorytet pakietów pochodzących z repozytorium squeeze-backports do wartości 990, dzięki czemu mają one pierwszeństwo.
Offline
Fakt, jeszcze nie przestudiowałem podanego przez Ciebie tekstu, ale skoro jest tak jak piszesz to, wydaje mi się, że polecenie podane przez Ciebie w poście #3 pozwoli mi na podbicie numerka Iceweasel'a do 10.tki, czy znowu [i]zakręcam[/i]?
Wiesz [b]Arn[/b], nie mam zamiaru pogrążać się jeszcze bardziej. Po prostu spróbuję dokonać tej aktualizacji. [b]:-)[/b]
Offline
[quote=remi]wydaje mi się, że polecenie podane przez Ciebie w poście #3 pozwoli mi na podbicie numerka Iceweasel'a do 10.tki, czy znowu [i]zakręcam[/i]?[/quote]
Tak, po to je podałem. Jeszcze raz:
• dodajesz wpis repozytorium do sources.list:
deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
• odświeżasz listę dostępnych pakietów:
apt-get/aptitude update
• instalujesz Iceweasela wraz z tłumaczeniem z backportów:
apt-get/aptitude -t squeeze-backports install iceweasel iceweasel-l10n-pl
I tyle, zostawiasz jak jest. Gdy w backportach pojawi się aktualizacja Iceweasela, zostanie już zainstalowana automatycznie wraz z aktualizacjami ze standardowego repozytorium ([tt]apt-get update && apt-get dist-upgrade[/tt] czy czego tam używasz) bez dodatkowych zabiegów z Twojej strony.
Offline
Ha! Czyli na dobrą sprawę, ten temat mógł zakończyć się na poście #3! To niesamowite, po prostu niesamowite. Moja ułomność w tej materii jest doprawdy przerażająca. Niemniej dziękuję Ci [b]Arn[/b] za rozpisanie tego procesu, naprawdę doceniam to.
Offline
OK, tylko nie zapomnij coś napisać jak już zaktualizujesz. :)
Offline
Zrobione. Niemniej według [url=https://www.mozilla.org/en-US/firefox/organizations/faq/]Who should use Mozilla Firefox ESR?[/url] wynika, że wersja ESR Firefoxa przeznaczona jest dla (...)[i]organizations that manage their client desktops, including schools, businesses and other instituitions that want to offer Firefox(...)[/i]. Natomiast nawiązując do strony [url=https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal]Enterprise/Firefox/ExtendedSupport:Proposal[/url] i szczególnie podpunktu [b]Risk[/b] możemy dowiedzieć się, że np. ESR z czasem będzie mniej bezpieczne od wydania regularnego/oficjalnego. Spowodowane jest to zapewne tym, że wersja 10 zawierać będzie wyłącznie aktualizacje bezpieczeństwa i nic poza tym, żadnych nowości. Zresztą podobna sytuacja ma miejsce w Debianie. Iceweasel 3.5 także otrzymuje jedynie aktualizacje bezpieczeństwa.
Szczerze mówiąc w/w strony spowodowały lekkie zawahanie się przed aktualizacją do wersji 10.ej, ale - jak wspomniałeś [b]Arn[/b] - wydanie [b]backportowane[/b], również będzie bez przeszkód aktualizowane oraz według Deweloperów ta edycja otrzymała dodatkowe funkcje bezpieczeństwa. W zasadzie obie kwestie ostatecznie przesądziły o aktualizacji. [b]:-)[/b]
Czy podczas aktualizacji, również pakiety, które podczas instalacji/aktualizacji wyminione zostały jako [b]Zostaną zainstalowane następujące dodatkowe pakiety:[/b] także będą aktualizowane? Są to: libcairo2, libmozjs10d, libnss3, libnss3-1d, libpixman-1-0, libsqlite3-0 oraz libvpx1. Pytanie drugie; [b]Arn[/b] w poprzednim poście podałeś jak ma wyglądać wpis do pliku [b]sources.list[/b]. Natomiast według strony [url=http://mozilla.debian.net/]Debian Mozilla team[/url] powinno wyglądać to w ten mniej więcej sposób;
deb http://backports.debian.org/debian-backports squeeze-backports main
Czy ma to jakieś szczególne znaczenie? Oczywiście sens [b]contrib[/b], [b]non-free[/b] jest jasny, ale chciałbym się upewnić. Wspomniałeś także, że [i]aktualizacja Iceweasela, zostanie już zainstalowana automatycznie wraz z aktualizacjami ze standardowego repozytorium[/i]. Masz na myśli repo dla Stable? Tu kłania się moja fantazja z postu #8 mówiąca o DSA dla pakietów [b]backportowanych[/b], tak? Raz jeszcze dziękuję Ci za opisanie tego procesu.
Offline
1. Część z tych pakietów ma tego samego opiekuna co Iceweasel, zatem te pewnie tak. Co do innych to już pytanie do ich opiekunów.
2. Po prostu wkleiłem ten wpis z naszego spisu na portalu. Jeśli nie instalujesz nic z sekcji contrib oraz non-free, to nie są konieczne.
3. Chyba nie rozumiem pytania. Chodziło o to, że wystarczy normalnie aktualizować via [tt]apt-get update && apt-get dist-upgrade[/tt] itp.
Offline
Witaj, wiesz, chyba sam, do końca nie wiem, o co mi tak naprawdę chodziło - to w stosunku do Twojego 3.ego punktu. Natomiast Iceweasel zaktualizowany, wiem wszystko nt. tego procesu w odniesieniu do pakietów [b]backportowanych[/b], nie mam więcej pytań, toteż myślę, że ten temat możemy uznać za zamknięty. Jeszcze raz Wielkie Dzięki [b]Arn[/b] za pomoc i wyrozumiałość.
[b]INFO[/b]: Dla osób, które także planują aktualizację Iceweasel, warto wspomnieć, że wystąpił problem z dodatkiem [b]adblock[/b]. Chodziło o niekompatybilność wersji, ale instalacja 2.0.3 rozwiązała to niedociągnięcie. Innych komplikacji nie doświadczyłem.
Ostatnio edytowany przez remi (2012-06-13 19:06:41)
Offline
[quote=remi][b]INFO[/b]: Dla osób, które także planują aktualizację Iceweasel, warto wspomnieć, że wystąpił problem z dodatkiem [b]adblock[/b]. Chodziło o niekompatybilność wersji, ale instalacja 2.0.3 rozwiązała to niedociągnięcie. Innych komplikacji nie doświadczyłem.[/quote]
W sumie normalne, po aktualizacji przeglądarki aktualizuje się również dodatki. Taki problem to niemal z każdym dodatkiem może wystąpić. :)
Offline
Wracając jeszcze do głównego zagadnienia tego tematu. Okazuje się, że aktualizacja Iceweasela jest jak najbardziej pożądana. Moim zdaniem Deweloperzy powinni zasugerować uaktualnienie o wiele wcześniej (zaraz po pojawieniu się Iceweasel'a w [b]backportach[/b], co właściwie uczynili). Wystarczy przejrzeć stronę [url=http://security-tracker.debian.org/tracker/status/release/stable]Vulnerable source packages in the stable suite[/url], aby stwierdzić, że większość błędów znalezionych w programie Iceweasel jest naprawiona właśnie w wersji 10. [b]backportowanej[/b] do Squeeze'go. Oto kilka przykładów z bieżącego roku z oznaczonym [b]Urgency[/b] jako [color=red][b]high[/color][/b].;
[tt],------[[color=red]edit/UWAGA[/color]:][/tt]
| [tt][color=green] Wszystkie poniższe, przykładowe zgłoszenia zostały naprawione![/color][/tt][tt]
`------[/tt]
[s][url=http://security-tracker.debian.org/tracker/CVE-2012-1939][color=blue]CVE-2012-1939[/color][/url] może skutkować tzw. atakiem DoS. Naprawione w [b]10.0.5esr-1[/b].[/s]
[s][url=http://security-tracker.debian.org/tracker/CVE-2012-1941][color=blue]CVE-2012-1941[/color][/url] [i]bug[/i] pozwalający atakującemu na zdalne wykonanie dowolnego kodu. Naprawione w [b]10.0.5esr-1[/b].[/s]
[s][url=http://security-tracker.debian.org/tracker/CVE-2012-1946][color=blue]CVE-2012-1946[/color][/url] ponownie [i]bug[/i] pozwalający atakującemu na zdalne wykonanie dowolnego kodu. Naprawione w [b]10.0.5esr-1[/b].[/s]
[s][url=http://security-tracker.debian.org/tracker/CVE-2012-3105][color=blue]CVE-2012-3105[/color][/url] [i]bug[/i] umożliwiający wykonanie [b]Denial of Service[/b] (uszkodzenie pamięci lub [i]crash[/i] aplikacji). Naprawione w [b]10.0.5esr-1[/b].[/s]
Jak możemy zauważyć, wszystkie wymienione [i]bugi[/i] naprawione zostały w wersji [b]10.0.5esr-1[/b], która dostępna jest w [b]backportach[/b] dla wersji Stabilnej. Obecny wariant [b]3.5.16-16[/b] przeglądarki w Squeeze (ostatnia aktualizacja bezpieczeństwa sprzed kilku dni) jest podatny na przytoczone przykłady alertów. Biorąc pod uwagę; wydłużone wsparcie ([b]ESR[/b]), wprowadzenie nowych funkcji zabezpieczeń, łatwą osiągalność via [b]backports[/b], prostotę instalacji/aktualizacji etc. odświeżenie wersji - moim zdaniem - powinno zostać przeprowadzone jak najszybciej, ale to tylko mój punkt widzenia i dotyczy to raczej osób korzystających z wersji Stabilnej.
I rzecz najważniejsza, która może definitywnie przesądzić o aktualizacji Iceweasel - [b]hardening flags[/b]. Doskonale wiemy, że do wydania Wheezy, Deweloperzy planują aktualizację jak największej ilości pakietów z wykorzystaniem [b]hardening build flags[/b] via [b]dpkg-buildflags[/b]. Iceweasel już się [i]załapał[/i]. Oto fragmenty logu z kompilacji wersji [b]10.0.5esr-1[/b]:
CFLAGS="-fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security" CXXFLAGS="-fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security checking whether the C++ compiler (g++ -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security ) works... yes checking whether the C compiler (gcc -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security ) works... yes CC="gcc" CXX="g++" (...) "CPPFLAGS="-D_FORTIFY_SOURCE=2"
Ostatnio edytowany przez remi (2013-01-05 22:24:58)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00094 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.195.4' WHERE u.id=1 |
0.00396 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.225.195.4', 1732590867) |
0.00378 | SELECT * FROM punbb_online WHERE logged<1732590567 |
0.00067 | SELECT topic_id FROM punbb_posts WHERE id=203484 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=21398 ORDER BY posted |
0.00037 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21398 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00282 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21398 ORDER BY p.id LIMIT 0,25 |
0.00082 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21398 |
Total query time: 0.01362 s |