ubuntuusers.de

Hallo, ich benutze ntfs-3g schon länger auf Xubuntu 20.04.4 LTS. Dabei sind mir keine Fehler aufgefallen. Ich habe aber auch nicht systematisch danach gesucht, deshalb kann ich auch nichts dazu beitragen, die Einbindung von ntfs-3g unter Xunbuntu 20.04 oder gar 22.04 als getestet auszuweisen.

Meine in Xubuntu 20.04 enthaltene Version ist 1:2017.3.23AR.3-3ubuntu1.2. Die ist vom 2021-02-01.

Heute bekam ich von der Entwickler-Mailingliste eine Email "[ntfs-3g-devel] Security version NTFS-3G + NTFSPROGS 2022.10.3 Released".

Ich habe bei //github.com/tuxera/ntfs-3g/wiki/NTFS-3G-Release-History: nachgesehen:

Es kamen danach noch Stable Version 2021.8.22 (2021-08-31) und zwei Sicherheitsversionen (2022-05-26 und 2022-10-03). Die Verbesserungen hatte mit „maliciously tampered NTFS partitions“ zu tun.

Kann mir jemand erklären, weshalb diese Updates nicht den Weg in die Xubuntu-Updates gefunden haben?

Schau doch mal bei den Sicherheitsnotizen:

• https://ubuntu.com/security/notices/USN-5463-1

Wenn deine Version mit der dort angegebenen Version übereinstimmt, dann hat es die Updates schon längst mit den üblichen täglichen Updates gegeben. Das frische Update von gestern wird sicherlich auch noch von Canonical integriert. Denk daran, mancherorts ist heute Feiertag.

trollsportverein schrieb:

Schau doch mal bei den Sicherheitsnotizen:

• https://ubuntu.com/security/notices/USN-5463-1

Wenn deine Version mit der dort angegebenen Version übereinstimmt, dann hat es die Updates schon längst mit den üblichen täglichen Updates gegeben. ...

Ich aktualisiere mein System regelmäßig. Trotz der Aktualisierungen liefert

1
2
3

dpkg -l | grep ntfs
ii  libntfs-3g883                                      1:2017.3.23AR.3-3ubuntu1.2           amd64        read/write NTFS driver for FUSE (runtime library)
ii  ntfs-3g                                            1:2017.3.23AR.3-3ubuntu1.2           amd64        read/write NTFS driver for FUSE

Unter den angegebenen Links habe ich die Versionsgeschichte von ntfs-3g nachgesehen, siehe oben.

Dann siehst Du es doch. Es sind die Pakete mit den rückportierten Sicherheitspatches.

4-Elster-4 schrieb:

[…] Meine in Xubuntu 20.04 enthaltene Version ist 1:2017.3.23AR.3-3ubuntu1.2.

Ja, das ist für 20.04 das aktuellste verfügbare Paket aus focal-security. Es enthält die Software von 2017.3.23 mit von Ubuntu eingefügten Sicherheitspatches; welche genau, steht in den Release Notes.

[…] Kann mir jemand erklären, weshalb diese Updates nicht den Weg in die Xubuntu-Updates gefunden haben?

Bei Ubuntu bleibt die Software funktional auf dem Stand bei der Veröffentlichung der Ubuntu-Version, bis auf handverlesene Ausnahmen unter bestimmten Umständen (Kernel, Grafik, Firefox, Thunderbird und wenn der Himmel einstürzt). Sicherheitspatches werden bei main und restricted von Ubuntu in die alten Versionen eingepflegt und in den andern Zweigen ggf. gnädig übernommen, wenn es ein anderer macht. Das war schon immer so.

Wenn Du eine Rolling-Release-Distribution haben willst, bist Du bei Ubuntu falsch.

Wenn man unbedingt will, kann man auch auf Ubuntu direkt aus Github sich den Sourcecode holen, dann selbst bauen und das selbst gebaute installieren. Ist auch ein schönes Hobby. ☺

trollsportverein schrieb:

Denk daran, mancherorts ist heute Feiertag.

...und anderenorts gestern und am Wochenende ist eh keiner in der Kaserne, denn auf sowas wird netterweise Rücksicht genommen.

trollsportverein schrieb:

selbst bauen

Ja, aber doch nicht mehr für Ubuntu. 😈

Hier ist jedenfalls letzte Nacht die aktuelle ntfs-3g-Version 2022.10.3 gekommen. 😎

trollsportverein schrieb:

Dann siehst Du es doch. Es sind die Pakete mit den rückportierten Sicherheitspatches.

Bestimmt habe ich da was falsch verstanden und Deine Antwort verstehe ich in ihrer Kürze leider auch nicht.

Woran erkenne ich, daß das Paket rückportiert ist? Bei https://github.com/tuxera/ntfs-3g/wiki/NTFS-3G-Release-History steht doch, daß 2017.3.23AR.6 eine stabile Version ist und zwar vom 2021-02-01. Bei mir hängt am Namen .3-3ubuntu1.2. Die .6 ist auf jeden Fall schon mal eine größere Zahl als die .3 von .3-3ubuntu1.2., deshalb mein Verdacht, es mit noch Älterem zu tun zu haben. Leider habe ich von der Versionsnummern-Nomenklatur keine Ahnung. Deshalb ist da Nachhilfe sehr willkommen!

Wo sagt das angehängte .3-3ubuntu1.2, welche Sicherheitspatch es enthält (und von wann die sind)?

(Entschuldigung, beim Einfügen des github-Links ist im ursprünglichen Post ein Fehler passiert: das "https:" fehlt am Anfang. Wie kann ich das korrigieren?)

kB schrieb:

4-Elster-4 schrieb:

[…] Meine in Xubuntu 20.04 enthaltene Version ist 1:2017.3.23AR.3-3ubuntu1.2.

Ja, das ist für 20.04 das aktuellste verfügbare Paket aus focal-security. Es enthält die Software von 2017.3.23 mit von Ubuntu eingefügten Sicherheitspatches; welche genau, steht in den Release Notes.

Danke für die Erläuterung. In welchen Release-Notes? Denen von ntfs-3g? In release-Notes des Updatemechanismus?

[…] Kann mir jemand erklären, weshalb diese Updates nicht den Weg in die Xubuntu-Updates gefunden haben?

Bei Ubuntu bleibt die Software funktional auf dem Stand bei der Veröffentlichung der Ubuntu-Version, bis auf handverlesene Ausnahmen unter bestimmten Umständen (Kernel, Grafik, Firefox, Thunderbird und wenn der Himmel einstürzt). Sicherheitspatches werden bei main und restricted von Ubuntu in die alten Versionen eingepflegt und in den andern Zweigen ggf. gnädig übernommen, wenn es ein anderer macht. Das war schon immer so.

Die Frage, woran ich erkenne, welches Update eingebaut ist, hatte ich oben schon gestellt.

Wenn Du eine Rolling-Release-Distribution haben willst, bist Du bei Ubuntu falsch.

Wenn ich dann dieses Update in ntfs-3g haben will, wäre dann wirklich der einzige Weg, die github-Quellen herunterzuladen, die Hashwerte zu prüfen und dann den Make-Lauf dafür ingangzusetzen? Wenn das ordentlich beschrieben ist, will ich das gerne tun. Gibt es in diesem Forum einen Beitrag, der exemplarisch zeigt, wie man so was macht (und was man tun muß, wenn es schief geht)?

Katapultiere ich mich dann mit dem Ergebnis solcher Bemühungen aus dem automatischen Updatemechanismus? Im Fall ntfs-3g sah ich ja an der Developer-Mailingliste, daß es ein Sicherheitsupdate gibt. Dann darf ich die also künftig nicht abbestellen, obwohl ich das meiste, was da verhandelt wird, nicht ganz verstehe.

Wenn Du auf den Link geklickt hast, lesen:

• https://ubuntu.com/security/notices/USN-5463-1

Dann kann man auch noch beim jeweils passenden Ubuntu Release, was in deinem Fall Focal Fossa 20.04 ist, den Link zum Changelog anklicken, der dort auf der Seite Security Notices ist:

• ntfs-3g - 1:2017.3.23AR.3-3ubuntu1.2

Oder im Terminal eingeben:

apt-get changelog ntfs-3g

trollsportverein schrieb:

Wenn Du auf den Link geklickt hast, lesen:

• https://ubuntu.com/security/notices/USN-5463-1

...

trollsporverein, danke für die Erklärung. Ich habe nun folgendes gemacht:

Bei //ubuntu.com/security/notices/USN-5463-1: sah ich unter der Überschrift „Update Instructions“ und dort weiter unter Ubuntu 20.04: ntfs-3g – 1:2017.3.23AR.3-3ubuntu1.2. Mit ein bißchen mehr herumblicken ab der Ecke sah ich bei //ubuntu.com/security/CVE-2022-40284:, daß heute bei focal sogar noch eine weitere Version Released 1:2017.3.23AR.3-3ubuntu1.3 herauskam. Nachdem ich

sudo apt-get update

und

sudo apt-get upgrade

gemacht hatte, sah ich, daß dadurch eben diese Version installiert wurde.

Die zweite Möglichkeit

apt-get changelog ntfs-3g

ist viel eleganter: die zeigt mir die Änderungshistorie und es stehen genau die Namen der Versionen von ntfs-3g und es steht auch dabei, wann sie herauskamen und welche Fehler sie beheben.

Ich sehe nun, daß dieses Sicherheitsupdate bei mir installiert ist. Die Wahrscheinlichkeit, daß mir durch diesen Fehler Schaden zugefügt worden wäre, ist zum Glück eher gering. Aber sicher ist sicher!

Durch Deine Lektion habe ich

apt-get changelog <paketname>

kennengelernt. Das werde ich mir merken.

Mein Problem ist nun gelöst.