ubuntuusers.de

Hallo, liebes Forum:

Auf meinem PC ist Ubuntu 18.04.6 LTS installiert. Im Paket enthalten ist Thunderbird in der Version 78.14.0. Nun habe ich in einem Newsletter des BSI folgende Warnmeldung erhalten:

TW_Warnmeldung Risikostufe 3 Mozilla Thunderbird: Mehrere Schwachstellen

TW_BetroffeneSysteme Mozilla Thunderbird < 91.4.1

TW_Empfehlung Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Ich habe auf meinem Ubuntu-Rechner stets alle Updates und Aktualisierungen durchgeführt. Dennoch hängt die Version von Thunderbird offensichtlich weit zurück. Die aktuelle und derzeit wohl einzig sichere Version ist 91.4.1. Diese könnte ich von Mozilla herunterladen, müsste dann aber eine manuelle Installation durchführen. Und dazu müsste ich wohl das derzeitige Thunderbird aus der Paketinstallation komplett deinstallieren.

Abgesehen davon, dass ich mit manuellen Installationen keinerlei Erfahrung habe und nicht weiß, was ich da gegebenenfalls für einen Unsinn anrichten würde, lautet die Empfehlung der UbuntuUsers Wiki-Seite ja auch klar und unmissverständlich:

Thunderbird kann auch manuell installiert werden, beispielsweise falls man eine neuere Version wünscht als die in den offiziellen Paketquellen vorhandene. Das wird generell nicht empfohlen. Obendrein nimmt Ubuntu Veränderungen zur besseren Integration vor. Wer sich etwas besser auskennt und neue Funktionalitäten nicht missen möchte, muss bei einer manuellen Installation das Programm eigenverantwortlich aktuell halten.

Für mich sieht das so aus, als ob ich nur die Wahl hätte zwischen Pest und Cholera: Entweder ich bleibe bei der Standard-Paketinstallation und arbeite mit dem veralteten Thunderbird 78.14.0, was laut BSI wohl ein erhebliches Sicherheitsrisiko darstellt. Oder ich installiere den aktuellen und sicheren Thunderbird 91.4.1 manuell und riskiere dabei, dass Einstellungen, Adressbücher und archivierte Mails nicht mehr vorhanden sind und dass ich mir im schlimmsten Fall sogar das ganze System zerschieße.

Welche Vorgehensweise empfehlen denn hier die Forumsmitglieder? Sollte man bei Anwendungen generell (das betrifft nicht nur Thunderbird) auf die Paketinstallation und die "offiziellen" (wenn auch veralteten) Updates vertrauen oder aber den Aufwand betreiben, immer die aktuellsten Versionen der Hersteller herunterzuladen und manuell zu installieren?

Ich bin derzeit ziemlich ratlos, wie ich mit Thunderbird und allen anderen installierten Anwendungen verfahren soll. Für jegliche Tipps, Hinweise und Ratschläge wäre ich sehr dankbar.

Mozilla stellt Snaps für seine Produkte bereit: https://snapcraft.io/thunderbird - die werden schneller aktualisiert als wenn die Ubuntu-Maintainer da den Spagat zwischen LTS-Unterstützung und neuen Versionen mit abweichendem Feature-Set machen müssen - da muss man sich nur überlegen, ob die Kapselung und Rechte-Einschränkung bei den Snaps (weniger Rechte im System verkleinern die potentielle Angriffsfläche) für den jeweiligen Anwendungsfall ein Problem darstellt oder nicht.

Den ersten Fehler machst Du, indem Du Ende 2021 immer noch 18.04 nutzt.

Das Versprechen längeren Supports bezieht sich nur auf die Paketquellen main und restricted. Das ist für ein Desktop-System untragbar.

Beim Browser Firefox macht Canonical eine Ausnahme und bietet auch für solche alten Ubuntu-Versionen aktuelle Versionen an (freilich auch nicht wirklich zeitnah und seit 21.04 als snap, ab 22.04 nur noch als snap). Bei Tb will man dies wohl auch. Nur sind das eben nur 2 Tropfen, obgleich große, auf den heißen Stein.

Wichtigste Empfehlung: Installation einer aktuellen Linux-Distributionsversion. Wenn es Ubuntu sein soll, 21.10.

Im PPA for Ubuntu Mozilla Security Team liegt Tb auch für Bionic in 91.4.0 (seit 2021-12-10). Immerhin ein gewaltiger Sprung, 91.4.1 hast Du damit noch nicht. Ob's dort kommt, perhaps.

Über dieses PPA bekommst Du auch Fx-Updates.

Selbstverständlich kannst Du das Mozilla-Original nutzen. Das ist keine Installation, man entpackt das entsprechende Archiv aus https://download-installer.cdn.mozilla.net/pub/thunderbird/releases/ nach /opt.

Derzeit ist es also thunderbird-91.4.1.tar.bz2.

Dazu kannst Du eine .desktop-Datei, also einen Starter erstellen.

Um Updates mußt Du Dich freilich selbst kümmern, indem Du selbst stetig in das Verzeichnis siehst und ein neues Archiv ebenso entpackst (das jeweils alte löschst). Um die in Tb integrierte Update-Funktion zu nutzen, müßte man den Eigentümer für das Programmverzeichnis ändern, was ich nicht empfehle.

Oder Du steigst als ultimative Lösung auf eine stets aktuelle Linux-Distribution um, eine Rolling Release Distribution. Nicht nur wegen Tb und Fx, insgesamt, generell. → EndeavourOS

seahawk1986 schrieb:

https://snapcraft.io/thunderbird - die werden schneller aktualisiert

Im Moment bekommt man so 91.4.1 aber auch nur mit "--candidate". Oder gleich 96.0b3 mit "--beta". :^)

MaxKra, Warnung, wenn Du einmal eine der genannten neueren Versionen gestartet und Deine Datenbank eingelesen hast, kannst Du nicht wieder zurückgehen.

Bei großen Sicherheitslücken wird der Fix doch teils rückportiert oder? Teils schon unter Debian und dann müssten sie doch auch den Weg zu Ubuntu finden?

Aber wer entscheidet, welche das sind?

Bei den beiden zitierten CVEs sieht es ja so aus:

https://security-tracker.debian.org/tracker/CVE-2021-4126

https://security-tracker.debian.org/tracker/CVE-2021-44538

Der zweite ist ja für Bullseye (stable) schon gefixt und da läuft TB 78.14.0, wie unter 20.04. FocalFossa.

Unter Ubuntu ist da aber offenbar bisher nichts gefixt: https://ubuntu.com/security/CVE-2021-44538

san04 schrieb:

Bei großen Sicherheitslücken wird der Fix doch teils rückportiert oder?

Oder.

Teils schon unter Debian

Tb 78.x mit 78.14.0 zuletzt angefaßt 2021-09-09. Da wird auch nichts mehr kommen aus demselben Grund wie bei firefox-esr 78.x, zuletzt 2021-10-06. Was eben genau das seit Monaten dort diskutierte Problem (EoS, aktuelle Schiene durch bislang fehlende Abhängigkeiten und extrem konservative Aktualisierungsdogmen in stable nicht möglich) ist.

von.wert schrieb:

Den ersten Fehler machst Du, indem Du Ende 2021 immer noch 18.04 nutzt.

Das Versprechen längeren Supports bezieht sich nur auf die Paketquellen main und restricted. Das ist für ein Desktop-System untragbar.

Wichtigste Empfehlung: Installation einer aktuellen Linux-Distributionsversion. Wenn es Ubuntu sein soll, 21.10.

Jetzt bin ich erstaunt und verwirrt zugleich. Jahrelang hatte ich auf meinem Desktop-PC Microsoft Windows. Dann bin ich irgendwann auf Linux/Ubuntu umgestiegen, weil ich mir folgende Vorteile davon versprochen hatte: Linux ist weniger anfällig für Viren und Hackerattacken als Windows; Linux läuft stabiler als Windows; unter Linux ist eine Shell verfügbar, mit der man relativ schnell und einfach kleine, aber effektive und mächtige Shellscripts anfertigen kann. Unter den verfügbaren Linux-Distributionen haben dann für Ubuntu folgende Gründe den Ausschlag gegeben: komfortable Paketinstallationen, Long Term Support, offensichtlich das "beste" verfügbare Desktop-Linux. Ich bin Anwender und möchte mich nicht in die technischen Tiefen der Linux-Systemadministration begeben. Ich nutze meinen Ubuntu-Desktop für Internet-Recherchen, für den Email-Verkehr, für Film/Videobearbeitung, für Foto/Bildbearbeitung und für zahlreiche weitere Anwendungen. Ich bin froh, wenn mein System problemlos über mehrere Monate/Jahre läuft, ohne dass ich systemseitig groß eingreifen muss. Ich will ja gerade nicht 2 Mal im Jahr ein Betriebssystem-Update durchführen. Wahrscheinlich würde nach dem 3. oder 4. Update das ganze System ohnehin unbrauchbar werden und eine komplette Neuinstallation nach sich ziehen. Aber genau davor sollte mich eigentlich der Long Term Support bewahren. Und jetzt erfahre ich, dass ich da völlig auf dem Holzweg war bzw. bin. Wenn ich jetzt anfangen soll, ständige Ubuntu-Betriebssystemwechsel durchzuführen und Anwendungen aus Sicherheitsgründen manuell zu installieren, dann frage ich mich, ob es nicht besser wäre, wieder auf Microsoft Windows zurück zu wechseln. Zumal die Fülle an verschiedenen Linux-Distributionen für mich unübersehbar geworden ist (vielleicht wäre Ubuntu zum jetzigen Zeitpunkt gar nicht mehr meine erste Wahl) und zumal sich die (Neu-/Erst-)Installation von Linux auf bestimmten Hardware-Plattformen äußerst schwierig und oft nur mit großem Insider-Fachwissen (das ich leider nicht habe) durchführen lässt.

MaxKra schrieb:

Long Term Support

😀

Da siehst Du mal, nicht alles, was glänzt, ist Gold. Und dann glänzt es noch nicht mal, pff.

Versprochen für Paketquellen main und restricted. Punkt. Das ist auch kein Geheimnis, wird aber von Usern gern ausgeblendet. Selbstberuhigung, Selbstbeschiß.

Wenn man schon sowas installiert, sollte man wenigstens die Zyklen kurz halten. Also Distupgrade von Bionic auf Focal (das selbst längst nicht mehr taufrisch ist) ist seit August 2020 möglich (mit ein wenig Nachhelfen auch früher). Bei 3 oder gar 5 Jahren - und eben nur für main und restricted - gerät das System weit außerhalb des Vertretbaren.

offensichtlich das "beste" verfügbare Desktop-Linux.

Vor 15 oder knapp 10 Jahren.

Ich bin Anwender und möchte mich nicht in die technischen Tiefen der Linux-Systemadministration begeben.

Dann kauf' Dir ein Chromebook! Das ist kein Scherz. Videobearbeitung kannst Du da allerdings vergessen.

Ein Minimum mußt Du Dich schon um Dein System kümmern. Dein Auto wirst Du sicherlich auch nicht vor sich hingammeln lassen.

(Neu-/Erst-)Installation von Linux auf bestimmten Hardware-Plattformen äußerst schwierig und oft nur mit großem Insider-Fachwissen (das ich leider nicht habe) durchführen lässt.

Mir kommen die Tränen. Hier gibt es ein Wiki, hier gibt es ein Forum. In dem man übrigens beim Schreiben mit 2x Return einen Absatz, dort, wo er sinnvoll ist, erzeugen kann.

von.wert schrieb:

Dein Auto wirst Du sicherlich auch nicht vor sich hingammeln lassen.

Von meinem Auto muss ich nur wissen, wie es zu bedienen ist, damit es mich schnell und sicher von A nach B bringt. Um Motor und alle anderen technischen Details kümmern sich die Fachleute in der Werkstatt bei der jährlichen Inspektion. Das hat nicht das Geringste mit "vor sich hingammeln lassen" zu tun.

Mir kommen die Tränen.

Ist dieser sarkastische Sprachstil Standard in diesem Forum?

In dem man übrigens beim Schreiben mit 2x Return einen Absatz, dort, wo er sinnvoll ist, erzeugen kann.

Wann das Erzeugen eines Absatzes sinnvoll ist, sollte man vielleicht dem Ermessen des Autors überlassen. Dass das Lesen eines zusammenhängenden Textes von gerade mal einem guten Dutzend Zeilen auf Probleme stoßen könnte, damit habe ich allerdings in diesem Forum nicht gerechnet.

MaxKra schrieb:

Um Motor und alle anderen technischen Details kümmern sich die Fachleute in der Werkstatt

Es hindert Dich niemand, einen IT-Service, der Dir alles abnimmt, kostenpflichtig, versteht sich, aufzusuchen.

Wann das Erzeugen eines Absatzes sinnvoll ist, sollte man vielleicht dem Ermessen des Autors überlassen.

Du kannst das auch alles wie gehabt in einem Block lassen. Du wirst mit Sicherheit weniger gelesen werden. Deine Entscheidung.

von.wert schrieb:

Tb 78.x mit 78.14.0 zuletzt angefaßt 2021-09-09. Da wird auch nichts mehr kommen aus demselben Grund wie bei firefox-esr 78.x, zuletzt 2021-10-06. Was eben genau das seit Monaten dort diskutierte Problem (EoS, aktuelle Schiene durch bislang fehlende Abhängigkeiten und extrem konservative Aktualisierungsdogmen in stable nicht möglich) ist.

Hast du zu der Diskussion mal nen Link? Das würde mich auch interessieren.

Guckst du hier:

https://debianforum.de/forum/viewtopic.php?t=182756

Die Sache hat sich übrigens seit 19. Dezember erledigt, Debian STABLE fährt mit Paket firefox-esr aus den offiziellen Quellen die Verseion 91.4.1esr.

Nur so viel zur "unmöglichen" oder "unhaltbaren" Situation oder was es da sonst noch an Unkenrufen gab zum sogenannten Debiandogmatismus... 😎

Also: ruhig Blut, alles gut hier bei Mutti.

dersebastian schrieb:

Guckst du hier:

https://debianforum.de/forum/viewtopic.php?t=182756

Danke. Interessante Diskussion.

Also: ruhig Blut, alles gut hier bei Mutti.

🤣 👍

von.wert schrieb:

Den ersten Fehler machst Du, indem Du Ende 2021 immer noch 18.04 nutzt. Wichtigste Empfehlung: Installation einer aktuellen Linux-Distributionsversion. Wenn es Ubuntu sein soll, 21.10.

Ich habe soeben Ubuntu 21.10 installiert und muss leider feststellen, dass die vom BSI empfohlenene sichere Version 91.4.1 nicht im Paket ist. Die mitgelieferte und installierte Thunderbird-Version ist 91.3.1 und stellt damit ein Sicherheitsrisiko dar.

Wenn es Ubuntu sein soll, 21.10.

Muss es natürlich nicht. Beim Herumsuchen im Internet habe ich den Eindruck gewonnen, dass derzeit wohl Mint in der Gunst der Desktop-PC-Nutzer am höchsten steht. Also habe ich die aktuelle Version 20.2 von Mint ("Geschmacksrichtung" Mate) heruntergeladen und installiert. Und ich bin maßlos enttäuscht: die derzeit aktuelle Version von Mint setzt auf die Uralt-Version 78.14.0 von Thunderbird.

Ich muss gestehen, so langsam habe ich die Nase voll vom Herumstöbern in Dutzenden von Distributionen und "Geschmacksrichtungen", um ein geeignetes und vor allem sicheres Linux-Betriebssystem zu finden. Wenn es den Linux-Verantwortlichen (wer immer das im Einzelfall sein mag) nicht gelingt, dieses auseinanderdriftende Umfeld wieder zusammenzuführen, wird Linux auch weiterhin ein Betriebssystem vor allem für Freaks und Nerds bleiben und wenig Neueinsteiger bzw. Windows-Umsteiger gewinnen können, die einen Linux-Rechner nicht als Bastel-System, sondern als stabiles, sicheres und bedienerfreundliches Produktiv-System nutzen wollen. Schade eigentlich!

MaxKra schrieb:

Ich habe soeben Ubuntu 21.10 installiert und muss leider feststellen, dass die vom BSI empfohlenene sichere Version 91.4.1 nicht im Paket ist. Die mitgelieferte und installierte Thunderbird-Version ist 91.3.1 und stellt damit ein Sicherheitsrisiko dar.

Dann musst Du wohl von Source installieren.

MaxKra schrieb:

Muss es natürlich nicht. Beim Herumsuchen im Internet habe ich den Eindruck gewonnen, dass derzeit wohl Mint in der Gunst der Desktop-PC-Nutzer am höchsten steht. Also habe ich die aktuelle Version 20.2 von Mint ("Geschmacksrichtung" Mate) heruntergeladen und installiert. Und ich bin maßlos enttäuscht: die derzeit aktuelle Version von Mint setzt auf die Uralt-Version 78.14.0 von Thunderbird.

Ich habe gerade nachgeschaut, Gentoo bietet 91.4.0. Allerdings befürchte ich, dass Du mit Gentoo nicht wirklich glücklicher wirst.

Ich muss gestehen, so langsam habe ich die Nase voll vom Herumstöbern in Dutzenden von Distributionen und "Geschmacksrichtungen", um ein geeignetes und vor allem sicheres Linux-Betriebssystem zu finden. Wenn es den Linux-Verantwortlichen (wer immer das im Einzelfall sein mag) nicht gelingt, dieses auseinanderdriftende Umfeld wieder zusammenzuführen, wird Linux auch weiterhin ein Betriebssystem vor allem für Freaks und Nerds bleiben und wenig Neueinsteiger bzw. Windows-Umsteiger gewinnen können, die einen Linux-Rechner nicht als Bastel-System, sondern als stabiles, sicheres und bedienerfreundliches Produktiv-System nutzen wollen. Schade eigentlich!

Es gibt keine "offiziellen Linux-Verantwortlichen". Der Linux-Verantwortliche für Deinen Rechner bist Du. Linux gibt Freiheit. Das hat zwangsläufig zur Folge, dass es nicht so leicht überschaubar ist.

Ich bin der felsenfesten Überzeugung, dass jedes System so sicher ist wie es sein Administrator einrichtet. Und da tut man sich imho bei Linux schon alleine aufgrund des Rechtemanagements wesentlich einfacher, systemimmanent.

Wenn Du ein sicheres System willst, wundert mich, dass Du noch 18.04 nutzt. Die aktuelle LTS wäre 20.04, die nächste, 22.04, steht in den Startlöchern. Ausser der Zeit, die man zur Installation benötigt, fallen keine Kosten an. Ich kann echt gut verstehen, wenn jemand nicht ewig rumfrickeln mag. Was ich jedoch nicht verstehe ist, was daran einfacher sein soll, Windows sicher zu halten.

Ich bin weder Nerd noch Freak, ich möchte einfach ein stabiles System nutzen und Hilfe zur Selbsthilfe finden. Das hat mir Linux die letzten Jahrzehnte gewährleistet. Dass ich für neue Versionen von Programmen öfter mal auf neue Versionen des OS warten muss, nervt mich auch. Aber bisher hat mich außer mir selbst und meinem Unwissen noch nie jemand gehindert, eine andere Distribution zu verwenden. Manjaro, ich habe gerade nachgeschaut, bietet den von Dir gewünschten Thunderbird und ich fand es leicht zu installieren. Es soll auch eine gute Hardware-Unterstützung und -Erkennung haben, aber da meine Rechner eh immer ewig im Einsatz sind, interessiert mich persönlich das nicht so.