Notiz Debian 10.9 („Buster“): Entwickler schließen 30 Sicherheitslücken

SV3N

Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
16.179

andy_m4

Captain
Dabei seit
Aug. 2015
Beiträge
3.842
Man muss dazu sagen, das das hier nicht irgendwie ein Paket ist was dann eingespielt werden muss. Wer sein System regelmäßig aktualisiert ist ohnehin auf den neusten Stand.
Es ist also eher eine Zusammenfassung der letzten Updates seit 10.7.
Hier gehts eher darum, das es z.B. aktualisierte ISO-Images gibt usw. so das man ab Installation schon einen neueren Patch-Level hat ohne erst noch Updates zu installieren (was der Debian-Installer aber trotzdem immer versucht, falls ne Internetverbindung vorhanden; man kann theoretisch also die alten Images sogar weiterverwenden).
 

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.988
Das ist ja bei Debian das schöne, daß es auch bei größeren Updatesprüngen noch funktioniert.

Ich nutze bei einem Notebook Debian Unstable und hatte mal sehr lange kein Update mehr ausgeführt. "Geweckt" wurde ich als Firefox bei manchen Internetseiten Probleme machte. Abgesehen davon, daß das Firefox-Profil den größeren Sprung aus irgendeinem Grund nicht verkraftete lief das Update problemlos durch.

Mag ja sein, daß Debian (selbst im Unstable-Zweig) nicht immer die neuesten Versionen drin hat. Aber wer vor allem ein stabiles System haben will sollte sich diese Distribution mal ansehen. Ich glaube ich habe es (in einer Zeit von 20 Jahren) erst bei zwei Gelegenheiten erlebt, daß das System so beschädigt war, daß eine Neuinstallation die günstigere Option war. Im Normalfall läßt sich das System eigentlich immer retten.
 

T3rm1

Lt. Junior Grade
Dabei seit
Nov. 2005
Beiträge
399
Das sind doch die ganz normalen Sicherheitsupdates, die eh jeder hat, der ganz normal sein System regelmäßig aktualisiert. Der Artikel klingt so, als müsse man hier tätig werden.
 

Hörbört

Cadet 4th Year
Dabei seit
Dez. 2018
Beiträge
97
Anwender, die bereits auf Debian GNU/Linux 10.x setzen und die entsprechenden Updates noch nicht eingespielt haben, sollten die Aktualisierungen unbedingt mittels Konsole sowie dem Befehl sudo apt update && sudo apt full-upgrade in ihre Installation einspielen.
Kann mir wer sagen warum es "unbedingt" ein 'apt full-upgrade' anstatt eines normalen 'apt upgrade' sein muss?
 

andy_m4

Captain
Dabei seit
Aug. 2015
Beiträge
3.842
apt full-upgrade entfernt auch Pakete wenn dies bei der Aktualisierung zur Erfüllung der Abhängigkeiten erforderlich ist. apt upgrade tut dies nicht (und würde bei einem nichtauflösbaren Abhängigkeitskonflikt das Upgrade eben sein lassen).

apt full-upgrade wird aber eher für Aktualisierungen von einer Hauptversion zur nächsten (z.B. Debian 9 auf Debian 10) benutzt. Für Updates innerhalb einer Hauptversion (so wie hier) nimmt man üblicherweise apt upgrade. Normalerweise sollten sich aber auch mit apt full-upgrade keine Probleme ergeben, weil es eigentlich keine gravierenden Änderungen in diesen Minor-Steps gibt.

Wenn man auf testing oder unstable setzt sieht die Sache freilich anders aus. Da gibts dann schon mal größere Änderungen, wo ein apt full-upgrade auch mal großflächig dein System leerräumen kann. Da sollte man es also eher nicht nehmen und wenn, dann immer genau gucken was er machen will und ob man das WIRKLICH möchte.
 

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.988
apt upgrade
  • neue Pakete können zur Erfüllung von Abhängigkeiten installiert werden
  • bereits installierte Pakete können einem Upgrade unterzogen werden

apt full-upgrade
  • darf das oben aufgeführte
  • zusätzlich kann es bereits installierte Pakete deinstallieren wenn ansonsten Konflikte auftreten

Nehmen wir einmal an das Paket foobar wurde einst installiert. Die dependency foobar-lib wurde durch apt damals automatisch mitinstalliert und seitdem auch immer brav aktuell gehalten. Jetzt kommt der Maintainer auf die Idee das es zwar früher mal gute Gründe für die Trennung von foobar und foobar-lib gab, diese Gründe sind aber inzwischen obsolet. Also werden in der nächsten Version beide Pakete zusammen gelegt.

"apt upgrade" kommt mit dieser Situation nicht zurecht, es darf eben keine Pakete deinstallieren, und läßt foobar deshalb auf dem alten Stand. Allerdings sagt es Bescheid, daß ein Paket nicht aktualisiert werden konnte.

"apt full-upgrade" deinstalliert foobar-lib und aktualisiert foobar auf die neueste Version.

Auch wenn ein full-upgrade unter Debian Stable normalerweise unkritisch ist sollte man sich trotzdem angewöhnen sich immer nochmal kurz anzusehen was denn jetzt eigentlich gemacht werden soll. Meist ist die Liste der Pakete die deinstalliert werden sollen (gerade unter Stable) auch so kurz, daß man auf einen Blick sieht ob vielleicht ein wichtiges (aktiv genutztes) Paket betroffen ist.

Unter Unstable sieht die Sache etwas anders aus, da man sich so im Extremfall, wie von @andy_m4 angesprochen das halbe System deinstalliert.
 

Hörbört

Cadet 4th Year
Dabei seit
Dez. 2018
Beiträge
97
danke für eure Erklärungen, aber ich glaube meine eigentliche Frage kam nicht so richtig rüber.

Mir ging es weniger darum was genau die Befehle machen, sondern warum bei diesem minor release hier explizit ein "apt full-upgrade" empfohlen wird... denn normalerweise reicht ja ein "apt upgrade".
Auf einer anderen News-Seite steht das zwar auch, aber in den debian update news habe ich keinen Hinweis auf "apt full-upgrade" gesehen.

Sind denn explizite Probleme bei diversen Abhängigkeiten bekannt oder schreibt einfach nur eine Seite bei der anderen ab? :mussweg:

Habe selbst eine Debian-Installation (stable) am Laufen und "nur" per "apt upgrade" aktualisiert... keine Probleme soweit.
 
Zuletzt bearbeitet:

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.988
Ich gehe davon aus, daß full-upgrade deshalb empfohlen wird um auch wirklich ganz sicher alle Aktualisierungen einzuspielen. Wenn nämlich aus irgendwelchen Gründen Pakete aus Buster rausgefallen sind wird das (wie oben beschrieben) durch ein bloßes upgrade nicht abgedeckt.

Wenn du sichergehen willst mußt du doch nur nachsehen was in der sources.list steht. Wenn dort als Zweig Buster steht dann bleibst du auch auf Buster. Steht dort Stable bleibst du eben solange auf Buster wie es Stable ist.

Wenn du wissen willst ob es entsprechende Änderungen gab kannst du auch einfach ein "apt full-upgrade" nach dem üblichen "apt update" loslassen. Wirklich eingespielt werden die Updates so oder so erst nach expliziter Bestätigung durch dich. Du gehst also kein Risiko ein.
 
Top