Что безопаснее на Debian: Firefox 45 ESR или последний из бэкпортов?

3.6.28

Я не про ядро спрашиваю.

Cast mandala

3.6.11 была последняя из 3.6 ядер.

ESR, так как получается что тестирования больше (весь срок жизни), а от новых ошибок убережёт.

Он предлагает вернуться к последней версии на старой нумерации релизов. Петросян.

Как известно, на дебиане есть два варианта установки Firefox: либо стандартный 45 ESR из стандартных репозиториев, либо установить последний из дополнительных (http://mozilla.debian.net/).

Как известно, на дебиане есть куча вариантов установки чего угодно. В том числе из sid'а, из бинарников с сайта Mozilla и из исходников.

Раньше я был уверен, что с точки зрения безопасности предпочтительнее второй вариант. Но недавно была обнаружена 0-day уязвимость JavaScript, которая затрагивает последние версии, но не работает в 45 ESR.

Ты уже начинаешь познавать дзен. Циферки не главное, если вовремя прилетают обновления безопасности.

Вопрос: так какую же версию лучше использовать? NoScript конечно будет.

Из стандартного репозитория. Заплатка прилетит со дня на день.

Циферки не главное, если вовремя прилетают обновления безопасности.

Ну да, а если баги не связаны с безопасностью, так и живи с ними 2 года. Нафиг такой дзен. Апстрим делает багфикс-релизы не просто от скуки же.

Ошибки и опечатки в новостях (3) (комментарий)

но не работает в 45 ESR.

И тут же нашлась уязвимость в ESR

http://www.opennet.ru/opennews/art.shtml?num=45595

Дополнение: Доступны выпуски Firefox 50.0.2 и 45.5.1 с устранением уязвимости CVE-2016-9079 для который публично доступен рабочий эксплоит, позволяющий организовать выполнение кода в системе.

А вам в дебиан уже прилетел 45.5.1?

firefox/unstable 50.0.2-1 amd64 [может быть обновлён с: 50.0-3]
firefox-esr/unstable 45.5.1esr-1 amd64 [может быть обновлён с: 45.5.0esr-1]

Дальше дело за бюрократией по «стабилизации», но обновиться можно вот прям щас.

Ну да, а если баги не связаны с безопасностью, так и живи с ними 2 года. Нафиг такой дзен. Апстрим делает багфикс-релизы не просто от скуки же.

Что за чушь? Бэкпортируют любые важные багфиксы, не только security. Кроме того, лису и так обновляют, когда выходит новая ESR-версия.

Ну и это ещё дело вкуса: сидеть два года с одними и теми же багами, или постоянно с новыми, число которых не уменьшается.

Установи Firefox Nightly, и забудь о всех проблемах. Будешь обновляться каждый день по 5 раз.

Т.е. ты советуешь ТС подключить unstable?

А вам в дебиан уже прилетел 45.5.1?

В sid прилетел, ждём в jessie:

https://security-tracker.debian.org/tracker/CVE-2016-9079

Можно сидеть с отключенными скриптами, а можно смешать ветки. В конце концов я из сид не предлагаю libc тащить, а лишь Firefox.

На Debian безопаснее всего иметь включённым хранилище: deb http://security.debian.org/ jessie/updates main contrib non-free

на этом всё.