Hallo,
ich habe gerade bei F-Droid eine Sicherheitswarnung für Mull und Fennec bekommen
Weiß jemand näheres?
Vermutlich, weil Mull und Fennec seit Version 129.0.2 (26.8.2024) keine neuen Updates erhalten haben und kritische Fehler seitdem behoben wurden.
Aktuelle Firefox-Version ist derzeit 131.0.3.
Darum nutze ich auch keine Forks mehr. Ich nehme nur noch ein paar Einstellungen beim Firefox vor bzgl. Datenschutz und das langt mir. Lieber die neuesten Sicherheitsupdates als Forks bei denen man lange auf Updates warten darf.
1 „Gefällt mir“
F-Droid: Fennec F-Droid / Mull
Oh, tatsächlich… Nicht schön.
Scheint ein F-Droid-Problem zu sein: Ich habe im F-Droid-Client das DivestOS - Repository aktiviert und beziehe darüber die Updates für Mull. Da ist die aktuelle Version auch 131.0.3.
2 „Gefällt mir“
Fennec and Mull: mark as KnownVuln 
KnownVuln:
en-US: Firefox has fixed several security vulnerabilities since 130.
Ergänzung:
Siehe auch https://forum.f-droid.org/t/fennec-vulnerability-recommended-to-uninstall/28826/2 Hervorhebung durch mich
Fennec and Mull 129.0.2 in F-Droid.org repository have 42 known security issues per my https://divestos.org/misc/ffa-dates.txt
• Security Vulnerabilities fixed in Firefox 130 — Mozilla
• Security Vulnerabilities fixed in Firefox for Android 130.0.1 — Mozilla
• Security Vulnerabilities fixed in Firefox 131 — Mozilla
• Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla
• Security Vulnerability fixed in Firefox 131.0.3 — MozillaThe issue preventing updates should be resolved soon thanks to @linsui fixing it!
Dann warten wir mal auf das Update für Fennec.
In der Tat.
Mike hat in diesem Beitrag auch empfohlen, Mull über das DivestOS-Repo zu beziehen:
https://www.kuketz-blog.de/sichere-und-datenschutzfreundliche-browser-meine-empfehlungen-teil-1/
Mike schreibt dort:
LibreWolf/Mull:
- Lasst ResistFingerprinting (RFP) aktiv. Wenn eine Seite nicht funktioniert, wechselt zu eurem »Backup-Browser«.
- Die Auslieferung von (Sicherheits-)Updates kann sich verzögern.
- Für zeitnahe (Sicherheits-)Updates sollte bei Mull das DivestOS-Repository verwendet werden
Ich habe die Warnung auch bekommen und Fennec deinstalliert. Außerdem habe ich ein paar Verständnisfragen. Ist es nicht so, dass Mull teilweise auf Fennec basiert oder ähnlich ist? Guckt die Beschreibung von Mull auf F-Droid. Wieso wurde Mull (eigenes Repository) dann aktualisiert und Fennec nicht? Ist der Maintainer von Fennec Russe und arbeitet bei Kaspersky? Ich frage das, weil auf der F-Droid-Seite von Mull ein Akronym steht. Guckt man auf dessen Gitlab-Präsenz, stehen da einige Posts, die ich nicht ganz lesen kann, weil ich kein Nutzerkonto besitze. Anscheinend muss er seit 129 die „toolchain“ für Fennec selbst bauen, was wohl für Probleme sorgt. Ich kann das nicht einordnen. Vielleicht kann mal jemand gucken. Aber ich weiß nicht recht, ob ich Fennec & Co überhaupt noch nutzen sollte, obwohl ich bisher sehr zufrieden war, auch weil ich uBlock nutzen kann. Was macht ihr jetzt? Firefox Standard? Brave? Nutze momentan nur Vanadium.
Bislang habe ich keine Hinweise / Informationen finden können, dass die vor der Warnung in F-Droid veröffentlichte Version kompromittiert ist.
Es gibt aktuell eigentlich keinen Grund in Panik zu verfallen oder gar etablierte Systeme tauschen zu wollen.
https://discuss.grapheneos.org/d/10582-obtainium-setting-up-difficult-apps
Hier ist beschrieben wie man Mull und Tor in Obtanium einbindet.
Zitat:
Adding Mull and Tor with these settings should work.
mull
Source URL: https://divestos.org/fdroid/official
Override source: Fdroid Third Party Repo
App ID: us.spotco.fennec_dos
tor
Source URL: https://guardianproject.info/fdroid/repo
Override source: Fdroid Third Party Repo
App ID: org.torproject.torbrowser
Bei meiner kleinen Update-Umschau auf meinem Tablet (Android) heute früh meldete F-Droid:
„In ‚Fennec F-Droid‘ wurden Sicherheitslücken festgestellt. Es wird empfohlen, diese App unverzüglich zu deinstallieren.“
Ich also gleich nachgeschaut, Stand demnach 29.10.24 früh, auf Android:
Fennec: 129.0.2 vom 26.08.24
Firefox: 132.0 vom 21.10.24
Uuups?
Ich nutze Fennec allerdings ausschließlich zum Schreiben/Editieren von Blogbeiträgen in meinem WordPress-Blog. Und dies bloß deswegen, weil der WordPress-Editor auf meinem Firefox spätestens nach dem Schreiben einiger Dutzend Zeilen Text beginnt, sich seltsam erratisch zu verhalten und schließlich kaum noch ein vernünftiges Schreiben zulässt. Warum auch immer, in Fennec funktioniert’s besser (aber auch nicht ganz problemlos).
Von daher sehe ich den deutlichen Versionsrückstand für meinen speziellen singulären Nutzungsfall nicht als besonders alarmierend an, aber wer Fennec zum allgemeinen Surfen im Web einsetzt, sollte im Moment vielleicht überlegen, ob das eine gute Wahl ist.
Gut ist: Jeder wird gewarnt und kann damit sein Risiko analog deinem Vorgehen für sich bewerten.
Wen näheres interessiert, kann F-Droid und das Forum besuchen. Dort findet man Hinweise auf die Ursache, mögliche Alternativen und auch einen Status, z.B. https://forum.f-droid.org/t/fennec-vulnerability-recommended-to-uninstall/28826
1 „Gefällt mir“
Das Thema hatten wir schon:
Sicherheitswarnung Fennec und Mull bei f-droid
Oh… hatte ich nicht gesehen. My Fault, sorry.
Ich lasse Fennec eben mal ruhen und nutze zum Blogschreiben ab sofort b.a.W. Brave.
Ein Beitrag von Mike dazu:
https://social.tchncs.de/@kuketzblog/113373255536419003
Vielleicht sollte Fennec (zumindest vorrübergehend) einen alternativen Distributionsweg wählen. Das einfachste wäre es, selbst signierte Versionen in deren GitLab-Repo hochzuladen. Dann haben die Nutzer erstmal Patches (und die Nutzer von Obtainium freut es besonders). Alternativ könnten sie natürlich auch ein F-Droid Third-Party–Repo nutzen, aber das müssten sie erst selbst eines hosten oder ein Repo finden, das diese nur noch zu 99,9% FOSS-App akzeptieren.
Hallo zusammen,
nach aktuellem Stand ist Fennec in der Version 132.0.0 wieder lauffähig.
Ursache war wohl (wie bereits genannt), dass F-Droid Google-Quellen als vertrauenswürdig annimmt, Mozilla-Quellen jedoch nicht.
Es wurde auch im F-Droid Repository diskutiert, ob das noch Zukunft hat und teilweise kritisiert, nach welchen Kriterien F-Droid die Vertrauenswürdigkeit festlegt.
Zudem haben wir das Problem, welches wir auch bei der xz-Backdoor schon hatten: Es gibt zu wenige Maintainer, also Mitentwickler, die sich um das Projektupdate kümmern. Der Build für Fennec wird vom Nutzer „relan“ gepflegt, der nach eigener Aussage gerade umgezogen ist und wenig Zeit für das Update gefunden hat. Erst durch die Aufmerksamkeit der aktuellen Sicherheitslücke war genug Manpower vorhanden, sich dem Problem anzunehmen.
Fennec 132 ist laut „relan“ auf dem Weg zur Veröffentlichung. Hierzu muss die Infrastruktur von F-Droid das Paket noch bauen und wird es dann in einigen Tagen veröffentlichen.
Grüße
McM
===== Update vom 03. November =====
Hallo zusammen,
Update zur neuen Version 132 von Fennec (Firefox):
Offenbar konnte F-Droid die App nicht aus dem Quellcode erstellen. Es gab wohl einen Fehler bei den Einstellungen des Compilers, bei dem die Entwickler davon ausgehen, dass er inzwischen behoben wurde.
F-Droid erstellt fortlaufend Apps aus dem Quellcode, d.h. wir müssen jetzt wieder warten, bis Fennec wieder an der Reihe ist und der Datensatz abgearbeitet wurde. Demnach dürfte Fennec in 3 - 6 Tagen wieder verfügbar sein, wenn nicht ein weiterer Fehler das Erstellen verhindert…
Grüße
McM
===== Update vom 05. November =====
Hallo zusammen,
laut den F-Droid logs ist die Erstellung gestern durchgelaufen:
BUILD SUCCESSFUL in 25m 42s
3992 actionable tasks: 3972 executed, 20 up-to-date
~/build/org.mozilla.fennec_fdroid
Die App wird also nach dem vollständigen Durchlauf von F-Droid aktualisiert werden, nach jetziger Schätzung im Laufe dieser Nacht. Und dann müssen die fertigen Apps noch veröffentlicht werden, das wird auch nur kurz dauern.
Grüße
McM
5 „Gefällt mir“
Jep, Version 132.0.0 ist verfügbar.