flash-player-11.2.202.632 Security-Update available ...
Hello, [opensuse-de -> s. Mitte] ... Tuesday was Groundhog-Da^Flash-Update-Day again[99] ... the usual flash security update is out, get version 11.2.202.632! ... for oS 13.1/13.2 via the official update repos, you should have them active already ... for oS versions since 12.1 that are unsupported (12.x) or where flash is unsupported (Leap, TW), i.e. all but 13.x (but I build for those anyway), from my home repo: http://download.opensuse.org/repositories/home:/dnh/. [I'll probably add Leap 42.2 soonish, Dave Plater is apparently already testing my build for Leap 42.2.] Oh, BTW: I recommend you add my repo only with a low priority, i.e. a high number (say 199), as other packages of my repo might mess up your system. Then, switch ONLY the "flash-player*" packages you want by manually selecting the "home:dnh" .632 version in the version-tab in Yast to my repo. You'll then get that packages and only those from "me", and also future updates thanks to "vendor pinning". Feel free to ask for more details about the repo-handling (esp. for this case of one-out-of-lots packages from some home:* repo ;) ==== -de Kurzversion ==== ... und "täglich" grüßt das Murmelt^Flash-Update ... Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben. Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu. ==== -dnh PS: YES! Flash has got to die. But there's still too much crap out there where you just _need_ flash and the alternatives (e.g. gnash) don't work. I recommend you get the prefbar FF/Seamonkey extension[1] with which it is one click in a checkbox for Flash to be (en-/dis-)abled and then keep Flash disabled unless you really need it. Or find some similar extension for Chrom* or whatever. Also, disabling JS (via NoScript etc.) is good too. [1] https://prefbar.mozdev.org https://addons.mozilla.org/en-US/seamonkey/addon/prefbar/ (and yeah, I've got a couple of custom checkboxes for notorious stuff, e.g. for the SSL/TLS "safe renegotiation" pref. Make about:config stuff available via a checkbox or whatnot ;) [99] I actually checked the flash-player version somewhen on tuesday, the update must have come out just then about. Jep, the tarball has the date "2016/07/12 15:08 UTC", and I went to bed just at about that time. -- printk("%s: TDR is ga-ga (status %04x)\n", ...); linux-2.6.6/drivers/net/eexpress.c -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.07.2016 um 12:58 schrieb David "Flash! Ahh aaah!" Haller:
==== -de Kurzversion ====
... und "täglich" grüßt das Murmelt^Flash-Update ...
Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben.
Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu.
Warum machst Du das nicht als offizielles Maintenance Release für die derzeit 'supporteten' (13.2 und Leap) ... Factory (TW holt es sich dann eh) ... und Evergreen (13.1) ? Dann muß niemand mit deinem Repo hantieren ... Danke :) -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Thu, 14 Jul 2016, Christian schrieb:
Am 14.07.2016 um 12:58 schrieb David "Flash! Ahh aaah!" Haller:
==== -de Kurzversion ====
... und "täglich" grüßt das Murmelt^Flash-Update ...
Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben.
Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu.
Warum machst Du das nicht als offizielles Maintenance Release für die derzeit 'supporteten' (13.2 und Leap) ... Factory (TW holt es sich dann eh) ... und Evergreen (13.1) ? Dann muß niemand mit deinem Repo hantieren ...
1. 13.1 / 13.2 bekommen offizielle Updates. Siehe z.B.: https://build.opensuse.org/package/show/openSUSE:13.2:NonFree:Update/flash-p... und http://download.opensuse.org/update/13.2-non-oss/ Und ich empfehle ja auch, sich die Updates da zu holen, z.B. gibt's: http://download.opensuse.org/update/13.2-non-oss/x86_64/ http://download.opensuse.org/update/13.2-non-oss/x86_64/flash-player-11.2.20... Für Leap und Factory/TW wird AFAIK Flash offiziell _gar nicht_ mehr unterstützt (und wird es auch nicht mehr. Totes Pferd. Weißt schon.) Kurzum: 1. es gibt ein offizielles Maint' Update (von dem ich mehr als sonst abgekupfert habe) für 13.1 und 13.2 2. für alles andere gibt's offiziell nix. Und wird's wohl auch nicht geben. Und genau deswegen baue ich, entgegen meiner sonstigen Gewohnheiten, die Pakete nicht nur für 12.x sondern auch für Leap und TW/Factory. -dnh -- Prof: So the American government went to IBM to come up with a data encryption standard and they came up with ... Student: EBCDIC! -- snarfed off of Ralph Angenendt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David "Flash! Ahh aaah!" Haller [14.07.2016 12:58]:
==== -de Kurzversion ====
... und "täglich" grüßt das Murmelt^Flash-Update ...
Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben.
Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu.
Hallo David, und warum nicht die Version von http://linuxdownload.adobe.com/linux/x86_64/? Auf https://en.opensuse.org/Adobe_Flash_Player wird direkt darauf verwiesen, die deutsche Seite scheint durchaus antiker zu sein. Na gut, habe sie gerade aktualisiert... Derzeit steht dort flash-plugin in Version 11.2.202.632-release zur Verfügung. Und nichts weiter als das Paket mit der Zertifikaten. :)
====
-dnh
PS: YES! Flash has got to die. But there's still too much crap out there where you just _need_ flash and the alternatives (e.g. gnash) don't work.
Aye :-\ saacht Werner --
Hallo, Am Thu, 14 Jul 2016, Werner Flamme schrieb:
David "Flash! Ahh aaah!" Haller [14.07.2016 12:58]:
==== -de Kurzversion ====
... und "täglich" grüßt das Murmelt^Flash-Update ...
Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben.
Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu.
und warum nicht die Version von http://linuxdownload.adobe.com/linux/x86_64/? Auf
Wie diese RPMs gepackt werden weiß ich nicht. Ich finde die ja nicht (s.u.)
https://en.opensuse.org/Adobe_Flash_Player wird direkt darauf verwiesen, die deutsche Seite scheint durchaus antiker zu sein. Na gut, habe sie gerade aktualisiert...
Gibt's da Pakete für 12.1, 12.2, 12.3, 13.1, 13.2, Leap 42.1, (bald wohl auch 42.2), und Tumbleweed? Für x86_64 und i586? Dummerweise ist bei dem Verzeichnis das Listing eben blockiert ... http://linuxdownload.adobe.com/ -> 403 http://linuxdownload.adobe.com/linux -> 403 http://linuxdownload.adobe.com/linux/x86_64 -> 403 http://linuxdownload.adobe.com/linux/x86_64/openSUSE_13.1 -> 404 Wo sind da die RPMs und wie finde ich die? # zypper ar --check --refresh http://linuxdownload.adobe.com/linux/x86_64/ If only one argument is used [.. rest von zypper Fehlermeldung ..] Neee, irgendwie funzt dat nich. Funktioniert das mit aktuellen SUSE Versionen denn?
Derzeit steht dort flash-plugin in Version 11.2.202.632-release zur Verfügung. Und nichts weiter als das Paket mit der Zertifikaten. :)
Bei mir im Repo auch! 11.2.202.632. Und das hat nur solange gebraucht, weil ich quasi beim Release (tarball von Adobe hat Dienstag 15:08 UTC als ctime) ins Bett bin und dann erstmal _lange_ ausgeschlafen habe ;)
PS: YES! Flash has got to die. But there's still too much crap out there where you just _need_ flash and the alternatives (e.g. gnash) don't work.
Aye :-\
saacht Werner
Eben. Und solange das so ist guck ich, daß ich für meine 12.1 (und den Rest) ein _aktuelles_ flash-player Paket anbiete. Nicht mehr. Nicht weniger. BTW: wenn man _nur_ die gewünschten flash-player Pakete von mir auf mich als "Vendor" "umbiegt", dann bekommt man auch nur die dann bei den Updates angeboten. Die Priorität vom Repo sollte man eher auf z.B. 199 setzen, d.h. sehr "niedrig". -dnh -- 40: overdrive processor Prozessor mit übertriebenem Preis-Leistungsverhältnis (Holger Reif) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David Haller [14.07.2016 15:35]:
Hallo,
Am Thu, 14 Jul 2016, Werner Flamme schrieb:
David "Flash! Ahh aaah!" Haller [14.07.2016 12:58]:
==== -de Kurzversion ====
... und "täglich" grüßt das Murmelt^Flash-Update ...
Das übliche Flash-Sicherheitsupdate mal wieder. URL zu meinem Repo mit den Paketen für 12.1 bis Leap 42.1 siehe oben.
Ich empfehle aus meinem Repo nur den flash-player zu installieren, viele der anderen Pakete sind eher experimentell. Fragen? Nur zu.
und warum nicht die Version von http://linuxdownload.adobe.com/linux/x86_64/? Auf
Wie diese RPMs gepackt werden weiß ich nicht. Ich finde die ja nicht (s.u.)
https://en.opensuse.org/Adobe_Flash_Player wird direkt darauf verwiesen, die deutsche Seite scheint durchaus antiker zu sein. Na gut, habe sie gerade aktualisiert...
Gibt's da Pakete für 12.1, 12.2, 12.3, 13.1, 13.2, Leap 42.1, (bald wohl auch 42.2), und Tumbleweed? Für x86_64 und i586? Dummerweise ist bei dem Verzeichnis das Listing eben blockiert ...
http://linuxdownload.adobe.com/ -> 403 http://linuxdownload.adobe.com/linux -> 403 http://linuxdownload.adobe.com/linux/x86_64 -> 403 http://linuxdownload.adobe.com/linux/x86_64/openSUSE_13.1 -> 404
Wo sind da die RPMs und wie finde ich die?
# zypper ar --check --refresh http://linuxdownload.adobe.com/linux/x86_64/ If only one argument is used [.. rest von zypper Fehlermeldung ..]
zypper ar -f http://linuxdownload.adobe.com/linux/x86_64/ adobe zum Hinzufügen des Repo funktioniert bei mir. Ich use nicht nur one argument :) Der Befehl stand genau so, wie ich ihn einsetze, also ohne --check (die URL stimmt, da muss ich nichts checken) und mit -f statt --refresh, auf https://en.opensuse.org/Adobe_Flash_Player und auf https://de.opensuse.org/Adobe_Flash_Player - die beiden Abschnitte kommen nämlich von mir. Irgend jemand hat da geändert, obwohl ich als letzter Änderer drinstehe. Dem Repo-Namen nach zu urteilen handelt es sich um x86_64-Pakete. Als solche werden sie auch anstandslos installiert. Meine Suchmmaschine findet aber auch http://linuxdownload.adobe.com/linux/i386/, das wird wohl für 32-Bit-Pakete sein. Falls Du noch eine 32-bittige Kiste hast, versuche doch mal zypper ar -f http://linuxdownload.adobe.com/linux/i386/ adobe :) Die Pakete sind für alle Linux-Distris gedacht, die mit dem rpm-Format umgehen können. Die URL habe ich z. B. aus eine Fedora-Hilfe-Seite.
Neee, irgendwie funzt dat nich. Funktioniert das mit aktuellen SUSE Versionen denn?
Klar, deshalb wurde das ja im Wiki aufgenommen. Und deshalb ist die Überschrift im deutschen Teil auch "Ab openSUSE 13.2".
Derzeit steht dort flash-plugin in Version 11.2.202.632-release zur Verfügung. Und nichts weiter als das Paket mit der Zertifikaten. :)
Bei mir im Repo auch! 11.2.202.632. Und das hat nur solange gebraucht, weil ich quasi beim Release (tarball von Adobe hat Dienstag 15:08 UTC als ctime) ins Bett bin und dann erstmal _lange_ ausgeschlafen habe ;)
Ja, schon, aber auch die Maintenance-Releases nehmen kein anderes Material als das, was in linuxdownload.adobe.com bereit liegt. Und warum soll ich warten, bis OBS das Paket in 2 oder 3 Pakete umgebaut hat? Da kann ich das Update auch schneller holen. Werner --
Hallo, Am Fri, 15 Jul 2016, Werner Flamme schrieb: [..]
zypper ar -f http://linuxdownload.adobe.com/linux/x86_64/ adobe
Ok, das hat geklappt. Warum adobe da das Dir-Listing so dicht macht verstehen wohl auch nur die ... [..]
Die Pakete sind für alle Linux-Distris gedacht, die mit dem rpm-Format umgehen können. Die URL habe ich z. B. aus eine Fedora-Hilfe-Seite.
Und genau das ist ein Problem, die RPMs sind sehr seltsam (AFAIK eher Fedora-mäßig) gepackt. Vergleiche doch mal selber, SUSE-mäßig sieht das so aus: $ for f in $(rpm -qa 'flash-player*'); do echo "==== $f ====" ; \ rpm -ql "$f"; echo; done ==== flash-player-gnome-11.2.202.632-1.1.x86_64 ==== /usr/bin/flash-player-properties /usr/share/applications/flash-player-properties.desktop ==== flash-player-11.2.202.632-1.1.x86_64 ==== /usr/lib64/browser-plugins/libflashplayer.so /usr/share/doc/packages/flash-player /usr/share/doc/packages/flash-player/EULA /usr/share/doc/packages/flash-player/EULA/Flash Player_14.0.pdf /usr/share/doc/packages/flash-player/readme.txt /usr/share/icons/hicolor/16x16/apps/flash-player-properties.png /usr/share/icons/hicolor/22x22/apps/flash-player-properties.png /usr/share/icons/hicolor/32x32/apps/flash-player-properties.png /usr/share/icons/hicolor/48x48/apps/flash-player-properties.png ==== flash-player-kde4-11.2.202.632-1.1.x86_64 ==== /usr/lib64/kde4/kcm_adobe_flash_player.so /usr/share/kde4/services/kcm_adobe_flash_player.desktop Insbesondere daß das Plugin in /usr/lib64/browser-plugins/ liegt ist relevant, weil dort alle NPAPI-fähigen Browser unter SUSE nach Plugins suchen. Und guck dir auch die requires vom Adobe-RPM an!
Neee, irgendwie funzt dat nich. Funktioniert das mit aktuellen SUSE Versionen denn?
Klar, deshalb wurde das ja im Wiki aufgenommen. Und deshalb ist die Überschrift im deutschen Teil auch "Ab openSUSE 13.2".
Tja, bei mir: ab 12.1 :)
Derzeit steht dort flash-plugin in Version 11.2.202.632-release zur Verfügung. Und nichts weiter als das Paket mit der Zertifikaten. :)
Bei mir im Repo auch! 11.2.202.632. Und das hat nur solange gebraucht, weil ich quasi beim Release (tarball von Adobe hat Dienstag 15:08 UTC als ctime) ins Bett bin und dann erstmal _lange_ ausgeschlafen habe ;)
Ja, schon, aber auch die Maintenance-Releases nehmen kein anderes Material als das, was in linuxdownload.adobe.com bereit liegt. Und warum soll ich warten, bis OBS das Paket in 2 oder 3 Pakete umgebaut hat? Da kann ich das Update auch schneller holen.
Ich bau die Pakete immer direkt sobald ich's mitbekomme, egal ob SUSE dann schon nen Bug und Updates hat oder nicht. Wann hast du z.B. die letzten 3 Updates tatsächlich installiert? # grep -i '|flash-plugin|' /var/log/zypp/history | cut -d'|' -f1,3,4 | tail -3 [bitte hier einfügen] Zum Vergleich: # grep -i '|flash-player|' /var/log/zypp/history | cut -d'|' -f1,3,4 | tail -3 2016-05-13 18:03:56|flash-player|11.2.202.621-1.1 2016-06-17 13:35:03|flash-player|11.2.202.626-1.1 2016-07-14 06:11:22|flash-player|11.2.202.632-1.1 Das waren jew. meine Pakete aus meinem OBS-Repo. Und außerdem: ich wette die einzelnen fixes sind teils gut abgehangen und werden nur monatlich en-block rausgehauen, sieht man ja auch daran, daß immer ne ganze Latte an CVEs gefixt werden. Und an der Version. Adobe legt die eben auf Halde bis der Monat rum ist. Ob du dann nochmal nen Tag länger warten mußt oder nicht dürfte letztlich egal sein. Guck dir einfach mal vom letzten Update die CVEs an, wann die jew. veröffentlicht wurden... -dnh -- The duke had a mind that ticked like a clock and, like a clock, it regularly went cuckoo. -- (Terry Pratchett, Wyrd Sisters) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David Haller [19.07.2016 04:43]:
Hallo,
Am Fri, 15 Jul 2016, Werner Flamme schrieb: [..]
zypper ar -f http://linuxdownload.adobe.com/linux/x86_64/ adobe
Ok, das hat geklappt. Warum adobe da das Dir-Listing so dicht macht verstehen wohl auch nur die ...
[..]
Die Pakete sind für alle Linux-Distris gedacht, die mit dem rpm-Format umgehen können. Die URL habe ich z. B. aus eine Fedora-Hilfe-Seite.
Und genau das ist ein Problem, die RPMs sind sehr seltsam (AFAIK eher Fedora-mäßig) gepackt. Vergleiche doch mal selber, SUSE-mäßig sieht das so aus: [...]
Ja, dass SUSE 3 Pakete daraus macht, weiß ich. Wozu das gut ist, eher nicht. Für die paar Byte, die im Gnome-Paket sind, das ich nicht installiere, lohnt sich der Aufwand nicht. Und es scheint rothutmäßig gepackt zu sein, weil /usr/share/doc/flash-plugin-11.2.202.632 benutzt wird statt /usr/share/doc/packages/flash-player.
Insbesondere daß das Plugin in /usr/lib64/browser-plugins/ liegt ist relevant, weil dort alle NPAPI-fähigen Browser unter SUSE nach Plugins suchen.
Das Plugin von Adobe installiert sich nach /usr/lib64/flash-plugin. Mein Firefox nutzt es trotzdem. Nicht in der Fileliste steht nämlich ein Symlink /usr/lib64/browser-plugins/libflashplayer.so -> /usr/lib64/flash-plugin/libflashplayer.so # rpm -qf /usr/lib64/browser-plugins/libflashplayer.so file /usr/lib64/browser-plugins/libflashplayer.so is not owned by any package Magie ;)
Und guck dir auch die requires vom Adobe-RPM an!
# rpm -q --requires flash-plugin glibc >= 2.4 /bin/sh /bin/sh /bin/sh /bin/sh rpmlib(PayloadFilesHavePrefix) <= 4.0-1 rpmlib(CompressedFileNames) <= 3.0.4-1 Naja, muss ja für alle Distris reichen, da nimmt man mal eine antike glibc.
Neee, irgendwie funzt dat nich. Funktioniert das mit aktuellen SUSE Versionen denn?
Klar, deshalb wurde das ja im Wiki aufgenommen. Und deshalb ist die Überschrift im deutschen Teil auch "Ab openSUSE 13.2".
Tja, bei mir: ab 12.1 :)
Ja, aber damals gab es ja noch Maintenance-Updates, da hat sich noch keiner für das Repo interessiert :) [...]
Ich bau die Pakete immer direkt sobald ich's mitbekomme, egal ob SUSE dann schon nen Bug und Updates hat oder nicht. Wann hast du z.B. die letzten 3 Updates tatsächlich installiert?
# grep -i '|flash-plugin|' /var/log/zypp/history | cut -d'|' -f1,3,4 | tail -3
[bitte hier einfügen]
Zum Vergleich:
# grep -i '|flash-player|' /var/log/zypp/history | cut -d'|' -f1,3,4 | tail -3 2016-05-13 18:03:56|flash-player|11.2.202.621-1.1 2016-06-17 13:35:03|flash-player|11.2.202.626-1.1 2016-07-14 06:11:22|flash-player|11.2.202.632-1.1
Am Freitag, 13.5., hatte ich die Hände voll mit SAP-Patches, deshalb ist mein Büro-PC erst später aktualisiert worden ;). Ansonsten war ich früher dran :p 2016-05-19 08:54:19|flash-plugin|11.2.202.621-release 2016-06-17 07:55:46|flash-plugin|11.2.202.626-release 2016-07-13 07:23:44|flash-plugin|11.2.202.632-release
Das waren jew. meine Pakete aus meinem OBS-Repo. Und außerdem: ich wette die einzelnen fixes sind teils gut abgehangen und werden nur monatlich en-block rausgehauen, sieht man ja auch daran, daß immer ne ganze Latte an CVEs gefixt werden. Und an der Version. Adobe legt die eben auf Halde bis der Monat rum ist. Ob du dann nochmal nen Tag länger warten mußt oder nicht dürfte letztlich egal sein. Guck dir einfach mal vom letzten Update die CVEs an, wann die jew. veröffentlicht wurden...
Ich lese den Ticker https://www.cert-bund.de/feed/advisoryshort.rdf, da taucht der Begriff "Flash" schon mal auf :) Und warum sollte Adobe häufiger Patches zur Verfügung stellen als Winzigweich? Werner --
participants (4)
-
Christian -
David "Flash! Ahh aaah!" Haller -
David Haller
-
Werner Flamme