Table des matières

Ajouter le dépôt Firefox/Mozilla à Debian stable

Source : Install Firefox .deb package for Debian-based distributions (Recommended) (en) (support.mozilla.org)

Une fois qu'on a installé et lancé la nouvelle version de Firefox, le retour en arrière devient compliqué.

En effet les données de profil sont réorganisées par la nouvelle version. Si l'ancienne version est restaurée, elle refusera d'utiliser ces profils…

Cas d'utilisation

Je ne veux rien de fou… Juste disposer de la version courante de Firefox-esr.

Debian ne propose pas de l'installer. En effet, lorsque Mozilla sort une nouvelle version de Firefox-esr, il maintient l'ancienne version pendant un certain temps. Durant cette période, les dépôts officiels de Debian ne proposent que la branche “old” de Firefox-esr :-(

Pire, si Mozilla décide d'arrêter la maintenance de sa branche “old” plus tôt que prévu, on se retrouve avec une version non maintenue par Firefox avant que Debian ne réagisse1).

Marche à suivre

Clés de signature Mozilla pour les paquetages

$ wget -q https://packages.mozilla.org/apt/repo-signing-key.gpg -O- | sudo tee /etc/apt/keyrings/packages.mozilla.org.asc > /dev/null

Récupère les clés de signature gpg de Mozilla et de les installe dans le trousseau de clé d'apt.

$ gpg -n -q --import --import-options import-show /etc/apt/keyrings/packages.mozilla.org.asc | awk '/pub/{getline; gsub(/^ +| +$/,""); if($0 == "35BAA0B33E9EB396F59CA838C0BA5CE6DC6315A3") print "\nThe key fingerprint matches ("$0").\n"; else print "\nVerification failed: the fingerprint ("$0") does not match the expected one.\n"}'

Vérifie l'empreinte des clés.

Dépôt Mozilla

$ echo "deb [signed-by=/etc/apt/keyrings/packages.mozilla.org.asc] https://packages.mozilla.org/apt mozilla main" | sudo tee -a /etc/apt/sources.list.d/mozilla.list > /dev/null

Ajoute le dépôt Mozilla pour qu'il soit utilisé par apt.

Prioriser les paquets fournis par Mozilla

$ echo '
Package: *
Pin: origin packages.mozilla.org
Pin-Priority: 1000
' | sudo tee /etc/apt/preferences.d/mozilla 

Adapte les règles de priorité afin que les paquetages fournis par le dépôt Mozilla soit prioritaires sur ceux proposés par les dépôts Debian.

Mises à jour

À partir de là, on fait les mises à jour du système comme on a l'habitude de les faire. Par exemple :

$ sudo apt update
$ sudo apt full-upgrade
Sous Debian, les mises à jour de firefox ne seront pas signalées comme des mises à jour de sécurité, même si elles le sont. Elles seront signalées comme de simples mise à jour fonctionnelles. Il convient donc d'être particulièrement vigilante dans l'application de ces mises à jour.
Personnellement, dès que Debian se recale sur la version ESR courante, je supprime les dépôts Mozilla pour revenir à une gestion normale des mises à jour. Les sections suivantes expliquent comment s'y prendre ;-)

Suivi des versions disponibles

Pour savoir quelles sont les versions disponibles dans les différents dépôts déclaré sur ce système :

$ apt policy firefox-esr

Affichera les versions de firefox-esr disponibles dans les dépôts Mozilla et Debian ainsi que leurs priorités, compte tenu de la configuration courante. Par exemple :

$ apt policy firefox-esr
firefox-esr:
  Installé : 128.2.0esr~build1
  Candidat : 128.2.0esr~build1
 Table de version :
 *** 128.2.0esr~build1 1000
       1000 https://packages.mozilla.org/apt mozilla/main amd64 Packages
        100 /var/lib/dpkg/status
     128.1.0esr~build2 1000
       1000 https://packages.mozilla.org/apt mozilla/main amd64 Packages
     128.0esr~build2 1000
       1000 https://packages.mozilla.org/apt mozilla/main amd64 Packages
     115.15.0esr-1~deb12u1 500
        500 https://security.debian.org/debian-security bookworm-security/main amd64 Packages
     115.14.0esr-1~deb12u1 50
        500 https://deb.debian.org/debian bookworm/main amd64 Packages

À la date de la rédaction2), on constate que Mozilla propose la version 128.2 (installée) tandis que Debian propose la version 115.15.

Retour à la normale

Après disparition de la version “esr-old” Debian bascule vers la seule version esr existante. Le suivi des versions permet de le vérifier.

Si le Mozilla et Debian proposent la même version, on peut choisir de supprimer le dépôt Mozilla pour revenir à la configuration standard :

$ sudo rm /etc/apt/keyrings/packages.mozilla.org.asc
$ sudo rm /etc/apt/sources.list.d/mozilla.list
$ sudo rm /etc/apt/preferences.d/mozilla
$ sudo apt update
$ sudo apt policy firefox-esr
1)
Vu l'importance de l'application, il y a tout lieu de penser que correctifs des failles de sécurité découvertes sur la nouvelle version de firefox-esr seront, d'une manière ou d'une autre, rétro-propagées sur de vieilles versions encore présentes dans les dépôts.
2)
Septembre 2024.