Ich führe auf meinem Leap 16 System, einer ziemlich minimalen KDE Installation, täglich ein Update mit “sudo zypper up” aus. Das letzte Update aus dem OSS Repo war ein neuer Kernel am 24.12.2025, das ist jetzt 2 1/2 Wochen her. Danach kamen nur noch Updates aus dem Packman Essentials Repo. Firefox ESR ist bei Version 140.5.0 und damit nicht aktuell, in Leap 15.6 ist bereits seit längerem 140.6.0 verfügbar.
Kann es sein, dass der Update Stack wegen der Umstellung der Sourcenverwaltung auf Git immer noch nicht richtig funktioniert? Es sind inzwischen immerhin 3 Monate seit dem Release Termin vergangen. Grundsätzlich stellt sich damit die Frage, ob überhaupt und wenn ja wann man in Leap 16 mit der zeitnahen Veröffentlichung von sicherheitskritischen Updates rechnen kann.
~> diff <(zypper lp -a --date 2025-12-25) <(zypper lp -a)
117a118
> repo-oss | openSUSE-Leap-16.0-119 | security | important | --- | nicht erforderlich | Security update for sssd
136a138
> repo-oss | openSUSE-Leap-16.0-packagehub-23 | recommended | important | --- | nicht erforderlich | Recommended update for quilt
139a142
> repo-oss | openSUSE-Leap-16.0-packagehub-27 | security | important | --- | angewendet | Security update for MozillaThunderbird
141a145
> repo-oss | openSUSE-Leap-16.0-packagehub-30 | security | important | --- | nicht erforderlich | Security update for helmfile
146a151,153
> repo-oss | openSUSE-Leap-16.0-packagehub-36 | recommended | moderate | --- | nicht erforderlich | Recommended update for evolution
> repo-oss | openSUSE-Leap-16.0-packagehub-37 | security | critical | --- | nicht erforderlich | Security update for redis
> repo-oss | openSUSE-Leap-16.0-packagehub-38 | security | important | --- | nicht erforderlich | Security update for shadowsocks-v2ray-plugin, v2ray-core
147a155
> repo-oss | openSUSE-Leap-16.0-packagehub-40 | security | moderate | --- | nicht erforderlich | Security update for bash-git-prompt
154a163
> repo-oss | openSUSE-Leap-16.0-packagehub-49 | recommended | moderate | --- | nicht erforderlich | Recommended update for perl-Mojolicious-Plugin-Webpack
156a166
> repo-oss | openSUSE-Leap-16.0-packagehub-52 | security | moderate | --- | nicht erforderlich | Security update for exim
163a174,175
> repo-oss | openSUSE-Leap-16.0-packagehub-60 | security | important | --- | nicht erforderlich | Security update for chromium
> repo-oss | openSUSE-Leap-16.0-packagehub-61 | recommended | moderate | --- | nicht erforderlich | Recommended update for icinga-php-thirdparty, icinga-php-library, icingaweb2
Das letzte Update von Thunderbird ESR auf 140.5.0 fand aber schon am 22.11.2025 statt, die Patchinfo wurde anscheinend erst später nachgeliefert. Aktuell ist übrigens 140.6.0.
Ich benutze den Firefox ESR nicht sondern die Version aus https://download.opensuse.org/repositories/mozilla/16.0/ die hat Version 146.0.1. Im Englischen Teil des Forums gab es zu Mozilla diverse Diskussionen die habe ich aber nicht wirklich verfolgt. Danke für den Hinweis auf Thunderbird den nutze seit einiger Zeit gar nicht mehr und habe vergessen ihn zu deinstallieren.
Natürlich kann man durch Einbinden von weiteren Repositories aktuelle Versionen z. B. von Firefox und Thunderbird installieren. Das ist aber nicht Sinn einer stabilen Distribution.
Ich erachte einen aktuellen, von Upstream auf Sicherheit geprüften Browser für essentiell. (open)SUSE sieht das anscheinend genauso, sonst hätten sie den Firefox ESR in Leap 15.6 nicht auf den neuesten Stand gebracht. Die Frage bleibt, warum sie das in Leap 16 nicht gemacht haben.
Da das ESR Release 140.7.0 unmittelbar bevorsteht, ist mir die Sache zu heikel geworden und ich habe den Firefox ESR aus dem oben genannten Mozilla Repo installiert.
Der legt in $HOME/.mozilla/firefox ein neues Profil an und alle Bookmarks etc. sind erst mal weg. Man kann aber das alte in about:profiles wieder zum Standardprofil machen und hat dann die gewohnte Umgebung.