Die c’t weist im Artikel Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste auf folgendes hin, was oft übersehen wird:

In Ubuntu LTS (Long Term Support) werden viele Pakete aus den Repositories Universe und Multiverse nicht oder nur kurze Zeit mit Sicherheitsaktualisierungen versorgt. Nur bei den Paketen aus Main kann man sich in der Regel sicher sein, daß während der für fünf Jahre versprochenen LTS-Unterstützung ihre Sicherheitslücken behoben werden.

In den Standardinstallationen – ohne weitere hinzugefügte Software – der aktuellen LTS-Ubuntus 12.04 (Precise Pangolin), 14.04 (Trusty Tahr) und 16.04 (Xenial Xerus), Server und Desktop, werden mit ubuntu-support-status --show-unsupported keine nichtunterstützten Pakete gefunden. Einige Pakete werden aber nicht über die ganze LTS-Zeit unterstützt und »laufen früher ab«.

Hat man jedoch bei einer Desktop-Installation »Install third-party software for graphics and Wi-Fi hardware, Flash, MP3 and other media« ausgewählt, so werden auch auf dem neusten 16.04 Desktop die damit installierten

  • flashplugin-installer
  • gstreamer1.0-fluendo-mp3
  • gstreamer1.0-plugins-ugly
  • gstreamer1.0-plugins-ugly-amr
  • libsidplay1v5
  • oxideqt-codecs-extra
  • ubuntu-restricted-addons

direkt nach der Installation schon nicht mehr unterstützt. Und gerade Flash und Medienspieler-Plugins sind besonders anfällig für Sicherheitslücken.

Aber auch auf Servern anzutreffende Pakete aus Universe wie zum Beispiel

  • docker.io
  • ejabberd samt der dazugehörigen erlang-…
  • mariadb-…
  • nodejs
  • shorewall

werden als »unsupported« aufgelistet.

Informationen erhalten

Mit

ubuntu-support-status --show-unsupported

wird angezeigt, welche Pakete der Installation nicht unterstützt werden.

Für ein bestimmtes Paket PAKETNAME kann man sich den Unterstützungszeitraum mit

apt-cache show PAKETNAME | grep 'Supported:'

anzeigen lassen. Wird keine Zeile mit »Supported:« angezeigt, wird es nicht mehrere Monate (m) oder Jahre (y) unterstützt.

Alle aus dem Repository universe installierten Pakete werden mit

aptitude search ~i -F "%s# %p" | grep universe

aufgelistet.

Alternativen

In Ubuntu

  • Möglichst nur Pakete aus Main verwenden und nicht aus Universe oder Multiverse.

Allgemein

  • Ein nicht mehr unterstütztes Paket deinstallieren und eine Alternative für den Dienst suchen.
  • Nur (dauerhaft) unterstützte Pakete verwenden. Schon vor der Installation Support-Zeiträume recherchieren und während des Betriebs sich immer auf dem Laufenden halten.
  • Einzelne Pakete immer wieder selbst kompilieren, was relativ aufwändig ist; oder aus einer vertrauenswürdigen Quelle installieren (etwa ein seriöses PPA mit gutem Ruf), die diese Pakete langfristig wartet, was man aber auch kontrollieren sollte – Vertrauen ist gut, Kontrolle ist besser.
  • Dienste isolieren indem man sie einzeln in Containern oder virtuellen Maschinen betreibt, um damit Schaden durch das Ausnutzen von Sicherheitslücken zu begrenzen.

Alternative Betriebssysteme

  • Debian Stable (derzeit Version 8 Jessie) verwenden. In Debian Stable sind die Pakete in der Regel schon alt und gut abgehangen, sie alle erhalten Sicherheitsaktualisierungen durch Zurückportieren der Patches für die Sicherheitslücken. Benötigt man eine aktuellere Version eines Pakets als in Debian Stable enthalten, kann man sie – sofern vorhanden – über Backports beziehen.
    • Auch von Debian gibt es für die vorherige Oldstable-Version ein LTS-Projekt für die Architekturen i386 und amd64, welches die Lebenszeit auf fünf Jahre verlängern soll, allerdings auch nicht mehr alle Pakete unterstützt.
    • Das Paket debian-security-support zeigt bei jeder Softwareinstallation an, welche Pakete nicht mehr unterstützt werden; manuell kann man das mit check-support-status anschauen.
    • Ubuntu basiert in großen Teilen auf Debian und die meisten Pakete aus Universe kommen von Debian.
  • CentOS, die »Community-Version« von Red Hat Enterprise Linux (RHEL) mit bis zu zehn Jahren Support.
  • Arch Linux, welches ein Rolling Release ist, immer die neuste Software hat und damit das Gegenteil von einer stabilen LTS-Version ist.
  • OpenBSD oder FreeBSD als Alternativen zu Linux.