Ausbleibende Sicherheitsaktualisierungen bei Ubuntu LTS mit Paketen aus Universe oder Multiverse
Die c’t weist im Artikel Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste auf folgendes hin, was oft übersehen wird:
In Ubuntu LTS (Long Term Support) werden viele Pakete aus den Repositories Universe und Multiverse nicht oder nur kurze Zeit mit Sicherheitsaktualisierungen versorgt. Nur bei den Paketen aus Main kann man sich in der Regel sicher sein, daß während der für fünf Jahre versprochenen LTS-Unterstützung ihre Sicherheitslücken behoben werden.
In den Standardinstallationen – ohne weitere hinzugefügte Software – der
aktuellen LTS-Ubuntus 12.04 (Precise Pangolin), 14.04 (Trusty Tahr) und
16.04 (Xenial Xerus), Server und Desktop, werden mit
ubuntu-support-status --show-unsupported
keine nichtunterstützten
Pakete gefunden. Einige Pakete werden aber nicht über die ganze LTS-Zeit
unterstützt und »laufen früher ab«.
Hat man jedoch bei einer Desktop-Installation »Install third-party software for graphics and Wi-Fi hardware, Flash, MP3 and other media« ausgewählt, so werden auch auf dem neusten 16.04 Desktop die damit installierten
- flashplugin-installer
- gstreamer1.0-fluendo-mp3
- gstreamer1.0-plugins-ugly
- gstreamer1.0-plugins-ugly-amr
- libsidplay1v5
- oxideqt-codecs-extra
- ubuntu-restricted-addons
direkt nach der Installation schon nicht mehr unterstützt. Und gerade Flash und Medienspieler-Plugins sind besonders anfällig für Sicherheitslücken.
Aber auch auf Servern anzutreffende Pakete aus Universe wie zum Beispiel
- docker.io
- ejabberd samt der dazugehörigen erlang-…
- mariadb-…
- nodejs
- shorewall
werden als »unsupported« aufgelistet.
Informationen erhalten
Mit
ubuntu-support-status --show-unsupported
wird angezeigt, welche Pakete der Installation nicht unterstützt werden.
Für ein bestimmtes Paket PAKETNAME kann man sich den Unterstützungszeitraum mit
apt-cache show PAKETNAME | grep 'Supported:'
anzeigen lassen. Wird keine Zeile mit »Supported:« angezeigt, wird es nicht mehrere Monate (m) oder Jahre (y) unterstützt.
Alle aus dem Repository universe installierten Pakete werden mit
aptitude search ~i -F "%s# %p" | grep universe
aufgelistet.
Alternativen
In Ubuntu
- Möglichst nur Pakete aus Main verwenden und nicht aus Universe oder Multiverse.
Allgemein
- Ein nicht mehr unterstütztes Paket deinstallieren und eine Alternative für den Dienst suchen.
- Nur (dauerhaft) unterstützte Pakete verwenden. Schon vor der Installation Support-Zeiträume recherchieren und während des Betriebs sich immer auf dem Laufenden halten.
- Einzelne Pakete immer wieder selbst kompilieren, was relativ aufwändig ist; oder aus einer vertrauenswürdigen Quelle installieren (etwa ein seriöses PPA mit gutem Ruf), die diese Pakete langfristig wartet, was man aber auch kontrollieren sollte – Vertrauen ist gut, Kontrolle ist besser.
- Dienste isolieren indem man sie einzeln in Containern oder virtuellen Maschinen betreibt, um damit Schaden durch das Ausnutzen von Sicherheitslücken zu begrenzen.
Alternative Betriebssysteme
- Debian Stable (derzeit Version 8 Jessie)
verwenden. In Debian Stable sind die Pakete in der Regel schon alt und
gut abgehangen, sie alle erhalten Sicherheitsaktualisierungen durch
Zurückportieren der Patches für die Sicherheitslücken. Benötigt man
eine aktuellere Version eines Pakets als in Debian Stable enthalten,
kann man sie – sofern vorhanden – über
Backports beziehen.
- Auch von Debian gibt es für die vorherige Oldstable-Version ein LTS-Projekt für die Architekturen i386 und amd64, welches die Lebenszeit auf fünf Jahre verlängern soll, allerdings auch nicht mehr alle Pakete unterstützt.
- Das Paket
debian-security-support
zeigt bei jeder Softwareinstallation an, welche Pakete nicht mehr
unterstützt werden; manuell kann man das mit
check-support-status
anschauen. - Ubuntu basiert in großen Teilen auf Debian und die meisten Pakete aus Universe kommen von Debian.
- CentOS, die »Community-Version« von Red Hat Enterprise Linux (RHEL) mit bis zu zehn Jahren Support.
- Arch Linux, welches ein Rolling Release ist, immer die neuste Software hat und damit das Gegenteil von einer stabilen LTS-Version ist.
- OpenBSD oder FreeBSD als Alternativen zu Linux.