Einem Bericht des Computer-Magazins »ct« zufolge kann die von »Ubuntu LTS« versprochene Langzeitpflege nicht das halten, was sie verspricht. Viele Pakete bleiben lange Zeit ungepatcht oder kommen ganz ohne Sicherheitsaktualisierungen.
Eine besondere Form der technischen Unterstützung von Distributionen ist die sogenannte »Langzeitunterstützung«, die sich bei Ubuntu in dem Zusatz LTS (engl.: long-term support) manifestiert. Diese verspricht dem Anwender einen erweiterten Supportzeitraum, in dem er mit Sicherheitsaktualisierungen versorgt wird, ohne dass er auf eine nächsthöhere Version wechseln muss. Die zuletzt freigegebene Version 16.04 »Xenial Xerus« wird beispielsweise mindestens noch bis April 2021 mit Aktualisierungen versorgt, weshalb davon auszugehen ist, dass sie auch in kritischen Umgebungen eingesetzt wird.
Wenn man sich allerdings die beiden früheren LTS-Versionen näher ansieht, stößt man auf unsichere Software. Das berichtet das Computer-Magazin »ct«. Demnach finden sich in den vergangenen Versionen der Distribution zahlreiche Sicherheitslücken, die teils als kritisch zu gelten haben. »Hätte Ubuntu Desktop eine ähnliche Verbreitung wie Android oder Windows, dürften Angreifer sich auf diese Einfallstore stürzen«, so der Autor in der Ankündigung des Artikels. »Dank des Exoten-Status von Linux auf Desktops ist das bislang ein eher theoretisches Problem und der Ruf des "sicheren Desktop-Linux" nicht sonderlich in Gefahr«.
Der Artikel warnt deshalb nicht explizit vor dem Einsatz der Distribution, erinnert aber daran, dass Canonical trotz des Zusatzes LTS keinen Komplettschutz anbietet. Der Grund hierfür ist die Struktur der Repositorien. So bezieht sich der Zusatz »LTS« nur auf das »main«-Repositorium, das allerdings nur einen kleinen Ausschnitt an Anwendungen aufführt. Der Gros der Applikationen findet man dagegen in dem ebenfalls standardmäßig aktivierten »universe«-Repositorium, das zwar gepflegt wird, aber nicht den Status »LTS« inne hat. Von dort installierte Applikationen sind deshalb oftmals verwundbar und unterliegen nicht denselben Kriterien wie die aus »main«.
So weist »ubuntu-support-status« bereits einen Tag nach der Freigabe manche Applikationen als nicht unterstützt aus. Laut »ct« ergibt sich deshalb auch bei bekannten Applikationen ein kaum durchschaubarer Status. So wurden beispielsweise bei VLC manche Lücken geschlossen, während andere die Anwendung bereits seit Monaten verwundbar machen. »Auch eine 2014 gefundene Lücke in der im Universe-Repository liegenden Libmms wurde bei 12.04 bis heute nicht behoben«, bemängelt der Artikel. »Bei dieser als Beispiel dienenden Multimedia-Bibliothek ist das von besonderer Brisanz, denn sie wird installiert, wenn man im Installer die Option zur Einrichtung der Software von Drittanbietern auswählt, die unter anderem für MP3-Support sorgt.«
Der Einsatz von Ubuntu LTS birgt deshalb Risiken, die Anwender laut »ct« berücksichtigen sollten. Wollen Anwender tatsächlich eine Langzeitpflege nutzen, sollten sie nur Software aus »main« nutzen. Falls Software aus Universe installiert wird, sollte sie dauerhaft im Auge behalten und notfalls in Eigenregie aktualisiert werden. Das kann allerdings schnell in Arbeit ausarten und konterkariert den Nutzen von Ubuntu als LTS-Distribution, denn laut »ct« ist selbst bei vielen bekannten Paketen der Support-Status nicht definiert oder liegt bei nur wenigen Monaten. Dazu zählen unter anderem Serveranwendungen wie MariaDB oder Desktop-Applikationen wie Wireshark. »Gerade bei Servern sollte man sich überlegen, ob andere Distributionen sich nicht besser eignen.«, so der Autor in seinem Fazit.
){kind=logo}
