Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste
In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.
- Thorsten Leemhuis
Fünf Jahre Schutz vor Sicherheitslücken – das scheinen Ubuntu-Versionen mit Long Term Support (LTS) zu bieten. Zu denen zählt auch das kürzlich veröffentlichte Ubuntu 16.04. Einen Rundum-Schutz bekommen Sie dort aber keineswegs: Bei der meisten Software gibt es nämlich niemand, der die Versorgung mit Sicherheitskorrekturen verspricht.
(Bild: Ubuntu CVE Tracker; die Angaben zu 16.04 sind fehlerhaft)
Bei Ubuntu 12.04 und 14.04 stößt man daher schnell auf bekannte Anwendungen, in denen seit Monaten oder Jahren Sicherheitslücken klaffen. Darunter die Pakete mit dem beliebten Multimedia-Player VLC, die man derzeit über die Software-Verwaltung dieser beiden LTS-Distributionen bekommt. Schlimmer noch: Es finden sich auch Lücken in einigen Multimedia-Paketen, die sich auf fast allen Installationen von Ubuntu Desktop finden dürften.
Langzeitpflege nur beim Haupt-Repository
Der Grund: Fünf Jahre Pflege garantiert Ubuntu-Sponsor Canonical nur für Software aus dem Ubuntu-Repository "main". Bei 16.04 liegen dort knapp 2500 Anwendungen, Bibliotheken und andere Software, aus denen rund 7300 Binärpakete entstehen.
Das Gros der Software steckt allerdings in den drei anderen standardmäßig aktiven Repositories; das meiste in "universe", das über 45.500 Binärpakete enthält. Freiwillige betreuen einige dieser Pakete, wie man an der "Supported:"-Zeile erkennen kann, die apt-cache show bei solchen Paketen ausgibt. Fünf Jahre Pflege verspricht allerdings kaum jemand. Selbst die bei Kubuntu eingesetzten KDE-Pakete bekommen bei 16.04 nur noch drei Jahre Pflege von den Kubuntu-Machern. Bei den Paketen von Xubuntu, Ubuntu Gnome und anderen Ubuntu-Ablegern war das schon länger so.
(Bild: Screenshot bei Ubuntu 16.04 LTS)
Die Bildverarbeitungsprogramme Digikam und Gimp, die Audio-Software Audacity und zirka 2500 andere Pakete bekommen laut Auszeichnung sogar nur neun Monate Pflege. In etwa 41.500 Paketen und damit dem Großteil des Software-Angebots im Universe-Repository findet sich gar keine Kennzeichnung des Pflegezeitraums. Das von den Ubuntu-Machern zur Klärung des Support-Status beigelegte Programm ubuntu-support-status --show-unsupported stuft solche Pakete daher schon am Tag der Freigabe eines LTS-Releases als "unsupported" ein.
Halbgarer Support
Dennoch werden manchmal Sicherheitslücken in Paketen gestopft, die eigentlich niemand pflegt. Das kann man etwa in der Update-Historie der VLC-Pakete von 12.04 und 14.04 sehen: Sie sollten dort nur neun Monate Support erhalten, wurden aber noch länger mit Sicherheitskorrekturen versorgt. Mittlerweile kümmert sich aber niemand mehr so recht: Zwei bereits im letzten Jahr bekannt gewordene Lücken wurden bislang nicht gestopft; Debian und andere Distributionen haben das schon lange erledigt.
(Bild: Screenshot bei Ubuntu 16.04 LTS)
Auch eine 2014 gefundene Lücke in der im Universe-Repository liegenden Libmms wurde bei 12.04 bis heute nicht behoben. Bei dieser als Beispiel dienenden Multimedia-Bibliothek ist das von besonderer Brisanz, denn sie wird installiert, wenn man im Installer die Option zur Einrichtung der Software von Drittanbietern auswählt, die unter anderem für MP3-Support sorgt. Selbst wenn man diese Checkbox nicht setzt, landen von niemandem betreute Bibliotheken wie die Libmms oft halb-automatisch auf der Platte, sobald man gängige Audio- und Video-Formate wiedergibt.
Relevanz der Sicherheitslücken
Lücken in oft installierten Paketen wären mit ziemlicher Sicherheit ein häufiger genutzter Angriffsweg, wenn Ubuntu Desktop eine ähnliche Verbreitung hätte wie Android. Das zeigt das bei Android verwendete Multimedia-Framework Stagefright: Dort wurden in den letzten Monaten immer wieder neue Probleme gefunden und von Bösewichten ausgenutzt.
Zum Glück haben es Angreifer und Schad-Software aber bislang nicht auf Ubuntu-Desktop-Installationen abgesehen. Die Angriffe zielen viel mehr auf Server mit Linux. Daher kann man dort nur raten: Nutzen Sie nur Software aus dem Main-Repository. Falls Sie doch etwas aus Universe nachinstallieren, sollte Sie selbst ein Auge auf ungepflegte Pakete haben und die Software gegebenenfalls eigenhändig aktualisieren.
Das kann schnell in Arbeit ausarten, denn selbst bei vielen Paketen mit bekannter Software ist der Support-Status nicht definiert oder liegt lediglich bei neun Monaten; das gilt etwa für MariaDB, Nodejs, Nullmailer, Privoxy oder Wireshark. Selbst die seit einiger Zeit richtig Furore machende Container-Software Docker fällt in diese Kategorie. Daher wies es bei 14.04 viele Monate lang kritische Sicherheitslücken auf, bevor sich jemand der Sache annahm und eine deutlich neuere Version einpflegte.
Der vom Ubuntu Security Teams betriebene Ubuntu CVE Tracker für das Universe-Repository hilft bei der Klärung, ob in ungepflegten Software-Pakete Ihrer Ubuntu-Installation womöglich Sicherheitslücken stecken. Verlässlich sind die Daten aber nicht: Wir fanden bei der Recherche mehrere Pakete, die laut CVE-Tracker Sicherheitslücken aufweisen, die tatsächlich schon gestopft wurden.
Andere Distribution mit Langzeitpflege
Letztlich sollte man daher bei LTS-Releases immer im Hinterkopf behalten, dass vieles der dort erhältlichen Software keine Pflege erhält – darunter auch diverse bekannte Server-Anwendungen, durch die man leicht zum Angriffsziel wird. Gerade bei Servern sollte man sich überlegen, ob andere Distributionen nicht besser geeignet sind. Debian etwa, wo man ein vergleichbar großes Software-Angebot bekommt: Support gibt es dort nicht nur für einen Teil der Pakete, sondern für alle. (thl)
