Ubuntu: Manche Sicherheitsupdates nur bei Pro-Abo?

Wieder einmal sorgt eine Änderung von Canonical für Irritationen in der Ubuntu-Community. Seit Ende Januar zeigen manche Ubuntu-Systeme bei der Suche nach Updates eine Meldung an, dass man für die Installation von manchen Sicherheitsupdates "Ubuntu Pro" eingeschaltet haben muss – einen in der Regel kostenpflichtigen Dienst. Betroffen ist Software aus der Paketquelle universe.

Die Meldung kommt derzeit beispielsweise, wenn man das Programm ImageMagick installiert hat. Dessen Software-Pakete kommen nicht aus der von Canonical gepflegten Haupt-Paketquelle main, sondern befinden sich im von der Ubuntu-Community betreuten Repository universe. Ruft man, um neue Updates einzuspielen, im Terminal den Befehl apt upgrade auf, listet dessen Ausgabe nicht nur, wie bisher üblich, Pakete auf, welche aktualisiert, neu installiert oder entfernt werden sollen. Das führt bei einigen Nutzerinnen und Nutzern zur Verunsicherung.

Ubuntu: Neue Ausgabe bei manueller Update-Suche

Hinzu kommt eine Liste an Paketen, für die zwar Sicherheitsupdates vorliegen würden, für deren Installation aber Ubuntu Pro aktiviert sein muss: "The following security updates require Ubuntu Pro with 'esm-apps' enabled". Die Meldung erscheint auch auf einem aktuellen Ubuntu 22.04 LTS (Long Term Support). Doch sollte es für Ubuntu LTS nicht fünf Jahre kostenlose Sicherheitsupdates geben?

Die fünf Jahre Support-Versprechen beschränkt Canonical auf Pakete aus der Haupt-Paketquelle main. Um die Aktualisierung der Software aus dem Repository universe kümmert sich die Community. Daran hat sich aus der Sicht von Canonical nichts geändert. "Ubuntu Pro als neuer Service ist ein Zusatzangebot", erklärte Canonical-Mitarbeiter Lech Sandecki auf Nachfrage von c’t. "Nichts hat sich in Bezug auf Patches und Updates geändert, die von der Community bereitgestellt werden".

Lech Sandecki ist bei Canonical Produktmanager für Ubuntu Pro. Von der Community für Ubuntu 22.04 LTS bereitgestellte Sicherheitsupdates würden weiterhin über das Repository jammy-security verteilt.

Canonical würde für Ubuntu Pro sich nun aber auch der Korrektur von Sicherheitslücken in universe-Paketen widmen. "Wenn Canonical selbst eine CVE-Lücke fixt, geschieht dies gemeinsam mit den Maintainern der Software, damit die Änderung zuerst Upstream landet", betonte Lech Sandecki gegenüber c’t. Der Fix landet in der Regel in der aktuellen Version der Software. Die teils aufwendige Rückportierung auf ältere noch unterstützte Ubuntu-Versionen erfolge dann im Rahmen von Expanded Security Maintenance (ESM) auch dann, wenn der Community-Maintainer dies nicht leistet.

Ubuntu ESM: Verlängertes Update-Versprechen

Über ESM, was Teil von Ubuntu Pro ist, verlängert Canonical das Update-Versprechen auf zehn Jahre und dehnt es je nach gebuchtem Tarif auch auf Pakete aus universe aus. Wer also noch Systeme mit Ubuntu 18.04 LTS betreibt, muss diese nicht dieses Jahr auf eine aktuellere Betriebssystem-Version migrieren. Auf der Ubuntu-Webseite zu ESM steht aber auch, dass sich Canonical nach Möglichkeit bemüht ("best effort"), Updates für universe zu liefern. Beim Blick in die Changelogs der Pakete in jammy-universe, für die es dieses Jahr Sicherheitsupdates gab, fällt auf: Fast alle neuen Paketversionen wurden eingepflegt von Entwicklern mit Canonical- oder Ubuntu-E-Mail-Adressen. Dies passierte auch nach der Einführung von Ubuntu Pro Ende Januar.

Auf dem Papier hat sich am Support für Ubuntu LTS nichts geändert. Da es für bis zu fünf Systeme Ubuntu Pro kostenlos gibt, kann dies gegebenenfalls das Sicherheitslevel der Ubuntu-Installationen auch ohne Mehrkosten erhöhen. Die Gretchenfrage bleibt, ob Canonical-Mitarbeiter als Teil der Ubuntu-Community auch weiterhin aktualisierte Programmpakete in jammy-security einpflegen oder ob der Strom dahin zugunsten von Ubuntu Pro und ESM versiegt.

(dmk)