Ubuntu: Probleme auch bei Security-Updates

Nach zwei Update-Pannen, die im vergangenen Monat die grafische Benutzeroberfläche bei einem Teil der Anwender vorübergehend lahmlegte, sorgt nun auch der späte Fix einer kritischen Lücke im Virenscanner ClamAV für Verunsicherung.

In Pocket speichern vorlesen Druckansicht 361 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Ubuntu-Anwender, die die Repositories Universe oder Multiverse verwenden, können sich nicht unbedingt auf die Sicherheit ihres Systemes verlassen. So wurde offenbar ein Update für eine kritische Lücke im Virenscanner ClamAV schlichtweg vergessen. Erst nachdem heise Security drei Wochen nach dem Erscheinen des Updates für Debian, Fedora und Suse-Linux einen Bug-Report dazu erstellte, wurde das Update eine Woche später nachgereicht. Darüber hinaus wurde der Fix mit der Dringlichkeit "niedrig" bewertet, obwohl Angreifer unter Umständen durch die Schwachstelle beliebigen Schadcode übers Netz einschmuggeln könnten, was beispielsweise Debian dazu veranlasste, die Priorität auf "high" zu setzen.

ClamAV ist in Ubuntu Teil der Universe-Repositories, das standardmäßig nicht aktiviert ist. Die Schuld für das verspätete Update ist daher nicht unbedingt beim Ubuntu-Distributor Canonical zu suchen. Die Firma weist in der Konfigurationsdatei /etc/apt/sources.list explizit darauf hin, dass die Repositories Universe und Multiverse keinen vollen Support mit Security-Updates erhalten. Allerdings greift ein erheblicher Teil der Ubuntu-User auch auf das Universe-Repository zurück, da insbesondere einige Pakete zur Wiedergabe von Multimedia-Inhalten nur daraus zu beziehen sind. Und wer diesen Eintrag einmal aktiviert hat, kann später kaum noch unterscheiden, aus welchem Repository ein Paket ursprünglich stammt und für welche seiner installierten Programme er also mit pünktlichen Updates rechnen kann und für welche nicht.

Erschwerend zur Repository-Problematik, die beispielsweise auch Nutzer von Fedora-Extras oder von Packman für Suse betrifft, kommt hinzu, dass auch die jüngsten Update-Pannen das Vertrauen in den Update-Mechanismus erschüttert haben. Eine fehlerhafte Aktualisierung des X.org-Servers im August und ein Problem mit dem Treiber für NVidia-Grafikkarten vergangene Woche hinterließen einen erheblichen Teil der Dapper-Installationen eine Zeit lang vollkommen ohne grafische Benutzeroberfläche – ein Problem, das besonders Einsteiger überfordert haben dürfte.

Siehe dazu auch: (cr)