Linux 6.12 wird wieder ein Kernel mit kurzem Langzeitsupport

Inhaltsverzeichnis

Linux 6.12 wurde offiziell zum Longterm-Kernel gekürt und erhält damit Sicherheitskorrekturen nicht nur zwölf Wochen, sondern mindestens zwei Jahre. Womöglich werden es noch mehr. Dass es wie bei der parallel eingestellten Kernel-Serie 4.19.y am Ende sechs werden, ist nicht auszuschließen, aber eher unwahrscheinlich: Die Kernel-Entwickler fahren den Zeitraum für Long Term Support (LTS) derzeit langsam herunter. Für Allerwelts-Server sind mehr als ein oder zwei Jahre alte Linux-Serien laut den Kernel-Entwicklern ohnehin ungeeignet, denn so manche Lücken stopfen sie dort nicht oder nur dürftiger.

Der LTS-Support schrumpft schleichend auf ein altes Maß

Dass die erstmals moderne Echtzeitanforderungen erfüllende Linux-Version ein Longterm-Kernel werden würde, war nahezu sicher: Greg Kroah-Hartman kürt seit Jahren immer die letzte Mainline-Version eines Jahres zu einem solchen. Das wird diesmal eben das jüngst freigegebene 6.12 sein, denn 6.13 erscheint erst am 20. oder 27. Januar.

Das Ende des Support-Zeitraums hat der Entwickler des "Stable Teams" fürs Erste auf Ende 2026 festgesetzt. Zur gleichen Zeit also, wo auch der Support für die Serien 5.10.y, 5,15.y, 6.1.y und 6.6.y ausläuft. Diese Ballung liegt an einer schleichenden Verkürzung der Pflegezeiträume auf die ursprünglich anvisierten zwei Jahre, nachdem Longterm-Kernel einige Jahre lang am Ende meist immer sechs Jahre Support erhielt. Das war Firmen wie Google zu verdanken, die das Stable Team bei seiner Arbeit hinter den Kulissen unterstützen.

Mangelnde Unterstützung

Wenn sich wieder genug Förderer finden, verlängert Kroah-Hartman den Support-Zeitraum mancher Serien womöglich noch. Einerseits sieht es so aus, dass es bei 6.12 nicht zu derlei kommt, da sich generell nur wenige Firmen für sowas arrangieren. Auch Google verliert daran mehr und mehr das Interesse, weil es bei seinen Pixel-Geräten fortan gelegentlich mal den Kernel auf eine neuere Serie heben wird. Andererseits wird die nächste Version von Debian wahrscheinlich Linux 6.12 nutzen, daher könnte es gut sein, dass deren Kernel-Betreuer die 6.12-Serie nicht nur in ihrer Distribution, sondern auch im Rahmen von Kernel.org über einen längeren Zeitraum pflegen. Derlei war schon mehrfach der Fall, als Longterm-Kernel nur zwei Jahre Pflege erhielten, zuletzt bei Linux 3.16.y.

Parallel zur Ankündigung der neuen Longterm-Serie hat das Stable Team die Pflege der Serien 6.11.y und 4.19.y eingestellt: Anwendern rät Kroah-Hartman, auf neuere Versionsreihen zu wechseln. Für die meisten Anwender ist das nicht oder nur indirekt relevant, denn dort kümmert sich der Distributor um die Versorgung des Kernels mit Sicherheitsflicken. Einige wie Ubuntu setzen dabei oft jahrelang auf Versionen, die die Entwickler von Linux schon nach wenigen Wochen aufgegeben haben. Unklar ist, wie gründlich die Pflege solcher Distributionen in Zeiten von rund 55 CVEs pro Woche ist.

Alte Longterm-Kernel ungeeignet für generische Systeme

Aber auch 4.19.y war keineswegs rundum sicher: In der Abkündigung erwähnt Kroah-Hartman, dass knapp tausend mit Korrekturen dort außen vor blieben, obwohl sie eine CVE-Kennzeichner erhalten haben. Das passiert, weil sich manchmal niemand die Arbeit macht, Änderungen an den Code solch alter Kernel-Serien anzupassen. Manchmal werden Lücken dort auch nur schlechter gestopft.

Auf diese Aspekte weist Kroah-Hartman immer mal wieder hin. Dabei betont er vielfach, mehrere Jahre Longterm-Kernel seien ohnehin nur für Geräte gedacht, die man unter voller Kontrolle hat oder wie Android ein extrem starkes Sicherheitsmodell nutzen. Bei Geräten mit virtuellen Maschinen oder nicht vertrauenswürdigen Benutzern sollte man hingegen immer den neuesten Stable- oder Longterm-Kernel nutzen. Sprich: Bis vor kurzem wären Linux 6.11.y oder 6.6.y die passenden Serien gewesen, von jetzt an ist das 6.12.y – wobei das keineswegs impliziert, dass man jetzt Hals über Kopf von LTS-Kernel 6.6.y auf 6.12.y umstellen muss.

(mho)