In KMail gibt es zur Zeit eine ärgerliche Sicherheitslücke (Schwerer Bug in KMail – Test für die Distributionen). Sowas kommt vor, Code ist nie perfekt und mancher Fehler kann gravierende Auswirkungen haben. Die Sicherheitslücke gehört nicht zu den wirklich schwerwiegenden Fehlern, ist aber auch nicht ganz belanglos. Kurz gesagt kann es unter bestimmten Umständen dazu kommen, dass E-Mails – entgegen der Annahme des Verfassers – unverschlüsselt versendet werden.

Dafür muss es zwar zu einer ungünstigen Verkettung von Umständen kommen (Später versenden & OpenPGP-Verschlüsselung), aber viele Sicherheitslücken beruhen auf einem bestimmten Szenario. Die Ansiedlung im Bereich der Verschlüsselung macht hier aus einem lästigen Fehler eine Sicherheitslücke. Die Lücke ist also keineswegs auf einem Niveau mit Heartbleed oder anderen Katastrophen, aber sie ist eben auch nicht nur ein lästiger Fehler ohne Auswirkungen.

Im Grunde genommen stellt die Sicherheitslücke kein besonderes Problem dar. Nach ihrer Entdeckung schlossen die KDEPIM-Entwickler die Lücke am 02.06.2017. Anwender von Rolling Release-Distributionen erhielten im Rahmen der KDE Applications 17.04.2 ein Update, das den Fehler behob. Die Mehrheit der Linux-Distributionen und naturgemäß alle Enterprise/LTS-Varianten funktionieren aber nach dem stabilen Entwicklungsprinzip. Da alle KMail Versionen seit 4.11 betroffen sind müssen hier nun die beiden Patches zurück portiert und ausgerollt werden.

Diese Arbeit liegt in der Natur des stabilen Entwicklungsprinzips und die Distributionen garantieren durch ihre Supportversprechen, dass sie diese Arbeit leisten können und wollen. In den letzten Jahren gab es einen regelrechten Wettlauf um die höchsten Supportzeiten, wodurch auch Communitydistributionen wie Kubuntu Laufzeiten von 5 Jahren für ihre LTS-Versionen versprechen. Hier war schon immer fraglich ob diese Supportversprechen in der Praxis auch eingehalten werden würden.

Faktisch hatten ca. einen Monat nach dem Commit der KDEPIM-Entwickler nur openSUSE und Mageia eine Fehlerbehebung ausgerollt (Mageia zudem nur für Version 6, obwohl 5 auch noch supportet wird). Bei Kubuntu tut sich nichts im entsprechenden Bugreport, weder für die STS-Versionen, noch für die beiden aktiven LTS-Varianten 14.04 und 16.04. Debian hat beschlossen, dass die Lücke nicht gravierend ist und man entweder auf eine schlimme Lücke wartet um den Patch dann zusammen einzupflegen oder den nächsten Pointrelease.

Faktisch muss man daher festhalten, dass die Supportversprechungen der meisten Distributionen im Desktopbereich nur auf dem Papier existieren. Befinden sich Lücken im Kernel oder zentralen Bibliotheken, die auch den Serverbereich betreffen, erfolgen schnelle Behebungen. Hier sind schließlich zahlende Kunden betroffen und viele Distributionen setzen inzwischen auf zentral gepflegte LTS-Kernelversionen. Im Desktopbereich lässt man die Dinge hingegen laufen, obwohl man auch hier Unterstützung verspricht.

Kubuntu und Debian sind für KDE-Desktopanwender also keine vertrauenswürdige Basis – trotz 5 respektive 3 Jahren Supportversprechen. Im Grunde genommen kann man bei den LTS-Versionen hier nur noch zu openSUSE Leap raten.

Seit Jahren mokiert man sich über die Microsoft-Patchdays und die lange Dauer bis Sicherheitslücken behoben werden. Hier zeigt sich, dass viele Linux-Distributionen mindestens genau so lange brauchen und Sicherheitslücken längst nicht so hoch priorisieren wie man das gerne nach außen verkauft. Die theoretisch mögliche Sicherheitsaktualisierung einen Tag nach bekanntwerden des Problems ist also vor allem eines: Theorie!


Bilder:

Einleitungs- und Beitragsbild von Tumisu via pixabay

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein