Paketquellen – Die Illusion von Sicherheit?

Die zentralen Paketquellen der meisten Linux-Distributionen erlauben einen kontrollierten Bezug von Software. Kein Herumstöbern im Internet, keine Downloads von ungeprüften Quellen und ein zentrales Sicherheits- und Qualitätsmanagement durch den Distributor galten immer als zentrale Argumente für dieses System. Doch gilt das wirklich so uneingeschränkt?

Das bekannteste Beispiel ist sicherlich Ubuntus universe. Dort liegen die nicht unterstützen Pakete der Distribution, mehr oder minder gewartet von der Community. Je nach Standpunkt ist das mit zunehmendem zeitlichen Abstand zur Veröffentlichung ein Müllkippe oder gar eine tickende Zeitbombe. Das universe ist berühmt-berüchtigt, aber in der Linux-Welt nicht so singulär, wie man das gerne hätte. Die meisten Distributionen haben tausende oder gar zehntausende Pakete in ihren Quellen, auf die sich theoretisch das Supportversprechen erstreckt.

Dabei entwickeln, die Distributoren kaum Software selbst. Die meiste Entwicklungsarbeit erfolgt in den Entwicklungsteams der einzelnen Softwareprojekte, im Jargon „upstream“ genannt. So lange die jeweilige Softwareversion hier noch gepflegt wird, muss der Distributor Patches nur anpassen und für die Distribution ausrollen. Doch was passiert, wenn das Upstream-Projekt den Support einstellt? Das ist nicht so theoretisch, wie man es gerne hätte. Die meisten LTS-Distributionen haben deutlich längere Laufzeiten, als die Upstream-Projekte.

Ein Beispiel verdeutlicht das ziemlich gut. Das viel genutzte Toolkit Qt liegt derzeit in Version 5 vor. Die vorangegangene Version 4 ist seit 2015 nicht mehr unterstützt. Trotzdem liefern sie nach zahlreiche Distributionen aus, weil sie immer noch die Basis für viele Anwendungen darstellt, die immer noch nicht auf Version 5 portiert wurden. Den Finger in die Wunde hat nun das Debian-Projekt gelegt, indem es Qt4 für die kommenden Versionen aus den Paketquellen entfernt hat. Die Ankündigung zeigt auch, wie kompliziert es ist eine offiziell abgekündigte Version weiter zu pflegen – selbst für ein professionelles Security-Team wie das von Debian. Ubuntu wird Qt4 trotzdem noch für die kommende LTS 18.04 ausliefern, wenn auch nur in universe. OpenSUSE will für die kommende Leap-Version 15 ebenfalls an Qt4 festhalten, weil davon noch so viel abhängt.

Natürlich muss man relativierend sagen, dass nicht jeder ungelöste Fehler und jede semi-kritische Sicherheitslücke gleich eine Katastrophe darstellt. Nicht jedes Problem destabilisiert gleich das gesamte System. Wobei es auch Pakete gibt, die deutlich kritischer sind und ebenso wenig gewartet werden. Man denke nur an die zahllosen Browser auf WebKit-Basis, welche je nach Versionsstand katastrophale Sicherheitslücken hat.

Der normale Benutzer bekommt von solchen Schwierigkeiten nichts mit. Er installiert Software aus den offizielle Paketquellen und fühlt sich sicher. Die oben thematisierten Distributionen gehören zudem zweifelsohne zu den Vorreitern in Sachen Verbreitung und Qualität in der Linux-Welt. Wie das bei den unzähligen Nischenprojekten und Forks aussieht möchte man gar nicht erst prüfen.

Das bisherige System ist also alles andere als perfekt, das sollte man im Hinterkopf behalten, wenn man möglicherweise veraltete Bibliotheken als großes Risiko in den kommenden Formaten Snap und Flatpak anprangert.

Zudem sollte man sich nicht zu sicher fühlen. Die Linux-Distributionen sitzen auf riesigen ungelösten Baustellen. Bei einer höheren Verbreitung haben viele davon das Potenzial einem um die Ohren zu fliegen. Daran sollte man denken, wenn man mal wieder die vermeintlich überlegene Sicherheitsarchitektur von Linux anpreist.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...