Jede Woche werden für das vielfältige Linux-Ökosystem schwere und weniger schwere Sicherheitslücken entdeckt. Dafür stellen alle Distributionen zeitnah Patches bereit, damit ihre Anwender weiter sichere Systeme haben. Die Frage ist nur, wie zeitnah diese Updates erfolgen.
Die letzten Tage ging eine Lücke in Samba durch die Presse. Dabei handelt es sich um eine Nachbildung von Windows-Netzwerkdiensten, die nahezu jede Linux-Distribution vorinstalliert hat. Der Fehler ist im vfs_fruit Modul. Apple-Anwender kennen das vermutlich als Voraussetzung, um Time Machine-Backups auf einem Linux-Server ablegen zu können (damit habe ich mich hier im Blog schon häufig befasst). Die Lücke ist als kritisch eingestuft und unter CVE-2021-44142 registriert.
Alle mir bekannten Distributionen rollten geschwind Patches aus. Ubuntu, SUSE, Red Hat – die Patches waren in der Regel schon auf meinem System, bevor ich die entsprechende Meldung gelesen hatte. Nur bei Debian passiert mal wieder seit Tagen nichts.
Chromium hinkt auch schon wieder hinterher und beim Überfliegen der aktuellen Sicherheitsprobleme fielen mir gleich ein paar Pakete auf, für die ich auf meinen openSUSE Leap-Systemen bereits seit Tagen Updates habe (z. B. Expat), wobei die fairerweise nicht sonderlich kritisch sind. Genauso bei MariaDB, aber da macht openSUSE es sich ja auch leicht und rollt – total verrückt ich weiß – einfach die offiziellen Minor-Versionen von Upstream aus.
Ich mag Debian nicht sonderlich, das dürfte bekannt sein. Den Vorwurf nehme ich hier daher gleich vorweg. Wobei das nicht immer so war, sondern sich erst während der abstoßenden Auseinandersetzung um systemd so entwickelt hat. An Versionen wie Debian Lenny erinnere ich mich gerne zurück.
Zwei Punkte verwundern mich nur:
- Woher hat Debian seinen Ruf als sicheres Betriebssystem? Sie bieten bestenfalls Durchschnitt an, wenn man sich die Reaktionsgeschwindigkeit auf Probleme ansieht.
- Warum nimmt das in der Debian-Community überhaupt niemand wahr? Ich habe keine einzige ernsthafte Diskussion dazu gefunden.
Beispielsweise könnte man ja darüber diskutieren, wie hoch der Preis sein darf, den man bereit ist zu bezahlen, um Versionen absolut versionsstabil zu halten. Welche Pakete möchte man dafür noch opfern, wie viel Verzögerung bei Sicherheitsupdates findet man vertretbar für dieses Ziel. Priorisiert man Sachen wie reproduzierbare Builds höher als Sicherheit? Das wären interessante Punkte für eine Policy.
Vielleicht passiert das intern, vielleicht ist man intern aber auch zu sehr mit Personalpolitik beschäftigt, um sich solcher Sachen anzunehmen.
Ich habe als Linux-Laie eine Verständnisfrage – auch wenn sie versierten Linux-Usern vielleicht dumm erscheinen mag: Wenn es bei Debian zu Verzögerungen bei Sicherheitsupdates wie dem o.g. Samba kommt, leiden dann auf Debian basierende Distros (z.B. das beliebte MX Linux) unter den gleichen Verzögerungen?
Distributionen, die einfach nur die Debian-Paketquellen einbinden, wie z. B. MX Linux oder Linux Mint Debian Edition (LMDE) haben diese Probleme auch. Du kannst in der sources.list nachsehen, ob da direkt Debian-Paketquellen hinterlegt sind.
Distributionen, die zwar von Debian abstammen, aber eigenen Paketquellen pflegen wie z. B. Ubuntu und Derivate haben die Probleme nicht.
In aller Höflichkeit: meiner Meinung nach kann der letzte Satz ersatzlos gestrichen werden, da er überhaupt nicht zum „Ton“ der Artikel hier passt.
Danke für deine schönen Denkanstöße,
Grüße, Christian
Stimmt. beim nochmal lesen, hab ich mir das jetzt auch gedacht. Vermutlich habe ich da einfach erwartete Reaktionen vorweg genommen.
Immer noch keine Bewegung. Ich habe Debian früher gerne genutzt. Einige Entscheidungen, zum Teil doch alte Pakete und das Gefühl des intransparenten Sicherheitsstatus haben mich jedoch nach einer Alternative suchen lassen und sowohl auf Notebook als auch auf meinem Server läuft Debian nicht mehr. Indirekt nutze ich Debian noch über Raspberry OS. Hier würde ich auch gerne wechseln, aber leider habe ich die Hifiberry-Karten bisher nicht zum Laufen bekommen, weil Hifiberry die Treiber nicht Upstream zur Verfügung stellt…
Ja, ich schaue da auch jeden Tag einmal drauf und da tut sich gar nichts. Angesichts der Tatsache, dass wir hier von keinem reinen Desktop-Problem sprechen umso „interessanter“.
Ich nutze Debian tatsächlich momentan noch. Auf meinem Zweitrechner arbeite ich mich aber langsam in openSUSE Leap ein.
Ich war früher jetzt nicht so „am Ball“, was die Patches bei Debian angeht, aber in letzter Zeit hört und liest man viel, dass es hängt. Und nicht nur in diesem Blog.
Was mir nicht in den Kof will, warum das selbst bei Ubuntu hier schon zeitig klappt und bei Debian kann man nur lesen, dass die aktuelle Version im Upstream erschienen ist, diese taucht dann aber ansonsten nirgends auf.
Ein Punkt, warum ich an Debian hängen geblieben bin, war der gute Ruf des Security Teams dort. Ich würde mir wünschen, dass sie den Ruf wieder rechtfertigen können. Weil vom Handling, Stabilität usw. mag ich ich Debian eigentlich sehr.
Der Unterschied ist, dass Canonical/Ubuntu einfach die offizielle Minorversion weitergereicht hat (4.13.14 -> 4.14.17) http://changelogs.ubuntu.com/changelogs/pool/main/s/samba/samba_4.13.17~dfsg-0ubuntu0.21.04.1/changelog
Debian macht das aus ideologischen Gründen (Versionen müssen absolut stabil gehalten werden) nicht, sondern will nur die Lücke patchen. Sie scheitern aber offensichtlich daran, dies in einem angemessen Zeitraum hinzubekommen. Ich finde, wenn man Ideologie über die Sicherheit der Nutzer stellt, hat man verspielt.
Aber wenn Ubuntu diese Version einpielen kann, ohne dass wohl das System kolalbiert, SUSE ja wohl auch, dann sollte man das bei Debian doch auch ohne große Probleme schaffen können?
Verzeih, ich bin halt kein Informatiker, aber das verstehe ich nicht. Und ich denke mir, dass das Paket auch Relevanz für Server hat? Das macht es gerade da für Debian nicht besser?! Wenn sie schon nicht das Hauptaugenmerk auf den Desktop legen, sollte das wenigstens da klappen?
Sie wollen es aber nicht, weil Debian sich irgendwann mal auf Versionsstabilität festgelegt hat und die Community zu festgefahren ist, um darüber konstruktiv diskutieren zu können. Das ist wie ein Dogma in der Kirche.
Das ist dann aber auch eine ziemlich merkwürdige Herangehensweise. Sicher ist Stabilität sehr wünschenswert, aber das sollte ja nicht über allem stehen?! Da würde ich die Sicherheit wesentlich höher gewichten. Ich hätte da eher Sorge, dass mein Projekt hier einen schlechten Ruf bekommt, als bei vielleicht mel einen Kratzer bei der Stabilität. Wenn das hier überhaupt zu einem Problem führen würde.
Das Update wurde nun veröffentlicht: https://lists.debian.org/debian-security-announce/2022/msg00038.html
Danke für die Info!
Da hier die Sicherheitslücke in der expat-Bibliothek explizit erwähnt wurde (CVE-2022-23852) möchte ich mal anmerken, dass Debian den Fix dazu am 12. Februar bereitgestellt hat, Ubuntu am 21. Februar. Kunden von Red Hat 8 und 7 warten immer noch darauf (Stand 9.3.22).
Hier werden immer gerne Einzelfälle herausgepickt, bei denen Debian schlecht da steht. Im Durchschnitt sind aber Debian und Ubuntu bei Security Updates schneller und gewissenhafter als Red Hat und seine Derivate.
Dafür sind die Lücken in MariaDB alle noch offen…
In keiner einzigen Distribution ist Samba ab Werk vorinstalliert. Das ist ein rein optionales Paket zur Kompatibilität mit Windows basierten Netzwerken. Daher sind Sicherheitslücken hinsichtlich Samba, nicht wirklich von essentiell akuter Bedeutung. Leider muss ich bezüglich der Kritik über Debian vollständig zustimmen, zumal mein persönliches Limit unter Debian vor wenigen Monaten nach Jahren ereicht war, womit seither überaus zufrieden Arch eingesetzt wird.