Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

Paketquellen - Die Illusion von Sicherheit?

Die zentralen Paketquellen der meisten Linux-Distributionen erlauben einen kontrollierten Bezug von Software. Kein Herumstöbern im Internet, keine Downloads von ungeprüften Quellen und ein zentrales Sicherheits- und Qualitätsmanagement durch den Distributor galten immer als zentrale Argumente für dieses System. Doch gilt das wirklich so uneingeschränkt?

Das bekannteste Beispiel ist sicherlich Ubuntus universe. Dort liegen die nicht unterstützen Pakete der Distribution, mehr oder minder gewartet von der Community. Je nach Standpunkt ist das mit zunehmendem zeitlichen Abstand zur Veröffentlichung ein Müllkippe oder gar eine tickende Zeitbombe. Das universe ist berühmt-berüchtigt, aber in der Linux-Welt nicht so singulär, wie man das gerne hätte. Die meisten Distributionen haben tausende oder gar zehntausende Pakete in ihren Quellen, auf die sich theoretisch das Supportversprechen erstreckt.

Dabei entwickeln, die Distributoren kaum Software selbst. Die meiste Entwicklungsarbeit erfolgt in den Entwicklungsteams der einzelnen Softwareprojekte, im Jargon "upstream" genannt. So lange die jeweilige Softwareversion hier noch gepflegt wird, muss der Distributor Patches nur anpassen und für die Distribution ausrollen. Doch was passiert, wenn das Upstream-Projekt den Support einstellt? Das ist nicht so theoretisch, wie man es gerne hätte. Die meisten LTS-Distributionen haben deutlich längere Laufzeiten, als die Upstream-Projekte.

Ein Beispiel verdeutlicht das ziemlich gut. Das viel genutzte Toolkit Qt liegt derzeit in Version 5 vor. Die vorangegangene Version 4 ist seit 2015 nicht mehr unterstützt. Trotzdem liefern sie nach zahlreiche Distributionen aus, weil sie immer noch die Basis für viele Anwendungen darstellt, die immer noch nicht auf Version 5 portiert wurden. Den Finger in die Wunde hat nun das Debian-Projekt gelegt, indem es Qt4 für die kommenden Versionen aus den Paketquellen entfernt hat. Die Ankündigung zeigt auch, wie kompliziert es ist eine offiziell abgekündigte Version weiter zu pflegen - selbst für ein professionelles Security-Team wie das von Debian. Ubuntu wird Qt4 trotzdem noch für die kommende LTS 18.04 ausliefern, wenn auch nur in universe. OpenSUSE will für die kommende Leap-Version 15 ebenfalls an Qt4 festhalten, weil davon noch so viel abhängt.

Natürlich muss man relativierend sagen, dass nicht jeder ungelöste Fehler und jede semi-kritische Sicherheitslücke gleich eine Katastrophe darstellt. Nicht jedes Problem destabilisiert gleich das gesamte System. Wobei es auch Pakete gibt, die deutlich kritischer sind und ebenso wenig gewartet werden. Man denke nur an die zahllosen Browser auf WebKit-Basis, welche je nach Versionsstand katastrophale Sicherheitslücken hat.

Der normale Benutzer bekommt von solchen Schwierigkeiten nichts mit. Er installiert Software aus den offizielle Paketquellen und fühlt sich sicher. Die oben thematisierten Distributionen gehören zudem zweifelsohne zu den Vorreitern in Sachen Verbreitung und Qualität in der Linux-Welt. Wie das bei den unzähligen Nischenprojekten und Forks aussieht möchte man gar nicht erst prüfen.

Das bisherige System ist also alles andere als perfekt, das sollte man im Hinterkopf behalten, wenn man möglicherweise veraltete Bibliotheken als großes Risiko in den kommenden Formaten Snap und Flatpak anprangert.

Zudem sollte man sich nicht zu sicher fühlen. Die Linux-Distributionen sitzen auf riesigen ungelösten Baustellen. Bei einer höheren Verbreitung haben viele davon das Potenzial einem um die Ohren zu fliegen. Daran sollte man denken, wenn man mal wieder die vermeintlich überlegene Sicherheitsarchitektur von Linux anpreist.


Bilder:

Einleitungs- und Beitragsbild von pixelcreatures via pixabay / Lizenz: CC0 Creative Commons

Tags: Sicherheit, Linux

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.
  • Dieses Kommentar ist noch nicht freigegeben.
    Daniel · Vor 2 Monaten
    Ubuntu hat eine Liste mit bekannten CVEs in den Packeten aus main, universe und partner. Hab mir mal die Mühe gemacht, per Skript die Liste von CVEs mit den installierten Packeten zu vergleichen. Das Ergebnis für Ubuntu 18.04 (und meiner Auswahl an Packeten): 27 low- und 14 medium-criticality Sicherheitslücken. High oder critical kam zum Glück nicht vor.
Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1