Kommentar: Unterstützung bei vielen Linux-Distributionen nur heiße Luft

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

Bild von pixelcreatures via pixabay / Lizenz: CC0 Public Domain

In KMail gibt es zur Zeit eine ärgerliche Sicherheitslücke (Schwerer Bug in KMail - Test für die Distributionen). Sowas kommt vor, Code ist nie perfekt und mancher Fehler kann gravierende Auswirkungen haben. Die Sicherheitslücke gehört nicht zu den wirklich schwerwiegenden Fehlern, ist aber auch nicht ganz belanglos. Kurz gesagt kann es unter bestimmten Umständen dazu kommen, dass E-Mails - entgegen der Annahme des Verfassers - unverschlüsselt versendet werden.

Dafür muss es zwar zu einer ungünstigen Verkettung von Umständen kommen (Später versenden & OpenPGP-Verschlüsselung), aber viele Sicherheitslücken beruhen auf einem bestimmten Szenario. Die Ansiedlung im Bereich der Verschlüsselung macht hier aus einem lästigen Fehler eine Sicherheitslücke. Die Lücke ist also keineswegs auf einem Niveau mit Heartbleed oder anderen Katastrophen, aber sie ist eben auch nicht nur ein lästiger Fehler ohne Auswirkungen.

Im Grunde genommen stellt die Sicherheitslücke kein besonderes Problem dar. Nach ihrer Entdeckung schlossen die KDEPIM-Entwickler die Lücke am 02.06.2017. Anwender von Rolling Release-Distributionen erhielten im Rahmen der KDE Applications 17.04.2 ein Update, das den Fehler behob. Die Mehrheit der Linux-Distributionen und naturgemäß alle Enterprise/LTS-Varianten funktionieren aber nach dem stabilen Entwicklungsprinzip. Da alle KMail Versionen seit 4.11 betroffen sind müssen hier nun die beiden Patches zurück portiert und ausgerollt werden.

Diese Arbeit liegt in der Natur des stabilen Entwicklungsprinzips und die Distributionen garantieren durch ihre Supportversprechen, dass sie diese Arbeit leisten können und wollen. In den letzten Jahren gab es einen regelrechten Wettlauf um die höchsten Supportzeiten, wodurch auch Communitydistributionen wie Kubuntu Laufzeiten von 5 Jahren für ihre LTS-Versionen versprechen. Hier war schon immer fraglich ob diese Supportversprechen in der Praxis auch eingehalten werden würden.

Faktisch hatten ca. einen Monat nach dem Commit der KDEPIM-Entwickler nur openSUSE und Mageia eine Fehlerbehebung ausgerollt (Mageia zudem nur für Version 6, obwohl 5 auch noch supportet wird). Bei Kubuntu tut sich nichts im entsprechenden Bugreport, weder für die STS-Versionen, noch für die beiden aktiven LTS-Varianten 14.04 und 16.04. Debian hat beschlossen, dass die Lücke nicht gravierend ist und man entweder auf eine schlimme Lücke wartet um den Patch dann zusammen einzupflegen oder den nächsten Pointrelease.

Faktisch muss man daher festhalten, dass die Supportversprechungen der meisten Distributionen im Desktopbereich nur auf dem Papier existieren. Befinden sich Lücken im Kernel oder zentralen Bibliotheken, die auch den Serverbereich betreffen, erfolgen schnelle Behebungen. Hier sind schließlich zahlende Kunden betroffen und viele Distributionen setzen inzwischen auf zentral gepflegte LTS-Kernelversionen. Im Desktopbereich lässt man die Dinge hingegen laufen, obwohl man auch hier Unterstützung verspricht.

Kubuntu und Debian sind für KDE-Desktopanwender also keine vertrauenswürdige Basis - trotz 5 respektive 3 Jahren Supportversprechen. Im Grunde genommen kann man bei den LTS-Versionen hier nur noch zu openSUSE Leap raten.

Seit Jahren mokiert man sich über die Microsoft-Patchdays und die lange Dauer bis Sicherheitslücken behoben werden. Hier zeigt sich, dass viele Linux-Distributionen mindestens genau so lange brauchen und Sicherheitslücken längst nicht so hoch priorisieren wie man das gerne nach außen verkauft. Die theoretisch mögliche Sicherheitsaktualisierung einen Tag nach bekanntwerden des Problems ist also vor allem eines: Theorie!

Paul
Finde ich gut, dass solche Probleme aus Sicht von jemandem, der Linux tatsächlich produktiv nutzt, hier Platz finden. Linuxer verfallen einfach viel zu oft ins Schönreden. Tatsächlich stört mich das schon immer: "Unterstützung" bedeutet bei Linux oft nicht, dass gemeldete Fehler bald behoben werden, sondern, dass ein Bug zur Kenntnis genommen wird (wenn überhaupt), und dann hoffentlich zur nächsten Version in zwei Jahren behoben wird. Damit kann man Glück haben, wenn es nichts (für einen selbst) wichtiges betrifft, oder halt auch Pech.
Pitt
Moin,

immerhin ist bei diesem Beispiel eine RR-Distribution nicht betroffen denn diese haben ihr Update bekommen, sowie eben SuSE auch. Der Rest liegt nicht an Linux sondern an den Distributionen die alles kaputt machen - Schade eigendlich.
peace

Pitt
Moin,
ich gebe Dir selten Recht doch hier muß ich es einfach, obwohl Du ja kein Linux nutzt. Genau diese Gründe waren es weshalb ich zu einer RR-Distribution wechselte. Schade das es sich viele zu einfach machen.

peace

Cruiz
Ich nutze Linux nicht auf meinen Produktivsystem en, was nicht bedeutet, dass ich es überhaupt nicht nutze. Von diesem Bug bin ich z.B. ganz persönlich betroffen, weshalb ich mich daran auch so aufziehe - aber eben auch berechtigterwei se.
Matthias Mailänder
Hier kann ich nur sagen: entweder selbst beheben, wenn es einen persönlich dermaßen stört oder kommerziellen Support zukaufen und dann Verträge mit garantierten Sicherheitsaktu alisierungen erhalten.
Cruiz
Aha und wieso sollte ich dann eine Distribution verwenden die LTS-Support bietet, wenn ich doch alles selbst machen muss? Theoretisch kann ich dann gleich zu LFS greifen...
pitt
Moin,

das ist nicht dein ernst und wer garantiert mir das es im kommerziellen Support beseitigt wird?
Bei Ubuntu soll der Fehler immer noch vorhanden sein und nu?
Ne Herr Mailänder, Du machst es Dir zu einfach oder überheblich ? Laß es mal offen. jedenfalls hat Cruiz da absolut Recht!

Matthias Mailänder
Ich finde die Forderung einfach nur ziemlich dreist. Man erwartet im Open Source Bereich den gleichen Service wie bei einem lizenzierten Windows nur gratis. Leistung ohne Gegenleistung zu fordern ist moralisch falsch und unfair. Diese Community-Distributionen kommen mit "absolutely no warranty" und werden von Ehrenamtlern betreut. Entweder selbst beheben, jemand einstellen, der sich an der Wartung beteiligt oder Kunde bei einem Anbieter werden. Wenn dieser es dann nicht behebt, dann hat man das Recht sich meinetwegen auch öffentlich zu beschweren bzw. kann mit Kündigung drohen. Das jemand bei SUSE den Fix in die Community Distribution rückportiert ist reine Nettigkeit.
Cruiz
Irrtum! Die Distributionen versprechen schließlich Supportzeiträume, die müssen sie dann auch einhalten. Schließlich zwingt sie niemand dazu mehrere Jahre support anzubieten. Z.B. Zitat von Kubuntu.org: "Kubuntu 16.04 LTS comes with three years of security and maintenance updates, guaranteed." (http://www.kubuntu.org/getkubuntu/)

Da steht nichts von eventuell, freiwillig und nur an Weihnachten und Ostern.

Meine Kritik bezog sich daher ja explizit auf dies schwachbrüstig aufgestellten Communitydistri butionen mit exorbitanten Supportzeiten.

abbc
Nja, es ist auch irgendwie Werbung von Seite des Distributors aus. Wirklich erwarten sollte man daher nicht viel. Ist halt einfach so, das es alles meist und oft auf freiwillige basiert.
Cruiz
Dann darf man aber auch kritisieren, dass da viel "heiße Luft" ist.
Matthias Mailänder
Das Ubuntu/Kubuntu dort tatsächlich Garantien aussprechen wusste ich nicht. Es ist wirklich sehr werbehaft und missverständlich. Canonical bietet eigentlich auch kommerzielle Dienste an. Da sollte wohl besser getrennt werden.

Bei KDE würde ich grundsätzlich zu openSUSE raten. Es wird dort sehr gut integriert. Das schnell ein Patch kommt wundert mich nicht. Die Abläufe bei dem build service sind sehr unbürokratisch und effektiv. Es macht richtig Spaß dort mitzumischen.

benediktg
Dem möchte ich mich anschließen. Ich benutze openSUSE Tumbleweed mit KDE Plasma und bin sehr zufrieden damit. Mit dem Open Build Service ist meines Ermessens openSUSE relativ gut aufgestellt – quasi „Github/Gitlab zum Paketieren“. :)
Papamatti
Matthias Mailänder sagte :
Das Ubuntu/Kubuntu dort tatsächlich Garantien aussprechen wusste ich nicht. Es ist wirklich sehr werbehaft und missverständlich. Canonical bietet eigentlich auch kommerzielle Dienste an. Da sollte wohl besser getrennt werden.

Bei KDE würde ich grundsätzlich zu openSUSE raten. Es wird dort sehr gut integriert. Das schnell ein Patch kommt wundert mich nicht. Die Abläufe bei dem build service sind sehr unbürokratisch und effektiv. Es macht richtig Spaß dort mitzumischen.


Oder einfach KDEneon verwenden.... lol tongue https://twitter.com/search?q=kdeneon 17.04.2&src=typd

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top