In KMail gibt es zur Zeit eine ärgerliche Sicherheitslücke (Schwerer Bug in KMail – Test für die Distributionen). Sowas kommt vor, Code ist nie perfekt und mancher Fehler kann gravierende Auswirkungen haben. Die Sicherheitslücke gehört nicht zu den wirklich schwerwiegenden Fehlern, ist aber auch nicht ganz belanglos. Kurz gesagt kann es unter bestimmten Umständen dazu kommen, dass E-Mails – entgegen der Annahme des Verfassers – unverschlüsselt versendet werden.
Dafür muss es zwar zu einer ungünstigen Verkettung von Umständen kommen (Später versenden & OpenPGP-Verschlüsselung), aber viele Sicherheitslücken beruhen auf einem bestimmten Szenario. Die Ansiedlung im Bereich der Verschlüsselung macht hier aus einem lästigen Fehler eine Sicherheitslücke. Die Lücke ist also keineswegs auf einem Niveau mit Heartbleed oder anderen Katastrophen, aber sie ist eben auch nicht nur ein lästiger Fehler ohne Auswirkungen.
Im Grunde genommen stellt die Sicherheitslücke kein besonderes Problem dar. Nach ihrer Entdeckung schlossen die KDEPIM-Entwickler die Lücke am 02.06.2017. Anwender von Rolling Release-Distributionen erhielten im Rahmen der KDE Applications 17.04.2 ein Update, das den Fehler behob. Die Mehrheit der Linux-Distributionen und naturgemäß alle Enterprise/LTS-Varianten funktionieren aber nach dem stabilen Entwicklungsprinzip. Da alle KMail Versionen seit 4.11 betroffen sind müssen hier nun die beiden Patches zurück portiert und ausgerollt werden.
Diese Arbeit liegt in der Natur des stabilen Entwicklungsprinzips und die Distributionen garantieren durch ihre Supportversprechen, dass sie diese Arbeit leisten können und wollen. In den letzten Jahren gab es einen regelrechten Wettlauf um die höchsten Supportzeiten, wodurch auch Communitydistributionen wie Kubuntu Laufzeiten von 5 Jahren für ihre LTS-Versionen versprechen. Hier war schon immer fraglich ob diese Supportversprechen in der Praxis auch eingehalten werden würden.
Faktisch hatten ca. einen Monat nach dem Commit der KDEPIM-Entwickler nur openSUSE und Mageia eine Fehlerbehebung ausgerollt (Mageia zudem nur für Version 6, obwohl 5 auch noch supportet wird). Bei Kubuntu tut sich nichts im entsprechenden Bugreport, weder für die STS-Versionen, noch für die beiden aktiven LTS-Varianten 14.04 und 16.04. Debian hat beschlossen, dass die Lücke nicht gravierend ist und man entweder auf eine schlimme Lücke wartet um den Patch dann zusammen einzupflegen oder den nächsten Pointrelease.
Faktisch muss man daher festhalten, dass die Supportversprechungen der meisten Distributionen im Desktopbereich nur auf dem Papier existieren. Befinden sich Lücken im Kernel oder zentralen Bibliotheken, die auch den Serverbereich betreffen, erfolgen schnelle Behebungen. Hier sind schließlich zahlende Kunden betroffen und viele Distributionen setzen inzwischen auf zentral gepflegte LTS-Kernelversionen. Im Desktopbereich lässt man die Dinge hingegen laufen, obwohl man auch hier Unterstützung verspricht.
Kubuntu und Debian sind für KDE-Desktopanwender also keine vertrauenswürdige Basis – trotz 5 respektive 3 Jahren Supportversprechen. Im Grunde genommen kann man bei den LTS-Versionen hier nur noch zu openSUSE Leap raten.
Seit Jahren mokiert man sich über die Microsoft-Patchdays und die lange Dauer bis Sicherheitslücken behoben werden. Hier zeigt sich, dass viele Linux-Distributionen mindestens genau so lange brauchen und Sicherheitslücken längst nicht so hoch priorisieren wie man das gerne nach außen verkauft. Die theoretisch mögliche Sicherheitsaktualisierung einen Tag nach bekanntwerden des Problems ist also vor allem eines: Theorie!
Bilder:
