Unter dem Zusatz "LTS", kurz für "Long-Term Support" bietet Canonical Versionen seiner bekannten Linux-Distribution Ubuntu an. Versprochen wird ein durchaus üppiger Pflegezeitraum von fünf Jahren, bis der Nutzer auf eine jüngere Ausgabe des Systems umsteigen muss.

Doch dieses Versprechen hat einen Haken, wie c't berichtet. Denn es gilt längst nicht für alle Bestandteile des Systems, was dazu führt, dass in vorhergehenden LTS-Ausgaben teils Jahre alte Sicherheitslücken klaffen.

Nur "main" wird offiziell gepflegt

Canonicals Zusage bezieht sich nämlich nur auf "main", das verwaltete Hauptverzeichnis für Anwendungen und andere Softwarebestandteile. Etwa 2.500 Einträge gibt es dort. Sie werden fünf Jahre lang auf den neuesten Stand gebracht und um Sicherheitslücken bereinigt.

Wesentlich größer ist allerdings das Repository "universal", das die mehrfache Anzahl an Paketen bietet. Die Pflege ist von Paket zu Paket unterschiedlich und wird in der Regel von Freiwilligen erledigt. Manche versprechen einen Support von neun Monaten, andere bis zu drei Jahren. Bei vielen ist überhaupt keine Zeitraum gelistet und folglich auch unklar, ob es überhaupt Betreuung gibt.

Lücken etwa in VLC und Libmms

Für vorhergehende Ubuntu LTS-Versionen (12.04 und 14.04) ließ sich beobachten, dass Sicherheitslücken in populären Programmen wie dem VLC-Mediaplayer, der ebenfalls im "universal"-Repository steckt, zum Teil auch noch nach Ablauf der angegebenen neun Monate beseitigt wurden.

Mittlerweile ist er dort aber veraltet und durch zwei schon länger bekannte Schwachstellen angreifbar – während für andere Linux-Distributionen längst ein aktualisiertes Paket vorliegt. Lecks betreffen auch andere oft verwendete, teils ab Installation vorhandene Softwarebestandteile wie die Libmms-Bibliothek.

Gefahr für Server

Nutzer der Desktop-Ausgabe von Ubuntu sollten trotzdem einigermaßen sicher sein. Aufgrund der im Vergleich niedrigen Verbreitung zu Systemen wie Windows oder OS X lohnt sich das System kaum als Ziel für Cyberkriminelle.

Die c't warnt allerdings Serverbetreiber, die sicherheitshalber ausschließlich auf Software aus dem "main"-Verzeichnis setzen sollten. Andernfalls müsse man mit Mehraufwand durch die regelmäßige Kontrolle und Aktualisierung anderer Pakete rechnen. Eine Aufgabe, die der von den Ubuntu-Entwicklern zur Verfügung gestellte CVE-Tracker immerhin erleichtert.

Auch die LTS-Releases anderer Distributionen dürften nur zum Teil gepflegt werden. Es gibt jedoch löbliche Ausnahmen, wie etwa Debian. (red, 24.04.2016)