29Aug
Linux Mint is onveilig, volgens een Canonical-employed Ubuntu-ontwikkelaar die zegt dat hij zijn online bankieren niet zou doen op een Linux Mint-pc. De ontwikkelaar beweert dat Linux Mint belangrijke updates "hackt".Is dit een echt probleem of gewoon angst aanjagen?
De betrokken Ubuntu-ontwikkelaar heeft bepaalde feiten verkeerd ontvangen en zijn eigen zaak beschadigd, maar er is nog steeds een echt argument om hier te krijgen. Ubuntu en Linux Mint hebben op verschillende manieren met updates te maken en elk heeft zijn eigen compromissen.
A Beschuldigingen van Ubuntu-ontwikkelaar
Oliver Grawert, een Canonical-employed Ubuntu-ontwikkelaar, startte de verbale oorlogvoering met dit bericht op de mailinglijst van Ubuntu-ontwikkelaars. Daarin verklaarde hij dat beveiligingsupdates "expliciet zijn gehackt uit Linux Mint voor Xorg, de kernel, Firefox, de bootloader en verschillende andere pakketten".
Hij heeft een link naar het Mint Update-regelsbestand gegeven, waarin staat dat het "een lijst met pakketten is [Mint] zal nooit worden bijgewerkt." Dit is onjuist - het bestand doet iets ingewikkelder dan dat, maar daar zullen we later op ingaan. Hij vervolgde: "ik zou zeggen dat het krachtig houden van een kwetsbare kernelbrowser of xorg in plaats van het toestaan van de geboden beveiligingsupdates tot installateur [sic] het tot een kwetsbaar systeem maakt. .. Ik zou er persoonlijk geen internetbankieren mee doen;)".
Sommige van deze beschuldigingen zijn volkomen onwaar. Het klopt dat Linux Mint standaard updates blokkeert voor pakketten zoals de X.org grafische server, Linux-kernel en bootloader. Deze updates zijn echter niet "gehackt uit Linux Mint", zoals we later zullen laten zien. Linux Mint blokkeert ook geen updates voor Firefox. Updates voor de Firefox-webbrowser zijn belangrijk voor de beveiliging in de echte wereld en zijn standaard toegestaan, dus de aantijgingen van deze Ubuntu-ontwikkelaar zijn off-point. Er is echter nog steeds een echt argument hier - Linux Mint blokkeert standaard bepaalde soorten beveiligingsupdates.
Linux Mint's Response
Linux Mint oprichter en hoofdontwikkelaar Clement Lefebvre reageerde op deze beschuldigingen met een blogpost. Daarin wijst hij erop dat de ontwikkelaar van Ubuntu onjuist was over de beschuldigingen die we hierboven hebben uitgelegd. Hij verduidelijkt ook de reden van Linux Mint voor het standaard uitsluiten van updates voor bepaalde pakketten:
"We hebben in 2007 uitgelegd wat de tekortkomingen waren met de manier waarop Ubuntu hun gebruikers aanbeveelt om blindelings alle beschikbare updates toe te passen. We hebben de problemen in verband met regressies uitgelegd en we hebben een oplossing geïmplementeerd waar we heel blij mee zijn. "
Firefox wordt automatisch bijgewerkt door Linux Mint, net als door Ubuntu. Beide distributies gebruiken in feite hetzelfde pakket dat afkomstig is van dezelfde repository.
Het primaire argument van Linux Mint is dat "blindelings" pakketten bijwerken zoals de grafische server, bootloader en Linux-kernel van X.org problemen kunnen veroorzaken. Updates van deze low-level-pakketten kunnen bugs op sommige soorten hardware introduceren, terwijl de beveiligingsproblemen die ze oplossen geen echt probleem vormen voor mensen die Linux Mint terloops thuis gebruiken. Veel beveiligingsfouten in de Linux-kernel zijn bijvoorbeeld "local privilege escalation" -kwetsbaarheden. Mogelijk kunnen gebruikers met beperkte toegang tot de computer de rootgebruiker worden en volledige toegang krijgen, maar ze kunnen niet gemakkelijk worden geëxploiteerd vanuit een webbrowser zoals een typisch beveiligingsprobleem op Java zou kunnen.
Is dit eigenlijk een probleem?
Beide partijen hebben goede argumenten. Aan de ene kant is het absoluut waar dat Linux Mint standaard beveiligingsupdates voor bepaalde pakketten uitschakelt. Dit laat een Mint-systeem met meer bekende beveiligingskwetsbaarheden, die theoretisch zou kunnen worden geëxploiteerd.
Aan de andere kant is het waar dat deze beveiligingskwetsbaarheden niet actief worden benut. Linux Mint werkt software bij die daadwerkelijk wordt aangevallen, zoals webbrowsers. Het is ook waar dat updates van X.org in het verleden problemen hebben veroorzaakt. In 2006 verbrak een Ubuntu-update de X-server van veel Ubuntu-gebruikers die het hadden geïnstalleerd, waardoor ze naar de Linux-terminal dwongen. Getroffen gebruikers moesten hun systemen vanaf de terminal repareren. Het beleid van Linux Mint over updates werd pas een jaar later in 2007 uiteengezet, dus het is waarschijnlijk dat deze aflevering van invloed was op de huidige opstelling van Linux Mint.
Als u een thuis desktopgebruiker bent, zult u waarschijnlijk niet in gevaar worden gebracht vanwege een fout in de Linux-kernel. Als u een server uitvoert die is blootgesteld aan het internet of een zakelijk werkstation gebruikt waar u de toegang tot wilt beperken, moet u natuurlijk zorgen dat alle mogelijke beveiligingsupdates zijn geïnstalleerd.
Beveiligingsupdates beheren in Linux Mint
Elke Linux Mint-gebruiker die liever alle beveiligingsupdates heeft die Ubuntu-gebruikers krijgen, kan deze inschakelen vanuit Mint's Update Manager. Deze updates worden niet 'gehackt', maar zijn standaard alleen uitgeschakeld.
Om deze instelling te beheren, opent u de Update Manager-applicatie vanuit het menu van uw bureaubladomgeving. Klik op het menu Bewerken en selecteer Voorkeuren. U kunt dan de "niveaus" van pakketten kiezen die u wilt installeren."Niveaus" worden gedefinieerd in het Mint update rules-bestand dat we eerder noemden. Niveaus 1-3 zijn standaard ingeschakeld, terwijl niveaus 4-5 standaard zijn uitgeschakeld. Firefox is een niveau 2-pakket dat standaard wordt bijgewerkt. X.org en de Linux-kernel zijn niveaus 4 en 5, dus ze worden standaard niet bijgewerkt.
Schakel niveaus 4 en 5 in en je krijgt dezelfde updates als in Ubuntu - afkomstig van Ubuntu's eigen update-repository's - maar je loopt meer risico op "regressies" die problemen introduceren.
Het echte meningsverschil hier is een filosofische. Ubuntu vindt het fout om alles standaard bij te werken, waardoor alle mogelijke beveiligingskwetsbaarheden worden geëlimineerd - zelfs die waarvan het onwaarschijnlijk is dat ze op thuisgebruikerssystemen worden misbruikt. Linux Mint staat fout aan de kant van het uitsluiten van updates die mogelijk problemen kunnen veroorzaken.
Welke oplossing de voorkeur heeft, komt neer op waarvoor u uw computer gebruikt en hoe comfortabel u bent met de risico's.