Felsen23
Anmeldungsdatum: 15. April 2009
Beiträge: Zähle...
|
Hallo, LTS-Support betrifft bekanntlich nur Pakete aus Main. Pakete aus Universe werden nur mit Glück von jemandem aus der Community betreut. Dadurch kommt folgendes zustande: http://www.pcworld.com/article/2845072/ubuntu-owncloud-and-a-hidden-dark-side-of-linux-software-repositories.html Hier wird darüber berichtet, dass vom ownCloud Projekt veranlasst wurde ownCloud aus den Ubuntuquellen zu entfernen, da es mehrere Sicherheitslücken enthält. ownCloud lag in Universe. Es wird wohl noch mehr weiterer Pakete in Universe geben, die niemand pflegt und in der bis zu 5 Jahre alte Sicherheitslücken stecken. Im Ubuntu Software Center wird man auch nicht deutlich auf diese Problematik hingewiesen. Kann man unter diesem Gesichtspunkt überhaupt noch Privatanwendern LTS-Versionen empfehlen? Sollte man nicht besser alle 6 Monate upgraden, um dem Sicherheitsproblem zu entgehen? Felsen23
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
Felsen23 schrieb: Kann man unter diesem Gesichtspunkt überhaupt noch Privatanwendern LTS-Versionen empfehlen? Sollte man nicht besser alle 6 Monate upgraden, um dem Sicherheitsproblem zu entgehen?
Interessanter Gedanke. Die frage ist eher: Kann man Privatpersonen universe- und multiverse-Repositories empfehlen, denn was glaubst Du welche Version eines nicht aktualisierten Pakets in der nächsten Ubuntuversion mitgeliefert werden?
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53625
Wohnort: Berlin
|
Felsen23 schrieb: LTS-Support betrifft bekanntlich nur Pakete aus Main.
Oh, das ist neu. Bisher wurde doch tatsächlich restricted auch noch mitsupported.
Pakete aus Universe werden nur mit Glück von jemandem aus der Community betreut.
Für Pakete aus universe gilt das selbe wie für Pakete aus multiverse: Das machen die MOTUs.
Dadurch kommt folgendes zustande: http://www.pcworld.com/article/2845072/ubuntu-owncloud-and-a-hidden-dark-side-of-linux-software-repositories.html
Hier wird darüber berichtet, dass vom ownCloud Projekt veranlasst wurde ownCloud aus den Ubuntuquellen zu entfernen, da es mehrere Sicherheitslücken enthält. ownCloud lag in Universe.
Und unsichere Software zu entfernen ist natürlich ein dringendes Sicherheitsrisiko…
Es wird wohl noch mehr weiterer Pakete in Universe geben, die niemand pflegt und in der bis zu 5 Jahre alte Sicherheitslücken stecken.
Das war noch nie anders und wurde auch immer so kommuniziert. Es gibt dafür sogar ein eigenes Programm, um den Supportstatus der einzelnen installierten Programme anzusehen. ubuntu-support-status Im Ubuntu Software Center wird man auch nicht deutlich auf diese Problematik hingewiesen.
Oh wie furchtbar! Der App-Store hat nicht die Funktion, einem Nutzer das Denken abzunehmen.
Kann man unter diesem Gesichtspunkt überhaupt noch Privatanwendern LTS-Versionen empfehlen? Sollte man nicht besser alle 6 Monate upgraden, um dem Sicherheitsproblem zu entgehen?
Pakete aus universe und multiverse werden in keiner Version von den Ubuntu-Entwicklern unterstützt. Ob und wie viele Pakete, die keinen LTS-Status haben, der Anwender nutzt, liegt nicht zuletzt an ihm selbst.
|
Felsen23
(Themenstarter)
Anmeldungsdatum: 15. April 2009
Beiträge: 186
|
redknight schrieb: Felsen23 schrieb: Kann man unter diesem Gesichtspunkt überhaupt noch Privatanwendern LTS-Versionen empfehlen? Sollte man nicht besser alle 6 Monate upgraden, um dem Sicherheitsproblem zu entgehen?
Interessanter Gedanke. Die frage ist eher: Kann man Privatpersonen universe- und multiverse-Repositories empfehlen, denn was glaubst Du welche Version eines nicht aktualisierten Pakets in der nächsten Ubuntuversion mitgeliefert werden?
In der nächsten Ubuntuversion befindet sich häufig eine aktualisierte Version, da in Debain testing/unstable neuere Versionen liegen und diese in universe landen. tomtomtom schrieb: Oh, das ist neu. Bisher wurde doch tatsächlich restricted auch noch mitsupported.
restricted wird nur eingeschränkt unterstützt, da der Quellcode nicht offen liegt.
Für Pakete aus universe gilt das selbe wie für Pakete aus multiverse: Das machen die MOTUs.
MOTUs betreut die Pakete, garantiert aber keine Sicherheitsaktualisierungen. Bei Chromium vor mehreren Monaten hat man auch gesehen, wie es mit Sicherheitsaktualisierungen für universe aussieht.
Und unsichere Software zu entfernen ist natürlich ein dringendes Sicherheitsrisiko…
Was meinst du damit?
Das war noch nie anders und wurde auch immer so kommuniziert. Es gibt dafür sogar ein eigenes Programm, um den Supportstatus der einzelnen installierten Programme anzusehen.
https://wiki.ubuntu.com/LTS
Dort ist nur die Rede von den unterschiedlichen Desktops wie KDE. Keine Rede davon, dass Pakete aus universe nicht unterstützt werden.
Pakete aus universe und multiverse werden in keiner Version von den Ubuntu-Entwicklern unterstützt.
In neueren Ubuntuversionen liegen aktuellere Pakete. Dann hat man zwar 6 Monate wieder das gleiche Problem, aber besser als bis zu 5 Jahre alte Lücken. Felsen23
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Wenn man maßgeblich auf unsupportete Pakete angewiesen ist (der Befehl wie man das herausfindet wurde oben bereits gepostet) sollte man sich eine andere Distribution suchen. Ende der Diskussion. Zudem kann man sich immer kundig machen, ob es eine supportete Alternative gibt. Faktisch reichen die unterstützten Pakete für die Mehrheit der Benutzer. Bei anderen, unsupporteten Paketen ist es nicht sicherheitskritisch, wenn diese nicht aktualisiert werden. Für viele Programme gibt es ja schlicht keine Aktualisierungen. Die Alternative zum Ubuntu-Debian Synchronisationsprozess ist ein deutlich kleineres Reservoir an Paketen zu unterhalten. Das ist z.B. bei openSUSE der Fall. Führt jedoch zu einem massiven Rückgriff auf Fremd(OBS)-Quellen mit ebenso schlechten Auswirkungen auf die Sicherheit. Da gibt es keinen Königsweg.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
Felsen23 schrieb: In der nächsten Ubuntuversion befindet sich häufig eine aktualisierte Version, da in Debain testing/unstable neuere Versionen liegen und diese in universe landen.
"Häufig" kommt hier stark auf den Betrachter an, in meinem Fall eher "selten bis gar nicht" und darauf wollte ich hinaus. Du hast keine Garantie, dass ein Paket aktualisiert wird. Dann hast Du wenige möglichkeiten:
Du installierst (und betreust) von Hand Du suchst ein PPA dafür Du wirst selbst Package Maintainer
Denn Debian Sid kannst Du kaum mit Ubuntu vergleichen. Und in wheezy musste (um am Beispiel Owncloud zu bleoiben) owncloud in die Backports.
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Also ich hab beim Support durch die Entwickler ein genauso hohes Sicherheitsgefühl. Bei Programmen, die in den offiziellen Paketquellen liegen - aber nicht aktualisiert werden - stört mich auch eher, dass neue Features nicht reinkommen. Ich halte lokal liegende Sicherheitslücken auch für relativ unbedenklich, solange ich mir keine Schadsoftware einfange, die diese aktiv ausnutzt. Serverseitiges (außer Apache, PHP, Mysql..), wie Owncloud, Foren, CMS... würde ich sowieso immer an der Paketverwaltung vorbei einrichten und aktuell halten, außer ich wüsste, dass die - ähnlich wie Thunderbird und Firefox - schön mitgeupdatet werden. | Sie haben 2166 Pakete (54.3%), die bis Juli 2015 (9m) unterstützt werden
Sie haben 4 Pakete (0.1%), die bis August 2015 (9m) unterstützt werden
Sie haben 9 Pakete (0.2%), die nicht/nicht mehr heruntergeladen werden können
Sie haben 1808 nicht unterstützte Pakete (45.3%)
|
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
für mich klingt das irgendwie so wie: "alles muss immer und immer wieder aktualisiert werden, denn nur dann gibt es keine Sicherheitslücke" - egal, um welche Updates es geht usw. Ich habe ca. 4% aller Pakete, die nicht LTS sind... dabei sind z.B. alle Gnome-Games. Uhuhuhu... eine Sicherheitslücke in Mahjong... nicht auszudenken. 😈 Durch irgendwelche Aktualisierungen können auch neue Sicherheitslücken aufgerissen werden. Kann das auch passieren? Nö, oder? –> aber sicher. Mir kommt das ganze irgendwie an den Haaren herbeigezogen vor. Diesen Eindruck bekomme ich vor allem deswegen, weil dieses "Ubuntu LTS ist unsicher" Ding seit einiger Zeit auf pro-Linux.de immer wieder durch die Kommentare geistert.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
Es ist schon ein UNterschied, ob es sich um gnome-games auf deinem Desktoprechner hinter einem Router handelt oder um owncloud auf einem öffentlich erreichabren Server, innerhalb der Security Fixes _fehlen_. Allerdings bin ich auch der Meinung, dass wer Dinge wie owncloud öffentlich anbietet, sich auch selbst darum kümmern muss. Unabhängig davon ob ubuntupakete Updates enthalten doer nicht.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Eben, und wer einen öffentlichen Server betreibt, sollte sich auch mit den Möglichkeiten und Grenzen von Ubuntu auskennen. Ansonsten sollte er schon im eigenen Interesse keinen Server betreiben oder sich fortbilden. Dahinter steht ja auch das Problem, dass Debian zunehmend alles und jedes Stück Software paketiert und diese dann nach ubuntu synchronisiert werden. Andere Distributionen bieten solche Software teilweise einfach nicht an.
|
Felsen23
(Themenstarter)
Anmeldungsdatum: 15. April 2009
Beiträge: 186
|
Die Situation ist doch folgende: Vor jedem Release landen die jeweils aktuellen Pakete von Debian unstable/testing in Ubuntu. Davon die Mehrheit in universe Es gibt niemanden direkt, der sich um die einzelnen Pakete in universe kümmert. Das Motu-Team betreut universe, kümmert sich aber nicht um jedes einzelne Paket, daher auch keine Sicherheitsunterstützung für sehr viele Pakete in universe. Mir geht es ums stopfen der Sicherheitslücken, nicht um aktuellere Programmversionen. Nimmt man ein reguläres Ubunturelease mit 9 Monate Unterstützung, ist die Software in universe am Ende der Unterstützung mindestens 9 Monate alt. Da sich niemand um die Sicherheit vieler dieser Pakete kümmert, können über 9 Monate alte Lücken ausgenutzt werden. Bei LTS Releases sind es sogar 5 Jahre. Sehr schön, wenn man 5 Jahre lang dieselbe Lücke ausnutzen kann, ohne dass sie geschlossen wird. Für Anwendungen ohne Internetfunktion, mögen diese Lücken nicht sehr relevant sein. Aber es ist auch möglich, dass ein lokaler Anwender über eine dort enthalten Lücke, den Rechner übernehmen kann. Deswegen halte ich universe für sehr riskant, besonders da die Quelle von vornherein aktiviert ist. Für den Durchschnittsanwender wirkt es, dass sie genauso unterstützt werden, wie die Pakete aus main. Es sind keinerlei Hinweise auf der Ubuntu Downloadseite, noch im Software Center zu finden, dass es sowas wie universe gibt, und diese Pakete nicht sicherheitstechnisch unterstützt werden. Auch zeigt das Software Center nicht an, ob das Paket aus main, oder universe stammt. Darum halte ich LTS Versionen für den unbedarften Nutzer für sehr bedenklich. Felsen23
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
Also ich habe das schon in deinem ersten Post begriffen, was du davon hälst und wie die Situation ist usw. Du kannst es auch nochmal schreiben - wenn du es hier schreibst, wird sich nichts ändern. Es wird sich auch so nichts andern. Man ist immer und überall dazu angehalten, selbst zu denken. Deshalb ist der Weg der LTS nicht mit Warnhinweisen gepflastert
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Hallo Felsen, hast du eigentlich abgesehen von deiner pauschalen Aburteilung von universe mal das oben von Tom erwähnte Programm in dein Ubuntu eingegeben. Dann wirst du sehen, dass sehr viele Pakete in universe betreut werden (nur nicht von Canonical) und keineswegs brach liegen. Ich nutze z.B. ein Derivat und eine Reihe von Nischenprogrammen und komme auf keine 5% nicht betreute Pakete. Das Risiko ist überschaubar. Zumal *ubuntu hier nur reinen Wein einschenkt. Es ist keineswegs so, dass bei Debian alle Pakete supportet werden. Das würde man zwar nie zugeben, aber der Zustand einiger Webbrowser in Wheezy spricht Bände. Bei Server ist die Problemstellung eine andere, aber hier darf es deinen unbedarften Nutzer nicht geben. Da gibt es nichts zu diskutieren.
|
sephirot_1024
Anmeldungsdatum: 17. August 2009
Beiträge: 105
|
Hier stand nicht ganz ausgereiftest zeugs, daher edit... Edit Edit: Um es nochmal kurz festzuhalten, ohne übertreiben zu wollen. Ich würde trotzdem aus genau diesen Grunde niemals einen 08/15 anwender Ubuntu LTS empfehlen. Das zu wissen kann man nicht erwarten und das ist tragisch denn UBUNTU richtet sich speziell an unbedarfte Nutzer, das darf man hier aber nicht sein.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
sephirot 1024 schrieb: Hier stand nicht ganz ausgereiftest zeugs, daher edit... Edit Edit: Um es nochmal kurz festzuhalten, ohne übertreiben zu wollen. Ich würde trotzdem aus genau diesen Grunde niemals einen 08/15 anwender Ubuntu LTS empfehlen. Das zu wissen kann man nicht erwarten und das ist tragisch denn UBUNTU richtet sich speziell an unbedarfte Nutzer, das darf man hier aber nicht sein.
Sind wir mal ganz ehrlich, wie schätzt du denn die Gefahrensituation für den "unbedarften" 08/15 Nutzer ein? Die größte Gefahr für diese Art Nutzer sind Programme, die sich mit dem Internet verbinden. Dazu gehören hauptsächlich der Browser und das Mailprogramm - Programme beider Ausprägungen haben (zumindest meines Wissens nach) aktive Maintainer. Eine weitere Gefahr für Nutzer könnten manipulierte Dokumente sein - auch LibreOffice ist in Ubuntu ausreichend versorgt. Ich finde es zwar auch ziemlich suboptimal wie diese Pakete importiert werden (meiner Meinung nach sollte jedes Paket ohne Maintainer in Ubuntu nicht in ein offizielles Repo eingebunden werden) und dem angesprochenen Nutzer ist das mit universe/multiverse nicht klar, aber mal ganz ehrlich, der Angriffsvektor über ein Paket ohne Maintainer, das ein 08/15 Nutzer auf seinem Privat PC installiert haben könnte, ist kombiniert mit der Anzahl der Leute, die überhaupt Linux nutzen, so winzig dass sich nun wirklich niemand diese Mühe machen wird. Ich persönlich schätze das Sicherheitsrisiko durch diese Situation sehr niedrig ein. Ein anderes Thema sind natürlich Serverdienste/-programme, die in universe/multiverse liegen. Aber da wurde auch schon oft genug angemerkt, dass jemand der seine Programme, die ans Internet angebunden sind, nicht überprüft, keinen Server betreiben sollte.
|