Brandbrief eines Webkit-Developers aufgetaucht

Das Debian durch den Programmierer von XScreensaver bereits unter Beschuss geraten ist, dürfte allgemein bekannt sein. Er hat sich darüber beschwert, dass er Fehlerreports von Leuten erhält, die eine alte Version von Debian verwenden, obwohl diese Probleme längst im Upstream gelöst wurden. Das ganze kann im Fall von Xscreensaver als Nebensächlichkeit abgetan werden, weil zu keinem Zeitpunkt sicherheitsrelevante Bugs darunter waren.

Jetzt ist aber ein neuer Brandbrief aufgetaucht https://blogs.gnome.org/mcatanzaro/2016/02/01/on-webkit-security-updates/ diesmal von einem Webkit Entwicker. Webkit wird von dem Chromium Browser verwendet und wenn darin Sicherheitsprobleme auftreten sind die Folgen dramatisch (geklaute Kreditkarten, Rechner mit Spionagesoftware versehen, Festplattenverschlüsselung durch Hacker usw).

In diesem Brandbrief heißt es:
„We regularly receive bug reports from users with very old versions of WebKit, who trust their distributors to handle security for them and might not even realize they are running ancient, unsafe versions of WebKit.“

Der Programmierer macht darauf aufmerksam, dass Webkit bei Ubuntu überhaupt keine Sicherheitsupdates erhält (es ist dort im Universe Repository gelistet) und das es bei Debian nur dann Updates erhält, wenn man die Testing Version verwendet. Wie auch beim XScreensaver scheint das Problem struktureller Natur zu sein. Das nähmlich die Zusammenarbeit zwischen Upstream und Linux-Distribution nicht richtig funktioniert. Für den Benutzer bedeutet das den absoluten Supergau: wenn er Chromium auf einem Ubuntu System installiert ist es sehr unsicher damit im WWW zu surfen. Und noch schlimmer, es wird sich in Zukunft daran auch nichts ändern, weil die Infrastruktur von Ubuntu oder Debian gar nicht darauf ausgelegt eine aktuelle Version von Webkit einzuspielen. Das bedeutet, dass selbst jetzt wo das Problem benannt wurde, sich gar nichts ändern wird. Es ist eben nicht nur ein weiterer Bug der eine CVE-Nummer bekommt und der in zwei Wochen gefixt sein wird, sondern der Chromium Browser auf Ubuntu LTS Machinen wird noch die nächsten 10 Jahre anfällig sein für Sicherheitslücken.

Dass dieser Brandbrief noch keine größeren Wellen geschlagen hat, ist eigentlich ein Wunder. Normalerweise müssten bei Debian und bei Ubuntu alle Warnlichter angehen. Stattdessen ist auf der Debian Security Liste zu lesen, dass alles super läuft und gerade wieder mehrere Sicherheitsprobleme in Chromium beseitigt wurden: https://www.debian.org/security/2016/dsa-3667 Scheinbar ist also Debian besser über den Sicherheitszustand von Webkit informiert, als es der Upstream ist.

Hier http://askubuntu.com/questions/177207/is-chromium-in-ubuntus-repository-safe-to-use-since-its-so-out-of-date nochmal von anderer Seite ein Bericht über den Sicherheitszustand bei Ubuntu in Verbindung mit Chromium. Das Fazit lautet, dass die Ubuntu Chromium Version komplett veraltet ist und damit das System anfällig ist für jede Art von Virus. Von der Benutzung als Produktivsystem wird entschieden abgeraten. Nur, diese Hinweise kommen keineswegs von Ubuntu selber sondern von außerhalb. Die offizielle Meinung von der Ubuntu Distribution und der Debian Distribution lautet: Lage unter Kontrolle keine Probleme, long-term-stable-release ist das beste was es gibt.

Im Grunde kann man die User nur beglückwünschen bisher um Linux auf dem Desktop immer einen großen Bogen gemacht zu haben. Wenn sie andere Betriebssysteme wie Microsoft Windows 8 einsetzen, erhalten sie wenigstens Sicherheitsupdates. Bei Linux ist das erstens nicht der Fall und noch schlimmer, bei Ubuntu und Co gibt es auch keine Bereitschaft daran etwas zu ändern.

UPSTREAM
Alle Schuld auf die Distributionen abzuladen ist falsch. Denn Sicherheitslücken entstehen beim Upstream. Hätten die Webkit Entwickler in der Vergangenheit keine Fehler gemacht, dann gäbe es die zahlreichen Exploits nicht. Aber, der Upstream ist zumindest bereit, neue Programmversionen bereitzustellen wenn die Fehler verbessert wurden. Der Zustand Stable wird aktiv angestrebt. Bei Debian und Ubuntu hingegen vertraut man auf die Guidelines die vor vielen Jahrzehnten erfunden wurden und die besagen, dass möglichst auf Veränderungen verzichtet wird, es sei denn gewichtige Gründe sprechen dafür. Diese Haltung führt dazu, dass im Zweifel kein Update auf neue Versionen durchgeführt wird und ähnlich wie bei Android auch das System unsicher wird. Das gefährliche daran ist einmal die Praxis als solche aber zusätzlich auch noch die gelebte Debian Kultur die Kritik an diesem System abblockt.

Bisher haben wir von Seiten des Upstream nur zwei Leute, die sich explizit gegen Debian gestellt haben: das Projekt XScreensaver und jemand aus dem Webkit Team. Es gibt aber im Upstream noch viele weitere Projekte wo Leute sitzen die zu den langen Release Zyklen von Debian schweigen. Es gibt auch keine Konferenzen wo sich namenhafte Entwickler gegen Debian aussprechen. Offenbar ist das Problem doch nicht so groß wie behauptet wird, offenbar ist mit Debian grundsätzlich alles zum besten bestellt?

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s