Ubuntu-Entwickler kritisiert Linux Mint wegen Sicherheit

In einem Eintrag auf einer Mailing-Liste von Ubuntu kritisierten Entwickler Linux-Mint als potenziell unsicher, da es von Ubuntu bereitgestellte Sicherheits-Updates für Kern-Komponenten gar nicht oder erst sehr spät übernimmt. Mint-Entwickler Clement Lefebvre bescheinigte ihnen daraufhin Ahnungslosigkeit in Sachen Mint.

Der entsprechende Diskussionsfaden dreht sich um einen geplanten neuen Ubuntu-Ableger mit der Desktop-Umgebung MATE, die das Aussehen und die Handhabung von Gnome 2 bereitstellt. Ein Teilnehmer fragte daraufhin, was denn der Unterschied zu Linux-Mint sei, dass auch auf Ubuntu basiert. Daraufhin schrieb Ubuntu-Entwickler Oliver Grawert, Ubuntu-MATE würde beispielsweise die Sicherheits-Updates für essentielle Pakete wie X.org, den Kernel, Firefox und den Bootloader Grub, die bei Mint standardmäßig deaktiviert sind, erlauben. Somit müsse der Anwender nicht mit einem verletzlichen System online gehen. Auf Nachfrage, ob er Linux Mint wirklich für unsicher halte, schrieb er, er würde damit kein Online-Banking machen wollen.

Ein weiterer Entwickler konkretisierte einen Fall, wo eine verwundbare Version des Browsers Firefox in Mint nicht zeitgerecht aktualisiert wurde, obwohl sowohl in Debian als auch in Ubuntu ein aktuelles Paket vorhanden war. Ein anderer Teilnehmer relativierte daraufhin das Problem, indem er auf die mehrstufige Update-Politik bei Mint hinwies, die zudem vom Anwender editiert werden kann.

Mint-Chefentwickler Clement Lefebvre sah sich zu einer Antwort genötigt, um verunsicherte Anwender zu informieren. Er sah in der Aussage Grawerts viel Meinung und wenig Sachkenntnis und fand zudem dessen Aussage von der Presse aufgebauscht. Bereits 2007 habe Mint ein Sicherheitskonzept entwickelt, das von dem von Ubuntu verwendeten abweicht. Bei Ubuntu kann der Anwender alle Pakete standardmäßig aktualisieren, was des öfteren zu Regressionen und in der Folge zu unbenutzbaren Systemen führe. Seitens Mint bezeichnet Lefebvre die Sicherheitspolitik als eine Abwägung zwischen Sicherheit und Stabilität.

Daraufhin erläutert er das fünf-stufige Konzept, dem Linux Mint in Sachen Sicherheit folgt. Pakete der Stufen eins und zwei sind getestet und als sicher deklariert. Pakete der Stufe drei sind ungetestet, aber als sicher angenommen. Die Pakete, die für die Stufen vier und fünf deklariert sind, gelten als potenziell unsicher für die Stabilität des Systems. Jeder Anwender kann im Update-Manager die letzten beiden Stufen freischalten und steht damit in Sachen Sicherheit und Stabilität auf einer Stufe mit Ubuntu.

In einer Datei definiert Mint, warum manche Pakete bei Updates problematisch sein können. So wird beispielsweise der Kernel nicht automatisch aktualisiert, da die proprietären Nvidia-Treiber mit aktuellen Kerneln oft nicht kompatibel sind. Lefebvre gesteht ein, dass es einen Zeitraum gab, in dem Firefox, allerdings in LMDE, nicht in der auf Ubuntu beruhenden Mint-Version, nicht zeitgemäß aktualisiert wurde. Das Problem sei allerdings seit Wochen behoben. In der Hoffnung, die Unklarheiten beseitigt zu haben, wende er sich nun wieder der Fehlersuche in dem kürzlich veröffentlichten Release-Kandidaten zu Mint 16 zu, schloss Lefebvre.