Veel Linux-distro’s vormen veiligheidsrisico door trage updates

Google Project Zero, het onderzoeksteam dat veiligheidsfouten aankaart, sabelt verschillende Linux-distro’s neer die niet tijdig updaten na een gevaarlijk lek. Reden van de aantijging is het grote lek in Ubuntu 18.04 dat nog niet iedereen heeft gedicht.

Eerder deze week werd er een gevaarlijke exploit gevonden in Ubuntu 18.04. De kernel bug is een cache invalidatiefout in het Linux geheugenmanagement dat werd gemeld aan alle Linux kernel maintainers op 12 september. Linux-vader Linux Torvalds had de fout al direct een dag na de rapportering gedicht met stabiele kernel lanceringen. Tot zover het goede nieuws.

Torvalds

Jann Horn is een Google Project Zero-onderzoeker die de Spectre– en Meltdown-fouten heeft ontdekt. Hij heeft weinig lovende woorden voor Ubuntu en Debian: “Doe beter je werk, je stelt gebruikers al weken bloot.”

Torvalds was snel bij de les, maar sommige Linux-distro’s doen er te lang over om een update uit te brengen. Ze reageren niet snel genoeg wanneer er nieuwe stabiele kernel releases beschikbaar zijn die aan een snel tempo worden vrijgegeven.

“Van zodra de patch is toegepast in de upstream kernel, wordt de patch publiek gemaakt. Vanaf dat punt kan een aanvaller een exploit ontwikkelen,” zegt Horn op zijn blog. “Helaas zijn gebruikers van Linux-distributies pas beschermd wanneer ze de veranderingen van stabiele upstream kernels samenvoegen. En wanneer ze de update installeren natuurlijk.”

Nieuwe werkwijze

De exploit is publiek bekend sinds 18 september, maar tot op vandaag zijn Debian en Ubuntu nog steeds niet geüpdatet. Debian heeft zijn laatste update ontvangen op 21 augustus, terwijl Ubuntu op 27 augustus nog een update heeft ontvangen. Fedora krijgt wel positieve punten met een recente update op 22 september.

Canonical, het bedrijf dat Ubuntu beheert, laat weten dat ze hun distro op 1 oktober zullen updaten. Debian geeft nog geen details vrij. Dat is niet genoeg volgens Horn. Het is volgens hem gevaarlijk om een vaste tijdlijn te hanteren van updates wanneer er belangrijke veiligheidsupdates nodig zijn tussendoor om exploits te vatten. Volgens Horn moet de tijd tussen updates verkleind worden om gebruikers niet bloot te stellen of voorrang worden gegeven aan kritieke updates.