Az érintett Ubuntu fejlesztő bizonyos tényeket hibázott, és megsértette a saját ügyét, de még mindig van igazi érv, hogy itt legyenek. Az Ubuntu és a Linux Mint a különböző típusú frissítésekkel foglalkozik, és mindegyiknek megvannak a saját kompromisszumai.
Az Ubuntu Developer állításai
Oliver Grawert, egy kanonikus alkalmazott Ubuntu fejlesztő indította el a verbális hadviselést ezzel az üzenettel az Ubuntu fejlesztői levelezési listáján. Ebben állította, hogy a biztonsági frissítéseket "kifejezetten feltörte a Linux Mint for Xorg, a rendszermag, a Firefox, a bootloader és számos más csomag".
A Mint frissítés szabályfájlhoz kapcsolatot mutatott be, és kijelentette, hogy "a csomagok listája [Mint] soha nem fog frissíteni." Ez helytelen - a fájl valamivel bonyolultabb, mint később. Továbbra is: "azt mondanám, hogy erőteljesen tartani kell egy sebezhető rendszermag böngészőt vagy xorg-ot ahelyett, hogy lehetővé tenné, hogy a megadott biztonsági frissítések telepítőként [sic] sebezhetővé tegyék a rendszert … Személyesen nem csinálnék vele online banki tevékenységet;)".
Ezek közül az állítások közül néhány teljesen téves. Igaz, hogy a Linux Mint blokkolja az olyan csomagok frissítését, mint az X.org grafikus kiszolgáló, a Linux kernel és a rendszerbetöltõ. Azonban ezek a frissítések nem "feltörnek a Linux Mintból", ahogy azt később mutatjuk be. A Linux Mint nem blokkolja a Firefox frissítéseit sem. A Firefox böngészőjének frissítései fontosak a valós biztonság érdekében, és alapértelmezés szerint engedélyezettek, így ez az Ubuntu fejlesztő állításai nem megfelelőek. Azonban még mindig van valódi érv - a Linux Mint alapértelmezés szerint bizonyos típusú biztonsági frissítéseket blokkol.
Linux Mint pénzügyminisztere
A Linux Mint alapítója és vezető fejlesztője, Clement Lefebvre blogbejegyzéssel válaszolt ezekre a vádakra. Ebben a cikkben rámutat arra, hogy az Ubuntu fejlesztõje helytelen volt a fentiekben ismertetett állításokkal kapcsolatban. Azt is tisztázza a Linux Mint pénzét, hogy alapértelmezés szerint kizárja bizonyos csomagok frissítéseit:
“We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with.”
A Firefox automatikusan frissíti a Linux Mint-ot, akárcsak az Ubuntu. Valójában mindkét disztribúció ugyanazt a csomagot használja, amely ugyanabból az adattárból származik.
A Linux Mint elsődleges érve az, hogy a "vakon" frissítő csomagok, például az X.org grafikus kiszolgáló, a rendszerbetöltő és a Linux kernel problémákat okozhatnak. Az alacsony szintű csomagok frissítése egyes hardverfajták hibáit vezetheti be, míg a megoldandó biztonsági problémák valójában nem jelentenek problémát azok számára, akik otthoni használatra alkalmassá teszik a Linux Mint programot. Például a Linux kernelben számos biztonsági hiba a "helyi kiváltságnövelés" sebezhetőség. Lehet, hogy a korlátozott hozzáférésű felhasználók számára lehetővé válik, hogy root felhasználóként hozzáférjenek, és teljes hozzáférést kapjanak, de nem könnyű őket kihasználni egy böngészőből, mint például a Java egyik tipikus biztonsági problémája.
Ez tényleg probléma?
Mindkét fél jó érvekkel rendelkezik. Egyrészt teljes mértékben igaz, hogy a Linux Mint az alapértelmezés szerint bizonyos csomagok biztonsági frissítését letiltja. Ezzel a Mentőrendszerrel olyan ismert biztonsági résekkel találkozhatunk, amelyek elméletileg kihasználhatók.
Másrészt igaz, hogy ezeket a biztonsági réseket nem használják ki aktívan. A Linux Mint nem frissít szoftvereket, amelyek tényleges támadás alatt állnak, mint a webböngészők. Az is igaz, hogy az X.org frissítései problémákat okoztak a múltban. 2006-ban egy Ubuntu frissítés megtörte számos olyan Ubuntu-felhasználó X kiszolgálóját, amely telepítette, és kényszerítette őket a Linux terminálra. Az érintett felhasználóknak meg kellett javítaniuk rendszereiket a terminálról. A Linux Mint pénzügyminiszterének házirendjét csak egy évvel később tették közzé 2007-ben, így valószínűleg ez az epizód hatással volt a Linux Mint jelenlegi helyzetére.
Ha otthoni asztali felhasználó vagy, akkor valószínűleg nem lesz veszélyeztetve a Linux kernel hibája miatt. Természetesen ha olyan kiszolgálót futtat, amely ki van téve az internetnek, vagy olyan üzleti munkaállomást működtet, amely korlátozni szeretné a hozzáférést, biztosítania kell minden lehetséges biztonsági frissítést.
Biztonsági frissítések ellenőrzése Linux Mint rendszerben
Bármely Linux Mint felhasználó, aki inkább az összes Ubuntu biztonsági frissítést kapja, engedélyezheti őket a Mint frissítési menedzserén belül. Ezeket a frissítéseket nem "kiiktatják", de alapértelmezés szerint csak letiltják őket.
A beállítás ellenőrzéséhez nyissa meg az Update Manager alkalmazást az asztali környezet menüjéből. Kattintson a Szerkesztés menüre, és válassza a Beállítások lehetőséget. Ezután kiválaszthatja a telepíteni kívánt csomagok "szintjét". A "szintek" a korábban említett pénzverde-frissítési szabályok fájlban vannak meghatározva. Az 1-3-as szintek alapértelmezés szerint engedélyezettek, míg a 4-5 szintek alapértelmezés szerint le vannak tiltva. A Firefox egy 2. szintű csomag, amelyet alapértelmezés szerint frissítenek. Az X.org és a Linux kernel a 4. és az 5. szint, ezért alapértelmezés szerint nem frissülnek.
Engedélyezze a 4. és az 5. szintet, és ugyanazt a frissítést kapja az Ubuntu-ban - az Ubuntu saját frissítő adattárjából származik -, de nagyobb kockázatot jelent a "regressziók", amelyek problémákat okoznak.
A valódi nézeteltérés filozófiai. Az Ubuntu alapértelmezés szerint hibásan frissíti az összeset, kiküszöböli az összes lehetséges biztonsági rést - még azokat is, amelyek valószínűleg nem lesznek kihasználva a hazai felhasználói rendszereken. A Linux Mint az oldalán olyan hibák kiküszöbölését okozza, amelyek potenciálisan problémákat okozhatnak.
Melyik megoldást választja a számítógépéhez használt eszköz, és milyen kényelmesen viselkedik a kockázatokkal.