Lo sviluppatore di Ubuntu coinvolto ha ottenuto alcuni fatti errati e ha danneggiato il suo caso, ma c'è ancora un vero argomento da avere qui. Ubuntu e Linux Mint gestiscono gli aggiornamenti in modi diversi e ognuno ha i suoi compromessi.
Allegazioni di uno sviluppatore di Ubuntu
Oliver Grawert, uno sviluppatore di Ubuntu impiegato da Canonical, ha iniziato la guerra verbale con questo messaggio sulla mailing list degli sviluppatori di Ubuntu. In esso, ha dichiarato che gli aggiornamenti di sicurezza "sono esplicitamente esclusi da Linux Mint per Xorg, il kernel, Firefox, il bootloader e vari altri pacchetti".
Ha fornito un collegamento al file delle regole di aggiornamento di Mint, affermando che "è un elenco di pacchetti che [Mint] non aggiornerà mai." Questo non è corretto: il file fa qualcosa di più complicato, ma ne parleremo più avanti. Ha proseguito: "Direi che mantenere forzatamente un browser vulnerabile o un xorg sul posto invece di consentire agli aggiornamenti di sicurezza forniti di essere l'installatore [sic] lo rende un sistema vulnerabile … Personalmente non farei operazioni bancarie online con esso;)".
Alcune di queste accuse sono completamente false. È vero che Linux Mint blocca gli aggiornamenti per pacchetti come il server grafico X.org, il kernel Linux e il bootloader di default. Tuttavia, questi aggiornamenti non sono "eliminati da Linux Mint", come mostreremo in seguito. Linux Mint inoltre non blocca gli aggiornamenti di Firefox. Gli aggiornamenti al browser Web di Firefox sono importanti per la sicurezza del mondo reale e sono consentiti per impostazione predefinita, quindi le accuse di questo sviluppatore di Ubuntu sono off-point. Tuttavia, qui c'è ancora un argomento reale: Linux Mint blocca alcuni tipi di aggiornamenti di sicurezza per impostazione predefinita.
Risposta di Linux Mint
Il fondatore di Linux Mint e lo sviluppatore principale Clement Lefebvre ha risposto a queste accuse con un post sul blog. In esso, sottolinea che lo sviluppatore di Ubuntu non era corretto riguardo alle accuse che abbiamo spiegato sopra. Chiarisce anche la ragione di Linux Mint di escludere gli aggiornamenti per alcuni pacchetti di default:
“We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with.”
Firefox viene automaticamente aggiornato da Linux Mint, proprio come Ubuntu. In effetti, entrambe le distribuzioni utilizzano lo stesso pacchetto proveniente dallo stesso repository.
L'argomento principale di Linux Mint è che l'aggiornamento "cieco" di pacchetti come il server grafico X.org, il bootloader e il kernel Linux possono causare problemi. Gli aggiornamenti a questi pacchetti di basso livello possono introdurre bug su alcuni tipi di hardware, mentre i problemi di sicurezza che risolvono non sono in realtà un problema per le persone che usano Linux Mint casualmente a casa. Ad esempio, molti difetti di sicurezza nel kernel di Linux sono vulnerabilità "escalation di privilegi locali". Potrebbero consentire agli utenti con accesso limitato al computer di diventare l'utente root e ottenere l'accesso completo, ma non possono essere facilmente sfruttati da un browser Web come potrebbe fare un tipico problema di sicurezza in Java.
Questo è davvero un problema?
Entrambe le parti hanno buoni argomenti. Da un lato, è assolutamente vero che Linux Mint sta disabilitando gli aggiornamenti di sicurezza per determinati pacchetti per impostazione predefinita. Questo lascia un sistema Mint con vulnerabilità di sicurezza più note, che potrebbero teoricamente essere sfruttate.
D'altra parte, è vero che queste vulnerabilità di sicurezza non vengono sfruttate attivamente. Linux Mint aggiorna il software sotto attacco reale, come i browser web. È anche vero che gli aggiornamenti di X.org hanno causato problemi in passato. Nel 2006, un aggiornamento di Ubuntu ha rotto il server X di molti utenti di Ubuntu che l'hanno installato, forzandoli nel terminale Linux. Gli utenti interessati dovevano riparare i loro sistemi dal terminale. La politica sugli aggiornamenti di Linux Mint è stata spiegata solo un anno dopo, nel 2007, quindi è probabile che questo episodio abbia influenzato l'attuale posizione di Linux Mint.
Se sei un utente desktop, probabilmente non sarai compromesso a causa di un difetto nel kernel di Linux. Naturalmente, se si esegue un server esposto a Internet o si utilizza una workstation aziendale a cui si desidera limitare l'accesso, è necessario assicurarsi che siano installati tutti gli aggiornamenti di sicurezza possibili.
Controllo degli aggiornamenti di sicurezza in Linux Mint
Qualsiasi utente Linux Mint che preferirebbe avere tutti gli aggiornamenti di sicurezza che gli utenti di Ubuntu ottengono può abilitarli dall'interno di Update Manager di Mint. Questi aggiornamenti non sono "eliminati", ma sono disabilitati di default.
Per controllare questa impostazione, aprire l'applicazione Update Manager dal menu dell'ambiente desktop. Fai clic sul menu Modifica e seleziona Preferenze. Sarai quindi in grado di scegliere i "livelli" dei pacchetti che desideri installare. I "Livelli" sono definiti nel file delle regole di aggiornamento di Mint che abbiamo menzionato in precedenza. I livelli 1-3 sono abilitati di default, mentre i livelli 4-5 sono disabilitati di default. Firefox è un pacchetto di livello 2, che viene aggiornato di default. X.org e il kernel Linux sono i livelli 4 e 5, rispettivamente, quindi non vengono aggiornati di default.
Abilita i livelli 4 e 5 e riceverai gli stessi aggiornamenti che avresti in Ubuntu - provenienti dai repository di aggiornamento di Ubuntu - ma sarai più a rischio di "regressioni" che introducono problemi.
Il vero disaccordo qui è filosofico. Ubuntu erroneamente dal punto di vista dell'aggiornamento di tutto per impostazione predefinita, eliminando tutte le possibili vulnerabilità di sicurezza, anche quelle che è improbabile che vengano sfruttate sui sistemi degli utenti domestici. Linux Mint si sbaglia sul lato di escludere gli aggiornamenti che potrebbero potenzialmente causare problemi.
Quale soluzione preferisci, troverai ciò che usi per il tuo computer e quanto sei a tuo agio con i rischi.
