Pengembang Ubuntu yang terlibat telah mendapatkan fakta-fakta tertentu yang salah dan merusak kasusnya sendiri, tetapi masih ada argumen nyata yang bisa didapat di sini. Ubuntu dan Linux Mint menangani pembaruan dalam berbagai cara, dan masing-masing memiliki trade-off sendiri.
Tuduhan Pengembang Ubuntu
Oliver Grawert, pengembang Ubuntu yang menggunakan Canonical, memulai peperangan verbal dengan pesan ini di milis pengembang Ubuntu. Di dalamnya, ia menyatakan bahwa pembaruan keamanan "secara eksplisit diretas dari Linux Mint untuk Xorg, kernel, Firefox, bootloader dan berbagai paket lainnya".
Dia memberikan tautan ke file aturan Perbarui Mint, menyatakan bahwa "adalah daftar paket [Mint] tidak akan pernah diperbarui." Ini tidak benar - file melakukan sesuatu yang lebih rumit dari itu, tetapi kita akan membahasnya nanti. Dia melanjutkan: "Saya akan mengatakan dengan paksa menjaga browser kernel yang rentan atau xorg di tempat daripada memperbolehkan pembaruan keamanan yang disediakan untuk menjadi installer [sic] membuatnya menjadi sistem yang rentan … Saya pribadi tidak akan melakukan perbankan online dengannya;)".
Beberapa dari tuduhan ini sepenuhnya tidak benar. Memang benar bahwa Linux Mint memblokir pembaruan untuk paket seperti server grafis X.org, kernel Linux, dan bootloader secara default. Namun, pembaruan ini tidak "diretas dari Linux Mint," seperti yang akan kami tunjukkan nanti. Linux Mint juga tidak memblokir pembaruan ke Firefox. Pembaruan pada peramban web Firefox penting untuk keamanan dunia nyata dan diizinkan secara default, sehingga dugaan pengembang Ubuntu ini tidak tepat. Namun, masih ada argumen nyata di sini - Linux Mint tidak memblokir jenis pembaruan keamanan tertentu secara default.
Tanggapan Linux Mint
Pendiri Linux Mint dan pengembang utama Clement Lefebvre menanggapi tuduhan ini dengan posting blog. Di dalamnya, ia menunjukkan bahwa pengembang Ubuntu salah tentang tuduhan yang kami jelaskan di atas. Dia juga menjelaskan alasan Linux Mint untuk mengeluarkan pembaruan untuk paket tertentu secara default:
“We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with.”
Firefox diperbarui secara otomatis oleh Linux Mint, seperti yang dilakukan oleh Ubuntu. Bahkan, kedua distribusi menggunakan paket yang sama yang berasal dari repositori yang sama.
Argumen utama Linux Mint adalah bahwa paket pembaruan "membabi buta" seperti server grafis X.org, bootloader, dan kernel Linux dapat menyebabkan masalah. Pembaruan pada paket tingkat rendah ini dapat memperkenalkan bug pada beberapa jenis perangkat keras, sementara masalah keamanan yang mereka selesaikan sebenarnya bukan masalah bagi orang-orang yang menggunakan Linux Mint dengan santai di rumah. Sebagai contoh, banyak celah keamanan di kernel Linux adalah kerentanan “eskalasi hak istimewa lokal”. Mereka mungkin mengizinkan pengguna dengan akses terbatas ke komputer untuk menjadi pengguna root dan mendapatkan akses penuh, tetapi mereka tidak dapat dengan mudah dieksploitasi dari browser web seperti masalah keamanan yang khas di Jawa.
Apakah Ini Sebenarnya Masalah?
Kedua belah pihak memiliki argumen yang bagus. Di satu sisi, memang benar bahwa Linux Mint menonaktifkan pembaruan keamanan untuk paket tertentu secara default. Ini meninggalkan sistem Mint dengan kerentanan keamanan yang lebih dikenal, yang secara teoritis dapat dieksploitasi.
Di sisi lain, memang benar bahwa kerentanan keamanan ini tidak aktif dieksploitasi. Linux Mint tidak memperbarui perangkat lunak yang berada di bawah serangan aktual, seperti peramban web. Juga benar bahwa pembaruan untuk X.org telah menyebabkan masalah di masa lalu. Pada tahun 2006, pembaruan Ubuntu memecahkan server X dari banyak pengguna Ubuntu yang menginstalnya, memaksa mereka ke terminal Linux. Pengguna yang terkena dampak harus memperbaiki sistem mereka dari terminal. Kebijakan Linux Mint tentang pembaruan dijabarkan hanya satu tahun kemudian di tahun 2007, jadi sepertinya episode ini memengaruhi pendirian Linux Mint saat ini.
Jika Anda pengguna desktop rumahan, Anda mungkin tidak akan dikompromikan karena cacat pada kernel Linux. Tentu saja, jika Anda menjalankan server yang terpapar ke Internet atau mengoperasikan workstation bisnis yang ingin Anda batasi aksesnya, Anda harus memastikan semua pembaruan keamanan yang mungkin diinstal.
Mengontrol Pembaruan Keamanan di Linux Mint
Setiap pengguna Linux Mint yang lebih suka memiliki semua pembaruan keamanan yang didapatkan pengguna Ubuntu dapat mengaktifkannya dari dalam Mint Update Manager. Pembaruan ini tidak "diretas," tetapi hanya dinonaktifkan secara default.
Untuk mengontrol pengaturan ini, buka aplikasi Update Manager dari menu lingkungan desktop Anda. Klik menu Edit dan pilih Preferensi. Anda kemudian dapat memilih "level" paket yang ingin Anda pasang. "Level" didefinisikan dalam file aturan pembaruan Mint kami sebutkan sebelumnya. Level 1-3 diaktifkan secara default, sedangkan level 4-5 dinonaktifkan secara default. Firefox adalah paket level 2, yang diperbarui secara default. X.org dan kernel Linux adalah level 4 dan 5, masing-masing, sehingga mereka tidak diperbarui secara default.
Aktifkan level 4 dan 5 dan Anda akan mendapatkan pembaruan yang sama dengan yang Anda lakukan di Ubuntu - berasal dari repositori pembaruan Ubuntu sendiri - tetapi Anda akan lebih berisiko "regresi" yang memperkenalkan masalah.
Ketidaksetujuan nyata di sini adalah satu filosofis. Ubuntu kesalahan di sisi memperbarui semuanya secara default, menghilangkan semua kemungkinan kerentanan keamanan - bahkan yang tidak mungkin dieksploitasi pada sistem pengguna rumahan. Linux Mint keliru di samping tidak termasuk pembaruan yang berpotensi menimbulkan masalah.
Solusi mana yang Anda sukai akan turun ke apa yang Anda gunakan untuk komputer Anda dan seberapa nyaman Anda menghadapi risiko.