RaspbianOS Buster noch sicher?

Betriebssysteme
1

Hallo,

ich alten Forum wurde mal die Frage gestellt, ob die weitere Weiternutzung von Pihole/Unbound mit Raspian Buster nach der älteren Anleitung von Tschaeggaer ein Sicherheitsrisiko darstelle.
Die Antwort war wohl, dass dies jetzt eine LTS-Version sei und jeder dies für sich selbst entscheiden müsse.
Leider bin ich bei der Installation nach der erneuerten Anleitung mit Raspbian Debian Bullseye vor einiger Zeit an einer Stelle der Anleitung hängen geblieben und konnte leider bisher die Installation nicht weiter verfolgen.
Auf meinem Pi läuft also noch Raspbian 10 Debian Buster.
Daher möchte ich hier im Forum nachfragen:

Ist (mit regelmäßig installierten Updates) Pihole mit Raspbian Buster deutlich unsicherer als mit der Installation von Raspbian Bullseye nach der neueren Anleitung?
Ist ein möglicher Grund, dass Debian Buster nicht mehr vom Debian Team selbst supported wird?
Gibt es dazu Erkenntnisse?

Gibt es generell wesentliche Unterschiede zw. Pihole/Unbound der neueren Raspbian Bullseye oder Bookworm Version im Vgl. zur älteren Installation (Raspbian Buster) wegen z.B. weiteren wichtigen Features in Bullseye - außer ggf. der Sicherheit?
Wobei es ja hier ja nur um die Verwendung als lokaler Resolver geht.

Sollte man für eine Installation anstatt Raspbian Bullseye eher Raspbian Bookworm wählen, wenn die Pi-Hardware die Wahl erlaubt?

2

Auf Buster läuft Unbound 1.9.0 mit den folgenden Patches:
https://metadata.ftp-master.debian.org/changelogs//main/u/unbound/unbound_1.9.0-2+deb10u2_changelog

Der letzte Eintrag lautet:

  • Apply NLnet Labs patch for CVE-2020-12662, CVE-2020-12663

– Robert Edmonds edmonds@debian.org Mon, 25 May 2020 16:23:43 -0400

Wenn ich bei Unbound unter https://nlnetlabs.nl/projects/unbound/security-advisories/ schaue, steht da gleich oben:

Date: 2022-09-21
CVE: CVE-2022-3204
Credit: Yehuda Afek (Tel-Aviv University), Anat Bremler-Barr & Shani Stajnrod (Reichman University)
Affects: Unbound up to and including version 1.16.2

Die Unbound Version von Buster hinkt also über zwei Jahre hinter den aktuellen Sicherheitspatches hinterher. Allerdings, festhalten, hier das Changelog für Debian Bullseye unter https://metadata.ftp-master.debian.org/changelogs//main/u/unbound/unbound_1.13.1-1_changelog:

unbound (1.13.1-1) unstable; urgency=medium

  • New upstream version 1.13.1
  • debian/gbp.conf: [import-orig] upstream-signatures = True
  • Drop debian/patches/0002-Fix-358-Squelch-udp-connect-no-route-to-host-
    errors-.patch (included in 1.13.1 release)
  • debian/copyright: 2021

– Robert Edmonds edmonds@debian.org Tue, 09 Feb 2021 17:53:57 -0500

Immer noch 1 1/2 Jahre hinter dem letzten Patch. Der aktuelle Patch ist erst in Debian Testing/Bookworm drin. Ich nutze selbst Debian Stable/Bullseye, aber es ist leider Tatsache, dass selbst in Debian Stable viele Pakete nicht auf dem aktuellen Patchstand sind.

GNU/Linux.ch hatte neulich einen schönen Programmierwettbewerb, mit dem sich feststellen lässt, welche Distribution neue Paketversionen am schnellsten ausliefert: https://gnulinux.ch/wer-liefert-am-schnellsten-der-gewinner

3

Man brauchst gar nicht in die changelogs zu schauen, https://security-tracker.debian.org/tracker/source-package/unbound zeigt die vulns schön übersichtlich. Hier ist eine Gesamtübersicht für buster: https://security-tracker.debian.org/tracker/status/release/oldstable, da kannste nachschauen, was für Dich relevant sein könnte.

Am besten bookmarken, die Seiten sind schwer wieder zu finden, wenn man nicht genau weiß, wie sie hießen.

Und im Ergebnis würde ich bei einem solchen Netzdienst auf Aktualität achten, also in dem Fall bookworm.

1 „Gefällt mir“
4

Vielen Dank Elfchen und Ilu für die Antworten und die interessanten Links!

Wenn Debian , Urvater vieler Abkömmlinge bzw. Forks derart mit Patches nachhängt frage ich mich u.a.,ob es denn dann so ideal als Grundlage für das Raspbian OS gewählt ist.

Eine andere Frage wäre, ob es für diese Funktion als lokaler DNS-Resolver eine OS-Alternative gibt, die sehr viel schneller gepatcht wird?
Aber dann passt wahrscheinlich das Tutorial von Tschaeggaer nicht mehr datu, das sich ja auf Bullseye oder wohl auch Bookworm bezieht.
Also dann doch nur Raspbian OS auf Bullseye oder Bookworm, oder?

5

Man kann sich auch selbst was zusammenfrickeln bzw. ein OS nehmen was schneller Updates bekommt. Oder ein Debian Derivat welches etwas neuer ist. Irgendwas basierend auf testing oder sid. KA ob es das für Raspbian gibt. Aber soweit ich weiß läuft Debian selbst auf nem modernem RPi. Viele andere Linux Derivate oder ein *BSD auch. Nur Netzwerk und unbound Konfiguration müsste man ggf. etwas anpassen.

6

Also die Debian-Leute machen sich schon Gedanken über CVEs. Ich hab mir den jetzt im Detail nicht angesehen, aber es wird Gründe geben warum nicht gepatcht wird. Vermutlich geht es aus irgendeinem Grund nicht. Das halbe Internet läuft mit Debian, auch die DNS Resolver, und bisher läuft alles noch, also kann es so dramatisch nicht sein.

Wenn man ein System neu aufsetzt, kann man aber ja trotzdem zur gepatchten Variante greifen, insbesondere, wenn man nicht Rücksicht auf eine ganze Umgebung nehmen muss. Zu xyz würde ich deshalb nicht wechseln, sondern bei Debian bleiben.

7

Übrigens, Debian schreibt zu Debian Testing:

Compared to stable and unstable, next-stable testing has the worst security update speed. Don’t prefer testing if security is a concern.

und

Debian testing is the current development state of the next stable Debian distribution.

[Fettschreibung durch mich]

Also ich persönlich würde das nicht auf einem öffentlich erreichbaren Server installieren.

8

Tja, elfchen, da hast Du auch wieder Recht. Hast Du denn einen besseren Vorschlag?

9

Eine einfache Antwort habe ich leider auch nicht. Ich arbeite seit zwei Jahrzehnten bei Unternehmen, die hauptsächlich Debian Stable auf dem Server einsetzen. Letztendlich kommt es wohl auf das Gesamtpaket an, d.h. man verlässt sich nicht nur auf eine einzelne Sicherung.

Dienste, die ich privat installiere, installiere ich in der Regel direkt aus der Quelle und kompiliere das dann auch selbst anstatt die Pakete der Distribution zu verwenden.

10

Vielen Dank für die interessanten ergänzenden Antworten!

Also Fazit:
Bei Debian bleiben - wenn man nicht Experte/Nerd ist. sonst wird es kompliziert.
Upgrade auf Bullseye angehen.
Wenn ich das richtig verstanden habe hängt RaspbianOS unmittelbar an Debian und muß sozusagen auf dessen Patches warten, um diese dann einzupflegen.
Das bedeutet dann ja wohl, dass die Patches, die ich auf Raspbian Buster manchmal sogar in kurzen Abständen erhalte, im Grunde alles „veralteter Nachholbedarf“ ist.
So verstehe ich die Ausführungen von Elfchen und Ilu und die Listings in den Links.

11

Das klingt jetzt sehr negativ und ist so nicht richtig. Natürlich sind patches immer Reaktionen auf erkannte Sicherheitslücken und insofern „Nachholbedarf“. Und klar könnte man schneller reagieren mit mehr wo/men power und am besten wäre es, wenn die Sicherheitslücke überhaupt nicht entstanden wäre. Systeme ohne Sicherheitslücken sind aber eine Illusion. Selbst die neueste Version kompilieren ist natürlich das Optimum, aber das können nur wenige und die Zeit müssen sie dafür auch erstmal haben. Und auch darin können noch unerkannte Sicherheitslücken sein - das sind die gefährlichsten.

Du musst aber berücksichtigen, dass praktisch ALLES, was gemeldet wird, eine CVE-Nummer bekommt. Über das damit verbundene Risiko sagt der vergebene Score etwas aus, aber auch das muss nicht unbedingt der Weisheit letzter Schluss sein. Debian kennzeichnet trotzdem einiges als „invalid“.

Wenn die gelisteten CVEs wirklich schwerwiegend wären (wie z.B. log4j), würde ein/e aufmerksame/r Internet-Leser/in das mitbekommen. Wenn Du das selbst einschätzen willst, solltest Du die CVEs lesen. Ansonsten kannst Du dich auf Debian (stable) genauso verlassen, wie es tausende Unternehmen auf der ganzen Welt tun.

Falls Dir mal was schief geht, ist die Wahrscheinlichkeit, dass es an einem nicht beachteten CVE lag, eher gering.