O desenvolvedor do Ubuntu envolvido errou certos fatos e danificou seu próprio caso, mas ainda há um argumento real a ser discutido aqui. O Ubuntu e o Linux Mint lidam com atualizações de diferentes maneiras, e cada uma tem suas próprias vantagens.
As alegações de um desenvolvedor do Ubuntu
Oliver Grawert, um desenvolvedor Ubuntu canônico, iniciou a guerra verbal com esta mensagem na lista de discussão dos desenvolvedores do Ubuntu. Nele, ele afirmou que as atualizações de segurança “são explicitamente cortadas do Linux Mint para Xorg, o kernel, o Firefox, o gerenciador de inicialização e vários outros pacotes”.
Ele forneceu um link para o arquivo de regras Mint Update, afirmando que “é uma lista de pacotes [Mint] nunca será atualizada.” Isso é incorreto - o arquivo faz algo mais complicado do que isso, mas falaremos sobre isso mais tarde. Ele continuou: "Eu diria que manter um navegador de kernel vulnerável ou xorg funcionando ao invés de permitir que as atualizações de segurança fornecidas sejam instalador [sic] o torna um sistema vulnerável … eu pessoalmente não faria transações bancárias online com ele;)".
Algumas dessas alegações são completamente falsas. É verdade que o Linux Mint bloqueia atualizações para pacotes como o servidor gráfico X.org, o kernel do Linux e o carregador de inicialização por padrão. No entanto, essas atualizações não são "cortadas do Linux Mint", como mostraremos mais adiante. O Linux Mint também não bloqueia atualizações para o Firefox. Atualizações para o navegador Firefox são importantes para a segurança do mundo real e são permitidas por padrão, então as alegações deste desenvolvedor do Ubuntu estão fora de foco. No entanto, ainda há um argumento real aqui: o Linux Mint bloqueia certos tipos de atualizações de segurança por padrão.
Resposta do Linux Mint
O fundador e líder do Linux Mint, Clement Lefebvre, respondeu a essas acusações com um post no blog. Nele, ele aponta que o desenvolvedor do Ubuntu estava incorreto sobre as alegações que explicamos acima. Ele também esclarece o motivo do Linux Mint para excluir atualizações de certos pacotes por padrão:
“We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with.”
O Firefox é atualizado automaticamente pelo Linux Mint, assim como o Ubuntu. De fato, ambas as distribuições usam o mesmo pacote que vem do mesmo repositório.
O principal argumento do Linux Mint é que a atualização "cega" de pacotes como o servidor gráfico X.org, o bootloader e o kernel do Linux podem causar problemas. As atualizações desses pacotes de baixo nível podem apresentar erros em alguns tipos de hardware, enquanto os problemas de segurança que eles resolvem não são realmente um problema para as pessoas que usam o Linux Mint casualmente em casa. Por exemplo, muitas falhas de segurança no kernel do Linux são vulnerabilidades de “escalonamento de privilégios locais”. Eles podem permitir que usuários com acesso limitado ao computador se tornem usuários-raiz e tenham acesso total, mas não podem ser facilmente explorados em um navegador da Web, como um problema típico de segurança em Java.
Isso é realmente um problema?
Ambos os lados têm bons argumentos. Por um lado, é absolutamente verdade que o Linux Mint está desabilitando as atualizações de segurança para certos pacotes por padrão. Isso deixa um sistema Mint com mais vulnerabilidades de segurança conhecidas, que teoricamente poderiam ser exploradas.
Por outro lado, é verdade que essas vulnerabilidades de segurança não são ativamente exploradas. O Linux Mint atualiza softwares que estão sob ataque real, como navegadores da web. Também é verdade que as atualizações no X.org causaram problemas no passado. Em 2006, uma atualização do Ubuntu quebrou o servidor X de muitos usuários do Ubuntu que o instalaram, forçando-os a entrar no terminal Linux. Os usuários afetados tiveram que reparar seus sistemas no terminal. A política de atualizações do Linux Mint foi explicitada apenas um ano depois, em 2007, então é provável que esse episódio tenha afetado a posição atual do Linux Mint.
Se você é um usuário doméstico de desktop, provavelmente não ficará comprometido por causa de uma falha no kernel do Linux. É claro que, se você executar um servidor que esteja exposto à Internet ou operar uma estação de trabalho comercial à qual deseja restringir o acesso, verifique se todas as atualizações de segurança possíveis estão instaladas.
Controlando as atualizações de segurança no Linux Mint
Qualquer usuário do Linux Mint que preferir ter todas as atualizações de segurança que os usuários do Ubuntu recebem pode ativá-las a partir do Update Manager do Mint. Essas atualizações não são "desativadas", mas são desativadas por padrão.
Para controlar essa configuração, abra o aplicativo Update Manager no menu do seu ambiente de trabalho. Clique no menu Editar e selecione Preferências. Você poderá escolher os "níveis" dos pacotes que deseja instalar. "Níveis" são definidos no arquivo de regras de atualização do Mint que mencionamos anteriormente. Os níveis 1 a 3 são ativados por padrão, enquanto os níveis 4 a 5 são desativados por padrão. O Firefox é um pacote de nível 2, que é atualizado por padrão. O X.org e o kernel do Linux são os níveis 4 e 5, respectivamente, portanto, não são atualizados por padrão.
Ative os níveis 4 e 5 e receba as mesmas atualizações que você faria no Ubuntu - provenientes dos próprios repositórios de atualização do Ubuntu -, mas você correrá mais risco de "regressões" que apresentam problemas.
A verdadeira discordância aqui é filosófica. O Ubuntu erra por atualizar tudo por padrão, eliminando todas as possíveis vulnerabilidades de segurança - mesmo aquelas que provavelmente não serão exploradas em sistemas de usuários domésticos. O Linux Mint erra ao lado de excluir atualizações que podem causar problemas.
A solução que você preferir será o que você está usando no seu computador e o quanto você está confortável com os riscos.