เมื่อวันที่ 4 พฤศจิกายน 2013 ที่ผ่านมา Oliver Grawert นักพัฒนาคนหนึ่งในทีมวิศวกรรมของ Ubuntu ได้โพสต์แสดงความคิดเห็นในเมลลิงลิสต์ว่านโยบายการอัพเดตของ Linux Mint ที่ไม่ปล่อยตัวอัพเดตความปลอดภัยให้กับผู้ใช้จะทำให้ระบบของผู้ใช้ตกอยู่ในความเสี่ยงที่จะโดนโจมตี (vulnerable) และตัวเขาเองก็ไม่ต้องการจะใช้ระบบเช่นนั้นทำธุรกรรมออนไลน์
i would say forcefully keeping a vulnerable kernel browser or xorg in place instead of allowing the provided security updates to be installer makes it a vulnerable system, yes
i personally wouldn't do online banking with it ;)
อ้างอิง - lists.ubuntu.com/archives/ubuntu-devel-discuss/2013-November/014770.html
คำอธิบายแทรกเพื่อความเข้าใจสำหรับผู้ที่ไม่เคยมีประสบการณ์กับ Linux Mint และ Ubuntu
Linux Mint เป็นดิสโทรหนึ่งที่แตกแขนงมาจาก Ubuntu และเลือกนโยบายแนวทางที่แตกต่างกัน (ความแตกต่างเห็นชัดเจนมากขึ้น เมื่อ Ubuntu ทำ Unity ของตัวเอง และ Linux Mint ก็หันไปทำ Cinnamon กับ MATE) นอกจากความปลอดภัยแล้ว นโยบายการอัพเดตของ Linux Mint จะคำนึงถึงเสถียรภาพและประสิทธิภาพของระบบเป็นหลักด้วย ตัวอัพเดตของ Linux Mint แบ่งออกเป็น 5 ระดับ โดยระดับ 1 จะมีความเสถียรสูงสุด (ผ่านการทดสอบมาอย่างละเอียดแล้วหรือเป็นแพคเกจที่ Linux Mint ดูแลเอง) ไล่ลดกันลงไปจนถึงระดับ 5 ซึ่งเป็นแพคเกจที่ได้รับรายงานว่ามีปัญหา ค่าตั้งปริยาย (default) ของ Linux Mint จะเปิดให้ผู้ใช้เห็นตัวอัพเดตระดับ 1-3 แต่ผู้ใช้สามารถเลือกเปิดอัพเดตระดับ 4-5 ได้ตามต้องการและรับความเสี่ยงกันเอาเอง
ดังนั้นการจะบอกว่า Linux Mint บังคับให้ผู้ใช้อยู่กับซอฟท์แวร์เก่าๆ ก็คงไม่ถูกต้องนัก
ผ่านไปสองสัปดาห์ มันก็เป็นเรื่องขึ้นมา เมื่อ Joey-Elijah Sneddon แห่ง OMG! Ubuntu! ไปเห็นโพสต์นี้เข้า เลยหยิบยกเอามาเป็นประเด็นข่าว พร้อมทั้งแนบความคิดเห็นส่วนตัวของ Benjamin Kerensa อดีตนักพัฒนา Ubuntu และหนึ่งใน contributor ของ OMG! Ubuntu! เข้าไปด้วย
Benjamin Kerensa เหน็บแกมหยอกว่ามันเป็นเรื่องน่าสงสัยที่ Linux Mint เลือกปิดระบบอัพเดตความปลอดภัยไว้ เขายกตัวอย่างกรณีของ Firefox ที่ผู้ใช้ Linux Mint ต้องรอเป็นเดือนๆ กว่าจะได้อัพเดตทั้งที่ Ubuntu กับ Debian ก็ปล่อยแพคเกจอัพเดตออกมาให้แล้ว เท่านั้นยังไม่พอ Benjamin Kerensa ยังทิ้งท้ายไว้อีกว่าเขาไม่แนะนำให้คนอื่นใช้ Linux Mint แทน Ubuntu ก็เพราะเหตุผลด้านความปลอดภัยนี่แหละ
“It is unclear why Linux Mint disables all of their security updates. I can say that it took them many months to get a fixed version of Firefox packaged while Ubuntu and Debian had already had security fixes in their package.
This puts Linux Mint users at risk and is one of the key reasons I never suggest Linux Mint to anyone as an alternative to Ubuntu.”
อย่างไรก็ตาม Joey-Elijah Sneddon ไม่ได้เสนอข่าวในแง่ลบต่อ Linux Mint ไปเสียทั้งหมด เขาเขียนช่วยแก้ต่างให้กับ Linux Mint ด้วยว่า แม้ช่องโหว่ของซอฟท์แวร์เก่าๆ จะมีปัญหาด้านความปลอดภัยอยู่บ้าง แต่นั่นก็ไม่ได้แปลว่าผู้ใช้ Linux Mint อยู่ในภาวะเสี่ยงไปเสียทีเดียว เพราะช่องโหว่เหล่านั้นแทบจะไม่เคยถูกใช้งานโดยผู้ไม่ประสงค์ดีเลย มันเป็นแค่ความเสี่ยงในทางทฤษฎี
Yes and no. The majority of security “holes” (for want of a better word) of the kind present in the packages that Mint’s developers steadfastly refuse to update are both documented and known, but rarely exploited by those of a nefarious breed. As such the “actual threat” posed to users remains, at least for now, largely a theoretical one.
อ้างอิง - OMG! Ubuntu!
ทาง Clement Lefebvre หัวหน้าทีมนักพัฒนาของ Linux Mint ที่ได้รับการติดต่อจาก OMG! Ubuntu! ก็ไปโพสต์แถลงในบล็อก Segfault โดยมีใจความสรุปได้ว่าข้อกล่าวหาที่ปรากฏในเว็บ OMG! Ubuntu! ล้วนแต่เป็นความคิดของคนที่ไม่เข้าใจระบบและนโยบายของ Linux Mint
Clement Lefebvre ยืนยันว่าผู้ใช้สามารถเลือกเปิดอัพเดตในระดับ 4-5 ได้ หากผู้ใช้คนนั้นอยากได้ระบบที่ "ปลอดภัย" และ "ไร้เสถียรภาพ" แบบ Ubuntu และเขาแก้ต่างอีกด้วยว่า Linux Mint ก็ไม่ได้อัพเดต Firefox ช้าอะไรมากมายเพราะมันดึงมาจาก repository เดียวกับของ Ubuntu และโผล่อยู่ในอัพเดตระดับ 2 ทันทีที่มีการอัพเดต
Clement Lefebvre ปฏิเสธที่จะตอบโต้อย่างเป็นทางการลงใน OMG! UBUNTU! หรือที่อื่นนอกจาก Segfault โดยให้เหตุผลว่าขณะนี้ Linux Mint มีงานที่สำคัญกว่ารออยู่ข้างหน้าเพราะ Linux Mint 16 "Petra" ได้เข้าสู่สถานะ Release Candidate แล้ว
อ้างอิง - Segfault
และในเวลาไล่เลี่ยกันนั้นเอง Oliver Grawert ที่โดนลากเข้ามาในสงครามน้ำลายอย่างไม่รู้ตัวก็ไปโอดครวญในบล็อกส่วนตัวว่าเขาให้ความเห็นในฐานะความเห็นส่วนตัวเท่านั้น ไม่ได้เกี่ยวอะไรกับตำแหน่งที่เขาเป็นนักพัฒนา Ubuntu หรือพนักงานของ Canonical เลย พร้อมทั้งเขียนในเชิงตำหนิเว็บไซต์ OMG! Ubuntu! ว่าจับเอาคำพูดมายัดใส่ปากของเขาโดยพลการ นอกจากนี้เขาก็ยืนกรานว่าเขาไม่เคยมีความคิดจะไปใส่ความ Linux Mint เพื่อประจบนายใหญ่ที่ Canonical อย่างที่ผู้อ่านบางคนในเว็บ OMG! Ubuntu! กระแนะกระแหน
อย่างไรก็ตาม Oliver Grawert ยังยืนยันความคิดเดิมของตัวเองว่านโยบายการอัพเดตของ Linux Mint ทำให้เกิดจุดอ่อนในแง่ของความปลอดภัย เขาต้องการให้ Clement Lefebvre และแฟนๆ ของทั้งฝ่าย Linux Mint กับ Ubuntu เข้ามาร่วมโต้เถียงในประเด็นนี้อย่างสร้างสรรค์
อ้างอิง - Ograblog
ผ่านมาเกือบหนึ่งวันหนึ่งคืนจนถึงเวลาปัจจุบันนี้ แฟนของ Linux Mint กับ Ubuntu (รวมถึงนักพัฒนาอีกหลายคน) ก็กำลังเถียงกันในประเด็นนี้อยู่ เนื้อหาของการโต้เถียงมีสร้างสรรค์บ้าง ไร้สาระบ้าง ปะปนกันไปตามสไตล์ หากใครสนใจก็สามารถตามอ่านได้ในแหล่งอ้างอิงข้างต้น
ป.ล. ผมเขียนข่าวนี้ด้วย Firefox 24 ใน Linux Mint 16 RC เท่าที่ผมลองเข้าเว็บไซต์ เช่น jav█████ หรือ █████jav ผมก็ยังไม่พบปัญหาด้านความปลอดภัยแต่อย่างใด และเมื่อคืนที่แล้ว ผมก็ทดสอบใช้ Firefox 25 ใน Ubuntu เข้าตั้งหลายเว็บไซต์ซึ่งได้ผลว่าไม่พบปัญหาด้านความปลอดภัยเช่นกัน (นี่ผมทำลงไปเพื่อจุดประสงค์การทดสอบความปลอดภัยจริงๆ นะ)