Was bedeutet Backporten und welche Vor- und Nachteile gibt es?

Mardiet · 15. Januar 2025 um 21:10

Guten Abend!

Ich habe hier im Forum nun oft gelesen, dass manche Distributionen oder Android ihre Sicherheitslücken „Backporten“.

Dazu habe ich zwei Fragen:

Was genau bedeutet „Backporten“, was wird hier genau gemacht?
Welche Vor- und Nachteile hat diese Methode?

WFS · 15. Januar 2025 um 21:34

Eigentlich kenne ich es nur so, dass Patche von Sicherheitslücken backgeportet werden.

Insbesondere innerhalb einer Major-Version eines Betriebssystemabbilds bleiben der Kernel und wichtige Systembibliotheken auf einem Hauptversionsstand. Wenn Sicherheitslücken behoben werden ändern sich nur die letzten Ziffern der Version. Die Major-Version bleibt aber gleich und ist an der Regel fix in Bezug auf die an den Kunden kommunizierte Hauptversion des Betriebssystems.

Wenn jetzt ein Handy eine aktuelle Android 15-Version mit Kernel 6.6 hat, und dort eine Lücke behoben wird, wird man auch schauen, ob z.B. auch ältere Geräte mit Android 14 und Kernel 5.15 ebenfalls betroffen sind. Und die Lücke auch dort beheben → backporten.

thomasmerz · 16. Januar 2025 um 08:28

Insbesondere im Enterprise (Linux) oder LTS (Long-Term Support) Umfeld „backporten“ die großen Distributoren (Red Hat, SUSE, Ubuntu - bei Debian bin ich auf beiden Augen „blind“) Fixe für Sicherheitslücken auf ältere Versionen, da sie ja gegen ordentlich Geld versprochen haben, die Software zu pflegen, und Firmen nicht immer die grade aktuellsten Versionen einsetzen können.
Zum Beispiel unterstützt SUSE in SLES (SUSE Linux Enterprise Server) ggü. OpenSUSE (Community) und auch Red Hat in RHEL (Red Hat Enterprise Linux) auch noch ältere Versionen und wenn es dort Sicherheitslücken gibt, die in aktuellen Versionen gefixt sind, dann werde diese Korrekturen in ältere Versionen gebracht (ohne dass die Major-Version erhöht wird) und an die zahlende Kundschaft bereitgestellt.

Chief1945 · 16. Januar 2025 um 10:45

Auf älteren Versionen Sicherheitslücken patchen, die eigentlich nur in einer neueren gepatcht werden. Quasi den Patch für die neue Version nehmen, ggf. anpassen und auf die alte Version anwenden.

Nachteile:

In den meisten OSe erhalten nur Lücken mit CVE High- und Citical-Severity einen Backport, alles andere bleibt ungepatch
Viele Lücken erhalten aus mehreren Gründen gar kein CVE

Vorteile:

Wenig Veränderung am System für Anwendungsfelder mit hoher Stabilitätsanforderung.

Pittiplatsch · 16. Januar 2025 um 13:41

Im Fall von Debian umfassen die „Backports“ nicht nur Sicherheitskritische Anpassungen.
Auch neuere Pakete (Pakete im Sinne von Software) , die in der Version „Testing“ enthalten sind - oder einfach nur neuere Versionen der in „Stable“ enthaltenen Pakete werden in den Backports bereitgestellt, damit sie in der aktuellen „Stable“-Version nutzbar sind.

Mardiet · 17. Januar 2025 um 21:26

Vielen Dank euch allen!