Canonical hat mit USN-8202-3 eine Regression im Paket jq behoben. Die neue Sicherheitsmeldung erschien am 21. Mai 2026 und betrifft Ubuntu 20.04 LTS sowie Ubuntu 18.04 LTS. Auslöser war das frühere Sicherheitsupdate USN-8202-1. Für Administratoren mit älteren Linux-Systemen ist der Fix relevant, weil jq häufig in Skripten, Build-Prozessen und Server-Automatisierung zum Einsatz kommt.
jq ist ein Kommandozeilenwerkzeug zur Verarbeitung von JSON-Daten. Canonical beschreibt das Paket als leichtgewichtigen und flexiblen JSON-Prozessor. Laut USN-8202-3 hatte USN-8202-1 mehrere Sicherheitslücken in jq geschlossen, dabei aber eine Regression auf Ubuntu 20.04 LTS und Ubuntu 18.04 LTS ausgelöst. Die neue Aktualisierung behebt dieses Problem.
USN-8202-3 korrigiert ältere jq-Paketstände
Canonical nennt für Ubuntu 20.04 LTS die aktualisierten Pakete jq, libjq-dev und libjq1 in Version 1.6-1ubuntu0.20.04.1+esm3. Für Ubuntu 18.04 LTS stehen die Pakete in Version 1.5+dfsg-2ubuntu0.1~esm3 bereit. Canonical weist in beiden Fällen auf einen Ubuntu Pro Fix hin. Bei Ubuntu 18.04 LTS läuft die Bereitstellung über ESM Apps.
USN-8202-1 erschien am 23. April 2026 und behandelte mehrere Schwachstellen in jq. Canonical nannte unter anderem Risiken durch fehlerhafte Zeichenkettenverarbeitung, Rekursion, nicht korrekt beendete Strings, Typprüfungen, Stringformatierung und Hash-Tabellenoperationen. Einige Schwachstellen konnten laut Canonical zu Denial-of-Service führen. In bestimmten Fällen nannte Canonical auch mögliche Code-Ausführung oder das Offenlegen sensibler Informationen.
Warum der Fix für Ubuntu-Server wichtig ist
Regressionen nach Sicherheitsupdates sind für produktive Linux-Umgebungen besonders problematisch. Ein Paket kann nach einem Patch unerwartet anderes Verhalten zeigen, obwohl der Patch ursprünglich Sicherheitslücken schließen sollte. Bei jq betrifft das vor allem automatisierte Abläufe. Viele Skripte nutzen jq für API-Antworten, Konfigurationsdaten, Monitoring-Ausgaben oder CI-Prozesse.
Canonical empfiehlt wie üblich ein normales Systemupdate. Betroffene Systeme sollten nach dem Update die installierten Paketversionen prüfen. Besonders wichtig ist das bei Servern mit Ubuntu 20.04 LTS oder Ubuntu 18.04 LTS, weil beide Systeme in vielen Unternehmensumgebungen noch laufen. USN-8202-3 ersetzt nicht die ursprüngliche Sicherheitsmeldung, sondern korrigiert die aus USN-8202-1 entstandene Regression für die beiden älteren LTS-Versionen.