Bleedingtooth: Aus Fehlern lernt Intel - nicht
Mit der Veröffentlichung der Bleedingtooth genannten Sicherheitslücken vergangene Woche hat Intel weder sich noch seinen Nutzern einen Gefallen getan - und zudem den Linux-Kernel-Entwicklern mal wieder einen Bärendienst erwiesen. Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.
Was ist passiert? Intel und Google haben in der vergangenen Woche vor Sicherheitslücken in der Bluetooth-Implementierung Bluez von Linux gewarnt. Die drei Lücken haben jeweils eine CVE-Nummer erhalten und Intel verweist auf Patches des Unternehmens, die die Lücken beheben sollen. Soweit scheint das noch normal.
Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte. Aus all diesen Diskussionen hat Intel aber offenbar kaum etwas gelernt.
Sicherheitslücken im Linux-Kernel sowie deren Patches werden üblicherweise vorher auf internen Mailinglisten diskutiert. Über die Liste der Linux-Distributionen erhalten auch deren Betreuerteams vorher Zugriff auf die Patches sowie dazugehörige Informationen. Zum Zeitpunkt der Veröffentlichung der Sicherheitslücken können die Updates dann von allen zum gleichen Zeitpunkt verteilt werden.
Chaos statt Koordinierung
Dieses auch als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.
Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.
Denn für die restliche Community bedeutet so eine unkoordinierte Veröffentlichung zunächst einmal nur: Chaos und Hektik. Binnen weniger Tage müssen die Patches in unzählige verschiedene Zweige der stabilen und noch gepflegten Kernel-Versionen der Linux-Community und der Distributoren integriert und dann auch noch getestet werden.
Der Linux-Distributor Suse hat dabei unter anderem festgestellt(öffnet im neuen Fenster) , einen der Patches zufälligerweise schon aus einem anderen Zweig übernommen zu haben - ohne jedoch zu wissen, dass damit eine Sicherheitslücke geschlossen wurde und darauf entsprechend reagieren zu können. Noch mehr Durcheinander geht kaum.
Wieder keine Security-Arbeit
Der Google-Angestellte Matthew Garrett weist außerdem darauf hin(öffnet im neuen Fenster) , dass dies nicht das erste Mal ist, dass Intel eine Sicherheitslücke auf diese Art und Weise veröffentlicht. Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt(öffnet im neuen Fenster) , dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman(öffnet im neuen Fenster) .
Das alles kann nicht mehr nur mit Versehen oder Dummheit erklärt werden. Intel hat seine Security-Prozesse offensichtlich nicht mehr im Griff und ändert daran auch nichts. Kundschaft, Entwicklungsteams und Nutzerschaft bleiben dabei auf der Strecke und im Zweifel angreifbar. Danke für nichts, Intel!
IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).