Grsecurity: Open Source Security verklagt Bruce Perens wegen Verleumdung

Der Streit zwischen den Entwicklern der Grsecurity-Patches und der Open-Source-Community eskaliert: Das Unternehmen hinter den Sicherheitspatches will den renommierten Open-Source-Entwickler Bruce Perens wegen Verleumdung und Kreditgefährdung verklagen.

Artikel veröffentlicht am ,
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn, flickr.com/CC-BY-SA 2.0)

Das Unternehmen Open Source Security, Entwickler der Grsecurity-Patches, hat bei einem kalifornischen Gericht Klage gegen den renommierten Open-Source-Entwickler Bruce Perens eingereicht. Perens habe den Ruf des Unternehmens geschädigt. Auslöser der Klage ist ein Blogpost Perens, in dem er Kunden warnt, Open Source Security verstoße gegen die GPL. Voraus ging ein monatelanger Streit zwischen Kernel-Entwicklern und Open Source Security.

Stellenmarkt
  1. Softwaretester (m/w/d) IDSpecto.ADMIN
    VIVAVIS AG, Koblenz
  2. Gruppenleitung (m/w/d) Core Systems (Backoffice)
    ERGO Group AG, München
Detailsuche

Die von Open Source Security entwickelten Grsecurity-Patches für den Linux-Kernel werden nur zahlenden Kunden zur Verfügung gestellt. Die Patches stehen jedoch aus Kompatibilitätsgründen unter der GPLv2, weil die Software tief im Linux-Kernel verankert wird, der ebenfalls unter der GPLv2 steht. Vor zwei Jahren verbot Open Source Security seinen Kunden, den Code der stabilen Versionen seiner Grsecurity-Patches weiterzureichen, obwohl dies explizit unter GPLv2 verlangt wird. Im April 2017 weitete Open Source Security das Verbot auf die Testversionen seiner Software aus. Kunden müssen dem Verbot vertraglich zustimmen.

Streit um die Gültigkeit der GPLv2

Das verstoße jedoch gegen die GPLv2, die solche Klauseln explizit verbiete und somit erlische, schreibt Perens in seinem Blogpost vom Juni 2017. Er warnt Kunden von Open Source Security, dass sie möglicherweise eine nicht lizenzierte Version des Linux-Kernels verwendeten, die zudem gegen das Copyright verstoße.

Open Source Security verstoße mitnichten gegen die GPLv2, heißt es jetzt in der Anklageschrift. Vielmehr gälten die Vertragsregeln nur für Code, der sich in der Planungsphase befinde und noch zu entwickeln sei. Perens Äußerungen seien rufschädigend für das Unternehmen.

Streit um den Code

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Unternehmenschef Brad Spengler begründete den Schritt, Grsecurity-Patches nicht mehr öffentlich zur Verfügung zu stellen, damit, dass viele Firmen von den Security Patches profitierten, ohne dafür zu zahlen. Außerdem zeigte sich Spengler in der Vergangenheit frustriert, dass seine Patches nur zögerlich im Linux-Kernel aufgenommen würden, obwohl er sie dort oft eingereicht habe.

Linux-Chefhacker Linus Torvalds hatte jüngst die eingereichten Patches als "Müll" bezeichnet. Sie würden regelmäßig "andere Dinge kaputtmachen" und nicht in der übersichtlichen Form eingereicht, wie von anderen Kernel-Entwicklern gefordert. Die dann doch akzeptierten Code-Teile hätten zuvor grundlegend überarbeitet werden müssen. Wenn sich Spengler beschwere, sein Code werde privatisiert, habe er dafür kein Verständnis, sagte Torvalds.

Streit ums Geld

Er würde das gerne machen, wenn er dafür bezahlt werde, konterte Spengler und warf Torvalds vor, den Sicherheitsaspekt im Linux-Kernel zu vernachlässigen. Er zitierte einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiteten. Tatsächlich betrachtet Torvalds Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er Security-Patches nur in kleinen, überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity und dessen Partnerprojekt Pax waren oft Pioniere bei Technologien, die die Ausnutzung von Sicherheitslücken erschweren. So hatte Pax 2001 die erste Implementierung der Speicherrandomisierung ASLR (Address Space Layout Randomization) für Linux bereitgestellt. Fast alle Exploits für Sicherheitslücken im Linux-Kernel scheiterten in der Vergangenheit, wenn der Grsecurity-Patch genutzt wurde. Zuletzt führte Grsecurity mit der Erweiterung RAP eine Implementierung von Control Flow Integrity ein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mikromobilität
Im Rhein liegen Hunderte E-Scooter

Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

Mikromobilität: Im Rhein liegen Hunderte E-Scooter
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Betriebsrat: Daimler plant neuen Tarifvertrag und Bonus für Entwickler
    Betriebsrat
    Daimler plant neuen Tarifvertrag und Bonus für Entwickler

    Mit Extrazahlungen und flexiblen Arbeitszeiten will Daimler gute Elektroingenieure und Software-Experten gewinnen und halten.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

schumischumi 07. Aug 2017

" Und bei Open Source kann man durchaus selbst etwas fixen" Das ist der Punkt. Du kannst...

Proctrap 04. Aug 2017

wenn ich das richtig verstanden habe ging es Torvalds auch darum dass hier schlecht...

Proctrap 04. Aug 2017

die müssen den kram auch erst mal prüfen & sich gut überlegen welche Auswirkung sie...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /