Grsecurity: Open Source Security verklagt Bruce Perens wegen Verleumdung

Der Streit zwischen den Entwicklern der Grsecurity-Patches und der Open-Source-Community eskaliert: Das Unternehmen hinter den Sicherheitspatches will den renommierten Open-Source-Entwickler Bruce Perens wegen Verleumdung und Kreditgefährdung verklagen.

Artikel veröffentlicht am ,
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn, flickr.com/CC-BY-SA 2.0)

Das Unternehmen Open Source Security, Entwickler der Grsecurity-Patches, hat bei einem kalifornischen Gericht Klage gegen den renommierten Open-Source-Entwickler Bruce Perens eingereicht. Perens habe den Ruf des Unternehmens geschädigt. Auslöser der Klage ist ein Blogpost Perens, in dem er Kunden warnt, Open Source Security verstoße gegen die GPL. Voraus ging ein monatelanger Streit zwischen Kernel-Entwicklern und Open Source Security.

Die von Open Source Security entwickelten Grsecurity-Patches für den Linux-Kernel werden nur zahlenden Kunden zur Verfügung gestellt. Die Patches stehen jedoch aus Kompatibilitätsgründen unter der GPLv2, weil die Software tief im Linux-Kernel verankert wird, der ebenfalls unter der GPLv2 steht. Vor zwei Jahren verbot Open Source Security seinen Kunden, den Code der stabilen Versionen seiner Grsecurity-Patches weiterzureichen, obwohl dies explizit unter GPLv2 verlangt wird. Im April 2017 weitete Open Source Security das Verbot auf die Testversionen seiner Software aus. Kunden müssen dem Verbot vertraglich zustimmen.

Streit um die Gültigkeit der GPLv2

Das verstoße jedoch gegen die GPLv2, die solche Klauseln explizit verbiete und somit erlische, schreibt Perens in seinem Blogpost vom Juni 2017. Er warnt Kunden von Open Source Security, dass sie möglicherweise eine nicht lizenzierte Version des Linux-Kernels verwendeten, die zudem gegen das Copyright verstoße.

Open Source Security verstoße mitnichten gegen die GPLv2, heißt es jetzt in der Anklageschrift. Vielmehr gälten die Vertragsregeln nur für Code, der sich in der Planungsphase befinde und noch zu entwickeln sei. Perens Äußerungen seien rufschädigend für das Unternehmen.

Streit um den Code

Unternehmenschef Brad Spengler begründete den Schritt, Grsecurity-Patches nicht mehr öffentlich zur Verfügung zu stellen, damit, dass viele Firmen von den Security Patches profitierten, ohne dafür zu zahlen. Außerdem zeigte sich Spengler in der Vergangenheit frustriert, dass seine Patches nur zögerlich im Linux-Kernel aufgenommen würden, obwohl er sie dort oft eingereicht habe.

Linux-Chefhacker Linus Torvalds hatte jüngst die eingereichten Patches als "Müll" bezeichnet. Sie würden regelmäßig "andere Dinge kaputtmachen" und nicht in der übersichtlichen Form eingereicht, wie von anderen Kernel-Entwicklern gefordert. Die dann doch akzeptierten Code-Teile hätten zuvor grundlegend überarbeitet werden müssen. Wenn sich Spengler beschwere, sein Code werde privatisiert, habe er dafür kein Verständnis, sagte Torvalds.

Streit ums Geld

Er würde das gerne machen, wenn er dafür bezahlt werde, konterte Spengler und warf Torvalds vor, den Sicherheitsaspekt im Linux-Kernel zu vernachlässigen. Er zitierte einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiteten. Tatsächlich betrachtet Torvalds Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er Security-Patches nur in kleinen, überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity und dessen Partnerprojekt Pax waren oft Pioniere bei Technologien, die die Ausnutzung von Sicherheitslücken erschweren. So hatte Pax 2001 die erste Implementierung der Speicherrandomisierung ASLR (Address Space Layout Randomization) für Linux bereitgestellt. Fast alle Exploits für Sicherheitslücken im Linux-Kernel scheiterten in der Vergangenheit, wenn der Grsecurity-Patch genutzt wurde. Zuletzt führte Grsecurity mit der Erweiterung RAP eine Implementierung von Control Flow Integrity ein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schumischumi 07. Aug 2017

" Und bei Open Source kann man durchaus selbst etwas fixen" Das ist der Punkt. Du kannst...

Proctrap 04. Aug 2017

wenn ich das richtig verstanden habe ging es Torvalds auch darum dass hier schlecht...

Proctrap 04. Aug 2017

die müssen den kram auch erst mal prüfen & sich gut überlegen welche Auswirkung sie...



Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
So funktioniert ChatGPT

Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
Ein Deep Dive von Helmut Linde

Künstliche Intelligenz: So funktioniert ChatGPT
Artikel
  1. Schwacher PC-Markt: Dell streicht mehr als 6.600 Stellen
    Schwacher PC-Markt
    Dell streicht mehr als 6.600 Stellen

    Laut einem internen Schreiben soll die Belegschaft um 5 Prozent reduziert werden. Ursache sei der schwächelnde PC-Markt.

  2. i4: BMW lässt sich am Berg nicht updaten
    i4
    BMW lässt sich am Berg nicht updaten

    Die Besitzerin eines BMW i4 hat die Fehlermeldung entdeckt, ihr Parkplatz sei zu steil für ein Update der Bordsoftware.

  3. Linux-E-Learning-Paket zum halben Preis!
     
    Linux-E-Learning-Paket zum halben Preis!

    Linux-Profi werden mit dem 16-stündigen E-Learning-Paket der Golem Karrierewelt. Noch bis Ende Februar mit 50 Prozent Rabatt!*
    Sponsored Post von Golem Karrierewelt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /