Abo
  • Services:
Anzeige
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn)

Grsecurity: Open Source Security verklagt Bruce Perens wegen Verleumdung

Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn)

Der Streit zwischen den Entwicklern der Grsecurity-Patches und der Open-Source-Community eskaliert: Das Unternehmen hinter den Sicherheitspatches will den renommierten Open-Source-Entwickler Bruce Perens wegen Verleumdung und Kreditgefährdung verklagen.

Das Unternehmen Open Source Security, Entwickler der Grsecurity-Patches, hat bei einem kalifornischen Gericht Klage gegen den renommierten Open-Source-Entwickler Bruce Perens eingereicht. Perens habe den Ruf des Unternehmens geschädigt. Auslöser der Klage ist ein Blogpost Perens, in dem er Kunden warnt, Open Source Security verstoße gegen die GPL. Voraus ging ein monatelanger Streit zwischen Kernel-Entwicklern und Open Source Security.

Anzeige

Die von Open Source Security entwickelten Grsecurity-Patches für den Linux-Kernel werden nur zahlenden Kunden zur Verfügung gestellt. Die Patches stehen jedoch aus Kompatibilitätsgründen unter der GPLv2, weil die Software tief im Linux-Kernel verankert wird, der ebenfalls unter der GPLv2 steht. Vor zwei Jahren verbot Open Source Security seinen Kunden, den Code der stabilen Versionen seiner Grsecurity-Patches weiterzureichen, obwohl dies explizit unter GPLv2 verlangt wird. Im April 2017 weitete Open Source Security das Verbot auf die Testversionen seiner Software aus. Kunden müssen dem Verbot vertraglich zustimmen.

Streit um die Gültigkeit der GPLv2

Das verstoße jedoch gegen die GPLv2, die solche Klauseln explizit verbiete und somit erlische, schreibt Perens in seinem Blogpost vom Juni 2017. Er warnt Kunden von Open Source Security, dass sie möglicherweise eine nicht lizenzierte Version des Linux-Kernels verwendeten, die zudem gegen das Copyright verstoße.

Open Source Security verstoße mitnichten gegen die GPLv2, heißt es jetzt in der Anklageschrift. Vielmehr gälten die Vertragsregeln nur für Code, der sich in der Planungsphase befinde und noch zu entwickeln sei. Perens Äußerungen seien rufschädigend für das Unternehmen.

Streit um den Code

Unternehmenschef Brad Spengler begründete den Schritt, Grsecurity-Patches nicht mehr öffentlich zur Verfügung zu stellen, damit, dass viele Firmen von den Security Patches profitierten, ohne dafür zu zahlen. Außerdem zeigte sich Spengler in der Vergangenheit frustriert, dass seine Patches nur zögerlich im Linux-Kernel aufgenommen würden, obwohl er sie dort oft eingereicht habe.

Linux-Chefhacker Linus Torvalds hatte jüngst die eingereichten Patches als "Müll" bezeichnet. Sie würden regelmäßig "andere Dinge kaputtmachen" und nicht in der übersichtlichen Form eingereicht, wie von anderen Kernel-Entwicklern gefordert. Die dann doch akzeptierten Code-Teile hätten zuvor grundlegend überarbeitet werden müssen. Wenn sich Spengler beschwere, sein Code werde privatisiert, habe er dafür kein Verständnis, sagte Torvalds.

Streit ums Geld

Er würde das gerne machen, wenn er dafür bezahlt werde, konterte Spengler und warf Torvalds vor, den Sicherheitsaspekt im Linux-Kernel zu vernachlässigen. Er zitierte einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiteten. Tatsächlich betrachtet Torvalds Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er Security-Patches nur in kleinen, überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity und dessen Partnerprojekt Pax waren oft Pioniere bei Technologien, die die Ausnutzung von Sicherheitslücken erschweren. So hatte Pax 2001 die erste Implementierung der Speicherrandomisierung ASLR (Address Space Layout Randomization) für Linux bereitgestellt. Fast alle Exploits für Sicherheitslücken im Linux-Kernel scheiterten in der Vergangenheit, wenn der Grsecurity-Patch genutzt wurde. Zuletzt führte Grsecurity mit der Erweiterung RAP eine Implementierung von Control Flow Integrity ein.


eye home zur Startseite
schumischumi 07. Aug 2017

" Und bei Open Source kann man durchaus selbst etwas fixen" Das ist der Punkt. Du kannst...

Proctrap 04. Aug 2017

wenn ich das richtig verstanden habe ging es Torvalds auch darum dass hier schlecht...

Proctrap 04. Aug 2017

die müssen den kram auch erst mal prüfen & sich gut überlegen welche Auswirkung sie...



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, München
  2. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  3. Stadtwerke Augsburg Holding GmbH, Augsburg
  4. Nordischer Maschinenbau Rud. Baader GmbH & Co. KG, Lübeck


Anzeige
Blu-ray-Angebote
  1. 27,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  3. 1 Monat für 1€

Folgen Sie uns
       


  1. Die Woche im Video

    Wegen Krack wie auf Crack!

  2. Windows 10

    Fall Creators Update macht Ryzen schneller

  3. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  4. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  5. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  6. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  7. Android-Apps

    Google belohnt Fehlersuche im Play Store

  8. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  9. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  10. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Nicht nur die Telekommunikationsunternehmen...

    Spaghetticode | 10:27

  2. Off-topic - 10GB Warcraft 3 Maps

    bajang | 10:26

  3. Re: Damit die staatlichen Fake News noch länger...

    PhilippK | 10:24

  4. Korrektur: "AquaSux" war der verbockte Nachfolger...

    M.Kessel | 10:24

  5. Re: 1. Win10 Bluescreen nach Update

    LiPo | 10:21


  1. 09:03

  2. 22:38

  3. 18:00

  4. 17:47

  5. 16:54

  6. 16:10

  7. 15:50

  8. 15:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel