Abo
  • Services:

Grsecurity: Open Source Security verklagt Bruce Perens wegen Verleumdung

Der Streit zwischen den Entwicklern der Grsecurity-Patches und der Open-Source-Community eskaliert: Das Unternehmen hinter den Sicherheitspatches will den renommierten Open-Source-Entwickler Bruce Perens wegen Verleumdung und Kreditgefährdung verklagen.

Artikel veröffentlicht am ,
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn, flickr.com/CC-BY-SA 2.0)

Das Unternehmen Open Source Security, Entwickler der Grsecurity-Patches, hat bei einem kalifornischen Gericht Klage gegen den renommierten Open-Source-Entwickler Bruce Perens eingereicht. Perens habe den Ruf des Unternehmens geschädigt. Auslöser der Klage ist ein Blogpost Perens, in dem er Kunden warnt, Open Source Security verstoße gegen die GPL. Voraus ging ein monatelanger Streit zwischen Kernel-Entwicklern und Open Source Security.

Stellenmarkt
  1. zeb/rolfes.schierenbeck.associates gmbh, Münster
  2. BIZOL Germany GmbH, Berlin

Die von Open Source Security entwickelten Grsecurity-Patches für den Linux-Kernel werden nur zahlenden Kunden zur Verfügung gestellt. Die Patches stehen jedoch aus Kompatibilitätsgründen unter der GPLv2, weil die Software tief im Linux-Kernel verankert wird, der ebenfalls unter der GPLv2 steht. Vor zwei Jahren verbot Open Source Security seinen Kunden, den Code der stabilen Versionen seiner Grsecurity-Patches weiterzureichen, obwohl dies explizit unter GPLv2 verlangt wird. Im April 2017 weitete Open Source Security das Verbot auf die Testversionen seiner Software aus. Kunden müssen dem Verbot vertraglich zustimmen.

Streit um die Gültigkeit der GPLv2

Das verstoße jedoch gegen die GPLv2, die solche Klauseln explizit verbiete und somit erlische, schreibt Perens in seinem Blogpost vom Juni 2017. Er warnt Kunden von Open Source Security, dass sie möglicherweise eine nicht lizenzierte Version des Linux-Kernels verwendeten, die zudem gegen das Copyright verstoße.

Open Source Security verstoße mitnichten gegen die GPLv2, heißt es jetzt in der Anklageschrift. Vielmehr gälten die Vertragsregeln nur für Code, der sich in der Planungsphase befinde und noch zu entwickeln sei. Perens Äußerungen seien rufschädigend für das Unternehmen.

Streit um den Code

Unternehmenschef Brad Spengler begründete den Schritt, Grsecurity-Patches nicht mehr öffentlich zur Verfügung zu stellen, damit, dass viele Firmen von den Security Patches profitierten, ohne dafür zu zahlen. Außerdem zeigte sich Spengler in der Vergangenheit frustriert, dass seine Patches nur zögerlich im Linux-Kernel aufgenommen würden, obwohl er sie dort oft eingereicht habe.

Linux-Chefhacker Linus Torvalds hatte jüngst die eingereichten Patches als "Müll" bezeichnet. Sie würden regelmäßig "andere Dinge kaputtmachen" und nicht in der übersichtlichen Form eingereicht, wie von anderen Kernel-Entwicklern gefordert. Die dann doch akzeptierten Code-Teile hätten zuvor grundlegend überarbeitet werden müssen. Wenn sich Spengler beschwere, sein Code werde privatisiert, habe er dafür kein Verständnis, sagte Torvalds.

Streit ums Geld

Er würde das gerne machen, wenn er dafür bezahlt werde, konterte Spengler und warf Torvalds vor, den Sicherheitsaspekt im Linux-Kernel zu vernachlässigen. Er zitierte einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiteten. Tatsächlich betrachtet Torvalds Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er Security-Patches nur in kleinen, überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity und dessen Partnerprojekt Pax waren oft Pioniere bei Technologien, die die Ausnutzung von Sicherheitslücken erschweren. So hatte Pax 2001 die erste Implementierung der Speicherrandomisierung ASLR (Address Space Layout Randomization) für Linux bereitgestellt. Fast alle Exploits für Sicherheitslücken im Linux-Kernel scheiterten in der Vergangenheit, wenn der Grsecurity-Patch genutzt wurde. Zuletzt führte Grsecurity mit der Erweiterung RAP eine Implementierung von Control Flow Integrity ein.



Anzeige
Blu-ray-Angebote
  1. (nur für Prime-Mitglieder)
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. 4,25€

schumischumi 07. Aug 2017

" Und bei Open Source kann man durchaus selbst etwas fixen" Das ist der Punkt. Du kannst...

Proctrap 04. Aug 2017

wenn ich das richtig verstanden habe ging es Torvalds auch darum dass hier schlecht...

Proctrap 04. Aug 2017

die müssen den kram auch erst mal prüfen & sich gut überlegen welche Auswirkung sie...


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

    •  /