• IT-Karriere:
  • Services:

Grsecurity: Open Source Security verklagt Bruce Perens wegen Verleumdung

Der Streit zwischen den Entwicklern der Grsecurity-Patches und der Open-Source-Community eskaliert: Das Unternehmen hinter den Sicherheitspatches will den renommierten Open-Source-Entwickler Bruce Perens wegen Verleumdung und Kreditgefährdung verklagen.

Artikel veröffentlicht am ,
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung.
Streit in der Linux-Gemeinde: Grsecurity verklagt Bruce Perens wegen Verleumdung. (Bild: Liam Quinn, flickr.com/CC-BY-SA 2.0)

Das Unternehmen Open Source Security, Entwickler der Grsecurity-Patches, hat bei einem kalifornischen Gericht Klage gegen den renommierten Open-Source-Entwickler Bruce Perens eingereicht. Perens habe den Ruf des Unternehmens geschädigt. Auslöser der Klage ist ein Blogpost Perens, in dem er Kunden warnt, Open Source Security verstoße gegen die GPL. Voraus ging ein monatelanger Streit zwischen Kernel-Entwicklern und Open Source Security.

Stellenmarkt
  1. make better GmbH, Lübeck
  2. Landeshauptstadt München, München

Die von Open Source Security entwickelten Grsecurity-Patches für den Linux-Kernel werden nur zahlenden Kunden zur Verfügung gestellt. Die Patches stehen jedoch aus Kompatibilitätsgründen unter der GPLv2, weil die Software tief im Linux-Kernel verankert wird, der ebenfalls unter der GPLv2 steht. Vor zwei Jahren verbot Open Source Security seinen Kunden, den Code der stabilen Versionen seiner Grsecurity-Patches weiterzureichen, obwohl dies explizit unter GPLv2 verlangt wird. Im April 2017 weitete Open Source Security das Verbot auf die Testversionen seiner Software aus. Kunden müssen dem Verbot vertraglich zustimmen.

Streit um die Gültigkeit der GPLv2

Das verstoße jedoch gegen die GPLv2, die solche Klauseln explizit verbiete und somit erlische, schreibt Perens in seinem Blogpost vom Juni 2017. Er warnt Kunden von Open Source Security, dass sie möglicherweise eine nicht lizenzierte Version des Linux-Kernels verwendeten, die zudem gegen das Copyright verstoße.

Open Source Security verstoße mitnichten gegen die GPLv2, heißt es jetzt in der Anklageschrift. Vielmehr gälten die Vertragsregeln nur für Code, der sich in der Planungsphase befinde und noch zu entwickeln sei. Perens Äußerungen seien rufschädigend für das Unternehmen.

Streit um den Code

Unternehmenschef Brad Spengler begründete den Schritt, Grsecurity-Patches nicht mehr öffentlich zur Verfügung zu stellen, damit, dass viele Firmen von den Security Patches profitierten, ohne dafür zu zahlen. Außerdem zeigte sich Spengler in der Vergangenheit frustriert, dass seine Patches nur zögerlich im Linux-Kernel aufgenommen würden, obwohl er sie dort oft eingereicht habe.

Linux-Chefhacker Linus Torvalds hatte jüngst die eingereichten Patches als "Müll" bezeichnet. Sie würden regelmäßig "andere Dinge kaputtmachen" und nicht in der übersichtlichen Form eingereicht, wie von anderen Kernel-Entwicklern gefordert. Die dann doch akzeptierten Code-Teile hätten zuvor grundlegend überarbeitet werden müssen. Wenn sich Spengler beschwere, sein Code werde privatisiert, habe er dafür kein Verständnis, sagte Torvalds.

Streit ums Geld

Er würde das gerne machen, wenn er dafür bezahlt werde, konterte Spengler und warf Torvalds vor, den Sicherheitsaspekt im Linux-Kernel zu vernachlässigen. Er zitierte einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiteten. Tatsächlich betrachtet Torvalds Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er Security-Patches nur in kleinen, überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity und dessen Partnerprojekt Pax waren oft Pioniere bei Technologien, die die Ausnutzung von Sicherheitslücken erschweren. So hatte Pax 2001 die erste Implementierung der Speicherrandomisierung ASLR (Address Space Layout Randomization) für Linux bereitgestellt. Fast alle Exploits für Sicherheitslücken im Linux-Kernel scheiterten in der Vergangenheit, wenn der Grsecurity-Patch genutzt wurde. Zuletzt führte Grsecurity mit der Erweiterung RAP eine Implementierung von Control Flow Integrity ein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 819€ (Ebay Plus - Bestpreis)
  2. 189€ (Bestpreis)
  3. 189,99€ (Bestpreis)
  4. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)

schumischumi 07. Aug 2017

" Und bei Open Source kann man durchaus selbst etwas fixen" Das ist der Punkt. Du kannst...

Proctrap 04. Aug 2017

wenn ich das richtig verstanden habe ging es Torvalds auch darum dass hier schlecht...

Proctrap 04. Aug 2017

die müssen den kram auch erst mal prüfen & sich gut überlegen welche Auswirkung sie...


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
Donald Trump: Das große Unbehagen nach der Twitter-Sperre
Donald Trump
Das große Unbehagen nach der Twitter-Sperre

Die IT-Konzerne gehen wie in einer konzertierten Aktion gegen Donald Trump und dessen Anhänger vor. Ist das vertretbar oder ein gefährlicher Präzedenzfall?
Eine Analyse von Friedhelm Greis

  1. Reaktion auf Kapitol-Sturm Youtube sperrt Trump-Kanal für mindestens eine Woche
  2. US-Wahlen Facebook erwägt dauerhafte Sperre Trumps
  3. Social Media Amazon schaltet Parler die Server ab

Facebook: Whatsapp stellt Nutzern ein Ultimatum
Facebook
Whatsapp stellt Nutzern ein Ultimatum

Nutzer, die den neuen Geschäftsbedingungen und der neuen Datenschutzerklärung nicht bis zum 8. Februar zustimmen, können Whatsapp nicht weiter verwenden.

  1. Watchchat Whatsapp mit der Apple Watch bedienen
  2. Strafverfolgung BKA liest Nachrichten per Whatsapp-Synchronisation mit
  3. Weitergabe von Metadaten Whatsapp widerspricht Datenschutzbeauftragtem Kelber

Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland

    •  /