• IT-Karriere:
  • Services:

Linux: Greg Kroah-Hartman lehnt Entschuldigung ab

Die an der Einreichung von fragwürdigen Kernel-Patches beteiligten Forscher der University of Minnesota schrieben eine Entschuldigungsmail an die Linux-Kernel-Mailingliste. Kroah-Hartman aber blockt ab.

Artikel veröffentlicht am , Boris Mayer
Weiter Streit um Studie zu eingeschmuggelten Patches
Weiter Streit um Studie zu eingeschmuggelten Patches (Bild: Liam Quinn/CC-BY-SA 2.0)

In der Auseinandersetzung um eingereichte fehlerhafte Patches für eine Studie hat der Betreuer der stabilen Linux-Kernel-Branches, Greg Kroah-Hartman, angekündigt, Beiträge von der University of Minnesota nicht mehr zu berücksichtigen. Nach einer Entschuldigung der Forschenden und einer kurz angebundenen Antwort sind die Fronten weiter verhärtet.

Stellenmarkt
  1. EPLAN Software & Service GmbH u. Co. KG, Langenfeld (Rheinland)
  2. Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München

Die Forschenden der University of Minnesota versuchten, sich in einer E-Mail an die Linux-Kernel-Mailingliste zu entschuldigen. Darin erklärten sie die kritisierten Handlungen und ordneten sie ein. Die Antwort von Kroah-Hartmann fiel aber kurz aus: Er bedankte sich für die Nachricht, fand aber jede weitere Kommunikation überflüssig, solange die Universität Forderungen aus einem nicht öffentlich gemachten Brief der Linux Foundation und deren Technical Advisory Board vom vergangenen Freitag nicht umsetze.

Was genau die in dem Brief geforderten "spezifische Aktionen, die ausgeführt werden müssen, damit Ihre Gruppe und Ihre Universität daran arbeiten können, das Vertrauen der Linux-Kernel-Community wiederzugewinnen" sind, ist daher nicht bekannt.

In ihrer Entschuldigungsmail hatten die Forschenden erklärt, dass es sich bei den fraglichen, für die Studie "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch hypokritischen Beiträge" eingereichten Patches um drei Beiträge aus dem August 2020 handele und dass die eingereichten Codestücke "keine Schwachstellen in den Linux-Code einführten".

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

Außerdem sei das Kernel-Team, nachdem es die Freigabe für die Codes erteilt habe, darüber informiert worden. Daher seien die fraglichen Codestücke niemals in die Linux-Sourcen committet worden. "Alle anderen 190 Patches, die zurückgesetzt und neu bewertet wurden", seien nicht Teil der Studie und ein Fix "für echte Fehler im Code und alle richtig" gewesen.

Zudem habe man bereits vor Veröffentlichung der Studie "der Linux-Community die Ergebnisse und unsere Schlussfolgerungen (mit Ausnahme der falschen Patches) der Arbeit vor der Einreichung des Papiers gemeldet, ihr Feedback gesammelt und sie in das Paper aufgenommen."

Linus Torvalds sagte itwire.com zu dem Thema: "Ich denke nicht, dass es technisch gesehen eine große Sache war, aber die Leute sind sauer und es ist offensichtlich ein Vertrauensbruch."

Auch das Kernel-Team scheint die Aktion der Universitätsforscher eher als hinterlistigen Verrat und persönlichen Angriff denn als wirkliches internes Problem zu sehen. Techspot zitiert Kroah-Hartman in einem Artikel damit, dass Maintainer weiterhin Code aus dem Universitätsumfeld einpflegen dürfen, wenn sie deren Inhalt überprüfen und verifizieren. Allerdings schränkt er dort auch ein: "Aber echt mal, warum Zeit mit dieser zusätzlichen Arbeit verschwenden?"

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Der Autor meint dazu:

Diese Aussage ist deshalb problematisch, weil das Einschleusen von Hintertüren in sicherheitsrelevante Codes eine bekannte Vorgehensweise von Hackern ist. Die Hacker schleusen den Code dabei nicht unbedingt selbst ein, sondern verleiten eine Vertrauensperson durch Geld - oder auch aus patriotischen Gründen -, dies zu tun.

Deshalb wäre es vorteilhafter für die Kernel-Maintainer und die Linux-Foundation, sich nicht angegriffen oder gar als Versuchskaninchen zu fühlen. Vielmehr sollten sie den vermeintlichen Skandal als gute Gelegenheit sehen, die eigenen Prozesse zu überdenken und sich auch die Frage zu stellen, ob das Überprüfen von eingereichten Patches wirklich ungeliebte zusätzliche Arbeit ist. Und ob das Veryfying nicht eigentlich ein längst überfälliger und höchst wichtiger Bestandteil des Patch Prozesses sein sollte - und zwar unabhängig davon, von wem ein Patch eingereicht wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 4,99€
  3. 16,29€
  4. (u. a. Star Wars: Battlefront 2 für 9,99€, Star Wars: Squadrons für 18,99€, Star Wars: TIE...

Eheran 28. Apr 2021 / Themenstart

Ich war früher sehr aktiv, jetzt zumindest zeitweise. Da wird dann auch mal "live" jeder...

Eheran 28. Apr 2021 / Themenstart

Es geht um den halbwegs passenden Vergleich. Mit deinem Beispiel war es alles andere als...

sambache 28. Apr 2021 / Themenstart

Ja, manche Projekte haben tatsächlich nicht unendlich viel Zeit und Geld. Du hast er erfaßt.

mke2fs 27. Apr 2021 / Themenstart

Volle Zustimmung. Man kann sich nicht selbst Entschuldigen, man kann um Entcshuldigung...

demon driver 27. Apr 2021 / Themenstart

Nein, das ist nicht das, was ich schrieb. Wer hier postet, sollte doch eigentlich in der...

Kommentieren


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /