Linux: Greg Kroah-Hartman lehnt Entschuldigung ab

Die an der Einreichung von fragwürdigen Kernel-Patches beteiligten Forscher der University of Minnesota schrieben eine Entschuldigungsmail an die Linux-Kernel-Mailingliste. Kroah-Hartman aber blockt ab.

Artikel veröffentlicht am ,
Weiter Streit um Studie zu eingeschmuggelten Patches
Weiter Streit um Studie zu eingeschmuggelten Patches (Bild: Liam Quinn/CC-BY-SA 2.0)

In der Auseinandersetzung um eingereichte fehlerhafte Patches für eine Studie hat der Betreuer der stabilen Linux-Kernel-Branches, Greg Kroah-Hartman, angekündigt, Beiträge von der University of Minnesota nicht mehr zu berücksichtigen. Nach einer Entschuldigung der Forschenden und einer kurz angebundenen Antwort sind die Fronten weiter verhärtet.

Stellenmarkt
  1. DB-Programmierer*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. IT-Generalist (m/w/d)
    SaluVet GmbH, Bad Waldsee
Detailsuche

Die Forschenden der University of Minnesota versuchten, sich in einer E-Mail an die Linux-Kernel-Mailingliste zu entschuldigen. Darin erklärten sie die kritisierten Handlungen und ordneten sie ein. Die Antwort von Kroah-Hartmann fiel aber kurz aus: Er bedankte sich für die Nachricht, fand aber jede weitere Kommunikation überflüssig, solange die Universität Forderungen aus einem nicht öffentlich gemachten Brief der Linux Foundation und deren Technical Advisory Board vom vergangenen Freitag nicht umsetze.

Was genau die in dem Brief geforderten "spezifische Aktionen, die ausgeführt werden müssen, damit Ihre Gruppe und Ihre Universität daran arbeiten können, das Vertrauen der Linux-Kernel-Community wiederzugewinnen" sind, ist daher nicht bekannt.

In ihrer Entschuldigungsmail hatten die Forschenden erklärt, dass es sich bei den fraglichen, für die Studie "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch hypokritischen Beiträge" eingereichten Patches um drei Beiträge aus dem August 2020 handele und dass die eingereichten Codestücke "keine Schwachstellen in den Linux-Code einführten".

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Außerdem sei das Kernel-Team, nachdem es die Freigabe für die Codes erteilt habe, darüber informiert worden. Daher seien die fraglichen Codestücke niemals in die Linux-Sourcen committet worden. "Alle anderen 190 Patches, die zurückgesetzt und neu bewertet wurden", seien nicht Teil der Studie und ein Fix "für echte Fehler im Code und alle richtig" gewesen.

Zudem habe man bereits vor Veröffentlichung der Studie "der Linux-Community die Ergebnisse und unsere Schlussfolgerungen (mit Ausnahme der falschen Patches) der Arbeit vor der Einreichung des Papiers gemeldet, ihr Feedback gesammelt und sie in das Paper aufgenommen."

Linus Torvalds sagte itwire.com zu dem Thema: "Ich denke nicht, dass es technisch gesehen eine große Sache war, aber die Leute sind sauer und es ist offensichtlich ein Vertrauensbruch."

Auch das Kernel-Team scheint die Aktion der Universitätsforscher eher als hinterlistigen Verrat und persönlichen Angriff denn als wirkliches internes Problem zu sehen. Techspot zitiert Kroah-Hartman in einem Artikel damit, dass Maintainer weiterhin Code aus dem Universitätsumfeld einpflegen dürfen, wenn sie deren Inhalt überprüfen und verifizieren. Allerdings schränkt er dort auch ein: "Aber echt mal, warum Zeit mit dieser zusätzlichen Arbeit verschwenden?"

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Der Autor meint dazu:

Diese Aussage ist deshalb problematisch, weil das Einschleusen von Hintertüren in sicherheitsrelevante Codes eine bekannte Vorgehensweise von Hackern ist. Die Hacker schleusen den Code dabei nicht unbedingt selbst ein, sondern verleiten eine Vertrauensperson durch Geld - oder auch aus patriotischen Gründen -, dies zu tun.

Deshalb wäre es vorteilhafter für die Kernel-Maintainer und die Linux-Foundation, sich nicht angegriffen oder gar als Versuchskaninchen zu fühlen. Vielmehr sollten sie den vermeintlichen Skandal als gute Gelegenheit sehen, die eigenen Prozesse zu überdenken und sich auch die Frage zu stellen, ob das Überprüfen von eingereichten Patches wirklich ungeliebte zusätzliche Arbeit ist. Und ob das Veryfying nicht eigentlich ein längst überfälliger und höchst wichtiger Bestandteil des Patch Prozesses sein sollte - und zwar unabhängig davon, von wem ein Patch eingereicht wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Eheran 28. Apr 2021

Ich war früher sehr aktiv, jetzt zumindest zeitweise. Da wird dann auch mal "live" jeder...

Eheran 28. Apr 2021

Es geht um den halbwegs passenden Vergleich. Mit deinem Beispiel war es alles andere als...

sambache 28. Apr 2021

Ja, manche Projekte haben tatsächlich nicht unendlich viel Zeit und Geld. Du hast er erfaßt.

mke2fs 27. Apr 2021

Volle Zustimmung. Man kann sich nicht selbst Entschuldigen, man kann um Entcshuldigung...

demon driver 27. Apr 2021

Nein, das ist nicht das, was ich schrieb. Wer hier postet, sollte doch eigentlich in der...



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /