Linux: Greg Kroah-Hartman lehnt Entschuldigung ab

In der Auseinandersetzung um eingereichte fehlerhafte Patches für eine Studie hat der Betreuer der stabilen Linux-Kernel-Branches, Greg Kroah-Hartman, angekündigt, Beiträge von der University of Minnesota nicht mehr zu berücksichtigen. Nach einer Entschuldigung der Forschenden und einer kurz angebundenen Antwort sind die Fronten weiter verhärtet.

Die Forschenden der University of Minnesota versuchten, sich in einer E-Mail an die Linux-Kernel-Mailingliste zu entschuldigen. Darin erklärten sie die kritisierten Handlungen und ordneten sie ein. Die Antwort von Kroah-Hartmann fiel aber kurz aus: Er bedankte sich für die Nachricht, fand aber jede weitere Kommunikation überflüssig, solange die Universität Forderungen aus einem nicht öffentlich gemachten Brief der Linux Foundation und deren Technical Advisory Board vom vergangenen Freitag nicht umsetze.

Was genau die in dem Brief geforderten "spezifische Aktionen, die ausgeführt werden müssen, damit Ihre Gruppe und Ihre Universität daran arbeiten können, das Vertrauen der Linux-Kernel-Community wiederzugewinnen" sind, ist daher nicht bekannt.

In ihrer Entschuldigungsmail hatten die Forschenden erklärt, dass es sich bei den fraglichen, für die Studie "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch hypokritischen Beiträge" eingereichten Patches um drei Beiträge aus dem August 2020 handele und dass die eingereichten Codestücke "keine Schwachstellen in den Linux-Code einführten".

Außerdem sei das Kernel-Team, nachdem es die Freigabe für die Codes erteilt habe, darüber informiert worden. Daher seien die fraglichen Codestücke niemals in die Linux-Sourcen committet worden. "Alle anderen 190 Patches, die zurückgesetzt und neu bewertet wurden", seien nicht Teil der Studie und ein Fix "für echte Fehler im Code und alle richtig" gewesen.

Zudem habe man bereits vor Veröffentlichung der Studie "der Linux-Community die Ergebnisse und unsere Schlussfolgerungen (mit Ausnahme der falschen Patches) der Arbeit vor der Einreichung des Papiers gemeldet, ihr Feedback gesammelt und sie in das Paper aufgenommen."

Linus Torvalds sagte itwire.com zu dem Thema: "Ich denke nicht, dass es technisch gesehen eine große Sache war, aber die Leute sind sauer und es ist offensichtlich ein Vertrauensbruch."

Auch das Kernel-Team scheint die Aktion der Universitätsforscher eher als hinterlistigen Verrat und persönlichen Angriff denn als wirkliches internes Problem zu sehen. Techspot zitiert Kroah-Hartman in einem Artikel damit, dass Maintainer weiterhin Code aus dem Universitätsumfeld einpflegen dürfen, wenn sie deren Inhalt überprüfen und verifizieren. Allerdings schränkt er dort auch ein: "Aber echt mal, warum Zeit mit dieser zusätzlichen Arbeit verschwenden?"

Der Autor meint dazu:

Diese Aussage ist deshalb problematisch, weil das Einschleusen von Hintertüren in sicherheitsrelevante Codes eine bekannte Vorgehensweise von Hackern ist. Die Hacker schleusen den Code dabei nicht unbedingt selbst ein, sondern verleiten eine Vertrauensperson durch Geld - oder auch aus patriotischen Gründen -, dies zu tun.

Deshalb wäre es vorteilhafter für die Kernel-Maintainer und die Linux-Foundation, sich nicht angegriffen oder gar als Versuchskaninchen zu fühlen. Vielmehr sollten sie den vermeintlichen Skandal als gute Gelegenheit sehen, die eigenen Prozesse zu überdenken und sich auch die Frage zu stellen, ob das Überprüfen von eingereichten Patches wirklich ungeliebte zusätzliche Arbeit ist. Und ob das Veryfying nicht eigentlich ein längst überfälliger und höchst wichtiger Bestandteil des Patch Prozesses sein sollte - und zwar unabhängig davon, von wem ein Patch eingereicht wird.