Linux: Kernel-Community blockiert Uni nach eingeschleusten Bugs

Der Betreuer der stabilen Linux-Kernel-Zweige, Greg Kroah-Hartman, hat sich dazu entschieden, sämtliche Beiträge zum Linux-Kernel der University of Minnesota (UMN) zu blockieren, wie er auf der Mailingliste des Projekts angekündigt hat. Darüber hinaus hat der langjährige Kernel-Entwickler auch sämtliche bereits eingepflegte Änderungen zurückgenommen, die über Adressen der UMN beigetragen wurden. Der Grund für diesen Schritt sind offenbar Arbeiten eines Forschungsteams, das als Teil einer Untersuchung versucht hat, absichtlich Fehler in den Quellcode des Linux-Kernels einzuschleusen.

Die beiden Forscher der UMN, Qiushi Wu und Kangjie Lu, haben zuvor bereits ihre Untersuchung mit dem Titel "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch geheuchelte Beiträge" auf Github veröffentlicht. Eine Präsentation der Ergebnisse ist zudem auf dem kommenden IEEE Symposium on Security and Privacy Ende Mai vorgesehen.

Die in der Arbeit beschriebenen Patches wurden offenbar bereits vor einigen Monaten zur Aufnahme in den Linux-Kernel vorgeschlagen und einige Betreuer haben diese wohl auch zunächst akzeptiert. Die Forscher weisen in einer Stellungnahme (PDF) jedoch explizit darauf hin, dass diese den betroffenen Betreuern des schadhaften Codes Bescheid gegeben hätten und die Patches deshalb nie in Entwicklungszweigen des Linux-Kernels gelandet seien. Es seien also auch nie Fehler oder Sicherheitslücken der Forscher in den Linux-Kernel eingepflegt worden.

Ausgangspunkt der Arbeiten war demnach die Beobachtung, dass einige Patches der Kernel-Community, die Fehler beheben sollen, wiederum eigene, zunächst lange unerkannte andere Fehler in den Code einführen. Dies haben die beiden Wissenschaftler nun wohl versucht, mutwillig und mit speziell präparierten Patches nachzustellen.

Neue kaputte Patches führen zum Bann

Das beteiligte Forschungsteam hat darüber hinaus nun erneut versucht, Patches in den Linux-Kernel einzupflegen, deren Qualität jedoch derart schlecht war, dass dies direkt für Diskussionen gesorgt hat. Kroah-Hartman schreibt dazu: "Sie und Ihre Gruppe haben öffentlich zugegeben, bewusst fehlerhafte Patches einzuschicken, um zu sehen, wie die Kernel-Gemeinschaft darauf reagieren würde, und haben eine Arbeit veröffentlicht, die auf dieser Arbeit basiert. Jetzt reichen Sie wieder eine neue Serie von offensichtlich fehlerhaften Patches ein, was soll ich also von so etwas halten?"

Der Kernel-Entwickler Kroah-Hartman geht demnach wohl davon aus, dass es sich dabei erneut um eine Art Studie oder Untersuchung handelt, die die Kernel-Community testen soll, was bei Kroah-Hartman nicht gut ankommt. Entsprechend deutlich schreibt der Betreuer: "Unsere Community schätzt es nicht, wenn mit ihr experimentiert wird und sie 'testet', indem man bekannte Patches einreicht, die entweder absichtlich nichts tun oder absichtlich Fehler einführen".

Vorgehen zeigt Probleme der Kernel-Entwicklung

Die nun zunächst durch Kroah-Hartman zurückgenommen Patches von Beitragenden der UMN werden erneut einzeln geprüft und bei einer positiven Beurteilung wieder in den Linux-Kernel eingepflegt. Dieses Vorgehen kommentiert der Kryptograph und Google-Angestellte Filippo Valsorda auf Twitter und schreibt: "Möglicherweise ist das eine unpopuläre Meinung, aber ich finde, das 'nur Beiträge einpflegen, nachdem sie auf ihre Gültigkeit überprüft wurden' sollte vielleicht die Standardrichtlinie der meistbenutzten Software der Welt sein."

Valsorda kritisiert damit den Review-Prozess des Linux-Kernels, denn immerhin war es den Forschern ja theoretisch möglich, Sicherheitslücken einzuschleusen, ohne dass dies den Betreuern der Community zunächst aufgefallen wäre. Ähnlich argumentiert auch die Security-Spezialistin Katie Moussouris, die die Untersuchung als "interessant" beschreibt und als "wertvoll" aus der Perspektive der "nationalen/globalen Sicherheit". Das Verhalten der Linux-Kernel-Community bezeichnet Moussouris zudem als "emotionale Überreaktion".

Die Führung des Informatik-Instituts der University of Minnesota schreibt in einer Stellungnahme zu den Vorfällen: "Wir nehmen diese Situation sehr ernst. Wir haben Forschungen in diese Richtung sofort ausgesetzt. Wir werden die Forschungsmethode und den Prozess, durch den diese Forschungsmethode genehmigt wurde, untersuchen, geeignete Abhilfemaßnahmen festlegen und uns gegen zukünftige Probleme absichern, falls erforderlich."