Abo
  • IT-Karriere:

Linux-Kernel-Security: Torvalds bezeichnet Grsecurity als "Müll"

Mit seinem wie üblich wenig diplomatischen Feingefühl machte Kernel-Chefhacker Linus Torvalds auf der Kernel-Mailingliste deutlich, was er von dem auf Sicherheit fokussierten Projekt Grsecurity hält: reichlich wenig.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Pinguine sind vielleicht süß, aber nicht immer friedlich.
Pinguine sind vielleicht süß, aber nicht immer friedlich. (Bild: Liam Quinn/CC-BY-SA 2.0)

Das Projekt Grsecurity (Greater Security) bietet zahlenden Kunden einen Linux-Kernel mit zusätzlichen Sicherheitsfunktionen an. Ursprünglich stellte die Firma die Patches auch der Öffentlichkeit zur Verfügung, seit April 2017 allerdings nicht mehr. Bereits seit August 2015 bot die Firma ihre Stable Patches nur noch zahlenden Kunden an. Ob das mit der GPL vereinbar ist oder nicht, ist umstritten. Und Linux-Kernel-Chef Linus Torvalds äußert sich nun erneut gewohnt harsch über das Projekt.

Stellenmarkt
  1. AWO gemeinnützige Gesellschaft für soziale Einrichtungen und Dienste in Nordhessen mbH, Kassel
  2. SSC-Services GmbH, Böblingen bei Stuttgart

"Ihre Patches sind reiner Müll", antwortete Torvalds auf einen Vorschlag, sich im Zuge der Stack-Clash-Sicherheitslücke doch mal die Patches von Grsecurity anzusehen. "Diese Sache ist ein Witz und sie sind Clowns", schrieb der Linux-Erfinder weiter. Er habe aufgehört, das Team freundlich zu behandeln, nachdem es geäußert hatte, dass es ausgenutzt werde. Die Beteiligten würden sich nicht darum scheren, so Torvalds weiter, andere Dinge kaputt zu machen, um es dann auf die "Extra-Security" schieben zu können.

Torvalds betrachtet Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er auch Security-Patches nur in kleinen überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity greift Torvalds an

Mit seiner nonchalanten Art in Security-Dingen treibt Torvalds Experten wie Brad Spengler von Grsecurity regelmäßig zur Weißglut. Spenglers Antwort auf Torvalds Ausfall ließ dementsprechend nicht lange auf sich warten. Er warf Torvalds vor, schon seit 16 Jahren die Security zu vernachlässigen, und nannte diverse Beispiele dafür. Das von Torvalds akzeptierte und im November 2015 von Google initiierte Kernel Self Protection Project (KSPP) würde den Grsecurity-Code einfach (schlecht) kopieren. Spengler wandte sich später mit der rhetorischen Frage an Torvalds, was denn an seinem Fix für den Heap Stack Gap Issue vor sieben Jahren Mist gewesen sei, den Torvalds nicht repariert habe.

Torvalds Antwort kam postwendend. Er sähe es lieber, wenn Spengler akzeptable Patches schicken würde, was er bislang nie getan habe. Vielmehr hätten andere Entwickler die Grsecurity-Patches aufgeräumt und diese in einen akzeptablen Zustand gebracht. Er habe nicht diesen einzelnen Fix gemeint, sondern generell die Patches von Grsecurity, schrieb Torvalds zurück.

Spengler zerlege den Code nicht in für Upstream konsumierbare Teile. Wenn dann jemand anderes diesen Job übernehme, beschwere er sich, dass man seine Arbeit ausnutze und versuche, den Code zu privatisieren. Es sei weniger Arbeit für Entwickler, die Dinge neu zu implementieren, als sich das Patch-Durcheinander anzuschauen. Spengler solle doch mal versuchen, seine Arbeit in Upstream-Projekte zu integrieren, und individuelle Patches mit Commit-Logs senden.

Das würde er, wenn man ihn dafür bezahle, gab Spengler zurück. Er zitierte dann einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiten möchten. Er verstehe gar nicht, machte sich Spengler lustig, warum den Kernel-Security-Experten Beschimpfungen als Lohn nicht ausreichen. Er wünsche Torvalds und allen, die "dumm genug seien" für ihn und seine Multi-Milliarden-Dollar-Sponsoren zu arbeiten, viel Glück.



Anzeige
Top-Angebote
  1. 99,90€ + Versand (Vergleichspreis 149,85€ + Versand)
  2. 169,90€ inkl. Versand von Computeruniverse
  3. (u. a. GTA 5 PREMIUM ONLINE EDITION 8,80€, BioShock: The Collection 12,99€)
  4. 14,95€

kevla 06. Jul 2017

Oh mein Gott ist mir das peinlich beim Lesen.

Proctrap 02. Jul 2017

nur weil einer aus dem Fenster Sprint muss der Rest nicht hinterher, von daher passt schon

Vanger 01. Jul 2017

Hier wird der Kern von Torvalds "Security Policy" verschwiegen und das glatte Gegenteil...

Häxler 30. Jun 2017

Der Desktop ist als Gradmesser für die Popularität hinter mobile Geräte zurückgefallen.

DeathMD 29. Jun 2017

Hat Herr Spengler den Fork Button auf Github noch nicht entdeckt? Dann kann er 20 MB...


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
DIN 2137-T2-Layout ausprobiert
Die Tastatur mit dem großen ß

Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
Von Andreas Sebayang und Tobias Költzsch

  1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
  2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
  3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /