Linux-Kernel-Security: Torvalds bezeichnet Grsecurity als "Müll"

Mit seinem wie üblich wenig diplomatischen Feingefühl machte Kernel-Chefhacker Linus Torvalds auf der Kernel-Mailingliste deutlich, was er von dem auf Sicherheit fokussierten Projekt Grsecurity hält: reichlich wenig.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Pinguine sind vielleicht süß, aber nicht immer friedlich.
Pinguine sind vielleicht süß, aber nicht immer friedlich. (Bild: Liam Quinn/CC-BY-SA 2.0)

Das Projekt Grsecurity (Greater Security) bietet zahlenden Kunden einen Linux-Kernel mit zusätzlichen Sicherheitsfunktionen an. Ursprünglich stellte die Firma die Patches auch der Öffentlichkeit zur Verfügung, seit April 2017 allerdings nicht mehr. Bereits seit August 2015 bot die Firma ihre Stable Patches nur noch zahlenden Kunden an. Ob das mit der GPL vereinbar ist oder nicht, ist umstritten. Und Linux-Kernel-Chef Linus Torvalds äußert sich nun erneut gewohnt harsch über das Projekt.

Stellenmarkt
  1. Software-Engineer (m/w/d) Linux Embedded
    eSystems MTG GmbH, Wendlingen
  2. Mitarbeiter/in (m/w/d) Web-Relaunch
    Hochschule Furtwangen, Furtwangen im Schwarzwald
Detailsuche

"Ihre Patches sind reiner Müll", antwortete Torvalds auf einen Vorschlag, sich im Zuge der Stack-Clash-Sicherheitslücke doch mal die Patches von Grsecurity anzusehen. "Diese Sache ist ein Witz und sie sind Clowns", schrieb der Linux-Erfinder weiter. Er habe aufgehört, das Team freundlich zu behandeln, nachdem es geäußert hatte, dass es ausgenutzt werde. Die Beteiligten würden sich nicht darum scheren, so Torvalds weiter, andere Dinge kaputt zu machen, um es dann auf die "Extra-Security" schieben zu können.

Torvalds betrachtet Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er auch Security-Patches nur in kleinen überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity greift Torvalds an

Mit seiner nonchalanten Art in Security-Dingen treibt Torvalds Experten wie Brad Spengler von Grsecurity regelmäßig zur Weißglut. Spenglers Antwort auf Torvalds Ausfall ließ dementsprechend nicht lange auf sich warten. Er warf Torvalds vor, schon seit 16 Jahren die Security zu vernachlässigen, und nannte diverse Beispiele dafür. Das von Torvalds akzeptierte und im November 2015 von Google initiierte Kernel Self Protection Project (KSPP) würde den Grsecurity-Code einfach (schlecht) kopieren. Spengler wandte sich später mit der rhetorischen Frage an Torvalds, was denn an seinem Fix für den Heap Stack Gap Issue vor sieben Jahren Mist gewesen sei, den Torvalds nicht repariert habe.

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
Weitere IT-Trainings

Torvalds Antwort kam postwendend. Er sähe es lieber, wenn Spengler akzeptable Patches schicken würde, was er bislang nie getan habe. Vielmehr hätten andere Entwickler die Grsecurity-Patches aufgeräumt und diese in einen akzeptablen Zustand gebracht. Er habe nicht diesen einzelnen Fix gemeint, sondern generell die Patches von Grsecurity, schrieb Torvalds zurück.

Spengler zerlege den Code nicht in für Upstream konsumierbare Teile. Wenn dann jemand anderes diesen Job übernehme, beschwere er sich, dass man seine Arbeit ausnutze und versuche, den Code zu privatisieren. Es sei weniger Arbeit für Entwickler, die Dinge neu zu implementieren, als sich das Patch-Durcheinander anzuschauen. Spengler solle doch mal versuchen, seine Arbeit in Upstream-Projekte zu integrieren, und individuelle Patches mit Commit-Logs senden.

Das würde er, wenn man ihn dafür bezahle, gab Spengler zurück. Er zitierte dann einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiten möchten. Er verstehe gar nicht, machte sich Spengler lustig, warum den Kernel-Security-Experten Beschimpfungen als Lohn nicht ausreichen. Er wünsche Torvalds und allen, die "dumm genug seien" für ihn und seine Multi-Milliarden-Dollar-Sponsoren zu arbeiten, viel Glück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kevla 06. Jul 2017

Oh mein Gott ist mir das peinlich beim Lesen.

Proctrap 02. Jul 2017

nur weil einer aus dem Fenster Sprint muss der Rest nicht hinterher, von daher passt schon

Vanger 01. Jul 2017

Hier wird der Kern von Torvalds "Security Policy" verschwiegen und das glatte Gegenteil...

Häxler 30. Jun 2017

Der Desktop ist als Gradmesser für die Popularität hinter mobile Geräte zurückgefallen.



Aktuell auf der Startseite von Golem.de
Ron Gilbert
Chefentwickler von Monkey Island sauer auf Community

"Die Leute sind gemein": Ron Gilbert, Chefentwickler von Return to Monkey Island, reagiert auf Kritik am Grafikstil des Adventures.

Ron Gilbert: Chefentwickler von Monkey Island sauer auf Community
Artikel
  1. Specter 1: Futuristisches S-Pedelec hat Vollcarbonrahmen und Doppelakku
    Specter 1
    Futuristisches S-Pedelec hat Vollcarbonrahmen und Doppelakku

    Das Specter 1 ist ein S-Pedelec, das bis zu 45 km/h fährt, aus einem Vollcarbonrahmen besteht und über einen 700-Watt-Motor verfügt.

  2. Ausfall des Verifone H5000: Handel verlangt Verhinderung künftiger Störungen
    Ausfall des Verifone H5000
    Handel verlangt Verhinderung künftiger Störungen

    Mehrere Tage konnte in vielen Geschäften weder mit Girokarte noch mit Kreditkarte bezahlt werden. Der Handel verlangt Konsequenzen rund um Verifone.

  3. CD Projekt Red: Ursachenforschung über Bugs in Cyberpunk 2077
    CD Projekt Red
    Ursachenforschung über Bugs in Cyberpunk 2077

    War ein Dienstleister schuld an den massiven Fehlern in Cyberpunk 2077? Darauf deutet ein umfangreicher, aber umstrittener Leak hin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Alternate (SSDs & RAM von Kingston) • Grafikkarten zu Toppreisen • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /