• IT-Karriere:
  • Services:

Linux-Kernel-Security: Torvalds bezeichnet Grsecurity als "Müll"

Mit seinem wie üblich wenig diplomatischen Feingefühl machte Kernel-Chefhacker Linus Torvalds auf der Kernel-Mailingliste deutlich, was er von dem auf Sicherheit fokussierten Projekt Grsecurity hält: reichlich wenig.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Pinguine sind vielleicht süß, aber nicht immer friedlich.
Pinguine sind vielleicht süß, aber nicht immer friedlich. (Bild: Liam Quinn/CC-BY-SA 2.0)

Das Projekt Grsecurity (Greater Security) bietet zahlenden Kunden einen Linux-Kernel mit zusätzlichen Sicherheitsfunktionen an. Ursprünglich stellte die Firma die Patches auch der Öffentlichkeit zur Verfügung, seit April 2017 allerdings nicht mehr. Bereits seit August 2015 bot die Firma ihre Stable Patches nur noch zahlenden Kunden an. Ob das mit der GPL vereinbar ist oder nicht, ist umstritten. Und Linux-Kernel-Chef Linus Torvalds äußert sich nun erneut gewohnt harsch über das Projekt.

Stellenmarkt
  1. LOTTO Hessen GmbH, Wiesbaden
  2. thyssenkrupp System Engineering GmbH, Mühlacker

"Ihre Patches sind reiner Müll", antwortete Torvalds auf einen Vorschlag, sich im Zuge der Stack-Clash-Sicherheitslücke doch mal die Patches von Grsecurity anzusehen. "Diese Sache ist ein Witz und sie sind Clowns", schrieb der Linux-Erfinder weiter. Er habe aufgehört, das Team freundlich zu behandeln, nachdem es geäußert hatte, dass es ausgenutzt werde. Die Beteiligten würden sich nicht darum scheren, so Torvalds weiter, andere Dinge kaputt zu machen, um es dann auf die "Extra-Security" schieben zu können.

Torvalds betrachtet Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er auch Security-Patches nur in kleinen überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity greift Torvalds an

Mit seiner nonchalanten Art in Security-Dingen treibt Torvalds Experten wie Brad Spengler von Grsecurity regelmäßig zur Weißglut. Spenglers Antwort auf Torvalds Ausfall ließ dementsprechend nicht lange auf sich warten. Er warf Torvalds vor, schon seit 16 Jahren die Security zu vernachlässigen, und nannte diverse Beispiele dafür. Das von Torvalds akzeptierte und im November 2015 von Google initiierte Kernel Self Protection Project (KSPP) würde den Grsecurity-Code einfach (schlecht) kopieren. Spengler wandte sich später mit der rhetorischen Frage an Torvalds, was denn an seinem Fix für den Heap Stack Gap Issue vor sieben Jahren Mist gewesen sei, den Torvalds nicht repariert habe.

Torvalds Antwort kam postwendend. Er sähe es lieber, wenn Spengler akzeptable Patches schicken würde, was er bislang nie getan habe. Vielmehr hätten andere Entwickler die Grsecurity-Patches aufgeräumt und diese in einen akzeptablen Zustand gebracht. Er habe nicht diesen einzelnen Fix gemeint, sondern generell die Patches von Grsecurity, schrieb Torvalds zurück.

Spengler zerlege den Code nicht in für Upstream konsumierbare Teile. Wenn dann jemand anderes diesen Job übernehme, beschwere er sich, dass man seine Arbeit ausnutze und versuche, den Code zu privatisieren. Es sei weniger Arbeit für Entwickler, die Dinge neu zu implementieren, als sich das Patch-Durcheinander anzuschauen. Spengler solle doch mal versuchen, seine Arbeit in Upstream-Projekte zu integrieren, und individuelle Patches mit Commit-Logs senden.

Das würde er, wenn man ihn dafür bezahle, gab Spengler zurück. Er zitierte dann einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiten möchten. Er verstehe gar nicht, machte sich Spengler lustig, warum den Kernel-Security-Experten Beschimpfungen als Lohn nicht ausreichen. Er wünsche Torvalds und allen, die "dumm genug seien" für ihn und seine Multi-Milliarden-Dollar-Sponsoren zu arbeiten, viel Glück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 58,48€ (PC), 68,23€ (PS4) 69,99€ (Xbox One)
  2. (-47%) 21,00€
  3. (u. a. Warhammer 40,00€0: Gladius - Relics of War für 23,79€, Aggressors: Ancient Rome für 17...

kevla 06. Jul 2017

Oh mein Gott ist mir das peinlich beim Lesen.

Proctrap 02. Jul 2017

nur weil einer aus dem Fenster Sprint muss der Rest nicht hinterher, von daher passt schon

Vanger 01. Jul 2017

Hier wird der Kern von Torvalds "Security Policy" verschwiegen und das glatte Gegenteil...

Häxler 30. Jun 2017

Der Desktop ist als Gradmesser für die Popularität hinter mobile Geräte zurückgefallen.

DeathMD 29. Jun 2017

Hat Herr Spengler den Fork Button auf Github noch nicht entdeckt? Dann kann er 20 MB...


Folgen Sie uns
       


Die Evolution des Microsoft Flugsimulator (1982-2020)

Die Entwicklung des Flugsimulator zeigt die beeindruckenden Fortschritte der Spielegrafik in den letzten Jahrzehnten.

Die Evolution des Microsoft Flugsimulator (1982-2020) Video aufrufen
Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Mehrwertsteuersenkung: Worauf Firmen sich einstellen müssen
Mehrwertsteuersenkung
Worauf Firmen sich einstellen müssen

Wegen der Mehrwertsteuersenkung müssen viele Unternehmen in kürzester Zeit ihre Software umstellen. Alle möglichen Sonderfälle müssen berücksichtigt werden, der Aufwand ist enorm.
Von Boris Mayer

  1. Raumfahrt Vega-Raketenstart während Corona-Ausbruchs verschoben
  2. Corona Google und Microsoft starten Weiterbildungsprogramme
  3. Kontaktverfolgung Datenschützer kritisieren offene Gästelisten

    •  /