Linux-Kernel-Security: Torvalds bezeichnet Grsecurity als "Müll"

Mit seinem wie üblich wenig diplomatischen Feingefühl machte Kernel-Chefhacker Linus Torvalds auf der Kernel-Mailingliste deutlich, was er von dem auf Sicherheit fokussierten Projekt Grsecurity hält: reichlich wenig.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Pinguine sind vielleicht süß, aber nicht immer friedlich.
Pinguine sind vielleicht süß, aber nicht immer friedlich. (Bild: Liam Quinn/CC-BY-SA 2.0)

Das Projekt Grsecurity (Greater Security) bietet zahlenden Kunden einen Linux-Kernel mit zusätzlichen Sicherheitsfunktionen an. Ursprünglich stellte die Firma die Patches auch der Öffentlichkeit zur Verfügung, seit April 2017 allerdings nicht mehr. Bereits seit August 2015 bot die Firma ihre Stable Patches nur noch zahlenden Kunden an. Ob das mit der GPL vereinbar ist oder nicht, ist umstritten. Und Linux-Kernel-Chef Linus Torvalds äußert sich nun erneut gewohnt harsch über das Projekt.

Stellenmarkt
  1. IT-Service Techniker (m/w/d) für den Innen- und Außendienst
    VORAX-IT GmbH, Heddesheim, Speyer
  2. Qualitätsingenieur R&D Automotive für System- und Softwareentwicklung (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

"Ihre Patches sind reiner Müll", antwortete Torvalds auf einen Vorschlag, sich im Zuge der Stack-Clash-Sicherheitslücke doch mal die Patches von Grsecurity anzusehen. "Diese Sache ist ein Witz und sie sind Clowns", schrieb der Linux-Erfinder weiter. Er habe aufgehört, das Team freundlich zu behandeln, nachdem es geäußert hatte, dass es ausgenutzt werde. Die Beteiligten würden sich nicht darum scheren, so Torvalds weiter, andere Dinge kaputt zu machen, um es dann auf die "Extra-Security" schieben zu können.

Torvalds betrachtet Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er auch Security-Patches nur in kleinen überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity greift Torvalds an

Mit seiner nonchalanten Art in Security-Dingen treibt Torvalds Experten wie Brad Spengler von Grsecurity regelmäßig zur Weißglut. Spenglers Antwort auf Torvalds Ausfall ließ dementsprechend nicht lange auf sich warten. Er warf Torvalds vor, schon seit 16 Jahren die Security zu vernachlässigen, und nannte diverse Beispiele dafür. Das von Torvalds akzeptierte und im November 2015 von Google initiierte Kernel Self Protection Project (KSPP) würde den Grsecurity-Code einfach (schlecht) kopieren. Spengler wandte sich später mit der rhetorischen Frage an Torvalds, was denn an seinem Fix für den Heap Stack Gap Issue vor sieben Jahren Mist gewesen sei, den Torvalds nicht repariert habe.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  3. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Torvalds Antwort kam postwendend. Er sähe es lieber, wenn Spengler akzeptable Patches schicken würde, was er bislang nie getan habe. Vielmehr hätten andere Entwickler die Grsecurity-Patches aufgeräumt und diese in einen akzeptablen Zustand gebracht. Er habe nicht diesen einzelnen Fix gemeint, sondern generell die Patches von Grsecurity, schrieb Torvalds zurück.

Spengler zerlege den Code nicht in für Upstream konsumierbare Teile. Wenn dann jemand anderes diesen Job übernehme, beschwere er sich, dass man seine Arbeit ausnutze und versuche, den Code zu privatisieren. Es sei weniger Arbeit für Entwickler, die Dinge neu zu implementieren, als sich das Patch-Durcheinander anzuschauen. Spengler solle doch mal versuchen, seine Arbeit in Upstream-Projekte zu integrieren, und individuelle Patches mit Commit-Logs senden.

Das würde er, wenn man ihn dafür bezahle, gab Spengler zurück. Er zitierte dann einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiten möchten. Er verstehe gar nicht, machte sich Spengler lustig, warum den Kernel-Security-Experten Beschimpfungen als Lohn nicht ausreichen. Er wünsche Torvalds und allen, die "dumm genug seien" für ihn und seine Multi-Milliarden-Dollar-Sponsoren zu arbeiten, viel Glück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mozilla
Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren

Die offiziellen Nutzer-Statistiken des Firefox-Browsers sehen für Mozilla nicht gut aus. Immerhin wird der Browser intensiver genutzt.

Mozilla: Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren
Artikel
  1. Raumfahrt: Strahlungsresistente Speicher für die Raumfahrt von Infineon
    Raumfahrt
    Strahlungsresistente Speicher für die Raumfahrt von Infineon

    NOR Flash Speicher soll hohe Strahlungsresistenz und bis zu 250 Jahre Datenerhalt für FPGAs, Mikrocontroller und Bildspeicher garantieren.

  2. Kryptowährung: Warschauer Polizei findet illegales Mining im Hauptquartier
    Kryptowährung
    Warschauer Polizei findet illegales Mining im Hauptquartier

    Wo würde die Polizei am wenigsten illegales Krypto-Mining vermuten? In ihrem Hauptquartier, dachte wohl ein polnischer IT-Techniker.

  3. Fahrrad-Navigation im Test: Rechenpower für Radfahrer
    Fahrrad-Navigation im Test
    Rechenpower für Radfahrer

    Schnell, sicher und schön ans Ziel: Das schaffen Bike-Computer besser als jedes Smartphone. Wir haben die Top-Geräte ausprobiert - und günstige Alternativen.
    Von Peter Steinlechner

kevla 06. Jul 2017

Oh mein Gott ist mir das peinlich beim Lesen.

Proctrap 02. Jul 2017

nur weil einer aus dem Fenster Sprint muss der Rest nicht hinterher, von daher passt schon

Vanger 01. Jul 2017

Hier wird der Kern von Torvalds "Security Policy" verschwiegen und das glatte Gegenteil...

Häxler 30. Jun 2017

Der Desktop ist als Gradmesser für die Popularität hinter mobile Geräte zurückgefallen.

DeathMD 29. Jun 2017

Hat Herr Spengler den Fork Button auf Github noch nicht entdeckt? Dann kann er 20 MB...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • Samsung Odyssey G5 (34 Zoll, 165 Hz) 399€ • 15% auf Xiaomi-Technik • McAfee Total Protection ab 15,99€ • Saturn: 1 Produkt zahlen, 2 erhalten • Final Fantasy VII HD Remake PS4 25,64€ [Werbung]
    •  /