Abo
  • Services:

Linux-Kernel-Security: Torvalds bezeichnet Grsecurity als "Müll"

Mit seinem wie üblich wenig diplomatischen Feingefühl machte Kernel-Chefhacker Linus Torvalds auf der Kernel-Mailingliste deutlich, was er von dem auf Sicherheit fokussierten Projekt Grsecurity hält: reichlich wenig.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Pinguine sind vielleicht süß, aber nicht immer friedlich.
Pinguine sind vielleicht süß, aber nicht immer friedlich. (Bild: Liam Quinn/CC-BY-SA 2.0)

Das Projekt Grsecurity (Greater Security) bietet zahlenden Kunden einen Linux-Kernel mit zusätzlichen Sicherheitsfunktionen an. Ursprünglich stellte die Firma die Patches auch der Öffentlichkeit zur Verfügung, seit April 2017 allerdings nicht mehr. Bereits seit August 2015 bot die Firma ihre Stable Patches nur noch zahlenden Kunden an. Ob das mit der GPL vereinbar ist oder nicht, ist umstritten. Und Linux-Kernel-Chef Linus Torvalds äußert sich nun erneut gewohnt harsch über das Projekt.

Stellenmarkt
  1. AVU Netz GmbH, Gevelsberg
  2. Lidl Digital, Heilbronn

"Ihre Patches sind reiner Müll", antwortete Torvalds auf einen Vorschlag, sich im Zuge der Stack-Clash-Sicherheitslücke doch mal die Patches von Grsecurity anzusehen. "Diese Sache ist ein Witz und sie sind Clowns", schrieb der Linux-Erfinder weiter. Er habe aufgehört, das Team freundlich zu behandeln, nachdem es geäußert hatte, dass es ausgenutzt werde. Die Beteiligten würden sich nicht darum scheren, so Torvalds weiter, andere Dinge kaputt zu machen, um es dann auf die "Extra-Security" schieben zu können.

Torvalds betrachtet Security-Bugs wie gewöhnliche Fehler im Code und weigert sich seit Jahren, ihnen einen besonderen Stellenwert einzuräumen. Daher akzeptiert er auch Security-Patches nur in kleinen überschaubaren Code-Einheiten, wie andere Patches eben auch.

Grsecurity greift Torvalds an

Mit seiner nonchalanten Art in Security-Dingen treibt Torvalds Experten wie Brad Spengler von Grsecurity regelmäßig zur Weißglut. Spenglers Antwort auf Torvalds Ausfall ließ dementsprechend nicht lange auf sich warten. Er warf Torvalds vor, schon seit 16 Jahren die Security zu vernachlässigen, und nannte diverse Beispiele dafür. Das von Torvalds akzeptierte und im November 2015 von Google initiierte Kernel Self Protection Project (KSPP) würde den Grsecurity-Code einfach (schlecht) kopieren. Spengler wandte sich später mit der rhetorischen Frage an Torvalds, was denn an seinem Fix für den Heap Stack Gap Issue vor sieben Jahren Mist gewesen sei, den Torvalds nicht repariert habe.

Torvalds Antwort kam postwendend. Er sähe es lieber, wenn Spengler akzeptable Patches schicken würde, was er bislang nie getan habe. Vielmehr hätten andere Entwickler die Grsecurity-Patches aufgeräumt und diese in einen akzeptablen Zustand gebracht. Er habe nicht diesen einzelnen Fix gemeint, sondern generell die Patches von Grsecurity, schrieb Torvalds zurück.

Spengler zerlege den Code nicht in für Upstream konsumierbare Teile. Wenn dann jemand anderes diesen Job übernehme, beschwere er sich, dass man seine Arbeit ausnutze und versuche, den Code zu privatisieren. Es sei weniger Arbeit für Entwickler, die Dinge neu zu implementieren, als sich das Patch-Durcheinander anzuschauen. Spengler solle doch mal versuchen, seine Arbeit in Upstream-Projekte zu integrieren, und individuelle Patches mit Commit-Logs senden.

Das würde er, wenn man ihn dafür bezahle, gab Spengler zurück. Er zitierte dann einen Bericht der Core Infrastructure Initiative (CII) von 2016, in dem festgestellt wurde, dass es nicht genügend fähige Entwickler für die Security-Arbeit am Kernel gebe, die ohne Bezahlung an solchen Problemen arbeiten möchten. Er verstehe gar nicht, machte sich Spengler lustig, warum den Kernel-Security-Experten Beschimpfungen als Lohn nicht ausreichen. Er wünsche Torvalds und allen, die "dumm genug seien" für ihn und seine Multi-Milliarden-Dollar-Sponsoren zu arbeiten, viel Glück.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

kevla 06. Jul 2017

Oh mein Gott ist mir das peinlich beim Lesen.

Proctrap 02. Jul 2017

nur weil einer aus dem Fenster Sprint muss der Rest nicht hinterher, von daher passt schon

Vanger 01. Jul 2017

Hier wird der Kern von Torvalds "Security Policy" verschwiegen und das glatte Gegenteil...

Häxler 30. Jun 2017

Der Desktop ist als Gradmesser für die Popularität hinter mobile Geräte zurückgefallen.

DeathMD 29. Jun 2017

Hat Herr Spengler den Fork Button auf Github noch nicht entdeckt? Dann kann er 20 MB...


Folgen Sie uns
       


Sonos Beam im Hands on

Beam ist Sonos' erste smarte Soundbar und läuft mit Amazons Alexa. Im Zusammenspiel mit einem Fire-TV-Gerät kann dieses bequem mit Beam mit der Stimme bedient werden. Die Beam-Soundbar von Sonos kostet 450 Euro und soll am 17. Juli 2018 erscheinen.

Sonos Beam im Hands on Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /