Linux: Linux Foundation fordert Offenlegung

Im Streit um die "Bad Patches" von Forschern der Universität von Minnesota sind nun die Forderungen der Linux Foundation bekanntgeworden, damit Universitätsangehörige wieder mitmachen dürfen.

Artikel veröffentlicht am ,
Pinguin fühlt sich angegriffen.
Pinguin fühlt sich angegriffen. (Bild: Liam Quinn/CC-BY-SA 2.0)

In dem von einem Forschungsprojekt der Universität von Minnesota ausgelösten Streit um eingereichte und akzeptierte "Bad Patches" für den Linux-Kernel sind nun auch die Forderungen bekanntgeworden, die Kernel-Maintainer Greg Kroah-Hartman in seiner Antwort auf eine erklärende Entschuldigungsmail erwähnt, aber nicht näher benannt hatte.

Stellenmarkt
  1. Solution Consultant (m/w/d) im Bereich PLM / Digitaler Zwilling
    ASCon Systems GmbH, Stuttgart, München, Heilbronn
  2. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w) am European Campus
    THD - Technische Hochschule Deggendorf, Pfarrkirchen
Detailsuche

Der Brief der Linux Foundation, verfasst von Linux Foundations Senior Vice President und General Manager of Projects, Mike Dolan, ist - zumindest in Auszügen - auf ZDNet veröffentlicht worden.

Stellvertretend für die Linux Foundation fordert Dolan die Universität von Minnesota auf, schnellstmöglich alle Informationen zu veröffentlichen, die erforderlich sind, um bekanntermaßen anfälligen Code zu identifizieren, der im Rahmen der Experimente an der Universität eingereicht worden ist. "Die Informationen sollten den Namen jeder Zielsoftware, die Commit-Informationen, den angegebenen Namen des Einreichers, die E-Mail-Adresse, Datum und Uhrzeit, Betreff und/oder Code enthalten", schreibt Dolan. Aus der Sicht der Linux-Foundation sind also nicht nur die Kernel-Patches betroffen, sondern jegliche Beiträge der University of Minnesota, egal welches Open-Source-Projekt sie betreffen.

Der Brief enthält aber auch die Sichtweise der Linux Foundation auf die Vorfälle und das von den Forschern erstellte Paper. Dolan schreibt dazu in seinem Brief zwar: "Wir ermutigen und begrüßen Forschung zur Verbesserung der Sicherheits- und Sicherheitsüberprüfungsprozesse. Der Linux-Kernel-Entwicklungsprozess führt Schritte durch, um den Code zu überprüfen und Fehler zu vermeiden", schränkt jedoch gleich darauf wieder ein: "Wir glauben jedoch, dass Experimente an Menschen ohne deren Zustimmung unethisch sind und wahrscheinlich viele rechtliche Probleme mit sich bringen. Menschen sind ein wesentlicher Bestandteil des Software-Überprüfungs- und -entwicklungsprozesses. Die Linux-Kernel-Entwickler sind keine Testpersonen und dürfen nicht wie solche behandelt werden."

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
Weitere IT-Trainings

Im Anschluss wiederholt Dolan auch noch einmal die Vorwürfe, mit der Aktion "wertvolle Zeit" des Kernel-Teams verschwendet zu haben und damit "die Milliarden von Menschen auf der ganzen Welt, die von ihren Ergebnissen abhängen, gefährdet zu haben". Denn während die Forscher der Universität behaupteten, dafür gesorgt zu haben, dass keine Schwachstellen in die finale Software kommen, deute ihr Verhalten, sich vorher kein Einverständnis des Kernel-Teams einzuholen, "auf mangelnde Sorgfalt hin", schließlich gebe es ja "verstärkte Konsequenzen, da Änderungen am Linux-Kernel von vielen anderen nachgelagerten Projekten aufgegriffen werden, die auf der Kernel-Codebasis aufbauen."

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Und dann ist da noch die Forderung, das Paper zurückzuziehen und nicht zu veröffentlichen oder zu präsentieren. "Das Hinterlassen von Archivinformationen im Internet ist in Ordnung, da diese größtenteils bereits öffentlich sind, für solche Werke sollte jedoch kein Forschungskredit geben werden", schreibt Dolan dazu - weil unethisch an Menschen experimentiert worden sei.

Dabei ist das Paper eigentlich schon vom IEEE Symposium on Security and Privacy (IEEE S&P) 2021 als Beitrag akzeptiert worden. Ob die Universität Dolans Forderung nachkommen wird und das Paper zurückzieht, ist noch nicht bekannt.

Nicht bekannt ist auch, wie die Linux Foundation zu der von den Forschern der University of Minnesota angesprochenen Sicherheitsproblematik steht - Supply Chain Angriffe erfreuen sich immer größerer Beliebtheit, wie die Angriffe auf Solarwinds oder der zum Glück weniger erfolgreiche Angriff auf PHP gezeigt haben. Denn auch hier besteht für Linux offenbar Nachholbedarf und die Forderungen, ein Paper nicht weiter zu präsentieren, ist sicher keine Lösung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /