Software::Distributionen::Debian
Mayhem: 1200 Abstürze in Debian »Wheezy«
Forscher der Carnegie Mellon Universität haben mittels einer Testsuite über 1200 Abstürze von Anwendungen in Debian entdeckt. Eine Liste der betroffenen Anwendungen sorgt nun unter den Entwicklern für rege Diskussion.
Software in the Public Interest (SPI)
Mayhem, so haben die Forscher der
Carnegie Mellon Universität ihre proprietäre Testumgebung getauft, die in binären Dateien nach Fehlern und Abstürzen fahndet. Dazu nutzt das Programm eine Technik, die die Forscher »Symbolic Execution« nennen und die unter anderem, abhängig von Nutzereingaben, verschiedene Bereiche des Speichers auf mögliche Fehler überprüft. Die genaue Funktionsweise beschreibt das
White Paper des Systems.
Erste Ergebnisse, die Mayhem in Aktion zeigen sollen, stellen die Forscher ebenfalls bereit: 1.200 Fehler in Debian, die auf Abstürze zurückzuführen sind. Wie die Entwickler allerdings schrieben, ist wohl nur die Minorität der Probleme sicherheitsrelevant. Vielmehr sind es überwiegend Abstürze, die eine Anwendung im Fehlerfall beenden und keinen weiteren Schaden verursachen.
Die kompletten Resultate der Checks hat das Team allerdings noch nicht veröffentlicht. Lediglich eine Liste der betroffenen Pakete steht Interessenten zur Ansicht bereit. Als Grund nennen die Forscher Sicherheitsbedenken. Laut eigener Aussage haben sie bereits die Autoren oder die Betreuer der entsprechenden Pakete kontaktiert und um eine Analyse gebeten. Erst wenn sich herausstellen sollte, dass die Fehler keine Sicherheitsprobleme nach sich ziehen, soll eine detaillierte Auswertung folgen.
Doch dass auch vermeintlich nicht sicherheitsrelevante Probleme korrigiert werden müssen, steht außer Frage. So haben die Autoren auch die Mailingsliste des Debian-Projektes kontaktiert und unter dem Titel »Reporting 1.2K crashes« um Hilfe bei der Meldung der Probleme gebeten. Gemeint ist damit eine Möglichkeit, die betroffenen Anwendungen automatisiert zu melden, ohne dass für jedes Problem eine E-Mail generiert werden muss.
Eine mögliche Lösung des Problems schlägt Paul Wise vor. So könnten die Autoren der Tests ihre Resultate unter anderem dem Firehose-Projekt melden, das nicht nur von Fedora, sondern auch von Debian genutzt wird. Weit ergiebiger wäre es allerdings, so Wise weiter, wenn Mayhem direkt in Debian integriert worden wäre und die Fehler im Zuge eines gemeinsamen QA BoF auf der DebConf13 korrigiert werden würden.
Doch daraus wird wohl nichts. Laut Auskunft der Autoren soll Mayhem weiterhin proprietär bleiben und als Webdienst betrieben werden. Eine Freigabe im Quellcode sei demnach nicht geplant. Man wolle stattdessen vorerst daran arbeiten, mithilfe des Systems quelloffene Software robuster machen.
Interesse daran scheint durchaus vorhanden zu sein. So hat beispielsweise Dmitrijs Ledkovs, Entwickler bei Ubuntu, vorgeschlagen, auch die populäre Distribution unter die Lupe zu nehmen. Im Gegensatz zu Debian bieten die Entwickler auch automatisch generierte Pakete mit Debug-Symbolen zum Bezug an, die für eine tiefere Analyse genutzt werden könnten. Damit dürfte wohl bereits die nächste Distribution feststehen, deren gemeldeter Fehlerstand sich mutmaßlich drastisch erhöhen wird.
){kind=logo}
