Software::Security
Grsecurity will Verfügbarkeit der stabilen Patches einschränken
Das Grsecurity-Projekt kapituliert vor den fortgesetzten Verletzungen der GPL und der Markenrechte durch große Unternehmen, da es nicht über genug Geld verfügt, um vor Gericht zu ziehen. Als Konsequenz sollen die stabilen Versionen der Grsecurity-Patches nur noch den Sponsoren des Projekts zugänglich gemacht werden.
Mirko Lindner
Das seit 14 Jahren bestehende
Grsecurity-Projekt um den Sicherheitsforscher Brad Spengler (Spender) bezeichnet sich ohne falsche Bescheidenheit als Pionier von Lösungen, die den Linux-Kernel gegen Sicherheitslücken weniger anfällig machen sollen. Nicht nur Linux profitierte davon, sondern alle modernen Betriebssysteme übernahmen einige der Maßnahmen. Selbst in Hardware wurden einige der Maßnahmen integriert.
Nicht alle Maßnahmen wurden indes in den Linux-Kernel übernommen. Vor allem blieben Änderungen, die die Kompatibilität eingeschränkt hätten, außen vor. Das Projekt hatte daher immer eine Reihe von Patches außerhalb des Kernels zu pflegen. Nachdem Kernel-Versionen mit langfristiger Unterstützung aufkamen, begann das Projekt zusätzlich, eine Patch-Serie mit ausschließlich stabilen Funktionen für die stabile Kernel-Reihe zu pflegen, während es zugleich eine Test-Patchserie mit teils experimentellen Funktionen für den jeweils aktuellen Kernel anbot.
All diese Arbeit entstand nach Angaben von Brad Spengler allein in der Freizeit der Entwickler. Nach einem erfolgreichen Spendenaufruf konnte das Projekt die Zahl der stabilen Patches auf zwei erhöhen, jeweils für die beiden neuesten stabilen Kernel-Versionen, aktuell Linux 3.2 und 3.14.
Es ist bekannt, dass es im Markt der eingebetteten Systeme zahlreiche Unternehmen gibt, darunter auch solche mit Milliardenumsätzen, die die GPL missachten und erst nach ernsthafter Androhung einer Klage oder gar erfolgreichem Rechtsstreit ihr Fehlverhalten korrigieren. Insgesamt wird aber gegen diese Unternehmen zu wenig unternommen, weil es zu wenige Entwickler gibt, die die Zeit und Energie für eine Klage haben. Auch Grsecurity wird schon seit Jahren von dem Problem geplagt. Obwohl das Projekt gegen diese Verstöße vorgeht, werden sie nicht weniger. Alleine in diesem Jahr hat das Projekt nach eigenen Angaben bereits tausende von US-Dollar für rechtliche Maßnahmen ausgegeben. Doch jetzt kam es in Konflikt mit einem nicht namentlich genannten großen Unternehmen, das nicht nur den Code von Grsecurity (in einer veralteten Version, angepasst an einen nicht unterstützten Kernel) verwendete, sondern auch noch mit dem markenrechtlich geschützten Logo von Grsecurity warb. Die Änwälte des Unternehmens wiesen alle Einsprüche von Grsecurity zurück und wollen es wohl auf eine Klage ankommen lassen, die sie ohne jeden Zweifel verlieren würden. Doch dazu wird es wohl nicht kommen, denn das Projekt kann das finanzielle Risiko nicht eingehen.
Als Konsequenz kündigt Brad Spengler an, dass die Patches für die LTS-Kernel-Versionen in Zukunft nicht mehr öffentlich sind, sondern nur noch den Sponsoren zugänglich gemacht werden. Die Maßnahme soll in zwei Wochen beginnen. Der Test-Patch soll weiterhin verfügbar sein, unter anderem weil Gentoo Hardened und Arch Linux zu seinen Nutzern zählen. Sollte die Maßnahme nicht helfen, so Spengler, will man möglicherweise die stabilen Patches nur noch in einem Abonnementmodell vertreiben. Das entspräche etwa dem Geschäftsmodell von Red Hat, das frei verfügbare Software sammelt, intensiv testet und dafür dann Abonnementverträge abschließt.
){kind=small}
