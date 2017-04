Software::Security

Grsecurity stellt freie Verfügbarkeit von Patches ein

Das Grsecurity-Projekt stellt seine Patches, die die Sicherheit des Linux-Kernels verbessern, künftig nur noch zahlenden Kunden zur Verfügung. Zumindest die vorhandenen Patches, die bis zu Linux 4.9 reichen, können aber von der Gemeinschaft übernommen und weitergeführt werden.

Larry Ewing

Das seit 16 Jahren bestehende Grsecurity-Projekt um den Sicherheitsforscher Brad Spengler (Spender) bezeichnet sich ohne falsche Bescheidenheit als Pionier von Lösungen, die den Linux-Kernel gegen Sicherheitslücken weniger anfällig machen sollen. Nicht nur Linux profitierte davon, sondern alle modernen Betriebssysteme übernahmen einige der Maßnahmen. Selbst in Hardware wurden einige der Maßnahmen integriert.

Nicht alle Maßnahmen wurden indes in den Linux-Kernel übernommen. Vor allem blieben Änderungen, die die Kompatibilität eingeschränkt hätten, außen vor. Das Projekt hatte daher immer eine Reihe von Patches außerhalb des Kernels zu pflegen. Nachdem Kernel-Versionen mit langfristiger Unterstützung aufkamen, begann das Projekt zusätzlich, eine Patch-Serie mit ausschließlich stabilen Funktionen für die stabile Kernel-Reihe zu pflegen, während es zugleich eine Test-Patchserie mit teils experimentellen Funktionen für den jeweils aktuellen Kernel anbot.

Die Ankündigung des Grsecurity-Projekts besteht aus zwei Teilen. Zum einen versichert das Projekt, die Patches nicht einzustellen, sondern sogar beschleunigt zu entwickeln. Zum anderen werden die neuen Patches aber nicht mehr publiziert. Sie werden wie bisher den zahlenden Kunden zur Verfügung gesteht, und die Kunden werden weiter unterstützt.

Hintergrund der Entscheidung ist, dass das Projekt zu wenig Einkünfte aus seiner Arbeit bezieht, da zuviele Anwender die Patches einfach kostenlos nutzen. Auch Spenden kommen in zu geringem Umfang herein. Selbst große Unternehmen steuern vielfach keinen einzigen Cent bei. Aus diesem Grund hatte das Projekt schon im August 2015 die Patches für die LTS-Versionen von Linux nicht mehr öffentlich gemacht. Nun gilt dieselbe Maßnahme generell.

Das Projekt dankt einzelnen Mitgliedern der Gemeinschaft für ihre Mitarbeit und Unterstützung, vor allem dem Gentoo Hardened-Projekt. Zugleich kritisiert es die gesamte Linux-Gemeinschaft, die in den letzten Jahren generell zuwenig in Sicherheit investiert habe. Es sei jetzt an der Gemeinschaft, die aktuellste Version der Patches, die für Linux 4.9 geschrieben wurde und aufgrund der Linux-Lizenz unter der GPLv2 steht, weiter zu pflegen. Grsecurity selbst wird sich verstärkt der Entwicklung der nächsten Generation von Sicherheitstechnologien widmen, die die Ausnutzung von Lücken von vornherein verhindern. Technologien, mit denen sich Grsecurity befassen will, sind unter anderem ARM64, Mobilsysteme und Android sowie die Sicherheitstechniken RAP, KERNSEAL, STRUCTGUARD und andere.