Linux: Verfügbarkeit der Grsecurity-Erweiterung wird eingeschränkt

In Zukunft soll nur noch die Entwicklerversion der Linux-Sicherheitserweiterung Grsecurity öffentlich zum Download stehen. Die stabile Version soll es nach Streitereien mit Embedded-Firmen nur noch für Sponsoren geben.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Grsecurity

In zwei Wochen sollen die Stable-Patches von der öffentlichen Homepage verschwinden.

Lesezeit: 3 Min.
Von
  • Thorsten Leemhuis
Inhaltsverzeichnis

Die stabilen Version der Linux-Kernel-Erweiterung Grsecurity sollen ab dem 9. September nur noch für Sponsoren abrufbar sein; die Testversion der Security-Erweiterung wird aber weiterhin öffentlich verfügbar bleiben. Das kündigte Bradley Spengler heute an, der als "spender" bekannte Hauptentwickler von Grsecurity. Dabei handelt es sich um eine Sammlung von Patches, die Linux-Kernel um eine Reihe von Sicherheitsfunktionen erweitern, um Angreifern und Schadsoftware das Eindringen zu erschweren.

Spengler erläutert die Gründe für diesen Schritt in einem länglichen Blog-Eintrag. Demnach nutzen eine Reihe großer, nicht genannter Firmen die Erweiterung in Embedded-Linuxen, ohne auch nur einen Cent zur Pflege und Weiterentwicklung beizutragen; dabei würden einige der Firmen die GPL verletzen und gegen den Schutz der Wortmarke Grsecurity verstoßen. Er ist dagegen vorgegangen, was vielfach aber erfolglos blieb; zugleich habe es Mühe gemacht und Tausende von Dollar gekostet.

Das Fass zum Überlaufen habe jetzt eine Firma gebracht, die eine veraltete Version von Grsecurity in einem Embedded-Produkt eingesetzt hat. Die wurde noch dazu mit einem viele Jahre alten, nicht mehr gepflegten und von Grsecurity offiziell nie unterstützten Kernel kombiniert. Zugleich hat das Unternehmen laut Spengler groß mit Grsecurity geworben. Spengler hat mit einer Abmahnung versucht, dagegen vorzugehen. Die Firma zeigt sich aber uneinsichtig und drohte unter anderem, Anwaltskosten gelten machen zu wollen, falls Spengler vor Gericht ziehen würde. Dieses Risiko und den mit Rechtsstreitigkeiten verbundenen Aufwand scheut er.

Um ein Zeichen zu setzen, dass es so nicht geht, will er die Patches mit dem stabilen Zweig von Grsecurity von der Homepage entfernen; diese derzeit für Linux 3.2 und 3.14 verfügbaren Erweiterungen solle es nur noch für Grsecurity-Sponsoren geben. Mitauslöser für diesen Schritt sind auch zwei GPL-Verletzungen, gegen die Spengler im letzten Jahr vorgegangen ist.

Der Test-Zweig von Grsecurity, der derzeit zu Linux 4.1 passt,soll weiterhin frei zum Download stehen; Distributionen wie Arch Linux und Gentoo Hardened, die mit Grsecurity versorgte Kernel anbieten, sollen von dem Schritt daher nicht betroffen sein.

Spengler trägt nicht direkt zur Weiterentwicklung des Linux-Kernels bei.

Grsecurity wird seit 14 Jahren entwickelt, stand aber 2009 wegen unzureichender Finanzierung schon kurz vor dem Aus. Die Security-Erweiterung war Ideengeber für manche der Sicherheitsfunktionen, die in dieser Zeit in den offiziellen Linux-Kernel eingezogen sind. Er selbst hat aber schon lange nicht mehr direkt zum offiziellen Linux-Kernel beigetragen, sondern macht eher sein eigenes Ding; hin und wieder bedanken sich die Kernel-Entwickler aber für Ideen bei Spengler oder beziehen sich bei Umbauten auf Grsecurity. Zufällig wird derzeit sogar mal wieder diskutiert, welche der in Grsecurity umgesetzten Konzepte vielleicht auch einen Platz im offiziellen Linux-Kernel finden sollten. (thl)