Kernel-Log: 2.6.24.6 und 2.6.25.1 stopfen Sicherheitslücken, weiter Debatten um Entwicklungsmodell

Die Verwalter der Stable-Series haben die Linux-Versionen 2.6.24.6 und 2.6.25.1 freigegeben, die einige Probleme in den jeweiligen Vorgängern beheben. Dazu zählen bei Beiden auch eine Korrektur für die als CVE-2008-1375 geführte Sicherheitslücke in Dnotify sowie zwei Patches (1, 2), die ein als CVE-2008-1675 verzeichnetes Problem im für Tehuti-Networks-Hardware zuständigen Netzwerktreiber tehuti beseitigen.

Im Rahmen der Veröffentlichung empfiehlt Greg Kroah-Hartman nachdrücklich, auf eine der beiden neuen Versionen umzusteigen. Wer jedoch bisher keinen selbst kompilierten Linux-Kernel einsetzt, sollte diesen Rat besser indirekt folgen und auf seinen Linux-Distributor vertrauen; diese dürften in Kürze neue Kernel als Update herausgeben, die die Probleme beheben. Laut der Ankündigung zu 2.6.24.6 soll dieser Kernel wohl der letzte der 2.6.24-Serie sein, so denn nicht noch weitere Sicherheitslücken auftauchen, die korrigiert werden müssen; die Anwender von Kernel.org-Kerneln sollen laut Kroah-Hartman auf den vor zwei Wochen freigegebenen Kernel 2.6.25 wechseln ("You all should move on to the 2.6.25 series by now.").

Die im vorangegangenen Kernel-Log bereits kurz angesprochenen Diskussionen über das Entwicklungsmodell im Allgemeinen sowie die Entwickler-Koordination und die Code-Qualität im Speziellen gingen danach im Rahmen der von David S. Miller initiierten Diskussion "Slow DOWN, please!!!" erst richtig los. Fast 200 Mails sind in dem Thread in den vergangenen zwei Tagen zusammengekommen; ungefähr die Hälfte davon entstand in der Nacht von Mittwoch auf Donnerstag (CEST), als sich Linus Torvalds, Andrew Morton und andere bekannte Kernel-Hacker in die Debatte einschalten und in hohem Tempo ihre unterschiedlichen Standpunkte austauschten.

Torvalds ist wie so häufig teilweise recht direkt; er will die Rate der aufgenommenen Änderungen keineswegs verlangsamen. Er sieht aber durchaus Verbesserungsmöglichkeiten. Mehrfach   schlug er etwa vor, das derzeit zwei Wochen lange Merge-Window zu verkürzen, damit in dieser Zeit auch wirklich nur größere Code-Änderungen den Weg in den Hauptentwicklerzweig finden, die die anderen Entwickler vorher vorbereitet hatten und testen ließen; dabei soll insbesondere die Kernel-Serie linux-next helfen, in der viele Kernel-Hacker seit Februar ihre Änderungen für die jeweils übernächste Kernel-Version sammeln und koordinieren.

Al Viro und Andrew Morton zeigten sich im Rahmen der Diskussion weitgehend einig darüber, dass die zur Integration in die Hauptentwicklungslinie vorgesehenen Patches für andere Kernel-Entwickler besser sichtbar sein sollen. Dadurch können die Änderungen gegebenenfalls einfach angepasst werden – das sei schwieriger, nachdem Torvalds die Änderungen in das Quellcodeverwaltungssystem eingepflegt habe.

Torvalds merkte zudem an, dass die Zahl der Tester von -mm oder linux-next zu gering sei. Im Verlauf der Diskussion entstand daraus die Idee, eine "Kernel-Testers"-Gruppe zu starten – sogleich richtete David S. Miller eine Mailingliste zu diesem Zweck ein. Ob sich eine solche Gruppe etabliert und welche Konsequenz die lange Diskussion (die das Kernel-Log hier nur oberflächlich anreißen kann) tatsächlich auf den Entwicklungsprozess von Linux haben, ist derzeit nicht abzusehen – das wird sich erst in den kommenden Wochen und Monaten zeigen.

Kernel-Log-Staccato:

• Nachdem Andrew Morton in den vergangenen Monaten mehrfach anmerkte, dass er sich einen architekturunabhängigen Embedded-Maintainer für den Kernel wünscht, haben Paul Gortmaker von Windriver und David Woodhouse von Red Hat diese Position jetzt übernommen. Zum Austausch zwischen den Embedded-Entwicklern haben die beiden eine eigene Mailingliste eingerichtet.
• Das vormals unter dem Namen Gimp-Print segelnde Gutenprint-Projekt hat die Version 5.2-beta2 der vom Projekt entwickelten Drucker-Treiber veröffentlicht, die bei vielen Distributionen insbesondere für Epson-Drucker zum Einsatz kommen. Aus der Beta-Version dürfte auf absehbare Zeit die Version 5.2 hervorgehen, die die zahlreichen in den letzten Monaten im Rahmen der Entwicklerserie 5.1 programmierten Verbesserungen in einer für Endanwender gedachten Version enthält.
• Chris Mason hat die Version 0.14 des Btrfs-Dateisystems auf der neuen Projekt-Homepage veröffentlicht. Sie bietet erstmals Multiple Device Support (Howto, Benchmarks) und kann so mehrere Datenträger zu RAIDs verbinden; dazu greift Btrfs jedoch nicht auf die im Kernel für diese Aufgabe bereits enthaltenen Techniken Device Mapper und MD zurück, da sie nicht die nötige Flexibilität böten. Seit der Veröffentlichung von 0.14 fanden die Entwickler bereits einige Fehler, die in Kürze die Version 0.15 beheben soll.

Weitere Hintergründe und Informationen rund um Entwicklungen im Linux-Kernel und dessen Umfeld finden sich auch in den vorangegangen Ausgaben des Kernel-Logs auf heise open:

• 29.04.2008: OEM-Hersteller fordern Open-Source-Treiber, KVM mit 2.6.26 aufgebohrt
• 25.04.2008: Sicherheitskorrekturen ohne Neustart, 2.6.26-Entwicklung schreitet voran
• 21.04.2008: 2.6.26-Entwicklung läuft schwungvoll an, Fehlerkorrekturen für 2.6.24 und 2.4.36

• 17.04.2008: Verbesserungen allerorten – Die Neuerungen von Linux 2.6.25
• 16.04.2008: Neue Grafiktreiber für AMD und Nvidia, Diskussionen unter führenden Linux-Entwicklern
• 08.04.2008: Entwickler-Statistik zu Linux 2.6.25, Statusbericht des Linux Driver Project

• 02.04.2008: 2.6.25 auf der Zielgraden, Ungenauigkeiten in Studie der Linux Foundation
• 24.03.2008: Linux 2.6.24.4 veröffentlicht, Motion Compensation im Intel-Grafiktreiber
• 17.03.2008: ACPI-DSDT-Patch flog aus dem Kernel, Fortschritte bei offenen Grafiktreibern

Ältere Kernel-Logs finden sich über das Archiv oder die Suchfunktion von heise open. (thl)