Kernel-Log: 2.6.24.6 und 2.6.25.1 stopfen Sicherheitslücken, weiter Debatten um Entwicklungsmodell

02.05.2008 10:17 Uhr Thorsten Leemhuis

Die neuen Varianten der beiden neusten Kernel-2.6-Reihen korrigieren unter anderem eine Sicherheitslücke in Dnotify. Auf der LKML diskutieren bekannte Kernel-Größen über Verbesserungen am Entwicklungsprozess des Linux-Kernels.

Die Verwalter der Stable-Series [1] haben die Linux-Versionen 2.6.24.6 [2] und 2.6.25.1 [3] freigegeben, die einige Probleme in den jeweiligen Vorgängern beheben. Dazu zählen bei Beiden auch eine Korrektur [4] für die als CVE-2008-1375 [5] geführte Sicherheitslücke in Dnotify [6] sowie zwei Patches (1 [7], 2 [8]), die ein als CVE-2008-1675 [9] verzeichnetes Problem im für Tehuti-Networks-Hardware zuständigen Netzwerktreiber tehuti beseitigen.

Im Rahmen der Veröffentlichung empfiehlt Greg Kroah-Hartman nachdrücklich, auf eine der beiden neuen Versionen umzusteigen. Wer jedoch bisher keinen selbst kompilierten Linux-Kernel einsetzt, sollte diesen Rat besser indirekt folgen und auf seinen Linux-Distributor vertrauen; diese dürften in Kürze neue Kernel als Update herausgeben, die die Probleme beheben. Laut der Ankündigung zu 2.6.24.6 [10] soll dieser Kernel wohl der letzte der 2.6.24-Serie sein, so denn nicht noch weitere Sicherheitslücken auftauchen, die korrigiert werden müssen; die Anwender von Kernel.org-Kerneln sollen laut Kroah-Hartman auf den vor zwei Wochen freigegebenen Kernel 2.6.25 [11] wechseln ("You all should move on to the 2.6.25 series by now.").

Die im vorangegangenen Kernel-Log bereits kurz angesprochenen Diskussionen [12] über das Entwicklungsmodell im Allgemeinen sowie die Entwickler-Koordination und die Code-Qualität im Speziellen gingen danach im Rahmen der von David S. Miller initiierten Diskussion "Slow DOWN, please!!! [13]" erst richtig los. Fast 200 Mails sind in dem Thread in den vergangenen zwei Tagen zusammengekommen; ungefähr die Hälfte davon entstand in der Nacht von Mittwoch auf Donnerstag (CEST), als sich Linus Torvalds, Andrew Morton und andere bekannte Kernel-Hacker [14] in die Debatte einschalten und in hohem Tempo ihre unterschiedlichen Standpunkte austauschten.

Torvalds ist wie so häufig teilweise recht direkt [15]; er will die Rate der aufgenommenen Änderungen keineswegs verlangsamen [16]. Er sieht aber durchaus Verbesserungsmöglichkeiten. Mehrfach [17] schlug [18] er etwa vor, das derzeit zwei Wochen lange Merge-Window [19] zu verkürzen, damit in dieser Zeit auch wirklich nur größere Code-Änderungen den Weg in den Hauptentwicklerzweig [20] finden, die die anderen Entwickler vorher vorbereitet hatten und testen ließen; dabei soll insbesondere die Kernel-Serie linux-next [21] helfen, in der viele Kernel-Hacker seit Februar ihre Änderungen für die jeweils übernächste Kernel-Version sammeln und koordinieren.

Al Viro und Andrew Morton zeigten sich [22] im Rahmen der Diskussion weitgehend einig darüber, dass die zur Integration in die Hauptentwicklungslinie vorgesehenen Patches [23] für andere Kernel-Entwickler besser sichtbar sein sollen. Dadurch können die Änderungen gegebenenfalls einfach angepasst werden – das sei schwieriger, nachdem Torvalds die Änderungen in das Quellcodeverwaltungssystem eingepflegt habe.

Torvalds merkte zudem an, dass die Zahl der Tester von -mm oder linux-next zu gering sei [24]. Im Verlauf der Diskussion entstand daraus die Idee [25], eine "Kernel-Testers"-Gruppe zu starten – sogleich richtete [26] David S. Miller eine Mailingliste zu diesem Zweck ein. Ob sich eine solche Gruppe etabliert und welche Konsequenz die lange Diskussion [27] (die das Kernel-Log hier nur oberflächlich anreißen kann) tatsächlich auf den Entwicklungsprozess von Linux haben, ist derzeit nicht abzusehen – das wird sich erst in den kommenden Wochen und Monaten zeigen.

Kernel-Log-Staccato:

Nachdem Andrew Morton in den vergangenen Monaten mehrfach anmerkte, dass er sich einen architekturunabhängigen Embedded-Maintainer für den Kernel wünscht, haben Paul Gortmaker von Windriver und David Woodhouse von Red Hat diese Position jetzt übernommen [28]. Zum Austausch zwischen den Embedded-Entwicklern haben die beiden eine eigene Mailingliste [29] eingerichtet.
Das vormals unter dem Namen Gimp-Print segelnde Gutenprint-Projekt [30] hat die Version 5.2-beta2 der vom Projekt entwickelten Drucker-Treiber veröffentlicht [31], die bei vielen Distributionen insbesondere für Epson-Drucker zum Einsatz kommen. Aus der Beta-Version dürfte auf absehbare Zeit die Version 5.2 hervorgehen, die die zahlreichen in den letzten Monaten im Rahmen der Entwicklerserie 5.1 programmierten Verbesserungen [32] in einer für Endanwender gedachten Version enthält.
Chris Mason hat die Version 0.14 [33] des Btrfs-Dateisystems auf der neuen [34] Projekt-Homepage [35] veröffentlicht. Sie bietet erstmals Multiple Device Support [36] (Howto [37], Benchmarks [38]) und kann so mehrere Datenträger zu RAIDs verbinden; dazu greift Btrfs jedoch nicht auf die im Kernel für diese Aufgabe bereits enthaltenen Techniken Device Mapper und MD zurück, da sie nicht die nötige Flexibilität böten. Seit der Veröffentlichung von 0.14 fanden die Entwickler bereits einige Fehler [39], die in Kürze die Version 0.15 beheben soll.

Weitere Hintergründe und Informationen rund um Entwicklungen im Linux-Kernel und dessen Umfeld finden sich auch in den vorangegangen Ausgaben des Kernel-Logs [40] auf heise open:

Ältere Kernel-Logs [50] finden sich über das Archiv [51] oder die Suchfunktion [52] von heise open [53]. (thl [54])

URL dieses Artikels:
https://www.heise.de/-204597

Links in diesem Artikel:
[1] http://www.heise.de/glossar/entry/Stable-Series-397935.html
[2] http://article.gmane.org/gmane.linux.kernel/674468
[3] http://thread.gmane.org/gmane.linux.kernel/674470
[4] http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.6.25.y.git;a=commitdiff;h=9a6ec895392ed38549a94c855f045f3a83cb89af
[5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1375
[6] http://en.wikipedia.org/wiki/Dnotify
[7] http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.6.25.y.git;a=commitdiff;h=492d59860bd9a36deac6c3189ba98af355108324
[8] http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.6.25.y.git;a=commitdiff;h=71d27b2ed5191a1c5b32e360e74f32fe513d6ed2
[9] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1675
[10] http://article.gmane.org/gmane.linux.kernel/674468
[11] https://www.heise.de/hintergrund/Verbesserungen-allerorten-Die-Neuerungen-von-Linux-2-6-25-221493.html
[12] https://www.heise.de/news/Kernel-Log-OEM-Hersteller-fordern-Open-Source-Treiber-KVM-mit-2-6-26-aufgebohrt-203792.html
[13] http://thread.gmane.org/gmane.linux.kernel/673386/
[14] http://www.heise.de/glossar/entry/Kernel-Hacker-397919.html
[15] http://thread.gmane.org/gmane.linux.kernel/673386/focus=673777
[16] http://thread.gmane.org/gmane.linux.kernel/673386/focus=674009
[17] http://thread.gmane.org/gmane.linux.kernel/673386/focus=673796
[18] http://thread.gmane.org/gmane.linux.kernel/673386/focus=673790
[19] https://www.heise.de/glossar/entry/Entwicklungszyklus-des-Linux-Kernels-397915.html
[20] https://www.heise.de/glossar/entry/Linux-Kernel-Serien-und-Entwicklungslinien-397913.html
[21] https://www.heise.de/news/Kernel-Log-Linux-next-soll-die-Entwicklungsarbeit-koordinieren-179229.html
[22] http://thread.gmane.org/gmane.linux.kernel/673386/focus=674399
[23] http://www.heise.de/glossar/entry/Patch-395546.html
[24] http://thread.gmane.org/gmane.linux.kernel/673386/focus=673808
[25] http://thread.gmane.org/gmane.linux.kernel/673386/focus=674007
[26] http://thread.gmane.org/gmane.linux.kernel/673386/focus=674012
[27] http://thread.gmane.org/gmane.linux.kernel/673386/
[28] http://thread.gmane.org/gmane.linux.kernel/673694/
[29] http://thread.gmane.org/gmane.linux.kernel/673694/
[30] http://gutenprint.sourceforge.net/
[31] http://sourceforge.net/project/shownotes.php?release_id=595643&group_id=1537
[32] http://sourceforge.net/project/shownotes.php?release_id=595643&group_id=1537
[33] http://thread.gmane.org/gmane.linux.file-systems/23057
[34] http://thread.gmane.org/gmane.linux.file-systems/22253
[35] http://btrfs.wiki.kernel.org/
[36] http://btrfs.wiki.kernel.org/index.php/Multiple_Device_Support
[37] http://btrfs.wiki.kernel.org/index.php/Using_Btrfs_with_Multiple_Devices
[38] http://btrfs.wiki.kernel.org/index.php/Multi-device_Benchmarks
[39] http://btrfs.wiki.kernel.org/index.php/Hot_Fixes
[40] http://www.heise.de/glossar/entry/Kernel-Log-397909.html
[41] https://www.heise.de/news/Kernel-Log-OEM-Hersteller-fordern-Open-Source-Treiber-KVM-mit-2-6-26-aufgebohrt-203792.html
[42] https://www.heise.de/news/Kernel-Log-Sicherheitskorrekturen-ohne-Neustart-2-6-26-Entwicklung-schreitet-voran-202935.html
[43] https://www.heise.de/news/Kernel-Log-2-6-26-Entwicklung-laeuft-schwungvoll-an-Fehlerkorrekturen-fuer-2-6-24-und-2-4-36-201333.html
[44] https://www.heise.de/hintergrund/Verbesserungen-allerorten-Die-Neuerungen-von-Linux-2-6-25-221493.html
[45] https://www.heise.de/news/Kernel-Log-Neue-Grafiktreiber-fuer-AMD-und-Nvidia-Diskussionen-unter-fuehrenden-Linux-Entwicklern-199984.html
[46] https://www.heise.de/news/Kernel-Log-Entwickler-Statistik-zu-Linux-2-6-25-Statusbericht-des-Linux-Driver-Project-197121.html
[47] https://www.heise.de/news/Kernel-Log-2-6-25-auf-der-Zielgraden-Ungenauigkeiten-in-Studie-der-Linux-Foundation-195212.html
[48] https://www.heise.de/news/Kernel-Log-Linux-2-6-24-4-veroeffentlicht-Motion-Compensation-im-Intel-Grafiktreiber-192388.html
[49] https://www.heise.de/news/Kernel-Log-ACPI-DSDT-Patch-flog-aus-dem-Kernel-Fortschritte-bei-offenen-Grafiktreibern-190847.html
[50] http://www.heise.de/glossar/entry/Kernel-Log-397909.html
[51] http://www.heise.de/open/news/archiv/
[52] http://www.heise.de/open/suche?q=Kernel-Log&search_submit=Suchen&rm=search
[53] http://www.heise.de/open/
[54] mailto:thl@ct.de