Symantecs Norton Core Router könnte gegen GPL verstoßen

Einer der wichtigsten Linux-Sicherheits-Programmierer, Matthew Garrett, will laut eigenen Angaben eine Verletzung der GPL in dem Norton Core Router des Sicherheitsanbieter Symantec entdeckt haben. Symantec soll quelloffenen Code verwendet, aber die eigenen Veränderungen nicht wieder öffentlich gemacht haben.

Gerade im Bereich eingebetteter Systeme scheint dieser Verstoß gegen die GPL relativ verbreitet zu sein. Software die unter der General Public License 2 (GPLv2) verwendet wird, kann meist kostenlos genutzt werden. Wer aber den Code verändert, muss diese Veränderungen wiederum öffentlich zugänglich machen. Diese Forderung wird gerne übergangen.

Norton Core ist ein High-End-Wi-Fi-Router, den Symantec regelmäßig mit Sicherheitsupdates versorgt, vergleichbar etwa mit der Bitdefender Box. Matthew Garrett hatte nun das Gerät geöffnet und den Code dieses Gerätes näher untersucht. Dabei sei Garrett auf eine Linux-Distribution gestoßen, die auf dem Projekt QCA Software Development Kit (QSDK) basiert. Diese quelloffene Plattform wurde um das Linux-basierte OpenWrt Wi-Fi-Router-Betriebssystem herum aufgebaut und unterliegt der GPLv2.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

OpenWrt verfügt über ein beschreibbares Dateisystem mit einem Package-Management-System. Dadurch kann Symantec den Router mit Sicherheitsupdate aktualisieren. Von daher eignet sich diese Technologie für den Einsatz in dem Router. Doch laut den Vorgaben der GPLv2 hätte Symantec dann die eigenen Veränderungen eigentlich mit der Community teilen müssen. Garrett hatte an die Adresse des Norton-Teams getwittert, wo er denn den Source-Code für dieses Gerät bekommen könne.

Allerdings gibt Symantec selbst an, dass die Software einer Lizenz unterliegt, die den Gebrauch, das Kopieren, die Verteilung wie auch die Dekompilierung und das Reverse-Engineering untersagt. Sollte Garrett mit seiner Vermutung recht haben, wäre die Symantec-Lizenzvereinbarung ein klarer Verstoß gegen die GPLv2.

Ein Unternehmenssprecher erklärt gegenüber ZDNet.com: „Symantec ist bestrebt, sämtlichen Lizenzverpflichtungen nachzukommen, die im Zusammenhang mit Open-Source-Komponenten bestehen. Wir nehmen diese Meldung sehr ernst und prüfen den Fall.“

FOSSA, GitHub und BlackDuck sowie andere Hersteller bieten Tools über die Code auf Verletzungen von quelloffenen Lizenzen überprüft werden können. Dadurch sollen solche Konflikte im Vorfeld ausgeräumt werden.

Vor einigen Wochen hatten Red Hat, Microsoft und andere eine Selbstverpflichtung abgegeben, dass bei Lizenzverstößen zunächst Wege geprüft würden, um Lizenzverstöße aus der Welt zu räumen, bevor rechtliche Schritte eingeleitet werden

Sollte sich die Vorwürfe gegen Symantec als berechtigt erweisen, muss der Hersteller reagieren. Denn tatsächlich nimmt die Community diese Lizenz sehr ernst.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Tag ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

1 Tag ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago