Symantecs Norton Core Router könnte gegen GPL verstoßen

Einer der wichtigsten Linux-Sicherheits-Programmierer, Matthew Garrett, will laut eigenen Angaben eine Verletzung der GPL in dem Norton Core Router des Sicherheitsanbieter Symantec entdeckt haben. Symantec soll quelloffenen Code verwendet, aber die eigenen Veränderungen nicht wieder öffentlich gemacht haben.

Gerade im Bereich eingebetteter Systeme scheint dieser Verstoß gegen die GPL relativ verbreitet zu sein. Software die unter der General Public License 2 (GPLv2) verwendet wird, kann meist kostenlos genutzt werden. Wer aber den Code verändert, muss diese Veränderungen wiederum öffentlich zugänglich machen. Diese Forderung wird gerne übergangen.

Norton Core ist ein High-End-Wi-Fi-Router, den Symantec regelmäßig mit Sicherheitsupdates versorgt, vergleichbar etwa mit der Bitdefender Box. Matthew Garrett hatte nun das Gerät geöffnet und den Code dieses Gerätes näher untersucht. Dabei sei Garrett auf eine Linux-Distribution gestoßen, die auf dem Projekt QCA Software Development Kit (QSDK) basiert. Diese quelloffene Plattform wurde um das Linux-basierte OpenWrt Wi-Fi-Router-Betriebssystem herum aufgebaut und unterliegt der GPLv2.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

OpenWrt verfügt über ein beschreibbares Dateisystem mit einem Package-Management-System. Dadurch kann Symantec den Router mit Sicherheitsupdate aktualisieren. Von daher eignet sich diese Technologie für den Einsatz in dem Router. Doch laut den Vorgaben der GPLv2 hätte Symantec dann die eigenen Veränderungen eigentlich mit der Community teilen müssen. Garrett hatte an die Adresse des Norton-Teams getwittert, wo er denn den Source-Code für dieses Gerät bekommen könne.

Allerdings gibt Symantec selbst an, dass die Software einer Lizenz unterliegt, die den Gebrauch, das Kopieren, die Verteilung wie auch die Dekompilierung und das Reverse-Engineering untersagt. Sollte Garrett mit seiner Vermutung recht haben, wäre die Symantec-Lizenzvereinbarung ein klarer Verstoß gegen die GPLv2.

Ein Unternehmenssprecher erklärt gegenüber ZDNet.com: „Symantec ist bestrebt, sämtlichen Lizenzverpflichtungen nachzukommen, die im Zusammenhang mit Open-Source-Komponenten bestehen. Wir nehmen diese Meldung sehr ernst und prüfen den Fall.“

FOSSA, GitHub und BlackDuck sowie andere Hersteller bieten Tools über die Code auf Verletzungen von quelloffenen Lizenzen überprüft werden können. Dadurch sollen solche Konflikte im Vorfeld ausgeräumt werden.

Vor einigen Wochen hatten Red Hat, Microsoft und andere eine Selbstverpflichtung abgegeben, dass bei Lizenzverstößen zunächst Wege geprüft würden, um Lizenzverstöße aus der Welt zu räumen, bevor rechtliche Schritte eingeleitet werden

Sollte sich die Vorwürfe gegen Symantec als berechtigt erweisen, muss der Hersteller reagieren. Denn tatsächlich nimmt die Community diese Lizenz sehr ernst.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

1 Stunde ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

20 Stunden ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

20 Stunden ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

23 Stunden ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

2 Tagen ago

Lichtgeschwindigkeit für generative KI

Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…

2 Tagen ago