Door Anoniem: Waarom heet dat Linux-kwetsbaarheden in plaats van Systemd-kwetsbaarheden?
Is dit een teken dat systemd Linux al totaal heeft overgenomen?
Het is zelfs geen systemd-kwetsbaarheid, want networkd-dispatcher komt helemaal niet uit de koker van de makers van systemd, het is een aanvullende functie die door iemand anders is geschreven:
https://gitlab.com/craftyguy/networkd-dispatcherHet betekent niet dat systemd Linux totaal heeft overgenomen, net zo min als networkd-dispatcher systemd totaal heeft overgenomen. Het is een voorbeeld van hoe slordig mensen nou eenmaal met betekenissen van woorden omgaan. En dat ligt echt niet alleen aan Microsoft (dit is een reactie op "Bemoei je met je eigen operatie systeem [sic]"), ontwikkelaars en gebruikers van Linux-distributies doen dat net zo goed.
Ik leg het uit.
Toen ik me ooit, jaren voordat Windows en Linux bestonden, tot automatiseerder liet omscholen leerde ik dat een besturingssysteem is wat je minimaal nodig hebt om op een computer de programma's die je eigenlijk wilt draaien te kunnen opstarten en uitvoeren. In Linux-termen heb je daar een bootloader voor nodig, een kernel, een init-systeem, een shell, en natuurlijk ook de mogelijkheid om de programma's die je wilt gebruiken te kunnen installeren. In die korte opsomming ontbreken beslist de nodige onmisbare componenten, maar het geeft aan wat het idee is.
Met Debian kan je zo'n systeem krijgen door alleen het basissysteem te installeren, en tijdens het installatieproces in het geheel geen aanvullende software te selecteren. Dan krijg je een wel heel spartaans systeem waarin zelfs heel basale dingen ontbreken. Het enige zinvolle wat je er in de eerste instantie mee kan is het installeren van software waar je wel iets aan hebt. Je kan discussies voeren over of zo'n minimale definitie van het woord besturingssysteem de juiste is, maar het belangrijkste punt is dat applicaties er geen onderdeel van zijn, het punt is nou juist dat een besturingssysteem een basis is om die applicaties te kunnen uitvoeren, het is iets anders dan die applicaties zelf.
Maar ga je naar de website van Debian dan zie je meteen staan dat Debian een besturingssysteem is. Zij gebruiken de term om hun hele Linux-distributie aan te duiden,
inclusief alle pakketten, en dus applicaties, in de distributie. Die gebruiken het woord besturingssysteem dus op een wezenlijk andere manier dan ik net aangaf.
Gebruikers van dergelijke systemen zullen wat ze draaien heel vaak aanduiden met Linux: "Wat voor besturingssysteem gebruik jij?" "Linux." Ik doe dat zelf ook, en het is vaak zelfs zinvol, omdat heel wat mensen nog wel een vaag beeld hebben bij "Linux", geen idee hebben waar ik het over heb als ik "Debian" zeg, en overladen zouden raken als ik het zou gaan uitleggen.
En laat networkd-dispatcher een pakket zijn dat in Debian zit. Een beveiligingsprobleem in networkd-dispatcher is dus ook een lek in Debian, in het besturingssysteem, volgens de veelomvattende definitie die ze hanteren bij Debian. Daarmee is het ook een lek in Linux, volgens de veelomvattende definitie die gebruikers van Linux-distributies in het dagelijkse taalgebruik hanteren.
Het is slordig taalgebruik, slordige omgang met de betekenis van woorden, maar mensen doen dat voortdurend. In dit geval deed iemand bij Microsoft dat bij het bekendmaken van dit lek, en heeft de redactie van security.nl die formulering overgenomen.
Als Linus Torvalds, of ooit een opvolger van hem, aanpassingen in de kernel zou accepteren die zouden maken dat de Linux-kernel niet zonder systemd kan functioneren,
dan zou je kunnen stellen dat systemd Linux heeft overgenomen. Dat zie ik alleen echt niet gebeuren, omdat zo'n verwevenheid het uitnodigen van problemen zou zijn die verdomd veel ellende zouden opleveren. Er zijn fundamentele ontwerptechnische redenen om niet aan zoiets te beginnen. En als het toch zou gebeuren dan zou ik felle weerstand ertegen verwachten van iedere kernel-ontwikkelaar die zijn sop waard is (zo'n beetje allemaal dus, want de lat ligt daar hoog). Bij dat soort ontsporingen krijg je in de open source-wereld typisch dat er een of meer forks gemaakt worden, dat een van die forks alle ontwikkelaars en dus ontwikkelactiviteit aantrekt, dat vervolgens alle distro's daarop overstappen en het originele project verder een marginaal bestaan leidt. Dat is al diverse keren voorgekomen (denk aan hoe xorg het balletje van xfree86 heeft overgenomen). Denk niet dat zoiets bij de Linux-kernel niet gebeurt als dat project ontspoort. De kracht van open source is nou juist dat de licentie het uitdrukkelijk toelaat en dat daardoor niemand zo'n ontwikkeling kan blokkeren.