Symantecs Norton Core Router könnte gegen GPL verstoßen

Einer der wichtigsten Linux-Sicherheits-Programmierer, Matthew Garrett, will laut eigenen Angaben eine Verletzung der GPL in dem Norton Core Router des Sicherheitsanbieter Symantec entdeckt haben. Symantec soll quelloffenen Code verwendet, aber die eigenen Veränderungen nicht wieder öffentlich gemacht haben.

Gerade im Bereich eingebetteter Systeme scheint dieser Verstoß gegen die GPL relativ verbreitet zu sein. Software die unter der General Public License 2 (GPLv2) verwendet wird, kann meist kostenlos genutzt werden. Wer aber den Code verändert, muss diese Veränderungen wiederum öffentlich zugänglich machen. Diese Forderung wird gerne übergangen.

Norton Core ist ein High-End-Wi-Fi-Router, den Symantec regelmäßig mit Sicherheitsupdates versorgt, vergleichbar etwa mit der Bitdefender Box. Matthew Garrett hatte nun das Gerät geöffnet und den Code dieses Gerätes näher untersucht. Dabei sei Garrett auf eine Linux-Distribution gestoßen, die auf dem Projekt QCA Software Development Kit (QSDK) basiert. Diese quelloffene Plattform wurde um das Linux-basierte OpenWrt Wi-Fi-Router-Betriebssystem herum aufgebaut und unterliegt der GPLv2.

OpenWrt verfügt über ein beschreibbares Dateisystem mit einem Package-Management-System. Dadurch kann Symantec den Router mit Sicherheitsupdate aktualisieren. Von daher eignet sich diese Technologie für den Einsatz in dem Router. Doch laut den Vorgaben der GPLv2 hätte Symantec dann die eigenen Veränderungen eigentlich mit der Community teilen müssen. Garrett hatte an die Adresse des Norton-Teams getwittert, wo er denn den Source-Code für dieses Gerät bekommen könne.

Allerdings gibt Symantec selbst an, dass die Software einer Lizenz unterliegt, die den Gebrauch, das Kopieren, die Verteilung wie auch die Dekompilierung und das Reverse-Engineering untersagt. Sollte Garrett mit seiner Vermutung recht haben, wäre die Symantec-Lizenzvereinbarung ein klarer Verstoß gegen die GPLv2.

Ein Unternehmenssprecher erklärt gegenüber ZDNet.com: „Symantec ist bestrebt, sämtlichen Lizenzverpflichtungen nachzukommen, die im Zusammenhang mit Open-Source-Komponenten bestehen. Wir nehmen diese Meldung sehr ernst und prüfen den Fall.“

FOSSA, GitHub und BlackDuck sowie andere Hersteller bieten Tools über die Code auf Verletzungen von quelloffenen Lizenzen überprüft werden können. Dadurch sollen solche Konflikte im Vorfeld ausgeräumt werden.

Vor einigen Wochen hatten Red Hat, Microsoft und andere eine Selbstverpflichtung abgegeben, dass bei Lizenzverstößen zunächst Wege geprüft würden, um Lizenzverstöße aus der Welt zu räumen, bevor rechtliche Schritte eingeleitet werden

Sollte sich die Vorwürfe gegen Symantec als berechtigt erweisen, muss der Hersteller reagieren. Denn tatsächlich nimmt die Community diese Lizenz sehr ernst.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.