Debian столкнулся с лицензионными проблемами, мешающими поставке обновления микрокода Intel
22 августа 2018 года
Разработчики проекта Debian обратили внимание на изменение текста лицензионного соглашения в июльском обновлении микрокода для процессоров Intel, в котором были предложены важные дополнения, необходимые для блокирования новых уязвимостей Spectre и L1TF, такие как MSR-бит SSBD (Speculative Store Bypass Disable) и операция L1D_FLUSH. Неопределённость с лицензией до сих пор не позволяет доставить обновление микрокода до пользователей, несмотря на то, что пакет был подготовлен ещё 8 августа.
Новое лицензионное соглашение рассматривается как несовместимое с правилами Debian, что не позволяет организовать поставку обновления микрокода, без которого невозможно полноценное устранение последних уязвимостей в механизме спекулятивного выполнения инструкций. Пользователям остаётся дожидаться появления обновлений прошивки для материнской платы или вручную загрузить новый микрокод и настроить его установку во время загрузки дистрибутива.
Проблема связана с появлением в новом тексте соглашения достаточно странного нового требования, в соответствии с которым перед загрузкой и установкой обновления микрокода, пользователь должен прочитать и согласиться с условиями его поставки:
DO NOT DOWNLOAD, INSTALL, ACCESS, COPY, OR USE ANY PORTION OF THE SOFTWARE UNTIL YOU HAVE READ AND ACCEPTED THE TERMS AND CONDITIONS OF THIS AGREEMENT. BY INSTALLING, COPYING, ACCESSING, OR USING THE SOFTWARE, YOU AGREE TO BE LEGALLY BOUND BY THE TERMS AND CONDITIONS OF THIS AGREEMENT.
Примечательно, что в Fedora, RHEL, SUSE, openSUSE и Arch Linux новый микрокод уже включён в состав дистрибутивов, но пока непонятно, было ли проанализировано новое соглашение юристами SUSE и Red Hat или осталось незамеченным. Некоторые разработчики считают возможным включение обновления микрокода в поставку, указывая неоднозначность формулировок в лицензионном соглашении - в тексте также присутствует пункт, явно разрешающий распространение микрокода в составе других продуктов. Кроме того, на сайте загрузки прошивок Intel не появилось никаких предварительных форм подтверждения соглашения перед загрузкой.
Имад Сусоу (Imad Sousou), вице-президент Intel, руководящий подразделением Intel Open Source Technology Center, подтвердил, что проблем с лицензионной совместимостью нет и Debian может поставлять микрокод через свои репозитории так как третий пункт во второй секции соглашения явно предоставляет такое право распространения объектного кода Intel в дистрибутивах.
Тем не менее, неопределённость формулировок остаётся и решение о поставке нового микрокода в Debian пока не принято. К обсуждению также подключились разработчики Gentoo, которые ранее уже организовали поставку нового микрокода, но рассматривают возможность реализации прямой загрузки с выводом формы для принятия соглашения, без распространения обновления через свои зеркала.
Дополнение: Компания Intel устранила все замечания в лицензии на микрокод и привела соглашение к прежнему виду.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.