Zickenkrieg statt Lösung: Stefan Esser wettert über Suhosin-Patch der Debian-Entwickler

Das Suhosin-Projekt ist eine Erweiterung für PHP, die der Sicherheit dient. Dummerweise verursacht die Software große Probleme auf Systemen, die eine andere Page-Größe als 4096 verwenden – zum Beispiel IA64. Die Debian-Entwickler nahmen sich diesem Problem an und schrieben einen Patch, der das Problem mit den Abstürzen ausmerzte. Sie informierten Esser am 10. Februar darüber. Esser prüfte allerdings laut eigener Angabe sein Hardened-PHP-Konto eine Weile nicht. Auf Grund keiner Antwort veröffentlichten die Debian-Entwickler den Flicken und die Abstürze gehörten der Vergangenheit an. Sehr zum Unmut von Stefan Esser.

Als dieser seine E-Mails las, untersuchte er den Patch genauer. Er bestätigt, dass die Modifikationen tatsächlich die Abstürze verhindern. Gleichzeitig reißen diese aber auch ein Sicherheitsloch in Suhosin. Anstatt sich mit den Debian-Entwicklern an einen Tisch zu setzen und an einer Lösung zu arbeiten, schoss Esser in einem Blog-Eintrag zunächst scharf gegen den Alleingang und löste eine heiße Diskussion aus. Mittlerweile scheinen sich die Wogen wieder etwas geglättet zu haben. Die Kommentare wurden deaktiviert und Esser schreibt als Update, dass man sich bereits unterhalten habe. Außerdem habe er seinen Beitrag modifiziert, damit dieser weniger aggressiv klinge. (jdo)