Debian столкнулся с лицензионными проблемами, мешающими поставке обновления микрокода Intel
Разработчики проекта Debian обратили внимание на изменение текста лицензионного соглашения в июльском обновлении микрокода для процессоров Intel, в котором были предложены важные дополнения, необходимые для блокирования новых уязвимостей Spectre и L1TF, такие как MSR-бит SSBD (Speculative Store Bypass Disable) и операция L1D_FLUSH.
Новое лицензионное соглашение признано несовместимым с правилами Debian, что не позволяет организовать поставку обновления микрокода, без которого невозможно полноценное устранение последних уязвимостей в механизме спекулятивного выполнения инструкций. Пользователям остается дожидаться появления обновлений прошивки для материнской платы или вручную загрузить новый микрокод и настроить его установку во время загрузки дистрибутива.
Проблема связана с появлением в новом тексте соглашения достаточно странного нового требования, в соответствии с которым перед загрузкой и установкой обновления микрокода, пользователь должен прочитать и согласиться с условиями его поставки:
DO NOT DOWNLOAD, INSTALL, ACCESS, COPY, OR USE ANY PORTION OF THE SOFTWARE UNTIL YOU HAVE READ AND ACCEPTED THE TERMS AND CONDITIONS OF THIS AGREEMENT. BY INSTALLING, COPYING, ACCESSING, OR USING THE SOFTWARE, YOU AGREE TO BE LEGALLY BOUND BY THE TERMS AND CONDITIONS OF THIS AGREEMENT.
Примечательно, что в Fedora, RHEL, SUSE, openSUSE и ArchLinux новый микрокод уже включен в состав дистрибутивов, но пока непонятно, было ли проанализировано новое соглашение юристами SUSE и Red Hat или осталось незамеченным. Некоторые разработчики считают возможным включение обновления микрокода в поставку, указывая не неоднозначность требований в лицензионном соглашении - в тексте также присутствует пункт, явно разрешающий распространение микрокода в составе других продуктов. Кроме того, на сайте загрузки прошивок Intel не появилось никаких предварительных форм подтверждения соглашения перед загрузкой.
Имад Сусоу (Imad Sousou), вице-президент Intel, руководящий подразделением Intel Open Source Technology Center, подтвердил, что проблем с лицензионной совместимостью нет и Debian может поставлять микрокод через свои репозитории так как третий пункт во второй секции соглашения явно предоставляет такое право распространения объектного кода Intel в дистрибутивах.